AD域服务:组策略

组策略中包含两部分:

 1 计算机配置:针对计算机的配置,只在计算机上生效。计算机启动的时候应用,在出现登录界面前。

 2 用户配置:针对用户的配置,只在所有用户帐户上生效。用户登录后应用。

多元密码策略

  1. 打开“Active Directory 管理中心”,点击“管理”选择“添加导航节点”
    15.png

  2. 选择“system”——“Password Settings Container”,然后选择“>>”添加,最后选择“确定”
    16.png

  3. 选择刚刚添加的节点,右击右边空白的地方(直接右击新的节点也可以),选择“新建”——“密码设置”
    17.png

  4. 输入密码策略的名称和优先级,勾选相应的密码策略(我这里什么也没有勾,也就是什么策略也没有);然后选择“添加”.
    18.png

  5. 输入用户名(我这里测试的是test1),选择“检查名称”名称正确的话,下面会多一条横杠;当然也可以选择“高级”通过搜索来搜索用户名;然后选择“确定”
    19.png

  6. 新建好策略后,可以在右边看到.
    20.png

7.测试更改“test1”的密码为“1”,提示密码已经更改成功,表示策略生效。

账户锁定策略

  1. 打开组策略管理器,右击域策略,选择“编辑”
    21.png

  2. 依次展开:“计算机配置——策略——Windows 设置——安全设置——账户锁定策略”
    22.png

  3. 双击“账户锁定时间”,打开账户锁定时间属性,勾选“定义此策略设置”(默认是没有定义),输入合适的时间;然后选择“确定”。
    23.png

  4. 在选择“确定”时,会有建议其他数字改动的对话框,选择“确定”就可以了,如果需要修改这些,可以双击需要修改的选项,然后选择合适的值就可以了
    24.png

    软件限制策略

  5. 打开“组策略管理器”,新建了一条组策略,右击你想要创建组策略的OU“test”,选择“在这个域中创建GPO并在此处链接”
    25.png

  6. 在名称输入框内,给该策略新建一个名称;
    26.png

  7. 新建策略之后,对策略进行编辑,右击刚刚创建的策略“软件限制”并选择“编辑”;
    27.png

  8. 打开“组策略管理编辑器”,展开“计算机配置—策略—Windows 设置—安全设置—软件限制策略”,你可以看到此时的状态是“没有定义软件限制策略”;右击“软件限制策略”并选择“创建软件限制策略”
    28.png

  9. 默认情况下,所有软件都是不受限制的,但有些要求严格的环境下,只允许特定软件运行,这时可以双击不允许,设为默认,再编辑规则,根据实际情况而定,本次不做修改
    29.png

  10. 选择“新建路径规则”
    30.png

  11. 打开新建路径规则对话框,选择“浏览”;找到对应的路径,选择“确定”;
    31.png

注意:修改组策略后,不是立即生效的,需要我们手动强制刷新,在cmd下输入gpupdate /force;当然你也可以通过重启来刷新组策略。