windows系统gpo的简单介绍

如何禁用组策略?分类:电脑/网络操作系统/系统故障
问题描述:
请问有没有办法禁用组策略windows系统gpo?
解析:
GPO 包含“计算机配置”部分和“用户配置”部分 。如果您希望应用的策略设置仅包含对该 GPO 的一个部分的配置更改windows系统gpo,您可以配置该 GPO 以使系统不处理未使用的部分 。此时,您可以减少 Windows 处理 GPO 所花的时间 。1. 单击开始,指向程序,指向管理工具,然后单击“Active Directory 用户和计算机” 。
2. 执行下列步骤之一: ? 如果您想要编辑链接到域的 GPO 的安全设置,则右键单击该域,然后单击属性 。
? 如果您想要编辑链接到一个组织单元的 GPO 的安全设置,则单击展开该域 , 右键单击该组织单元,然后单击属性 。
3. 单击组策略选项卡 , 单击要配置的 GPO,然后单击属性 。
4. 执行下列步骤之一或都执行: ? 单击以选中“禁用计算机配置设置”复选框,然后,当收到“确认禁用”消息时单击是 。
? 单击以选中“禁用用户配置设置”复选框,然后 , 当收到“确认禁用”消息时单击是 。
5. 单击确定,单击应用,然后单击确定 。
6. 退出“Active Directory 用户和计算机”管理单元 。
Windows Server 组策略组策略是一个能够让系统管理员充分管理用户工作环境的功能 。
包含计算机配置与用户配置 , 计算机配置仅对计算机环境产生影响,用户设置只对登陆计算机的用户有影响 策略以域组策略为优先 。
组策略快捷命令:gpedit.msc
组策略是通过gpo进行设置
default domain policy:此gpo设置的策略会被应用到域内的所有用户与计算机
default domain controllers policy:此gpo设置的策略会被应用到domain controllers内的所有用户与计算机 。一般domain controllers内默认只有域控制器的计算机
可以对着组织单位右击鼠标选择阻止继承或强制
强制应用策略 gpupdate /force
windows设置:可设置磁盘驱动盘映射、环境变量设置、注册表设置、创建文件夹与文件等
控制面板设置:可设置控制面板内的项目,如区域设置、电源选项等
使用脚本,可以将脚本放入%Systemroot%\SYSVOL\sysvol\域名\scripts文件夹中,或者组策略中
在Windows Server 2003 中 GPO是什么意思GPO是一种与域、地址或组织单元相联系的物理策略 。在NT 4.0系统中,一个单一的系统策略文件(例如ntconfig.pol)包括所有的可以执行的策略功能 , 但它依赖于用户计算机中的系统注册表的设置 。在Win2K中,GPO包括文件和AD对象 。通过组策略,可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装,这样在安装软件时就可以对文件夹进行重定向 。微软管理控制台(MMC)中的组策略编辑器(GPE)插件与NT 4.0中的系统策略编辑器poledit.exe相当 。在GPE中的每个功能节点(例如软件设置、Windows 设置、管理模块等)都是MMC插件扩展,在MMC插件中扩展是可选的管理工具,如果你是应用程序开发者,可以通过定制的扩展拓展GPO的功能,从而针对你的应用程序提供附加的策略控制 。只有运行Win2K的系统可以执行组策略,运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO 。
组策略和GPO的区别是什么?1、定义不同
组策略:组策略(英语:Group Policy)是微软Windows NT家族操作系统windows系统gpo的一个特性windows系统gpo,它可以控制用户帐户和计算机帐户的工作环境 。
GPO:组策略对象windows系统gpo,GPO(Group Policy Object),实际上就是组策略设置的集合 。
2、作用不同
组策略:组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置 。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象 。
GPO:组策略的设置结果是保存,在GPO中的(在 Microsoft Windows XP 中,可以使用组策略为用户和计算机组定义用户和计算机配置 。通过使用组策略Microsoft Management Console (MMC) 管理单元,您可以为特定的用户和计算机组创建特定的桌面配置 。
您创建的组策略设置包含在组策略对象中,后者进而与选定的 Active Directory 容器(如站点、域或组织单位 (OU))关联) 。
GPO中包含用于特定用户或计算机的策略信息和配置 。可以将其看成是组策略工具所生成的文档,它在原理上同.txt或.doc这类文档没有什么差别 。
3、特点不同
组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活 , 功能也更加强大 。而GPO是组策略对象,是一种与域或组织单元相联系的物理策略每台计算机都有本地的GPO,可以通过运行gpedit.msc来定制也可以通过AD定义一个集中的策略 。
参考资料来源:百度百科-组策略
参考资料来源:百度百科-组策略对象
Windows AD域通过GPO设置客户端电脑本地管理员账号密0x01 介绍
在实际生产环境中 , 由于Windows AD域的限制,桌面对客户端电脑进行软件安装或其他系统配置时,均需要管理员权限 , 而网内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管理员密码,所以这时候就需要批量变更客户端的本地管理员密码 。
0x02 环境介绍
DC:Windows Server 2012R2 域名:yeah.local
CLIENT:Windows 7 已经将客户端加入域
0x03 操作步骤
1. 首先在DC上用于与计算机控制台,新建一个计算机OU,便于管理 , 将刚加入域的计算机移动到这个OU中 。
2. 在DC上打开组策略管理工具 , 新建一条策略,命名自己能看懂即可
3. 并对此策略进行设置,依次展开 计算机配置— 策略 — Windows设置 —安全设置 — 安全选项 — 账户:重命名系统管理员账户 将administrator用户重命名其他,此处修改为Local_admin 。
4. 然后再回到Windows设置 — 脚本(启动/关机),新建一条启动脚本 。
#启动脚本内容:意思为新建administrator用户,密码设置为passwd1!,启用此账户
net user administrator passwd1! /active:yes
【windows系统gpo的简单介绍】 将脚本内容复制到txt,另存为cmd后缀或者bat后缀文档,然后点开启动属性,点开显示文件,出来路径,将脚本文件粘贴到路径中,再点开编辑浏览到刚才路径,选中写好的开机脚本文件 。
另外 , 有时候还有特殊需求,比如域中客户端用户由于一些特殊原因需要本地管理员权限 , 有这个需求的时候又不可能每次到跑到客户端操作电脑,因 此可以使用受限制的群组 , 设定,当域中某些特定用户需要有本机管理员权限的时候就可以直接在AD服务器上操作即可 。
5. 回到用户和计算机管理工具,在Users中新建一个组 , 命名为Local-admins并将张三加入到此用户组测试 。
6. 再回到组策略管理工具中,此处依旧挂载在这条GPO策略上 , 找到计算机配置 — Windows设置 — 安全设置 — 受限制的组 新建Administrators 组,并将默认需要添加到客户端本地管理员的用户与用户组添加进来 。
7. 确定后关闭这条GPO编辑页,回到组策略管理工具,找到之前新建的yeah-Computers计算机组的OU,右键链接到现有GPO找到刚新建的GPO,链接确定 。
8. 此时,到DC服务器中强制刷新组策略 。
#强制刷新组策略命令
gpupdate /force
9. 找一台客户端验证策略是否生效 , 以本地管理员用户Local_admin登录,查看策略是否生效,因为应用的是计算机策略,只能在本地管理员账号下看到策略是否应用 。
#查看当前用户计算生效gpo
gpresult/r
#如发现策略没应用,可多执行几次强制刷新策略命令
gpupdate /force
10. 可以看到策略已经应用,我们再切换用户,以张三登录客户端,右键点击计算机,计算机管理–本地用户和组–组–administrators,可以发现当前已经有我们设定的用户组位于本地管理组中了 。
到此已经完成需求的所有操作,即通过GPO统一设置域内计算机本地管理员账户重命名为Local_admin,并在AD上新建一个Local-Admins用户组,将这个组加入到客户端本地管理员组中 , 后续需要用到本地管理员的域用户只要在AD上将用户加入到这个组即拥有本地管理员权限
什么是GPO?win2000的得意之作GPO,即group policy object,win2000把以前NT要通过修改注册表或者运行poledit.exe修改Ntconfig.pol文件才能达到配置政策的目的,通过GPO来实现一个超强功能的中央集权的组政策,此政策是建立在活动目录(Active Directory)基础之上的
1.轻松完成windows客户机明文传送密码
众所周知,linux的samba服务是采用非加密的密码传送,而windows系列默认采用加密的密码传送.而samba服务通常采用user用户模式:需要提供用户名和密码,那么就只好把windows的加密的密码传送改为非加密的密码传送.只有通过修改注册表
对于:windows95/98
在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Vxd\VNETSUP
增加一个新的DWORD键值enableplaintextpassword 0X01
对于:Windows NT
在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\parameters
增加一个新的DWORD键值enableplaintextpassword 0X01
是不是很麻烦,win2000的GPO可以轻松帮组你完成把windows的加密的密码传送改为非加密的密码传送.点击开始-程序-管理工具-Active Directory用户和计算机,右击所在域(本例是wupanlan.com)-属性-组政策,点击default domain policy,选择编辑进入GPO窗口 。选择计算机配置-windows设置-本地策略-安全选项,将“发送为加密的的密码连接到第三方samba服务器"选项设置为enable.
关于windows系统gpo和的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息 , 记得收藏关注本站 。

    推荐阅读