一、组策略的定义?它的作用?使用它的好处?
定义:一组策略的合集
作用:用来统一修改系统,设置程序
好处:1、减少管理成本
2、减少用户单独配置错误的可能性
3、可以针对特定对象设置特定的策略
二、组策略中包含哪些配置?每一类的配置分别对哪些对象起作用?
默认GPO和GPO链接;
默认GPO:默认域策略和默认域控制器策略;
GPO链接:只能链接到站点,域,ou
三、组策略继承什么情况下用?阻止继承又是什么情况下阻止?
使用:当子ou需要来自上级ou的组策略是使用
阻止:当下级ou不需要来自上级ou的组策略是可以将其阻止
四、若多个组策略间没有冲突时,效果如何?如多个组策略间有发生冲突,效果如何?
没有冲突时效果为所有组策略设置的累加;有冲突是效果为当发生冲突时,后应用的策略将覆盖前面的策略
五、组策略的应用顺序是什么?
LSDOU
- 首先应用本地组策略对象
- 如果有站点组策略对象,则应用
- 然后应用域组策略对象
- 如果计算机或用户属于某个OU,则应用OU上的组策略对象
- 如果计算机或用户属于某个OU的子OU,则应用子OU上的组策略对象
- 如果同一个容器下链接了多个组策略对象,则链接顺序最低的组策略对象最后处理,因此它具有最高的优先级
六、筛选的作用?如何实现筛选?
可阻止一个GPO应用于容器内的特定计算机或用户。如果用户或计算机账户没有读取和应用组策略的权限,组策略将不对其生效
七、软件的分发方式有哪些?它们的区别是什么?
分配和发布。
分配:可以将程序分配到用户或计算机,分配的程序在客户机的“开始”菜单中,如果将程序分配给一个用户,该用户登录到计算机时就会安装此程序。
发布:可以将一个程序发布给用户,当用户登录到计算机上时,发布的程序显示在“控制面板”的“添加或删除程序”中,要想使用软件需进一步安装完成
八、精细化密码策略的作用?
针对不同的安全级别为用户设定不同的密码策略
九、创建两个组,‘工程部’、‘市场部’,成员自拟,要求完成‘工程部’员工密码长度是10,锁定阈值为3,密码历史为3,‘市场部’员工密码长度是15,锁定阈值为3,密码历史为1,必须管理员手工解锁。
第一步:打开服务器管理器,点击工具,点击AD用户和计算机
第二步:右击N02,新建组“工程部”、“市场部”,并在两个组内添加用户“lisi”和“zhangsan”
第三步:打开服务器管理器,点击工具,打开AD管理中心
第四步:点击本地域并点击system,并在system中找到password setting container并双击
第五步:在空白处右击,并点击新建,在点击密码设置
第六步:设置‘工程部’员工密码长度是10,锁定阈值为3,密码历史为3
第七步:修改用户“lisi”密码,发现账户密码过段,无法修改
第八步:切换用户“lisi”,故意输错三次密码,并被锁定,切换至管理员账户才可解锁
第九步:‘市场部’员工密码长度是15,锁定阈值为3,密码历史为1
第十步:修改用户“zhangsan”密码,发现账户密码过短,无法修改
第十一步:切换用户“zhangsan”,故意输错三次密码,并被锁定,切换至管理员账户才可解锁
十、针对计算机组策略做出“强制显示特定的默认锁屏界面图像和登录图像”,图像自定义
第一步:使用域管理员账号登录DC,点击开始,点击服务器管理器,点击工具,选择AD域用户和计算机,右击N02.com,点击新建“N02”OU
第二步:点击开始,点击Windows管理工具,组策略管理,打开组策略管理控制台
第三步:打开林N02.com,点击域,点击N02.COM,点击N02
第四步:右击N02,选择在这个域中创建GPO并在此处链接命令,修改名称为11111
第五步:右击GPO”11111”,点击编辑,打开组策略管理编辑器控制台
第六步:点击用户配置,选择策略,打开管理模板:从本地计算机中检索,点击桌面,点击Active Desktop
第七步:点击启用Active Desktop,点击应用后确定
第八步:点击不允许更改,点击启用,点击应用和确定
第九步:点击桌面壁纸,点击已启用,设置墙纸名称和墙纸样式,点击应用和确定
第十步:切换用户lisi查看效果,不可更改壁纸
十一、针对用户组策略做出按下“ctrl+alt+del”键后没有注销键的效果
第一步:用域管理员账号登录DC,点击开始,点击服务器管理器,点击工具,选择AD域用户和计算机,右击N02.com,点击新建“111”OU和OU“111”内的用户1
第二步:点击开始,点击Windows管理工具,组策略管理,打开组策略管理控制台,打开111
第三步:右击111,选择新建GPO
第四步:右击111,点击编辑
第五步:选择用户配置,选择管理模板,选择系统,选择ctrl+alt+del
第六步:点击删除注销,点击已启用,点击应用和确定
第七步:切换用户1,查看效果
十二、创建OU“通信部”,通信部的子OU“信息部”,(1)默认“信息部”要求继承“通信部”组策略,效果自定义;(2)“信息部”阻止继承“通信部”组策略,效果与继承不一样
第一步:新建OU“通信部”,在“通信部”内新建OU“信息部”,在“信息部”内新建用户“2”
第二步:在通信部内新建GPO,命名为222
第三步:右击222,选择用户配置,选择管理模板,选择系统,选择ctrl+alt+del
第四步:删除注销,点击已启用,点击应用确定
第五步:切换子OU“信息部”的用户2,因为子OU“信息部”会默认继承OU“通信部”上的策略,所以用户2没有注销键
第六步:右键信息部选择阻止继承
第七步:切换用户2查看效果,是否有注销键
十三、通信部强制组策略继承
第一步:接上次实验效果,通信部阻止继承,用户“lisi”注销键未锁定,效果如图
第二步:右击GPO“锁定注销”,点击强制
第三步:查看用户“lisi”,没有注销键
十四、通信部成员“liming”不受组策略影响
第一步:点击开始键,打开Windows管理工具,选择组策略管理控制台
第二步: 点击锁定注销,点击委派
第三步:点击添加
第四步:点击高级,选择立即查找
第五步:添加用户“liming”,点击确定
第六步:点击高级,选择用户“liming”,勾选拒绝应用组策略,点击应用
第七步:切换用户“liming”效果如图
十五、已分配方式分发一个软件
第一步:新建OU“111”,并建立用户“111”
第二步:点击开始键,打开Windows管理工具,选择组策略管理控制台
第三步:右击111,新建GPO“分配”
第四步:新建文件夹分配,并添加一个.msi文件,并开启该文件夹的共享权限
第五步:右击GPO“分配”,点击编辑
第六步:点击用户配置,点击策略,点击软件设置
第七步:右击“软件安装”,点击属性,,点击常规,设置默认程序数据包位置
第八步:右击软件安装,选择新建并将.msi文件添加进去,显示文件已分配
第九步:右击此文件,点击属性,选择部署,选择在登陆时安装此应用程序
第十步:切换用户111,点击控制面板,点击程序,点击程序和功能,效果如图
十六、已发布方式分发一个软件
第一步:新建一个“22”,新建一个用户“wangwu”
第二步:右击GPO“2222”,点击编辑,点击用户配置,点击软件设置,右击软件安装,点击属性
第三步:点击常规,设置默认程序数据包安装位置,并选择发布
第四步:切换用户“2222”,点击控制面板,点击获得程序,查看效果