解决组策略故障17妙招Word格式文档下载.docx
- 文档编号:22360719
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:27
- 大小:911.24KB
解决组策略故障17妙招Word格式文档下载.docx
《解决组策略故障17妙招Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《解决组策略故障17妙招Word格式文档下载.docx(27页珍藏版)》请在冰豆网上搜索。
在WindowsServer2003服务器上打开“组策略”窗口,在左窗格中依次展开“计算机配置/Windows设置/安全设置/本地策略”目录,并单击选中“用户权利指派”选项。
然后在右窗格列表中找到并双击“从网络访问此计算机”选项,如图2008120520所示。
图2008120520“用户权利指派”列表
在打开的“本地安全策略设置”对话框中添加所有不能访问该服务器的用户和组即可,如图2008120521所示。
图2008120521添加用户和组
第3招:
普通域用户无法在域控制器上登录
某单位局域网基于域管理模式,现在想以普通合法域用户的身份登录域控制器,但系统提示不能登录。
请问这是什么原因,应该如何解决?
域控制器在网络中具有重要作用,因此基于安全考虑,默认能在域控制器上登录的只有Administrators、Accountoperators、Backupoperators、Serveroperators和Printoperators这些特定的管理组中的用户。
一般情况下普通域用户没有权力在DC上登录。
如果出于特殊需求必须使用普通域用户账户登录DC,可以通过设置域控制器安全策略来实现。
设置方法为:
在WindowsServer2003域控制器中依次单击“开始”→“管理工具”→“域控制器安全策略”,打开“默认域控制器安全设置”窗口。
在左窗格中依次展开“安全设置/本地策略”目录,并单击选中“用户权限分配”选项。
然后在右窗格列表中找到并双击“允许在本地登录”选项,如图2008120522所示。
图2008120522双击“允许在本地登录”选项
在打开的“允许在本地登录属性”对话框中单击“添加用户和组”按钮,并单击“浏览”按钮找到目标用户,连续单击“确定”按钮完成添加,如图2008120523所示。
图2008120523添加允许在本地登录的用户或组
第4招:
不符合密码策略无法在WindowsServer2003域添加用户
某公司局域网域控制器运行WindowsServer2003系统,在“ActiveDirectory用户和计算机”窗口中添加用户时,总是提示所设置的密码不符合密码策略。
请问密码策略有哪些要求呢,能不能禁用密码策略?
WindowsServer2003系统在安全性方面大大增强,默认域的安全策略要求域用户的密码必须符合复杂性要求,这些要求包括:
在大写字母、小写字母、数字和符号4种中必须有3种;
密码最小长度为6位;
密码中不得包括全部或部分用户名。
在设置域用户密码的时候必须满足上述要求方能成功创建域用户。
可以通过以下方法禁用密码复杂性要求:
依次单击“开始”→“管理工具”→“域安全策略”,打开“默认域安全设置”窗口。
在左窗格中依次展开“安全设置/账户策略”目录,并单击选中“密码策略”选项。
然后在右窗格列表中双击“密码必须符合复杂性要求”选项,在打开的“密码必须符合复杂性要求属性”对话框中选中“已禁用”单选框,并单击“确定”按钮,如图2008120524所示。
图2008120524设置密码策略
用户还可以将密码长度最小值由“7个字符”改为“0个字符”,另外为了使域策略设置马上生效,可使用gpupdate命令进行刷新,如图2008120525所示。
图2008120525刷新组策略
第5招:
在WindowsXP系统中限制用户修改计算机网络配置
某公司局域网中的计算机全部运行WindowsXP系统,由于使用计算机的员工对计算机了解不是很深入,常常出现因错误修改网络配置而不能上网的情况。
请问能不能限制用户修改本机的网络配置呢?
因为计算机全部运行WindowsXP系统,因此可以通过设置本地策略来限制用户修改计算机网络配置。
具体操作方法为:
依次单击“开始”→“运行”,在“运行”编辑框中键入命令gpedit.msc并回车,打开“组策略”窗口。
在左窗格中依次展开“用户配置”→“管理模版”→“网络”目录,并选中“网络连接”选项。
然后在右窗格列表中找到并双击“禁止访问LAN连接的属性”选项,如图2008120526所示。
图2008120526编辑“网络连接”策略
在打开的“禁止访问LAN连接的属性属性”对话框中选中“已启用”单选框,并单击“确定”按钮使设置生效,如图2008120527所示。
图2008120527禁止访问LAN连接的属性
重复上述步骤将“为管理员启用Windows2000网络连接设置”设置为“已启用”。
当用户试图修改网络连接属性是,会发现快捷菜单中的“属性”命令不可用,如图2008120528所示。
图2008120528“属性”命令不可用
小提示:
如果利用本地策略实现则本地管理员可以重新解除限制,如果利用域策略实现则只是域用户受此限制,而本地管理员不受此限制。
另外应当让客户端计算机用户以非本地管理员身份登录系统。
第6招:
所有域用户不能登录Windows2000域控制器
某公司办公局域网基于Windows2000Server系统,由于管理员的误操作将域控制器中的所有用户(包括管理员)的本地登录权限禁止了。
现在所有的用户(包括管理员)都无法本地登录域控制器,出错提示为“此系统的本地策略不允许你采用交互式登录”。
请问这个问题应该如何解决?
根据故障描述可以判断出在“域安全策略”和“域控制器安全策略”中同时禁止了本地登录权限。
因为如果只是“域安全策略”禁止,由于域控制器是个OU(组织单元),而根据组策略的LSDOU原则,Administrators组的成员是可以登录域控制器的进而重新编辑策略;
如果只是“域控制器安全策略”禁止,则该策略只对域控制器生效,管理员可以从域内的其它计算机登录到域来编辑策略。
要解决被“域安全策略”和“域控制器安全策略”同时禁止的问题,首先必须明确策略设置值存储在GPT(位于域控制器的winnt/sysvol/sysvol文件夹中,以GUID为文件夹名)中。
其中安全设置部分保存在域控制器的“winnt/sysvol/sysvol/域名/Pllicies/策略的GUID/MACHINE/Microsoft/WindowsNT/SecEdit/GptTmpl.inf”这个安全模版文件中,该文件实质是一个文本文件,可利用记事本进行编辑。
默认域的策略和默认域控制器的策略使用固定的GUID,其中默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9,默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。
明确了上述文件的作用和位置后,可以利用C盘的隐含共享C$或winnt/sysvol/sysvol/的共享sysvol连接域控制器编辑该文件,具体操作步骤如下:
第1步,在任意一台域成员计算机上以域管理员的身份登录到域,并通过共享连接到域控制器。
找到安全模板文件GptTmpl.inf。
第2步,利用记事本打开GptTmpl.inf文件,找到文件中[PrivilegeRights]小节下的拒绝本地登录SeDenyInteractiveLogonRight和允许在本地登录SeInteractiveLogonRight关键字进行编辑。
例如,使SeDenyInteractiveLogonRight所等于的值为空,保证SeInteractiveLogonRight=*S-l-5-32-544,……,最后保存文件。
如果域中不止一台域控制器,则为了保证域控制器同步时使所做的修改最终生效,需要打开“winnt/sysvol/sysvol/域名/Policies/刚修改策略的GUID/GPT.INI”文件,找到文件中[General]小节下的Version,手动将其值增大(通常是增加10000)。
该值是所修改的这个组策略对象的版本号,版本号提高后可以保证更改被复制到其它DC上。
保存文件后重新启动域控制器,则域策略将被刷新。
第7招:
在WindowsServer2003域中编辑组策略进行软件部署
某公司局域网拥有100多台计算机,服务器运行WindowsServer2003系统并升级为域控制器。
在以前的网络管理过程中,每次为客户计算机添加软件时都需要逐机进行。
而微软的AD域管理模式功能强大,请问能不能借助AD域的强大管理功能实现软件的自动部署呢,具体应该如何操作?
在AD域中可以通过编辑软件安装策略,并借助WindowsInstaller实现软件的自动部署。
譬如准备为每台域成员计算机均安装Office2003Professional(假设所有的计算机均使用Windows2000或WindowsXP系统),通过编辑安装策略完成这一工作的具体方法如下所述:
1.指派MSI程序包
首先要做的工作就是把Office2003Professional的MSI安装包指派到每一台域成员计算机中。
第1步,将Office2003Professional安装光盘中Office11文件夹内的所有内容放入域中的一个共享文件夹中,并保证所有域成员计算机均能连接到该文件夹。
第2步,打开“ActiveDirectory用户和计算机”控制台窗口。
用鼠标右键单击域名,执行“属性”命令。
在打开的O属性对话框中单击“组策略”标签,然后在“组策略”选项卡中单击“新建”按钮新建一条组策略Office11Install,如图2008120529所示。
图2008120529新建组策略
第3步,保持Office11Install策略的选中状态,单击“编辑”按钮打开“组策略编辑器”控制台窗口。
在左窗格中依次展开“计算机设置/软件设置”目录,然后右击“软件安装”选项,在弹出的快捷菜单中执行“新建/程序包”命令,如图2008120530所示。
图2008120530创建一个新软件安装包
在“计算机配置”和“用户配置”里都有“软件安装”选项,均用于在域内部署软件。
如果软件要部署到域中的计算机中,就在“计算机配置”里定义;
如果软件要部署给域中的用户,则应该在“用户配置”里定义。
第4步,在“打开”对话框中通过“网上邻居”找到事先存储在域共享文件夹中的MSI安装文件PRO11.MSI,并单击“打开”按钮。
这时会打开“部署软件”对话框,默认选中“已指派”单选框。
无须进行设置,直接单击“确定”按钮,如图2008120531所示。
图2008120531在发行程序包前进行部署
第5步,返回“组策略编辑器”窗口,可以在右窗格中看到已经指派的软件名称,如图2008120532所示。
图2008120532要指派的新程序包
MSI(MicrosoftSoftwareInstaller,微软软件安装器)文件是WindowsInstaller能够部署的仅有的两种文件类型之一。
WindowsInstaller提供“发布”和“指派”两种软件部署方式。
“发布”方式不自动为域内客户安装软件,而是把安装选项放到客户机的“添加或删除程序”中,供用户在需要的时候自主选择安装;
“指派”方式则直接把软件安装到域用户的开始菜单程序组中。
“发布”方式一般用于给用户提供各种软件工具,由用户按需选择安装或不安装;
“指派”方式可用于软件的强制安装使用,用户无权自行卸载软件。
由于本例是为域成员计算机部署软件,因此只有“指派”方式有效。
2.域成员计算机安装软件
在DC上指派完成后,以合法域用户身份从任意一台计算机(本例假设从一台Windows2000计算机)登录到域中。
依次单击“开始”→“程序”,这时会发现程序组中已经出现了MicrosoftOffice菜单项,其下一级菜单中列出了所有的Office2003组件。
单击其中一个组件(如MicrosoftOfficeWord2003),则自动进入安装过程。
安装完毕后就可以正常使用了,如图2008120533所示。
图2008120533客户端自动安装软件
第8招:
在WindowsServer2003域中恢复组策略到原始设置
某单位局域网服务器运行WindowsServer2003系统,并升级为域控制器。
编辑组策略后发现IIS出现问题,当用户访问部署在该服务器上的ASP论坛时提示“发生500内部服务器错误”。
请问能不能将组策略恢复至原始状态,具体应该如何操作?
对于Windows2000系统而言,用户可以从微软的官方网站下载并运行默认策略还原工具RecreateDefpol.EXE来实现上述目的。
而对于WindowsServer2003系统而言,则可以直接使用系统自带的支持工具Dcgpofix来还原组策略。
该工具可以将默认域策略和默认域控制器策略还原到系统安装时的原始状态,对这些组策略对象的任何更改都将丢失。
在“命令提示符”窗口中键入“Dcgpofix/参数”命令即可对指定的组策略对象进行还原,下面是有关Dcgpofix的几中典型用法,用户可以参照执行:
1.还原域策略dcgpofix/target:
Domain;
2.还原默认域控制器策略dcgpofix/target:
DC;
3.还原域和默认域控制器策略dcgpofix/target:
both,如图2008120534所示。
图2008120534还原组策略对象
第9招:
在WindowsServer2003域控制器限制用户运行特定程序
某单位局域网基于Windows域管理模式,域控制器运行WindowsServer2003系统,且所有客户计算机全部运行WindowsXP系统。
由于工作需要,准备让所有登录到域控制器的用户只能运行指定的程序。
请问这个目标能不能实现,具体应该如何操作?
这个目标完全可以实现。
打开“组策略编辑器”窗口,在左窗格中依次展开“用户配置/管理模板”目录,并单击选中“系统”选项。
然后在右窗格中双击“只运行许可的Windows应用程序”选项,打开“只运行许可的Windows应用程序属性”对话框。
选中“已启用”单选框,并单击“显示”按钮,如图2008120535所示。
图2008120535“只运行许可的Windows应用程序属性”对话框
在打开的“显示内容”对话框中单击“添加”按钮,打开“添加项目”对话框。
然后在“输入要添加的项目”编辑框中输入具体程序的可执行文件名称(如QQ.exe),并连续单击“确定”按钮使设置生效,如图2008120536所示。
图2008120536添加程序文件名称
第10招:
在WindowsServer2003取消显示“关闭事件跟踪程序”
一台运行WindowsServer2003的局域网服务器,默认情况下在非常关机后再次开机时总是出现一个关机事件询问对话框。
请问怎么操作才能屏蔽该对话框?
在默认情况下,WindowsServer2003会显示“关闭事件跟踪程序”,以便在系统非正常关机后再次开机时询问用户非正常关机的原因。
要屏蔽这个询问对话框,只需禁用“关闭事件跟踪程序”即可。
打开“组策略编辑器”窗口,在左窗格中依次展开“计算机配置/管理模板”目录。
然后单击选中“系统”选项,在右窗格中双击“显示关闭事件追踪程序”选项。
在打开的对话框中选中“已禁用”单选框,并单击“确定”按钮使设置生效,如图2008120537所示。
图2008120537禁用显示“关闭事件跟踪程序”
第11招:
使用gpupdate/force命令刷新组策略
微软帮助文档中说明如果对靠近对象的OU上的GPO进行编辑,会覆盖远离对象的父容器的GPO设定。
但是当在默认域的组策略中禁用密码复杂性后,修改用户密码的时候好像依然受到密码复杂性策略的约束。
策略确实是分级生效的,不过有些策略只有在某一级上才能生效,本例中所涉及的密码策略只有在域一级的策略上才能生效。
至于编辑密码策略后仍然受到原策略约束的问题,很可能是因为在编辑组策略后未执行刷新策略的操作。
用户可以通过执行命令gpupdate/force手动刷新策略使之即刻生效,如图2008120538所示。
图2008120538手动刷新策略
第12招:
编辑组策略禁用WindowsServer2003自动更新功能
请问如何才能禁止WindowsServer2003系统的自动更新功能呢?
禁用系统自动更新功能的操作可以通过编辑组策略来实现。
打开“组策略编辑器”窗口,在左窗格中依次展开“计算机配置/管理模版/Windows组件”目录,并单击选中WindowsUpdate选项。
然后在右窗格中双击“配置自动更新”选项,在打开的“配置自动更新属性”对话框中选中“已禁用”单选框,并单击“确定”按钮时设置生效,如图2008120539所示。
图2008120539禁用“配置自动更新”功能
第13招:
在ActiveDirectory中将组策略套用到OU组织单元
某公司局域网基于Windows域管理模式,在“域安全策略/计算机配置/管理模板/系统”中的“磁盘配额”选项中编辑了磁盘配额策略。
编辑完成后发现该策略对域成员计算机没有作用。
请问应该如何解决该问题?
组策略能够应用到SDOU中,即Site(站点),Domain(域)和OU(组织单元)。
根据本例中的问题描述,建议新建一个组织单元,然后将该策略套用到该OU中,如图2008120540所示。
图2008120540将策略套用到指定的OU
第14招:
WindowsXP系统所有应用程序均不能运行
某公司局域网中的客户计算机均运行WindowsXP系统。
在其中一台客户计算机中以Administrator身份登录系统,然后在“组策略编辑器”窗口中展开“用户配置/管理模板/系统”,将“只运行许可的Windows应用程序”策略设置为“已启用”,并在显示内容中为空。
确认操作后发现所有的应用程序都不能被执行了。
请问有什么办法可以解决该问题
启用“只运行许可的Windows应用程序”且程序列表为空,表示该计算机不允许任何程序运行。
建议在这台计算机上以Administrator的身份登录到域中,然后通过AD策略传播来解除策略限制。
第15招:
编辑组策略用WSUS服务器自动更新局域网WindowsXP系统
某公司搭建了SUS服务器,但是在一台新添加的客户端计算机(WindowsXP系统)中进行手动升级时,总是连接到Microsoft的WindowsUpdate服务器。
请问为什么不能从本地的SUS服务器上下载更新呢,应该如何解决?
尽管局域网中搭建了SUS服务器,但客户端计算机的默认配置却并不认识该服务器,只有通过编辑组策略才能将下载更新的链接指向局域网SUS服务器。
根据Microsoft的官方网站提供的资料,在Windows2000withSP3、WindowsXPwithSP1、WindowsServer2003及最新的WindowsXPwithSP2中已经内置了SUS客户端,因此不再需要安装。
只有Windows2000withSP2以下版本(包括Windows2000withSP2)及未升级至SP1的WindowsXP才需要安装客户端。
因此只需找出没有内置SUS客户端的计算机,并执行下载的Wuau22chs.msi客户端程序进行安装即可。
在WindowsXP中编辑相关策略的步骤中如下:
第1步,依次单击“开始”→“运行”菜单项,在“打开”编辑框中键入gpedit.msc命令并回车,打开“组策略”窗口。
在左窗格中展开“计算机配置”选项,右键单击“管理模板”选项,执行“添加/删除模板”命令,如图2008120541所示。
图2008120541组策略编辑器
第2步,在打开的“添加/删除模板”对话框中单击“添加”按钮,打开“策略模板”对话框。
在模板列表中选中wuau.adm模板并单击“打开”按钮,如图2008120542所示。
图2008120542选择wuau.adm模块
wuau.adm是组策略中设置WindowsUpdate的模板文件。
如果组策略内无该文件,客户端将无法进行下载和安装更新文件。
因此需要将下载得到的模板文件拷贝至\Windows\inf文件夹下。
第3步,在“添加/删除模板”对话框中可以看到添加的策略模板,单击“关闭”按钮关闭该对话框,如图2008120543所示。
图2008120543查看新添加的策略模板
第4步,回到“组策略”对话框,依次展开“计算机配置/管理模板/Windows组件”目录,并单击选中WindowsUpdate选项,如图2008120544所示。
图2008120544选中WindowsUpdates选项
第5步,在右侧窗格中双击“配置自动更新”选项,在“配置自动更新属性”对话框中选中“已启用”单选框。
可以根据需要来设置更新方式,如选择“20081203自动下载并计划安装”方式,注意还需要分别设置“计划安装日期”和“计划安装时间”,如图2008120545所示。
图2008120545设置更新计划
第6步,单击“下一设置”按钮,在“指定企业内部互联网MicrosoftUpdate服务位置属性”对话框中选中“已启用”单选框。
在“为检测更新设置企业内部互联网更新服
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 解决 策略 故障 17 妙招