AD域GPO下发自动关机用户计算机配置文档
Windows Server 2008 AD架构-第05部分 组策略(GPO)在windows server 2008中的应用
例如,组策略管理员从配置为英语的
ADMX和旧的ADM格式最大的区别 ADMX采用了XML标准来表述注册表策略的设置,编
辑XML的工具远多于编辑ADM语法的工具,其次由于 XML是架构化的,因此最终会比较容易构建一些工具 来帮助你在正确的位置上放置正确的标记,进而创建 结构良好的ADMX文件。
6定制用户连接到的网络驱动器 7配置用户桌面选项 8配置开始菜单和任务栏选项 9配置用户控制面板选项 10配置windows组件选项 11配置用户系统选项 12限制使用迅雷进行恶意下载
定制并发布应用程序
• 用组策略实现软件分发
MSI文件与windows
MSI是windows
该新格式包括多语言支持、可选的集中式数据存储以
及版本控制功能。在 Windows Server 2008 中, ADMX 文件被分为中性语言资源和特定语言资源,面 向所有组策略管理员提供。这些因素允许组策略工具 根据管理员的配置语言调整它们的用户界面。通过确 保具备相应的特定语言资源,可以向一组策略定义中 添加一种新的语言。 Windows Server 2008 管理工作站中创建了一个组策略对象 (GPO)。他保存此 GPO 并将其链接到跨地理边界部署 的域。巴黎的同事使用 GPMC 浏览同一域并选择使用 英语创建的 GPO。她可以使用法语查看和编辑该策略 设置。创建此 GPO 的原始组策略管理员仍将使用他的 本地语言(英语)查看所有设置,包括法国管理员更 改的内容。
将ZAP文件与EXE安装文件放置到统一目录下 选择“ZAW早期版本应用程序数据包” 注意:安装的对象只能是使用者,并且使用ZAP方式
安装程序时必须具备管理员权限。
• 定制应用程序
定制Office
AD域服务器配置使用手册
AD域服务器配置使用手册目录•简介•安装AD域服务器•配置AD域服务器•使用AD域服务器•常见问题与解决方案简介Active Directory(简称AD)是由微软公司开发的一种目录服务,用于管理和组织网络中的用户、计算机、应用程序等资源。
AD域服务器是一个核心组件,用于集中管理和分发资源,提供统一的身份验证和访问控制。
本文档将指导您进行AD域服务器的安装、配置和使用,以便在企业网络中实现集中管理和统一认证。
在安装AD域服务器之前,您需要确保以下条件已满足:•一台运行Windows Server操作系统的服务器•具有管理员权限的帐户•确保网络连接正常按照以下步骤进行AD域服务器的安装:1.在服务器上运行Windows Server安装程序。
2.选择“自定义安装”选项,并选择“域控制器”角色。
3.指定域的名称,并设置管理员密码。
4.安装必要的依赖项和组件。
5.完成安装过程。
安装完成后,您需要进行AD域服务器的配置,以满足特定的网络需求。
以下是一些常见的AD域服务器配置任务:•添加组织单位(OU)和用户组:用于组织和管理用户和计算机资源。
•配置组策略:通过组策略设置实施安全和配置要求。
•创建用户账户和共享文件夹:用于授权和权限管理。
•配置安全认证和访问控制:用于保护网络资源免受未经授权的访问。
•配置域名服务器(DNS)和动态主机配置协议(DHCP):用于自动分配IP地址和解析域名。
您可以通过Windows Server管理工具如Active Directory用户和计算机、组策略管理等进行以上配置任务。
使用AD域服务器一旦AD域服务器配置完成,您可以开始使用其提供的功能:•用户身份验证和访问控制:用户可以使用域帐户登录到域中的任何计算机,并访问授权的资源。
•统一管理:通过AD域服务器,您可以集中管理用户、计算机和应用程序的配置和访问权限。
•自动化管理:通过组策略和脚本,可以自动化管理和配置群组策略、软件安装等。
AD域服务器配置手册
. Windows Terminal Service 终端服务器安装配置文档一:将服务器提升为域服务器如果你的Win2003高级服务器版,没有升级到域控制器,就是nt下常说的dc。
在开始菜单的管理工具中选择“配置服务器”。
next选择“active directory”。
下一步选择“启动active directory向导”。
nextnext默认即可。
next nextnext这里指定一个dns名机子会去搜寻dns服务器,next我的输入"kelaode",你们自定。
默认得,nextnext 确定。
这里我不配置dns,根据自己的情况配置。
next 默认即可。
nextnext next这个需要一些时间。
完成。
重起。
二:用户登录1:设置策略组添加受策略控制组时注意画圈位置,必须使用“应用组策略”,否则策略不能生效右面,可以继续“添加”受此策略控制的组,该组现可管理“政治处”和“指挥处”两个组2:编辑策略组交互登录设置(1)编辑本地策略(如在“管理策略”),添加“通过终端服务容许登录”和“允许本地登录“(2)打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“(下图)(3)打开“默认域安全策略”,在下图中添加远程登录的组此时,即可已完成交互登录的设定!受策略控制组的权限设定1:Netmeeting 禁止文件发送设定2:在“管理模板—资源管理器”中做磁盘访问权限设定,网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定禁用注册表设定,禁用命令提示符,禁止自动播放等在“系统”中如图设定桌面禁用“我的文档、我的电脑、回收站”等属性设定,在“用户配置---管理模板---桌面”中如下配置控制面板设定1、完全禁用控制面板设定,将“禁止访问控制面板“起用”即可!2、控制面板部分禁用设定,不起用“禁止访问控制面板”,然后在起用“直显示指定控制面板程序”,并添加相应的程序名,只显示“键盘、鼠标和字体”等设定如下如,添加intl.cpl 为只显示“字体”,添加main.cpl为显示键盘和鼠标!设置后效果如下图:控制面板程序对照表(见最后附加表)禁止添加删除程序设定,如下图:打印机添加设定在“控制面板——打印机”中,可进行禁止用户添加、删除打印机设定,如下图Ctrl+Alt+Del设定使用Ctrl+Alt+Del时,只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定,将“注销“添加到开始菜单的设定,开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定,如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令!网络设定禁止普通用户访问Tcp/IP高级设置,禁用新建连接,禁止访问LAN连接属性等的设置文件夹重定向1.网络设定:注意DNS设定!2.重定向文件夹权限设定此处注意,最好加入Domain User的共享权限(默认为Everyone)为完全控制,否则会发生不能重定向的现象。
AD域中如何布置软件自动分发
AD域中如何布置软件自动分发本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。
您可以通过以下方法使用组策略分发计算机程序:• 分配软件您可以将程序分发分配到用户或计算机。
如果将程序分配给一个用户,在该用户登录到计算机时就会安装此程序。
在该用户第一次运行此程序时,安装过程最终完成。
如果将程序分配给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它。
在某一用户第一次运行此程序时,安装过程最终完成。
• 发布软件您可以将一个程序分发发布给用户。
当用户登录到计算机上时,发布的程序会显示在“添加或删除程序”对话框中,并且可以从这里安装。
注意:Windows Server 2003 组策略自动程序安装要求客户端计算机运行Microsoft Windows 2000 或更高版本。
创建分发点要发布或分配计算机程序,必须在发布服务器上创建一个分发点:1. 以管理员身份登录到服务器计算机。
2. 创建一个共享网络文件夹,将您要分发的Microsoft Windows 安装程序包(.msi 文件)放入此文件夹。
3. 对该共享设置权限以允许访问此分发程序包。
4. 将该程序包复制或安装到分发点。
例如,要分发Microsoft Office XP,请运行管理员安装(setup.exe /a) 以将文件复制到分发点。
创建组策略对象要创建一个用以分发软件程序包的组策略对象(GPO),请执行以下操作: 1. 启动“Active Directory 用户和计算机”管理单元,方法是:单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
2. 在控制台树中,右键单击您的域,然后单击“属性”。
3. 单击“组策略”选项卡,然后单击“新建”。
4. 为此新策略键入名称(例如,Office XP 分发),然后按Enter。
5. 单击“属性”,然后单击“安全”选项卡。
6. 对于您不希望应用该策略的安全组,请单击以清除与其对应的“应用组策略”复选框。
AD域服务器配置使用手册
Windows Terminal Service 终端服务器安装配置文档一:将服务器提升为域服务器如果你的Win2003高级服务器版,没有升级到域控制器,就是nt 下常说的dc。
在开始菜单的管理工具中选择“配置服务器”。
next选择“active directory”。
下一步选择“启动active directory向导”。
nextnext默认即可。
nextnextnext这里指定一个dns名机子会去搜寻dns服务器,next我的输入"kelaode",你们自定。
默认得,nextnext确定。
这里我不配置dns,根据自己的情况配置。
next默认即可。
nextnextnext这个需要一些时间。
完成。
重起。
二:用户登录1:设置策略组添加受策略控制组时注意画圈位置,必须使用“应用组策略”,否则策略不能生效右面,可以继续“添加”受此策略控制的组,该组现可管理“政治处”和“指挥处”两个组2:编辑策略组交互登录设置(1)编辑本地策略(如在“管理策略”),添加“通过终端服务容许登录”和“允许本地登录“(2)打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“(下图)(3)打开“默认域安全策略”,在下图中添加远程登录的组此时,即可已完成交互登录的设定!受策略控制组的权限设定1:Netmeeting 禁止文件发送设定2:在“管理模板—资源管理器”中做磁盘访问权限设定,网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定“系统”中如图设定在“用户配置---管理模板---桌面”中如下配置1、完全禁用控制面板设定,将“禁止访问控制面板“起用”即可!2、控制面板部分禁用设定,不起用“禁止访问控制面板”,然后在起用“直显示指定控制面板程序”,并添加相应的程序名,只显示“键盘、鼠标和字体”等设定如下设置后效果如下图:控制面板程序对照表(见最后附加表)禁止添加删除程序设定,如下图:打印机添加设定在“控制面板——打印机”中,可进行禁止用户添加、删除打印机设定,如下图使用Ctrl+Alt+Del时,只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定,将“注销“添加到开始菜单的设定,开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定,如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令!网络设定禁止普通用户访问Tcp/IP高级设置,禁用新建连接,禁止访问LAN连接属性等的设置1. 网络设定:注意DNS设定!2. 重定向文件夹权限设定此处注意,最好加入Domain User的共享权限(默认为Everyone)为完全控制,否则会发生不能重定向的现象。
AD域服务器设置
AD域服务器设置AD域服务器设置文档范本:⒈介绍⑴本文档描述了如何设置和配置AD域服务器。
⑵ AD域服务器是用于管理网络中的用户、计算机和其他资源的中心化身份认证和访问控制解决方案。
⒉准备工作⑴确认系统要求和硬件要求,包括操作系统版本、处理器和内存要求。
⑵安装并配置适当的网络连接、电源和硬盘存储。
⑶确保网络连接稳定,并且可以与其他计算机通信。
⒊安装AD域服务器⑴ AD域服务器安装文件。
⑵运行安装程序。
⑶按照安装向导的指示进行安装。
⑷配置AD域服务器的名称和域名称。
⒋配置域控制器⑴登录到AD域服务器。
⑵打开“服务器管理器”。
⑶单击“角色和功能”。
⑷单击“添加角色和功能”。
⑸选择“Active Directory域服务”。
⑹按照向导的指示进行配置。
⑺设置域管理员和域用户的账户。
⒌配置DNS服务器⑴打开“服务器管理器”。
⑵单击“工具”。
⑶单击“DNS”。
⑷添加AD域服务器的DNS记录。
⑸配置适当的DNS转发。
⑹确保DNS服务器正常运行。
⒍管理AD域服务器⑴打开“Active Directory用户和计算机”控制台。
⑵管理用户和组。
⑶管理计算机和设备。
⑷配置组策略。
⑸监控AD域服务器的性能和状态。
⑹定期备份AD域服务器数据。
⒎故障排除和维护⑴检查系统日志和事件查看器以解决问题。
⑵更新和维护AD域服务器的操作系统和安全补丁。
⑶定期检查AD域服务器的健康状态。
⑷备份和恢复AD域服务器数据。
附件:本文档没有附件。
法律名词及注释:●AD: Active Directory的缩写,是一种目录服务,用于在Windows域网络中存储和组织网络资源和用户标识。
●域控制器(Domn Controller): 运行Active Directory服务的服务器,用于认证和授权网络中的用户和计算机。
●DNS: 域名系统(Domn Name System)是一种分布式数据库,用于将域名转换为IP地址。
AD域控配置步骤
AD域控配置步骤1.确定服务器角色:首先需要确定一台服务器来配置AD域控。
这台服务器应具备足够的处理能力和存储空间。
2. 安装操作系统:在所选择的服务器上安装适用于AD域控的操作系统。
常用的操作系统包括Windows Server 2024、Windows Server 2024、Windows Server 2024等。
3. 安装Active Directory服务角色:打开服务器管理器,选择“添加角色和功能”,然后在“服务器角色”页面中选择“Active Directory域服务”并点击“下一步”进行安装。
4. 安装Active Directory域服务:在“服务器角色”页面中选择“Active Directory域服务”并点击“添加所需的角色服务”按钮,然后点击“下一步”继续安装。
5.配置域控名称和域名称:在“配置域控制器”页面中选择“新增一个新的森林”以创建新的域控,然后输入域控名称和域名称。
6. 选择功能级别:在“功能级别”页面中选择所需的功能级别,可选择较低的级别以支持更早期版本的Windows客户端。
7.安装ADDS必要功能:在“DNS服务器”页面中选择“安装并配置DNS服务器”以自动安装和配置所需的DNS服务器。
8.ADDS数据库路径和日志文件路径:在“数据库路径”和“日志文件路径”页面中选择合适的存储路径,这些路径应位于硬盘驱动器上,具有足够的可用空间。
9. 分配Sysvol文件夹路径:在“Sysvol文件夹”页面中选择合适的路径来存储Sysvol文件夹。
10.安装准备检查:在“安装选项”页面中进行检查,确保所需的配置信息正确无误,然后点击“安装”按钮开始安装。
11.安装ADDS:等待安装过程完成,期间可能需要重新启动服务器。
12.完成AD域控配置:一旦安装完成并成功重新启动服务器,AD域控配置就完成了。
14.配置用户和计算机账户:在AD域控配置完成后,可以通过创建和配置用户和计算机账户来实现身份认证和资源管理。
域环境下通过组策略实现客户端定时自动锁屏且统一屏幕保护程序
在一些大型公司企业中,IT管理员为了统一管理公司内的办公电脑,再根据网络安全相关制度要求,防止个人资料泄密等原因,会通过AD域组策略设置屏幕保护时间。
,在唤醒电脑时,需要输入登陆用户密码。
1、点击服务器任务栏左下角的开始,再点击管理工具
2、组策略管理右击default domain policy策略(或者新建GPO),在选择编辑
3、选择用户配置策略管理模板控制面板个性化
4、开启启用屏幕保护程序
5、启用带密码的屏幕保护程序
码才可以解锁。
7、开启强制使用特定的屏幕保护程序
说明:
1、屏幕保护程序,可以到网站上自行下载喜欢的样式
2、屏幕保护程序在本地存放路径为C:\Windows\System32
新一下组策略
否正确。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD域GPO下发自动关机用户计算机配置文档一、自动关机脚本编写
打开记事本写内容如下:
@echo off
ver|find "5.0" >nul && if not errorlevel 1 goto 2k
ver|find "5.1" >nul && if not errorlevel 1 goto xp
ver|find "5.2" >nul && if not errorlevel 1 goto win2k3
ver|find "6.0" >nul && if not errorlevel 1 goto vista
ver|find "6.1" >nul && if not errorlevel 1 goto win7
goto win7
:2k
at /delete /yes
AT 18:00 /interactive /every:M,T,W,Th,F,S,Su \\AD......\scripts\自动关机.exe
exit
:xp
at /delete /yes
AT 18:00 /interactive /every:M,T,W,Th,F,S,Su \\ AD......\scripts\自动关机.exe
exit
:win2k3
exit
:vista
SCHTASKS /Delete /tn "*" /f
schtasks /create /tn 自动关机/tr "\\ AD......\scripts\自动关机.exe" /sc daily /st 18:00:00 /it /f
exit
:win7
SCHTASKS /Delete /tn "*" /f
schtasks /create /tn 自动关机/tr "\\ AD......\scripts\自动关机.exe" /sc daily /st 18:00:00 /it /f
exit
另存为*.BAT文件。
# 以上脚本是修改后的,原来的脚本只是用AT命令创建任务,通过反馈信息发现公司可能部分用户使用的是非XP系统,因此重新编制脚本进行终端用户系统判别,判断系统后由不同的命令创建任务,这样保证XP以上版本系统在运行任务时都以交互式运行。
说明
1、脚本首先判断终端用户操作系统版本,2K、XP、VISTA或WIN7建立计划任务应该使用不同的命令,否则任务无法和用户交互。
2、判断终端系统是2K、XP执行下面命令
AT /delete /yes
通过AT命令删除全部计划任务,这样是为了保证任务ID相同不重复任务
AT 18:00 /interactive /every:M,T,W,Th,F,S,Su \\ AD......\scripts\自动关机.exe
通过AT命令新建任务ID=1,参数/interactive实现交互界面,否则关机窗口不弹出,时间为18:00,周一至周日都运行,执行程序路径设置为AD域服务器共享路径。
/ interactive参数就是设置XP系统有用户交互,由于schtasks命令在XP系统版本中没有/it参数,所以使用AT命令的这个参数。
3、判断终端系统是2K3不操作EXIT直接退出。
4、判断终端系统是VISTA或WIN7执行命令(goto win7其他的未知操作系统也按这条命令执行,域用户终端最低版本一般应该是XP)
SCHTASKS /Delete /tn "*" /f
删除原来所有的计划任务
schtasks /create /tn 自动关机/tr "\\ AD......\scripts\自动关机.exe" /sc daily /st 18:00:00 /it /f
/create参数是新建任务,/tn后面是任务名称,/tr是指定要执行命令的路径,/sc设为每天,/st设置触发时间为18:00:00,/it 设置当用户登录时,这个就是设置WIN7和VISTA 系统运行任务时和用户交互,/f参数是当创建任务时任务名已经存在强制覆盖。
二、编写自动关机程序
打开VB编程软件
1、建窗体Form,插入控件command、Timer、Label、Image。
写如下代码:
Private Declare Function SetWindowPos Lib "user32" (ByVal HWnd As Long, ByVal hWndInsertAfter As Long, ByVal X As Long, ByVal Y As Long, ByVal cx As Long, ByVal cy As Long, ByVal wFlags As Long) As Long
Dim m, m1, s, s1 As Integer
Private Sub command1_click()
End
End Sub
Private Sub Form_Load()
SetWindowPos Me.HWnd, -1, 0, 0, 0, 0, 2 Or 1 #这句是为了让窗体显示在最上层,上面有函数声明。
Timer1.Interval = 1000
Label1.Caption = ""
m = 0: m1 = 3: s = 0: s1 = 0
End Sub
Private Sub Timer1_Timer()
s1 = s1 - 1
If s1 < 0 Then
s = s - 1
s1 = 9
If s < 0 Then
m1 = m1 - 1
s = 5
If m1 < 0 Then
m = m - 1
m1 = 9
End If
End If
End If
If m = 0 And m1 = 0 And s = 0 And s1 = 0 Then
Timer1.Enabled = False
Shell "cmd.exe /c shutdown -s -t 0"
End If
Label1.Caption = m & m1 & ":" & s & s1
End Sub
2、调整各控件位置,美化界面。
3、生成工程程序(自动关机.exe)。
三、GPO策略
1、新建GPO(定时关闭公司计算机)——计算机配置——Windows设置——脚本——启动脚本,浏览选择上面保存的BAT文件路径,选定文件点击确定。
也可以下发用户启动脚本
2、选定需要下发OU ,链接现有GPO策略,选择刚建立的“定时关闭公司计算机”,点确定。
至此计算机策略GPO下发,实现具有终端交互式的定时关机完成。
注意事项:GPO下发需要注意脚本及程序文件路径,文件路径尽量是域控共享路径下,必须终端用户权限访问正常。