最新AD域用户常用组策略设置

常用AD组策略设置利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。

根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。

相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。

下面是实际操作演示：⏹AD域控制器：Windows Server 2003/2008⏹以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图)：可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是：copy bssec.scr c:\windows\system32即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。

作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。

打开“”域的属性(如下图)：可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“用户配置”－“管理模板”－“控制面板”－“显示”，启用右侧的“屏幕保护程序”，启用“可执行的屏幕保护程序的名称”，填入屏幕保护文件名：bssec.scr，(如下图)：同时启用右侧的“密码保护屏幕保护程序”，设置屏保超时(如下图)：屏保设置完毕。

域用户常用组策略设置组策略是指在Windows操作系统中，通过集中管理策略和设置来控制域用户和计算机的行为。

以下是一些常用的组策略设置，适用于Windows Server上的域环境。

1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。

可以设置密码的最短长度、密码的复杂性要求，如必须包含大写字母、小写字母、数字和特殊字符等。

还可以设置密码的最长有效期和密码历史记录的保留个数，以防止用户频繁更改密码。

2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。

该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。

可以设置失败尝试次数和锁定时间。

3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。

例如，可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。

可以根据组织的需求进行灵活的设置，以满足不同用户角色和职责的需要。

4.审计策略审计策略用于记录用户和计算机的操作日志。

可以设置哪些操作需要被审计，如登录、文件访问、对象的创建和删除等。

审计策略可以帮助管理员跟踪和分析系统的安全事件，及时发现和应对潜在的安全威胁。

5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。

可以通过组策略将软件程序推送到目标计算机上，或者限制一些用户或计算机无法安装特定的软件。

这样可以确保组织中的计算机都拥有统一的软件环境，便于管理和维护。

6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。

可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。

还可以限制用户是否可以访问控制面板、开始菜单等系统设置。

这样可以加强计算机的安全性，并减少用户误操作或恶意行为造成的影响。

7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。

可以设置浏览器的安全级别、对特定网站启用或禁用特定功能，如ActiveX控件、Java脚本等。

一、组策略基础知识1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上生效。

计算机启动的时候应用，在出现登录界面前。

2 用户配置：针对用户的配置，只在所有用户帐户上生效。

用户登录后应用。

2、根据应用范围将组策略分为三类：1 域的组策略：设置对于整个域都生效。

在“AD用户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU生效。

在“AD用户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点生效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD用户和计算机”中才能进入。

3、组策略的执行顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉用户配置4、组策略的冲突：1 在不同组策略中的同一项目的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。

再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。

2 冲突的结果：后执行的是结果。

5、组策略中的设置内容：1 软件安装：自动安装应用软件。

计算机配置和用户配置下都有。

准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。

将软件的源安装文件放到一个共享文件夹中。

（网络路径）A、已发行：由用户决定是否安装。

如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，自动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。

AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略在域组策略下，viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步：将桌面背景图放到共享目录下第二步：创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步：创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。

ad域配置密码策略AD域配置密码策略引言在现代信息系统中，保护用户账户和敏感数据的安全至关重要。

密码策略是一种提高系统安全性的有效方法，通过指定密码的复杂度要求、过期策略和锁定机制，可以降低密码被破解或滥用的风险。

本文将介绍在AD域中配置密码策略的相关内容。

密码复杂度要求为了增强密码的复杂性，应设置以下要求： - 必须包含大写字母、小写字母、数字和特殊字符； - 最小长度限制； - 避免使用常见密码和重复字符； - 避免使用用户名、公司名或其他可识别信息。

密码过期策略设置密码过期策略可以迫使用户定期更改密码，减少密码被猜测或泄露的风险。

- 设置密码的最大使用期限，通常为30-90天； -最短密码更改间隔时间限制，以防止连续更改密码。

密码锁定机制为了防止密码被暴力破解或滥用，可以配置密码锁定机制： - 锁定阈值：设置连续登录失败次数的阈值； - 锁定时间：当用户连续登录失败次数达到锁定阈值时，锁定账户的时间长度； - 密码重置：锁定账户后可以选择是否需要管理员介入重置密码才能解除锁定。

审计和报告合理配置账户审计策略可以监测和报告密码活动，帮助保护系统安全： - 启用审计登录和密码重置等关键活动； - 设置日志保留时间，并定期检查审计日志； - 配置警报机制，及时发现异常活动。

最佳实践为了更好地保护AD域和用户账户，以下是一些最佳实践： - 教育用户：提供有关密码安全的培训和宣传，以加强用户意识； - 强制密码重置：定期要求用户更改密码； - 多因素认证：推荐启用多因素认证以增加额外的安全层级； - 定期评估：定期审查和更新密码策略，确保其与安全需求的一致性。

结论配置密码策略是保护AD域和用户账户安全的重要步骤。

通过设置密码复杂度要求、密码过期策略和密码锁定机制，可以有效减轻密码被猜测、泄露或滥用的风险。

同时，审计和报告密码活动以及遵循最佳实践也是保护系统安全的关键。

请根据实际需求和风险评估来制定适合自己组织的密码策略。

一、编辑组策略1、允许用户登陆本计算机在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。

用gpupdate /force 命令刷新。

2、拒绝用户访问运行、CMD、以及批处理文件。

1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。

用gpupdate /force 命令刷新。

2、在要设定的域控制器点击右键→属性→组策略→编辑策略→用户配置→管理摸板→系统→阻止用户访问命令提示符→继续点击下面的的选项→是否拒绝使用批处理文件处理→选择“是”。

用gpupdate /force 命令刷新。

二、拒绝继承权限1、在下一级的OU上→属性→组策略→禁止策略的继承。

用gpupdate /force 命令刷新。

三、强制继承1、在上一级的OU上→属性→组策略→选项→禁止替代钩上。

用gpupdate /force 命令刷新。

四、过滤用户（特定的人群）1、在要设定的OU上→属性→组策略→属性→安全→添加用户→给予权限→拒绝组策略。

用gpupdate /force 命令刷新。

五、桌面管理1、在要设定的OU上→属性→组策略→编辑组策略→用户配置→管理模板→桌面→Acti ve desktop→启用Active desktop→启用Active desktop墙纸→输入对应的主机的地址和共享文件。

2、用户配置→管理模板→系统→CTRL+ALR+DEL选项。

六、密码策略1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→（1、密码策略2、帐户锁定策略）七、组策略脚本1、当用户启动时→启动脚本→登陆脚本2、当用户注销时→注销脚本→关机脚本3、wscript.echo"内容" 后缀改为“VBS”1、建立脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→用户配置（计算机配置）→WINDOWS设置→脚本→双击登陆→显示文件→把脚本文件拖进去→3、在点击添加→写入文件名就可以了。

AD域组策略规划和部署指南AD域（Active Directory）是一种用于管理网络资源的服务。

组策略是AD域中的一项功能，在整个域范围内为用户和计算机提供统一的安全设置和管理。

本文将提供AD域组策略规划和部署的指南，帮助管理员更好地使用此功能。

一、规划阶段1.定义需求：首先，确定组策略的主要需求和目标。

这可能包括安全性、访问控制、软件分发、用户配置等方面。

2.识别和分类对象：将AD域中的用户和计算机分组，并为每个组定义不同的策略需求。

例如，可以将用户分为管理人员、技术人员和普通员工等组别。

3.制定策略范围：确定需要部署组策略的范围。

可以选择在整个域中实施策略，也可以仅在特定的组织单位或者OU（组织单元）中实施。

二、设计策略1.定义基本策略：根据需求和目标，制定基本策略模板。

这些策略包括密码策略、帐户锁定策略、用户权限策略等。

2.定义高级策略：根据不同的组别和对象，制定更详细的策略，以满足各组的需求。

例如，可以为管理人员组设计更严格的安全设置，为技术人员组配置特定的软件等。

3.组织单位结构设计：根据分组需求，设计合适的OU结构。

这将有助于更好地管理和应用组策略，使其更符合组织的层次结构和需求。

三、实施策略1.创建组策略：在AD域中，使用组策略对象来创建和管理策略。

可以通过右键单击"组策略对象"，然后选择"新建策略"来创建新的策略。

2.配置策略设置：打开组策略对象后，可以根据需求和目标，通过对不同设置进行配置来实施策略。

这些设置包括安全设置、软件安装、脚本执行、桌面设置等。

3.应用策略：设置好策略后，在AD域中的对象将自动接收到策略，并按照设置进行操作。

可以通过强制组策略更新、重启计算机等方式来确保策略被应用。

四、测试和审计1.测试策略：在实施策略后，进行测试以确保它们按预期工作。

可以选择一些测试用户和计算机，观察他们是否符合策略要求。

2.审计策略：定期审计和评估组策略的效果和安全性。

域组策略域控中组策略基本设置
组策略是域控中的一项重要功能，它允许管理员集中管理域中的计算机和用户。

组策略可以通过设置一系列规则和限制来控制域中的计算机和用户的行为和配置。

在组策略基本设置中，管理员可以执行以下操作：
2.链接组策略到组织单位或域对象：管理员可以将组策略链接到特定的组织单位或域对象上。

链接组策略到组织单位将使该策略应用于组织单位下的所有计算机和用户。

链接组策略到域对象将使该策略应用于整个域中的所有计算机和用户。

3.启用和禁用组策略：管理员可以启用或禁用组策略，以控制该策略是否应用于目标计算机和用户。

禁用组策略将导致不应用该策略中定义的所有设置和规则。

4.强制组策略：管理员可以通过强制组策略来立即应用组策略中的设置和规则。

强制组策略可以用于快速应用新的或更改的设置，而无需等待组策略刷新。

5.优先级设置：管理员可以为链接到同一组织单位或域对象的多个组策略设置优先级。

优先级较高的组策略将覆盖优先级较低的组策略中的相同设置和规则。

7.备份和恢复组策略：管理员可以备份组策略的配置，并在需要时进行恢复。

这样可以确保即使发生意外情况，管理员也能轻松地恢复组策略的设置。

8.详细日志和审计：系统还提供了详细的日志和审计功能，记录组策略的所有修改和应用。

管理员可以使用这些日志来跟踪和审计组策略的变更历史。

安装与配置Active Directory/china/technet/prodtechnol/windowsserver2003/technologi es/directory/default.mspx1、实验目的让学生掌握目录服务知识。

2、实验环境多台装有Windows 2000 Server的计算机。

3、相关理论活动目录是一种目录服务，它存储有关网络对象的信息，例如，用户、组和计算机账户、共享资源和打印机等，并使管理员和用户可以方便地查找和使用网络信息。

活动目录的应用起源于Windows NT 4.0，在Windows 2000 Server中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。

活动目录的优点：(1)基于策略的管理(2)扩展性(3)可调整性(4)信息复制(5)与DNS的集成(6)灵活的查询(7)信息安全性4、实验内容（1）在安装Active Directory前首先确定DNS服务正常工作，下面来安装在根域为的第一台域控制器。

（2）运行Active Directory安装向导将Windows 2000 Server计算机为域控制器创建一个新域或者向现有的域添加其他域控制器。

5、实验步骤安装活动目录的具体操作步骤如下：(1) 执行“开始”→“程序”→“管理工具”→“配置服务器”命令，打开“Windows 2000配置服务器”对话框，如下图所示。

注释：安装完Windows 2000 Server后，每次启动计算机，系统都会自动打开“Windows 2000配置服务器”对话框。

(2) 在左边的列表中单击Active Directory(活动目录)选项，并将右边的滚动条拖动到底部，使对话框如下图所示。

(3) 单击“开始Active Directory向导”选项，打开“欢迎使用Active Directory 安装向导”对话框。

该对话框显示了Active Directory安装向导的简单欢迎信息。

ad域常用策略AD域（Active Directory）是一种由微软公司开发的用于管理网络资源的目录服务。

在企业和组织中，AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面，以确保网络的稳定运行和信息安全。

本文将介绍AD域常用策略的相关内容。

一、用户权限管理策略1. 密码策略：通过设置密码复杂度、密码过期时间等参数，确保用户的密码安全可靠。

密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码，并设置密码最短使用期限和密码历史，禁止用户频繁更改密码。

2. 用户账户锁定策略：设置账户锁定阈值和锁定时间，当用户连续多次输入错误密码时，账户将被锁定一段时间，以防止密码暴力破解。

3. 用户授权策略：通过授权用户的组成员身份和所属组织单位，限制用户对资源的访问权限，确保数据的安全性和完整性。

二、安全策略1. 安全审核策略：启用安全审核策略，记录系统日志和安全事件，及时发现和处理安全漏洞和威胁。

2. 账户登录策略：限制用户登录计算机的方式和时间，设置登录失败提示信息，以防止非法用户的登录访问。

3. 文件和文件夹权限策略：通过设置文件和文件夹的权限，保护重要数据不被未授权的用户访问和修改。

三、网络访问控制策略1. 防火墙策略：设置防火墙规则，限制不同网络段之间的通信，阻止潜在的网络攻击和入侵。

2. 网络访问策略：通过设置网络访问规则和权限，限制特定用户或用户组对特定网络资源的访问，确保网络资源的安全和合规性。

四、软件安装与更新策略1. 软件安装策略：通过AD域控制器的软件分发功能，实现远程软件安装和更新，确保企业中所有计算机的软件版本一致性和安全性。

2. Windows更新策略：配置Windows更新设置，自动下载和安装操作系统和应用程序的更新补丁，及时修复安全漏洞，提高系统的稳定性和安全性。

五、域控制器策略1. 域控制器安全策略：加强对域控制器的安全管理，设置域控制器的安全审计策略、密码策略和账户锁定策略，提高域控制器的安全性。

如何利用组策略统一配置用户桌面
1，打开AD界面：
2，右击苏州龙杰-属性-组策略-打开：
3，点击---组策略对像，右击组策略对象—新建—输入自定义名称-完成：
4，照到你新建好的组策略右击—编辑（跳出如下画面）：
5，点击用户配置—管理模版—桌面—Active Desktop
（路径可以设置，但必须是网络共享的路径），点击确定。

7，在右边找到启动Active Desktop,双击打开，选择已启用，点击确定。

GPO，找到你刚才建好的组策略对象，点击确定。

：
9，右击你建好的组策略对象,将强制勾选上：
10，点击开始-运行-输入gpupdate /force，选择N（如果选择Y，大家都会注销。

）
10，在本机电脑点击-开始-运行-输入gpupdate /force 选择Y注销电脑重新登录即可。

1．软件分发和指派（已测试）用advanced installer 7.6（服务器有安装）把exe打包为msi在ad中选中策略，选中软件（分发）指派，安装软件2. 只能域登陆（已测试）（1）IT部回收管理员账户，只给域用户账户，要求大家用域账户登录注释：这时部分软件可能不能用，主要是软件安装的目录在管理员账户下，这时需要重新安装该软件到（C:\Program Files）下（2）组策略：计算机配置-windows设置-安全设置-本地策略-用户权限分配3. 不允许远程访问桌面（已测试），用户不能修改IP（已测试），用户不能安装软件（未测试）不能给域用户本地管理员权限，和域domain admins权限。

4. 创建漫游用户配置文件过程有两个步骤（已测试）步骤一：在此过程中，您会为漫游用户创建一个测试配置文件：1. 创建一个充当测试用户帐户的用户帐户。

例如，创建一个名为Sales Profile 的帐户。

2. 以测试用户帐户登录。

这会在本地计算机的C:\Winnt\Documents and Settings\用户名文件夹中自动创建用户配置文件。

3. 配置桌面环境，包括外观、快捷方式和开始菜单选项。

4. 注销，然后以管理员身份登录。

步骤二：最后复制测试配置文件，在此过程中，您会将测试配置文件复制到网络服务器：1.在网络驱动器上创建一个要在其中存储网络配置文件的文件夹。

（为共享文件夹，在共享权限中设置为完全控制）例如：\\server_name\Profiles\user_name2. 在"控制面板"中，双击系统，然后单击用户配置文件选项卡。

在"储存在本机上的配置文件"下，单击要复制的配置文件，然后单击复制到。

3. 在将配置文件复制到对话框中，键入该文件夹的网络路径。

在"允许使用"下，单击更改。

4. 添加相应的用户，然后单击确定。

5. 在"域用户管理器"中，双击该用户帐户，然后在用户属性对话框中，单击配置文件。

AD安装和常用域环境策略配置AD（Active Directory）是一种用于管理域网络中的用户、计算机和其他网络资源的软件服务。

安装AD并配置常用的域环境策略是企业网络管理中非常重要的一环。

以下是一份AD安装和常用域环境策略配置的指南，以帮助管理员了解如何进行操作。

一、AD安装1.准备工作首先，确认服务器满足以下基本要求：Windows Server操作系统、4GB以上RAM、100GB以上磁盘空间。

接着，更新服务器操作系统，包括安装最新的Service Packs和补丁程序。

2.安装AD角色登录服务器，打开服务器管理器，选择“添加角色和功能”，按照向导选择“基于角色或基于功能的安装”，选择当前服务器，再选择“Active Directory域服务”，点击“安装”。

完成安装后，点击“完成”。

3.配置域环境打开Windows PowerShell或命令提示符，输入“DCPromo”命令，按照向导参考以下步骤进行配置：a)在“域控制器类型”对话框中，选择“创建一个新的域树”。

b)在“完全限定的名字”对话框中，输入新域的名称。

c)在“域功能级别”对话框中，选择适当的功能级别。

d)在“附加的域控制器选项”对话框中，选择适当的选项。

e)在“布置域控制器账户”对话框中，输入管理员凭据。

f)在“证书服务”对话框中，根据需求选择是否安装证书服务。

g)在“附加的选项”对话框中，选择适当的选项。

h)配置DNS服务器，在“DNS服务器选项”对话框中选择域名系统配置选项。

i)在“附加的域控制器选项”对话框中，输入一些全局目录服务柜分区的位置。

j)在“安装配置完成”对话框中，确认设置并点击“完成”完成安装。

4. 开启Active Directory用户和计算机安装完成后，打开“管理工具”，选择“Active Directory用户和计算机”来管理用户和计算机。

二、常用域环境策略配置1.密码策略配置a)打开“组策略管理”，右键点击“默认域策略”。

2023AD域服务器配置使用手册1. 概述本手册旨在为用户提供关于2023年域服务器的配置和使用的详细指南。

域服务器是一种用于管理和控制网络中计算机、用户和资源的中央化服务器，它能够提供统一的身份认证、访问控制和资源管理功能。

2. 硬件要求在配置域服务器之前，请确保满足以下硬件要求：•CPU：双核2 GHz处理器或更高•内存：4 GB或更多•存储：100 GB或更大的硬盘空间•网络接口：至少一个以太网接口3. 操作系统要求目前，Windows Server 2023是用于部署域服务器的最好选择。

请确保您具有可用的Windows Server 2023安装介质或映像文件。

4. 域服务器的配置步骤步骤1：安装Windows Server 2023•插入Windows Server 2023安装介质或加载映像文件。

•启动计算机并选择引导到安装媒体。

•按照安装程序的指示进行操作系统安装。

步骤2：更新操作系统•安装完成后，确保操作系统是最新版本。

访问Windows Update并下载安装所有可用的更新程序。

步骤3：设置静态IP地址•打开“控制面板”，选择“网络和Internet”。

•点击“网络和共享中心”，然后选择“更改适配器设置”。

•右键单击网络适配器，并选择“属性”。

•在“网络”选项卡中，选择“Internet协议版本4（TCP/IPv4）”并点击“属性”。

•在弹出窗口中，选择“使用下面的IP地址”并输入静态IP地址、子网掩码和默认网关。

•点击“确定”保存更改。

步骤4：安装域控制器角色•打开“服务器管理器”。

•点击“管理” -> “添加角色和功能”。

•在“角色安装向导”中，选择“域控制器”并点击“下一步”。

•选择“添加新的林”，输入域名称，并设置域的功能级别。

•输入新的“域管理员”和“域用户”密码，并点击“下一步”。

•完成其他设置，并点击“安装”开始安装域控制器角色。

步骤5：配置域用户和组•打开“Active Directory用户和计算机”管理工具。

为何不能交互式登陆前一段时间做了一个win2000的终端网，采用win2000 application server终端服务模式+citrix(sp3)，客户机上出现登陆窗口，以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题，开始有点呐闷，这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样，后来查了一查资料，顿时明白过来。

在这里我必须讲一讲NT和win2000的身份验证机制。

NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议，用户通过提供登陆信息（如用户名和密码）,服务器将这些信息发送到服务器上的验证机构，验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的，不可传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权限。

而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的，他是由每域的RID主机（相对关系主机）来分配的。

SID在每个域中是独一无二的，但在其他域中也可能出现同样的SID，但是由于域ID的不同，所以二者的GUID就不可能相同。

但这必须建立在Kerberos协议的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A；A信任B，B信任C，A信任C。

当然也可手工调整，一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。

ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE（Access control entry)是具体的访问类型（如read,write 等等).说了这么多，我再谈一谈针对win2000域环境下本地交互登陆的机制，众所周知，win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器，GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求，就会将其转发到LSA（本地权威机构），而在WIN2000下由于Kerberos是默认的验证机制，所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后，便会出现错误信息，因为kerberos是用来验证域用户账号而非本地账号，此时LSA收到错误信息，会将其转发到GINA，GINA在将指定了MSV1_0协议的LSA来验证身份，如果通过则完成本地交互式登陆。

AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略在域组策略下，viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步：将桌面背景图放到共享目录下第二步：创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /fexit第二步：创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。

AD域用户常用组策略设置在Active Directory（AD）域环境中，组策略是用于管理和配置用户和计算机的集中策略工具。

组策略允许管理员通过在域中创建和应用组策略对象（GPOs）来定义用户和计算机的设置。

以下是AD域用户常用的组策略设置：1.密码策略：通过密码策略，管理员可以设置密码的复杂性要求、密码过期时间以及密码历史保留的数量。

这有助于增加密码的安全性。

2.帐户锁定策略：通过帐户锁定策略，管理员可以配置登录失败尝试的次数和锁定持续时间。

这有助于防止恶意用户通过暴力破解密码来获取访问权限。

3.账户密码策略：管理员可以配置密码重置和更改密码的要求。

这包括要求用户更改密码的频率、提供密码重置选项和密码复杂性要求。

4. 安全选项：管理员可以配置安全选项，包括启用或禁用自动管理员登录、禁用Guest帐户、强制使用加密方式进行网络通信等。

5.审核策略：通过审核策略，管理员可以配置要审计的事件类型以及要记录的日志信息。

这有助于保护系统免受安全威胁并进行安全审计。

6.应用程序控制：管理员可以配置允许或拒绝运行的应用程序列表，以帮助防止使用未经授权的应用程序。

7.注册表设置：管理员可以配置注册表设置，以控制计算机上注册表项的访问权限和配置。

8.文件和文件夹权限：管理员可以使用组策略设置来定义共享文件和文件夹的权限，确保只有经过授权的用户可以访问和修改文件。

9.桌面设置：管理员可以通过组策略设置来配置桌面背景、屏幕保护程序、任务栏、桌面图标等，以统一组织内工作站的外观和体验。

10.网络设置：管理员可以使用组策略设置来配置网络接口卡、防火墙、代理服务器等网络设置，以保护网络安全并优化网络性能。

11.程序安装和升级：管理员可以使用组策略设置来自动安装和升级特定的应用程序，以减轻用户手动操作的负担。

12.远程桌面设置：管理员可以配置远程桌面访问权限，限制哪些用户可以远程访问计算机。

13. Internet Explorer设置：管理员可以使用组策略设置来配置Internet Explorer的安全性、高级选项和首选项，以确保一致的浏览器体验。