差别

这里会显示出您选择的修订版和当前版本之间的差别。

--- is:域控:ad域控组策略 [2025/02/17 04:00] – 移除 - 外部编辑 (未知日期) 127.0.0.1
+++ is:域控:ad域控组策略 [2025/02/17 04:00] (当前版本) – ↷ 页面is:ad域控组策略被移动至is:域控:ad域控组策略 A.L
@@ 行 1: / 行 1: @@
+== 基本 ==
+**基于Windows Server 2012 R2域控的组策略**
+- **职能**：
+  - 服务器端运行组策略命令：`gpmc.msc`
+  - 域账户默认获取本地管理员权限
+  - `gpmc.msc` 域控组策略
+  - 编辑OU（组织单位）组策略
+  - 打开组策略编辑器
+    - 用户配置 --- 本地用户和组
+    - 新建本地组
+      - 组名：Administrator
+      - 添加当前用户
+    - 关闭，刷新
+<gallery>
+用户配置组策略20190613140250.png|组策略编辑界面
+</gallery>
+== 统一修改域中计算机的本地管理员账户、密码和受限制组 ==
+**目的**：防止通过本地管理员账户登录计算机
+- **修改管理员名称**：
+  - 建立GPO（组策略对象）
+    - 计算机策略 --- Windows设置 --- 安全设置 --- 本地策略 --- 安全选项
+    - 找到“账户：重命名系统管理员账户”
+    - 修改为想要的名称
+- **修改管理员密码**：
+  - 在GPO中找到
+    - 计算机策略 --- Windows设置 --- 脚本（启动/关机） --- 选择“启动”
+    - 添加相应的脚本文件（如批处理文件）
+    ```batch
+    NET USER ADMINISTRATOR 新密码
+    ```
+  - 注意：脚本文件应存放在默认位置，不要通过浏览找到所写脚本，直接拷贝到打开位置即可
+- **限制本地计算机含有多个不同账户的管理员**：
+  - 使用GPO中的“受限制的组”
+  - 统一管理域中的组和用户，控制域中计算机某个组的成员，委派管理员权限
+== 域控组策略开启局域网网络发现 ==
+**目的**：共享盘运用及网络管理
+- 登录Windows服务器，运行`gpmc.msc`打开组策略管理
+- 创建并链接GPO到域
+- 命名GPO，如“网络发现”
+- 编辑GPO，启用网络发现相关策略
+  - 计算机配置 --- 策略 --- 管理模板 --- 网络 --- 链路层拓扑发现
+    - 启用“打开映射器I/O（LLTDIO）驱动程序”和“打开响应者（RSPNDR）驱动程序”
+- 更新组策略`gpupdate /force`
+<gallery>
+微信图片 20201208173823.png|组策略启用网络发现界面
+</gallery>
+== 域控组策略打开ICMP回显功能 ==
+**目的**：解决局域网内目标计算机ping无响应的管理问题
+- **高级安全防火墙配置**：
+  - 计算机配置 --- 策略 --- Windows设置 --- 安全设置 --- 高级安全Windows防火墙 --- 入站规则
+  - 启用“文件和打印机共享（回显请求-ICMPv4-in）”
+- **管理模板配置**：
+  - 计算机配置 --- 管理模板 --- 网络 --- 网络连接 --- Windows防火墙 --- 标准配置文件/域配置文件
+  - 启用“允许ICMP例外”，并勾选“允许传入回显请求”
+- 刷新组策略，客户端重启生效
+=== Win7本地打开ICMP回显功能 ===
+- 通过控制面板打开“Windows防火墙”高级设置
+- 在入站规则和出站规则中启用“文件和打印机共享（回显请求-ICMPv4-in/out）”
+== Win10生物特征启用 ==
+- 在域控Server 2012中启用相关策略
+- 本地Win10可能需要导入注册表信息以启用指纹等生物信息登录权限
+  ```registry
+  Windows Registry Editor Version 5.00
+  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
+  "AllowDomainPINLogon"=dword:00000001
+  设置完成后，从注册表移除上述键可恢复使用，但不可修改指纹登录设置