2023年11月27日发(作者:)

域控内使⽤策略部署和软件分发

⼀、问题说明

1.1、问题描述

前⾯的系列已经完成了域控环境的搭建;那么最关键的就是实现管理控制。

默认有2个全局策略模板(即:Default Domain Controllers Policy 、Default Domain Policy),点进对应的策略模板名称可以看到相

所有全局配置可以在【组策略编辑器】界⾯修改;其中

①【计算机配置:要客户端重启⽣效】;

②【⽤户配置:要客户端注销⽣效】;

③【策略配置后要刷新:在服务器端执⾏ gpupdate /force 命令】;

2、验证效果【使⽤域账号登陆客户端,然后修改IP地址】

修改了【计算机配置:要客户端重启⽣效】.

2、验证【禁⽌域⽤户⾃动更新】

2.4、指定⽤户密码复杂性

打开【Default Domain Policy】的【策略编辑器】界⾯;选择【计算机配置--->Windows设置--->安全设置--->帐户策略--->密码策

略】;禁⽤【密码必须符合复杂性要求】,根据需要设置密码长度最⼩值,如下图所⽰:

修改了【计算机配置:要客户端重启⽣效】.

修改了【计算机配置:要客户端重启⽣效】.

2.6、禁⽤本地管理员

打开【Default Domain Policy】的【策略编辑器】界⾯;选择【计算机配置--->⾸选项--->控制⾯板设置--->本地⽤户和组】;右击本地⽤

修改了【计算机配置:要客户端重启⽣效】.

三、由域服务器统⼀分发提供软件安装列表

3.1、创建共享⽂件夹且放⼊.msi格式的软件

在域服务器上创建⼀个共享⽂件夹(ShareSoftware),⽤户拥有读取权限,来存放准备发放给客户端安装的软件,如将安装⽂件

【】放在该共享⽂件夹(ShareSoftware);

注意,这⾥需发放的⽂件要把格式封装成msi格式。可以使⽤⼀些封装⼯具进⾏exe等格式的⽂件封装成msi格式,⽐如advinst(这⾥只选

注意:数据包的地址必须是⽹络地址(如:192.168.146.227),如下图所⽰:

3.3、提升⽤户权限⽤以安装软件

由于新建的域⽤户都默认是在Domain User组⾥,⽽改组⼜不能安装软件;所以若想要提升权限⽤以安装软件,需要将⽤户默认增加⾄

power users组⾥,具体操作如下,选中【在本地⽤户和组 点击⿏标右键,选择【新建--->本地组】--操作更新---新建本地组---选择组名

说明:【Power users】⽤户组其实就是标准⽤户,系统权限就是在组上增加了部分安装权限(可以安装⼀些不改变系统环境或者是创建

系统服务的安装程序,可以修改控制⾯板⾥的⼤部分选项,但是⼀些选项是管理员级别的还是修改不了),⽽Users是⽤户组是受限⽤户。

注意:在创建⽤户的时候是不能创建⾼于⾃⼰级别的⽤户的。

3.4、更新策略配置

四、增加⽹络映射驱动器

打开【Default Domain Policy】的【策略编辑器】界⾯;选择【⽤户配置--->⾸选项--->Windows设置--->驱动器映射】;选中驱动器映

【策略配置后要刷新:在服务器端执⾏ gpupdate /force 命令】;