AD组策略的设置超详细

1、为何不能交互式登陆？前一段时间做了一个win2000的终端网，采用win2000 application server终端服务模式+citrix(sp3)，客户机上出现登陆窗口，以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题，开始有点呐闷，这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样，后来查了一查资料，顿时明白过来。在这里我必须讲一讲NT和win2000的身份验证机制。NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协

2、议，用户通过提供登陆信息（如用户名和密码）,服务器将这些信息发送到服务器上的验证机构，验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的，不可传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权限。而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的，他是由每域的RID主机（相对关系主机）来分配的。SID在每个域中是独一无二的，但在其他域中也可能出现同样的SI

3、D，但是由于域ID的不同，所以二者的GUID就不可能相同。但这必须建立在Kerberos协议的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A；A信任B，B信任C，A信任C。当然也可手工调整，一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE（Access control entry)是具体的访问类型（如read,write等等). 说了这么多，我再

4、谈一谈针对win2000域环境下本地交互登陆的机制，众所周知，win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器，GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求，就会将其转发到LSA（本地权威机构），而在WIN2000下由于Kerberos是默认的验证机制，所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后，便会出现错误信息，因为kerberos是用来验证域用户账号而非本地账号，此时LSA收到错误信息，会将其转发到GINA，GINA在将指定

5、了MSV1_0协议的LSA来验证身份，如果通过则完成本地交互式登陆。 说了这么多,到底跟终端用户登陆到服务器有什么关系。终端用户不是通过网络登陆吗？又不是本地登陆，那为什么RPLWIN9598,PXEWIN98的客户登陆服务器不会出现同样的问题呢？这就是WIN2000终端与RPLWIN9598,PXEWIN98的不同之处，终端顾名思义实际上只是客户通过键盘输入，发送指令到服务器，并没有大量的数据传送，最后通过客户机的显示器输出结果，实际上是一个远程控制的原理，而RPLWIN9598,PXEWIN98通过把客户机上的文件共享到服务器上，从而达到访问服务器的目的，其间有大量的数据的传输,实际上是一

6、个远程访问的原理。远程控制与远程访问的最大不同是远程控制是工作发生在远程服务器上，将消耗大量的远程服务器的cpu时间，而远程访问工作主要发生在本地客户机上，需要消耗大量的客户机cpu的时间.现在的众多远程控制的黑客软件大多是采用的就是远程控制的原理，如冰河,BO等等。 终端实际上就是一个本地登陆的过程，所以采用的客户账号必须是本地账号。现在我就给大家提供具体的解决办法：win2000的得意之作GPO，即group policy object,win2000把以前NT要通过修改注册表或者运行poledit.exe修改Ntconfig.pol文件才能达到配置政策的目的，通过GPO来实现一个超强功能

7、的中央集权的组政策，此政策是建立在活动目录(Active Directory)基础之上的，活动目录又是通过DNS来定位服务的。所以如果要使用GPO，就必须在安装完 WIN2000 SERVER+DNS之后，通过DCPROMO.EXE程序来安装活动目录，才能使用GPO.安装完活动目录之后，点击开始-程序-管理工具-Active Directory用户和计算机,出现图1画面右击所在域(本例是)-属性-组政策，如图2所示点击选项，选中禁止覆盖入图3所示点击default domain policy,选择编辑进入GPO窗口。选择计算机配置-windows设置-本地策略-用户权利指派（如图4）在允许本地

8、登陆的选项卡上将终端用户所在的组添加上（如图5）关闭所有窗口。打开win2000的命令处理窗口，运行secedit /refreshpolicy machine_policy,再在事件查看器去看一下政策是否已成功运用。再在客户机上用已添加的终端客户账号登陆，ok,pass.呵呵，透露一个小秘密，这个问题出现在win2000的MCP-215的考试中，希望各位做对。最后留下我的EMAIL:bbaojian,希望与热爱电脑技术的朋友共同进步.一、编辑组策略   1、允许用户登陆本计算机        在OU里面

9、右键属性组策略新建策略编辑策略计算机配置WINDOWS设置安全设置本地策略用户权限分配允许在本地登陆。用gpupdate /force 命令刷新。      2、拒绝用户访问运行、CMD、以及批处理文件。        1、在要设定的OU上点击右键属性组策略编辑策略用户配置管理摸板任务栏和开始菜单删除开始菜单上的运行菜单。用gpupdate /force 命令刷新。           

10、     2、在要设定的域控制器点击右键属性组策略编辑策略用户配置管理摸板系统阻止用户访问命令提示符继续点击下面的的选项是否拒绝使用批处理文件处理选择“是”。用gpupdate /force 命令刷新。二、拒绝继承权限   1、在下一级的OU上属性组策略禁止策略的继承。用gpupdate /force 命令刷新。三、强制继承   1、在上一级的OU上属性组策略选项禁止替代钩上。用gpupdate /force 命令刷新。四、过滤用户（特定的人群）   1、在要设定的OU上属性组策略属性安全添加用

11、户给予权限拒绝组策略。用gpupdate /force 命令刷新。五、桌面管理   1、在要设定的OU上属性组策略编辑组策略用户配置管理模板桌面Active desktop启用Active desktop启用Active desktop墙纸输入对应的主机的地址和共享文件。   2、用户配置管理模板系统CTRL+ALR+DEL选项。六、密码策略   1、在域控制器上属性组策略新建组策略编辑组策略计算机配置安全设置（1、密码策略 2、帐户锁定策略）七、组策略脚本   1、当用户启动时启动脚本登陆脚本 

12、0; 2、当用户注销时注销脚本关机脚本   3、wscript.echo"内容"  后缀改为“VBS”      1、建立脚本2、点开域控制器属性组策略添加组策略编辑组策略用户配置（计算机配置）WINDOWS设置脚本双击登陆显示文件把脚本文件拖进去3、在点击添加写入文件名就可以了。8、文件重定向   1、漫游文件用户右健属性配置文件输入文件夹路径在指定的计算机上创建文件夹共享以及共享权限安全权限在计算机上注销。   2、文件夹重定向1、不管从哪一台机器登陆

13、，都可以访问所需的数据。2、数据集中存储     创建帐号在指定OU上右键属性组策略编辑组策略用户配置WINDOWS设置文件重定向我的文档配置 9、强制漫游   找到指定文件NTUSER.DAT改MAN10、权限委派   1、 在OU上右键委派添加帐号（MARY）删除、创建    在指定OU上右键控制委派添加帐号（TOM）删除、创建策略管理   2、删除委派 查看高级在OU上属性安全高级删除权限11、软件分发（SMS） （后缀名为MSI） 

14、60; 1、软件分发的好处：1、自动安装   2、自动修复    3、自动升级     4、远程删除   2、软件分发的方式：1、发布给用户 2、指派给用户  3、指派给计算机   3、软件发布的过程：1、在指定OU上新建帐号建立共享（软件）建立组策略编辑用户配置软件设置软件安装右键属性UNC              

15、;           路径右键新建程序包发布（添加程序里面）指派（在开始菜单）部署下面（登陆安装）                         升级软件右建软件高级升级客户端验证   4、非MSI后缀的软件安装：先在服务器上安装软件在安装高级安装程序         1、程序包封装不完整  解决1、把下载注册表监视器  2、给于权限   5、让特殊的人有特殊的权限：在指定的OU上组策略计算机配置WINDOWS设置安全设置文件系统右键添加用户     &