運維--域控伺服器--政策配置

域控下常用政策實施

如何進入域控伺服器的組織政策

1、進入指令行：gpmc.msc

2、開始→控制台→管理工具→組政策管理

3、伺服器管理器→工具→組政策管理

域管理政策

說明：政策可以放在starter GPO 裡面 或者 預設域政策裡面 或者直接繼承

1、域控下更改用戶端桌面桌面

說明：確定網絡是連通的，防火牆處于關閉狀态，圖檔格式為.jpg，共享目錄應為域控C槽。

步驟：（1）在域控C槽建立共享檔案夾xx,為可讀模式，将共享圖檔xx.jpg存放在共享目錄下。（2）組政策管理→組織機關（部門）→建立政策（OU）→命名為“桌面”→右擊編輯→使用者下配置→政策→管理模闆→桌面→Active Xxtop→啟用Active Xxtop、啟用不允許更改、啟用桌面牆紙（牆紙名稱為\\域伺服器位址\xx\xx.jpg)→強制重新整理組政策（gpupdate /force）→重新啟動用戶端生效。

2、禁用系統資料庫編輯器、指令提示符

步驟：組政策管理→組織機關（部門）→建立政策（OU）→命名為“禁用系統資料庫”→右擊編輯→使用者配置下→政策→管理模闆→系統（在最右側尋找政策）→系統阻止通路系統資料庫編輯工具、指令提示符→啟用→重新整理組政策，重新啟動用戶端。

3、禁用U盤

步驟：組政策管理→組織機關（部門）→建立政策（OU）→命名為“禁用U盤”→右擊編輯→使用者配置下→政策→管理模闆→系統→可移動存儲通路（在最右側尋找政策）→拒絕的都啟用→重新整理組政策，重新啟動用戶端。

4、釋出辦公室軟體

步驟：（1）下載下傳office2007(尋找.MSI軟體，有的EXE檔案可以轉換成MSI檔案)→cmd→msiexec -a+(拖拽第一步的路徑)→Enter→彈出管理者安裝→填寫産品秘鑰→放在C槽下共享檔案夾下。

（2）組政策管理→組織機關（部門）→建立政策（OU）→命名為“軟體”→右擊編輯→使用者配置下→政策→軟體設定→軟體安裝→右擊建立→資料包→網絡（此路徑必須為網絡）→源PC→找到共享檔案夾下的.MSI軟體→打開→已配置設定（配置設定為強制安裝，釋出時用戶端具有自主性）。

5、設定用戶端IE首頁及其相應權限設定

步驟：（1）組政策管理→組織機關（部門）→建立政策（OU）→命名為“修改首頁”→右擊編輯→使用者配置下→政策→windows設定→Internet Explor 維護→URL→重要URL→自定義首頁：http//www.baidu.com（公司首頁）→應用，确定，重新整理組政策。（2）組政策管理→組織機關（部門）→建立政策（OU）→命名為“修改首頁”→右擊編輯→計算機配置下→管理模闆→windows元件→Internet Explorer→Internet 控制台→Internet 區域→安全頁→Internet 區域→允許下載下傳等設定。

6、限制軟體使用

步驟：（1）組政策管理→組織機關（部門）→建立政策（OU）→命名為“限制軟體”→右擊編輯→使用者配置下→政策→管理模闆→系統（在最右側尋找政策）→不要運作指定的windows應用程式→啟用→顯示→添加應用程式的啟動項名稱（域伺服器IP/pub/sample/cal.exe）→應用，确定，重新整理政策，重新開機用戶端。

（2）組政策管理→組織機關（部門）→建立政策（OU）→命名為“限制軟體”→右擊編輯→計算機配置下→政策→windows設定→安全設定→軟體限制政策→右擊建立→安全級别→設定“不受限”為預設→進入“其他規則”→右擊建立哈希規則、路徑規則→确認到相同路徑下的軟體即可。 

7、釋出通告資訊

說明：在AD使用者與計算機中将Computer中的計算機移動到與其相對應的組織機關中。

步驟：組政策管理→組織機關（部門）→建立政策（OU）→命名為“通告”→右擊編輯→計算機配置下→政策→windows設定→安全設定→本地政策→安全選項→互動式登陸：試圖登陸的使用者的消息标題、消息文本→輸入要求内容→強制重新整理組政策（gpupdate /force）→重新啟動用戶端生效。

8、禁用指令行

步驟：組政策管理→組織機關（部門）→建立政策（OU）→命名為“禁用指令行”→右擊編輯→使用者配置下→政策→管理模闆→“開始”菜單和工作列→從開始菜單中删除“運作”菜單→強制重新整理組政策（gpupdate /force）→重新啟動用戶端生效。

注意事項：此操作不收computer下計算機是否在使用者組織機關下影響。

9、更改用戶端使用者密碼政策

步驟：組政策管理→組織機關（部門）→建立政策（OU）→命名為“使用者密碼政策”→右擊編輯→計算機配置→政策→windows設定→安全設定→賬戶政策→密碼政策、密碼長度最小值等，可依據需要定制→在AD使用者與計算機→找到相應計算機重置密碼。

10、禁用用戶端ip功能

注意：政策實施應該是在域政策下，而非部門下 步驟：組政策編輯→Default Domain Policy 右擊→編輯→計算機配置→政策→windows設定→安全設定→系統服務→Network Connections→改成自動→編輯安全設定→删除所有組或使用者名→添加→Domain Admins、Everyone→前者給完整權限，後者給讀取權限→應用，确定→重新整理全區政策，重新開機用戶端。

11、文檔共享（漫遊使用者）

步驟：（1）在域控C槽下建立共享檔案夾“文檔共享”→右擊共享→給everyone讀寫權限→AD使用者與計算機→選中需要漫遊使用者→右擊屬性→配置檔案→配置檔案路徑：\\域伺服器IP文檔共享\%username%→應用确定→重新整理組政策。

（2）進入C槽下→右擊“文檔共享”檔案夾→屬性→安全→進階→所有者→編輯→選中Administrator和(替換子容器和對象的所有者)→應用确定，重新開機用戶端。

（3）進入“共享文檔”→右擊使用者檔案夾→屬性→安全→編輯→添加→進階→立即查找→選中對應的用戶端→确定一鍵到底→重新整理組政策（guupdate /force）,重新開機用戶端，此時，域内添加到漫遊中的可以脫離實體機，檔案随賬号漫遊。

12、檔案夾重定向

步驟：（1）在域控C槽下建立共享檔案夾“檔案”→右擊共享→給everyone讀寫權限→組政策管理→組織機關（部門）→建立政策（OU）→命名為“檔案夾重定向”→右擊編輯→使用者配置下→政策→windows設定→檔案夾重定向→文檔→右擊屬性→目标下設定行：基本--将每個人的檔案夾重定向到同一個位置（注意在右面設定選項下含增加相容性操作）→目标檔案夾位置行：在根目錄路徑下位每一使用者建立一個檔案夾→根路徑行：浏覽（注意此處應為網絡路徑）應用、确定→重新整理組政策。

（2）進入C槽下→右擊“檔案”→屬性→安全→進階→所有者→編輯→選中administrator和替換子容器和對象的所有者→确定。再次進入“檔案”→通路使用者檔案夾→右擊My Documents→右擊屬性→安全→編輯→添加→進階→立即查找→添加相應的使用者→給完整權限→确定到底。

13、遠端調用（2003）

說明：防火牆注意關閉。

步驟：（1）域控端→右擊計算機→勾選“啟用遠端協助病允許從這台計算機發送邀請”→勾選“啟用這台計算機上的遠端桌面病選擇遠端使用者”→添加→進階→立即查找→對應的用戶端使用者→确定關系。

（2）用戶端→cmd→mstsc→輸入目的計算機Ip位址→勾選“資源可互相複制”。

14、壓縮資料庫

步驟：指令行→services.msc--右擊停止Active Directory Domain Services→cmd→cd /→mkdir temp→ntdsutil(進入域控模式)→？（顯示幫助參數）→Activate Instance ntds(激活域控)→file(對檔案進行操作)→？（顯示幫助參數）→compact to c (壓縮到指定目錄)→copy c：”\temp\ntds.dit”  ”c：\Windows\NTDS\ntds.dit”→Enter→yes(到此時壓縮資料庫結束)

15、遷移資料庫

步驟：在C槽下建立兩個檔案夾targetntds(存放資料庫)、targetlog(存放日志)→cmd→

ntdsutil→Activate InStance ntds→file→info(列出磁盤資訊)→？（顯示幫助參數）→Move DB to c：\targetndtds 和 Move logs to c：\targetlog→info(檢視日志、資料存放位置)→啟動服務Active Directory Domain Services→打開AD使用者與計算機驗證是否操作成功。

16、禁止所有使用者加入域,隻允許主管可以将計算機加入域

步驟:（1）ADSI編輯器→右擊ADSI編輯器→連接配接到→勾選“選擇或鍵入域伺服器（s）”：lv.com(域控的域名)→确定→點選“預設命名上下文”→右擊“DC=lv,DC=com”→屬性→将“ms-DS-MachineAccountQuota”→”10”修改成”0”.

（2）AD使用者與計算機→右擊“市場部”（組織機關）→委派控制（E）→下一步→添加→進階→立即查找→王經理（主管）→确定→下一步→勾選要委派的任務→建立、删除和管理使用者賬戶、重置使用者密碼并強制在下次登入時更改密碼、讀取所有使用者資訊→下一步→完成→強制重新整理組政策→重新啟動用戶端。

17、權限的委派與回收

步驟：（1）AD使用者與計算機→右擊“部門”→委派控制→添加→進階→立即查找→下一步→勾選權限→下一步→完成，重新整理組政策。

（2）AD使用者與計算機→檢視（對話框的菜單欄）→進階功能→右擊“部門”→屬性→安全→選中需要收回權限的部門或使用者→進階→删除相應權限（注意此時顯示的權限和添加時的字樣不同，可以拉長對話框）→應用→确定，重新整理組政策。

18、關閉事件跟蹤器

步驟：cmd→gpedit.msc→計算機配置→管理模闆→系統→顯示“關閉事件跟蹤器”→禁用

19、稽核政策（稽核登入事件）

步驟：（1）政策→計算機配置→windows設定→安全設定→本地政策→稽核政策→啟動

（2）檢視稽核政策：伺服器管理器→診斷→事件檢視器→windows日志→安全→即可檢視日志