域组策略应用详解

合集下载

域控组策略-详细解释说明

域控组策略-概述说明以及解释1.引言1.1 概述概述部分的内容可以介绍域控和组策略的基本概念，以及它们在网络管理中的重要性。

概述部分的内容参考如下：概述在网络管理和组织架构中，域控和组策略是两个非常关键的概念。

域控（Domain Controller）是一种服务器，它在Windows域中负责认证用户身份、授权访问和分发安全策略等功能。

而组策略（Group Policy）则是一种集中管理和配置网络中计算机和用户设置的技术。

域控作为网络中的核心设备，建立了一个集中化的用户认证和权限控制的环境。

它可以集中管理用户账号、用户组、计算机对象等，并提供了统一的访问管理、资源分配和权限控制等功能。

通过域控，网络管理员可以更加方便地管理和维护整个网络系统，提高了网络的可管理性和安全性。

组策略则是建立在域控基础上的一种重要管理工具。

通过组策略，管理员可以向域中的计算机和用户应用一系列的设置和配置，如安全策略、账号策略、软件安装、桌面设置等。

组策略可以实现集中管理和自动化配置，大大减少了管理员的负担，提高了网络管理的效率和一致性。

域控和组策略之间存在着密切的关系。

域控提供了组策略的基础环境，并作为组策略的执行者和分发者。

通过域控，组策略可以被应用到特定的用户或计算机上，并实施相关的配置和规则。

域控和组策略的结合，使得网络管理更加便捷和高效。

在现代网络管理中，域控和组策略越发显得重要。

随着网络规模的不断扩大和复杂化，有效的网络管理变得尤为关键。

域控和组策略的实施能够极大地提升网络的安全性、可管理性和灵活性，减少因人为操作而导致的错误和安全风险。

同时，随着技术的不断发展，域控和组策略也在不断创新和进化，以适应新的网络环境和需求。

总之，域控和组策略是网络管理中的重要概念。

它们的结合和有效应用，将为网络管理员提供强大的管理工具，保障网络的正常运行和安全性。

文章结构部分是介绍本篇长文的组织结构和内容安排。

通过明确文章的结构，读者可以更好地理解文章内容的组织和逻辑关系。

域控器的组策略应用设置大全

域控器的组策略应用设置大全1.密码策略设置：可以设置密码的复杂度要求，包括密码长度、大小写字母要求、数字和特殊字符要求等。

还可以设置密码过期时间和历史密码禁用策略。

2.账户策略设置：可以设置账户锁定策略，包括连续登录失败次数和锁定时间。

还可以设置强制用户注销策略，踢出空闲用户和会话时间限制等。

3.审计策略设置：可以设置哪些事件需要进行审计，以及生成审计日志的位置和大小。

还可以设置审计策略的保留时间和备份策略等。

4.软件安装策略：可以通过组策略实现软件的自动安装和卸载。

可以指定软件的安装位置、启动方式和升级方式，并设置软件的相关策略。

5.防火墙策略设置：可以设置域中计算机的防火墙策略，包括入站和出站规则的配置。

可以设置允许和禁止的端口号、应用程序等。

6.网络共享策略设置：可以设置共享文件夹和打印机的访问权限，包括读写权限和管理权限。

可以配置网络共享策略的安全性和密码保护方式等。

7.远程桌面策略设置：可以设置远程桌面连接的权限和限制。

可以设置远程桌面连接的安全性和加密方式，以及是否允许远程桌面的访问。

8. Internet Explorer 策略设置：可以限制用户对 Internet Explorer 的设置和功能的访问和修改。

可以设置主页、安全性、隐私和其他 Internet Explorer 相关的策略等。

10.端口安全策略设置：可以限制计算机上允许开放的端口和服务。

可以阻止非授权的端口访问和连接，增强网络的安全性。

总结起来，域控制器的组策略应用设置包含了密码策略、账户策略、审计策略、软件安装策略、防火墙策略、网络共享策略、远程桌面策略、Internet Explorer 策略、软件限制策略和端口安全策略等方面的配置和管理。

通过合理配置组策略，可以提高网络的安全性，统一管理和控制计算机的行为，提升网络的效率和管理能力。

域网络中如何使用组策略统一域中所有成员的桌面

准备工作：我用的是域环境，现在域内的一个共享文件夹下，放一张用来做墙纸的图片,我就放在dc 的E:\的car.jpg图片，注：当然我在这里建议大家共享文件夹要放在非系统磁盘上，还有一点非常重要的就是，很多朋友在从前到后都是按照我这样的方法创建好策略就是因为文件夹共享权限设置不当，导致客户端无权读取、复制该图片，桌面背景策略是应用了就是桌面背景图片没有更改，唯一遗漏掉的就是这个共享文件夹的权限一定要设置好，我一般设置为Domain User。

如下图步骤：1.首先用本地管理员或域管理员登录编辑组策略,我用的是本地管理员2.用“gpedit.msc”命令打开组策略注意：此步是错误的，通过“运行”打开组策略，修改的只是本地计算机的组策略，而不是域网络中的组策略，可以说百度收录的所有文章中都没有点明这一点。

导致桌面并不能统一。

那我们应该怎么做，才能修改域网络中的组策略：我们需要对域中的OU进行组策略编辑，我们要在“AD用户和计算机”窗口中新建组织单位OU，然后把新建的用户拖进这个OU，再对OU进行下面的组策略编辑，最终才能实现统一桌面的结果。

3.展开组策略左边的树状拦，“用户配置”-“管理模板”-“桌面”-“Active Desktop”，在右边双击“启用 Active Desktop”—启用4. 展开组策略左边的树状拦，“用户配置”-“管理模板”-“桌面”-“Active Desktop”，在右边双击“Active Desktop 墙纸”—启用，在墙纸名称那里输入用来做墙纸的那个图片网络路径（我这里是[url=file://\\172.16.1.5\Home\desktop.jgp]\\172.16.1.5\Home\car.jpg[/url]）点确定即可5.组策略中设置好之后，通过“运行”进行DOS，输入命令“gpupdate /force”,强制刷新DC的组策略。

6.这时我们登录客户端会发同桌面也并没有变过来，但是当我们打开“显示”属性对话框，会看到桌面中已经有“car.jpg”这张桌面了，而且当前选择的也是这张图片，只是没有应用，要应用需要等待很长一段时间。

什么叫组策略？作用是什么？怎么应用？

什么叫组策略？作用是什么？怎么应用？首先告诉你，组策略高于注册表，如果修改了组策略，改注册表也还是受到组策略限制，所以高手修改组策略！对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。

其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。

一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

2.组策略的版本对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows2000/XP/2003操作系统中。

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。

当用户登录时，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然，Windows2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。

域控制器管理组策略应用案档

真学习和掌握相关知识。 • 由于域控制器和组策略需要对网络中的所有用户和计算机进行管理和配置，因此可能会产生一些性能问题
和管理负担，需要管理员合理规划和部署相关方案。
域控制器和组策略综合应用实例展示
• 实例展示：在某企业中，管理员利用域控制器和组策略实现了对网络中所有用户和计算机的统一管理和配置。通过对不同部门、不同职位的用户设置不同的策略，实现了对用户权限的细粒度控制和配置。同时，管理员还利用域控制器实现了对用户身份的集中认证和授权，提高了网络的安全性和可靠性。通过这些综合应用实例的展示，我们可以看到域控制器和组策略在Windows网络环境中的重要性和实用性。
提高网络性能
组策略的集中管理和部署可以减少网络中的重复配置和数据传输，从而提高网络性能。
组策略应用范围
01
域控制器管理
组策略可以用于管理域控制器上的安全设置、用户权限和网络配置等
。
02
用户和计算机配置
组策略可以用于配置用户和计算机在域中的行为和权限，如登录脚本
、桌面配置、应用程序安装等。
03
网络资源保护
THANKS
感谢观看
组策略在企业IT架构管理中的应用
总结词
统一管理、标准化设置、降低运维成本
详细描述
通过组策略可以对企业IT架构中的各种资源进行统一管理和标准化设置，降低运维成本。例如，对操作系统、应用程序、桌面设置等进行统一配置和管理。
05
域控制器与组策略综合应用方案
域控制器和组策略的搭配使用
01
域控制器和组策略是Windows网络环境中非常重要的管理工具，它们可以有效地对网络中的用户和计算机进行管理和配置。
02
在实际应用中，域控制器和组策略经常搭配使用，通过组策略来实现对网络中用户和计算机的统一管理和配置，同时利用域控制器来实现对用户和计算机的集中认证和授权。

域控制器管理组策略应用案例

域控制器定义
• 域控制器定义：域控制器是一种服务器，负责管理活动目录服务，存储和管理网络中的用户账户、计算机账户以及其他资源。它也是网络中的认证服务器，负责验证用户的身份。
域控制器分类
01
全局目录服务器
全局目录服务器是域控制器的一种特殊类型，它存储了整个域中所有对
象的完整信息。在大型网络中，通常会部署多个全局目录服务器来提高
详细描述
在组策略中，可以通过设置应用程序审计和监控的策略，来对服务器或客户端上运行的应用程序进行审计和监控。例如，可以监控应用程序的运行情况、记录应用程序的使用日志等，从而实现对应用程序的安全审计和合规性检查。同时，还可以通过组策略对应用程序进行限制和管控，例如限制应用程序的运行时间、对应用程序进行黑白名单管理等。
Байду номын сангаас 03
组策略应用案例一：用户权限管理
用户权限分配
总结词
通过组策略可以精细化地为用户分配所需的权限，减少不必要的权限，降低安全风险。
详细描述
在域控制器中，可以使用组策略来统一分配用户权限，如文件夹访问权限、网络资源访问权限等。通过组策略可以针对不同的用户组进行权限设置，实现批量权限管理，提高管理效率。
在组策略中可以集成防病毒软件设置，定期进行全面扫描，及时检测和清除病毒和恶意软件，保护企业网络资源的安全。
05
组策略应用案例三：文件系统安全
文件权限管理
总结词
通过组策略可以实现对文件系统安全的全面保障，包括文件和文件夹的权限管理。
VS
详细描述
域控制器可以集中管理文件和文件夹的访问权限，根据不同用户或用户组设置不同的访问权限。策略可以细粒度地控制读、写、执行等操作，有效保护文件系统安全。

域组策略的实施效果和方法

禁止替代完成状态
以OU内三用户之中任意用户 c 登录到客户机 OU内三用户之中任意用户
我的文档图标消失（域组策略强制实施），网上我的文档图标消失（域组策略强制实施），网上），邻居图标消失（OU组策略生效组策略生效）邻居图标消失（OU组策略生效）
7、组过滤问题：组过滤问题：
组策略实施权限的管理
5、阻止策略继承
OU属性---组策略----选中“阻止策略继承” OU属性---组策略----选中“阻止策略继承” 属性---组策略----选中
以OU内三用户之中任意用户 b 登录到客户机 OU内三用户之中任意用户
我的文档图标出现（域组策略被阻止），网上邻我的文档图标出现（域组策略被阻止），网上邻），居图标消失（只有OU组策略生效） OU组策略生效居图标消失（只有OU组策略生效）
3、在OU上设置“OU组策略” OU上设置 OU组策略上设置“ 组策略”
域---右键----新建----组织单位OU ---右键----新建----组织单位OU 右键----新建----组织单位
在OU内建立三个用户：a、b、c OU内建立三个用户：内建立三个用户
OU----右键----属性----组策略----新建--OU----右键----属性----组策略----新建------右键----属性----组策略----新建 ----编辑 -OU test ----编辑
2、“域组策略”的生效域组策略”
客户机端：客户机端：注销当前用户并重新登录
我的文档图标被隐藏（域组策略在客户机生效）我的文档图标被隐藏（域组策略在客户机生效）
域控制器端：域控制器端：注销当前用户并重新登录
我的文档图标被隐藏（域组策略在域控制器上同样生效）我的文档图标被隐藏（域组策略在域控制器上同样生效）

如何用域组策略限制用户上网

1、打开“AD用户和计算机”，在域上新建一个OU，命名为：测试，再建一个用户test 2、右击测试，打开测试属性，点击“组策略”，展开“组策略”属性，点击“新建”按钮，新建一组策略对象，重命名为“禁止上网”。 3、选择“禁止上网”这一策略对象，点击“编辑”按钮，打开“组策略编辑器”，然后在左侧的控制台树中依次展：用户配置→Windows设置→Internet Explorer维护→连接。 4、在右侧的详细窗格里双击“代理设置”策略项，然后在弹出对话框上勾选“启用代理服务器设置”复选框，然后将代理服务器设置为“127.0.0.1”，如下图所示，应用了这条组策略，IE浏览器就无法访问Internet。在“运行”输入：cmd，打开命令提示符，然后输入：gpupdate /force (手动更新组策略，使策略立即生效) 5、用用户test登录电脑，打开网页，提示无法访问

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Win2003域之组策略应用
目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作.
但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则!
那么我们开始学习组策略吧:
1.理解组策略作用:
组策略又称Group Policy
组策略可以管理计算机和用户
组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等
使用组策略可以:
a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境
b)降低布置用户和计算机环境的总费用
因为只须设置一次，相应的用户或计算机即可全部使用规定的设置
减少用户不正确配置环境的可能性
c)推行公司使用计算机规范
桌面环境规范
安全策略
总结:
a)集中化管理
b)管理用户环境
c)降低管理用户的开销
d)强制执行企业策略
总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.
2.组策略的结构
组策略的具体设置数据保存在GPO中
创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略
GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户
GPO的组件存储在2个位置:
GPC（组策略容器）与GPT（组策略模板）
GPC：GPC是包含GPO属性和版本信息的活动目录对象
GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构
而且组策略更改后不是立即生效,需要经过一个刷新时间:
我们刚才说了组策略应用的对象是计算机帐号和用户帐号,那么打开组策略编辑器可以看到:
在此我们就来讲解组策略的应用规则,也就是使用方法:
3.理解组策略应用顺序:站点-域-OU-子OU,当然在同一级容器也可以创建多个GPO,如下图所示:
4.掌握组策略继承
在不同层次的容器上设置GPO或在同一层次的容器上设置了多个GPO,只要策略之间无冲突,那么所有策略都会做累加.
还有上层容器做了GPO,那么下层容器会继承上层容器的策略.
5.阻止继承操作
刚才说到下层容器会继承上层容器的策略,那么下层容器也可以阻止上层容器的策略,那么上层容器的策略就不会继承到下层了.方法是只需要在下层容器设置"阻止继承"即可:
6.掌握组策略强制生效
下层容器也可以阻止上层容器的策略,那么反过来上级容器也可以把策略强制给下级容器,那么不管下层容器有没有选择"阻止继承",都不生效,上层容器的策略都会继承下来,所以总结就是上层容器选择了"强制",而下层容器同时选择了"阻止',两个都存在,那么"强制"优先级高,方法只需要在上层容器设置"强制"即可:
7.刚才我们知识谈了策略没有冲突的时候,如果有冲突了听谁的呢?那么就请大家切记以下几点:
1.如果同一个容器的计算机策略和用户策略都设置了,但这2个的策略之间相互冲突,并且这个容器下的用户帐户恰好登录了这台计算机,那么计算机策略和用户策略同时都要生效,这时计算机策略覆盖用户策略!
2.不同层次的策略产生冲突时，子容器上的GPO优先级高!
3.同一个容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高!
总体原则：默认情况下后执行的优先级高。

如果上层做强制,下层做阻止,并且上下有冲突,那么强制优先级最高!
8.筛选组策略设置
a)GPO都是应用于容器下的所有的计算机和用户,但在实际中会有这样的需求,例如学术部的所有普通用户都要受GPO的约束,而经理不受此约束,这个功能靠筛选来实现,筛选可以实现阻止一个GPO应用于容器内部的特定计算机和用户。

b)容器中计算机和用户之所以受到GPO的影响，是因为他们对GPO拥有读取和应用组策略的权限。

如果用户或计算机帐户没有读取和应用组策略的权限，组策略将拒绝执行。

筛选可以阻止一个GPO应用于容器内的特定计算机和用户,设置读取和应用组策略的权限
9.掌握软件分发方式：指派与发布
分发软件的步骤:
a)提供一个.msi的程序放在一个共享文件夹
b)利用组策略的软件安装找路径（网络路径）
c)选择发布/指派软件
指派与发布的区别
a)指派，程序在【开始】菜单中
b)发布，程序显示在【控制面板】|【添加/删除程序】中
指派软件:
a)将软件指派计算机
计算机启动时软件将自动安装在计算机里
安装在Documents and Settings\All Users
b)将软件指派用户
不会自动安装软件本身
只安装软件相关的部分信息，如快捷方式
何时自动安装
开始运行此软件
发布软件:
a)不能将软件发布到计算机
b)将软件发布到用户
不会自动安装软件本身
何时自动安装
“控制面板”-“添加或删除程序”-“添加新程序”
那么最后我们来做一个指派给用户安装OFFICE软件的实验: 1.首先把要分发的软件包放在共享文件夹中,并给之相应的权限:
2.DC中打开"AD用户与计算机"工具,为指定的OU设置组策略,该OU下有个用户为USERB:
3.在软件设置的软件安装,选择新建程序包:
4.找到指定的共享文件夹(一定是要网络路径):
5.选择"指派":
6.由于组策略生成后需要有个刷新时间,可以使用命令"gpupdate /force"进行立即生效:
7.使用USERB用户登录系统后可以看到程序中已经有了OFFICE工具:
8.不过不要高兴,因为我们选择的是"指派给用户",那么当用户登录系统时看到的OFFICE程序其实没有真正安装,但第一次点击时才开始真正的安装过程,如下图.不过如果选择是"指派给计算机"的话,那么这台指定的计算机开机时会很慢很慢,但当计算机进入系统后就会发现OFFICE已经安装成功了.
值得一提的是,如果刚才指派的这个用户没有相应的权限,那么当他执行软件安装时也会弹出"无法安装",因为没权限,这点需要注意,要事先给用户相应的权限!
9.修复软件
a)一个被发布或者指派的软件，在安装完成后，如果软件程序内有关键性的文件损坏、遗失或者被用户不小心删除，系统会探测到此不正常的现象，并且会自动修复、重新安装此软件。

b)如果原来软件分发点上的安装文件发生丢失或损坏
在服务器上修复该软件的源文件
重新部署一次
10.删除软件
【立即从用户和计算机卸载软件】：下一次用户登录或计算机启动时，软件会被强制删除
【允许用户继续使用软件，但禁止新的安装】：用户和计算机仍可继续执行使用软件，但不允许重新安装
11.升级软件
举例:
Office2000升级到Office2003
Visio2000升级到visio2002
a)强制升级
会强制用户将当前软件升级到新的版本
b)可选升级
允许用户同时使用一个应用程序的两个版本
12.组策略中的脚本应用
计算机设置(开机和关机)和用户设置(登录和注销)共有四种不同应用环境下面我们来做一个用户登录脚本实验:
a)打开组策略的用户-脚本-登录:
b)打开登录脚本:
c)在桌面上创建一个*.vbs的脚本文件:
d)添加脚本:
e)找到脚本指定要放到的LOGON文件夹内(网络路径,必须要放在这里才能生效):
f)立即刷新:
g)登录界面:。