基本

基于Windows Server 2012 R2域控的组策略

- 职能

  1. 服务器端运行组策略命令:`gpmc.msc`
  2. 域账户默认获取本地管理员权限
  3. `gpmc.msc` 域控组策略
  4. 编辑OU(组织单位)组策略
  5. 打开组策略编辑器
    1. 用户配置 — 本地用户和组
    2. 新建本地组
      1. 组名:Administrator
      2. 添加当前用户
    3. 关闭,刷新

<gallery> 用户配置组策略20190613140250.png|组策略编辑界面 </gallery>

统一修改域中计算机的本地管理员账户、密码和受限制组

目的:防止通过本地管理员账户登录计算机

- 修改管理员名称

  1. 建立GPO(组策略对象)
    1. 计算机策略 — Windows设置 — 安全设置 — 本地策略 — 安全选项
    2. 找到“账户:重命名系统管理员账户”
    3. 修改为想要的名称

- 修改管理员密码

  1. 在GPO中找到
    1. 计算机策略 — Windows设置 — 脚本(启动/关机) — 选择“启动”
    2. 添加相应的脚本文件(如批处理文件)

```batch 

  NET USER ADMINISTRATOR 新密码
  ```
- 注意:脚本文件应存放在默认位置,不要通过浏览找到所写脚本,直接拷贝到打开位置即可

- 限制本地计算机含有多个不同账户的管理员

  1. 使用GPO中的“受限制的组”
  2. 统一管理域中的组和用户,控制域中计算机某个组的成员,委派管理员权限
域控组策略开启局域网网络发现

目的:共享盘运用及网络管理

- 登录Windows服务器,运行`gpmc.msc`打开组策略管理 - 创建并链接GPO到域 - 命名GPO,如“网络发现” - 编辑GPO,启用网络发现相关策略

  1. 计算机配置 — 策略 — 管理模板 — 网络 — 链路层拓扑发现
    1. 启用“打开映射器I/O(LLTDIO)驱动程序”和“打开响应者(RSPNDR)驱动程序”

- 更新组策略`gpupdate /force`

<gallery> 微信图片 20201208173823.png|组策略启用网络发现界面 </gallery>

域控组策略打开ICMP回显功能

目的:解决局域网内目标计算机ping无响应的管理问题

- 高级安全防火墙配置

  1. 计算机配置 — 策略 — Windows设置 — 安全设置 — 高级安全Windows防火墙 — 入站规则
  2. 启用“文件和打印机共享(回显请求-ICMPv4-in)”

- 管理模板配置

  1. 计算机配置 — 管理模板 — 网络 — 网络连接 — Windows防火墙 — 标准配置文件/域配置文件
  2. 启用“允许ICMP例外”,并勾选“允许传入回显请求”

- 刷新组策略,客户端重启生效

Win7本地打开ICMP回显功能

- 通过控制面板打开“Windows防火墙”高级设置 - 在入站规则和出站规则中启用“文件和打印机共享(回显请求-ICMPv4-in/out)”

Win10生物特征启用

- 在域控Server 2012中启用相关策略 - 本地Win10可能需要导入注册表信息以启用指纹等生物信息登录权限 

```registry
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001
设置完成后,从注册表移除上述键可恢复使用,但不可修改指纹登录设置