介紹了如何配置基于域的組策略。首先在AD域中創(chuàng)建組策略，然后通過(guò)4個(gè)實(shí)例來(lái)驗(yàn)證域的組策略設(shè)置效果。分別是：

禁止【user_fjnu】用戶訪問控制面板和PC設(shè)置。
禁止【user_fjnu】所有用戶修改IE瀏覽器的默認(rèn)主頁(yè)，并將默認(rèn)主頁(yè)設(shè)置為www.fjnu.edu.cn。
禁止【user_fjnu】用戶運(yùn)行【計(jì)算器程序】。
使【user_fjnu】用戶登錄系統(tǒng)后，隱藏C盤。

介紹了如何配置基于域的組策略，通過(guò)組策略統(tǒng)一管理域中的計(jì)算機(jī)和用戶。通過(guò)4個(gè)實(shí)例來(lái)驗(yàn)證域管理員可以通過(guò)組策略統(tǒng)一管理分配域中資源。

將某目錄自動(dòng)映射為網(wǎng)絡(luò)驅(qū)動(dòng)器，使user_fjnu中的用戶可以訪問。
使user_fjnu中用戶使用統(tǒng)一桌面背景。
為user_fjnu中用戶安裝統(tǒng)一的軟件。
為user_fjnu中用戶的【文檔】文件夾重新定向。

3. 配置基于域的組策略

名詞說(shuō)明：

AD 域名為 fjnu，其中有名為 user_fjnu 的組織單位。

目前域 fjnu 中的 user_fjnu 存在兩臺(tái)計(jì)算機(jī) Server1 和 PC1，以及一個(gè)用戶 student1；

user_fjnu_GPO 為新建的組策略，已經(jīng)鏈接到組織單位 user_fjnu 中。

3.1 創(chuàng)建的組策略u(píng)ser_fjnu_GPO并配置簡(jiǎn)單的組策略

目的：通過(guò) 4 個(gè)實(shí)例來(lái)驗(yàn)證域的組策略設(shè)置效果

• （1）創(chuàng)建【user_fjnu_GPO】并應(yīng)用于【fjnu_user】組織單位中。
• （2）禁止【user_fjnu】用戶訪問控制面板和PC設(shè)置。
• （3）禁止【user_fjnu】所有用戶修改IE瀏覽器的默認(rèn)主頁(yè)，并將默認(rèn)主頁(yè)設(shè)置為www.fjnu.edu.cn。
• （4）使【user_fjnu】用戶登錄系統(tǒng)后，隱藏C盤。

（1）創(chuàng)建【user_fjnu_GPO】并應(yīng)用于【fjnu_user】組織單位中

在DNS1上，使用【win + r】快捷鍵，打開【運(yùn)行】對(duì)話框，輸入命令：gpmc.msc。

打開組策略管理器，在【fjnu_user】上點(diǎn)擊鼠標(biāo)右鍵，在彈出的菜單中選擇【在這個(gè)域中創(chuàng)建GPO并在此處鏈接】。

進(jìn)入【新建GPO】界面，在【名稱】中輸入新建的組策略對(duì)象名稱：user_fjnu_GPO，單擊確定，即在本區(qū)域中創(chuàng)建了名為 user_fjnu_GPO 的組策略對(duì)象，并將該對(duì)象鏈接到了【user_fjnu】。

（2）禁止【user_fjnu】用戶訪問控制面板和PC設(shè)置

在【user_fjnu】下的【user_fjnu_GPO】鏈接上單擊鼠標(biāo)右鍵，在彈出菜單上選擇【編輯】。

打開【組策略管理編輯器】，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【控制面板】，找到【禁止訪問控制面板和PC設(shè)置】，雙擊打開。

進(jìn)入該選項(xiàng)的設(shè)置界面，選擇【已啟用】，單擊【確定 】。

驗(yàn)證

切換到成員服務(wù)器Server1，使用域用戶student1重新登錄Server1，打開【控制面板】 。彈出告警框提示：
【本次操作由于這臺(tái)計(jì)算機(jī)的限制而被取消，請(qǐng)與你的系統(tǒng)管理員聯(lián)系】，說(shuō)明組策略【user_fjnu_GPO】的配置已經(jīng)對(duì)組織單位【user_fjnu】下的用戶生效。

（3）禁止【user_fjnu】所有用戶修改IE瀏覽器的默認(rèn)主頁(yè)，并將默認(rèn)主頁(yè)設(shè)置為www.fjnu.edu.cn

在組策略管理編輯器中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【windows組件】——>【互聯(lián)網(wǎng)Explorer】，找到【禁用更改主頁(yè)設(shè)置】，雙擊打開。

打開該選項(xiàng)的設(shè)置界面，選擇【已啟用】，并在下面的主頁(yè)中輸入：http://www.fjnu.edu.cn，單擊【確定】。

驗(yàn)證：

切換到成員服務(wù)器PC1，使用域用戶student1重新登錄PC1，打開IE瀏覽器，單擊右上角【設(shè)置】圖標(biāo)，在彈出菜單中選擇【互聯(lián)網(wǎng)選項(xiàng)】 。

打開【互聯(lián)網(wǎng)選項(xiàng)】對(duì)話框，可以看到【常規(guī)】選項(xiàng)卡中的主頁(yè)設(shè)置為http://www.fjnu.edu.cn，下面的修改按鈕全部為灰色，表示不允修改默認(rèn)主頁(yè) 。

（4）使“user_fjnu”中的用戶登錄系統(tǒng)后，隱藏C盤

在【組策略管理編輯器】中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【windows組件】——>【文件資源管理器】，找到【隱藏我的電腦中的這些指定驅(qū)動(dòng)器】設(shè)置，雙擊打開 。

進(jìn)入該選項(xiàng)的設(shè)置界面，選擇【已啟動(dòng)】，并在下面選擇【僅限制驅(qū)動(dòng)器C】，單擊【確定】。

驗(yàn)證：

切換到成員服務(wù)器Server1，使用域用戶student1重新登錄Server1，打開資源管理器，選擇【此電腦】，可以看到C盤被隱藏了。

3.2 通過(guò)組策略u(píng)ser_fjnu_GPO統(tǒng)一管理域中的計(jì)算機(jī)和用戶

目的：通過(guò)4個(gè)實(shí)例來(lái)驗(yàn)證域管理員可以通過(guò)組策略統(tǒng)一管理分配域中資源。

將某目錄自動(dòng)映射為網(wǎng)絡(luò)驅(qū)動(dòng)器，使user_fjnu中的用戶可以訪問。使user_fjnu中用戶使用統(tǒng)一桌面背景。為user_fjnu中用戶安裝統(tǒng)一的軟件。為user_fjnu中用戶的【文檔】文件夾重新定向。

（1）將某目錄自動(dòng)映射為網(wǎng)絡(luò)驅(qū)動(dòng)器，使user_fjnu中的用戶可以訪問。

首先，在域控制器DNS1上創(chuàng)建一個(gè)目錄C:\share，在該目錄下新建一個(gè)文件test.txt用于測(cè)試。

然后，將C:\share設(shè)置為共享目錄。在share目錄上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇【屬性】，在【share屬性】界面選擇【共享】選項(xiàng)卡，并點(diǎn)擊【共享】。

進(jìn)入【網(wǎng)絡(luò)訪問】界面，點(diǎn)擊第一個(gè)輸入框右邊的下拉箭頭，在展開的菜單中選擇【Everyone】，單擊右側(cè)的【添加】按鈕。

隨后點(diǎn)擊【共享】。

進(jìn)入【你的文件夾已共享】界面，顯示了名為【share】的共享，共享目錄為\\DNS1\share，單擊【完成】。

返回【share屬性】的【共享】選項(xiàng)卡，顯示該文件夾的網(wǎng)絡(luò)路徑為\\\DNS1\share，說(shuō)明共享目錄已經(jīng)設(shè)置完成。

在域控制器DNS1上，編輯【user_fjnu_GPO】，在【組策略管理編輯器】中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【首選項(xiàng)】——>【windows設(shè)置】——>【驅(qū)動(dòng)器映射】，在【驅(qū)動(dòng)器映射】上單擊鼠標(biāo)右鍵，在彈擊菜單中選擇【新建】，在展開的菜單中選擇【映射驅(qū)動(dòng)器】 。

打開【新建驅(qū)動(dòng)器屬性】界面，在【位置】中輸入共享目錄的網(wǎng)絡(luò)路徑\\DNS1\share，勾選【重新連接】標(biāo)記，即每次登錄時(shí)均重新連接該網(wǎng)絡(luò)驅(qū)動(dòng)器，在【驅(qū)動(dòng)器號(hào)】中選擇右邊的【使用】選項(xiàng)，并設(shè)置盤符為Z，單擊【確定】。

如果驅(qū)動(dòng)器號(hào)為D，域中的用戶及計(jì)算機(jī)不能識(shí)別，因?yàn)镈盤默認(rèn)為DVD Drive。

可以在【驅(qū)動(dòng)器映射】界面中看到該剛才設(shè)置的結(jié)果。

驗(yàn)證：

切換到域成員服務(wù)器Server1，使用域用戶student1重新登錄Server1，打開資源管理，在【此電腦】中，可以看到自動(dòng)映射了網(wǎng)絡(luò)驅(qū)動(dòng)器，盤符為Z:盤，映射目錄為\\DNS1\share 。

雙擊打開D:盤，能夠看到在域控制器上的共享目錄中創(chuàng)建的測(cè)試文件 test.txt。

（2）使user_fjnu中用戶使用統(tǒng)一桌面背景

首先，在域控制器DNS1上創(chuàng)建一個(gè)目錄C:\pic，將要使用的背景圖片文件bg.jpg復(fù)制到目錄C:\pic下。

然后，將C:\pic設(shè)置為共享目錄。在pic目錄上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇【屬性】，在【pic屬性】界面選擇【共享】選項(xiàng)卡，并點(diǎn)擊【共享】。

進(jìn)入【網(wǎng)絡(luò)訪問】界面，點(diǎn)擊第一個(gè)輸入框右邊的下拉箭頭，在展開的菜單中選擇【Everyone】，單擊右側(cè)的【添加】按鈕。

隨后點(diǎn)擊【共享】。

進(jìn)入【你的文件夾已共享】界面，顯示了名為【pic】的共享，共享目錄為\\DNS1\pic，單擊【完成】。

返回【pic屬性】的【共享】選項(xiàng)卡，顯示該文件夾的網(wǎng)絡(luò)路徑為\\DNS1\pic，說(shuō)明共享目錄已經(jīng)設(shè)置完成。

在域控制器DNS1上，編輯【user_fjnu_GPO】，在【組策略管理編輯器】中，依次展開【財(cái)務(wù)處GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【桌面】——>【桌面】，找到【桌面墻紙】配置，雙擊打開。

進(jìn)入該選項(xiàng)的設(shè)置界面，選擇【已啟用】，并在下面的選項(xiàng)中設(shè)置墻紙名稱：\\DNS1\pic\bg.jpg，墻紙樣式默認(rèn)為【居中】，單擊【確定】。

在【組策略管理編輯器】中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【控制面板】——>【個(gè)性化】，找到【阻止更改桌面背景】配置，雙擊打開。

進(jìn)入該選項(xiàng)的設(shè)置界面，選擇【已啟用】，單擊【確定】。

驗(yàn)證：

切換到成員服務(wù)器PC1，使用域用戶student1重新登錄PC1，可以看到桌面背景已設(shè)置為統(tǒng)一的圖片。

在桌面上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇【個(gè)性化】，進(jìn)入個(gè)性設(shè)置界面，該界面中的背景設(shè)置全部為灰色，并提示【某些設(shè)置由你的組織來(lái)管理】，說(shuō)明用戶自己不能修改桌面背景。

（3）為user_fjnu中用戶安裝統(tǒng)一的軟件

首先，在域控制器DNS1上創(chuàng)建一個(gè)目錄C:\packages，將fjnu_user用戶需要安裝的安裝包復(fù)制到目錄C:\packages下。

Windows Server 只支持.msi 格式的安裝包。

然后，將C:\packages設(shè)置為共享目錄。在packages目錄上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇【屬性】，在【packages屬性】界面選擇【共享】選項(xiàng)卡，并點(diǎn)擊【共享】。

進(jìn)入【網(wǎng)絡(luò)訪問】界面，點(diǎn)擊第一個(gè)輸入框右邊的下拉箭頭，在展開的菜單中選擇【Everyone】，單擊右側(cè)的【添加】按鈕。

隨后點(diǎn)擊【共享】。

進(jìn)入【你的文件夾已共享】界面，顯示了名為【packages】的共享，共享目錄為\\DNS1\packages，單擊【完成】。

返回【packages屬性】的【共享】選項(xiàng)卡，顯示該文件夾的網(wǎng)絡(luò)路徑為\\DNS1\packages，說(shuō)明共享目錄已經(jīng)設(shè)置完成。

在域控制器DNS1上的【組策略管理編輯器】中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【軟件設(shè)置 】——>【軟件安裝】，在【軟件安裝】上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇【屬性】 。

在【軟件安裝 屬性】界面中，設(shè)置默認(rèn)程序數(shù)據(jù)包位置為\\DNS1\packages，其余使用默認(rèn)設(shè)置，單擊【確定】

再次在【軟件安裝】上單機(jī)鼠標(biāo)右鍵，在彈出的菜單中選擇【新建】，選擇【數(shù)據(jù)包】。

打開選擇數(shù)據(jù)包界面，找到C:\packages目錄下的安裝包文件xxxx，單擊【打開】。

在彈出的【部署軟件】對(duì)話框中，選擇【已發(fā)布】選項(xiàng)，單擊【確認(rèn)】。

已發(fā)布：域成員需要手動(dòng)從網(wǎng)絡(luò)安裝程序

已分配：域成員機(jī)登錄時(shí)會(huì)自動(dòng)安裝

等待一段時(shí)間后，在【軟件安裝】中，可以看到剛才發(fā)布的軟件包信息，選中安裝包，點(diǎn)擊鼠標(biāo)右鍵，選擇【屬性】。

驗(yàn)證：

切換到成員服務(wù)器PC1，使用域用戶student1重新登錄PC1，打開【控制面板】，單擊左下角【程序】下的【獲得程序】。

打開【獲得程序】界面，界面中顯示了域控制器通過(guò)組策略發(fā)布的程序xxxxxx，雙擊該程序，即可開始安裝。

（4）為user_fjnu中用戶的【文檔】文件夾重新定向

首先，在域控制器DNS1上創(chuàng)建一個(gè)目錄C:\userdoc，該目錄用于存放財(cái)務(wù)處所有用戶的【文檔】文件夾內(nèi)容。

然后，將C:\userdoc設(shè)置為共享目錄。在userdoc目錄上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇【屬性】，在【userdoc屬性】界面選擇【共享】選項(xiàng)卡，并點(diǎn)擊【共享】。

進(jìn)入【網(wǎng)絡(luò)訪問】界面，點(diǎn)擊第一個(gè)輸入框右邊的下拉箭頭，在展開的菜單中選擇【Everyone】，單擊右側(cè)的【添加】按鈕。

隨后點(diǎn)擊【共享】。

進(jìn)入【你的文件夾已共享】界面，顯示了名為【userdoc】的共享，共享目錄為\\DNS1\userdoc，單擊【完成】。

返回【userdoc屬性】的【共享】選項(xiàng)卡，顯示該文件夾的網(wǎng)絡(luò)路徑為\\DNS1\userdoc，說(shuō)明共享目錄已經(jīng)設(shè)置完成。

在域控制器DNS1上，編輯【user_fjnu_GPO】，在【組策略管理編輯器】中，依次展開【財(cái)務(wù)處GPO】——>【用戶配置】——>【策略】——>【W(wǎng)indows設(shè)置 】——>【文件夾重定向】，在【文檔】上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇【屬性】 。

打開【文檔 屬性】界面中，在【設(shè)置】中使用基本設(shè)置：將每個(gè)人的文件夾重定向到同一位置。在【目標(biāo)文件夾位置設(shè)置】中，選擇【在根目錄路徑下為每一用戶創(chuàng)建一個(gè)文件夾】，路徑設(shè)置為\\DNS1\userdoc，其余使用默認(rèn)設(shè)置，單機(jī)【確定】。

會(huì)彈出一個(gè)兼容性告警，單擊【是】，忽略告警。

驗(yàn)證：

切換到成員服務(wù)器PC1，使用域用戶student1重新登錄PC1，打開【資源管理器】，在【此電腦】的【文檔】上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇【屬性】。打開【文檔屬性】界面。

參考資料 [1]戴有煒，《2016 Windows Server 系統(tǒng)配置指南》，清華出版社，2018

Microsoft Docs：Active Directory documentation

Microsoft Docs：Active Directory Domain Services 

到此這篇關(guān)于Windows Server 2019 組策略的配置與管理(基于域的組策略與示例)的文章就介紹到這了,更多相關(guān)win2019 組策略內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論