【Windows Server 2019】组策略的配置与管理——配置基于域的组策略（上）基础配置示例

3. 配置基于域的组策略

名词说明：

AD 域名为 fjnu，其中有名为 user_fjnu 的组织单位。

目前域 fjnu 中的 user_fjnu 存在两台计算机 Server1 和 PC1，以及一个用户 student1；

user_fjnu_GPO 为新建的组策略，已经链接到组织单位 user_fjnu 中。

3.1 创建的组策略user_fjnu_GPO并配置简单的组策略

目的：通过 4 个实例来验证域的组策略设置效果

• （1）创建【user_fjnu_GPO】并应用于【fjnu_user】组织单位中。
• （2）禁止【user_fjnu】用户访问控制面板和PC设置。
• （3）禁止【user_fjnu】所有用户修改IE浏览器的默认主页，并将默认主页设置为www.fjnu.edu.cn。
• （4）使【user_fjnu】用户登录系统后，隐藏C盘。

（1）创建【user_fjnu_GPO】并应用于【fjnu_user】组织单位中

在DNS1上，使用【win + r】快捷键，打开【运行】对话框，输入命令：gpmc.msc。

打开组策略管理器，在【fjnu_user】上点击鼠标右键，在弹出的菜单中选择【在这个域中创建GPO并在此处链接】。

进入【新建GPO】界面，在【名称】中输入新建的组策略对象名称：user_fjnu_GPO，单击确定，即在本区域中创建了名为user_fjnu_GPO的组策略对象，并将该对象链接到了【user_fjnu】。

（2）禁止【user_fjnu】用户访问控制面板和PC设置

在【user_fjnu】下的【user_fjnu_GPO】链接上单击鼠标右键，在弹出菜单上选择【编辑】。

打开【组策略管理编辑器】，依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【管理模板】——>【控制面板】，找到【禁止访问控制面板和PC设置】，双击打开。

进入该选项的设置界面，选择【已启用】，单击【确定 】。

验证

切换到成员服务器Server1，使用域用户student1重新登录Server1，打开【控制面板】 。弹出告警框提示：

【本次操作由于这台计算机的限制而被取消，请与你的系统管理员联系】，说明组策略【user_fjnu_GPO】的配置已经对组织单位【user_fjnu】下的用户生效。

（3）禁止【user_fjnu】所有用户修改IE浏览器的默认主页，并将默认主页设置为www.fjnu.edu.cn

在组策略管理编辑器中，依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【管理模板】——>【windows组件】——>【互联网Explorer】，找到【禁用更改主页设置】，双击打开。

打开该选项的设置界面，选择【已启用】，并在下面的主页中输入：http://www.fjnu.edu.cn，单击【确定】。

验证：

切换到成员服务器PC1，使用域用户student1重新登录PC1，打开IE浏览器，单击右上角【设置】图标，在弹出菜单中选择【互联网选项】 。

打开【互联网选项】对话框，可以看到【常规】选项卡中的主页设置为http://www.fjnu.edu.cn，下面的修改按钮全部为灰色，表示不允修改默认主页 。

（4）使“user_fjnu”中的用户登录系统后，隐藏C盘

在【组策略管理编辑器】中，依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【管理模板】——>【windows组件】——>【文件资源管理器】，找到【隐藏我的电脑中的这些指定驱动器】设置，双击打开 。

进入该选项的设置界面，选择【已启动】，并在下面选择【仅限制驱动器C】，单击【确定】。

验证：

切换到成员服务器Server1，使用域用户student1重新登录Server1，打开资源管理器，选择【此电脑】，可以看到C盘被隐藏了。

参考资料

• [1]戴有炜，《2016 Windows Server 系统配置指南》，清华出版社，2018
• Microsoft Docs：Active Directory documentation
• Microsoft Docs：Active Directory Domain Services