组策略1-密码策略和IE主页锁定

组策略1-密码策略和IE主页锁定

组策略

组策略 Group Policy：管理计算机和用户，管理用户的工作环境、执行的脚本、软件安装等

组策略是操作系统提供的一种重要的更新和配置管理技术，用来批量控制计算机和用户的环境，包括控制应用程序、系统设置和管理模板的一种机制。在AD域环境中，通过组策略可以对计算机和用户组进行高效集中化的管理。组策略是AD域环境最有吸引力的基础架构应用之一，正确高效组策略应用可以最大化提高工作效率，节约大量时间和精力。但如果部署了不正确的组策略，排错过程往往会使人抓狂。

一、密码策略

默认的域用户密码策略如下：

1.      密码必须符合复杂性要求设置：   默认已启用

        不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分；

        至少有六个字符长；

        包含以下四类字符中的三类字符:

          英文大写字母(A 到 Z)；英文小写字母(a 到 z)； 10 个基本数字(0 到 9)；

          非字母字符(例如 !、$、#、%)；

2.      密码长度最小值：7个字符

此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间，或者将字符数设置为 0 以确定不需要密码。

3.      密码最短使用期限：1天

此策略表明修改的2个密码之间的必须间隔1天。

此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值，或者将天数设置为 0，允许立即更改密码。

4.      密码最长使用期限：42天

此策略表明新密码从设置完开始的42天之后密码过期，必须修改密码。设置为0天表示密码永不过期。

5.      强制密码历史：24

此策略表明设置的新密码与之前最近使用过的24个密码不能重复。设置为0表示可以和之前的密码重复，但是必须要求密码最短使用期限大于0天。

根据实际需要修改密码策略的步骤：

      依次点击Windows管理工具---组策略管理，

依次展开域—adserver.local---组策略对象，找到Default Domain Policy

右键Default Domain Policy选择编辑，打开组策略编辑器，如下图。

依次展开：计算机配置---策略---windwos设置---安全设置---账户策略，点击密码策略，然后根据需求修改密码策略。

最后在运行里输入gpupdate /force

二、锁定用户IE浏览器主页

这里做测试锁定，所以指定锁定的主页为：www.baidu.com

我们先使用用户lis登录电脑，打开IE浏览器发现其主页是go.microsoft.com而且用户可以修改主页地址。见下图

在域服务器上进行策略设置，

提议：应该新建策略，然后进行策略的引用，不要在默认策略中进行修改这样就可以避免特殊情况的排除，否则后期工作量非常大。

依次点击管理工具—组策略管理---林—域—adserver.local

右击组策略对象 --- 新建

在弹出的窗口中，名称输入“锁定浏览器”，源选择“无”  如下图

创建成功后，右击创建的对象“锁定浏览器”----编辑，打开组策略编辑器

依次展开  用户配置---策略---管理模板---windows组件----InternetExploer

在右侧找到“禁用更改主页设置”如下图

双击“禁用更改主页设置”，选择“已启用”，在选项的下面有个“主页”的文本框，填写要锁定的主页，这里就写www.baidu.com  ，然后点击确定  如下图

我们要将该策略引用到运维部里，则按如下操作即可。

右击运维部，选择“链接现有GPO（L）”，

在打开的窗口中选择我们创建的策略“锁定浏览器”，点击确定，如下图

点开运维部就会看到已经有一个“锁定浏览器”的快捷方式，就表示已经应用完毕了。

客户端需要进行策略的更新，在命令控制台下执行gpupdate  /force进行更新策略，或者注销用户重新登录也可。

更新完策略后，打开浏览器测试，发现IE浏览器的主页已经被修改了，而且用户无法修改主页地址。见下图

***注意***

经过测试，该方法只针对windows系统自带的IE浏览器有效，而另外安装的浏览器如360急速浏览器的主页就不受该策略控制。

谁有可以控制其他浏览器的方法请给我留言。