域控常用策略

AD常用策略

1 修改本地管理员administraotr，让公司所有都使用都须使用域用户登入，可以使用以下脚本，保存为VBS，新建一策略，计算机配置-windows设置-脚本-启动/关机添加脚本本

strComputer="."

strComputer = "."

Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")

objUser.SetPassword "https://www.360docs.net/doc/b113506154.html,"

objUser.SetInfo

Set objDomain = GetObject("WinNT://" & strComputer)

objDomain.Filter = Array("User")

For Each objUser in objDomain

strUser = https://www.360docs.net/doc/b113506154.html,

If strUser <> "Administrator" Then

Set objUser = GetObject("WinNT://" & strComputer & "/guest")

objUser.AccountDisabled = True

objUser.SetInfo

End If

========================================================================

桌面重定向

桌面资料及我的文档重定档到D盘，保障万一电脑系统崩溃，资料不会丢失，另一个也为维护方便，新建策略用户配置-windows设置-脚本-注销，添加下面的脚本的

重定向了桌面收藏夹我的文档

Const HKEY_CLASSES_ROOT = &H80000000

Const HKEY_CURRENT_USER = &H80000001

Const HKEY_LOCAL_MACHINE = &H80000002

Const HKEY_USERS = &H80000003

Const HKEY_CURRENT_CONFIG = &H80000005

strComputer = "."

Set StdOut = WScript.StdOut

Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_

strComputer & "\root\default:StdRegProv")

strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" strValueName = "Desktop"

strValue = "d:\Documents and Settings\Administrator\桌面"

oReg.SetExpandedStringValue HKEY_CURRENT_USER,strKeyPath,strValueName,strValue

strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" strValueName = "Personal"

strValue = "D:\我的文档"

oReg.SetExpandedStringValue HKEY_CURRENT_USER,strKeyPath,strValueName,strValue

strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" strValueName = "Favorites"

strValue = "D:\Favorites"

oReg.SetExpandedStringValue HKEY_CURRENT_USER,strKeyPath,strValueName,strValue

============================================================================ 哈希规则与软件限制同时使用

新建策略计算机配置-安全设置-软件限制策略-新建右边新建路径规则比如限制QQ，

路径中输入QQ.exe 确定就可以。

新建哈希规则

点浏览找到QQ的执行程序

=============================================================================== 配置客户机自动更新

如果你的内网安装了WSUS，可以设置策略让客户机都指向这台机子进行更新

配置后，客户机会自动从内网WSUS下载补丁，图上的设置为，关机的时候安装并关机，依人而定，也可设置按计划自动安装

=============================================================================== 以管理员身份运行程序

可能你的企业中，某些程序必须以本地管理员身份才能运行，而又不想给用户管理员权限，

可使用CPAU 这个程序来帮你，需要通过组策略copy到每台机子的system32下面

先由CPAU 加密可执行文件，再解密运行，由系统管理员来完成

Capu –u administrator –p 本地管理员密码–ex F:\xampp\xampp-control.exe(需要以管理员身份运行的程序) –enc –file d:\control.exe（加密后生成的文件，capu通过它来运行前面的程序）上面生成的文件放于D盘，把下面的命令另存为BAT，告诉用户运行它，就可以了

@echo off

CPAU -dec -file d:\control.exe -lwp

=============================================================================

软件分发

需要是msi格式的，可以通过软件来制件，advance installer等，可以用于软件更新等，RAR，搜狗输入法等，也可以用于部署网络版杀毒软件

============================================================================== 给域用户查看修改时间的权限

有些用户会抱怨连看下日程都限制等，也可以给他绿色版的桌面日历（飞雪日历），通过策略，新建——计算机配置——如下图添加domain Users

==========================================================================

打印机部署

指定各部门使用指定的打印机，比较长，可以查看下教程

=========================================================================

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置编辑整理：尊敬的读者朋友们：这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置计算机配置：要重启生效用户配置：注销生效策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具）使用：运行---〉gpmc。msc 如下键面：文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！域用户添加Power user组

3.用本地用户登录机器查看！禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

域组策略域控中组策略基本设置

域控中组策略基本设置计算机配置：要重启生效用户配置：注销生效策略配置后要刷新：gpupdate /force 组策略编辑工具！-----gpmc.msi （工具）使用：运行--->gpmc.msc 如下键面：文件夹重定向： 1.在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患！） 2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！禁止用户安装软件： 1.给域用户基本权限（Domain user），但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！域用户添加Power user组 3.用本地用户登录机器查看！禁止卸载： 1.权限domain user + 管理模板（相当于改动注册表！！） 2.再把控制面板里的“添加删除程序”禁用禁止使用USB: 1.工具（程序模板usb.adm）,拷到C:\WINDOWS\inf\usb.adm 3. 4. 5. 6. 7.客户端机器重启生效禁止绿色软件安装，如：迅雷，QQ等--------建立哈希规则：建立了哈希规则后不论此软件放在机器的任何路径，都将被禁止！ GPO软件分发： 1.工具：Advanced Installer 制作MSI格式文件 2.在DC上建立一共享文件夹。把*.MSI格式文件放入，附Authenticated 可读，Admini 完全控制 3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名) 4.软件安装右击→程序包-→*.MSI →已发布\已指派停止域客户端的防火墙：右击，域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall 漫游： 1.账号在客户机上登录 2.在server上建议账号空间

将一台成员服务器升为域控制器

将一台成员服务器升为域控制器目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

向下搬运右边的滚动条，找到“网络服务”，选中: 默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:

然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:

使用域组策略及脚本统一配置防火墙

使用域组策略/脚本统一配置防火墙目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置；统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法； 1 域组策略统一配置防火墙使用域管理员登录域控制器，打开“管理工具>组策略管理”；在目标组织单位右击，新建GPO； 1.1 禁用客户端防火墙 1.1.1 域策略配置右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；

选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务；结果如下； 1.1.2 查看客户端结果重启XP客户端查看结果

重启Win7客户端查看结果 1.2 开放客户端防火墙端口（注：首先将上面组策略中的系统服务设置还原在进行下一步的配置） 1.2.1 域策略配置右击目标GPO选择编辑，选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；

组策略设置描述 Windows 防火墙: 保护所有网络连接用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM)，它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。

管理员操作手册-AD域控及组策略管理_51CTO下载

AD域控及组策略管理目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控（DC）基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位（OU） (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位：(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象（dsmod） (14) 6、其他命令（dsquery、dsmove、dsrm） (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)

一、Active Directory(AD)活动目录简介 1、工作组与域的区别域管理与工作组管理的主要区别在于： 1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。 2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

域组策略应用详解

Win2003域之组策略应用目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用因为只须设置一次，相应的用户或计算机即可全部使用规定的设置减少用户不正确配置环境的可能性 c)推行公司使用计算机规范桌面环境规范安全策略总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构组策略的具体设置数据保存在GPO中创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

创建AD域及用户添加管理

AD 域域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。 AD：活动目录(Active Directory)主要提供以下功能： ①基础网络服务：包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。 ③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。 ④资源管理：管理打印机、文件共享服务等网络资源。 ⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。一、将Windows Server 2003安装至PC上二、将服务器安装AD控制器先设置AD域： 1.依次打开：开始-运行-输入：Dcpromo

2.下一步，选择自定义 3.选中域控制器(Active Directory)下一步

4.然后会让你安装dns和配置网络, 5.把网卡的网线接好，处于已经连接状态，下一步

xx集团域管理实施方案.doc

xx集团域管理实施方案1 xx集团域解决方案制定人：xx 2014-7-22 1概述 1.1 背景介绍随着xx集团的壮大，现有的管理模式已经无法满足IT管理的需求，根据目前的IT现状，利用域管理可以实现资源集中化以及管理分散化，提高管理人员的工作效率，并且有效整合公司资源。 1.2 现状描述目前xx集团共有计算机六百多台，企业内部的网络环境依然使用的是工作组模式，这种管理模式较为松散，且每个个体之间都是独立存在的，网络环境中的软硬件资源都无法实现充分利用。从IT管理人员方面考虑，整合IT资源，将原有的松散的工作组模式更改为集中管理的域模式，可以减轻日常维护管理的负担，提升IT生产力。对于终端用户来说，实现域管理方式以后，可以实现单一的身份验证，用户不需要记太多的账号，密码，一个账号就可以访问公司所有的资源。 1.3 问题分析根据xx现有的网络环境，主要有如下几个问题需要在实施域管理之前解决

（目前想到的就这么多，后期讨论过以后可能还有）： 1．前期松散的网络环境太过于庞大，用户数据都是存在自己电脑上的，数据这一块是否需要增加文件服务器，文件服务器可以根据账号开权限，以此来最大限度的保证数据的安全性。（我司目前还没有文件服务器，不过我正在考虑是否需要增加） 2. 创建域环境以后，繁琐的账号是否需要整合？如果不整合，相当于用户又需要记住一个账号密码，太多的账号密码，对于用户体验来说也不好！目前我司这边，上网账号和电脑账号是整合的，只需要一个账号密码即可。毕竟现在所有主流系统都是可以和域联接，直接使用域账号来分权什么的。。庞大的账号集管理也方便，最大限度的体现域的好处！ 3. 用户现在使用的是工作组模式，将来开始实施域的时候，加域的工作以及用户配置文件转移的工作怎么来进行需要考虑清楚。我司这边我是写的操作手册发给用户，然后让用户自行加域以及转移配置文件。如果考虑到用户的技术水平有限，也可以写批处理文件，让批处理来解决。或者让各部门文员负责这件事情。（不建议用批处理） 4. 域实施之前，要考虑给用户什么权限，目前IT行业中，大中型企业主流的权限分配是给普通用户Power user 的权限，此权限的好处在于拥有大部分的本机管理权限，但是却又有限制，在文件安装方面，只能安装经过windows验证的程序，其实说白了就是用户没有安装文件的权限。虽然看上去繁琐了，但是也一定限度的预防病毒，还有防止用户装一些乱七八糟的软件，尽最大可能保证电脑的标准化。 5. 域用户的权限考虑好以后，需要合理规划OU，需要划定哪些OU，这部分非常重要，OU规划的好，在今后的权限分配方面就会轻松很多。譬如文件服务器，上网权限等。

域服务器的配置(详尽版)

域服务器的配置与实现（Windows Server2003）法一： 1、dns服务器设置 a)开始—程序—管理工具—管理服务器角色—添加删除角色—域控制器（默认） 2、域控制器设置法二：一、域服务器的配置： 1.步骤： 1.0：计算机必须安装TCP/IP协议且IP地址最好为静态IP地址，配置DNS服务器地址为网络中维护该区域DNS服务器的IP地址，如下图：

1.1：点击开始?运行cmd，输入dcpromo命令，运行，出现【Acrive Directory安装向导】对话框； 1.2:安装配置Active Directory 【Acrive Directory安装向导】对话框： 1.2.1域控制类型：

选中【新域的域控制器】，下一步。 1.2.2创建一个新域：选中【在新林中的域】，下一步。

1.2.3新的域名：指定新域的DNS名称，一般应为公用的DNS域名，也可是部网使用的专用域名。例如:hd.rjxy.。下一步。 1.2.4NetBI O S域名-默认指定新域的NetBIOS名称。这是为了兼容以前版本Windows用户。该名默认为DNS名称最左

侧的名称，也可指定不同的名称。下一步。 1.2.5志文件文件夹：默认指定这两种文件的文件夹位置，保留默认值即可。下一步。 1.2.6共享的系统卷：默认

指定存储域公用文件的文件夹，保持默认即可。下一步。 1.2.7DNS注册诊断提示建立DNS服务器。因为我们此前没有安装配置过DNS，所以诊断失败。这不是问题，我们让它自动安装配置。选中第2个，下一步。 1.2.8权限：默认

2003系统域的组策略应用详解_

域网络构建教程（4）组策略古人云：运筹帷幄之中，决胜千里之外。这大概就是用兵的最高境界了吧！作为一个生于和平年代的网络管理人员，这辈子带兵是没戏了。不过在域环境的帮助下，这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的XP系统上一直存在，通过在运行栏中输入gpedit.msc就可以启动本地计算机的组策略编辑器。截图如下：马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器，所见即所得一直都是微软的看家本领啊。有了域环境之后，通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中，我感觉这种管理与控制几乎覆盖了使用中的方方面面，反正现在我只要在域控制器上动动手指头，就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的，有兴趣的可以在看完本文后自己实践一下（后果自负哈）。

闲话少说，书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器，注意这里不能使用gpedit.msc（那是编辑本机策略的），而要打开“开始——程序——管理工具——Active Directory用户和计算机”。截图如下：在打开的窗口中选择你的域名，并在其上右击选择属性，然后在弹出的属性对话框中选择组

策略。现在你就会看到默认域策略——Default Domain Policy，截图如下：单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy，这样便于我们随时恢复到系统默认的设置。呵呵，留条出迷宫的路，是所有操作前的必修课。默认的不让动，那我们怎么编辑组策略呢？答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机，注意组织单位将是一个我们经常使用的划分方式，组策略可以按层次模式很好的在其上运行，这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式，组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了，出了问题还便于排查错误。为了演示这种层次模式，我新建一个名为“用户和计算机”的组织单位，并将原来的两个组

AD域控规划方案解析

活动目录AD规划方案 1.1. 活动目录介绍活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。

1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展

windows域控制器配置教程

域控制服务器教程把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

域控器的组策略应用设置大全

域控器的组策略应用设置大全组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项” 2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE 浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE 插件不再骚扰你5、保护好你的个人隐

私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。例如要删除“我的文档”，只需在“删除桌面上的?我的文档?图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上?网上邻居?图标”和“隐藏桌面上的

AD实施域管理手册

深圳市海格物流股份有限公司操作主机与AD DB管理文档编号：SXD-HGWL- 0901-01 版本：VERSION1.6 编写：索信达运维服务部最后修订： 09月22日深圳市索信达实业有限公司

目录第一章管理域中的操作主机角色 (4) (一)操作主机介绍 (4) (二)角色迁移 (6) (三)角色抢夺 (7) 第二章管理活动目录数据库 (9) (一)活动目录数据库介绍 (9) (二)活动目录数据库的移动 (10) (三)活动目录数据库的压缩 (13) (四)活动目录数据库的备份和还原 (15) (五)活动目录回收站 (15)

第一章管理域中的操作主机角色 (一)操作主机介绍 Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。可是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机能够保证一致性并消除AD DS数据库中出现冲突的项目的可能性。 AD DS中的五个操作主机角色分别是：架构主机（Schema Master）、域命名主机（Domain Naming Master）、RID主机（RID Master）、PDC仿真器（PDC Emulator）、基础结构主机（Infrastructure Master）架构主机和域命名主机是林范围角色，即每个林只有一台架构主机和一台域命名主机。RID主机、PDC仿真器、基础结构主机是域范围角色，这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创立第一台域控制器时，它会拥有所有5个角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得每域的操作主机角色。架构主机（Schema Master）宿主架构主机角色的域控制器负责对林的架构进行更新和修改，其它域控制器则只包含架构的只读副本。要更新或修改林的

windows域控制器设置教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

AD域的组策略实施

组策略的实施 1.理解组策略作用组策略又称Group Policy 组策略可以管理计算机和用户组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 2.组策略的结构组策略的具体设置数据保存在GPO中创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:S、D、OU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构。 3. 组策略更改后不是立即生效，可以通过运行：gpupdate / force命令来立即刷新。 4.默认下层容器会继承上层容器的策略，如下图：

5. 下层可以通过阻止策略继承按钮，不继承上层的策略。如图： 6. 上层也可强制下层来继承策略，就算下层开了阻止策略继承也要继承。如图：

7.策略之间出现冲突时，遵循以下几点 1. 如果同一个容器的计算机策略和用户策略都设置了,但这2个的策略之间相互冲突,并且这个容器下的用户帐户恰好登录了这台计算机,那么计算机策略和用户策略同时都要生效,这时计算机策略覆盖用户策略! 2.不同层次的策略产生冲突时，子容器（上层）上的GPO优先级高! 3.同一个容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高。 8.筛选组策略设置，将用户或者组添加到安全组，在应用组策略选项后选择拒绝即可软件策略：指派与发布 1.建立一个共享文件夹，将要实施的MSI格式软件放入共享文件夹。 2.利用组策略的软件安装找路径（网络路径） 3. 选择发布/指派软件 a)指派，程序在【开始】菜单中 b)发布，程序显示在【控制面板】|【添加/删除程序】中

管理员操作手册-AD域控及组策略管理 51CTO下载

四川省烟草专卖局（公司）效能协同平台管理员操作手册 AD域控及组策略管理版本号 1.0 日期:2011年6月山东浪潮齐鲁软件产业股份有限公司

文档修订记录

目录一、Active Directory(AD)活动目录简介 (4) 1、工作组与域的区别 (4) 2、公司采用域管理的好处 (4) 3、Active Directory(AD)活动目录的功能 (6) 二、AD域控（DC）基本操作 (6) 1、登陆AD域控 (6) 2、新建组织单位（OU） (8) 3、新建用户 (10) 4、调整用户 (11) 5、调整计算机 (14) 三、AD域控常用命令 (15) 1、创建组织单位：(dsadd) (15) 2、创建域用户帐户(dsadd) (15) 3、创建计算机帐户(dsadd) (15) 4、创建联系人(dsadd) (16) 5、修改活动目录对象（dsmod） (16) 6、其他命令（dsquery、dsmove、dsrm） (17) 四、组策略管理 (19) 1、打开组策略管理器 (19) 2、受信任的根证书办法机构组策略设置 (20) 3、IE安全及隐私组策略设置 (25) 4、注册表项推送 (30) 五、设置DNS转发 (33)

使用组策略配置域中任务计划

使用组策略配置域中任务计划标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]

使用组策略配置域中客户机的任务计划配置目标：使用AD的组策略，配置域中的客户机任务计划，使得域中的客户机自动执行脚本，实现客户机的自动配置和自动运行程序。模拟配置环境：如图所示：在AD Server上创建任务计划要执行的脚本，设置组策略，使得域中所有的客户能按照设置的时间自动执行脚本。为了能测试脚本是否正确完成，本次测试脚本功能为每执行一次，在文件中自动写入执行的时间。脚本如下：脚本执行后将在C：\中记录当前脚本的执行时间：当在C:\里查看到相关信息时，说明脚本正常运行。配置方式： 1.在域控制器上打开服务器管理器，浏览到【功能】--》【组策略管理】--》【Default Domain Policy】，选择【更多】--》【编辑】 2.打开Default Domain Policy 策略，浏览到【用户配置】--》【首选项】--》【控制面板设置】--》【任务计划】，在任务计划窗口处右键单击，选择【新建】--》【任务计划】。

3.打开了【新建任务属性】，由于需要域中的客户机执行此脚本，需要将脚本放置在网络路径上。此路径必须能被客户机访问。将新建任务属性暂且放置，将需要运行的脚本放置到固定路径，为此处【运行】中要输入的路径做准备。 4.将可执行脚本复制到AD网络共享的SysVol目录中。 5.回到组策略的新建任务属性中，输入脚本的共享网络路径和相关信息：运行的脚本路径是：可执行脚本的全称。此处为\\\sysvol\\scripts\ 6.设置定时执行的时间 7.配置完成 8.从域中的客户机上使用域用户重新登录，打开任务计划程序，会看到策略分配的任务计划，并且已经开始执行。验证：在客户机上查看运行结果通过查看脚本生成的文件信息，验证组策略配置的任务计划在客户机上正常运行了。总结：

管理员操作手册AD域控及组策略管理CTO

A D域控及组策略管理目录

2、公司采用域管理的好处 1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5）、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6）、方便用户使用各种资源。 7）、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8）、资源共享用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者