示例:控制本地登录和访问网络资源
公司服务器FileServer是ess.com域的成员,为这些服务器单独创建了组织单元“服务器组”。从安全考虑不允许普通域用户登录到这些服务器,即不允许交互式登录。
服务器组的共享资源不允许“G_水环所学员”从网络访问共享资源。允许“G_卫生监督局学员”从网络访问共享文件夹。
任务:
u 修改链接在“服务器组”组织单元上的组策略
u 验证不允许登录
u 验证不允许访问服务器网络资源
步骤:
1. 如图3-143所示,在DCServer上打开组策略管理工具,右击“服务器组”组织单元链接的组策略“服务器安全策略”,点击“编辑”。
2. 如图3-144所示,在出现的组策略管理编辑器对话框,点中“计算机配置”à“策略”à“Windows设置”à“安全设置”à“本地策略”下的“用户权限分配”,在详细窗口,可以看到“允许在本地登录”设置。
图 3-143 编辑组策略 图 3-144 编辑用户权限分配
3. 如图3-145所示,双击“允许在本地登录”设置,在出现的允许在本地登录属性对话框,选中“定义这些策略设置”,点击“添加用户或组”。
4. 如图3-145所示,在出现的添加用户或组对话框,输入ess\Domain Admins点击“确定”。
5. 如图3-146所示,再次点击“添加用户或组”,在出现的添加用户或组对话框,输入administrators组,点击“确定”。
注意:administrators前没有写ess,则表明该组是特指域中计算机本地管理员组,不是域管理员组。
提示:必须添加Administrators组。
图 3-145 添加组 图 3-146 添加组
6. 如图3-147所示,添加完两个组administrators和ess\domain Admins组,点击“确定”。
7. 如图3-148所示,双击详细窗口中“从网络访问此计算机”,在出现的从网络访问此计算机属性对话框,选中“定义这些策略设置”,点击“添加用户或组”。
8. 如图3-148所示,在出现的添加用户或组对话框,输入ess\G_卫生监督局学员,点击“确定”。
图 3-147 添加的两个组 图 3-148 添加组
9. 如图3-149所示,添加完成后,点击“确定”。
10. 如图3-150所示,再出现的确认设置更改对话框,点击“是”。组策略编辑完成后,关闭组策略管理编辑器。
提示:必须关闭,相当于将刚才的配置存盘,如果出于编辑状态,则域中的计算机刷新组策略应用不到新设置。
图 3-149 添加组 图 3-150 提示
11. 如图3-151所示,在FileServer上,输入gpupdate /force刷新组策略。
12. 如图3-152所示,切换用户,以刘国瑞登录。该用户是域中的普通用户。
图 3-151 刷新组策略 图 3-152 登录
13. 如图3-153所示,出现提示:您无法登录,因为您使用的登录方法在此计算机上不被允许。
14. 如图3-154所示,点击“确定”,点击“切换用户”,点击“其他用户”。
图 3-153 不允许交互式登录 图 3-154 切换用户
15. 如图3-155所示,输入域管理员帐户和密码,点击“”登录。
16. 如图3-156所示,可以看到域管理员能够登录成功。
图 3-155 以域管理员登录 图 3-156 允许管理员组的用户登录
17. 如图3-157所示,在DCServer上,打开Active Directory用户和计算机管理工具,双击卫生监督局组织单元中的“G_卫生监督局学员”。
18. 如图3-157所示,在出现的G_卫生监督局学院属性对话框,在成员标签下,可以看到该组的成员。以下步骤将会使用杜立静验证从网络访问FileServer。
19. 如图3-158所示,点中“水环所”组织单元,在详细窗口可以看到水环所的用户“张晓璐”,该用户不属于“G_卫生监督局学员”组。
图 3-157 查看组成员 图 3-158 查看组织单元中的用户
20. 如图3-159所示,使用张晓璐在marketPC1上登录。
21. 如图3-160所示,登录后访问fileserver共享资源,出现无法访问提示:登录失败:未授予用户在此计算机上的请求登录类型,点击“确定”。
图 3-159 登录 图 3-160 不允许访问服务器网络资源
22. 如图3-161所示,在marketPC1上使用刘国瑞登录。
23. 如图3-162所示,访问FileServer上的共享资源,成功。达到了组策略设置预期目的。
图 3-161 登录 图 3-162 能够访问网络资源
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1133991,如需转载请自行联系原作者