組策略應(yīng)用相關(guān)實(shí)例

字號(hào):

關(guān)于組策略應(yīng)用的實(shí)例,那真是三天三夜也說(shuō)不完,因?yàn)榭偣灿?00+200多條策略。在此僅舉幾例,來(lái)說(shuō)明問(wèn)題。有的比較簡(jiǎn)單,有的稍微復(fù)雜一些,我們會(huì)展開(kāi)來(lái)討論一下。需要強(qiáng)調(diào)的是,作為管理員平時(shí)要多看看組策略中具體都有哪些設(shè)置,當(dāng)然誰(shuí)也不可能逐條去實(shí)踐去測(cè)試,但要大概有個(gè)印象。當(dāng)有某種需求時(shí),你才會(huì)想起某條組策略設(shè)置來(lái),根據(jù)印象找到那條策略,先看說(shuō)明標(biāo)簽,再具體實(shí)踐,逐步積累。
    前面我們講過(guò)安全策略是組策略的子集(一部分),我們會(huì)首先討論和安全策略相關(guān)的實(shí)例,然后才是其它的策略。
    Q1、普通域用戶無(wú)法在DC上登錄?
    為了保護(hù)域控制器,默認(rèn)能在DC上登錄的用戶只有:Administrators、Account operators、Backup operators、Server operators、Print operators這些特定的管理組。要想使普通域用戶有權(quán)在DC上登錄,可以將其加入到這些組中。
    但更多時(shí)候,我們不想讓用戶有過(guò)多的權(quán)利權(quán)限,也可以在開(kāi)始/程序/管理工具/域控制器的安全策略/本地策略/用戶權(quán)利分配/允許在本地登錄下通過(guò)添加,指派其在DC上登錄的權(quán)利即可。
    Q2、在03域中添加用戶時(shí),總是提示我不符合密碼策略,怎么辦?
    對(duì)于03,默認(rèn)域的安全策略與2000域不同。要求域用戶的口令必須符合復(fù)雜性要求,且密碼最小長(zhǎng)度為7。口令的復(fù)雜性包括三條:一是大寫字母、小寫字母、數(shù)字、符號(hào)四種中必須有3種,二是密碼最小長(zhǎng)度為6,三是口令中不得包括全部或部分用戶名。
    我們可以設(shè)置復(fù)雜一些的密碼,也可以重新設(shè)默認(rèn)域的安全策略來(lái)解決。操作如下:
    開(kāi)始/程序/管理工具/域安全策略/帳戶策略/密碼策略:
    密碼必須符合復(fù)雜性要求:由“已啟用”改為“已禁用”;
    密碼長(zhǎng)度最小值:由“7個(gè)字符”改為“0個(gè)字符”。
    欲策略設(shè)置馬上生效,可利用gpupdate進(jìn)行刷新。(具體見(jiàn)前)
    如果添加的是本地用戶,解決辦法與此相同,只不過(guò)修改的是本地安全策略。
    Q3、在2000/03域中,前網(wǎng)管設(shè)置了一個(gè)開(kāi)機(jī)登陸時(shí)的提示頁(yè)面,已過(guò)時(shí),現(xiàn)想取消,如何操作?
    登錄到本機(jī)時(shí)出現(xiàn),則在管理工具/本地安全策略,或開(kāi)始/運(yùn)行:gpedit.msc中配置。若是登錄到域時(shí)出現(xiàn),則在管理工具/域的安全策略,或AD用戶和計(jì)算機(jī)/屬性/組策略中配置。具體會(huì)涉及到:安全設(shè)置/本地策略/安全選項(xiàng)下的這兩條:
    交互式登錄:用戶試圖登錄時(shí)消息標(biāo)題
    交互式登錄:用戶試圖登錄時(shí)消息文字
    Q4、如何設(shè)置不讓用戶修改計(jì)算機(jī)的配置(如TCP/IP等)?
    可以利用本地策略或基于域的組策略鎖定,具體操作:
    1、 本地:開(kāi)始/運(yùn)行:gpedit.msc;
    2、 域:開(kāi)始/程序/管理工具/AD用戶和計(jì)算機(jī)/域名上/右鍵/屬性/組策略/默認(rèn)域的組策略;
    3、在用戶配置/管理模板/網(wǎng)絡(luò)/網(wǎng)絡(luò)及撥號(hào)連接:禁止訪問(wèn)LAN連接的屬性。
    說(shuō)明:
    1、 若利用本地策略實(shí)現(xiàn),本地管理員,可以重新設(shè)置策略解開(kāi)。
    2、 若利用域策略實(shí)現(xiàn),只是域用戶受此限制。本地管理員,不受此限制。
    所以應(yīng)該不給用戶本地管理員口令,讓用戶以非本地管理員/域用戶身份登錄。為了保證用戶能安裝軟件或做其它管理工作,可將其加入本地的Power Users組。
    Q5、非管理員用戶無(wú)法登錄到終端服務(wù)器?
    欲使用戶能利用“終端服務(wù)客戶端軟件”或“遠(yuǎn)程桌面”登錄到2000/03 Server,對(duì)于2000S需要在服務(wù)器上安裝終端服務(wù),對(duì)于03S只需在即可。對(duì)于管理員默認(rèn)即可通過(guò)TS登錄進(jìn)來(lái)。