AD组策略的设置

《AD组策略的设置》由会员分享，可在线阅读，更多相关《AD组策略的设置（7页珍藏版）》请在装配图网上搜索。

1、为何不能交互式登陆？前一段时间做了一个win2000的终端网，采用win2000 application server终端服务模式+citrix(sp3), 客户机上出现登陆窗口，以域用户账号登陆便会出现提示:计算机不允许交互式登陆,而用 administrator 登陆却没有问题，开始有点呐闷，这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题 一样，后来查了一查资料，顿时明白过来。在这里我必须讲一讲NT和win2000的身份验证机制。NT和 win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是 MSV1_0 协议，用户通

2、过提供登陆信息(如用户名和密码),服务器将这些信息发送到服务器上的验证机构， 验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发 送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下，由于域之间的信任关系是单向的，不可 传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权 限。而在现在的win2000模式下，每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的，他 是由每域的RID主机(相对关系主机)来分配的。SID在每个域中是独一无二的，但在其他域中也可能出 现同样的S

3、ID，但是由于域ID的不同，所以二者的GUID就不可能相同。但这必须建立在Kerberos协议 的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A； A信任B，B信 任C，A信任C。当然也可手工调整，一个用户仅仅具有一个token是不够的,token只能保证用户是否能 在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE( Access control entry) 是具体的访问类型(如read,write等等).说了

4、这么多，我再谈一谈针对win2000域环境下本地交互登陆的机制，众所周知，win2000对于用户登陆 的验证采用的是 kerberos 协议,当一个本地用户登陆到域服务器， GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求，就会将其转发到LSA (本地权威机构)，而在 WIN2000下由于Kerberos是默认的验证机制，所以就请求kerberos来验证身份，而kerberos收到身份验 证请求之后，便会出现错误信息，因为kerberos是用来验证域用户账号而非本地账号，此时LSA收到错 误信息，会将其转发

5、到GINA，GINA在将指定了 MSV1_0协议的LSA来验证身份，如果通过则完成本地 交互式登陆。说了这么多,到底跟终端用户登陆到服务器有什么关系。终端用户不是通过网络登陆吗？又不是本地登陆， 那为什么RPLWIN9598,PXEWIN98的客户登陆服务器不会出现同样的问题呢？这就是WIN2000终端与 RPLWIN9598,PXEWIN98的不同之处，终端顾名思义实际上只是客户通过键盘输入，发送指令到服务器, 并没有大量的数据传送，最后通过客户机的显示器输出结果，实际上是一个远程控制的原理，而 RPLWIN9598,PXEWIN98通过把客户机上的文件共享到服务器上，从而达到访问服务器的目

6、的，其间有 大量的数据的传输,实际上是一个远程访问的原理。远程控制与远程访问的最大不同是远程控制是工作发生 在远程服务器上，将消耗大量的远程服务器的 cpu 时间，而远程访问工作主要发生在本地客户机上，需要 消耗大量的客户机cpu的时间现在的众多远程控制的黑客软件大多是采用的就是远程控制的原理，如冰 河,BO等等。终端实际上就是一个本地登陆的过程，所以采用的客户账号必须是本地账号。现在我就给大家提供具体的 解决办法：win2000的得意之作GPO，即group policy object,win2000把以前NT要通过修改注册表或者 运行poledit.exe修改Ntconfig.pol文件才

7、能达到配置政策的目的，通过GPO来实现一个超强功能的中央 集权的组政策，此政策是建立在活动目录(Active Directory)基础之上的，活动目录又是通过DNS来定位服 务的。所以如果要使用GPO，就必须在安装完WIN2000 SERVER+DNS之后，通过DCPROMO.EXE程序来安装活动目录，才能使用GPO.安装完活动目录之后，点击开始-程序-管理工具-Active Directory用户 和计算机,出现图 1 画面右击所在域（本例是）-属性-组政策，如图2所示点击选项，选中禁止覆盖入图 3 所示链接选项.”聽严EgDefault Domain Policy被禁用网组策略对象叭不适用

8、于这个容器） -1仝0宦 r-J! . r.-TJ.1 . /I 确疣 I 取出 I点击default domain policy，选择编辑进入GPO窗口。选择计算机配置-windows设置-本地策略-用户权利 指派（如图 4）回岡-JdJR有足冥 段牵諏冏拒绝杵加隠登示 錮拒绝徉掬推作吐登录 闕内存中迪定页 一團配這单一谨程闕呢曙文帼B它封規的斯刘根關離过追起亘宜克钗醐同歩目录胆务数聲漫秦定览一閔修改固件耳境值褂有宦义翱段操桂谿方式按作段审叙團域中裁那工作站惑磁關允昭十宜机SD用户軼戶確信任取便巨于曙任设暂走理诩感用户配玮 主_ 袒慣作夏看迪_ 息I戲 卫皿 Domain f oi吟tvtw

9、t, wupanlanzonr上團计苴机匪冒_J软件過置Wfldowj盪査曽昨（息幽关却安全设査 寸:爭帙户董區i七諂甫户瞬咏*：由京主则+ 士劉牛日志卫郵删的绘+卫廉歩腋务+卫注冊茂*卫支丼杀蜒 H _聲駅担確+ 骂 IP 卑全議苗.it Mlve Dlrecimy - _1胡議3凶计筈机说習亠世秦定义 没有定史 段有定义没祥走义滑有定义伏香走買在允许本地登陆的选项卡上将终端用户所在的组添加上（如图 5）关闭所有窗口。打开win2000的命令处理窗口，运行secedit /refreshpolicy machine_policy,再在事件查看 器去看一下政策是否已成功运用。再在客户机上用已添

10、加的终端客户账号登陆，ok,pass.呵呵，透露一个 小秘密，这个问题出现在 win2000 的 MCP-215 的考试中，希望各位做对。最后留下我的EMAIL:bbaojian,希望与热爱电脑技术的朋友共同进步.一、编辑组策略1、允许用户登陆本计算机在0U里面-右键属性-组策略-新建策略-编辑策略-计算机配置-WINDOWS设置安全设置本地策略用户权限分配允许在本地登陆。用gpupdate /force命令刷 新。2、拒绝用户访问运行、CMD、以及批处理文件。1、在要设定的0U上点击右键-属性-组策略-编辑策略-用户配置-管理摸板-任务栏和开始菜单-删除开始菜单上的运行菜单。用 gpupda

11、te /force 命令刷新。2、在要设定的域控制器点击右键-属性-组策略-编辑策略-用户配置-管理摸板- 系统T阻止用户访问命令提示符T继续点击下面的的选项一是否拒绝使用批处理文件处理选择是”。用gpupdate /force命令刷新。二、拒绝继承权限1、在下一级的 OU 上属性组策略禁止策略的继承。用 gpupdate /force 命令刷新。三、强制继承1、在上一级的 OU 上属性组策略选项禁止替代钩上。用 gpupdate /force 命令 刷新。四、过滤用户（特定的人群）1、在要设定的 OU 上属性组策略属性安全添加用户给予权限拒绝组策略。 用 gpupdate /force 命令

12、刷新。五、桌面管理1、在要设定的0U上-属性-组策略-编辑组策略-用户配置一管理模板-桌面Acti ve desktop-启用Active desktop-启用Active desktop墙纸输入对应的主机的地址和 共享文件。2、用户配置-管理模板-系统-CTRL+ALR+DEL选项。六、密码策略1 、在域控制器上-属性-组策略-新建组策略-编辑组策略-计算机配置-安全设置- （1、密码策略 2、帐户锁定策略）七、组策略脚本1、当用户启动时-启动脚本-登陆脚本2、当用户注销时-注销脚本-关机脚本3、wscript.echo内容后缀改为“VBS”1、建立脚本-2、点开域控制器-属性-组策略-添加

13、组策略-编辑组策略-用户配置（计算机配置）-WINDOWS设置-脚本-双击登陆一显示文件-把脚本文件拖进去-3、 在点击添加-写入文件名就可以了。8、文件重定向1、漫游文件-用户-右健属性-配置文件-输入文件夹路径-在指定的计算机上-创建 文件夹-共享-以及共享权限-安全权限-在计算机上注销。2、文件夹重定向-1、不管从哪一台机器登陆，都可以访问所需的数据。 2、数据集中存 储创建帐号-在指定OU上-右键属性-组策略-编辑组策略-用户配置-WINDOWS设 置-文件重定向-我的文档-配置9、强制漫游找到指定文件-NTUSER.DAT改MAN10、权限委派1、在OU上-右键委派-添加帐号（MAR

14、Y）-删除、创建在指定OU上-右键控制委派-添加帐号（TOM）-删除、创建-策略管理2、删除委派- 查看-高级-在 OU 上-属性-安全-高级-删除权限11、软件分发（SMS）（后缀名为MSI）1 、软件分发的好处：1 、自动安装 2、自动修复 3、自动升级 4、远程删除2、软件分发的方式：1、发布给用户 2、指派给用户 3、指派给计算机3、软件发布的过程：1 、在指定 OU 上新建帐号-建立共享（软件） -建立组策略-编辑-用户配置-软件设置-软件安装-右键属性-UNC路径-右键新建程序包-发布（添加程序里面） -指派（在开始菜单） -部署下面（登陆安装）升级软件-右建软件-高级-升级-客户端验证4、非 MSI 后缀的软件安装：先在服务器上安装软件-在安装高级安装程序-1、程序包封装不完整 解决1、把下载注册表监视器 2、给于权限5、让特殊的人有特殊的权限：在指定的OU上-组策略-计算机配置-WINDOWS设置-安全设置-文件系统一右键添加-用户注册表-DOMAIN USERS6、软件限制1、建立哈希规则-组策略-用户配置-WINDOWS设置-安全设置-软件限制策略-其他规则-