最新AD域用户常用组策略设置

常用AD组策略设置利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。

根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。

相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。

下面是实际操作演示：⏹AD域控制器：Windows Server 2003/2008⏹以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图)：可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是：copy bssec.scr c:\windows\system32即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。

作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。

打开“”域的属性(如下图)：可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“用户配置”－“管理模板”－“控制面板”－“显示”，启用右侧的“屏幕保护程序”，启用“可执行的屏幕保护程序的名称”，填入屏幕保护文件名：bssec.scr，(如下图)：同时启用右侧的“密码保护屏幕保护程序”，设置屏保超时(如下图)：屏保设置完毕。

域用户常用组策略设置组策略是指在Windows操作系统中，通过集中管理策略和设置来控制域用户和计算机的行为。

以下是一些常用的组策略设置，适用于Windows Server上的域环境。

1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。

可以设置密码的最短长度、密码的复杂性要求，如必须包含大写字母、小写字母、数字和特殊字符等。

还可以设置密码的最长有效期和密码历史记录的保留个数，以防止用户频繁更改密码。

2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。

该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。

可以设置失败尝试次数和锁定时间。

3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。

例如，可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。

可以根据组织的需求进行灵活的设置，以满足不同用户角色和职责的需要。

4.审计策略审计策略用于记录用户和计算机的操作日志。

可以设置哪些操作需要被审计，如登录、文件访问、对象的创建和删除等。

审计策略可以帮助管理员跟踪和分析系统的安全事件，及时发现和应对潜在的安全威胁。

5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。

可以通过组策略将软件程序推送到目标计算机上，或者限制一些用户或计算机无法安装特定的软件。

这样可以确保组织中的计算机都拥有统一的软件环境，便于管理和维护。

6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。

可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。

还可以限制用户是否可以访问控制面板、开始菜单等系统设置。

这样可以加强计算机的安全性，并减少用户误操作或恶意行为造成的影响。

7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。

可以设置浏览器的安全级别、对特定网站启用或禁用特定功能，如ActiveX控件、Java脚本等。

一、组策略基础知识1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上生效。

计算机启动的时候应用，在出现登录界面前。

2 用户配置：针对用户的配置，只在所有用户帐户上生效。

用户登录后应用。

2、根据应用范围将组策略分为三类：1 域的组策略：设置对于整个域都生效。

在“AD用户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU生效。

在“AD用户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点生效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD用户和计算机”中才能进入。

3、组策略的执行顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉用户配置4、组策略的冲突：1 在不同组策略中的同一项目的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。

再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。

2 冲突的结果：后执行的是结果。

5、组策略中的设置内容：1 软件安装：自动安装应用软件。

计算机配置和用户配置下都有。

准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。

将软件的源安装文件放到一个共享文件夹中。

（网络路径）A、已发行：由用户决定是否安装。

如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，自动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。

AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略在域组策略下，viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步：将桌面背景图放到共享目录下第二步：创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步：创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。

ad域配置密码策略AD域配置密码策略引言在现代信息系统中，保护用户账户和敏感数据的安全至关重要。

密码策略是一种提高系统安全性的有效方法，通过指定密码的复杂度要求、过期策略和锁定机制，可以降低密码被破解或滥用的风险。

本文将介绍在AD域中配置密码策略的相关内容。

密码复杂度要求为了增强密码的复杂性，应设置以下要求： - 必须包含大写字母、小写字母、数字和特殊字符； - 最小长度限制； - 避免使用常见密码和重复字符； - 避免使用用户名、公司名或其他可识别信息。

密码过期策略设置密码过期策略可以迫使用户定期更改密码，减少密码被猜测或泄露的风险。

- 设置密码的最大使用期限，通常为30-90天； -最短密码更改间隔时间限制，以防止连续更改密码。

密码锁定机制为了防止密码被暴力破解或滥用，可以配置密码锁定机制： - 锁定阈值：设置连续登录失败次数的阈值； - 锁定时间：当用户连续登录失败次数达到锁定阈值时，锁定账户的时间长度； - 密码重置：锁定账户后可以选择是否需要管理员介入重置密码才能解除锁定。

审计和报告合理配置账户审计策略可以监测和报告密码活动，帮助保护系统安全： - 启用审计登录和密码重置等关键活动； - 设置日志保留时间，并定期检查审计日志； - 配置警报机制，及时发现异常活动。

最佳实践为了更好地保护AD域和用户账户，以下是一些最佳实践： - 教育用户：提供有关密码安全的培训和宣传，以加强用户意识； - 强制密码重置：定期要求用户更改密码； - 多因素认证：推荐启用多因素认证以增加额外的安全层级； - 定期评估：定期审查和更新密码策略，确保其与安全需求的一致性。

结论配置密码策略是保护AD域和用户账户安全的重要步骤。

通过设置密码复杂度要求、密码过期策略和密码锁定机制，可以有效减轻密码被猜测、泄露或滥用的风险。

同时，审计和报告密码活动以及遵循最佳实践也是保护系统安全的关键。

请根据实际需求和风险评估来制定适合自己组织的密码策略。

一、编辑组策略1、允许用户登陆本计算机在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。

用gpupdate /force 命令刷新。

2、拒绝用户访问运行、CMD、以及批处理文件。

1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。

用gpupdate /force 命令刷新。

2、在要设定的域控制器点击右键→属性→组策略→编辑策略→用户配置→管理摸板→系统→阻止用户访问命令提示符→继续点击下面的的选项→是否拒绝使用批处理文件处理→选择“是”。

用gpupdate /force 命令刷新。

二、拒绝继承权限1、在下一级的OU上→属性→组策略→禁止策略的继承。

用gpupdate /force 命令刷新。

三、强制继承1、在上一级的OU上→属性→组策略→选项→禁止替代钩上。

用gpupdate /force 命令刷新。

四、过滤用户（特定的人群）1、在要设定的OU上→属性→组策略→属性→安全→添加用户→给予权限→拒绝组策略。

用gpupdate /force 命令刷新。

五、桌面管理1、在要设定的OU上→属性→组策略→编辑组策略→用户配置→管理模板→桌面→Acti ve desktop→启用Active desktop→启用Active desktop墙纸→输入对应的主机的地址和共享文件。

2、用户配置→管理模板→系统→CTRL+ALR+DEL选项。

六、密码策略1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→（1、密码策略2、帐户锁定策略）七、组策略脚本1、当用户启动时→启动脚本→登陆脚本2、当用户注销时→注销脚本→关机脚本3、wscript.echo"内容" 后缀改为“VBS”1、建立脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→用户配置（计算机配置）→WINDOWS设置→脚本→双击登陆→显示文件→把脚本文件拖进去→3、在点击添加→写入文件名就可以了。

AD域组策略规划和部署指南AD域（Active Directory）是一种用于管理网络资源的服务。

组策略是AD域中的一项功能，在整个域范围内为用户和计算机提供统一的安全设置和管理。

本文将提供AD域组策略规划和部署的指南，帮助管理员更好地使用此功能。

一、规划阶段1.定义需求：首先，确定组策略的主要需求和目标。

这可能包括安全性、访问控制、软件分发、用户配置等方面。

2.识别和分类对象：将AD域中的用户和计算机分组，并为每个组定义不同的策略需求。

例如，可以将用户分为管理人员、技术人员和普通员工等组别。

3.制定策略范围：确定需要部署组策略的范围。

可以选择在整个域中实施策略，也可以仅在特定的组织单位或者OU（组织单元）中实施。

二、设计策略1.定义基本策略：根据需求和目标，制定基本策略模板。

这些策略包括密码策略、帐户锁定策略、用户权限策略等。

2.定义高级策略：根据不同的组别和对象，制定更详细的策略，以满足各组的需求。

例如，可以为管理人员组设计更严格的安全设置，为技术人员组配置特定的软件等。

3.组织单位结构设计：根据分组需求，设计合适的OU结构。

这将有助于更好地管理和应用组策略，使其更符合组织的层次结构和需求。

三、实施策略1.创建组策略：在AD域中，使用组策略对象来创建和管理策略。

可以通过右键单击"组策略对象"，然后选择"新建策略"来创建新的策略。

2.配置策略设置：打开组策略对象后，可以根据需求和目标，通过对不同设置进行配置来实施策略。

这些设置包括安全设置、软件安装、脚本执行、桌面设置等。

3.应用策略：设置好策略后，在AD域中的对象将自动接收到策略，并按照设置进行操作。

可以通过强制组策略更新、重启计算机等方式来确保策略被应用。

四、测试和审计1.测试策略：在实施策略后，进行测试以确保它们按预期工作。

可以选择一些测试用户和计算机，观察他们是否符合策略要求。

2.审计策略：定期审计和评估组策略的效果和安全性。