当前域环境:在单域中有一些用户、组、计算机帐户,还有三个组织单位(OU),其中财务部还有一个子组织单位“资产管理”,每一个组织单位都有一个委派管理员,左侧有一些要实现的组策略对象(GPO),本例中域控制器名:jame,域中另一台计算机名:Glasgow。 下面各例用于学习 GPO对象的创建、链接、它的冲突解决,继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。(以下各例都在组策略管理工具中完成,在上一课已经安装了 GPMC.MSI这个组策略管理工具) 一、 强制实现域中所有用户使用统一桌面背景。 1. 实现这一策略如下图:先建立一个统一桌面背景的 GPO,把它链接到域,并设置这个GPO为强制。 2. 准备一张图片,放在一个只读共享文件夹中,并确认在网上邻居中可定位它的UNC路径。 图片的UNC路径是:\\Jame\公用共享\背景.jpg。 3. 打开:开始→管理工具→组策略管理,再展开林→域→Nwtraders.msft→组策略对象,在右侧“内容”中右击,选“新建”。 4. 取一个组策略名 5. 对新建的GPO右击选“编辑”,进入组策略对象的编辑。 6. 展开用户配置→管理模板→桌面→Active Desktop,首先启用“启用Active Desktop”用于支持 Jpg和 HTML格式为桌面背景。 在右侧窗口,双击“Active Desktop墙纸”并如下设置。(不要使用图片的本地路径,这样会使网络中其他计算机不能访问,而要使用 UNC路径) 7. 把“统一背景”这个 GPO链接到域:对域右击,选“链接现有 GPO”。 对统一背景GPO右击,设置“强制”,使此 GPO的组策略继承是强制继承,不能被阻止继承。 8. 用域用户 Kaka登陆域测试一下,背景已经有图片,表示部署成功。 二、 除了域管理员和委派管理员外所有域用户禁用控制面板。 1. 本例实现的 GPO链接示意图 2. 展开“组策略对象”在右侧如上例一样建立一个新的 GPO。 对“禁用控制面板”GPO进行编辑。 如下设置启用“禁止访问控制面板”。 在域上“链接现有 GPO”到“禁用控制面板”。 排除“禁用控制面板”GPO对系统管理员、委派管理员(administrator、kaka、jo、leo)的该策略应用:先在“组策略对象”下对“禁用控制面板”单击,在右侧出现细节,在其“作用域”的“安全筛选”中单击“添加”,加入 administrator、kaka、jo、leo这几个用户。 单击“委派”选项卡下的“高级”按钮,打开“禁用控制面板”的安全设置,在“组或用户名称”中依次单击上面的四个用户,在下面的权...
