群組原則的設定
在管理Active Directory中的使用者與電腦 -> 網域上按右鍵 -> 內容 -> 切換至「群組原則」標籤頁
先把預設的移除 -> 從清單中移除連結
選新物件 -> 命名308user -> 右鍵 -> 內容 -> [安全性]頁面 -> 移除清單上的 Authenticated User
選擇新增 -> 新增308user -> 確定
注意:每產生一個新的群組原則物件, Authenticated User預設會被設成套用此新物件的設定
所以一定要記得刪除或停止它套用原則
回安全性頁面選擇308user -> 把下方「讀取」與「套用群組原則」此兩項屬性設為允許。套用 -> 確定
(這個動作是使存組員則對308user這個使用者生效,只要308user登入網域就會套用這個群組原則)
回到群組原則物件連結 -> 點選308user -> 上移最上層
以同樣方法新增一個NCUMENet名稱的群組原則,使用者設定為NCUMENet
設定完後位置移到308user的下方
# 群組原則的繼承性質 是由上到下 後面套用的會覆蓋前面的 又分成電腦設定和使用者設定
# 使用者設定於使用者登入時才會由Server取得資料套用,這沒問題
# 但是本機的電腦設定只再電腦開機登入網路時會由Server套用,
# 當登入時變成套用本機端的設定(就是套用順序和使用者設定相反)
# 若要使電腦設定也能成功套用到客戶的電腦上,必須在選項內
# 勾選不可強制覆蓋,這樣客戶端電腦套用電腦設定後,就不會在用自己的套用回去了
# 如果沒有要時常更動本機設定,建議直接設定在用戶端
# 例如限制本機308user拒絕登入本機,只能利用網域的308user登入
# 如果設定是在Server端,那只要網路一斷線,客戶電腦套用了自己的電腦設定
# 308user就能大喇喇的登入主機。
開始設定群組原則了
在308user上右鍵 -> 編輯
主要是處理使用者設定 -> 系統管理範本
===============================================================================================
使用者設定 -> 系統管理範本 -> Windows元件 -> Windows檔案總管
啟用 : 從 [工具] 功能表移除 [資料夾選項] 功能表項目
移除 [連線網路磁碟機] 及 [中斷網路磁碟機]
隱藏 Windows 檔案總管的快顯功能表中的 [管理] 項目
隱藏[我的電腦]中這些指定的磁碟機(隱藏c槽)
移除[硬體]索引標籤
移除[DFS]索引標籤
移除 [安全性] 索引標
要求網路安裝的認證
不要求替代的認證
移除CD燒錄功能
不要將已刪除的檔案移到資源回收桶中
從『我的電腦』中移除『共用文件』
#停用不要求替代的認證,安裝時會警告使用者非管理員,但是若繼續安裝仍有可能成功
#使用者會能看到本機系統管理員的帳號(一般來說是Administrator)但是會要求輸入密碼才能取用管理員權限
#沒辦法有效防寫,也只能用來警告使用者一下而已
=================================================================================================
使用者設定 -> 系統管理範本 -> Windows元件 -> Windows Installer
停用:自動以高權限來安裝
=================================================================================================
使用者設定 -> 系統管理範本 -> Windows元件 -> Windows Update
啟用 : 移除對 Windows Update 所有功能的存取權
=================================================================================================
使用者設定 -> 系統管理範本 -> 開始功能表和工作列
啟用 : 移除[Windows Update]的連結並存取
從[開始]功能表中移除[文件]功能表
從[開始]功能表中移除[網路連線]
禁止變更工作列和[開始]功能表設定
不保留最近檔案開啟的紀錄
結束時清除最近開啟文件的記錄
=================================================================================================
使用者設定 -> 系統管理範本 -> 桌面
啟用 : 從[我的電腦]右鍵功能表上移除快顯功能表
結束時不儲存設定
=================================================================================================
使用者設定 -> 系統管理範本 -> 控制台
隱藏控制台的選項
1.系統
2.新增移除程式
3.網路連線
4.資料夾選項
5.系統管理工具
6.使用者帳戶
=================================================================================================
使用者設定 -> 系統管理範本 -> 控制台 -> 新增移除程式
啟用 : 移除[新增移除程式]
=================================================================================================
-> 使用者設定 -> 系統管理範本 -> 系統
啟用 : 禁止存取命令提示字元
禁止存取登錄編輯工具
不要執行已指定的Windows應用程式
(加入mmc.exe ; regedit.exe ; GPEDIT.MSC ; MSCONFIG.exe)
停用 : Windows自動更新
=================================================================================================
-> 使用者設定 -> 系統管理範本 -> 系統 -> 指令碼
啟用 : 同步執行登入指令檔
(先不要使用此功能)
=================================================================================================
-> 使用者設定 -> 系統管理範本 -> 系統 -> 登入
當使用者登入時執行這些程式
網路安裝時可以使用,只要使用者登入就能執行放在Server端的程式
但是如何利用他來開啟客戶存於本機各個磁碟機的檔案,尚待研究....
=================================================================================================
-> 使用者設定 -> 系統管理範本 -> 系統 -> Ctrl+Alt+Del選項
啟用 : 移除變更密碼
移除 [鎖定電腦]
=================================================================================================
設定完畢後結束離開
Ncumenet不需要特別去設定
最後選擇308user的群組原則,點選選項,將不可強制覆蓋打勾
Server端設定完成
再回到本機端把本機設定做好
|