如何在 Windows 2003 上以 OU 级别应用策略

如何在 Windows 2003 上以 OU 级别应用策略

好的,我要晋级,我是一名软件工程师,试图做系统管理员的工作。

我问关于覆盖密码策略的问题并得到了一个听起来正确的答案,但我不知道该怎么做。

基本上,它告诉我在相关计算机上的 OU 级别应用策略更改。我从未应用过任何类型的策略。

有没有人愿意帮助新手一步一步地做到这一点。(见其他问题我这么做是有原因的。

答案1

要在 OU 级别应用组策略,您只需进入 AD 用户和计算机,右键单击要应用策略的 OU,然后转到属性。在这里选择组策略选项卡,这是设置策略的地方。

单击新建以创建新策略,为其命名,然后单击编辑。这将打开编辑窗口,您可以在其中深入查看安全设置(计算机配置 -> Windows 设置)或其他任何您想要的内容,并将策略更改为您需要的内容。

要保存,只需关闭窗口即可。完成后,您可能需要从命令中运行 gpupdate 以确保策略已更新。

答案2

我就是那个给你答案的人:关于密码策略...>微笑<

Sam 的回答基本正确。为了更具体一点,您需要将 GPO 与密码策略设置链接到需要不同密码策略的服务器计算机所在的 OU。请注意,如果该 OU 中还有其他计算机,它们也会应用该策略。这可能不是您想要的。

考虑以下:

 [domain] domain.com
   |
   |- [OU] Member Server Computers
   |   |
   |   |- [Computer] SERVER01
   |   |
   |   |- [Computer] SERVER02

假设您只希望 SERVER02 具有更改后的密码策略设置,最好的办法是创建“成员服务器计算机”OU 的子 OU 并将 SERVER2 放入其中,如下所示:

 [domain] domain.com
   |
   |- [OU] Member Server Computers
   |   |
   |   |- [Computer] SERVER01
   |   |
   |   |- [OU] Relaxed Local Password Policy Computers
  ...  |   |
      ...  |- [Computer] SERVER02

这样,所有已应用于“成员服务器计算机”的 GPO 仍将应用于 SERVER2(因为它在目录中的位置仍然位于“成员服务器计算机”下方),但您创建并链接到“宽松本地密码策略计算机”的 GPO 将仅适用于 SERVER02。

假设在与“SERVER02”相同的 OU 中还有其他计算机,那么使用子 OU 执行此操作也很不错,因为这样可以限制在您执行了无意的操作的情况下应用策略。使用组策略,您可以非常快速有效地损坏大量计算机... >微笑< 这是放大人为错误的极好工具。

(那里使 GPO 仅适用于 SERVER02 的其他方法,而无需创建子 OU。这里不是讨论这些方法的地方,但当您准备好时,使用您最喜欢的搜索引擎搜索短语“组策略过滤权限”,您就可以了解它。)

我发现操作系统的组策略文档非常复杂和糟糕——所有关于“优先级”等的讨论都是什么。组策略使用一种非常简单的算法来确定基于将一组 GPO 应用于用户或计算机的“有效”设置,但 Microsoft 技术作者似乎想让它看起来“神奇”,因此,他们似乎使文档变得过于复杂。我应该找个时间坐下来,拿着麦克风和屏幕捕获实用程序,做一个“组策略应用程序教程”视频或类似的东西。(是的……在我充足的空闲时间里……)

答案3

好吧,我会告诉你,但您可能希望首先尝试在非生产环境中使用组策略,因为有些事情可能会变得有点……混乱。但是,一旦您习惯了它们,它们就是一种非常有效的管理工作站和服务器的方法。我建议您从 Microsoft Press 或 O'Reilly 那里购买一本专注于 Windows 服务器管理和组策略的书。

答案4

无法将组策略应用于特定用户或用户组。假设我们想为特定用户创建单独的策略,那么我们必须首先创建一个 OU 并根据需要应用 GP,然后将用户或组移动到 OU。这是管理用户和用户组的最佳实践。

相关内容