文章

AD域常用组策略

AD域常用组策略

这里记录下常用的AD组策略

策略1:只允许指定的软件运行
用户配置——策略——管理模板——系统——只运行指定的应用程序
将需要运行的应用名写入,比如微信,写入wechat.exe
这个策略有点霸道,很多应用都会打不开,所有的安装包都无法安装,如果要安装软件可以按住shift右键,以其他用户身份运行。这个方法可以跳过这个限制。

38.1.png

策略2:禁止安装指定的软件
用户配置——策略——windows设置——安全设置——软件限制策略——其他规则,右键新建证书规则,有时候证书规则不会生效,可以选择哈希规则。
哈希规则有一个缺点,软件更新后哈希值就会发生变化就失效了。
在配置这条策略时,遇到的坑还是比较多的,比如一开始配置计算机配置根本没有效果,还有客户端dns如果配置了isp的dns的话也不会生效,一般企业都会将第一个dns服务器配置为域服务器,第二个dns服务器配置为运营商提供的dns,这样的话就会失效。

38.2.png

证书导入操作如下:

38.3.gif

策略3:禁用Windows update
windows自动更新有好有坏,如果为了稳定的话还是建议关闭。
计算机配置——策略——windows设置——安全设置——系统服务——windowsupdate改为禁用

38.4.png

计算机配置——策略——管理模板——Windows组件——Windows更新——配置自动更新改为禁用,允许自动更新立即安装改为禁用,启动通过自动更新建议的更新改为禁用

38.5.png

策略4:去除ctrl+alt+delete
win7的电脑加入域后每次登录系统需要按ctrl+alt+delete,这其实挺繁琐的,所以去掉。
计算机配置——策略——Windows设置——安全设置——本地策略——安全选项——交互式登录:无须按ctrl+alt+del设置为启用

38.6.png

策略5:去除用户账号控制弹窗
所有新建的用户账号,默认都是user的权限,在安装软件或者运行需要管理权限的软件的时候,会弹出验证框,需要填写管理员账号密码,想去掉这个烦人的弹窗,可以将用户加入管理员组,不过这当然不可以,管理员权限过大,不可以开放给普通用户,所以就有了这个策略。
用户配置——首选项——windows设置——注册表——新建注册表项,注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA,类型REG_DWORD,10进制,数值数据改为0,改完后强制刷新组策略,客户端重启生效。

38.7.png

策略6:用户账号密码策略
计算机配置——策略——Windows设置——安全设置——账号策略——密码策略,这里可以指定账号密码复杂度和密码使用期限。账号锁定策略,可以设定连续输入密码错误次数会锁定账号,这个设置可以防止有人密码爆破。

38.8.png

策略7:显示本地账号列表
这个策略一般用不到,默认情况下加入域后就不会显示本地账号,都是用域账号,本地账号一般也会禁用或者设置密码不让用户登录。
计算机配置——策略——系统——登录——在加入域的计算机上枚举连接的用户,改为以启用。然后将计算机加入到应用此策略的ou。否则不会生效此策略。计算机配置里配置的策略都必须将计算机加入到链接策略的ou组,用户配置里配置的策略就不用做这个操作。

38.9.png

策略8:批量更改域客户端本地管理员账号密码
通过脚本的形式达到目的,计算机配置——策略——Windows设置——脚本——启动,增加脚本,在打开的位置把脚本复制过去,如果用浏览的话不起作用。
脚本内容为net user administrator 密码

38.10.png

策略9:关闭防火墙
计算机配置——策略——Windows设置——安全设置——高级安全windows防火墙

38.11.png

强制使策略生效
命令:gpupdate /force
查看策略是否生效
命令:gpresult /v

License:  CC BY 4.0