域控中组策略基本设置

域控制器配置说明首先我们要理解域环境的概念将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元它优于工作组的地方：集中管理便捷的网络资源访问用户一次登录就可访问整个网络资源网络资源主要包含用户帐户、组、共享文件夹、打印机等可扩展性所以一般就是公司pc机大于30台左右，一般就建议采用域结构：一：域控制器的搭建：1.操作系统的要求：安装者必须具有本地管理员权限操作系统版本必须满足条件（Windows Server 2003除Web版外都满足）本地磁盘至少有一个分区是NTFS文件系统有TCP/IP设置（IP地址、子网掩码等）有相应的DNS服务器支持有足够的可用空间2.操作系统的安装：按Enter键创建分区：格式化分区，一般用NTFS（快）区别，此选项为不检测磁盘。

系统正在安装。

3.域环境的搭建：启动安装向导，使用管理您的服务器向导使用命令DCPROMO（推荐使用第二种方法）注意，安装的时候一定要有静态的IP地址和DNS。

安装向导：第一项为，新的域控制器：也就是在域林中新建一个域控制器。

第二项为，现有域控制器的额外控制器，即为现有域控制器的一个备份。

实现很好冗余选择在新林中的域：解释上面很详细。

DNS的建立，这步为最重要的，安装的时候请将2003的安装光盘放入到光驱中去，因为DNS的安装必须读取I386里面的文件：这就是必须要个NTFS分区的原因：对于新手，我们建议算在第二项。

安装域，等待········完成之后重启就OK了重启之后，我没就可以看到管理工具里面多了活动目录和DNS、域安全策略等，说明域控制器已经搭建完成！4.域控制器的管理。

1.组织单位的管理这是域控制器默认的几个OU，及为管理单元，我没可以手动新建！----右击---新建----组织单位。

（组织单位相当于一个容器，可以多容器内的用户进行统一设置，也可以实现OU委派等）2．组的管理，组，就是用于赋予权限的安全组织，一般控制文件的权限就用组来完成，可以右击一个组织单元，也可右击oleship.con新建，我们可以做个规划，新建一个gorup的组织单位，然后在里面再新建组：说明：作用域是指组的作用范围，当处于多域环境中就尤为重要了，组类型，安全组，主要用于控制权限，而通讯组主要用于exchange发送邮件。

作为网管员,很多时候客户端的权限问题乃是最为纠结的一件事了,下面我们向大家介绍下通过组策略的文件系统向客户端赋权,这样的话大大节省了网管员的时间,也避免了客户端因为软件不能正常运行而抱怨不休的情况。

在调整设置的时候，下列问题要注意:该策略是针对计算机的策略是应用在计算机设置上可能客户端组策略结果中无法正常显示出策略应用集，但是却能够正常使用（这也是我纳闷的一点）使用相对路径的时候注意大小写的书写不建议对对所有文件夹赋权，以免客户端对系统盘操作权限过大，照成系统未知问题参考文章:在附件，请下载查看！1、我们在域控上打开组策略管理器，选中需要调整这个设置的组织单元，右键点击新建组策略，在选中新建的策略，右键选择编辑2、在弹出的组策略管理编辑器页面中选择计算机配置--策略--windows设置--安全设置--文件系统，右键点击文件系统，在点击添加文件3、在弹出的对话框里选择对应域用户下面的桌面的对应位置，点击确定。

会弹出右下边的图请注意：这里输入的是绝对路径，（作为域控，肯定不会安装一些日常应用软件，因此而导致服务器上不存在与客户端对应的文件夹，所以我们需要用到相对路径来达到我们的目的），而客户端又有XP和win7之分，大家都知道，win7系统是有Program Files和Program Files（X86）两个文件夹，所以这里我们也要添加两个。

实际环境中不建议把Program Files整个文件夹的权限给domain users 应该针对其中的部分软件安装的文件夹路径赋权，以免造成客户端权限过大而导致系统被更改等等原因，这样的话就有点得不偿失了。

文件夹路劲是可以手动输入的。

在添加无管理员权限的用户桌面的时候，是添加%systemdrive%\users\public\desktop或者%UserProfile%\Desktop这个路劲。

有管理员权限的用户就是用户名所对应的文件夹下面的桌面。

4、点击添加，在弹出的对话框里输入domain users再点击右边的检查名称，然后再点击确定5、选中刚刚添加的domain users，在下面的权限允许里调整权限，调整好后点击应用，再点击确定6、在弹出的对话框中我们设置相应的权限，我们设置的权限为除了完全控制其他全部赋予客户端，然后点击确定，在这一步弹出的页面中询问关于此文件夹的权限问题：添加此权限到所有子文件夹和文件此权限替换所有子文件夹和文件的权限不允许此权限下发到子文件夹和文件这里我们选择替换所有子文件夹和文件的权限，同理添加其他文件夹，权限设置与此一致。

组策略与安全设置系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。

组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。

因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。

计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。

可以通过以下两个方法来设置组策略。

●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。

●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。

计算机配置实例演示当我们要将Windows Server2012 计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时，系统都不会再询问了。

注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。

用户配置实例演示以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。

也就是经过以下设置后，浏览器内的安全和连接标签消失了。

用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

域控策略 telnet近年来，随着互联网技术的快速发展，网络攻击日益猖獗，安全问题备受关注。

在网络安全领域，域控制器是非常重要的一环，因为它主要管理和控制域内所有计算机、用户和组的权限和安全策略。

为了保证域控制器的安全性，我们需要设置相应的安全策略。

其中，域控策略 telnet就是一种非常重要的策略。

本文将从多个方面详细介绍如何设置域控制器的telnet策略，保障网络安全。

一、确定需要进行的操作系统版本在Windows Server中，由于不同版本的操作系统所提供的安全策略选项不同，因此我们需要确定需要进行的操作系统版本，从而选择适当的策略。

可以通过如下方式确认操作系统版本：1.打开运行窗口，输入“winver”。

2.查看弹出窗口中显示的Windows操作系统版本和版本号。

根据Windows Server的版本，选择对应的安全策略选项。

二、开启Telnet服务在设置Telnet策略之前，首先需要开启Windows Server上的Telnet服务。

方法如下：1.点击“开始”菜单，在运行窗口中输入“services.msc”，打开Windows服务管理器。

2.在服务管理器中，找到“Telnet服务”，右键点选“属性”。

3.在属性窗口中，点击首选项选项卡，勾选“启动服务”和“自动”。

4.单击“应用”按钮后，再单击“确定”按钮即可完成Telnet服务的开启。

三、设置Telnet策略开启Telnet服务后，我们需要设置相应的Telnet策略。

在Windows Server中，Telnet的安全策略可以通过组策略编辑器来设置。

具体步骤如下：1.打开“组策略编辑器”，依次进入“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”。

2.在右侧面板中，双击打开“Telnet客户端”安全策略。

3.在弹出的窗口中，勾选“在网络上发送未加密的密码”和“允许重定向（仅适用于标准的 Telnet 客户端）”。

在域环境下配置组策略批量安装客户端常用软件部署方法：(一) 在主域控制器的F盘，新建一个目录，命名为“软件安装共享”，设置共享后，并确保user组用户具有读取，执行权限。

（最好在“软件安装共享”的安全属性配置向下继承）(二) 打开主域控制器上的“Active Directory用户与计算机”右键“”属性，选择“组策略”“编辑”，进入“组策略编辑器”(三) 注意：将用户liyuan加入到DomainAdministrators 安全组、Enterprise Administrators 安全组或Group Policy Creator Owners 安全组。

以发布用户方式安装1. 依次展开“用户配置”“软件设置”“软件安装”。

2. 新建一个“程序包”，在“文件名”后的文本框内输入UNC路径（例如// 192.168.0.1）软件安装共享\ apache_2.2.4-win32-x86-no_ssl.msi3. 选择“apache_2.2.4-win32-x86-no_ssl.msi”软件后，点打开4. 配置部署方法为“已发布”5. 确定后，登陆客户端client-01进行测试。

（测试失败可使用gpupdate/force命令刷新组策略后，重试。

）6. 在客户端的“添加/删除程序”中“添加新程序”，找到“apache_2.2.4-win32-x86-no_ssl.msi”双击安装。

以指派用户方式安装1. 在部署软件时选择“已指派”2. 选择“apache_2.2.4-win32-x86-no_ssl.msi”属性，选中“在登录时安装此应用程序”3. 登录客户端，自动安装软件，可卸载。

以指派计算机方式安装1. 在“AD用户与计算机”下，新建一个组织单元us，将computers下的client01客户端，移动到us里面。

2. 右键“us”选择“属性”，点击“组策略”，新建一个策略。

3. 点击“编辑”，展开“计算机设置”“软件设置”，在“软件安装”上右键，新建一个“程序包”文件名后面的文本框最好用完整的计算机名，如\\ \软件安装共享\ apache_2.2.4-win32-x86-no_ssl.msi4. 默认部署类型“已指派”5. 在客户端上登录，显示如下界面，说明该软件通过组策略安装成功。

windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。

在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。

另：1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？问：如何在WIN2003中添加用户？我将公司的主域服务器改成win2003，但是win2003却不让我添加用户，每次添加用户是总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。

要求域用户的口令必须符合复杂性要求，且密码最小长度为7。

口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。

操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令。

（推荐使用这个）说明：2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。

在windows server 2008 里变更密码复杂性要求，基本设置和windows server 2003是一样的。

具体步骤如下：
开始->管理工具->组策略管理->组策略管理展开组策略管理器，然后选择林->域->组策略对象->Default Domain Policy，如下图所示
接着右键选择编辑，点击计算机配置->策略->Windows 设置->安全设置->账户策略->密码策略，如下图所示
设置以下几项：
密码必须符合复杂性要求设置为禁用,
密码长度最小值设置为0，如果默认用7，则新的密码不能少于7位,
密码最短使用期限设置为没有定义，默认是1，也就是说你两个不同密码设置间隔必须是1天,
密码最长使用期限设置为没有定义，默认是42，也就是说你修改密码42天密码自动过期
强制密码历史改为0 ，默认在域控上时24，独立服务器为0，设置24就是表示设置24次密码不能重复，目的是为了防止用户使用旧密码从而降低系统安全性。

强制密码历史和密码最短使用期限结合使用，要使强制密码历史有效，比如将密码最短使用期限设置为0以上，设置完成后，在开始->运行cmd,输入：gpupdate强制刷新组策略，刷新完成后即可重设一个简单密码。