AD域控组策略

来自DeerGrove Wiki
Aker讨论 | 贡献2020年4月1日 (三) 10:05的版本
跳转至: 导航搜索


基本

基于Windows Server2012 R2域控的组策略

  • 职能:
    服务器端运行组策略命令:gdmc.msc
  1. 域账户默认获取本地管理员权限
  2. gpmc.msc 域控组策略
  3. 编辑OU组策略
  4. 打开组策略编辑器
     
    组策略编辑
  5. 用户配置---本地用户和组
  6. 新建本地组
  7. 组名:Administrator
  8. 添加当前用户
  9. 关闭,刷新。

统一修改域中计算机的本地管理员账户和密码和受限制组

目的:不能通过本地管理员账户登陆计算机

  1. 修改管理员名称
    建立一个GPO,在计算机策略---windows设置----安全设置-----本地策略-----安全选项------找到“账户:重命名系统管理员账户”------修改为想要的名称。
  2. 修改管理员密码
    在GPO中找到,计算机策略---windows设置----脚本(启动/关机)---选择“启动”----添加相应的脚本文件。
    1. 有两个注意事项:
      1. 脚本文件可以用批处理等格式,例如修改密码就可以用个记事本写入:
      2. NET USER ADMINISTRATOR(用户名自定义) 424~WER(密码自定义) 然后把扩展名改为.BAT格式即可。
      3. 脚本文件的存放位置存放在默认的打开位置,不要浏览找到所写脚本,可以将脚本拷贝到打开位置即可。
  3. 限制本地计算机含有多个不同账户的管理员
    这时就需要使用到GPO中 "受限制的组",受限制组作用:集中统一管理域中的组和用户。
    1. 在域生产环境中,为了将计算机管理权限统一,可以用该策略统一将最高管理员组administrators组指定包含哪些用户。把原来有管理员权限帐户管理权限收回。
    2. 控制域中计算机某个组的成员,可以用来委派某个用户成为某个部门计算机机的管理员
    3. 可以在受限制的组中添加只有某一个组或几个组属于本地管理员权限,这样即使别的用户加入了本地管理员组,在重启后也会自动删除。客户端本地管理员组已包含域管理员。
    4. 把本地用户加入到本地管理员组:在刷新组策略后,本地用户已经不属于管理员组。