介绍了如何配置基于域的组策略。首先在AD域中创建组策略,然后通过4个实例来验证域的组策略设置效果。分别是:
禁止【user_fjnu】用户访问控制面板和PC设置。
禁止【user_fjnu】所有用户修改IE浏览器的默认主页,并将默认主页设置为www.fjnu.edu.cn。
禁止【user_fjnu】用户运行【计算器程序】。
使【user_fjnu】用户登录系统后,隐藏C盘。
介绍了如何配置基于域的组策略,通过组策略统一管理域中的计算机和用户。通过4个实例来验证域管理员可以通过组策略统一管理分配域中资源。
将某目录自动映射为网络驱动器,使user_fjnu中的用户可以访问。
使user_fjnu中用户使用统一桌面背景。
为user_fjnu中用户安装统一的软件。
为user_fjnu中用户的【文档】文件夹重新定向。
3. 配置基于域的组策略
名词说明:
AD 域名为 fjnu,其中有名为 user_fjnu 的组织单位。
目前域 fjnu 中的 user_fjnu 存在两台计算机 Server1 和 PC1,以及一个用户 student1;
user_fjnu_GPO 为新建的组策略,已经链接到组织单位 user_fjnu 中。
3.1 创建的组策略user_fjnu_GPO并配置简单的组策略
目的:通过 4 个实例来验证域的组策略设置效果
- (1)创建【user_fjnu_GPO】并应用于【fjnu_user】组织单位中。
- (2)禁止【user_fjnu】用户访问控制面板和PC设置。
- (3)禁止【user_fjnu】所有用户修改IE浏览器的默认主页,并将默认主页设置为www.fjnu.edu.cn。
- (4)使【user_fjnu】用户登录系统后,隐藏C盘。
(1)创建【user_fjnu_GPO】并应用于【fjnu_user】组织单位中
在DNS1上,使用【win + r】快捷键,打开【运行】对话框,输入命令:gpmc.msc
。
打开组策略管理器,在【fjnu_user】上点击鼠标右键,在弹出的菜单中选择【在这个域中创建GPO并在此处链接】。
进入【新建GPO】界面,在【名称】中输入新建的组策略对象名称:user_fjnu_GPO
,单击确定,即在本区域中创建了名为 user_fjnu_GPO
的组策略对象,并将该对象链接到了【user_fjnu】。
(2)禁止【user_fjnu】用户访问控制面板和PC设置
在【user_fjnu】下的【user_fjnu_GPO】链接上单击鼠标右键,在弹出菜单上选择【编辑】。
打开【组策略管理编辑器】,依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【管理模板】——>【控制面板】,找到【禁止访问控制面板和PC设置】,双击打开。
进入该选项的设置界面,选择【已启用】,单击【确定 】。
验证
切换到成员服务器Server1,使用域用户student1重新登录Server1,打开【控制面板】 。弹出告警框提示:
【本次操作由于这台计算机的限制而被取消,请与你的系统管理员联系】,说明组策略【user_fjnu_GPO】的配置已经对组织单位【user_fjnu】下的用户生效。
(3)禁止【user_fjnu】所有用户修改IE浏览器的默认主页,并将默认主页设置为www.fjnu.edu.cn
在组策略管理编辑器中,依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【管理模板】——>【windows组件】——>【互联网Explorer】,找到【禁用更改主页设置】,双击打开。
打开该选项的设置界面,选择【已启用】,并在下面的主页中输入:http://www.fjnu.edu.cn
,单击【确定】。
验证:
切换到成员服务器PC1,使用域用户student1重新登录PC1,打开IE浏览器,单击右上角【设置】图标,在弹出菜单中选择【互联网选项】 。
打开【互联网选项】对话框,可以看到【常规】选项卡中的主页设置为http://www.fjnu.edu.cn
,下面的修改按钮全部为灰色,表示不允修改默认主页 。
(4)使“user_fjnu”中的用户登录系统后,隐藏C盘
在【组策略管理编辑器】中,依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【管理模板】——>【windows组件】——>【文件资源管理器】,找到【隐藏我的电脑中的这些指定驱动器】设置,双击打开 。
进入该选项的设置界面,选择【已启动】,并在下面选择【仅限制驱动器C】,单击【确定】。
验证:
切换到成员服务器Server1,使用域用户student1重新登录Server1,打开资源管理器,选择【此电脑】,可以看到C盘被隐藏了。
3.2 通过组策略user_fjnu_GPO统一管理域中的计算机和用户
目的:通过4个实例来验证域管理员可以通过组策略统一管理分配域中资源。
将某目录自动映射为网络驱动器,使user_fjnu中的用户可以访问。使user_fjnu中用户使用统一桌面背景。为user_fjnu中用户安装统一的软件。为user_fjnu中用户的【文档】文件夹重新定向。
(1)将某目录自动映射为网络驱动器,使user_fjnu中的用户可以访问。
首先,在域控制器DNS1上创建一个目录C:share,在该目录下新建一个文件test.txt用于测试。
然后,将C:share
设置为共享目录。在share目录上单击鼠标右键,在弹出的菜单中选择【属性】,在【share属性】界面选择【共享】选项卡,并点击【共享】。
进入【网络访问】界面,点击第一个输入框右边的下拉箭头,在展开的菜单中选择【Everyone】,单击右侧的【添加】按钮。
随后点击【共享】。
进入【你的文件夹已共享】界面,显示了名为【share】的共享,共享目录为\DNS1share
,单击【完成】。
返回【share属性】的【共享】选项卡,显示该文件夹的网络路径为\DNS1share
,说明共享目录已经设置完成。
在域控制器DNS1上,编辑【user_fjnu_GPO】,在【组策略管理编辑器】中,依次展开【user_fjnu_GPO】——>【用户配置】——>【首选项】——>【windows设置】——>【驱动器映射】,在【驱动器映射】上单击鼠标右键,在弹击菜单中选择【新建】,在展开的菜单中选择【映射驱动器】 。
打开【新建驱动器属性】界面,在【位置】中输入共享目录的网络路径\DNS1share
,勾选【重新连接】标记,即每次登录时均重新连接该网络驱动器,在【驱动器号】中选择右边的【使用】选项,并设置盘符为Z,单击【确定】。
如果驱动器号为D,域中的用户及计算机不能识别,因为D盘默认为DVD Drive。
可以在【驱动器映射】界面中看到该刚才设置的结果。
验证:
切换到域成员服务器Server1,使用域用户student1重新登录Server1,打开资源管理,在【此电脑】中,可以看到自动映射了网络驱动器,盘符为Z:盘,映射目录为\DNS1share
。
双击打开D:
盘,能够看到在域控制器上的共享目录中创建的测试文件 test.txt。
(2)使user_fjnu中用户使用统一桌面背景
首先,在域控制器DNS1上创建一个目录C:pic
,将要使用的背景图片文件bg.jpg
复制到目录C:pic
下。
然后,将C:pic
设置为共享目录。在pic目录上单击鼠标右键,在弹出的菜单中选择【属性】,在【pic属性】界面选择【共享】选项卡,并点击【共享】。
进入【网络访问】界面,点击第一个输入框右边的下拉箭头,在展开的菜单中选择【Everyone】,单击右侧的【添加】按钮。
随后点击【共享】。
进入【你的文件夹已共享】界面,显示了名为【pic】的共享,共享目录为\DNS1pic
,单击【完成】。
返回【pic属性】的【共享】选项卡,显示该文件夹的网络路径为\DNS1pic
,说明共享目录已经设置完成。
在域控制器DNS1上,编辑【user_fjnu_GPO】,在【组策略管理编辑器】中,依次展开【财务处GPO】——>【用户配置】——>【策略】——>【管理模板】——>【桌面】——>【桌面】,找到【桌面墙纸】配置,双击打开。
进入该选项的设置界面,选择【已启用】,并在下面的选项中设置墙纸名称:\DNS1picbg.jpg
,墙纸样式默认为【居中】,单击【确定】。
在【组策略管理编辑器】中,依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【管理模板】——>【控制面板】——>【个性化】,找到【阻止更改桌面背景】配置,双击打开。
进入该选项的设置界面,选择【已启用】,单击【确定】。
验证:
切换到成员服务器PC1,使用域用户student1重新登录PC1,可以看到桌面背景已设置为统一的图片。
在桌面上单击鼠标右键,在弹出的菜单中选择【个性化】,进入个性设置界面,该界面中的背景设置全部为灰色,并提示【某些设置由你的组织来管理】,说明用户自己不能修改桌面背景。
(3)为user_fjnu中用户安装统一的软件
首先,在域控制器DNS1上创建一个目录C:packages,将fjnu_user用户需要安装的安装包复制到目录C:packages
下。
Windows Server 只支持.msi 格式的安装包。
然后,将C:packages
设置为共享目录。在packages
目录上单击鼠标右键,在弹出的菜单中选择【属性】,在【packages属性】界面选择【共享】选项卡,并点击【共享】。
进入【网络访问】界面,点击第一个输入框右边的下拉箭头,在展开的菜单中选择【Everyone】,单击右侧的【添加】按钮。
随后点击【共享】。
进入【你的文件夹已共享】界面,显示了名为【packages】的共享,共享目录为\DNS1packages
,单击【完成】。
返回【packages属性】的【共享】选项卡,显示该文件夹的网络路径为\DNS1packages
,说明共享目录已经设置完成。
在域控制器DNS1上的【组策略管理编辑器】中,依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【软件设置 】——>【软件安装】,在【软件安装】上单击鼠标右键,在弹出的菜单中选择【属性】 。
在【软件安装 属性】界面中,设置默认程序数据包位置为\DNS1packages
,其余使用默认设置,单击【确定】
再次在【软件安装】上单机鼠标右键,在弹出的菜单中选择【新建】,选择【数据包】。
打开选择数据包界面,找到C:packages
目录下的安装包文件xxxx,单击【打开】。
在弹出的【部署软件】对话框中,选择【已发布】选项,单击【确认】。
已发布:域成员需要手动从网络安装程序
已分配:域成员机登录时会自动安装
等待一段时间后,在【软件安装】中,可以看到刚才发布的软件包信息,选中安装包,点击鼠标右键,选择【属性】。
验证:
切换到成员服务器PC1,使用域用户student1重新登录PC1,打开【控制面板】,单击左下角【程序】下的【获得程序】。
打开【获得程序】界面,界面中显示了域控制器通过组策略发布的程序xxxxxx,双击该程序,即可开始安装。
(4)为user_fjnu中用户的【文档】文件夹重新定向
首先,在域控制器DNS1上创建一个目录C:userdoc
,该目录用于存放财务处所有用户的【文档】文件夹内容。
然后,将C:userdoc
设置为共享目录。在userdoc目录上单击鼠标右键,在弹出的菜单中选择【属性】,在【userdoc属性】界面选择【共享】选项卡,并点击【共享】。
进入【网络访问】界面,点击第一个输入框右边的下拉箭头,在展开的菜单中选择【Everyone】,单击右侧的【添加】按钮。
随后点击【共享】。
进入【你的文件夹已共享】界面,显示了名为【userdoc】的共享,共享目录为\DNS1userdoc
,单击【完成】。
返回【userdoc属性】的【共享】选项卡,显示该文件夹的网络路径为\DNS1userdoc
,说明共享目录已经设置完成。
在域控制器DNS1上,编辑【user_fjnu_GPO】,在【组策略管理编辑器】中,依次展开【财务处GPO】——>【用户配置】——>【策略】——>【Windows设置 】——>【文件夹重定向】,在【文档】上单击鼠标右键,在弹出的菜单中选择【属性】 。
打开【文档 属性】界面中,在【设置】中使用基本设置:将每个人的文件夹重定向到同一位置。在【目标文件夹位置设置】中,选择【在根目录路径下为每一用户创建一个文件夹】,路径设置为\DNS1userdoc
,其余使用默认设置,单机【确定】。
会弹出一个兼容性告警,单击【是】,忽略告警。
验证:
切换到成员服务器PC1,使用域用户student1重新登录PC1,打开【资源管理器】,在【此电脑】的【文档】上单击鼠标右键,在弹出的菜单中选择【属性】。打开【文档属性】界面。
参考资料 [1]戴有炜,《2016 Windows Server 系统配置指南》,清华出版社,2018
Microsoft Docs:Active Directory documentation
Microsoft Docs:Active Directory Domain Services
到此这篇关于Windows Server 2019 组策略的配置与管理(基于域的组策略与示例)的文章就介绍到这了,更多相关win2019 组策略内容请搜索IT俱乐部以前的文章或继续浏览下面的相关文章希望大家以后多多支持IT俱乐部!