AD域控组策略

来自DeerGrove Wiki
跳转至: 导航搜索


基本

基于Windows Server2012 R2域控的组策略

  • 职能:
    服务器端运行组策略命令:gdmc.msc
  1. 域账户默认获取本地管理员权限
  2. gpmc.msc 域控组策略
  3. 编辑OU组策略
  4. 打开组策略编辑器
  5. 用户配置---本地用户和组
  6. 新建本地组
  7. 组名:Administrator
  8. 添加当前用户
  9. 关闭,刷新。

  • 组策略编辑

统一修改域中计算机的本地管理员账户和密码和受限制组

目的:不能通过本地管理员账户登陆计算机

  1. 修改管理员名称
    建立一个GPO,在计算机策略---windows设置----安全设置-----本地策略-----安全选项------找到“账户:重命名系统管理员账户”------修改为想要的名称。
  2. 修改管理员密码
    在GPO中找到,计算机策略---windows设置----脚本(启动/关机)---选择“启动”----添加相应的脚本文件。
    1. 有两个注意事项:
      1. 脚本文件可以用批处理等格式,例如修改密码就可以用个记事本写入:
      2. NET USER ADMINISTRATOR(用户名自定义) 424~WER(密码自定义) 然后把扩展名改为.BAT格式即可。
      3. 脚本文件的存放位置存放在默认的打开位置,不要浏览找到所写脚本,可以将脚本拷贝到打开位置即可。
  3. 限制本地计算机含有多个不同账户的管理员
    这时就需要使用到GPO中 "受限制的组",受限制组作用:集中统一管理域中的组和用户。
    1. 在域生产环境中,为了将计算机管理权限统一,可以用该策略统一将最高管理员组administrators组指定包含哪些用户。把原来有管理员权限帐户管理权限收回。
    2. 控制域中计算机某个组的成员,可以用来委派某个用户成为某个部门计算机机的管理员
    3. 可以在受限制的组中添加只有某一个组或几个组属于本地管理员权限,这样即使别的用户加入了本地管理员组,在重启后也会自动删除。客户端本地管理员组已包含域管理员。
    4. 把本地用户加入到本地管理员组:在刷新组策略后,本地用户已经不属于管理员组。

域控组策略开启局域网网络发现

目的:共享盘运用及网管

  • 让我们通过Windows Server 2016上的组策略配置和启用网络发现。此方法在所有其他Windows服务器上的工作原理相同。在我的测试实验室中,服务器是Windows Server 2016,客户端计算机是Windows 10。
  1. 登录Windows服务器时,在“ 运行 ”上键入“ gpmc.msc ”,然后按Enter打开“ 组策略管理”。
  2. 尝试展开“ 森林 – 域”,然后右键单击technig.local,然后单击“ 创建该域中的GPO并链接到此处”。它将创建一个新的GPO,并将其链接到technig.local域。
  3. 命名新的GPO 网络发现或您想要的任何名称。最好用有意义的名称命名所有已创建的新GPO,并且必须与要通过组策略模板应用的任务相关。
  4. 右键单击创建的Network Discovery GPO,然后单击“ 编辑”。现在,您将编辑此组策略模板以通过组策略启用网络发现。
  5. 在计算机配置,展开策略 - 管理模板 - 网络,并选择链路层拓扑发现。右键单击第一个策略“ 打开映射器I / O(LLTDIO)驱动程序 ”以启用它。选中域中的允许操作复选框。
  6. 现在还启用“ 打开响应者(RSPNDR)”驱动程序。对“打开响应者”(RSPNDR)驱动程序进行与上述屏幕快照相同的设置。(注意:响应程序允许计算机参与链路层拓扑发现请求,以便可以发现它并将其放置在网络上。它还允许计算机参与服务质量活动,例如带宽估计和网络运行状况分析。它通过组策略启用网络发现。)
  7. 通过组策略启用了网络发现。现在,键入“ gpupdate / force ”以更新Windows Server上的组策略。还要在客户端计算机上执行该命令,否则它将在系统重新启动时自动应用。

  • 组策略启用网络发现

域控组策略打开ICMP回显功能

  • ICMP回显功能主要解决局域网内目标计算机ping无法相应的管理问题。
  • 高级安全防火墙定义:

  • 高级安全Windows防火墙

  • 配置内容

  1. 计算机配置---策略---windows设置---安全设置---高级安全windows防火墙---入站规则
  2. 预定义:文件和打印机共享
  3. 回显请求-ICMPV4-In
  • 管理模板配置

  • 管理模板配置

  1. 计算机配置---管理模板---网络---网络连接---Windwos防火墙---标准配置文件/域配置文件
  2. 选中”允许ICMP例外“
  3. 启用,在选项中勾选”允许传入回显请求“,保存退出
  4. 在域控上运行:gpupdate /force 强制刷新组策略。
  5. 客户端重启,即可实现自动配置。

Win7本地打开ICMP回显功能

  1. 点击“开始”——选择“控制面板”
  2. 双击“网络和internet”
  3. 选择“Windows防火墙”
  4. 选择“高级设置”
  5. 选择“入站规则”
  6. 双击“文件和打印机共享(回显请求-ICMPv4-in)”
  7. 选择“已启用”,之后点“确定”
  8. 选择“出站规则”
  9. 双击“文件和打印机共享(回显请求-ICMPv4-out)”
  10. 选择“已启用”,之后点“确定”

Win10生物特征启用

  • 域控Server2012中启用如下策略

  • 域控2012生物特征启用

  1. 实际上测试在本地Win10,即使是domain admin身份也无效。
  2. 需本地导入如下注册信息:
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
    "AllowDomainPINLogon"=dword:00000001
  3. 成功启用指纹等生物信息登录权限。
  4. 设置完成后,从注册表去除上述键,即可使用,但不可修改指纹登录。
取自“http://deermin.com/mwiki/index.php?title=AD域控组策略&oldid=587