前言:
既然选择使用域控制器管理局域网,那么搭建域服务器只是开始,最关键的是要控制上去。下面介绍一组基础控制策略;
企业策略需求:
1. 禁止域用户更改ip地址。
2. 禁止域用户手动更新。
3. 确保用户密码复杂性要求。
4. 域用户登入桌面后手动禁用本地guest来宾用户。
5.禁用本地管理员帐户
6.由域服务器统一分发提供软件安装列表
一、域组策略的布署
1、组策略管理器的认识
打开服务器管理器---工具---组策略管理
组策略管理界面
有2个默认的全局策略模板,点进去可以见到相关设置,右击Default Domain Policy---编辑---打开组策略管理器编辑器模式
组策略管理器编辑器
所有全局配置可以再这面修改,计算机配置:要客户端重启生效;用户配置:客户端注销生效;策略配置后要刷新:服务器端 gpupdate /force
2、禁止域用户更改ip地址。
在组策略左边框中依次找到“用户配置”――“管理模板”――“网络”――“网络联接”(如图),然后在左边的边框中找到并双击“禁止访问LAN联接组件的属性”在弹出的窗口中把它设置为“已启用”,然后点击“确定”,用命令“gpupdate /force”更新组策略后,用户就不能擅自更改IP了。
禁止擅自更改IP地址
3、禁止域用户手动更新。
依次展开 计算机配置-策略-管理模版-windows组件-windows update-配置手动更新--已禁用
停止手动更新
4、确保用户密码复杂性要求。
打开组策略编辑器,依次选择“计算机配置/WINDOWS设置/安全设置/帐户策略/密码策略”,禁用"密码必须符合复杂性要求"。密码宽度最小值,可以按照您的需求来设置。
密码策略
5、域用户登入桌面后手动禁用本地guest来宾用户。
打开组策略编辑器,依次选择“计算机配置/WINDOWS设置/安全设置/本地策略/安全选项”,禁用"账户:来宾帐户状态"。
禁用来宾帐户
6、禁用本地管理员帐户
打开组策略编辑器,依次选择"计算机配置---首选项---控制面板设置---本地用户和组",右击本地用户和组新建本地用户,选择用户名administrator,更新帐户状态禁用。
禁用本地管理员帐户
二、由域服务器统一分发提供软件安装列表
1、创建一个共享文件夹,用户拥有读取权限,来储存打算领取给客户端安装的软件,这里借用之前创建好的share文件夹。将安装文件advinst.msi置于公司共享上面,注意,这里需领取的文件要把格式封装成msi格式。可以使用一些封装工具进行exe等格式的文件封装成msi格式,比如advinst(这里只选用一个msi的文件做测试)。
软件领取路径
2、弹出“组策略编辑器”,点击“用户配置”里的“策略”,打开“软件设置”,再单击“软件安装”,然后在左侧空白处键盘右击,选择“新建”里的“数据包...”
注意这儿选择来源一定要是网路路径,不可以是本地路径。
3、鼠标右击Advanced
弹出选项,单击“属性”;
弹出软件分发的属性,单击“部署”选项卡,勾选“在登陆时安装此应用程序 ”;
4、新建域用户默认是在Domain User组,这里不能安装软件,若想要加壳,所以可以将用户默认降低至power users组里,做法如下图,在本地用户和组上面右击左侧空白处,新建本地组---选择本地组---操作更新---新建本地组---选择组名power users---添加当前用户
Power users用户组虽然就是标准用户,Users是用户组是受限用户。Power users 组的系统权限就是在组上降低了部份安装权限,也就是说可以安装一些不改变系统环境或则是创建系统服务的安装程序。可以更改控制面板里的大部分选项,一些选项是管理员级别的,所以还是改不了。再就是才能创建用户,但是不能创建低于自己级别的。
5、增加网路映射驱动器,自动将共享盘添加到新用户笔记本界面
6、最后,强制更新组策略。
在cmd中运行gpupdate /force
7、验证扫尾。
使用域帐户,登录一台加入域的客户端查验相关配置
本地管理员帐号
本地管理员帐号被停用
软件手动分发安装成功
系统手动更新被禁
自动降低网络映射器共享盘
