AD域環境的組政策配置
1、域中配置組政策的好處有哪些?
1)、減小管理成本,因為隻需設定一次,相應的使用者或計算機即可全部應用規定的設定。
2)、減少使用者單獨配置錯誤的可能性。
3)、可以針對特定的對象(使用者或計算機)實施特定的政策。
2、這裡要想使用組政策就先簡單設定幾個對計算機的要求,來通過組政策對域成員計算機進行控制!
1)、要求銷售部可以更改時間!
2)、要求市場部所有人登入時密碼輸錯三次就鎖定!
3)、要求所有人不得使用開始菜單中的“運作”菜單!
4)、設定總經理可以在域控制器上登入!
3、現在開始先建立實驗用的OU以及OU中的使用者
1)、首先在域控制器上滑鼠分别點選左下角“開始”→“管理工具”→“Active Directory 使用者和計算機”,右擊域名建立存放使用者的容器OU(組織機關)
2)、在每一個OU中建立一個使用者用來驗證。然後再在user中建立一個總經理賬戶用來驗證。
4、分别按照要求建立GPO(Group Policy Object,組政策對象)
1)、打開組政策:依次點選左下角“開始”→“管理工具”→“組政策管理”
2)、組政策被視為Active Dirctory中的一種特殊對象,可以将GPO和活動目錄的容器(站點、域和ou)連結起來,以影響容器中的使用者和計算機。
3)、預設的GPO有兩個:
◆Default Domain Policy(預設域政策)
依次展開“林:abc.com”→“域”→“abc.com”→“Default Domain Policy”,右鍵點選編輯可以設定!此政策影響域中所有的使用者和計算機。
◆Default Domain Controllers Policy (預設域控制器政策)
展開Domain Controllers 可以看到預設域控制器政策,此政策影響域中組織機關“Domain Controllers”中的所有使用者和計算機!主要針對域控制器本機的政策!
4)、此時我們需要針對某一個OU來設定政策,就在這個OU下建立新的GPO。
右鍵OU,點選第一項“在這個域中建立GPO并在此處連結”,然後點選确定。
繼續建立銷售部的GPO。
5、開始設定相應政策
1)、右擊銷售部GPO,點選編輯。并依次展開 “計算機配置”→“政策”→“Windows設定”→“安全設定”→“本地政策”→“使用者權限配置設定”,右側找到更改系統時間,輕按兩下。添加使用者銷售部員工!
這裡需要注意的是:因為這個政策是對計算機上做的政策,是以要把OU “Computers”中一會兒用來登入驗證的計算機也加到銷售部OU中。
2)、右擊市場部GPO選擇編輯,依次展開“計算機配置”→“政策”→“Windows設定”→“安全設定”→“賬戶政策”→“賬戶鎖定政策”,輕按兩下右側的“賬戶鎖定門檻值”,定義次數為3次。點選确定!
此時由于還是對計算機做的配置,在驗證完銷售部的政策之後,把用戶端計算機再添加到市場部中,雙方重新整理政策再驗證!
3)、右擊預設域政策(Default Domain Policy)點選編輯,
依次展開“使用者配置”→“政策”→“管理模闆”→““開始”菜單和工作列”,輕按兩下右側的“從「開始」菜單中删除“運作”菜單”,點選“已啟用”,點選确定!
4.1)、想要總經理在域控制器上等錄就要針對域控制器設定政策,右擊“Default Domain Controllers Policy”選擇編輯!
4.2)、依次展開“計算機配置”→“政策”→“Windows設定”→“安全設定”→“本地政策”→“使用者權限配置設定”,在右側中找到“允許在本地登入”并輕按兩下打開。
4.3)、打開“允許在本地登入之後”,點選“添加使用者或組”→“浏覽”→“進階”→“立即查找”,在下邊找到總經理的賬号之後輕按兩下,一直點選确定添加完成!
5)、設定完權限之後并不能馬上生效!打開指令提示符,輸入“gpupdate /force”回車,重新整理組政策!
6.這時在一台加了域的計算機上做驗證!
1)、先使用銷售部的使用者登入,驗證發現,銷售部員工可以在客戶機上修改計算機時間,并且無法使用“運作”菜單(根本就沒有運作這個選項了)。(如果沒有生效就在客戶機上也運作“gpupdate /force”重新整理組政策!)
2)、此時切換使用者,使用市場員工登入計算機,故意輸錯三次密碼,觀察提示!此時提示賬戶被鎖定即為成功!
3)、最後在域控制器上使用總經理賬戶檢視能否登入!
實驗結束!
這裡最後再講一下關于組政策無法生效的一些原因!
1.組政策沖突生效順序:其順序應為“本地政策”→“站點政策”→“域政策”→“父OU政策”→“子OU政策”(子ou政策優先級最高);計算機設定高于使用者設定;同一容器連結的多個政策,連結順序最低的政策優先級最高。
2.組政策生效時間:在預設情況下,DC每五分鐘重新整理一次組政策,客戶機每90分鐘重新整理一次,其中含有30分鐘的時間偏移量。使用“gpupdate /force”指令可以重新整理組政策,使其立即生效。
3.計算機配置或使用者配置:在設定組政策的時候要注意區分是需要使用計算機配置還是使用者配置。
關于域使用者漫遊和提升域功能級别的相關操作在我的另外兩篇部落格中!