|
在《取消关机理由(关闭事件跟踪程序)》、《删除关机,重新启动,睡眠和休眠命令》、《删除 IE 的”安全“ 与 ”连接“ 标签》 和 《隐藏控制面板中的防火墙》 这里介绍了本地组策略的几个应用实例。同样,在域中也能应用组策略。在域中,组策略可以针对站点,域或组织单位来进行设置,下面以常用的域与组织单位 进行说明。
现在,我们有一个 groad.net 域,如果针对该域来设置组策略,那么策略设置会被应用到域内的所有计算机 与用户,并包含组织单位”研发中心“内的计算机与用户(见下图),”研发中心“会继承域 groad.net 的策略设置:
如上图,也可以针对组织单位”研发中心“来设置组策略,此策略会应用到该组织单位内的所有计算机和用户。由于”研发中心“会继承从域 groad.net 来的策略,因此”研发中心“ 最后的有效设置是域策略加上”研发中心“的策略。
如果”研发中心“的策略设置与域 groad.net 的策略发生冲突,那么默认以”研发中心“的策略设置优先。
组策略是通过 GPO (Group Policy Object,组策略对象) 来设置的,只要将 GPO 链接 (Link) 到域 groad.net 或组织单位”研发中心“后,此 CPO 内的设置值就会被应用到域 groad.net 或组织单位”研发中心“内的所有用户与计算机。系统默认内置了两个 GPO,如上图中所示的 Default Domain Policy 与 Default Domain Controllers Policy (展开 Domain Controllers 后看到)。
此 GPO 已经被连接到域 groad.net ,因此这个 GPO 内的设置值会被应用到域 groad.net 内的所有用户与计算机。
Default Domain Controllers Policy
此 GPO 已经被链接到组织单位 Domain Controllers (注意看,可以看到 Domain Controllers 的图标和 ”研发中心“ 是一样的,因此它是个组织单位),因此这个 GPO 内的设置值会被应用到 Domain Controllers 内的所有用户与计算机。Domain Controllers 内默认只有扮演域控制器角色的计算机。
下面将试验禁止研发中心里的用户运行 IE 浏览器:
为了达到这个目的,我们需要创建一个连接到组织单位”研发中心“的 GPO,并通过此 GPO 内的”用户配置“来禁止用户运行 IE 。
1. ”开始“ --> "管理工具” --> “组策略管理” :
2. 展开到组织单位“研发中心”,右击,在弹出的菜单中选择“在这个域中创建 GPO 并在此处链接” :
注意,上面还有内置的 GPO:Default Domain Policy 与位于组织单位 Domain Controllers 下的 Default Domain Controllers Policy 。不要随意更改这两个 GPO 的内容,以免影响到系统的正常运行。
另外,也可以选择上图中弹出菜单中的“阻止继承”,表示不要继承域 groad.net 的策略。也可以对着域 GPO (如 Default Domain Policy) 右击后选择“强制”,表示组织单位必须继承此 GPO 的策略,此时无论组织单位是否选择“阻止继承” 都无效。
3. 接下来,会看到弹出一个对话框,在其中为此 GPO 命名:
4. 对着新建的 GPO 右击,在弹出菜单中选择“编辑”:
5. 这时会看到弹出“组策略管理编辑器”,展开 “用户配置” --> "策略” --> "管理模板“ --> ”系统" ,然后双击右边的“不要运行指定的 Windows 应用程序” ,接着点击“已启用”,再接着点击“显示”,然后在输入框中添加”iexplore.exe" ,最后确定返回:
现在我们在客户机上利用“研发中心”里已有的帐户 easy 来测试一下是否可以运行 IE 浏览器:
结果弹出“限制”提示框。 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|