同源策略禁止读取位于_域控组策略部署和软件分发

前言：

既然选择使用域控制器管理局域网，那么搭建域服务器只是开始，最关键的是要控制起来。下面介绍一组基础控制策略；

企业策略需求：

1. 禁止域用户修改ip地址。

2. 禁止域用户自动更新。

3. 确保用户密码复杂性要求。

4. 域用户登录桌面后自动禁用本地guest来宾用户。

5.禁用本地管理员账户

6.由域服务器统一分发提供软件安装列表

一、域组策略的部署

1、组策略管理器的认识

打开服务器管理器---工具---组策略管理

组策略管理界面

有2个默认的全局策略模板，点进去可以看到相关设置，右击Default Domain Policy---编辑---打开组策略管理器编辑器模式

组策略管理器编辑器

所有全局配置可以再这面更改，计算机配置：要客户端重启生效；用户配置：客户端注销生效；策略配置后要刷新：服务器端 gpupdate /force

2、禁止域用户修改ip地址。

在组策略左边框中依次找到“用户配置”――“管理模板”――“网络”――“网络连接”（如图），然后在右边的边框中找到并双击“禁止访问LAN连接组件的属性”在弹出的窗口中把它设置为“已启用”，然后点击“确定”，用命令“gpupdate /force”更新组策略后，用户就不能私自修改IP了。

禁止私自修改IP地址

3、禁止域用户自动更新。

依次展开 计算机配置-策略-管理模版-windows组件-windows update-配置自动更新--已禁用

停止自动更新

4、确保用户密码复杂性要求。

打开组策略编辑器,依次选择“计算机配置/WINDOWS设置/安全设置/帐户策略/密码策略”，禁用"密码必须符合复杂性要求"。密码长度最小值，可以根据您的需求来设置。

密码策略

5、域用户登录桌面后自动禁用本地guest来宾用户。

打开组策略编辑器,依次选择“计算机配置/WINDOWS设置/安全设置/本地策略/安全选项”，禁用"账户：来宾账户状态"。

禁用来宾账户

6、禁用本地管理员账户

打开组策略编辑器,依次选择"计算机配置---首选项---控制面板设置---本地用户和组"，右击本地用户和组新建本地用户，选择用户名administrator，更新账户状态禁用。

禁用本地管理员账户

二、由域服务器统一分发提供软件安装列表

1、创建一个共享文件夹，用户拥有读取权限，来存放准备发放给客户端安装的软件，这里借用之前创建好的share文件夹。将安装文件advinst.msi放在公司共享里面，注意，这里需发放的文件要把格式封装成msi格式。可以使用一些封装工具进行exe等格式的文件封装成msi格式，比如advinst（这里只选用一个msi的文件做测试）。

软件发放路径

2、弹出“组策略编辑器”，点击“用户配置”里的“策略”，打开“软件设置”，再单击“软件安装”，然后在右边空白处鼠标右击，选择“新建”里的“数据包...”

注意这里选择来源一定要是网络路径，不可以是本地路径。

3、鼠标右击Advanced

弹出选项，单击“属性”；

弹出软件分发的属性，单击“部署”选项卡，勾选“在登录时安装此应用程序 ”；

4、新建域用户默认是在Domain User组，这里不能安装软件，若想要提权，所以可以将用户默认增加至power users组里，做法如下图，在本地用户和组里面右击右边空白处，新建本地组---选择本地组---操作更新---新建本地组---选择组名power users---添加当前用户

Power users用户组其实就是标准用户，Users是用户组是受限用户。Power users 组的系统权限就是在组上增加了部分安装权限，也就是说可以安装一些不改变系统环境或者是创建系统服务的安装程序。可以修改控制面板里的大部分选项，一些选项是管理员级别的，所以还是改不了。再就是能够创建用户，但是不能创建高于自己级别的。

5、增加网络映射驱动器，自动将共享盘添加到新用户电脑界面

6、最后，强制更新组策略。

在cmd中运行gpupdate /force

7、验证收尾。

使用域账户，登录一台加入域的客户端查验相关配置

本地管理员账号

本地管理员账号被停用

软件自动分发安装成功

系统自动更新被禁

自动增加网络映射器共享盘