排坑,域控中將組策略下發到安全組(group)

2021-08-07 21:51:10 字數 1433 閱讀 8222

1、先說說為啥不通過ou,而是通過group下發策略

額,公司戰略。(這樣說方便提公升一下檔次,哈哈)開個玩笑啊。主要是公司現在各個應用系統和管理系統都有自己的一套賬戶體系,管理麻煩,使用者也會混亂,所以才會有這麼個想法去把使用者體系建立在ad上,這樣就方便統一管理,但是每個應用(開源之類)都有自己同步使用者的規則,為了方便,最終決定把組織結構拍平,所有使用者都在乙個ou下,所以這就導致了這樣乙個問題(還得寫指令碼匯入使用者,苦逼啊),原先我的使用者都有自己的ou,策略的下發都是作用在ou上的,以前好像也記得策略是沒辦法在group上生效的,這個咋整?沒辦法,只能找資料唄,然後我就找啊找,就找到以下兩篇,不廢話,直接上**:

2、有前輩經驗,那就自己實驗起來

在實際開始做之前,其實還是被網路上不能這麼操作的聲音影響的,因為包括很多大神都說不行,說最小單元只能是ou,然後只有微弱的聲音說可以,我只能一臉懵逼,我能怎麼辦,我也只是個小菜鳥。

找到了這兩篇文件,尤其是微軟的這篇官方文件,那就說明沒問題,肯定是可以的(ps:所以還是得看官方的說法,其他都不靠譜),擼起袖子加油幹。

3、不囉嗦,乾貨開始(測試)

(1)新建一條測試策略,testgroup,設定如下(只是測試,隨便定義的)

(2)填寫作用域和篩選

(3)到客戶機上重新整理策略(gpupdate /froce),檢視組策略作用結果(gpresult  -r)或者通過rsop.msc檢視

(4)這樣就成功了,無論你的賬戶,計算機在哪個ou下,你只要關注,哪個策略對應哪個安全組就行了

4、一些感想

先說說為啥會把這個寫出來,第一是覺得這個坑了自己,而網路上相關的比較少,所以為了大家少走坑;第二個就是,前段時間看一篇文章,是不是關於李笑來的,忘了,說:還是應該學會寫文章,哪怕再爛都應該寫出來,對自己的自信心,邏輯上,組織上等都有潛移默化的幫助。這是我寫這個的原因

本人是小菜,有啥問題可以**(雖然一不定懂)

2017/9/21

重要補充!!!

今天又踩到坑,近些天發現,按照這個方法實施組策略,然後策略竟然沒有生效。。。。。

找了一圈網上資料,沒有相關的資訊,只能自己測試研究,哎

最後發現:如果策略只是針對使用者,並不是在篩選中新增對應的使用者和組就ok了,還要新增該策略生效的使用者可能登入的計算機,也要新增到篩選裡來。

就這麼浪費了一天時間去折騰這個。。。。。。。。貼出來讓大家少踩坑

組策略妙用 通過組策略禁止域使用者更改IP位址

禁止更改ip位址 如果允許使用者能夠自己更改ip位址,就有可能和網路中其他計算機ip位址衝突。有些單位的網路管理員配置好計算機的ip位址後,不想讓使用者自己更改。以下示例將會演示禁止使用者更改ip位址一種方法。4.9.1示例 禁止使用者更改ip位址 沒有管理員許可權的使用者,預設就沒有許可權更改計算...

ad域下發策略 域滲透組策略有關學習

域內有個共享資料夾,domain sysvol domain,域內主機全能訪問,裡面儲存了組策略相關的檔案,在一開始搭建域控的時候就設定好的預設路徑。這裡測試了2008的,通過組策略去修改密碼。新建乙個gpo。編輯 使用者配置 首選項 控制面板 本地使用者和組 設定好物件許可權等,可以在詳細資訊中看...

專案十五 域和組策略配置

城是由管理員定義的組物件 計算機 使用者和組,的集合,所有物件共享個目錄資料aeivin ieco 和安全策略。個戰可能與其他城之間存在安全關係。城工作方式採用的是集中式的管理,計算機要加人乙個城中,必須經過域管理員的批准,域中所有的資源由域控制器統一管理。域管理員是組織中許可權最大的人員,域管理員...