一、问题说明
1.1、问题描述
前面的Windows中的工作组(Work Group)、域(Domain)、域控(DC)、活动目录(AD)介绍系列已经完成了域控环境的搭建;那么最关键的就是实现管理控制。
1.2、想要实现的管控需求
以下是想要实现的一些基础管控控制需求:
① 禁止域用户修改ip地址。
② 禁止域用户自动更新。
③ 确保用户密码复杂性要求。
④ 域用户登录桌面后自动禁用本地guest来宾用户。
⑤禁用本地管理员账户。
⑥由域服务器统一分发提供软件安装列表。
二、具体操作流程
2.1、打开组策略和管理器
默认有2个全局策略模板(即:Default Domain Controllers Policy 、Default Domain Policy),点进对应的策略模板名称可以看到相关设置(如果需要编辑则【选中策略模板名称-->点击鼠标右键-->选中编辑】)
所有全局配置可以在【组策略编辑器】界面修改;其中
①【计算机配置:要客户端重启生效】;
②【用户配置:要客户端注销生效】;
③【策略配置后要刷新:在服务器端执行 gpupdate /force 命令】;
2.2、禁止域用户修改IP地址
1、 打开【Default Domain Policy】的【策略编辑器】界面;选择【用户配置--->管理模板--->网络--->网络连接】,然后在右边的设置界面找到【禁止访问LAN连接组件的属性】后双击则弹出该内容的属性窗口中把它设置为“已启用”,然后点击【应用】,用命令“gpupdate /force”更新组策略后,用户就不能私自修改IP了;如下图所示:
2、验证效果【使用域账号登陆客户端,然后修改IP地址】
当我们需要修改客户端的IP地址时弹窗则表示禁用修改IP地址成功
2.3、禁止域用户自动更新
1、 打开【Default Domain Policy】的【策略编辑器】界面;选择【计算机配置--->策略--->管理模版--->windows组件--->windows更新--->配置自动更新--->已禁用】;禁用该内容后系统不会自动更新,如果需要更新则需要手动打开设置。
修改了【计算机配置:要客户端重启生效】.
2、验证【禁止域用户自动更新】
2.4、指定用户密码复杂性
打开【Default Domain Policy】的【策略编辑器】界面;选择【计算机配置--->Windows设置--->安全设置--->帐户策略--->密码策略】;禁用【密码必须符合复杂性要求】,根据需要设置密码长度最小值,如下图所示:
修改了【计算机配置:要客户端重启生效】.
2.5、使用域用户登录桌面后自动禁用本地来宾用户(Guest)
打开【Default Domain Policy】的【策略编辑器】界面;选择【计算机配置--->Windows设置--->安全设置--->本地策略--->安全选项】;【账户:来宾账户状态】禁用,如下图所示:
修改了【计算机配置:要客户端重启生效】.
2.6、禁用本地管理员
打开【Default Domain Policy】的【策略编辑器】界面;选择【计算机配置--->首选项--->控制面板设置--->本地用户和组】;右击本地用户和组新建本地用户,选择用户名administrator,勾选【账户已禁用】;如下图所示:
修改了【计算机配置:要客户端重启生效】.
三、由域服务器统一分发提供软件安装列表
3.1、创建共享文件夹且放入.msi格式的软件
在域服务器上创建一个共享文件夹(ShareSoftware),用户拥有读取权限,来存放准备发放给客户端安装的软件,如将安装文件【advinst.msi】放在该共享文件夹(ShareSoftware);
注意,这里需发放的文件要把格式封装成msi格式。可以使用一些封装工具进行exe等格式的文件封装成msi格式,比如advinst(这里只选用一个msi的文件做测试)。
3.2、配置服务器分发软件策略
打开【Default Domain Policy】的【策略编辑器】界面;选择【用户配置--->策略--->软件设置--->软件安装】;然后再空白处点击鼠标右键,选择【新建-->数据包】
注意:数据包的地址必须是网络地址(如:192.168.146.227),如下图所示:
稍等一会就行显示如下内容(然后中内容,点击鼠标右键选择【属性--->部署--->勾选(在登陆时安装此应用程序)】);
3.3、提升用户权限用以安装软件
由于新建的域用户都默认是在Domain User组里,而改组又不能安装软件;所以若想要提升权限用以安装软件,需要将用户默认增加至power users组里,具体操作如下,选中【在本地用户和组 点击鼠标右键,选择【新建--->本地组】--操作更新---新建本地组---选择组名power users---添加当前用户】(这里以【张一山】用户的域账号指定登陆后安装软件为例说明,如下图所示)
说明:【Power users】用户组其实就是标准用户,系统权限就是在组上增加了部分安装权限(可以安装一些不改变系统环境或者是创建系统服务的安装程序,可以修改控制面板里的大部分选项,但是一些选项是管理员级别的还是修改不了),而Users是用户组是受限用户。
注意:在创建用户的时候是不能创建高于自己级别的用户的。
3.4、更新策略配置
【策略配置后要刷新:在服务器端执行 gpupdate /force 命令】;
3.5、验证软件是否登陆安装
重启系统,使用域账号密码登陆系统
四、增加网络映射驱动器
打开【Default Domain Policy】的【策略编辑器】界面;选择【用户配置--->首选项--->Windows设置--->驱动器映射】;选中驱动器映射,点击鼠标右键选择【新建--->映射驱动器】
【策略配置后要刷新:在服务器端执行 gpupdate /force 命令】;
重启客户端电脑后使用域账号登陆后查看电脑如下图所示:
支付宝微信扫一扫,打赏作者吧~本文链接:https://www.kinber.cn/post/2481.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 
