欢迎来到天天文库
浏览记录
ID:38133237
大小:46.50 KB
页数:4页
时间:2019-05-28
《组策略配置及技巧》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、组策略攻略概念:组策略对象可以应用到的容器包括:站点、域、OU。默认的域策略、域控制器策略尽量不要去修改。默认的域策略会影响到所有的域内的用户,计算机以及DC,默认的域控制器策略只会影响到域内的所有的域控制器。组策略(grouppolicy)对象包括组策略容器(GPC)和组策略模板(GPT)组策略是AD集中管理的工具。GPC存放在AD用户和计算机中。存放位置如下:高级功能-选择域-system-policies对应的UID中,单击属性可以查看版本号等信息,CPT存放于sysvol域名polilci
2、esIDnumber下的文件夹下,包含计算机和用户的配置,以及版本号。多个GPO可以链接到一个容器,一个GPO可以链接到多个容器。强制:是不受组策略阻断影响,Q&A:如何实现OU内的GPO只(不)对OU内特定人员生效?(GPO只对财务部OU和销售部OU的经理生效)使用安全过滤;在AD用户和计算机中新建一个安全组,将需要生效的成员(经理)添加进来,在所要生效的GPO中右击属性-委派-高级,删除默认的authenticateduser组,将新建的安全组添加进来,权限中设置读取和应用(拒绝)组策略权限即可
3、。(尽量不要使用,方便排错)如果一个程序有多个软件限制策略规则,该如何应用?按照1:哈希;2:证书;3:路径;4:internet区域路径规则;优先级顺序执行。组策略的执行顺序为:本地策略、站点策略、域策略、父OU策略、子OU策略。后执行的优先级高。如多于一个的同类规则作用于同一个程序,则同类规则中最具有限制能力的规则起作用。如何禁止客户端本地登录,只能使用域环境登录?打开GPMC,在所要设置的GPO中编辑如下:计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中,单击允许本地登录
4、,安全选项中,帐户:管理员帐户状态,禁用,可以实现只能登陆到域。组策略如何备份?打开GPMC-组策略对象,在需要备份的GPO中单击备份,要备份所有的GPO,单击组策略对象,选择备份。文件夹重定向如何操作?服务器端创建共享文件夹,在共享和安全给予相应足够的权限(确保客户端可以访问共享文件夹)单击组策略管理器-目标,文件夹重定向,设置选择高级,指定安全组成员身份(为哪些用户做文件夹重定向)添加,选择安全组成员,及根路径(须为网络路径),设置选项查看相应选项。GPMC中的安全筛选很重要。可以限制特定用户使用
5、某个GPO。计算机如何知道组策略是否更改过?如何获取适合自己的组策略?计算机在登录时首先查看GPlink(adsiedit.msc中域-属性-属性编辑器),查看ID和对应的版本号是否更改过,以便登录的时候实施对应的组策略。计算机和用户如果要应用组策略对象的设定:计算机和用户必须位于GPO有链接的SDOU容器内。必须对GPO要有读取和应用组策略的权限。如何使其他用户具有编辑组策略的权限?在所设置的组策略上点击添加,将用户添加进来,给予相应的权限,给定的用户即可编辑对应的组策略。如何设置域中用户具有修改域
6、的所有组策略(不包含给定权限的用户自己编辑的组策略)的权限?单击AD用户和计算机,单击grouppolicycreatorowners-属性,将需要添加的成员添加进来即可。如何设置域中GPO的链接的权限?(将设置的组策略对象链接到相应的容器中的权限)在AD用户和计算机上单击域,右击委派控制-添加,将要添加的用户添加进来,然后给予相应的权限即可。如何查看当前系统新增的组策略功能?GPedit中单击管理模板-查看-筛选器选项,勾选相应选项即可查看。组策略结果集RSoP的用处?MMC中添加策略的结果集即可以
7、打开RSoP可以选择记录模式和计划模式,记录模式显示当期应用的组策略结果,计划模式显示模拟的即将应用的组策略结果,单击更改查询切换,进行查询。GPMC中策略的结果为RSoP的记录模式。(推荐使用)提供HTML报告,可以保存报告收集对象为指定的用户、指定的计算机、不可以收集环回处理或者慢速网络、不可以收集安全组成员资格组策略建模的作用?打开方式:GPMC中,右键组策略建模、OU节点、域名节点下拉菜单中单击组策略建模向导。在组策略排错方面与组策略结果集配合使用可以方便排错。组策略结果和组策略建模的区别是什
8、么?组策略结果反映的是已经执行的组策略信息,组策略模型是反映还没有执行的组策略计划软件限制策略常用有哪些?有路径规则域哈希规则。路径规则可以限制咋某个路径下的文件的限制,用户修改了此文件的路径,便无效。哈希规则即为限制某个文件的哈希值,无论文件在何处,都不可以运行。软件分发的共享文件夹权限如何设置及操作步骤?先在服务器端建立一个共享文件夹设置成隐藏共享,只读和执行即可,无须给更高权限。其次策略-软件设置,点击软件安装。选择网络路径安装,不可点击本地路径安
此文档下载收益归作者所有