分类: 系统运维
2011-10-19 19:34:28
组应用很灵活,功能也很强大。大多数情况下,直接利用在默认的组编辑器中的策略项就可以满足基本的网络管理需求,但有
时在需要一些 特殊限制功能(如最常用的禁止光驱、U盘、软驱,甚至硬盘分区的使用等)时还是要用到管理模板来在组策略编辑器中
显示一些特殊功能的配置界面。
下面介绍一些经典的组策略应用配置方法。
10.3.1 配置复杂性策略示例
这个策略的设置虽然很简单,但也很典型。它可以直接利用组策略中的"密码策略"进行配置。但要注意的是,凡是关系到用户账户、组账户
和计算机账户的 全局配置(如用户账户密码、选项配置、计算机账户属性等),都必须在最高级别的组策略中进行。如域网络中必须是在域
组策略中进行,而不能在下面的组织单位 组策略中进行配置。这也就是为什么有些读者经常问,我已在对应用户所在的组织单位中取消了该
OU下用户账户的密码复杂性策略,但为什么在该OU下创建用户 账户或者修改用户账户密码时仍显示如图10-28所示的不符合密码复杂性要
求的原因了。
配置域网络中用户账户的密码复杂性策略需要在域级别的GPO中进行设置。默认的域GPO是Default Domain Policy,当然可以创建新的GPO
链接到域级别,成为域GPO。
如图10-29所示的是组策略中的"密码策略"配置项,在其中列出了所有与密码策略相关的设置项。其中密码复杂性策略是"密码必须符合复杂
性要求" 策略。在Windows Server 2003服务器系统中,默认是启用了密码复杂性要求策略的。而且同时启用了其他策略项,并设置了默认设
置。
 |
| 图10-28 不符合密码复杂性要求的错误提示 |
 |
| 图10-29 "密码策略"设置选项窗口 |
在 这里介绍一下密码复杂性策略要求,它是要求在所配置的密码中至少包括大写字母、小写字母、数字、特殊符号这4类中至少其中的3类
(具体参见本书第8章)。 要禁用密码复杂性策略,双击"密码必须满足复杂性要求"策略项,在打开的如图10-30所示的对话框中选择"定义
这个策略设置"复选项,然后选择"已禁 用"单选项,明确禁止这个策略的应用,而不能仅取消对"定义这个策略设置"复选项的选择,否则策略
仍可以通过继承而使密码复杂性策略生效。重新配置组策略 后,可以通过在命令提示符下运行gpupdate /force命令强制更新组策略,如图
10-31所示,这样就可以立即检查一下设置更改是否有效。
 |
| 图10-30 "密码必须符合复杂性要求"策略项 属性对话框的"安全策略设置"选项卡 |
 |
| 图10-31 运行强制更新组策略命令 |
图10-29中还列出了其他与密码相关的策略项,需要时可以更改。
在这里进行的密码策略设置将应用于域网络中的所有用户账户,包括已移到各级组织单位下的用户账户。
