3种用组策略将域帐号加入本地管理员组的方法
台湾女同事问了我2次当前系统域帐号是怎么在第一次登录时,自动加入域客户端本地管理员组的?我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本,结果系统的前任同事找到了答案--GPO的用户策略(确切讲是用户首选项),SIGN!
今天琢磨了一下,采用下列3种方法之一即可实现:
1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
用户和组”.用在将登录帐号自动加入本地管理员组的场合。
地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。
第1种方法的步骤很简单:
.在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图
.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图
第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下:
为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL 为:
https://www.doczj.com/doc/7b16637013.html,/zh-cn/library/cc731892(WS.10).aspx
根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML 无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略
操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员
组
现在用域帐号test02\user_1登录测试一下
用户首选项策略生效,该帐号被成功加入管理员组
接下来看看“删除所有成员用户”的结果
换一个test02\user_2帐号,显然,已将前面加入的user_1帐号删除,还有其他除administrator 以外的用户帐号被删除(本地的USER1)
然后我们继续选删除所有成员组,并计划将本地administrator也从管理员组中删除
其结果如下:
1.所有用户帐号被从管理员组中删除,除当前登录用户除外。这样多个域用户帐号登录同一个客户端,只会保留最后一个登录帐号加入本地管理员,这就是咱们要的“动态”加入的效果。
2.所有组帐号都被从管理员组中删除,包括Domain Admins
3.administrator帐号是内置帐号,所以怎么设置都删除不掉
第3种方法:
刷新策略就可以看到TEST02\Domain Admins加入到客户机本地管理员组了
有关冲突策略的优先级测试:
接下来在保持先前用户首选项的前提下,把计算机首选项也作相同的删除用户和组操作,如下图
刷新一下组策略,test02\user_1被删除,而test02\Domain Admins被加入,看起来,当计算机首选项与用户首选项冲突时,好象符合组策略的“计算机策略优先”定律,但是,且慢...
如果再次注销而用user_1帐号重登录,发现test02\Domain Admins却又一次被删除,这是为什么?
答案就是:首选项,并非强制的!也就是说,不仅客户端用户自己可以手动改配置(比如手动删除这里由首选项加入的域帐号),而且,后面执行的首选项会盖掉前面的。这是与组策略中的“策略”设置是完全不同的。
我们可以再验证一下上述的结论。如果我们重启客户机,然后不登录域(这样就不会使用到用户首选项),而是登录本机(此时仅计算机首选项生效)
仅计算机首选项生效:
仅计算机首选项生效
注销,换个域用户帐号登录:
计算机首选项设置不见了,换作用户首选项设置
最后,总结一下:
1、有3种方法可行,如果是03域控,用“受限制的组”,如果是08R2域控,加组帐号时可以用计算机首选项,加用户帐号时可以用用户首选项
2、不要使用Windows 2008域控,要用Windows 2008R2域控,因为前者存在BUG,我遇到很多次
3、首选项设置时最好选“更新”操作,且用户首选项要同时设置“删除所有成员用户”项,否则每登录一个用户,就会累加一个本地管理员帐号
4、首选项是非强制性的,计算机首选项优先级并不会比用户首选项来得高,看谁最后执行
5、最好不要同时设置计算机首选项和用户首选项,仅用后者也可以添加域组到本地管理员组,用多了,脑子容易短路
首选项设置中的更新、删除等4种操作的说明:
https://www.doczj.com/doc/7b16637013.html,/zh-cn/library/cc732525(WS.10).aspx
额外的一个好习惯:不要把计算机策略和用户策略定义在一个GPO中,而要分成2个GPO,这样会更加的清晰.比如定义一个Sales_Dept_Comp_Pol 和Sales_Dept_User_Pol,然后前者中只定义计算机策略,后者当中只定义用户策略,以后维护一看名字就区分出来了.并且Comp_OU与User_OU也分开,前者只放计算机对象,后者只放用户对象,组策略便可一一对应上,这样就不容易搞得神经错乱了!
(完整)域组策略--+域控中组策略基本设置 编辑整理: 尊敬的读者朋友们: 这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)域组策略--+域控中组策略基本设置)的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。 本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)域组策略--+域控中组策略基本设置的全部内容。
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!—-—-—gpmc.msi (工具) 使用:运行---〉gpmc。msc 如下键面: 文件夹重定向: 1。在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!)
2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组
3.用本地用户登录机器查看! 禁止卸载: 1。权限domain user + 管理模板(相当于改动注册表!!)
2.再把控制面板里的“添加删除程序"禁用
禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb。adm 2. 3。 4。
Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后是链接到其子 组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响: GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。
域网络构建教程(4)组策略 古人云:运筹帷幄之中,决胜千里之外。这大概就是用兵的最高境界了吧!作为一个生于和平年代的网络管理人员,这辈子带兵是没戏了。不过在域环境的帮助下,这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的 XP 系统上一直存在,通过在运行栏中输入 gpedit.msc 就可以启动本地计算机的组策略编辑器。截图如下: 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器,所见即所得一直都是微软的看家本领啊。有了域环境之后,通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中,我感觉这种管理与控制几乎覆盖了使用中的方方面面,反正现在我只要在域控制器上动动手指头,就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的,有兴趣的可以在看完本文后自己实践一下(后果自负 哈)。
闲话少说,书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器,注意这里不能使用gpedit.msc(那是编辑本机策略的),而要打开“开始——程序——管理工具——Active Directory 用户和计算机”。 截图如下: 在打开的窗口中选择你的域名,并在其上右击选择属性,然后在弹出的属性对话框中选择组
策略。现在你就会看到默认域策略——Default Domain Policy,截图如下: 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy,这样便于我们随时恢复到系统默认的设置。呵呵,留条出迷宫的路,是所有操作前的必修课。 默认的不让动,那我们怎么编辑组策略呢?答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机,注意组织单位将是一个我们经常使用的划分方式,组策略可以按层次模式很好的在其上运行,这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式,组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了,出了问题还便于排查错误。为了演示这种层次模式,我新建一个名为“用户和计算机”的组织单位,并将原来的两个组
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!-----gpmc.msi (工具) 使用:运行--->gpmc.msc 如下键面: 文件夹重定向: 1.在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!) 2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组 3.用本地用户登录机器查看! 禁止卸载: 1.权限domain user + 管理模板(相当于改动注册表!!) 2.再把控制面板里的“添加删除程序”禁用 禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb.adm 3. 4. 5. 6. 7.客户端机器重启生效 禁止绿色软件安装,如:迅雷,QQ等--------建立哈希规则: 建立了哈希规则后不论此软件放在机器的任何路径,都将被禁止! GPO软件分发: 1.工具:Advanced Installer 制作MSI格式文件 2.在DC上建立一共享文件夹。把*.MSI格式文件放入,附Authenticated 可读,Admini 完 全控制 3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名) 4.软件安装右击→程序包-→*.MSI →已发布\已指派 停止域客户端的防火墙: 右击,域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall 漫游: 1.账号在客户机上登录 2.在server上建议账号空间
使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置; 统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法; 1 域组策略统一配置防火墙 使用域管理员登录域控制器,打开“管理工具>组策略管理”; 在目标组织单位右击,新建GPO; 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO,选择编辑GPO,选择“计算机配置>策略>Windows设置>安全设置>系统服务”;
选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务,并禁用该俩项服务; 结果如下; 1.1.2 查看客户端结果 重启XP客户端查看结果
重启Win7客户端查看结果 1.2 开放客户端防火墙端口 (注:首先将上面组策略中的系统服务设置还原在进行下一步的配置) 1.2.1 域策略配置 右击目标GPO选择编辑,选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”,下面的子集即为客户端防火墙配置项目,此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集,其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用;
组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM),它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。
3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。 第1种方法的步骤很简单: .在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图 第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下: 为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: https://www.doczj.com/doc/7b16637013.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组
Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境,实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.
2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控(DC)基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位(OU) (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位:(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象(dsmod) (14) 6、其他命令(dsquery、dsmove、dsrm) (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)
一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于: 1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
组策略处理和优先级 此主题尚未评级- 评价此主题 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第 3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策 略处理,都会处理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在 组策略管理控制台(GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选 项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后 是链接到其子组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。 如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响:
活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。
1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展
域控中组策略基本设置计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!-----gpmc.msi (工具) 使用:运行--->gpmc.msc 如下键面: 文件夹重定向: 1.在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!) 2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组 3.用本地用户登录机器查看! 禁止卸载: 1.权限domain user + 管理模板(相当于改动注册表!!) 2.再把控制面板里的“添加删除程序”禁用 禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb.adm 2. 3. 4. 5. 6.
7.客户端机器重启生效 禁止绿色软件安装,如:迅雷,QQ等--------建立哈希规则: 建立了哈希规则后不论此软件放在机器的任何路径,都将被禁止! GPO软件分发: 1.工具:Advanced Installer 制作MSI 格式文件 2.在DC 上建立一共享文件夹。把*.MSI格式文件放入,附Authenticated 可读,Admini 完全控制 3.编辑组策略-用户配置-软件安装-右击\\(DC的IP\共享名) 4.软件安装右击程序包-*.MSI 已发布\已指派 停止域客户端的防火墙: 右击,域计算机-Windows-设置安全设置-系统服务windows firewall 漫游: 1.账号在客户机上登录 2.在server上建议账号空间 3.server在客户机上登 4.server上设主文件 计划检查表 日期周几复习课目时间在规定时间内是 否完成学生签 字 家长签 字 2017.11. 13 周一四小科例20:30-21:30 是(√)否(√)穆诚豪
网络安全https://www.doczj.com/doc/7b16637013.html,/ 2003 server 域密码策略设置解析 在域控制器上的开始菜单中打开“运行”,输入DSA.MSC后回车,即打开活动目录的用户和计算机管理控制台。在域节点右键,进入属性,打开组策略选项卡,在里边找到Default Domain policy这个GPO选中他,点击下面的编辑,现在就会打开组策略编辑器,在这个组策略编辑器中找到一下路径:计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。在这个路径下找到“密码必须符合复杂性要求”设置为禁用,“密码长度最小值”设置为0。这样你就可以创建空密码的用户帐户了(当然在这里你也可以为你的域设置你自己需要的密码策略),完成了以上设置后并没有完,还有最后一步,就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。 问题: 1、如何在WIN2003中添加用户?每次添加用户时总是提示我不符合密码策略,怎么办?答:对于2003域,默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求,且密码最小长度为7。口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中不得包括全部或部分用户名。 当然也可以重新设默认域的安全策略来解决。操作如下:开始/程序/管理工具/域安全策略/帐户策略/密码策略:密码必须符合复杂性要求:由“已启用”改为“已禁用”;密码长度最小值:由“7个字符”改为“0个字符”。 使此策略修改生效有如下方法: 1、等待系统自动刷新组策略,约5分钟~15分钟 2、重启域控制器(若是修改的用户策略,注销即可) 3、使用gpupdate命令。(推荐使用这个) 说明: 2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。 命令格式如下: 仅刷新计算机策略:gpupdate /target:computer 仅刷新用户策略:gpupdate /target:user 二者都刷新:gpupdate 此命令也适用于,修改了域/OU上的组策略,欲对客户机或用户马上生效。在客户机上运行此命令即可。自动刷新间隔:DC到DC是5分钟,2个以上的多DC,最长可能达到15分钟,DC到非DC是90+ -30分钟,即60~120分钟。 说明:安全策略只是组策略的一部分,或者说子集。所以有的网友说改默认域的组策略也是对的。 操作:开始/程序/管理工具/AD用户和计算机/域上右键/属性/组策略/默认域的组策略/计算机配置/windows设置/安全设置(MS只不过把这部分单独提出来做了鯩MC控制台——域安全策略,而已)/帐户策略/密码策略
四川省烟草专卖局(公司) 效能协同平台 管理员操作手册 AD域控及组策略管理 版本号 1.0 日期:2011年6月 山东浪潮齐鲁软件产业股份有限公司
文档修订记录
目录 一、Active Directory(AD)活动目录简介 (4) 1、工作组与域的区别 (4) 2、公司采用域管理的好处 (4) 3、Active Directory(AD)活动目录的功能 (6) 二、AD域控(DC)基本操作 (6) 1、登陆AD域控 (6) 2、新建组织单位(OU) (8) 3、新建用户 (10) 4、调整用户 (11) 5、调整计算机 (14) 三、AD域控常用命令 (15) 1、创建组织单位:(dsadd) (15) 2、创建域用户帐户(dsadd) (15) 3、创建计算机帐户(dsadd) (15) 4、创建联系人(dsadd) (16) 5、修改活动目录对象(dsmod) (16) 6、其他命令(dsquery、dsmove、dsrm) (17) 四、组策略管理 (19) 1、打开组策略管理器 (19) 2、受信任的根证书办法机构组策略设置 (20) 3、IE安全及隐私组策略设置 (25) 4、注册表项推送 (30) 五、设置DNS转发 (33)
一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于: 1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
在域组策略中实现映射网络驱动器的方法 一、把下面代码复制到记事本中,并保存文件名为“logon.vbs” Set WshNetwork = WScript.CreateObject("https://www.doczj.com/doc/7b16637013.html,work") set wshshell=WScript.CreateObject("WScript.shell") WScript.sleep 3000 WshNetwork.MapNetworkDrive "z:","\\X.X.X.X\XXXX" 二、在AD用户和计算机中的域名上右击,选择属性。 三、在弹出的窗口中选择组策略选项卡——点击编辑按钮——在跳出的默认域策略窗口中选择用户配置——Windows设置——脚本(登陆/注销)——登陆属性——点击显示文件按钮,把logon.vbs复制到弹出的文件夹中——点击添加按钮——点击浏览按钮把刚才复制的logon.vbs脚本文件添加进去——点击确定按钮。 添加共享打印机 Set WshNetwork = WScript.CreateObject("https://www.doczj.com/doc/7b16637013.html,work") Wshnetwork.addWindowsPrinterConnection "\\pc-hp1020" Wshnetwork.SetDefaultpritner "\\pc-hp1020" 自动映射网络驱动器: Set WshNetwork = WScript.CreateObject("https://www.doczj.com/doc/7b16637013.html,work") WshNetwrok.RemoveNetworkDrive "z" WshNetwork.MapNetworkDrive "z:","\\X.X.X.X\XXXX" @echo off color f2 mode con cols=71 lines=10 echo ********************************************************************** echo ********将添加网络驱动器到本地倒数第一个可用盘符(一般为Z:)*********** echo ********************************************************************** echo @echo off net use * \\Server\share P@ssw0rd /user:Domain\sharer /PERSISTENT:no net use x: \\servername\sharename /y 删除用: net use x: /d
域控器的组策略应用设置大全 组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项” 2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE 浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE 插件不再骚扰你5、保护好你的个人隐
私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的?我的文档?图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上?网上邻居?图标”和“隐藏桌面上的
组策略的实施 1.理解组策略作用 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:S、D、OU中的计算机和用户 GPO的组件存储在2个位置: GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构。 3. 组策略更改后不是立即生效,可以通过运行:gpupdate / force命令来立即刷新。 4.默认下层容器会继承上层容器的策略,如下图:
5. 下层可以通过阻止策略继承按钮,不继承上层的策略。如图: 6. 上层也可强制下层来继承策略,就算下层开了阻止策略继承也要继承。如图:
7.策略之间出现冲突时,遵循以下几点 1. 如果同一个容器的计算机策略和用户策略都设置了,但这2个的策略之间相互冲突,并且 这个容器下的用户帐户恰好登录了这台计算机,那么计算机策略和用户策略同时都要生效,这时计算机策略覆盖用户策略! 2.不同层次的策略产生冲突时,子容器(上层)上的GPO优先级高! 3.同一个容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。 8.筛选组策略设置,将用户或者组添加到安全组,在应用组策略选项后选择拒绝即可 软件策略:指派与发布 1.建立一个共享文件夹,将要实施的MSI格式软件放入共享文件夹。 2.利用组策略的软件安装找路径(网络路径) 3. 选择发布/指派软件 a)指派,程序在【开始】菜单中 b)发布,程序显示在【控制面板】|【添加/删除程序】中
A D域控及组策略管理目录
一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于: 1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。
2、公司采用域管理的好处 1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5)、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6)、方便用户使用各种资源。 7)、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8)、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者
我们先了解下组策略知识: 1、组策略中包含两部分: 1 计算机配置:针对计算机的配置,只在计算机上生效。计算机启动的时候应用,在出现登录界面前。 2 用户配置:针对用户的配置,只在所有用户帐户上生效。用户登录后应用。 2、根据应用范围将组策略分为三类: 1 域的组策略:设置对于整个域都生效。在“AD用户和计算机”中,右击域名-〉属性-〉组策略。 2 OU的组策略:设置对于这个的OU生效。在“AD用户和计算机”中,右击OU名-〉属性-〉组策略。 3 站点的组策略:设置对于这个站点生效。在“AD站点和服务”中,右击站点名-〉属性-〉组策略。 注意:“运行”中键入gpedit.msc,启动的是本地组策略,我们要的是“域组策略”!所以必须右击“AD用户和计算机”中才能进入。 3、组策略的执行顺序: 1 站点-〉域-〉组织单元(OU) 2 计算机配置-〉用户配置 4、组策略的冲突: 1 在不同组策略中的同一项目的设置相反,就是组策略冲突。如:在站点组策略中,“隐藏桌面上的网上邻居图标”设置为“启用”,而域的组策略上设置的是“禁用”。再如:在域的组策略中“密码长度”设置为“7”,而OU的组策略中设置的是“6”。 2 冲突的结果:后执行的是结果。 5、组策略中的设置内容: 1 软件安装:自动安装应用软件。计算机配置和用户配置下都有。准备工作:软件的源安装文件,在安装文件中要有.msi为后缀的可执行文件。将软件的源安装文件放到一个共享文件夹中。(网络路径) A、已发行:由用户决定是否安装。如果软件包是已发行方式,用户登录后,系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。在计算机配置中不能实现。 B、已指派:强制性安装,自动安装。 2 WINDOWS设置: A、计算机配置:脚本(启动和关机),安全设置。
组策略处理和优先级 此主题尚未评级 - 评价此主题 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象 (Γ∏O 并非全部具有相同的优先级。以后 应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合 计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第 3 步和 第 8 步。 组策略设置是按下列顺序进行处理的: 1. 本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或 用户策略处理,都会处理该内容。 2. 站点—接下来要处理任何已经链接到计算机所属站点的 Γ∏O。处理的顺序是由管 理员在组策略管理控制台 (Γ∏MX 中该站点的 链接的组策略对象 选项卡内指定的。 链接顺序 最低的 Γ∏O 最后处理,因此具有最高的优先级。 3. 域—多个域链接 Γ∏O 的处理顺序是由管理员在 Γ∏MX 中该域的 链接的组策略对 象 选项卡内指定的。 链接顺序 最低的 Γ∏O 最后处理,因此具有最高的优先级。 4. 组织单位—链接到 Aχτι?ε ?ιρεχτορψ 层次结构中最高层组织单位的 Γ∏O 最先处 理,然后是链接到其子组织单位的 Γ∏O,依此类推。最后处理的是链接到包含该用 户或计算机的组织单位的 Γ∏O。 在 Aχτι?ε ?ιρεχτορψ 层次结构的每一级组织单位中,可以链接一个、多个或不链接 Γ∏O。如果一个组织单位链接了几个 Γ∏O,它们的处理顺序则由管理员在 Γ∏MX 中该组织单位的 链接的组策略对象 选项卡内指定。 链接顺序 最低的 Γ∏O 最后处 理,因此具有最高的优先级。 该顺序意味着首先会处理本地 Γ∏O,最后处理链接到计算机或用户直接所属的组织 单位的 Γ∏O,它会覆盖以前 Γ∏O 中与之冲突的设置。(如果不存在冲突,则只是将 以前的设置和以后的设置进行结合。)