#yyds干货盘点#Windows Server之AD组策略介绍

Posted qingfenghaha

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了#yyds干货盘点#Windows Server之AD组策略介绍相关的知识,希望对你有一定的参考价值。

1 组策略的重要性

组策略是AD域中非常重要的技术,AD域相当于一个用户成员的管理平台,但是真正的对用户进行管理才是非常重要的事,这就是组策略:一种专门管理用户或者组的技术。

组策略和注册表都是可以修改用户或计算机设置的技术。 注册表只能针对一个用户或者一台计算机进行设置,但组策略却可以针对多个用户和多台计算机进行设置。应用范围不是一个量级。

如果一个公司有2000人 如果要用注册表来管理 需要2000台计算机上分别进行修改注册表,但如果使用组策略。只需要创建组策略,然后部署到2000台计算机上就OK。

而组策略和AD域结合,就可以在OU(组织单位),站点,甚至域。所以肯定是能在本地计算机部署的,但是本地不能很好的发挥功能,只有配合|AD域才能完美的使用。 部署在不同的地方优先级是不同的,组织单位>域>站点>本地计算机,可以根据情况选择合适的部署级别。

组策略有两个存储位置,链接GPO的AD容器和域控制器上的Sysvol文件夹。GPO是组策略设置的集合,是一个虚拟的对象,由GPC(组策略容器)和GPT(组策略模板)组成,GPC包含GPO的属性信息,存储在域控制器活动目录中,GPT包含GPO的数据,存储在/Sysvol/Policies子目录下面。

组策略管理平台是GPMC,可以创建,管理,部署,修改GPO。

2 组策略配置

​首先需要说明,组策略的应用和能完成的功能非常的丰富,大大小小预计能有500多条只多不少,算上细枝末节只能更多。所幸还好所有的功能都是一样的操作逻辑,包括你能达成的功能,Windows也都会分别在后面的注释给你写出来。所以本次这个例子只算是一个引导,具体操作看具体环境。接下来我们利用AD域控服务来对用户设置统一桌面

2.1 在管理工具——组策略管理——在域中新建一个组织单位“it中心”——右键“it中心”——在这个域中创建GPO并在此处链接.——给这个策略取个名字:it中心组策略对象。

#yyds干货盘点#Windows

2.2 完成之后,点击it中心 我们可以在右面看到我们创建的策略文件

#yyds干货盘点#Windows

2.3 右键it中心组策略对象——编辑——进入组策略管理编辑器,

注意:在这之前的所有组策略操作都是固定的,无论你在哪种客户的环境下,只要你是用Windows server 2008 来配置组策略来管理域用户,那么一定是这几个固定的选择。接下来才是千变万化各种策略的应用区别所在。​

组策略能被应用大致分了两类,一部分就是计算机配置,一部分是用户配置,这两个区别在于应用之后带来的后果不一样。

2.4 举个例子:​

​我们都知道个人用户加入域的操作,其实就是计算机加入了域成为了域计算机,之后这个计算机就可以登陆所有AD域里面可以授权被登陆的账号。

那么我现在在上面这个组策略里面计算机配置里面做限制:禁止使用USB接口。

这样做的后果就是,凡是登陆这个计算机的用户都不能使用usb接口。所以这个策略是针对所有用户的。那么我用相同的限制应用在一个用户身上,只会影响到这个用户,而不会影响到其他的用户。这就是作用域的不同。

计算机配置和用户配置里面的策略都是不一样的。非常有针对性。并且大大小小有许多分类。以便于操作人员可以根据需求去寻找策略。具体他能做到什么功能,我们可以看到右边一条一条可选项目,那些就是策略。默认都是没经过配置(除了系统默认关于password的)

我们点击它,然后修改其属性,就等于打开了这条策略开始应用。具体怎么修改,功能怎么实现,各不相同,但是逻辑相通。

2.5 选择用户配置->管理模板->桌面->ActiveDesktop

#yyds干货盘点#Windows​2.6 双击启用Active Desktop,选择已启用,应用确定。

注释:可以看到策略的三个状态:未配置,已启用,已禁用。启用就是打开,禁用就是关闭,未配置可以理解为,此策略不添加到策略集里面,是默认状态。包括右边有大量的文字介绍,来向你讲述这个用法和具体设置,耐心的去看就能知道个大概。

#yyds干货盘点#Windows

#yyds干货盘点#Windows

2.7 之后在AD域里面创建一个共享文件夹,右键——属性——共享——添加组it中心——将权限改为everyone读取,将我们想更改的壁纸放入其中。

2.8 返回到此处的组策略,打开桌面墙纸这个策略,选择已启用,在墙纸名称中填写墙纸路径,以及一些其他的设置。每一个策略这里的设置基本都是不一样的,具体怎么用,右面都会写出来。

#yyds干货盘点#Windows

#yyds干货盘点#Windows

​2.9 之后我们开始应用到具体用户身上,因为我们是it中心的组策略,所以当然要在it中心这个组织单位(OU)里面创建用户

2.10 在it中心组中新建一个用户——右键单击“it中心”——选择新建——用户

#yyds干货盘点#Windows

2.11 现在我们应用一下我们的组策略,也就是手动的更新一下策略集。运行——cmd——gpupdate.就已经应用了。

#yyds干货盘点#Windows

这个时候再去用用户123登陆主机就会发现壁纸已经改变。这样,一个简单的组策略就被应用上去。

以上是关于#yyds干货盘点#Windows Server之AD组策略介绍的主要内容,如果未能解决你的问题,请参考以下文章

#yyds干货盘点#Windows Server之CA证书服务器

#yyds干货盘点#Windows Server之DHCP地址池配置

#yyds干货盘点#Windows Server之额外域控

#yyds干货盘点#Windows Server之AD域软件分发

#yyds干货盘点#Windows Server之AD组策略介绍

#yyds干货盘点#Windows Server之DNS域名解析服务器