❶ 怎麼開啟Windows Server 2008R2域安全策略的方法步驟
解決方法是,用戶需將Windows Server 2008 R2系統升級為域控制器,那麼域會自動把本地安全策略的某些功能鎖定。現在,Windows Server 2008 R2的域安全策略應如何啟動和打開呢?
一、方法步驟如下:
1、點擊「開始」-「程序」-「管理工具」-點擊「組策略管理」。
2、在打開的組策略管理,一次展開「林」-「域」-「sayms.com(域名)」-「組策略對象」-右擊「Default Domain Policy」,選擇「編輯」。
3、在打開的「組策略管理編輯器」,依次展開「計算機配置」-「策略」,這個策略裡麵包含的就是Windows Server 2008的域安全策略啦。
註:如用戶需修改賬戶密碼的復雜度,應繼續展開「Windows設置」-「安全設置」-「賬戶策略」-「密碼策略」。
當一台伺服器被提升為域控制器後,本地策略不再有效,取而代之的是默認域策略。
二、本地組策略
本地組策略是指應用於本機,且設定後只會在本機起作用的策略,運行的方法為點『開始』-『運行』-然後鍵入『gpedit.msc』,在彈出本地組策略編輯器中即可進行設置。
三、域組策略
域組策略是指應用於站點,域或者組織單元(OUs)的策略,它的最終作用對象通常是多個用戶或者計算機,可以在DC上點開始 ? 運行 ? 然後鍵入gpmc.msc來運行。
密碼策略是屬於域級別的策略,必須在默認域策略或鏈接到根域的新策略中定義。所以雖然您可以在Default domain controller policy 中定義密碼策略,但是因為Default domain controller policy只應用到了domain controllers OU而不是整個域,所以在Default domain controller policy 中定義密碼策略是無效的。 另外由於域組策略的優先順序高於本地組策略的優先順序,在域密碼策略應用並生效後,所有已經加入域的電腦(包括DC)的本地策略中,密碼相關設置都會變成灰色不可修改狀態。
在本地策略中的,密碼策略就應該是灰色的,無法編輯。當點擊開始-運行, 然後鍵入gpedit.msc回車後,本地策略編輯器就會被打開。而由於域組策略的優先順序高於本地組策略的優先順序,所有在域組策略中已經設定過的策略都將變為灰色不可修改狀態(比如密碼策略)。
如果您要修改密碼策略,可以使用以下方法:
1、點擊『開始』-『運行』-然後鍵入『gpmc.msc』,回車後打開「組策略管理」控制台。
2、展開到 「域-Domain.com-組策略對象(Domain.com是指您的域名)」。
3、右鍵點擊Default Domain Policy然後選擇「編輯」。
4、展開到「計算機配置-策略-Windows 設置- 安全設置-賬戶策略- 密碼策略」。
5、您可以在右邊的窗口中定義密碼相關的策略,此策略會應用於整個域中的所有賬戶。
❷ 關於域中組策略密碼復雜性生效與否問題
域賬號密碼復雜性統一由域控來驗證,所以,一個域內,不同域賬號應該不會存在你說的那種情形;如果要定製化客戶端本地賬戶的密碼復雜性,是可以用組策略來實現的,不過好像跟你當前的要求不符了,就不多言了;
總之,密碼復雜性在組策略中是計算機設置中設定的,跟用戶設置無關,也就是說,只跟硬體相關,跟哪個用戶無關。。
我有個奇葩的想法,就是 domain controller的策略取消密碼復雜性,但是給B用戶所用的電腦所在的OU添加密碼復雜性的要求,A用戶所用的電腦所在OU不設置密碼復雜性組策略,不清楚是否會成功——但是這就帶來另外個問題,A用戶由於密碼過於簡單,是否可以在B用戶電腦上通過域驗證登陸?我猜應該不能的。。。我沒有測試環境,就不測了。。
總之,安全基線統一設置,變著花的設置是給域管(自己)添麻煩。。。
如果你有很好的方法實現了,還請告知我,學習交流!謝謝!
❸ windows2008域環境中,組策略怎麼樣快速生效
Windows Server 2008確實強大。基於Server 2008D的AD功能更強勁,管理更加細化,特別是在組策略方面有了不少改進。比如,筆者將要和大家分享的這兩例應用,在實踐中就能幫你解決很多難題。
1、實現客戶端移動設備許可權的統一管理
使用過Vista的用戶應該知道,通過組策略可以在本地主機實現對移動磁碟(USB存儲設備\光碟機\移動硬碟)的許可權管理。如果要統一實現對所有客戶端(Vista或非Vista)的移動設備的許可權管理,該怎麼辦呢?在Windows Server 2008的域環境下,這一切輕松實現。
首先將Server 2008配置成AC(域控制器),並將所有的客戶端加入該域,然後只需在Server 2008上進行如下部署即可。依次執行「開始→管理工具→組策略管理」打開組策略管理器;找到需要部署該策略的域(本例為 fr.zhongtian.com),展開後定位到Default Domain Policy(默認策略);右鍵點擊該策略選擇「編輯」打開「組策略管理編輯器」,依次展開「計算機配置→管理模板→系統→可移動存儲訪問」;在右側找到 「可移動磁碟:拒絕讀取許可權」和「可移動磁碟:拒絕寫入許可權」兩項,雙擊啟用策略。最後打開命令行工具(cmd),輸入命令「gpupdate /force」更新組策略,使剛才的策略生效,這樣默認情況下只有域管理員有許可權讀寫移動磁碟。(圖1)
圖1 更改默認域策略
為了驗證效果我讓某客戶端登錄fr域,然後插入移動設備(比如U盤),進行文件的讀寫操作。如圖所示,彈出拒絕窗口該操作被拒絕提示只有管理員才有許可權執行操作。點擊「跳過」按鈕,輸入有許可權的用戶才可實現操作。(圖2)
圖2 拒絕訪問
2、自由定製針對用戶或者用戶組的密碼策略和帳戶鎖定策略
密碼是系統安全一道關鍵屏障,大家知道在在Windows2000/2003上,密碼策略只能指派到域(Site)上,不能單獨應用於活動目錄中的具體對象。這在實際應用中帶來了諸多不便,更多情況下我們需要為不同組的用戶部署不同的密碼策略和帳戶策略。在Win2008中引入了多元密碼策略的技術,使得我們的上述需求得到實現。
❹ win2003域伺服器密碼安全策略是灰色,不能修改
不能用gpedit.msc進入修改,是改不了的,看到的是灰色的,不能更改。
要這樣進入才可更改:
依次單擊「開始」→「管理工具」→「域安全策略」,打開「默認域安全設置」窗口。在左窗格中依次展開「安全設置/賬戶策略」目錄,並單擊選中「密碼策略」選項。然後在右窗格列表中雙擊「密碼必須符合復雜性要求」選項,在打開的「密碼必須符合復雜性要求
屬性」對話框中選中「已禁用」單選框,並單擊「確定」按鈕.
為了使域策略設置馬上生效,可使用gpupdate命令進行刷新.
❺ 如何修改域的密碼策略
域的密碼策略只能夠在「Default Domain Policy」上面進行操作,在其它的域策略上設置將不會生效,這可能是微軟的系統設計造成的。以下是具體的操作步驟:
❻ 為什麼在域控策略上設置密碼策略不生效
因為你這台機器加入域呢
所以對於域內的設置對它都有效
域控制器貌似對本機的
但是加域之後本機的設置如果和域的設置有沖突的話就會繼承域內的設置