組策略應用相關實例

關于組策略應用的實例，那真是三天三夜也說不完，因為總共有600+200多條策略。在此僅舉幾例，來說明問題。有的比較簡單，有的稍微復雜一些，我們會展開來討論一下。需要強調的是，作為管理員平時要多看看組策略中具體都有哪些設置，當然誰也不可能逐條去實踐去測試，但要大概有個印象。當有某種需求時，你才會想起某條組策略設置來，根據印象找到那條策略，先看說明標簽，再具體實踐，逐步積累。
    前面我們講過安全策略是組策略的子集（一部分），我們會首先討論和安全策略相關的實例，然后才是其它的策略。
    Q1、普通域用戶無法在DC上登錄？
    為了保護域控制器，默認能在DC上登錄的用戶只有：Administrators、Account operators、Backup operators、Server operators、Print operators這些特定的管理組。要想使普通域用戶有權在DC上登錄，可以將其加入到這些組中。
    但更多時候，我們不想讓用戶有過多的權利權限，也可以在開始/程序/管理工具/域控制器的安全策略/本地策略/用戶權利分配/允許在本地登錄下通過添加，指派其在DC上登錄的權利即可。
    Q2、在03域中添加用戶時，總是提示我不符合密碼策略，怎么辦？
    對于03，默認域的安全策略與2000域不同。要求域用戶的口令必須符合復雜性要求，且密碼最小長度為7?？诹畹膹碗s性包括三條：一是大寫字母、小寫字母、數字、符號四種中必須有3種，二是密碼最小長度為6，三是口令中不得包括全部或部分用戶名。
    我們可以設置復雜一些的密碼，也可以重新設默認域的安全策略來解決。操作如下：
    開始/程序/管理工具/域安全策略/帳戶策略/密碼策略：
    密碼必須符合復雜性要求：由“已啟用”改為“已禁用”；
    密碼長度最小值：由“7個字符”改為“0個字符”。
    欲策略設置馬上生效，可利用gpupdate進行刷新。（具體見前）
    如果添加的是本地用戶，解決辦法與此相同，只不過修改的是本地安全策略。
    Q3、在2000/03域中，前網管設置了一個開機登陸時的提示頁面，已過時，現想取消，如何操作？
    登錄到本機時出現，則在管理工具/本地安全策略，或開始/運行：gpedit.msc中配置。若是登錄到域時出現，則在管理工具/域的安全策略，或AD用戶和計算機/屬性/組策略中配置。具體會涉及到：安全設置/本地策略/安全選項下的這兩條：
    交互式登錄：用戶試圖登錄時消息標題
    交互式登錄：用戶試圖登錄時消息文字
    Q4、如何設置不讓用戶修改計算機的配置（如TCP/IP等）？
    可以利用本地策略或基于域的組策略鎖定，具體操作：
    1、 本地：開始/運行：gpedit.msc;
    2、 域：開始/程序/管理工具/AD用戶和計算機/域名上/右鍵/屬性/組策略/默認域的組策略；
    3、在用戶配置/管理模板/網絡/網絡及撥號連接：禁止訪問LAN連接的屬性。
    說明：
    1、 若利用本地策略實現，本地管理員，可以重新設置策略解開。
    2、 若利用域策略實現，只是域用戶受此限制。本地管理員，不受此限制。
    所以應該不給用戶本地管理員口令，讓用戶以非本地管理員/域用戶身份登錄。為了保證用戶能安裝軟件或做其它管理工作，可將其加入本地的Power Users組。
    Q5、非管理員用戶無法登錄到終端服務器？
    欲使用戶能利用“終端服務客戶端軟件”或“遠程桌面”登錄到2000/03 Server，對于2000S需要在服務器上安裝終端服務，對于03S只需在即可。對于管理員默認即可通過TS登錄進來。