組策略分為計算機配置和用戶配置兩部分:
1. 計算機配置:當計算機開機時,系統會根據計算機配置的屬性來設置計算機環境。例如:我們在Jmilk.com這個AD域內設置了計算機配置組策略,則此策略就會被應用到這個域內的所有計算機。
2. 用戶配置:當用戶登錄時,系統會根據用戶配置的屬性來設置用戶的工作環境。例如:我們對組織單位teacher配置了組策略,則組織單位下的所有用戶都會應用該策略。
組策略對象GPO
組策略是通過組策略對象來設置的,在建立了組策略對象之後,將GPO和指定的站點、域、組織單位進行鏈接。那麼這個GPO的屬性值就會影響到改站點、域、組織單位。
實驗一:組策略的計算機配置
在域控制器的系統中默認只有某些組內的用戶才能登錄,一般的用戶是服務登錄的。例如:域jmilk.com內的Domain Users組中的用戶無法在域控制器中登錄,除非為他們賦予允許本地登錄的權限。我們可以通過GPO:Default Domain Controllers Policy賦予這些用戶登錄權限。
Step1:以系統管理員的權限登錄到域控制器。
Step2:打開組策略控制器
Step3:展開Domain Controllers,並右擊編輯GPO:Default Domain Controllers Policy 。
Step4:進入組策略管理編輯器,展開計算機配置至用戶權限分配,找到允許本地登錄策略後,雙擊開打。添加組JMILK\Domain Users
注意:成功將JMILK\Domain Users加入到策略後,需要等待一段時間來同步更新。或者你也可以使用指令gpupdate /force來即使同步。在完成同步之後,我們可以在組織單位內創建
實驗二:組策略的用戶配置
例如:在AD域jmilk.com內有一個組織單位teacher,而我們要針對這個組織單位內所有的用戶來設置,而且限定它們必須通過企業內部的代理服務器(Proxy Server)上網。假設代理服務器的網址為:proxy.jmilk.com,端口號為8080。同時我們要將其浏覽器Internal Explorer的連接標簽更改為代理服務器設置的功能禁用,以免防止用戶私自的更改此選項。
我們需要先創建一個GPO鏈接到teacher,然後通過修改此GPO設置值的方式來進行操作。
Step1:以系統管理員的身份登陸到域控制器
Step2:開打組策略管理工具
Step3:展開teacher組織單位,右擊,在這個組織單位中創建GPO並鏈接到此處
Step4:進入組策略編輯器,編輯這個GPO
Step4:選擇用戶配置策略下的Internal Explorer下的連接選項,再雙擊代理設置,將proxy.jmilk.com和8080端口填入,確定。
Step5:展開用戶設置策略下的管理模板下的Windows組件下的Internal Explorer,編輯右方的禁用更改代理服務器設置的狀態改為已啟用。
Step6:使用指令gpupdate /force來更新同步組策略
Step7:驗證組策略。使用teacher組織單位下的任意用戶登錄,並查看Internal Explorer選項中代理服務器的設置已經變灰。
實驗三:首選設置
組策略還可以分為策略設置和首選設置
1. 首選設置:只有域的組策略才有首選策略功能。首選設置策略的屬性是可以被客戶端自行改變的。因此首選設置一般用於默認值的設定。
2. 策略設置:是強制性設置,客戶端應用這些設置後就無法更改策略屬性的。
注意:當某一個項目,同時被首選設置和策略設置處理時,以策優略設置為優先。
同時首選設置來為組織單位teacher內的計算機win7pc自動創建一個本地用戶賬號Henry。
注意:首先需要HOST:win7pc是在域內的,使能夠被DNS解析的。
Step1:使用系統管理員身份登陸到域控制器
Step2:將HOST:win7pc加入到AD域內時,默認會加入到Computers容器。所以需要先在Computers中國找到win7pc後點擊右鍵,移動,選擇組織單位teacher。
Step3:打開組策略管理工具
Step4:在組策略管理器中編輯組織單位teacher下原有的GPO:proxy
Step5:展開組策略管理器下的計算機配置下的首選項下的控制面板設置下的對著本地用戶和組,右擊,選擇新建本地用戶。
Step6:在彈出的新建本地用戶窗口中填入需要創建的用戶的信息,再點擊常用選項卡
Step7:在常用標簽裡,選擇應用一次且不重復更新。同時選擇項目級目標後點擊目標按鈕。以便將此想項目的應用對象指定到計算機win7pc
Step8:指定策略目標計算機,再點擊所有窗口的確定
Step9:更新同步gpupdate,再登陸到HOST:win7pc後打開管理用具下的計算機管理查看henry用戶是否存在。
實驗四:組策略更改計算機桌面
在某些企業要求每一位員工在使用域賬號登陸到計算機時,要使用帶有企業Logo的桌面壁紙。
Step1:以系統管理員的身份登陸到域控制器。
Step2:打開AD計算機和用戶管理工具並創建一個組織單位shareDesktop
Step3:在組織單位shareDesktop下創建你需要管理的用戶,或者將需要管理的用戶移動到這個組織單位下。
Step4:確保用戶具有遠程登陸和本地登錄權限
遠程登陸:
在組策略管理器中,打開Domain Controllers組織單位裡的組策略 在組策略編輯器中,定位到計算機配置->Windows設置->安全設置->本地策略->用戶權限分配 在允許在本地登陸”中中加入Remote Desktop Users組 在允許通過遠程桌面服務登錄中也加入Remote Desktop Users組 將需要遠程服務的用戶加入remote desktop users組 更新組策略:gpupdate /target:computer /force
本地登錄:
我們在實驗一中已經將屬於Domain Users組的賬號賦予了本地登錄的權限。所以任何屬於Domain Users組的用戶都能夠本地登錄到域控制器中。
Step5:打開組策略管理器,在組織單位shareDesktop下新建並鏈接GPO:desktop
Step6:編輯GPO:desktop
6.將用戶配置下的管理模板下的Active Desktop設置為啟用active desktop,同時確保禁用Active Desktop選項保持未配置狀態。
Step7:共享你希望分享的桌面壁紙的文件夾,同時保證everyone 和administrator有完全控制權限
右擊希望共享的文件夾,選擇屬性。點擊高級共享,彈出窗口斌勾選共享此文件,再點擊權限
確保everyone 和administrator有完全控制權限
共享完成
Step8:測試共享文件
在win7pc中以chihiro的身份登陸,並Run –> \dns1.jmilk.com\image
Step9:啟用桌面壁紙策略然後設置你壁紙的共享路徑
Step10:確保GPO:desktop已經鏈接到你需要的組織單位上
Step11:11.執行指令gpupdate /force強制更新同步組策略。然後用你在這個組織單位下的域用戶登錄域下的計算機。
