活动目录之常用组策略实例课件.docVIP

原创：活动目录之常用组策略实例 活动目录之常用组策略实例 组策略实例 计算机配置 由于系统默认某些组内的用户，才有权限在域控制器计算机登录，因此普通用户利用域控制器登录时会出现如下的提示，需要赋予他们允许本地登录的权限才能够正常登录，如图： 为了让普通用户在域控制器上登录， 活动目录之常用组策略实例 组策略实例 计算机配置 由于系统默认某些组内的用户，才有权限在域控制器计算机登录，因此普通用户利用域控制器登录时会出现如下的提示，需要赋予他们“允许本地登录的权限”才能够正常登录，如图： 为了让普通用户在域控制器上登录，我们可以设置所有的域用户组成员可以在域控制器登录系统，这里我们单击“开始”-“管理工具”-“Active Directory 用户和计算机”-“Domain controllers”右键“属性”-“组策略”单击“Default Domain controllers policy”条目，如图所示： 单击“编辑”按钮，点开“windows设置”-“安全设置”-“本地策略”-“用户权限分配”，如图： 双击“允许在本地登录”项，我们添加域用户组到组策略，如图所示： 此时客户端便可以正常登陆了。 用户配置 这里我们假设要将“销售部”OU人员的“开始”菜单中的“运行”菜单删除，这里我们单击“开始”-“管理工具”-“Active Directory用户和组”-“销售部”右键“属性”-“组策略”-“新建”按钮，我们添加一个“销售部GPO”的策略，如图所示： 单击“编辑”按钮，单击“用户配置”下的“管理模板”-“任务栏和开始”-“从开始菜单中删除运行菜单”项，如图： 双击“从开始菜单中删除运行菜单”项，我们单击“启用”按钮，点击“应用”-“确定”按钮，如图： 此时在客户端计算机使用销售部人员登录，此时已经看不到“运行”菜单了，如图所示： 组策略之管理模板策略 限制用户只可以运行指定的程序，除了制定的程序其他的将被禁止运行，设置方法：“管理模板”-“系统”-“只运行windows许可的应用程序”。在添加“项目”中，输入程序的名称即可限制其运行。 隐藏在控制面板内制定的图标，用户执行“开始”-“控制面板”命令后，将看不到被隐藏的程序图标，设置方法：双击“管理模板”-“控制面板”-“隐藏指定的控制面板程序”，单击“启用”-“显示”-“添加”按钮，输入要隐藏程序图标的名称，点击“应用”-“确定”按钮即可。 禁用按“Ctrl+Alt+Del”组合键弹出的设置面板，例如“修改密码”按钮、“任务管理器”等，设置方法：“用户配置”-“管理模板”-“系统”-“ctrl+alt+del选项”进行相关删除图标的启用。 隐藏桌面所有的图标，设置方法：双击“用户配置”-“管理模板”-“桌面”-“隐藏和禁用桌面上所有的项目”点选“已启用”选项，单击“应用”-“确定”按钮即可。 限制使用IE浏览器的“internet选项”的部分功能，用户将无法使用“工具”-“internet选项”中被禁用的标签。例如“安全性”、“进阶”等等，设置方法：双击“用户配置”-“管理模板”-“windows组件”-“internet explorer”-“internet控制面板”右侧的各项菜单进行启用就可以了。 删除“开始”菜单的“关机”图标，设置方法：“用户配置”-“管理模板”-“任务栏和开始菜单”-双击“删除和阻止访问【关机】命令”点击“已启用”-“确定”按钮，这样用户在“开始”菜单就找不到关机图标，即使使用“trcl+alt+del组合键”也无法进行关机。 账户策略 对于域用户来说，整个域只可以有一个账户策略，而且是必须通过默认的Default Domain Policy GPO来配置，这个策略会应用到整个域内所有账户，包括域成员计算机。 如果针对某个OU来配置账户策略，这个策略只会被应用到位于此OU中的计算机内的本机用户账户，但是位于此OU内的域用户账户却没有影响。 配置与账户策略的方法：“开始”-“管理工具”-“Active Directory用户和计算机”-右击域名称-“属性”-“组策略”-选择Default Domain Policy GPO-“编辑”-选择“计算机配置”-“Windows设置”-“安全设置”-“账户策略”如图： 密码策略 密码复杂性配置 不可包含账户名称的全部和部分文字 至少要6个字符 至少包含A-Z、a-z、0-9、非字母数字（如！、$、#、%）等4组字符中的三组。 密码的最长期限，密码最长期限可为0~998天，用户登录时，如果密码到期限系统会自动要求用户修改密码，若设为0，则表示密码没有使用期限，可以一直用，默认值是42天。 密码最短使用期限，密码最短使用期限可为0~998天，在期限未到前，