受限制的组

受限制组策略配置
最新推荐文章于 2021-07-09 22:57:22 发布
最新推荐文章于 2021-07-09 22:57:22 发布
阅读量379 收藏 2
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_34293141/article/details/85095986
受限制的组
受限制的组
要在 Microsoft 管理控制台 (MMC) 的控制台树中查找该安全设置,请查看“计算机配置\Windows 设置\安全设置\受限制的组”
描述
该安全设置允许管理员为安全敏感的组(“受限制”的组)定义两个属性。
这两个属性是“成员”和“隶属于”。“成员”列表定义了哪些用户属于以及哪些用户不属于受限制的组。组可以是“隶属于”部分列出的组之外的组的成员。“隶属于”部分只确保将受限制的组添加到“隶属于”中列出的组中。不会将该组从它所属于的其他组中删除。
当强制实施“受限制的组策略”时,未在“成员”列表中的受限制组的当前成员都将被删除。“成员”列表中任何当前不是受限制组成员的用户将被添加。
可以使用“受限制的组策略”控制组成员身份。利用本策略,可以指定组的成员。任何未在本策略中指定的成员都将在配置或刷新时被删除。此外,反向成员身份配置选项还可确保每个“受限制的组”都只能是“隶属于”列中所指定的那些组的成员。
例如,可以创建“受限制的组策略”来仅允许指定的用户(如张三和李四)成为 Administrators 组的成员。当刷新策略后,仅有张三和李四保留为 Administrators 组的成员。
有两种方法可应用“受限制的组策略”:
  • 定义安全模板中的策略,在配置本地计算机时将应用该策略。
  • 直接在组策略对象 (GPO) 上定义设置,这意味着策略将在每次刷新时生效。 The security settings are refreshed every 90 minutes on a workstation or server and every 5 minutes on a domain controller. The settings are also refreshed every 16 hours, whether or not there are any changes.
默认:未指定。
警告
  • 如果定义了“受限制的组策略”,并且刷新组策略,则将删除任何不属于“受限制的组策略”成员列表的当前成员。可能包括默认成员,如管理员。
注意
  • “受限制的组”应主要用于配置工作站或成员服务器上本地组的成员身份。
  • 空的“成员”列表表示受限制的组中没有成员;空的“隶属于”列表表示还未指定受限制的组所属的组。
在安全模板中创建受限制的组策略
在安全模板中创建受限制的组策略
1. 打开“安全模板”。
2. 在控制台树中,单击“受限制的组”。
位置
· 安全模板/ 模板路径文件夹/ 安全模板/受限制的组
3. 在控制台目录树中,右键单击“受限制的组”,然后单击“添加组”。
4. 在“组”中键入要对其使用限制策略的新建组或已有组的名称,然后单击“确定”。
5. 要在该组中添加成员,请执行以下操作之一:
· 如果创建了新组,请单击“添加成员”。
· 如果使用现有的组,请在详细信息窗格中右键单击要添加的组,接着单击“属性”,然后单击“添加成员”。
6. 在 NewGroup 的“属性”中,单击“添加成员”,然后键入要添加的成员。对于要添加的每个成员重复此步骤。
7. 要将该组添加为其他任何组的成员,请在 NewGroup 的“属性”中单击“添加组”,然后键入该组的名称并单击“确定”。对于要添加的每个组重复此步骤。
要点
  • 如果“受限制的组”策略是为 Administrators 组定义的,则在将该模板导入到组策略对象中或应用于本地计算机后,所有未在该策略中定义的成员都会从 Administrators 组中删除。
注意
  • 执行此任务不要求具有管理凭据。因此,作为安全性的最佳操作,请考虑以没有管理凭据的用户身份执行这个任务。
  • 要打开“安全模板”,请先单击“开始”,再单击“运行”,然后输入 mmc,并单击“确定”。单击“文件”菜单上的“打开”,单击要打开的控制台,然后单击“打开”。然后,在控制台树中,单击“安全模板”。
  • 受限制的组策略表明只有已添加到组的成员才属于该组。如果将安全模板用于配置本地计算机,则在配置期间,只有在“受限制的组”策略中指定的成员才会保留其成员资格。类似地,在配置时,如果成员不属于该组,则它将被添加到该组。
  • 如果在已定义的受限制的组中没有任何用户,则当应用或导入该模板时,该组的所有当前成员都将被删除。
  • 要将所有受限制的组项从一个模板复制到另一个模板,请在控制台树中,右键单击“受限制的组”,单击“复制”,然后在另一个模板中右键单击“受限制的组”,然后单击“粘贴”。
有关功能差异的信息
  • Your server might function differently based on the version and edition of the operating system that is installed, your account permissions, and your menu settings. For more information, see Viewing Help on the Web.
Joe?
关注
2008 R2 AD 组策略之“受限制
朝锡相处
03-15 788
1、首先针对某个OU进行GPO编辑 计算机配置——策略——Windows设置——安全设置——受限制 例如将administrators限制为只有administrator和manyour两个成员 2、登录到实验中的adtest-pc这台计算机,可以看到原来administrators里的成员 3、强制刷新组策略后会发现administrators里的成员发生了变化 4、我们再次用...
PC中所有的应用程序都给限制了,包括注册表、组策略控制台等等,解决办法
03-24
标题和描述中提到的问题是关于误操作导致的Windows系统中所有应用程序被限制,包括注册表编辑器和组策略控制台。这种情况通常是由于错误地设置了组策略导致的,使得非管理员用户无法运行任何未经许可的应用程序,...
组策略中"受限制"
weixin_33787529的博客
07-17 279
在 Windows NT 中,资源域所有者通常对加入他们的域的计算机拥有完全控制权,因为他们自动成为他们域中所有计算机上本地 Admins 的一个成员。在一个资源 OU 中,域管理员是所有计算机上的本地管理员。要想把对一个 OU 中的计算机的完全控制权授予资源 OU 管理员,则要使用“受限制组策略。  受限制选项允许管理员管理敏感之间的关系。例如,如...
组策略--受限制
weixin_34088838的博客
09-04 182
组策略中添加 受限制 ,该必须是Windows内置,否则客户端不会应用该。 如果已经在 客户端计算机的 Event Log Readers中添加了 用户 testuser1,然后在组策略中添加 受限制Event Log Readers,添加用户 testuser2。当客户端计算机应用了该组策略后,客户端计算机的 Event Log Readers中只会存在有testuser2...
使用受限
allway2的博客
01-15 1324
使用受限 Windows 2000和XP Professional计算机的用户是否从其计算机上的本地Administrators中删除了Domain Administrators?您是否需要在网络上每台计算机的管理员中放置一个特殊的用户帐户才能使用远程管理功能? 这些是大多数网络管理员在Windows环境中面临的常见问题。主要问题是很难控制整个企业中客户端和服务器上本地的成员身份。如...
关于组策略的“受限制
weixin_33772645的博客
08-22 874
为便于说明问题,请首先阅读以下文章: http://allcomputers.us/windows_server/windows-server-2008-r2---managing-active-directory-with-policies-(part-2)---configuring-restricted-groups-for-domain-security-group...
win8上面咋能装备磁盘进入受限制.docx
09-27
在Windows 8操作系统中,用户可以通过设置本地组策略来限制他人对计算机中特定磁盘分区的访问,以保护个人隐私和重要数据。以下是一个详细步骤的教程,教你如何在Win8上实现磁盘访问限制: 1. **启动本地组策略编辑...
提升windows系统安全性的组策略设置.docx
05-06
受限制组策略组策略中的一种安全工具,能够对系统中的软硬件实施管理,限制用户的权限。例如,可以限制用户的登录权限、文件访问权限等。 应用程序和设备限制 应用程序和设备限制是组策略中的一种安全工具,...
ABB励磁限制与发变保护
12-11
ABB励磁限制与发变保护的知识点涵盖了电力系统中发电机励磁系统与变压器继电保护的多个方面。下面详细阐述这些知识点: 1. 励磁系统的安全限制与保护 励磁系统的安全限制是确保电力系统稳定运行的重要措施。它...
AD组策略使用技巧-域控制器软件限制策略的配置
11-19
AD组策略使用技巧-域控制器软件限制策略的配置
用“受限制”解决软件权限问题
weixin_33794672的博客
11-17 815
最近给个客户做个项目需要用到域环境。中途搭建服务器、域都没什么问题。但是在用户使用过程中发现,有些软件运行时会报错。经过查看发现原来是给用户的是域用户,而默认的域用户的权限相当于本地的user样。权限很低,所以,导致会出现软件不能运行的情况发生。 那该怎么办呢?可能许多人会说将域用户加入到本地管理员或poweruser不就可以了。这确实...
组策略受限制
weixin_33681778的博客
07-28 673
组策略受限制作用集中统一管理域中的和用户.在域生产环境中,为了将计算机管理权限统一,可以用该策略统一将最高管理员administrators指定包含哪些用户。把原来有管理员权限帐户管理权限收回。控制域中计算机某个的成员,可以用来委派某个用户成为某个部门计算机机的管理员 转载于:https://blog.51cto.com/hml988/1679431...
组策略之统一修改域中计算机的本地管理员账户和密码和受限制
荒野求生的博客
12-08 5914
https://blog.51cto.com/seawind/1861451 目的:不能通过本地管理员账户登陆计算机 一、修改管理员名称 建立一个GPO,在计算机策略---windows设置----安全设置-----本地策略-----安全选项------找到“账户:重命名系统管理员账户”------修改为想要的名称。 二、修改管理员密码 在GPO中找到,计算机策略---windows设置----脚本(启动/关机)---选择“启动”----添加相应的脚本文件。...
计算机管理单元受到策略限制怎么解决,高手解说win10系统组策略管理单元受到策略限制的途径...
weixin_31567239的博客
07-09 2305
随着电脑的使用率越来越高,我们有时候可能会遇到win10系统组策略管理单元受到策略限制的情况,想必大家都遇到过win10系统组策略管理单元受到策略限制的情况吧,那么应该怎么处理win10系统组策略管理单元受到策略限制呢?我们依照windows10系统打开组策略编辑器的时候,弹出错误窗口,提示“下面在该文档中引用的管理单元受到策略限制”的窗口。右键点击任务栏空白位置,然后在弹出菜单中选择“任务管理器...
活动目录之组策略安全设置
weixin_33720956的博客
03-19 377
一、帐户策略1.密码策略:密码复杂性要求默认是开启的。密码长度最小值默认为7个字符,最长使用期限默认42天,强制密码历史默认24个,都可以根据需要更改。注意:默认情况下,成员计算机的配置与域控的配置相同,要维持密码历史记录的有效性,则需启用密码最短使用期限来阻止更改密码,如果这里的密码配置与用户属性配置选项冲突,则与用户属性配置为准。2.帐户锁定策略,次数太少维护会过于频繁,...
使用组策略向域中计算机的添加或删除成员
weixin_34100227的博客
02-15 414
配置受限制 使用组策略中“受限制”可以控制的成员或所属的。这样可以集中控制域中计算机或服务器的特定的成员和特定的所属的。以下示例将会说明受限的作用。 示例:配置受限制 李文斌域用户需要使用远程桌面管理公司服务器,为了能够将授权该用户能够管理服务器,你需要将该用户添加到服务器的本地“Remote Desktop Users”。 在“服务器织单元,使用组策略将...
如何修改 组策略限制
最新发布
03-18
### 如何在 Windows 中通过组策略解除特定限制 #### 解决方案概述 为了有效解决由组策略引起的限制问题,可以通过调整组策略中的具体设置来实现目标。以下是针对不同场景下的解决方案。 --- #### 方法一:移除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值