使用组策略控制本地登录和访问网络资源

示例:控制本地登录和访问网络资源

公司服务器FileServer是ess.com域的成员,为这些服务器单独创建了组织单元“服务器组”。从安全考虑不允许普通域用户登录到这些服务器,即不允许交互式登录。

服务器组的共享资源不允许“G_水环所学员”从网络访问共享资源。允许“G_卫生监督局学员”从网络访问共享文件夹。

任务:

u 修改链接在“服务器组”组织单元上的组策略

u 验证不允许登录

u 验证不允许访问服务器网络资源

步骤:

1. 如图3-143所示,在DCServer上打开组策略管理工具,右击“服务器组”组织单元链接的组策略“服务器安全策略”,点击“编辑”。

2. 如图3-144所示,在出现的组策略管理编辑器对话框,点中“计算机配置”à“策略”à“Windows设置”à“安全设置”à“本地策略”下的“用户权限分配”,在详细窗口,可以看到“允许在本地登录”设置。

clip_image001clip_image002

图 3-143 编辑组策略 图 3-144 编辑用户权限分配

3. 如图3-145所示,双击“允许在本地登录”设置,在出现的允许在本地登录属性对话框,选中“定义这些策略设置”,点击“添加用户或组”。

4. 如图3-145所示,在出现的添加用户或组对话框,输入ess\Domain Admins点击“确定”。

5. 如图3-146所示,再次点击“添加用户或组”,在出现的添加用户或组对话框,输入administrators组,点击“确定”。

注意:administrators前没有写ess,则表明该组是特指域中计算机本地管理员组,不是域管理员组。

提示:必须添加Administrators组。

clip_image003clip_image004

图 3-145 添加组 图 3-146 添加组

6. 如图3-147所示,添加完两个组administrators和ess\domain Admins组,点击“确定”。

7. 如图3-148所示,双击详细窗口中“从网络访问此计算机”,在出现的从网络访问此计算机属性对话框,选中“定义这些策略设置”,点击“添加用户或组”。

8. 如图3-148所示,在出现的添加用户或组对话框,输入ess\G_卫生监督局学员,点击“确定”。

clip_image005clip_image006

图 3-147 添加的两个组 图 3-148 添加组

9. 如图3-149所示,添加完成后,点击“确定”。

10. 如图3-150所示,再出现的确认设置更改对话框,点击“是”。组策略编辑完成后,关闭组策略管理编辑器。

提示:必须关闭,相当于将刚才的配置存盘,如果出于编辑状态,则域中的计算机刷新组策略应用不到新设置。

clip_image007clip_image008

图 3-149 添加组 图 3-150 提示

11. 如图3-151所示,在FileServer上,输入gpupdate /force刷新组策略。

12. 如图3-152所示,切换用户,以刘国瑞登录。该用户是域中的普通用户。

clip_image009clip_image010

图 3-151 刷新组策略 图 3-152 登录

13. 如图3-153所示,出现提示:您无法登录,因为您使用的登录方法在此计算机上不被允许。

14. 如图3-154所示,点击“确定”,点击“切换用户”,点击“其他用户”。

clip_image011clip_image012

图 3-153 不允许交互式登录 图 3-154 切换用户

15. 如图3-155所示,输入域管理员帐户和密码,点击“clip_image013”登录。

16. 如图3-156所示,可以看到域管理员能够登录成功。

clip_image014clip_image015

图 3-155 以域管理员登录 图 3-156 允许管理员组的用户登录

17. 如图3-157所示,在DCServer上,打开Active Directory用户和计算机管理工具,双击卫生监督局组织单元中的“G_卫生监督局学员”。

18. 如图3-157所示,在出现的G_卫生监督局学院属性对话框,在成员标签下,可以看到该组的成员。以下步骤将会使用杜立静验证从网络访问FileServer。

19. 如图3-158所示,点中“水环所”组织单元,在详细窗口可以看到水环所的用户“张晓璐”,该用户不属于“G_卫生监督局学员”组。

clip_image016clip_image017

图 3-157 查看组成员 图 3-158 查看组织单元中的用户

20. 如图3-159所示,使用张晓璐在marketPC1上登录。

21. 如图3-160所示,登录后访问fileserver共享资源,出现无法访问提示:登录失败:未授予用户在此计算机上的请求登录类型,点击“确定”。

clip_image018clip_image019

图 3-159 登录 图 3-160 不允许访问服务器网络资源

22. 如图3-161所示,在marketPC1上使用刘国瑞登录。

23. 如图3-162所示,访问FileServer上的共享资源,成功。达到了组策略设置预期目的。

clip_image020clip_image021

图 3-161 登录 图 3-162 能够访问网络资源

本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1133991,如需转载请自行联系原作者

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注