好的,所以我要升级,我是一名软件工程师,试图做系统管理员的工作。
我问了一个关于覆盖密码策略的问题,得到的答案听起来不错,但我不明白该怎么做。
基本上它告诉我在有问题的计算机上应用 ou 级别的策略更改。我从来不需要应用任何类型的政策。
有没有人愿意逐步帮助新手如何做到这一点。(请参阅另一个问题,了解我这样做的原因。)
AskOverflow.Dev
好的,所以我要升级,我是一名软件工程师,试图做系统管理员的工作。
我问了一个关于覆盖密码策略的问题,得到的答案听起来不错,但我不明白该怎么做。
基本上它告诉我在有问题的计算机上应用 ou 级别的策略更改。我从来不需要应用任何类型的政策。
有没有人愿意逐步帮助新手如何做到这一点。(请参阅另一个问题,了解我这样做的原因。)
要在 OU 级别应用组策略,您只需进入 AD 用户和计算机,右键单击要应用策略的 OU,然后转到属性。在这里选择组策略选项卡,这是设置策略的地方。
单击新建以创建新策略,为其命名,然后单击编辑。这将打开编辑窗口,您可以在其中深入了解安全设置(计算机配置 -> 窗口设置)或您想要的任何其他内容,并将策略更改为您需要的内容。
要保存只需关闭窗口。完成后,您可能需要从命令运行 gpupdate 以确保更新策略。
我是那个给你答案的人:密码策略...>微笑<
山姆的回答基本上是正确的。为了使其更具体地针对您的情况,您需要将 GPO 与您的密码策略设置链接到需要不同密码策略的服务器计算机所在的 OU。请注意,如果该 OU 中有其他计算机,它们也会应用该策略。这可能不是你想要的。
考虑以下:
假设您只希望 SERVER02 具有更改的密码策略设置,您最好的做法是创建“成员服务器计算机”OU 的子 OU,并将 SERVER2 放入其中,如下所示:
这样,所有已应用于“成员服务器计算机”的 GPO 仍将应用于 SERVER2(因为它在目录中的位置仍位于“成员服务器计算机”下方),但您创建并链接到“Relaxed Local”的 GPO密码策略计算机”仅适用于 SERVER02。
对子 OU 执行此操作也很好,假设在与“SERVER02”相同的 OU 中还有其他计算机,因为它会限制策略的应用,以防您做一些您不打算做的事情。使用组策略可以非常快速有效地损坏大量计算机... >smile< 这是放大人为错误的绝佳工具。
(还有其他方法可以使 GPO 仅适用于 SERVER02 而无需创建子 OU。这里不是讨论它们的地方,但是当您准备好时,搜索短语“组策略过滤权限”您最喜欢的搜索引擎,您可以了解它。)
我发现组策略的操作系统文档真的很复杂而且很糟糕——所有关于“优先级”的讨论都是什么。这是一个非常简单的算法,组策略使用它来确定基于应用的“有效”设置一堆 GPO 给用户或计算机,但微软技术作家似乎想让它看起来“神奇”,因此,他们似乎使文档过于复杂。我应该坐下来带麦克风和屏幕捕获实用程序,做一个“组策略应用程序教程”视频或其他东西。(是的......在我丰富的空闲时间......)
好吧,我将向您指出This,但您可能想先尝试在非生产环境中使用组策略,因为有些事情可能会有点……混乱。但是,一旦您习惯了它们,它们就会成为管理工作站和服务器的一种非常有效的方式。我建议从 Microsoft Press 或 O'Reilly 中挑选一本侧重于 Windows 服务器管理和组策略的书。
无法将组策略应用于特定用户或用户组。假设我们要为特定用户创建一个单独的策略,那么我们必须首先创建一个 OU 并应用您想要的 GP,然后将用户或组移动到 OU 上。这是管理用户和用户组的最佳实践。