一、方法步骤如下:
1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。
2、在打开的组策略管理,一次展开“林”-“域”-“saymscom(域名)”-“组策略对象”-右击“Default Domain Policy”,选择“编辑”。
3、在打开的“组策略管理编辑器”,依次展开“计算机配置”-“策略”,这个策略里面包含的就是Windows Server 2008的域安全策略啦。
注:如用户需修改账户密码的复杂度,应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。
当一台服务器被提升为域控制器后,本地策略不再有效,取而代之的是默认域策略。
二、本地组策略
本地组策略是指应用于本机,且设定后只会在本机起作用的策略,运行的方法为点‘开始’-‘运行’-然后键入‘gpeditmsc’,在d出本地组策略编辑器中即可进行设置。
三、域组策略
域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始 运行 然后键入gpmcmsc来运行。
密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略,但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域,所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰色不可修改状态。
在本地策略中的,密码策略就应该是灰色的,无法编辑。当点击开始-运行, 然后键入gpeditmsc回车后,本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰色不可修改状态(比如密码策略)。
如果您要修改密码策略,可以使用以下方法:
1、点击‘开始’-‘运行’-然后键入‘gpmcmsc’,回车后打开“组策略管理”控制台。
2、展开到 “域-Domaincom-组策略对象(Domaincom是指您的域名)”。
3、右键点击Default Domain Policy然后选择“编辑”。
4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。
5、您可以在右边的窗口中定义密码相关的策略,此策略会应用于整个域中的所有账户。软件批量删除还是怎么的一般会结合数据库系统一起使用,比如拿各个主机的信息域控服务器一般用组策略管理其它计算机比如要实现所有域用户登录后安装一个软件的话,可以设置个规则,让域电脑开机后自动安装一次该软件,删除也同样可以
我公司是写了个VBS,然后设置所有电脑开机运行一次,这样反馈的数据用数据库系统收集,这样可以实现软件等等都可以集中管理1、bat可以作为登陆脚本执行,确切说一切可以在windows平台执行的东西都可以作为登陆脚本来用。
2、应该指定以\\server\……这样格式开头的路径。因为client在登陆的时候执行脚本,其实是从服务器上下载到本地,然后执行。这样的话,如果指定c:\这样的路径,client只会在本地的c盘查找,而不是到server上的路径去查找。
3、脚本可以放在一切client能够读取的位置。通常这个位置处于\\server\netlogon的share下(在服务器上的位置是%systemroot%\sysvol\sysvol\domainname\scripts),但是如果你制订了策略,那么脚本默认的存放路径应该在%systemroot%\sysvol\sysvol\domainname\policies\guid\user(machine)\scripts下,如果你放在别的位置,需要在脚本执行栏的位置输入绝对路径,格式同样需要以\\server\……开头。
4、其他的问题也很多了,一般来说就是脚本适用于策略的时候,客户端可能会执行不到。
一般来说可能会有一下的几个原因:
a、脚本从名称到内容都尽可能的不要用特殊字符、长文件名(超过8个字符)、空格,比如&等。这样的脚本在不同的os上可能执行会有问题。
b、脚本存放的位置和路径,请遵照上面的原则来做。
c、脚本的编写方面。特别是适用net use 来map一个fileserver上的路径。有可能在登陆之前,client上已经有网络盘的映射,如果恰好和你map的盘符一样,将有可能导致脚本执行失败,你可以在脚本的最前面加一句net use /d /y来解决这个问题。
不过这个命令要慎用,在实际生产环境中,如果你的fileserver是非wintel平台的storage,响应时间较长,那么可能导致用户重新登陆时,无法连接fileserver上的sharefolder,可以用一句if exist来判断网络盘是否存在。
另外一个方面,如果远程设备是一些跨平台的存储设备,比如一些nas、san等,map到windows平台的时候可能会提示“网络路径无法连接”等问题,可以相互更换map \\server_netbios_name或者map \\server_ipaddress两种方式来尝试连接。
如果遇到权限问题,那么按照共享权限和安全权限冲突时取最小值的原则,一般来讲可以将共享权限设置为full control,然后安全权限做严格设定的办法来解决。
d、“配置文件路经”和“登陆脚本路径”、“主文件夹”
朋友们在初次设置域账户脚本的时候,可能对于这三个概念有些模糊,难以区分,这里说明一下:
①使用组策略,在用户登录脚本的的地方编辑一个cmd等,使用诸如net use的方式就可以map一个网络盘符了。
②“配制文件路径”是指用户profile所处的位置,通常在%userprofile%
“登录脚本路径”是指用户登录到服务器时,执行的脚本所处的位置,通常默认路径位于
服务器上的netlogon下,如果制定策略中使用脚本,默认的路径应该在gpo 的guid下的user或者computer下的scripts,如果置于其他位置,需要手动指定完全路径。
③“主文件夹”是指用户在fileserver上的个人主目录,这个概念没有绝对的位置。需要你手动指定路径,不过在这里写入和在脚本中写入的不同,在于系统会根据你写入的路径,自动创建文件夹,并为该用户分配权限,该文件夹的owner属于该用户。这里可以使用%username%的变量,让系统自行完成。当然在指定了 主目录后,你仍然可以访问其他有权限使用的资源。
e、关于策略的执行顺序是本机、站点、域、ou、子ou。如果有设置上的重复,按照执行的顺序,后面的设置将会覆盖前面的设置。
如果在ou上设置“block policy inheritance”,那么上层的策略将不会在这一层获得执行。
如果在ou上设置“No override”,那么这一层将不会被后面的策略设置覆盖,也就是说即使后面有相同的设置,仍然以这一层的设置为准。
如果在ou上设置“disabled”,那么这个策略将会被禁止执行。
如果在策略的properties security上取消了对应的组的read和apply group policy,那么对应的组将会无法应用到策略。通常默认被应用的组有authenticated user。
如果你取消了该组的两个权限,然后add其他组,同样赋予read和apply group policy的话,此策略将只会被该组执行到,这也就是所谓的filter。
如果你的域中有多台dc,可能需要在dssitemsc中手动同步它们。
你也可以在服务器上使用secedit /refreshpolicy user_policy(machine_policy) /enforce 来强制刷新策略
这样的办法同样适用于client。
f、执行的脚本,可以放在computer configuration和user configuration中执行。
对于user,通常可以放置更改用户属性的东西。
对于computer,通常可以放置更改计算机属性的东西。
这两个没有绝对界限,但通常登陆的时候,都属于domain users成员,这样如果需要更改注册表或系统文件之类的,可能会遇到权限问题,那么我们也可以把这样的脚本放在computer中,这样可以在user登陆之前获得执行。
(这里顺带说一句:大家很少用到计算机账户吧,那么计算机账户的作用在这里可以得到体现,由于此时还没有用户账户验证,计算机账户和dc的验证有一方面来源于本地计算机账户和dc之间保持一个密码同步,以便于在这种特殊的情况下获得验证,该密码默认30天变更一次。
你甚至可以在sharefolder上添加计算机账户的权限:)如果由于dns对应或者其他的一些原因,导致这个密码无法同步,dc将会无法验证该计算机账户,这可能会导致计算机登陆脚本无法执行。在dc的日志上一般都会给出一个错误提示,ComputerNetbiosName$无法存取。解决的办法,可以通过在客户端上执行netdom重置该信任关系,这是另话了。)
对于user的设定,只需要登出然后登入即可获得脚本的应用。
对于computer的设定,则需要重新启动机器来获得脚本的执行。
注:从上面的几点中,大家可以看到计算机在登陆的时候需要通过dns来定位dc,从而定位
定位gpo,sysvol(策略、脚本、管理模板都存放在这里),dns对于ad的设置是至关重要
的,一般来说可以这样设置,将客户端的dns指向dc(如果dc上是双网卡的话,那么指向内部
网卡dns),然后在dc上设置转发,forward到外部(isp)dns。
上面只是就一些常见的问题做简要介绍,如果遇到更为复杂的问题,就需要查阅其他资料来解决了。
关于大家平时遇到的问题,都整理成faq放在下面
FAQ:
我的配置过程如下:
1、制作脚本文件configbat并拷贝至域控制器服务器下的sysvol\sysvol\scripts目录下
该脚本文件用 net use z: \\linux_file\share 命令
2、配置“配制文件路径”:路径指向:\\nwf_sav(域控制服务器名)\netlogon
配置“登录脚本路径”: configbat
3、在客户机注销重新登陆时出现以下窗口:但未能将共享文件夹映射为Z盘。
回答:一般脚本的存放位置有两种观点:
1、将登陆脚本放在\\server\netlogon下(在dc上的物理路径是 %systemroot%\SYSVOL\sysvol\domainname\SCRIPTS ,而不是 sysvol\sysvol\scripts)
在设置账户属性中登陆指令档的时候,此时是登陆域的时候默认寻找登陆脚本的位置
如果需要修改该脚本,需要手动定位到上面的路径,
优点是脚本集中放置
2、将登陆脚本放在策略gpo所处的路径下(在dc上的物理路径类似于这样
\\domainname\SysVol\domainname\Policies\{142B4268-9574-471F-9F7F-9AA04836F57F}\User\Scripts\Logon,这里一长串的数字是gpo的guid,用来唯一的标识这个对象,
可以通过查询该策略的属性,来察看该guid)
在设置策略中登入指令档的时候,此时是登陆域的时候默认寻找登陆脚本的位置
如果需要修改该脚本,可以点击下方的“显示档案”
优点是和策略关联性强,编辑查找方便
无论用哪种方法,如果脚本放置在默认的查询路径,指定登陆档的时候就不用写路径
如果不是,就需要填写完整路径,当然这个路径需要对于client可用,也就是说
不能填写诸如 c:\winnt\sysvol\sysvol 这样的路径,否则client在登陆的时候,只会
在自己的机器上 c:\winnt\sysvol\sysvol 查找脚本,显然是找不到的,因为脚本
是下载到本地执行的。
那么我们先看看脚本是否能够在client上正确执行,
在client上 winkey+r,然后填入脚本的路径,比如 \\servername\netlogon\configbat
执行一下,是否能够等到正确的结果?
然后察看上面的位置中指定的路径是否正确
如果是通过策略指定的登陆脚本,我们再用 gpresult /v ,察看一下client是否应用到了
您制定的策略,如果没有就要考虑使用 dssitemsc 手动同步域中的所有dc,然后
secedit /refreshpolicy user_policy (machine_policy)/enforce 强制刷新策略,
然后client重新登陆或者重新启动一下(这取决于您制订的是用户登陆脚本还是计算机登陆脚本)
如果还是不行,那么在早先的那篇文章有提到,
有可能是由于本地已经map 了同样盘符的盘,导致冲突
有可能是由于map的共享路径权限设置错误,常见的是共享权限的设置问题
有可能是由于map的共享是跨平台的存储设备或者格式,它们可能不能在登陆时在系统要求的
时间内响应,这导致系统认为该资源超时连接,不可用。您可以尝试更换netbios名称或者ip计划任务法、安全模式法
为保证Windows XP系统安全,很多朋友都在公共电脑上设置了组策略的“只运行许可的Windows应用程序”项,以此来防范外来程序对系统的破坏。而疏忽大意或为了防范他人修改组策略,一些朋友干脆连“gpeditmsc”文件也一并排除在允许运行程序之外,结果造成系统被锁死,导致无法运行所有程序,无奈之下只得重装系统。其实有因必有果,对此问题还是有解决方法的。
1计划任务法
打开“控制面板”→“任务计划”,启动向导建立一个名为MMC的任务计划,执行的程序是“C:\Windows\System32\mmcexe”。完成后,在任务计划窗口右击新建的MMC选择“运行”,在打开的控制台程序窗口,单击菜单栏的“文件”→“打开”,定位到“C:\Windows\System32\gpeditmsc”程序,打开组策略编辑窗口,依次展开“本地计算机策略”→“用户配置”→“管理模板”→“系统”,双击右侧窗格的“只运行许可的Windows应用程序”,在d出的窗口将其设置为“未配置”。单击“确定”退出并关闭组策略编辑窗口,当系统d出“是否将更改保存到gpeditmsc”询问窗口时,单击“是”确定保存,即可解锁。
2安全模式法
其实组策略的这个限制是通过加载注册表特定键值来实现的,而在安全模式下并不会加载这个限制。重启开机后按住F8键,在打开的多重启动菜单窗口,选择“带命令提示符的安全模式”。进入桌面后,在启动的命令提示符下输入“C:\Windows\System32\mmcexe”,启动控制台,再按照如上 *** 作即可解除限制,最后重启正常登录系统即可解锁。此外,组策略的很多限制在安全模式下都无法生效,如果碰到无法解除的限制,不妨进入下寻找解决办法。
重命名程序法、重命名程序法
3重命名程序法
设置“只运行许可的windows应用程序”策略时,需要添加允许程序到列表中,如果记住了当初设置的许可运行程序名称,并且在允许列表添加的是com、bat、exe之中任意一种类型文件,比如只允许“qqexe”运行,那么就可以打开“C:\Windows\System32”文件夹,将其中的mmcexe程序重命名为qqexe,再运行即可。同样如果希望保持限制,可将需要运行的程序改名为qqexe运行,但其他人使用电脑时就只能运行QQ了。如果允许运行的程序列表中包含有regeditexe,还可打开注册表,依次展开“HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon”分支,双击右侧窗口的Userinit子键。在打开的窗口中,将其值更改为“C:\Windows\System32\userinitexe,mmcexe”,来实现mmcexe开机启动。这样修改并重启后,下次开机时即会自动运行控制台,来打开组策略编辑器进行解锁了。
4重命名程序法
组策略的这个设置只能防止用户从 Windows 资源管理器启动程序,其实系统中的很多程序都是可以独立运行的。如开机就加载的桌面进程、系统服务、系统屏幕保护等,它都没有进行阻止,因此只要将mmcexe替换为上述文件即可。以替换屏幕保护logonscr为例,先打开“C:\Windows\System32\dllcache”文件夹,找到logonscr文件将它复制到D:\盘下,然后在“C:\windows\System32\dllcache”文件夹中删除这个屏保文件,来防止系统的文件保护功能阻止我们更改和删除系统文件,这时系统会d出“系统文件已被更改为无法识别版本,请插入WinXP SP2光盘修复”的询问窗口,单击“取消”。接着打开“C:\Windows\System32”文件夹,找到logonscr文件将其删除,并将mmcexe重命名为logonscr。
回到桌面,在空白处右击选择“属性”,在d出窗口中,单击“屏幕保护程序”标签,接着在屏幕保护列表中选择“logon”,单击“预览”,此时虽然系统会提示找不到所选文件,但在后台却启动了控制台程序“mmcexe”,对其设置解除限制即可。注意在完成 *** 作后,最好将d:\logonscr文件复制回原文件夹。
5组合键启动法
虽然系统所有程序都被锁死,但按下Ctrl+Alt+Del组合键却可以启动任务管理器。既然通过组合键可以启动taskmgrexe程序。那么只要使用mmcexe替换taskmgrexe,即可启动组策略进行解锁。同上,先进入“C:\Windows \System32\dllcache”文件夹,找到taskmgrexe程序将其重命名为taskmgr1exe,再进入“C:\Windows\System32”文件夹,找到并将taskmgrexe文件重命名为taskmgr1exe。现在将mmcexe文件重命名为taskmgrexe,这时再按下Ctrl+Alt+Del组合键后,便会发现启动了控制台程序。设置组策略后,将任务管理器恢复回原名称即可。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)