AD如何设置规则

       理解活动目录规则架构基础

       活动目录（Active Directory）作为企业级目录服务核心，其规则设置本质上是通过组策略对象（Group Policy Object）实现集中化管理。根据微软官方技术指南，每个策略对象包含计算机配置与用户配置两大模块，通过策略继承、强制生效和安全筛选机制实现分层控制。初始部署时需明确规则应用的逻辑层次：站点级、域级、组织单位级构成三级管控体系，其中组织单位（Organizational Unit）作为最小管理单元，承载着最精细的策略分配功能。

       创建组织单位结构树

       在域控制器服务器管理器中右键点击域名，选择新建组织单位并命名。建议按部门架构创建对应单位（如财务部、人力资源部），每个单位内可继续创建子单位实现多级管理。根据微软最佳实践指南，单位深度不建议超过五层，否则会导致策略应用效率下降。创建完成后，将相应用户账户和计算机账户拖拽至对应单位容器内。

       初始化组策略管理编辑器

       通过服务器管理器打开组策略管理控制台，展开域节点后右键点击组策略对象文件夹选择新建。命名规则建议采用部门_策略类型_日期格式（如Finance_PasswordPolicy_2024）。创建完成后右键选择编辑，进入组策略管理编辑器界面。此处需注意版本兼容性：Windows Server 2016及以上版本支持策略设置数量较旧版提升300余项。

       配置用户权限分配策略

       在编辑器左侧导航树中依次展开计算机配置→策略→Windows设置→安全设置→本地策略→用户权限分配。双击允许本地登录项，添加指定安全组（如Domain Users）。根据微软安全基线要求，应禁用来宾账户并限制远程桌面用户组。重要权限如调试程序、管理审核安全日志等仅分配给管理员组。

       设置软件限制规则

       在用户配置→策略→Windows设置→安全设置→软件限制策略中创建新规则。采用哈希规则阻止特定程序运行时，需先通过命令行工具获取可执行文件哈希值。路径规则建议使用通配符实现批量控制（如%USERPROFILE%.bat）。证书规则需配合企业证书服务使用，适用于绿色软件管控。

       部署文件夹重定向策略

       在用户配置→策略→Windows设置→文件夹重定向中右键点击文档属性，选择基本-将所有文件夹重定向到同一位置。目标路径格式为\文件服务器名共享文件夹%username%Documents。高级配置中可设置用户组与目标路径的映射关系，实现不同部门存储至不同文件服务器。

       配置打印机映射规则

       在策略编辑器中选择用户配置→首选项→控制面板设置→打印机，右键新建映射打印机。操作模式选择更新，源路径输入打印机共享地址（\打印服务器HP-LaserJet）。勾选设为默认打印机选项，部署时可设置项目级目标筛选，仅对特定IP网段用户生效。

       制定密码复杂性要求

       在计算机配置→策略→Windows设置→安全设置→账户策略→密码策略中，启用密码必须符合复杂性要求。最小密码长度建议设置为10位，最长使用期限不超过90天。密码历史记录保留24个以防重复使用。账户锁定策略中设置失败尝试5次后锁定账户，复位计数器时间设为30分钟。

       配置审核策略规则

       在本地策略→审核策略中启用账户登录事件、目录服务访问等关键项目的成功/失败审计。对象访问审计需配合文件系统审计策略使用：在资源属性安全高级设置中添加需审计的用户组，选择写入属性、删除子文件夹等具体操作。审计日志默认存储在系统盘，建议通过事件日志管理策略调整最大容量至4GB。

       设置网络访问保护

       在网络列表管理器策略中配置可信网络位置，指定企业内部IP段为域网络。防火墙规则中创建入站规则，允许域配置文件下文件和打印机共享核心网络。远程访问连接管理器可配置VPN连接参数，强制使用可扩展身份验证协议（EAP）进行认证。

       配置组策略首选项

       在用户配置→首选项→Windows设置→注册表中新建注册表项，配置HKCUSoftwareMicrosoftWindowsCurrentVersionRun下的开机启动项。驱动器映射功能可创建持久化网络驱动器，设置操作方式为更新，勾选重新连接选项。首选项较策略的优势在于允许用户本地修改，适合非强制性配置。

       实施策略安全筛选

       在组策略管理控制台中选择策略属性，进入安全筛选选项卡。移除默认的身份验证用户组，添加特定安全组或计算机账户。如需排除某些用户，可添加组并设置拒绝应用组策略权限。当策略需作用于跨域对象时，应启用跨域策略继承选项并配置权限委派。

       配置策略继承与强制

       在组织单位级别右键选择阻止继承可中断域级策略传递。如需确保特定策略不被覆盖，在策略链接上右键选择强制生效。注意强制选项会导致所有下层容器继承该策略且无法阻止，通常仅用于安全基线策略。通过组策略建模向导可模拟策略应用结果，检测规则冲突。

       设置策略更新频率

       计算机配置→策略→管理模板→系统中配置组策略刷新间隔，非域控制器计算机建议设置为90分钟，随机偏移量设为30分钟。用户策略刷新间隔宜设置为120分钟。勾选即使在组策略未更改时也进行处理确保策略强制应用。对于移动设备用户，应启用慢速链接检测阈值设置。

       实施策略备份与还原

       通过组策略管理控制台右键点击组策略对象选择备份，指定备份存储路径并添加描述信息。还原操作时可选择导入设置，支持跨域还原但需注意安全主体映射。微软官方推荐每月执行完整备份，重大策略变更前执行增量备份。使用迁移表可解决跨域还原时的安全标识符引用问题。

       监控策略应用状态

       在客户端计算机运行命令提示符工具输入相应命令可生成策略结果集报告。组策略管理控制台中的组策略建模功能可模拟特定用户/计算机组合的策略应用效果。对于应用失败情况，检查事件查看器中应用程序和服务日志→Microsoft→Windows→GroupPolicy日志，常见错误代码0x80070035表示网络路径不可达。

       优化策略性能方案

       通过管理模板→系统→组策略中启用缓慢链接检测，阈值设置为500Kbps。禁用不使用的策略组件（如软件安装、脚本）可提升处理速度。对于远程办公室，部署组策略缓存功能减少广域网传输。定期使用组策略最佳实践分析器检测冗余配置，确保单策略设置项目不超过1000项。