常用AD组策略设置

常用AD组策略设置

利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。

根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。

下面是实际操作演示：

?AD域控制器：Windows Server 2003/2008

?以域管理员权限运行“Active Directory 用户和计算机”

1. 设置屏保程序

打开“https://www.360docs.net/doc/0c12182560.html,”域下组织单位“北京”的属性(如下图)：

可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的

C:\Windows\SYSVOL\sysvol\https://www.360docs.net/doc/0c12182560.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup

该setscr.bat脚本的内容是：

copy bssec.scr c:\windows\system32

即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。打开“https://www.360docs.net/doc/0c12182560.html,”域的属性(如下图)：

可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“用户配置”－“管理模板”－“控制面板”－“显示”，启用右侧的“屏幕保护程序”，启用“可执行的屏幕保护程序的名称”，填入屏幕保护文件名：bssec.scr，(如下图)：

同时启用右侧的“密码保护屏幕保护程序”，设置屏保超时(如下图)：

屏保设置完毕。

2. 设置本地管理员密码

打开“https://www.360docs.net/doc/0c12182560.html,”域下组织单位“北京”的属性(如下图)：

可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。在“计算机配置”－“Windows设置”－“脚本”，打开“启动”的属性(如下图)，增加一个名为mod_lap.vbs的脚本。脚本存放路径为域控制器的

C:\Windows\SYSVOL\sysvol\https://www.360docs.net/doc/0c12182560.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup

该mod_lap.vbs脚本的内容是：

strComputer = "."

Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")

objUser.SetPassword "XXYYZZ"

objUser.SetInfo

强制修改本地管理员密码的另一种方法，是新建一个批处理文件admin.bat，内容为：

net user administrator XXYYZZ

这两种方法都可以把administrator的密码更改成XXYYZZ

修改管理员密码设置完毕。

3. 设置Office Communicator标签URL

编辑“Default Domain Policy”的组策略，在“计算机配置”－“管理模板”－“Microsoft Office Communicator 策略设置”－“Microsoft Office Communicator 功能策略”中，启用“标签URL”，填入：http://bs/oc/xml/octab.xml，如下图：

启用“自定义显示状态URL”，填入：http://bs/oc/xml/octab.xml，如下图：

Office Communicator标签URL设置完毕。

4. 设置可信站点

编辑“Default Domain Policy”的组策略，在“计算机配置”－“管理模板”－“Windows 组件”－“Internet Exploer”－“Internet 控制面板”－“安全页”中，启用“站点到分配域列表”，如下图所示。再点击“显示”：

可以添加或删除已有站点列表：

Internet Explorer 包含4个安装区域，编号1至4，这些号码用于策略设置将站点与区域关联。他们包括：

(1) Intranet 区域

(2) 受信任的区域

(3) Internet 区域

(4) 受限制的区域

在“输入要添加的项目的名称”一栏，填写站点域名(FQDN，也可以是IP地址形式)：

https://www.360docs.net/doc/0c12182560.html,

“值”一栏填写相关的区域号，如上所述，受信任的区域号是2。

站点名称中同时可以包括协议。如上面的https://www.360docs.net/doc/0c12182560.html,

则此设置只生效于HTTP协议，其他协议不受影响。也可以不包括协议，如下：

仅输入了https://www.360docs.net/doc/0c12182560.html,，那么该站点的所有协议都受影响，包括HTTP、HTTPS、FTP等。

为了防止策略冲突，在域名之后不要输入结尾斜杠“/”或URL路径，如https://www.360docs.net/doc/0c12182560.html,/或https://www.360docs.net/doc/0c12182560.html,/boshi。这两种输入设置，效果是相同的，将导致冲突。

可信站点设置完毕。

5. 其他

组策略的设置非常庞大，比如还可以设置软件安装运行限制策略：

把需要限制安装和运行的软件，加入软件限制策略中，为每一个软件命名，并加入其主程序文件的哈希散列值，用于识别该文件。

不过这种限制方法有一定的不足，如果要限制的软件很多、同一软件的版本很多，就要维护很大的列表。而且一旦主程序文件的散列值变化，限制就失效了。现在也有不少能改变文件散列值的工具。

6. 结束

组策略的生效一般要通过客户端系统重启，或者使用命令gpupdate /force 强制刷新一下。

还可以使用GPResult.exe命令行工具，验证特定用户或计算机的各种策略设置的有效性。