常用AD组策略设置
常用AD组策略设置
利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。
根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。
下面是实际操作演示:
?AD域控制器:Windows Server 2003/2008
?以域管理员权限运行“Active Directory 用户和计算机”
1. 设置屏保程序
打开“https://www.360docs.net/doc/0c12182560.html,”域下组织单位“北京”的属性(如下图):
可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的
C:\Windows\SYSVOL\sysvol\https://www.360docs.net/doc/0c12182560.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup
该setscr.bat脚本的内容是:
copy bssec.scr c:\windows\system32
即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。打开“https://www.360docs.net/doc/0c12182560.html,”域的属性(如下图):
可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“用户配置”-“管理模板”-“控制面板”-“显示”,启用右侧的“屏幕保护程序”,启用“可执行的屏幕保护程序的名称”,填入屏幕保护文件名:bssec.scr,(如下图):
同时启用右侧的“密码保护屏幕保护程序”,设置屏保超时(如下图):
屏保设置完毕。
2. 设置本地管理员密码
打开“https://www.360docs.net/doc/0c12182560.html,”域下组织单位“北京”的属性(如下图):
可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。在“计算机配置”-“Windows设置”-“脚本”,打开“启动”的属性(如下图),增加一个名为mod_lap.vbs的脚本。脚本存放路径为域控制器的
C:\Windows\SYSVOL\sysvol\https://www.360docs.net/doc/0c12182560.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup
该mod_lap.vbs脚本的内容是:
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")
objUser.SetPassword "XXYYZZ"
objUser.SetInfo
强制修改本地管理员密码的另一种方法,是新建一个批处理文件admin.bat,内容为:
net user administrator XXYYZZ
这两种方法都可以把administrator的密码更改成XXYYZZ
修改管理员密码设置完毕。
3. 设置Office Communicator标签URL
编辑“Default Domain Policy”的组策略,在“计算机配置”-“管理模板”-“Microsoft Office Communicator 策略设置”-“Microsoft Office Communicator 功能策略”中,启用“标签URL”,填入:http://bs/oc/xml/octab.xml,如下图:
启用“自定义显示状态URL”,填入:http://bs/oc/xml/octab.xml,如下图:
Office Communicator标签URL设置完毕。
4. 设置可信站点
编辑“Default Domain Policy”的组策略,在“计算机配置”-“管理模板”-“Windows 组件”-“Internet Exploer”-“Internet 控制面板”-“安全页”中,启用“站点到分配域列表”,如下图所示。再点击“显示”:
可以添加或删除已有站点列表:
Internet Explorer 包含4个安装区域,编号1至4,这些号码用于策略设置将站点与区域关联。他们包括:
(1) Intranet 区域
(2) 受信任的区域
(3) Internet 区域
(4) 受限制的区域
在“输入要添加的项目的名称”一栏,填写站点域名(FQDN,也可以是IP地址形式):
https://www.360docs.net/doc/0c12182560.html,
“值”一栏填写相关的区域号,如上所述,受信任的区域号是2。
站点名称中同时可以包括协议。如上面的https://www.360docs.net/doc/0c12182560.html,
则此设置只生效于HTTP协议,其他协议不受影响。也可以不包括协议,如下:
仅输入了https://www.360docs.net/doc/0c12182560.html,,那么该站点的所有协议都受影响,包括HTTP、HTTPS、FTP等。
为了防止策略冲突,在域名之后不要输入结尾斜杠“/”或URL路径,如https://www.360docs.net/doc/0c12182560.html,/或https://www.360docs.net/doc/0c12182560.html,/boshi。这两种输入设置,效果是相同的,将导致冲突。
可信站点设置完毕。
5. 其他
组策略的设置非常庞大,比如还可以设置软件安装运行限制策略:
把需要限制安装和运行的软件,加入软件限制策略中,为每一个软件命名,并加入其主程序文件的哈希散列值,用于识别该文件。
不过这种限制方法有一定的不足,如果要限制的软件很多、同一软件的版本很多,就要维护很大的列表。而且一旦主程序文件的散列值变化,限制就失效了。现在也有不少能改变文件散列值的工具。
6. 结束
组策略的生效一般要通过客户端系统重启,或者使用命令gpupdate /force 强制刷新一下。
还可以使用GPResult.exe命令行工具,验证特定用户或计算机的各种策略设置的有效性。