目錄3. 配置基于域的組策略3.1 創建的組策略user_fjnu_GPO并配置簡單的組策略3.2 通過組策略user_fjnu_GPO統一管理域中的計算機和用戶

介紹了如何配置基于域的組策略。首先在AD域中創建組策略，然后通過4個實例來驗證域的組策略設置效果。分別是：

禁止【user_fjnu】用戶訪問控制面板和PC設置。禁止【user_fjnu】所有用戶修改IE瀏覽器的默認主頁，并將默認主頁設置為www.fjnu.edu.cn。禁止【user_fjnu】用戶運行【計算器程序】。使【user_fjnu】用戶登錄系統后，隱藏C盤。

介紹了如何配置基于域的組策略，通過組策略統一管理域中的計算機和用戶。通過4個實例來驗證域管理員可以通過組策略統一管理分配域中資源。

將某目錄自動映射為網絡驅動器，使user_fjnu中的用戶可以訪問。使user_fjnu中用戶使用統一桌面背景。為user_fjnu中用戶安裝統一的軟件。為user_fjnu中用戶的【文檔】文件夾重新定向。

3. 配置基于域的組策略

名詞說明：

AD 域名為 fjnu，其中有名為 user_fjnu 的組織單位。

目前域 fjnu 中的 user_fjnu 存在兩臺計算機 Server1 和 PC1，以及一個用戶 student1；

user_fjnu_GPO 為新建的組策略，已經鏈接到組織單位 user_fjnu 中。

3.1 創建的組策略user_fjnu_GPO并配置簡單的組策略

目的：通過 4 個實例來驗證域的組策略設置效果

（1）創建【user_fjnu_GPO】并應用于【fjnu_user】組織單位中。（2）禁止【user_fjnu】用戶訪問控制面板和PC設置。（3）禁止【user_fjnu】所有用戶修改IE瀏覽器的默認主頁，并將默認主頁設置為www.fjnu.edu.cn。（4）使【user_fjnu】用戶登錄系統后，隱藏C盤。

（1）創建【user_fjnu_GPO】并應用于【fjnu_user】組織單位中

在DNS1上，使用【win + r】快捷鍵，打開【運行】對話框，輸入命令：gpmc.msc。

打開組策略管理器，在【fjnu_user】上點擊鼠標右鍵，在彈出的菜單中選擇【在這個域中創建GPO并在此處鏈接】。

進入【新建GPO】界面，在【名稱】中輸入新建的組策略對象名稱：user_fjnu_GPO，單擊確定，即在本區域中創建了名為 user_fjnu_GPO 的組策略對象，并將該對象鏈接到了【user_fjnu】。

（2）禁止【user_fjnu】用戶訪問控制面板和PC設置

在【user_fjnu】下的【user_fjnu_GPO】鏈接上單擊鼠標右鍵，在彈出菜單上選擇【編輯】。

打開【組策略管理編輯器】，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【控制面板】，找到【禁止訪問控制面板和PC設置】，雙擊打開。

進入該選項的設置界面，選擇【已啟用】，單擊【確定 】。

驗證

切換到成員服務器Server1，使用域用戶student1重新登錄Server1，打開【控制面板】 。彈出告警框提示：【本次操作由于這臺計算機的限制而被取消，請與你的系統管理員聯系】，說明組策略【user_fjnu_GPO】的配置已經對組織單位【user_fjnu】下的用戶生效。

（3）禁止【user_fjnu】所有用戶修改IE瀏覽器的默認主頁，并將默認主頁設置為www.fjnu.edu.cn

在組策略管理編輯器中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【windows組件】——>【互聯網Explorer】，找到【禁用更改主頁設置】，雙擊打開。

打開該選項的設置界面，選擇【已啟用】，并在下面的主頁中輸入：http://www.fjnu.edu.cn，單擊【確定】。

驗證：

切換到成員服務器PC1，使用域用戶student1重新登錄PC1，打開IE瀏覽器，單擊右上角【設置】圖標，在彈出菜單中選擇【互聯網選項】 。

打開【互聯網選項】對話框，可以看到【常規】選項卡中的主頁設置為http://www.fjnu.edu.cn，下面的修改按鈕全部為灰色，表示不允修改默認主頁 。

（4）使“user_fjnu”中的用戶登錄系統后，隱藏C盤

在【組策略管理編輯器】中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【windows組件】——>【文件資源管理器】，找到【隱藏我的電腦中的這些指定驅動器】設置，雙擊打開 。

進入該選項的設置界面，選擇【已啟動】，并在下面選擇【僅限制驅動器C】，單擊【確定】。

驗證：

切換到成員服務器Server1，使用域用戶student1重新登錄Server1，打開資源管理器，選擇【此電腦】，可以看到C盤被隱藏了。

3.2 通過組策略user_fjnu_GPO統一管理域中的計算機和用戶

目的：通過4個實例來驗證域管理員可以通過組策略統一管理分配域中資源。

將某目錄自動映射為網絡驅動器，使user_fjnu中的用戶可以訪問。使user_fjnu中用戶使用統一桌面背景。為user_fjnu中用戶安裝統一的軟件。為user_fjnu中用戶的【文檔】文件夾重新定向。

（1）將某目錄自動映射為網絡驅動器，使user_fjnu中的用戶可以訪問。

首先，在域控制器DNS1上創建一個目錄C:\share，在該目錄下新建一個文件test.txt用于測試。

然后，將C:\share設置為共享目錄。在share目錄上單擊鼠標右鍵，在彈出的菜單中選擇【屬性】，在【share屬性】界面選擇【共享】選項卡，并點擊【共享】。

進入【網絡訪問】界面，點擊第一個輸入框右邊的下拉箭頭，在展開的菜單中選擇【Everyone】，單擊右側的【添加】按鈕。

隨后點擊【共享】。

進入【你的文件夾已共享】界面，顯示了名為【share】的共享，共享目錄為\\DNS1\share，單擊【完成】。

返回【share屬性】的【共享】選項卡，顯示該文件夾的網絡路徑為\\\DNS1\share，說明共享目錄已經設置完成。

在域控制器DNS1上，編輯【user_fjnu_GPO】，在【組策略管理編輯器】中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【首選項】——>【windows設置】——>【驅動器映射】，在【驅動器映射】上單擊鼠標右鍵，在彈擊菜單中選擇【新建】，在展開的菜單中選擇【映射驅動器】 。

打開【新建驅動器屬性】界面，在【位置】中輸入共享目錄的網絡路徑\\DNS1\share，勾選【重新連接】標記，即每次登錄時均重新連接該網絡驅動器，在【驅動器號】中選擇右邊的【使用】選項，并設置盤符為Z，單擊【確定】。

如果驅動器號為D，域中的用戶及計算機不能識別，因為D盤默認為DVD Drive。

可以在【驅動器映射】界面中看到該剛才設置的結果。

驗證：

切換到域成員服務器Server1，使用域用戶student1重新登錄Server1，打開資源管理，在【此電腦】中，可以看到自動映射了網絡驅動器，盤符為Z:盤，映射目錄為\\DNS1\share 。

雙擊打開D:盤，能夠看到在域控制器上的共享目錄中創建的測試文件 test.txt。

（2）使user_fjnu中用戶使用統一桌面背景

首先，在域控制器DNS1上創建一個目錄C:\pic，將要使用的背景圖片文件bg.jpg復制到目錄C:\pic下。

然后，將C:\pic設置為共享目錄。在pic目錄上單擊鼠標右鍵，在彈出的菜單中選擇【屬性】，在【pic屬性】界面選擇【共享】選項卡，并點擊【共享】。

進入【網絡訪問】界面，點擊第一個輸入框右邊的下拉箭頭，在展開的菜單中選擇【Everyone】，單擊右側的【添加】按鈕。

隨后點擊【共享】。

進入【你的文件夾已共享】界面，顯示了名為【pic】的共享，共享目錄為\\DNS1\pic，單擊【完成】。

返回【pic屬性】的【共享】選項卡，顯示該文件夾的網絡路徑為\\DNS1\pic，說明共享目錄已經設置完成。

在域控制器DNS1上，編輯【user_fjnu_GPO】，在【組策略管理編輯器】中，依次展開【財務處GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【桌面】——>【桌面】，找到【桌面墻紙】配置，雙擊打開。

進入該選項的設置界面，選擇【已啟用】，并在下面的選項中設置墻紙名稱：\\DNS1\pic\bg.jpg，墻紙樣式默認為【居中】，單擊【確定】。

在【組策略管理編輯器】中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【管理模板】——>【控制面板】——>【個性化】，找到【阻止更改桌面背景】配置，雙擊打開。

進入該選項的設置界面，選擇【已啟用】，單擊【確定】。

驗證：

切換到成員服務器PC1，使用域用戶student1重新登錄PC1，可以看到桌面背景已設置為統一的圖片。

在桌面上單擊鼠標右鍵，在彈出的菜單中選擇【個性化】，進入個性設置界面，該界面中的背景設置全部為灰色，并提示【某些設置由你的組織來管理】，說明用戶自己不能修改桌面背景。

（3）為user_fjnu中用戶安裝統一的軟件

首先，在域控制器DNS1上創建一個目錄C:\packages，將fjnu_user用戶需要安裝的安裝包復制到目錄C:\packages下。

Windows Server 只支持.msi 格式的安裝包。

然后，將C:\packages設置為共享目錄。在packages目錄上單擊鼠標右鍵，在彈出的菜單中選擇【屬性】，在【packages屬性】界面選擇【共享】選項卡，并點擊【共享】。

進入【網絡訪問】界面，點擊第一個輸入框右邊的下拉箭頭，在展開的菜單中選擇【Everyone】，單擊右側的【添加】按鈕。

隨后點擊【共享】。

進入【你的文件夾已共享】界面，顯示了名為【packages】的共享，共享目錄為\\DNS1\packages，單擊【完成】。

返回【packages屬性】的【共享】選項卡，顯示該文件夾的網絡路徑為\\DNS1\packages，說明共享目錄已經設置完成。

在域控制器DNS1上的【組策略管理編輯器】中，依次展開【user_fjnu_GPO】——>【用戶配置】——>【策略】——>【軟件設置 】——>【軟件安裝】，在【軟件安裝】上單擊鼠標右鍵，在彈出的菜單中選擇【屬性】 。

在【軟件安裝 屬性】界面中，設置默認程序數據包位置為\\DNS1\packages，其余使用默認設置，單擊【確定】

再次在【軟件安裝】上單機鼠標右鍵，在彈出的菜單中選擇【新建】，選擇【數據包】。

打開選擇數據包界面，找到C:\packages目錄下的安裝包文件xxxx，單擊【打開】。

在彈出的【部署軟件】對話框中，選擇【已發布】選項，單擊【確認】。

已發布：域成員需要手動從網絡安裝程序

已分配：域成員機登錄時會自動安裝

等待一段時間后，在【軟件安裝】中，可以看到剛才發布的軟件包信息，選中安裝包，點擊鼠標右鍵，選擇【屬性】。

驗證：

切換到成員服務器PC1，使用域用戶student1重新登錄PC1，打開【控制面板】，單擊左下角【程序】下的【獲得程序】。

打開【獲得程序】界面，界面中顯示了域控制器通過組策略發布的程序xxxxxx，雙擊該程序，即可開始安裝。

（4）為user_fjnu中用戶的【文檔】文件夾重新定向

首先，在域控制器DNS1上創建一個目錄C:\userdoc，該目錄用于存放財務處所有用戶的【文檔】文件夾內容。

然后，將C:\userdoc設置為共享目錄。在userdoc目錄上單擊鼠標右鍵，在彈出的菜單中選擇【屬性】，在【userdoc屬性】界面選擇【共享】選項卡，并點擊【共享】。

進入【網絡訪問】界面，點擊第一個輸入框右邊的下拉箭頭，在展開的菜單中選擇【Everyone】，單擊右側的【添加】按鈕。

隨后點擊【共享】。

進入【你的文件夾已共享】界面，顯示了名為【userdoc】的共享，共享目錄為\\DNS1\userdoc，單擊【完成】。

返回【userdoc屬性】的【共享】選項卡，顯示該文件夾的網絡路徑為\\DNS1\userdoc，說明共享目錄已經設置完成。

在域控制器DNS1上，編輯【user_fjnu_GPO】，在【組策略管理編輯器】中，依次展開【財務處GPO】——>【用戶配置】——>【策略】——>【Windows設置 】——>【文件夾重定向】，在【文檔】上單擊鼠標右鍵，在彈出的菜單中選擇【屬性】 。

打開【文檔 屬性】界面中，在【設置】中使用基本設置：將每個人的文件夾重定向到同一位置。在【目標文件夾位置設置】中，選擇【在根目錄路徑下為每一用戶創建一個文件夾】，路徑設置為\\DNS1\userdoc，其余使用默認設置，單機【確定】。

會彈出一個兼容性告警，單擊【是】，忽略告警。

驗證：

切換到成員服務器PC1，使用域用戶student1重新登錄PC1，打開【資源管理器】，在【此電腦】的【文檔】上單擊鼠標右鍵，在彈出的菜單中選擇【屬性】。打開【文檔屬性】界面。

參考資料 [1]戴有煒，《2016 Windows Server 系統配置指南》，清華出版社，2018

Microsoft Docs：Active Directory documentation

Microsoft Docs：Active Directory Domain Services

到此這篇關于Windows Server 2019 組策略的配置與管理(基于域的組策略與示例)的文章就介紹到這了,更多相關win2019 組策略內容請搜索好吧啦網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持好吧啦網！