【通用】AD域用户常用组策略设置.docx

域控器的组策略应用设置大全1.密码策略设置：可以设置密码的复杂度要求，包括密码长度、大小写字母要求、数字和特殊字符要求等。

还可以设置密码过期时间和历史密码禁用策略。

2.账户策略设置：可以设置账户锁定策略，包括连续登录失败次数和锁定时间。

还可以设置强制用户注销策略，踢出空闲用户和会话时间限制等。

3.审计策略设置：可以设置哪些事件需要进行审计，以及生成审计日志的位置和大小。

还可以设置审计策略的保留时间和备份策略等。

4.软件安装策略：可以通过组策略实现软件的自动安装和卸载。

可以指定软件的安装位置、启动方式和升级方式，并设置软件的相关策略。

5.防火墙策略设置：可以设置域中计算机的防火墙策略，包括入站和出站规则的配置。

可以设置允许和禁止的端口号、应用程序等。

6.网络共享策略设置：可以设置共享文件夹和打印机的访问权限，包括读写权限和管理权限。

可以配置网络共享策略的安全性和密码保护方式等。

7.远程桌面策略设置：可以设置远程桌面连接的权限和限制。

可以设置远程桌面连接的安全性和加密方式，以及是否允许远程桌面的访问。

8. Internet Explorer 策略设置：可以限制用户对 Internet Explorer 的设置和功能的访问和修改。

可以设置主页、安全性、隐私和其他 Internet Explorer 相关的策略等。

10.端口安全策略设置：可以限制计算机上允许开放的端口和服务。

可以阻止非授权的端口访问和连接，增强网络的安全性。

总结起来，域控制器的组策略应用设置包含了密码策略、账户策略、审计策略、软件安装策略、防火墙策略、网络共享策略、远程桌面策略、Internet Explorer 策略、软件限制策略和端口安全策略等方面的配置和管理。

通过合理配置组策略，可以提高网络的安全性，统一管理和控制计算机的行为，提升网络的效率和管理能力。

企业ad域控组策略
AD域控组策略是Active Directory域控制器中用于批量管理计算机和用户设置的强大工具。

通过组策略，管理员可以集中管理计算机和用户的配置，以减少管理成本、减少用户单独配置错误的可能性，并针对特定对象设置特定的策略。

组策略对象（GPO）是存储组策略所有配置信息的一个特殊对象。

默认情况下，有两种主要的组策略对象：默认域策略和默认域控制器策略。

这些策略对象可以在域或组织单元级别上应用，以控制计算机和用户的策略设置。

在AD域控中，组策略的设置可以通过计算机策略、用户策略、脚本策略和首选项策略四种方式实现。

计算机策略在用户启动时执行，具有管理员权限，但需要考虑权限问题。

用户策略在用户登录时执行，自带权限，但只有Users的权限。

脚本策略既可以在计算机策略中也可以在用户策略中使用，具有很大的灵活性，但需要运维人员具备相应的技能。

首选项策略是微软提供的简化版策略实施方式，方便简单灵活，但不能处理过于复杂的策略。

当在域中应用组策略时，一些关键点需要注意。

例如，本地安全策略与默认域策略有冲突时，以默认域策略优先，本地设置无效。

此外，组策略的设置在本地计算机重启时、DC每5分钟自动应用、不是DC每隔90-120分钟
会自动应用、所有计算机每隔16小时强制应用，即使无更改。

如果需要手动应用域策略，可以使用gpupdate或gpupdate /force命令。

总的来说，企业AD域控组策略是一种强大的工具，可以帮助管理员更好地管理和控制计算机和用户的配置。

通过合理地使用组策略，企业可以提高管理效率、减少错误配置的可能性，并更好地保护企业资源的安全性。

管理员操作手册-AD域控及组策略管理_51CTO下载1.前言AD域控及组策略管理是IT管理员日常工作的重要组成部分，通过对AD域控和组策略的合理配置和管理，可以实现企业网络环境的安全性、可靠性和高效性。

本手册旨在提供AD域控和组策略管理的相关操作指南，帮助管理员更好地完成日常工作。

2.AD域控管理2.1AD域控的创建与配置- 在服务器管理工具中打开“Active Directory 域服务配置向导”。

-选择“新建林”并按照向导进行域控的创建与配置。

2.2AD域控的管理与维护- 在服务器管理工具中打开“Active Directory 用户和计算机”。

-可以进行用户账户、计算机账户、组织单位等的管理与维护。

2.3AD域控的备份与恢复- 使用Windows Server Backup工具进行备份和恢复。

-定期备份AD域控以防止数据丢失和系统崩溃。

3.组策略管理3.1组策略的创建与配置-在服务器管理工具中打开“组策略管理”。

-可以创建和配置适用于不同组织单位的组策略。

3.2组策略的应用与更新-使用“更新策略”命令可以立即使变更的组策略生效。

-配置组策略的过程中可以指定应用的对象，如用户组、计算机组等。

3.3组策略的审计与报告-使用组策略管理工具中的“结果集”功能可以查看策略的审计结果。

-可以生成策略的报告并进行分析以优化策略配置。

4.网络安全与用户权限管理4.1基于域的安全-配置域用户账户和组的访问权限和密码策略。

-设置账户锁定策略和审计策略以防止未授权访问。

4.2网络访问控制-配置网络访问控制列表（ACL）以限制网络资源的访问。

-配置防火墙规则和端口策略以增强网络安全性。

4.3用户权限管理-使用“本地安全策略”工具配置本地用户的权限。

-配置用户账户的分组和权限以实现最小权原则。

5.故障排除与性能优化5.1AD域控故障排除- 使用Windows Event Viewer查看与AD域控相关的事件日志。

-使用工具检查AD域控的硬件和网络连接是否正常。

软件设置打开组策略软件安装打开组策略软件安装1.打开“组策略管理控制台”。

右键单击要编辑的组策略对象，然后单击“编辑”。

2.若要将软件应用程序指派给计算机，请在控制台树中展开“计算机配置\策略”。

若要向用户指派或发布软件应用程序，请在控制台树中展开“用户配置\策略”。

3.展开“软件设置”，然后单击“软件安装”。

其他注意事项要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

设置组策略软件安装的默认值若要将软件安装程序包添加到用户设置，可以发布或指派程序包。

选定站点、域和组织单位的用户使用控制面板中的“添加/删除程序”或使用文件激活可以安装已发布的程序包。

选定站点、域或组织单位中的用户在下次登录时（指派给用户）或计算机重新启动时（指派给计算机）将收到已指派的程序包。

设置组策略软件安装的默认值1.打开“组策略软件安装”。

（在控制台树中，右键单击“软件安装”。

）2.单击“属性”，然后在“常规”选项卡上指定下列选项：o在“默认程序包位置”中，指定默认的软件分发点。

o在“新增数据包”中，指定将新数据包添加到用户设置中的方法。

默认情况下，数据包可以被发布或指派。

（对于计算机，只能指派。

）如果要对每个数据包都选择这些选项，请单击“显示部署软件”对话框。

若要分别对各个数据包进行更多的控制，请单击“高级”。

o根据希望安装过程对用户所显示的外观，单击“安装用户界面选项”中的“基本”或“最大”。

其他注意事项∙要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

域账号组策略配置手册V1.0注：使用域后，原有每台机器需要配置的host文件仍需要配置，在修改ip和机器名后，请保持同步更新，以免影响应急系统的使用。

1. 域组策略配置1.1. 域控制器配置1.在域控制器上，打开Active Directory 用户和计算机进行配置2 . 新建组织单位WWIMP3.将Computers 下面属于集成平台得计算机加入到新建的组织中4. 在开始->运行中输入gpmc.msc,打开组策略管理器5. 在目录下找到刚才新建的组织WWIMP ,点击右键创建GPO6. 输入gpo名称wwgpo7. 右键点击刚才创建的GPO，选择编辑，打开组策略编辑器8. 根据下图打开安全选项组策略9. 在右边找到“用户账户控制：在管理审批模式下的提升提示行为”修改为“不提示，直接提升”10．在右边找到“用户账户控制：以管理员批准模式运行所有管理员”，将之改为“已启用”11. 关闭编辑器。

1.2. 域成员更新组策略（2008需要）1. 在域成员计算机上，开始-.>运行cmd ，进入命令窗口2. 运行命令杭gpupdate /force2. WW域用户配置2.1. Ww域用户增加1．登陆域控制器，打开打开Active Directory 用户和计算机进行配置2．选择新建用户3．增加用户wwimpuser 密码p@ssw0rd (0是数字)，选择密码永不过期4. 在users 下找到该用户，右键属性，在“隶属于”选项卡中，将该用户加入到domain admins 和domain users 用户中2.2. Ww客户端配置（或者安装时）1. 双击所有程序中Wonderware下的Change Network Account2. 打开界面后能看到原来的配置，目前我们安装ww软件时都是用的wwuser，如下图3. 重新输入域名称（和现场实际相同），用户使用刚才创建的wwimpuser用户4. 点击确定，这边的提示密码会过期，不用管（我们在域中建的用户密码已经选择了永不过期），直接选择“是”4. 点击确定，重启计算机。

ad域控制策略AD（Active Directory）域控制是一种用于管理网络中用户、计算机和资源的服务。

它提供了一种集中式的管理方式，使得管理者能够轻松地管理整个网络，在域环境中为用户提供单点登录、统一授权、集中控制等功能。

接下来，我们将介绍AD域控制的相关策略。

首先，为了保障网络安全，我们需要制定一套严格的账户安全策略。

这包括使用强密码、定期更改密码、禁止重复使用密码等措施，以确保用户账户的安全性。

另外，还要控制账户登录失败的次数，在一定次数尝试失败后自动锁定账户，防止恶意暴力破解。

同时，要实施账户审计策略，记录账户的登录、注销和权限变更等操作，以便及时发现异常情况。

其次，域控制还需要管理计算机的策略。

我们可以通过策略设置来限制用户对计算机的访问权限，防止非授权用户未经许可访问计算机。

此外，还可以配置安全设置，如禁用自动运行程序、限制USB设备的使用等，以增强计算机的安全性。

此外，还可以实施补丁管理策略，定期检查和更新计算机的安全补丁，以最大程度地减少安全漏洞。

此外，在AD域控制中，我们还可以制定一系列的组策略，来管理用户和计算机的行为。

通过组策略，我们可以设置用户的桌面背景、屏幕保护、禁用控制面板等，以统一管理用户的工作环境。

在计算机方面，我们可以设置其加入域的要求、网络资源的映射、软件的安装等，使得计算机和用户在遵循统一的规范和标准下进行工作。

除了账户和计算机管理外，我们还可以通过AD域控制来管理网络资源。

例如，可以设置共享文件夹的访问权限，使得只有经过授权的用户能够访问共享资源。

此外，还可以设置打印机的共享与权限，实现集中管理和控制打印设备。

这样，可以避免用户在安装和使用网络资源上出现混乱和冲突。

综上所述，AD域控制策略在网络管理中起着重要的作用。

通过制定合理的账户安全策略、计算机管理策略、组策略和资源管理策略，我们可以提高网络的安全性、管理性和可维护性。

因此，在实施AD域控制时，我们应该充分了解其策略特点，灵活运用，以达到最佳的网络管理效果。

管理员操作手册AD域控及组策略管理51CTO下载四川省烟草专卖局〔公司〕效能协同平台管理员操作手册AD域控及组战略管理版本号 1.0日期:2020年6月山东浪潮齐鲁软件产业股份文档修订记载目录一、Active Directory(AD)活动目录简介 (4)1、任务组与域的区别 (4)2、公司采用域管理的益处 (4)3、Active Directory(AD)活动目录的功用 (6)二、AD域控〔DC〕基本操作 (6)1、登陆AD域控 (6)2、新建组织单位〔OU〕 (8)3、新建用户 (10)4、调整用户 (11)5、调整计算机 (14)三、AD域控常用命令 (15)1、创立组织单位：(dsadd) (15)2、创立域用户帐户(dsadd) (15)3、创立计算机帐户(dsadd) (15)4、创立联络人(dsadd) (16)5、修正活动目录对象〔dsmod〕 (16)6、其他命令〔dsquery、dsmove、dsrm〕 (17)四、组战略管理 (19)1、翻开组战略管理器 (19)2、受信任的根证书方法机构组战略设置 (20)3、IE平安及隐私组战略设置 (25)4、注册表项推送 (30)五、设置DNS转发 (33)一、Active Directory(AD)活动目录简介1、任务组与域的区别域管理与任务组管理的主要区别在于：1〕、任务组网完成的是分散的管理形式，每一台计算机都是独自自主的，用户账户和权限信息保管在本机中，同时借助任务组来共享信息，共享信息的权限设置由每台计算机控制。

在网上邻居中可以看到的任务组机的列表叫阅读列表是经过广播查询阅读主控效劳器，由阅读主控效劳器提供的。

而域网完成的是主/从管理形式，经过一台域控制器来集中管理域内用户帐号和权限，帐号信息保管在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器一致管理。

这就是两者最大的不同。

2〕、在〝域〞形式下，资源的访问有较严厉的管理,至少有一台效劳器担任每一台联入网络的电脑和用户的验证任务，相当于一个单位的门卫一样，称为〝域控制器〔Domain Controller，简写为DC〕〞。