好的,我要升級了,我是軟體工程師,正在嘗試做系統管理員的工作。
我問關於覆蓋密碼策略的問題並得到了一個聽起來正確的答案,但我不明白該怎麼做。
基本上它告訴我在相關計算機上應用 ou 級別的策略更改。我從來沒有必要應用任何類型的政策。
有沒有人願意幫助新手逐步了解如何做到這一點。 (參見其他問題我這樣做是有原因的。
答案1
若要在 OU 層級套用群組原則,您只需進入 AD 使用者和計算機,以滑鼠右鍵按一下要套用原則的 OU,然後前往屬性。在這裡選擇群組原則選項卡,這是設定策略的地方。
按一下「新建」以建立新策略,為其命名,然後按一下「編輯」。這將打開編輯窗口,您可以在其中深入查看安全性設定(電腦配置 -> Windows 設定)或您想要的任何其他內容,並將策略變更為您需要的內容。
要保存,只需關閉視窗即可。完成後,您可能需要從命令執行 gpupdate 以確保更新策略。
答案2
我就是那個給你答案的人:密碼政策......>微笑<
Sam的回答基本上是正確的。為了使其更適合您的情況,您需要將具有密碼原則設定的 GPO 連結到需要不同密碼原則的伺服器電腦所在的 OU。請注意,如果該 OU 中還有其他計算機,它們也會套用該策略。這可能不完全是您想要的。
考慮以下:
[domain] domain.com
|
|- [OU] Member Server Computers
| |
| |- [Computer] SERVER01
| |
| |- [Computer] SERVER02
假設您只希望 SERVER02 具有更改的密碼策略設置,則最好的做法是創建“成員伺服器計算機”OU 的子 OU 並將 SERVER2 放入其中,如下所示:
[domain] domain.com
|
|- [OU] Member Server Computers
| |
| |- [Computer] SERVER01
| |
| |- [OU] Relaxed Local Password Policy Computers
... | |
... |- [Computer] SERVER02
這樣,所有已套用至「成員伺服器電腦」的 GPO 仍將套用至 SERVER2(因為它在目錄中的位置仍低於「成員伺服器電腦」),但您建立並連結至「寬鬆本機」的 GPO密碼原則計算機」僅適用於SERVER02。
使用子 OU 執行此操作也很好,假設在與「SERVER02」相同的 OU 中還有其他計算機,因為它會在您執行無意的操作時限制策略的應用。透過群組策略,您可以非常快速有效地損壞大量電腦... >smile< 這是放大人為錯誤的絕佳工具。
(那裡是使 GPO 僅適用於 SERVER02 而不建立子 OU 的其他方法。這裡不是討論它們的地方,但是當您準備好時,使用您最喜歡的搜尋引擎搜尋短語“群組策略過濾權限”,您就可以了解它。
我發現群組原則的作業系統文件確實令人費解且糟糕——所有談論的都是“優先級”等。堆GPO,但Microsoft 技術作者似乎想讓它看起來“神奇”,因此,他們似乎使文件變得過於複雜。我應該找個時間坐下來,用麥克風和螢幕擷取實用程式製作一個「群組原則應用程式教學」影片或其他東西。 (是的...在我充足的空閒時間...)
答案3
好吧,我會指出你這,但您可能想先嘗試在非生產環境中使用群組原則,因為有些事情可能會變得有點…混亂。不過,一旦您習慣了它們,它們就會成為管理工作站和伺服器的非常有效的方式。我建議從 Microsoft Press 或 O'Reilly 購買一本專注於 Windows 伺服器管理和群組原則的書。
答案4
無法將群組原則套用至特定使用者或使用者群組。假設我們要為特定使用者建立單獨的策略,那麼我們必須先建立一個 OU 並根據需要應用 GP,然後將使用者或群組移至 OU 上。這是管理使用者和使用者群組的最佳實踐。