❶ 怎么开启Windows Server 2008R2域安全策略的方法步骤
解决方法是,用户需将Windows Server 2008 R2系统升级为域控制器,那么域会自动把本地安全策略的某些功能锁定。现在,Windows Server 2008 R2的域安全策略应如何启动和打开呢?
一、方法步骤如下:
1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。
2、在打开的组策略管理,一次展开“林”-“域”-“sayms.com(域名)”-“组策略对象”-右击“Default Domain Policy”,选择“编辑”。
3、在打开的“组策略管理编辑器”,依次展开“计算机配置”-“策略”,这个策略里面包含的就是Windows Server 2008的域安全策略啦。
注:如用户需修改账户密码的复杂度,应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。
当一台服务器被提升为域控制器后,本地策略不再有效,取而代之的是默认域策略。
二、本地组策略
本地组策略是指应用于本机,且设定后只会在本机起作用的策略,运行的方法为点‘开始’-‘运行’-然后键入‘gpedit.msc’,在弹出本地组策略编辑器中即可进行设置。
三、域组策略
域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始 ? 运行 ? 然后键入gpmc.msc来运行。
密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略,但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域,所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰色不可修改状态。
在本地策略中的,密码策略就应该是灰色的,无法编辑。当点击开始-运行, 然后键入gpedit.msc回车后,本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰色不可修改状态(比如密码策略)。
如果您要修改密码策略,可以使用以下方法:
1、点击‘开始’-‘运行’-然后键入‘gpmc.msc’,回车后打开“组策略管理”控制台。
2、展开到 “域-Domain.com-组策略对象(Domain.com是指您的域名)”。
3、右键点击Default Domain Policy然后选择“编辑”。
4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。
5、您可以在右边的窗口中定义密码相关的策略,此策略会应用于整个域中的所有账户。
❷ 关于域中组策略密码复杂性生效与否问题
域账号密码复杂性统一由域控来验证,所以,一个域内,不同域账号应该不会存在你说的那种情形;如果要定制化客户端本地账户的密码复杂性,是可以用组策略来实现的,不过好像跟你当前的要求不符了,就不多言了;
总之,密码复杂性在组策略中是计算机设置中设定的,跟用户设置无关,也就是说,只跟硬件相关,跟哪个用户无关。。
我有个奇葩的想法,就是 domain controller的策略取消密码复杂性,但是给B用户所用的电脑所在的OU添加密码复杂性的要求,A用户所用的电脑所在OU不设置密码复杂性组策略,不清楚是否会成功——但是这就带来另外个问题,A用户由于密码过于简单,是否可以在B用户电脑上通过域验证登陆?我猜应该不能的。。。我没有测试环境,就不测了。。
总之,安全基线统一设置,变着花的设置是给域管(自己)添麻烦。。。
如果你有很好的方法实现了,还请告知我,学习交流!谢谢!
❸ windows2008域环境中,组策略怎么样快速生效
Windows Server 2008确实强大。基于Server 2008D的AD功能更强劲,管理更加细化,特别是在组策略方面有了不少改进。比如,笔者将要和大家分享的这两例应用,在实践中就能帮你解决很多难题。
1、实现客户端移动设备权限的统一管理
使用过Vista的用户应该知道,通过组策略可以在本地主机实现对移动磁盘(USB存储设备\光驱\移动硬盘)的权限管理。如果要统一实现对所有客户端(Vista或非Vista)的移动设备的权限管理,该怎么办呢?在Windows Server 2008的域环境下,这一切轻松实现。
首先将Server 2008配置成AC(域控制器),并将所有的客户端加入该域,然后只需在Server 2008上进行如下部署即可。依次执行“开始→管理工具→组策略管理”打开组策略管理器;找到需要部署该策略的域(本例为 fr.zhongtian.com),展开后定位到Default Domain Policy(默认策略);右键点击该策略选择“编辑”打开“组策略管理编辑器”,依次展开“计算机配置→管理模板→系统→可移动存储访问”;在右侧找到 “可移动磁盘:拒绝读取权限”和“可移动磁盘:拒绝写入权限”两项,双击启用策略。最后打开命令行工具(cmd),输入命令“gpupdate /force”更新组策略,使刚才的策略生效,这样默认情况下只有域管理员有权限读写移动磁盘。(图1)
图1 更改默认域策略
为了验证效果我让某客户端登录fr域,然后插入移动设备(比如U盘),进行文件的读写操作。如图所示,弹出拒绝窗口该操作被拒绝提示只有管理员才有权限执行操作。点击“跳过”按钮,输入有权限的用户才可实现操作。(图2)
图2 拒绝访问
2、自由定制针对用户或者用户组的密码策略和帐户锁定策略
密码是系统安全一道关键屏障,大家知道在在Windows2000/2003上,密码策略只能指派到域(Site)上,不能单独应用于活动目录中的具体对象。这在实际应用中带来了诸多不便,更多情况下我们需要为不同组的用户部署不同的密码策略和帐户策略。在Win2008中引入了多元密码策略的技术,使得我们的上述需求得到实现。
❹ win2003域服务器密码安全策略是灰色,不能修改
不能用gpedit.msc进入修改,是改不了的,看到的是灰色的,不能更改。
要这样进入才可更改:
依次单击“开始”→“管理工具”→“域安全策略”,打开“默认域安全设置”窗口。在左窗格中依次展开“安全设置/账户策略”目录,并单击选中“密码策略”选项。然后在右窗格列表中双击“密码必须符合复杂性要求”选项,在打开的“密码必须符合复杂性要求
属性”对话框中选中“已禁用”单选框,并单击“确定”按钮.
为了使域策略设置马上生效,可使用gpupdate命令进行刷新.
❺ 如何修改域的密码策略
域的密码策略只能够在“Default Domain Policy”上面进行操作,在其它的域策略上设置将不会生效,这可能是微软的系统设计造成的。以下是具体的操作步骤:
❻ 为什么在域控策略上设置密码策略不生效
因为你这台机器加入域呢
所以对于域内的设置对它都有效
域控制器貌似对本机的
但是加域之后本机的设置如果和域的设置有冲突的话就会继承域内的设置