windows 2008 r2 ad组策略-凯发k8官方旗舰厅

腾讯视频/爱奇艺/优酷/外卖 充值4折起

我们先了解下组策略知识:

1、组策略中包含两部分:

1 计算机配置:针对计算机的配置,只在计算机上生效。计算机启动的时候应用,在出现登录界面前。

2 用户配置:针对用户的配置,只在所有用户帐户上生效。用户登录后应用。

2、根据应用范围将组策略分为三类:

1 域的组策略:设置对于整个域都生效。在“ad用户和计算机”中,右击域名-〉属性-〉组策略。

2 ou的组策略:设置对于这个的ou生效。在“ad用户和计算机”中,右击ou名-〉属性-〉组策略。

3 站点的组策略:设置对于这个站点生效。在“ad站点和服务”中,右击站点名-〉属性-〉组策略。

注意:“运行”中键入gpedit.msc,启动的是本地组策略,我们要的是“域组策略”!所以必须右击“ad用户和计算机”中才能进入。

3、组策略的执行顺序:

1 站点-〉域-〉组织单元(ou)

2 计算机配置-〉用户配置

4、组策略的冲突:

1 在不同组策略中的同一项目的设置相反,就是组策略冲突。如:在站点组策略中,“隐藏桌面上的网上邻居图标”设置为“启用”,而域的组策略上设置的是“禁用”。再如:在域的组策略中“密码长度”设置为“7”,而ou的组策略中设置的是“6”。

2 冲突的结果:后执行的是结果。

5、组策略中的设置内容:

1 软件安装:自动安装应用软件。计算机配置和用户配置下都有。准备工作:软件的源安装文件,在安装文件中要有.msi为后缀的可执行文件。将软件的源安装文件放到一个共享文件夹中。(网络路径)

a、已发行:由用户决定是否安装。如果软件包是已发行方式,用户登录后,系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。在计算机配置中不能实现。

b、已指派:强制性安装,自动安装。

2 windows设置:

a、计算机配置:脚本(启动和关机),安全设置。

b、用户配置:ie维护,脚本(登录和注销),安全设置(密钥),远程安装服务(为客户机安装win2000 pro),文件夹重定向(把用户的一些重要文件夹重定向到文件服务器中)。

3 管理模板:

a、计算机配置:windows组件、系统、网络、打印机。

b、用户配置:windows组件、系统、网络、任务栏和开始菜单、桌面、控制面板。

6、“组策略”选项卡下的操作:

删除:删除组策略对象。

注意:

a 非永久删除:“从列表中移除连接”。只是在列表中删除,还可以在系统中找到,并添加回来或添加到其他容器上。

b 永久性删除:“移除连接并将组策略永久删除”。彻底的删除掉,在系统中无法找到了。

1/新建:新建一个组策略。

3 编辑:编辑指定组策略的设置。

4 添加:将系统中已有的组策略应用到指定容器(域、ou、站点)中。

5 选项:

a 禁止替代:禁止后执行的组策略中的项目更改这个组策略的项目。如:在域的组策略中“密码长度”设置为“7”,而ou的组策略中设置的是“6”,并且在域的组策略中选择了“禁止替代”。那么最终结果为“密码长度”是“7”。

b 被禁用:指定组策略不在容器上应用。

6 属性:

a 禁止计算机配置:指定组策略的计算机配置在容器上不生效。

b 禁止用户配置:指定组策略的用户配置在容器上不生效。

c “安全”选项卡:对于指定组策略的控制权限的设置。

7 如果在一个容器上有多个组策略,在组策略列表中上端的先执行,依次向下执行。

a “向上”/“向下”按钮:修改容器上的组策略在列表中的位置,从而修改了容器上组策略的执行顺序。

8 “阻止策略继承”选项:从更高级站点、域或组织单位继承的策略可以在该站点、域或组织单位级别被拒绝。禁止更高级别的组策略在该容器上执行。

a “阻止策略继承”如果已启用“禁止替代”,则不会阻止“组策略”对象。

b “阻止策略继承”只能在站点、域和组织单位上设置,而不能在单个“组策略”对象上设置。

7、最佳操作

1 组策略:

a 禁用组策略对象的未使用部分。

b 使用阻止策略继承和禁止替代部分功能。

c 最小化与域中或组织单位中的用户关联的组策略对象的数量。应用于用户的组策略越多,它登录的时间越长。

d 避免交叉域组策略对象分配。如果从其他域获得组策略,那么组策略对象的处理将减慢登录和启动。

软件安装和管理

a 在 windows 安装程序包发行或指派之前确定它们已正确转换。.msi或 .mst文件。

b 每个组策略对象只指派或发行一次:例如,如果将 microsoft office 指派给受组策略对象影响的计算机,则不能再将它指派或发行给受组策略对象影响的用户。

c 重新打包现有软件。

d 使用dfs。

e 在 active directory 层次结构中的高层指派或发行。

3 文件夹重定向

a 让“my picture”文件夹始终跟随“我的文档”文件夹。

windows 2008 r2 ad组策略-统一域用户桌面背景详细图文教程:

组策略管理在windows域管理中占有重要地位,本身也不是新的内容了。但微软在windows2008中终于集成了一个非常好用的组策略管理工具——组策略管理控制台。注意:2008 r2 右击域或者ou的属性中不再出现“组策略”。 在server 2008以前的windows server中要想配置组策略, 是件麻烦事。后来微软推出了一个小工具——gpmc,才解决了问题,但这个工具需要下载和安装,许多人不知道有这个工具的存在。在windows 2008 r2中,微软将它集成了进来,大大方便了管理员对于组策略的管理和配置。首先,让我们看看它的庐山真面目吧!

在“开始”-“管理工具”-“组策略管理”,就可打开。或者在“运行”中键入gpmc.msc,也能打开:

对“财政部”的用户统一桌面,右击“财政部”-“在这个域中创建gpo并在此处链接

命名为“财政部组策略对象

右击-“编辑

1、启用"用户配置--管理模板--桌面--active desktop-启用active desktop ", "禁用active desktop"保持"未配置"

2、启用"用户配置--管理模板--桌面--active desktop--桌面墙纸"并在墙纸"名称"处输入墙纸的路径

在ad服务器中共享一个“share”的文件夹,权限为everyone读取,在里面放一张壁纸:

这是壁纸的内容:

在下面中输入

更新组策略:gpupdate

用“财政部”的用户登入客户端,会发现桌面已变。

会发现桌面的图标有蓝色阴影,相当难看!请见我的凯发app官网登录的解决方案。

发现桌面不能更改,全部灰色不可用:

用域管理员账号登入客户端,桌面不受影响:

ok!

下面是对浏览器的标题进行统一设定:

运行”-gpupdate,更新组策略

以下用财政部的一个用户登录客户端验证:

用域管理员验证,不受影响

下面是限制用户能登陆的机子:

07/21 01:26
默认情况下,windows ad 域中,域管理员组中的用户是域成员计算机中的本地管理员。但是在不少情况下,采用ad的企业或搭建的测试环境需要非域管理员的其他域用户作为本地计算机的管理员,以便在当前操作系统中行使更大的权力。 要实现这个设想,其实很简单。我们以将所有域用户(domain users)设置为所有域客户端计算机中的本地管理员为例,以图片说明设置方法:
05/26 03:32
我的电脑总是被上网的人乱动,我不想让他们打开我的电脑,可以用组策略禁止吗?怎么在组策略禁止打开我的电脑? 一般的用户会习惯在“我的电脑”或“windows 资源管理器”窗口中访问磁盘驱动器,为保证服务器数据安全,可以通过编辑组策略禁止从以上位置访问驱动器。 1、按住win键 r键打开运行(win键是ctrl和alt中间,有个圆圈,四个方块那个),输入:gpedit.msc,按回车后打开组策略编辑器, 2、在“组策略编辑器”窗口中依次展开“用户配置”→“管理模板”→“windows组件”目录,并选
03/22 10:25
本地组策略编辑器窗口中,咱们可以实现很多功能的操作,大家在之前小编的文章中应该有所了解了吧?当然,本地组策略编辑器也并非只是简单的这个功能而已,严格来说,在win7旗舰版系统下载中,本地组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具,也是电脑的一个基本组件,相当重要,那么本地组策略编辑器窗口突然打不开了,我们要怎样才能将它还原回来呢?下面,小编就来介绍一下具体的操作流程吧! 1.首先,咱们单击win7旗舰版的开始菜单或者是直接单击键盘上的windows图标,这样就可
05/04 09:02
win7系统不同于xp系统那样能快速而简单的关闭u盘自启动功能,只可以通过组策略的方案来关闭,方法步骤如下: 1、按下win r进入运行,输入gpedit.msc打开组策略。 2、依次点开:在左窗格的“本地计算机策略”下,展开“计算机配置→管理模板→所有设置→双击“关闭自动播放”。 3、win r输入services.msc 打开服务.然后shell hardware detection这个服务右击,属性,设为手动。 虽然杀毒功能如今很强大,但防患于未然,做完以上三步,关闭了
01/11 09:26
在一些特殊情况下,我们需要windows 系统中多出一块“虚拟网卡”来达到某些特定的工作环境,windows 8的创建方式跟其他系统有些不同,本文则使用图片的方式来演示“虚拟网卡”的创建方式。 首先,在传统桌面下,鼠标移动到屏幕左下角,点击鼠标右键(或使用快捷win x),在打开的菜单中选择“计算机管理”; 在打开的“计算机管理”窗口中,先在左面选择“设备管理器”,然后在右面的窗口中,在主机名上点右键,然后选择“添加过时硬件”; 直接点击“下一步”; 如下图a-b顺序,选择“
03/04 04:01
由于公司最近网站流量暴增,单台服务器的连接数经常过2w,为了让用户获得更好的性能和网站的容灾型,配置 负载平衡(负载均衡.nlb) 也成了首要任务.公司服务器是 windows 2003 英文版本,用2台服务器来配置负载均衡. 在 google 和 baidu 上面看了2天,发现有一些 负载平衡(负载均衡.nlb) 的配置经验还是蛮不错的,所以把这些摘录过来,做下备忘,并希望能帮助更多的人配置. 网络负载平衡(网络负载均衡.nlb.集群)概述 首先,我们先了解下 windows 2003 自带的
12/26 18:12
一般默认情况下windows 2008 r2操作系统的ie都会启用增强的安全配置,如果我们想要关闭,该如何操作呢?一起来看看吧.1. 首先我们需要以本机管理员或是域管理员的身份登陆windows 2008 r2系统,然后依次点击"开始"菜单---"管理工具"---"服务器管理器"(直接选择任务栏上的服务器管理器图标也可以)2. 或者也可以选择"开始"菜单---"运行"输入"servermanage
11/09 20:30
有的小伙伴使用windows10系统电脑时,为了保证账户的安全,因此想要使用组策略,来禁止域成员使用计算机更改账户,但是却不知道如何设置,那么小编就来为大家介绍一下吧.具体如下:1. 第一步,右击桌面左下角的开始图标,接着点击弹出窗口中的运行选项.2. 第二步,来到下图所示的运行窗口后,点击输入框,并输入gpedit.msc,接着点击页面底部的确定选项.3. 第三步,在下图所示的本地组策略编辑器页面中,根据以下路径,来打开安全选项文件夹:计算机配置/windows设置/安全设置/本地策略/安全选
02/04 05:30
最近一位用户说win7 64位系统提示“windows defender无法扫描选定的文件”怎么办呢?使用windows defender扫描文件,结果弹出如下图窗口,该怎么解决呢,参考下文,一起来解决win7系统提示“windows defender无法扫描选定的文件”的解决方法. 原因分析: 这是因为开启defender扫描压缩文件功能. 解决方法: 1.使用win r调出运行命令,输入regedit后按回车键: 2.打开注册表编辑器后,依次展开并定位到hkey_local_machine\
网站地图