一、问题说明

1.1、问题描述

    前面的Windows中的工作组(Work Group)、域(Domain)、域控(DC)、活动目录(AD)介绍系列已经完成了域控环境的搭建；那么最关键的就是实现管理控制。

1.2、想要实现的管控需求

以下是想要实现的一些基础管控控制需求：

① 禁止域用户修改ip地址。

② 禁止域用户自动更新。

③ 确保用户密码复杂性要求。

④ 域用户登录桌面后自动禁用本地guest来宾用户。

⑤禁用本地管理员账户。

⑥由域服务器统一分发提供软件安装列表。

二、具体操作流程

2.1、打开组策略和管理器

①【计算机配置：要客户端重启生效】；

②【用户配置：要客户端注销生效】；

③【策略配置后要刷新：在服务器端执行 gpupdate /force 命令】；

2.2、禁止域用户修改IP地址

 

 2、验证效果【使用域账 登陆客户端，然后修改IP地址】

 当我们需要修改客户端的IP地址时弹窗则表示禁用修改IP地址成功

 2.3、禁止域用户自动更新

修改了【计算机配置：要客户端重启生效】.

2、验证【禁止域用户自动更新】

 2.4、指定用户密码复杂性

 修改了【计算机配置：要客户端重启生效】.

2.5、使用域用户登录桌面后自动禁用本地来宾用户（Guest）

  修改了【计算机配置：要客户端重启生效】.

2.6、禁用本地管理员

 

   修改了【计算机配置：要客户端重启生效】.

三、由域服务器统一分发提供软件安装列表

3.1、创建共享文件夹且放入.msi格式的软件

    在域服务器上创建一个共享文件夹（ShareSoftware），用户拥有读取权限，来存放准备发放给客户端安装的软件，如将安装文件【advinst.msi】放在该共享文件夹（ShareSoftware）；

注意，这里需发放的文件要把格式封装成msi格式。可以使用一些封装工具进行exe等格式的文件封装成msi格式，比如advinst（这里只选用一个msi的文件做测试）。

 3.2、配置服务器分发软件策略

 注意：数据包的地址必须是 络地址（如：192.168.146.227），如下图所示：

 稍等一会就行显示如下内容（然后中内容，点击鼠标右键选择【属性—>部署—>勾选（在登陆时安装此应用程序）】）；

 3.3、提升用户权限用以安装软件

   由于新建的域用户都默认是在Domain User组里，而改组又不能安装软件；所以若想要提升权限用以安装软件，需要将用户默认增加至power users组里，具体操作如下，选中【在本地用户和组 点击鼠标右键，选择【新建—>本地组】–操作更新—新建本地组—选择组名power users—添加当前用户】（这里以【张一山】用户的域账 指定登陆后安装软件为例说明，如下图所示）

 说明：【Power users】用户组其实就是标准用户，系统权限就是在组上增加了部分安装权限（可以安装一些不改变系统环境或者是创建系统服务的安装程序，可以修改控制面板里的大部分选项，但是一些选项是管理员级别的还是修改不了），而Users是用户组是受限用户。

注意：在创建用户的时候是不能创建高于自己级别的用户的。 

3.4、更新策略配置

【策略配置后要刷新：在服务器端执行 gpupdate /force 命令】；

3.5、验证软件是否登陆安装

重启系统，使用域账 密码登陆系统 

 四、增加 络映射驱动器

 【策略配置后要刷新：在服务器端执行 gpupdate /force 命令】；

重启客户端电脑后使用域账 登陆后查看电脑如下图所示：