AD域用户常用组策略设置

常用AD组策略设置利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。

根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。

相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。

下面是实际操作演示：⏹AD域控制器：Windows Server 2003/2008⏹以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图)：可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是：copy bssec.scr c:\windows\system32即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。

作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。

打开“”域的属性(如下图)：可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“用户配置”－“管理模板”－“控制面板”－“显示”，启用右侧的“屏幕保护程序”，启用“可执行的屏幕保护程序的名称”，填入屏幕保护文件名：bssec.scr，(如下图)：同时启用右侧的“密码保护屏幕保护程序”，设置屏保超时(如下图)：屏保设置完毕。

域用户常用组策略设置组策略是指在Windows操作系统中，通过集中管理策略和设置来控制域用户和计算机的行为。

以下是一些常用的组策略设置，适用于Windows Server上的域环境。

1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。

可以设置密码的最短长度、密码的复杂性要求，如必须包含大写字母、小写字母、数字和特殊字符等。

还可以设置密码的最长有效期和密码历史记录的保留个数，以防止用户频繁更改密码。

2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。

该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。

可以设置失败尝试次数和锁定时间。

3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。

例如，可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。

可以根据组织的需求进行灵活的设置，以满足不同用户角色和职责的需要。

4.审计策略审计策略用于记录用户和计算机的操作日志。

可以设置哪些操作需要被审计，如登录、文件访问、对象的创建和删除等。

审计策略可以帮助管理员跟踪和分析系统的安全事件，及时发现和应对潜在的安全威胁。

5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。

可以通过组策略将软件程序推送到目标计算机上，或者限制一些用户或计算机无法安装特定的软件。

这样可以确保组织中的计算机都拥有统一的软件环境，便于管理和维护。

6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。

可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。

还可以限制用户是否可以访问控制面板、开始菜单等系统设置。

这样可以加强计算机的安全性，并减少用户误操作或恶意行为造成的影响。

7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。

可以设置浏览器的安全级别、对特定网站启用或禁用特定功能，如ActiveX控件、Java脚本等。

企业ad域控组策略
AD域控组策略是Active Directory域控制器中用于批量管理计算机和用户设置的强大工具。

通过组策略，管理员可以集中管理计算机和用户的配置，以减少管理成本、减少用户单独配置错误的可能性，并针对特定对象设置特定的策略。

组策略对象（GPO）是存储组策略所有配置信息的一个特殊对象。

默认情况下，有两种主要的组策略对象：默认域策略和默认域控制器策略。

这些策略对象可以在域或组织单元级别上应用，以控制计算机和用户的策略设置。

在AD域控中，组策略的设置可以通过计算机策略、用户策略、脚本策略和首选项策略四种方式实现。

计算机策略在用户启动时执行，具有管理员权限，但需要考虑权限问题。

用户策略在用户登录时执行，自带权限，但只有Users的权限。

脚本策略既可以在计算机策略中也可以在用户策略中使用，具有很大的灵活性，但需要运维人员具备相应的技能。

首选项策略是微软提供的简化版策略实施方式，方便简单灵活，但不能处理过于复杂的策略。

当在域中应用组策略时，一些关键点需要注意。

例如，本地安全策略与默认域策略有冲突时，以默认域策略优先，本地设置无效。

此外，组策略的设置在本地计算机重启时、DC每5分钟自动应用、不是DC每隔90-120分钟
会自动应用、所有计算机每隔16小时强制应用，即使无更改。

如果需要手动应用域策略，可以使用gpupdate或gpupdate /force命令。

总的来说，企业AD域控组策略是一种强大的工具，可以帮助管理员更好地管理和控制计算机和用户的配置。

通过合理地使用组策略，企业可以提高管理效率、减少错误配置的可能性，并更好地保护企业资源的安全性。

AD域的组策略实施组策略的实施1.理解组策略作用组策略又称Group Policy组策略可以管理计算机和用户组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等2.组策略的结构组策略的具体设置数据保存在GPO中创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地"GPO控制的对象:S、D、OU中的计算机和用户GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板）GPC：GPC是包含GPO属性和版本信息的活动目录对象6. 上层也可强制下层来继承策略，就算下层开了阻止策略继承也要继承。

如图：7. 策略之间出现冲突时，遵循以下几点1. 如果同一个容器的计算机策略和用户策略都设置了,但这2个的策略之间相互冲突,并且这个容器下的用户帐户恰好登录了这台计算机,那么计算机策略和用户策略同时都要生效,这时计算机策略覆盖用户策略!2.不同层次的策略产生冲突时，子容器（上层）上的GPO优先级高!3.同一个容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高。

8. 筛选组策略设置，将用户或者组添加到安全组，在应用组策略选项后选择拒绝即可软件策略：指派与发布1.建立一个共享文件夹，将要实施的MSI格式软件放入共享文件夹。

2.利用组策略的软件安装找路径（网络路径）3. 选择发布/指派软件a)指派，程序在【开始】菜单中b)发布，程序显示在【控制面板】|【添加/删除程序】中4. 软件指派：可以针对计算机和用户：将软件指派给计算机，计算机启动时软件将自动安装在Documents and Settings\All Users。

将软件指派给用户，只有在点击软件后才开始真正安装。

下图给出了指派给用户的例子：5. 路径一定要是网路路径，如下图：只有第二个才是合法的网路路径。

一、组策略基础知识1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上生效。

计算机启动的时候应用，在出现登录界面前。

2 用户配置：针对用户的配置，只在所有用户帐户上生效。

用户登录后应用。

2、根据应用范围将组策略分为三类：1 域的组策略：设置对于整个域都生效。

在“AD用户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU生效。

在“AD用户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点生效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD用户和计算机”中才能进入。

3、组策略的执行顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉用户配置4、组策略的冲突：1 在不同组策略中的同一项目的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。

再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。

2 冲突的结果：后执行的是结果。

5、组策略中的设置内容：1 软件安装：自动安装应用软件。

计算机配置和用户配置下都有。

准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。

将软件的源安装文件放到一个共享文件夹中。

（网络路径）A、已发行：由用户决定是否安装。

如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，自动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。

AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略在域组策略下，viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步：将桌面背景图放到共享目录下第二步：创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步：创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。

ad域配置密码策略AD域配置密码策略引言在现代信息系统中，保护用户账户和敏感数据的安全至关重要。

密码策略是一种提高系统安全性的有效方法，通过指定密码的复杂度要求、过期策略和锁定机制，可以降低密码被破解或滥用的风险。

本文将介绍在AD域中配置密码策略的相关内容。

密码复杂度要求为了增强密码的复杂性，应设置以下要求： - 必须包含大写字母、小写字母、数字和特殊字符； - 最小长度限制； - 避免使用常见密码和重复字符； - 避免使用用户名、公司名或其他可识别信息。

密码过期策略设置密码过期策略可以迫使用户定期更改密码，减少密码被猜测或泄露的风险。

- 设置密码的最大使用期限，通常为30-90天； -最短密码更改间隔时间限制，以防止连续更改密码。

密码锁定机制为了防止密码被暴力破解或滥用，可以配置密码锁定机制： - 锁定阈值：设置连续登录失败次数的阈值； - 锁定时间：当用户连续登录失败次数达到锁定阈值时，锁定账户的时间长度； - 密码重置：锁定账户后可以选择是否需要管理员介入重置密码才能解除锁定。

审计和报告合理配置账户审计策略可以监测和报告密码活动，帮助保护系统安全： - 启用审计登录和密码重置等关键活动； - 设置日志保留时间，并定期检查审计日志； - 配置警报机制，及时发现异常活动。

最佳实践为了更好地保护AD域和用户账户，以下是一些最佳实践： - 教育用户：提供有关密码安全的培训和宣传，以加强用户意识； - 强制密码重置：定期要求用户更改密码； - 多因素认证：推荐启用多因素认证以增加额外的安全层级； - 定期评估：定期审查和更新密码策略，确保其与安全需求的一致性。

结论配置密码策略是保护AD域和用户账户安全的重要步骤。

通过设置密码复杂度要求、密码过期策略和密码锁定机制，可以有效减轻密码被猜测、泄露或滥用的风险。

同时，审计和报告密码活动以及遵循最佳实践也是保护系统安全的关键。

请根据实际需求和风险评估来制定适合自己组织的密码策略。