Active Diretory 全攻略 组策略
Active Diretory 全攻略(八)--组策略(2)现在来介绍文件夹重定向、密码策略、帐户锁定策略和系统管理模板。
先来看一如何打开组策略对象编辑器:
选属性
选要编辑的GPO,然后点编辑。
看左最上角,可看出是哪个GPO的编辑。
下面来看文件夹重定向:
系统管理员可以将本地用户配置文件中的MY DOCUMENTS、桌面、开始菜单和APPLICATION DATA 这4个文件夹定向到网络上。就是说当文件夹重定向后,当用户保存文件到我的文档时,数据不再保存放在本机,而是保存到网络位置,但是用户仍可以在开始菜单上看到我的文档。当重定向后,用户可以从域中任何一台计算机,访问到相同的MY DOCUMENTS、桌面、开始菜单和APPLICATION DATA文件夹。
下面来看重定向我的文档
重定向我的文档有两种模式可选择:
基本设置:无论用户隶属哪个组,一律将他们的我的文档文件夹定向到相同的位置
高级设置:依照所属的组,将用户的我的文档文件夹定向到不同的位置。例如把隶属于MANAGERS 组的用户,定向到MING计算机的共享文件夹。
下面以高级设置为例:首先在组策略对象编辑器窗口的“用户设置/WINDOWS设置/文件夹重定向/MY DOCUMENTS上右击,执行属性。
拉下拉列表,选择高级。
按添加。
直接输入组名称,或按浏览选择组。
目标文件夹位置有下面几种:1重定向到用户主目录这里所谓的主文件夹:
这里设置什么就定向到这里所设置的路径。
2、在根目录路径下为每一用户建立一个文件夹:若选此项,下方还会出现根路径字段,用来设置根目录的位置,假设将根目录设为mingupload,则我的文档文件夹实际被定向到mingming%username%my documents.其中%username%my documents是系统自动建立的。如下
3、重定向到下列位置:若选这项,下方也会出现根路径字段,设置定向到哪个位置,但是系统不会在此位置下自动建立子文件夹。
4、重定向到本地用户配置文件位置:若选这项,默认定向在%systemdrive%documents and settingsusername%.
我们选第二种,继续如下:
完成后可执行GPUPDATE。EXE,使修改后的组策略立刻生效。
在客户端计算机按开始按钮,在我的文档右击,执行属性。便可知。
这是重定向的其它设置。
第一种情况:在选“将我的文档的内容移到新的位置”并选“策略被删除将文件留在新位置”:一旦删除此重新定向的策略后,MY DOCUMENTS仍然指向定向后的位置。但是用户只要在本机打开“我的文档属性”对话框,便可自行修改,使MY DOCUMENTS指回到本机上的文件夹。
但这个是没有被重定向。
第二种情况就是在选“将我的文档的内容移到新位置”并选“删除策略时将文件夹移回本地用户配置文件夹”:就是移回到c:document and settings%username%.并将mingdongguan的属性复制到C:Documents and Settings%username%
第三种情况:只选删除策略时将文件夹移回本地用户配置文件夹:将MY DOCUMENTS 指回到它的本地用户设置文件位置(C:Documents and Settings%username%).但是不会将mingdongguan的属性复制到C:Documents and Settings%username%.
安全性设置:
与系统有关的策略,都分门别类地保存放在“计算机配置/WINDOWS设置/安全设置”中。
安全性设置的各个子节点。
1、帐户策略:包含有三种策略,这三种与帐户安全性有关的策略只有应用在域才会生效,并且它们不受阻碍策略继承的限制。,注意:密码策略与帐户锁定策略虽然可以在组织单位中设置,但不会生效。
2、本地策略:用来限制哪些人可以通过网络登录或是直接登录本机访问资源,和要审核哪些工作。
3、事件记录:设置安全性、系统和应用程序日去文件的大小与保留天数等。
4、受限组。限制某组只能够包含特定的成员,适合用来管理本机内置组与全局组的成员。
5、系统服务:设置网络服务、文件与打印服务和电话与传真服务等系统服务的配置,设置哪些人有这些服务的权限。
6、登录:设置CLASSES-ROOT、MACHINE与USERS三种登录数据的安全性模板。安全性模板是定义哪些人拥有访问该登录数据的权限和权限的继承关系。
7、文件系统:设置目录或文件的安全性模板。就是说哪些人拥有该目录或文件的权限和权限的继承关系。
8、公开密钥策略:此策略同样是应用在域时才有效,也不受阻碍策略继承的限制。
其它具体策略怎么应用由于太多了,就不讲了,结束
利用组策略部署软件分发
【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容,可以使用隐藏共享文件夹,即在共享名字后加$符号。 三、创建组策略对象
Active+Diretory+全攻略--组策略
组策略与OU中的组没有关系,不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。 一、组策略的基本概念 1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。 2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。 3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU) 4、组策略不适用于WINDOWS9X/NT的计算机,所以应用到这些计算机上无效。 5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。 GPO的特性: 组策略的设置数据都是保存在“组策略对象“(GPO)中,GP O具有以下特性:
1、GPO利用ACL记录权限设置,可以修改个别GPO的A CL,指定哪些人对该GPO拥有何种权限。 2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。当AD域刚建好时,默认仅有一个GPO--DEFA OLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。 GPO的内容: GPO有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。 2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。 下面来看下
组策略分发Adobe Reader 10教程
组策略分发Adobe Reader 10教程 1,实验环境 域控:Windows Server 2008 R2 客户端:Windows XP SP3 32位 Adobe Reader版本:10.1.4 2,获取分发Adobe Reader的许可协议 按照Adobe公司的要求,分发Adobe Reader需要取得许可,仅为形式上的东西,申请网址为https://www.wendangku.net/doc/039267570.html,/cn/products/reader/distribution.html?readstep,申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader,免费的。 3,下载Adobe Reader msi包 官方下载地址:ftp://https://www.wendangku.net/doc/039267570.html,/pub/adobe/reader/win/。Adobe Reader 10.1.4版本只有MSP包下载,所以我们需先下载Adobe Reader 10.1.0的msi包,下载目录ftp://https://www.wendangku.net/doc/039267570.html,/pub/adobe/reader/win/10.x/10.1.0/zh_CN/,对于网内有中英文电脑的酒店,都可下载此中文安装包,只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示,单语言安装包只有66.8M,而多语言安装包有140多M,安装单语言安装包将快得多。然后在目录 ftp://https://www.wendangku.net/doc/039267570.html,/pub/adobe/reader/win/10.x/10.1.4/misc/下载名为 AdbeRdrUpd1014.msp的MSP包。 4,下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址:https://www.wendangku.net/doc/039267570.html,/support/downloads/detail.jsp?ftpID=4950。此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等,后面将详细介绍。 5,安装下载的MST生成工具 安装完后在工具栏中选择File --- Open Package,打开之前下载的Adobe Reader 10.1.0的msi包,请勿在msi包上单击右键选择Adobe Customization Wizard X用打开,这样打开将报错,弄得我还以为是电脑有问题。 6,生成MST文件 可参考如下文档 https://www.wendangku.net/doc/039267570.html,/content/dam/kb/en/837/cpsid_83709/attachments/Customization_ Wizard.pdf,接下来我将简单介绍几个实用的修改。
利用组策略来发布和指派软件
利用组策略来发布和指派软件 1、分发具备的条件: A、用户端必须是Windows 2000以上的版本 B、要加入域的计算机才受软件分发的影响 C、分发的软件的格式一定是*.msi 扩展:软件WinInstall可以将EXE的文件转换成MSI的 另外还有其它分发软件 2、分发的步骤: A、建立软件分发点即建一个共享文件夹将Msi的文件解压到共享文件夹中 B、建立组策略GPO(组策略容器) 注意:默认程序包位置要用UNC路径\\计算机名\a共享的文件夹名 C、发布软件方式有:发布和指派注意区别 1、指派方式有两种:指派给计算机和指派给用户; (1)指派给计算机:计算机启动时软件会自动安装在计算机里; 安装目录:Documents and setting\All User (2)指派给用户:不会自动安装软件本身 只安装软件相关部分信息,如快捷方式 何时会自动安装 1、开始运行此软件 2、利用“文件启动”功能(document activation) 2、发布方式:只有发布给用户,不能发布给计算机 1、软件不会自动安装 2、何时自动安装 “控制面板”>>“添加或删除程序”>>“添加新程序”D、客户端安装(注意:要有权限,是域的管理员可以安装,本地的管理员不行,或者设置策略来进行软件的安装) 下面就开始做实验:
1、打开域控制器,我就用callcenter.21cn.local来举例。如图:1-1 1-1 2、新建一个组织,命名为“callcneter”,如图:1-2 1-2
3、点击“callcenter”属性,然后点击“组策略”选项卡,点击“新建”>>,创建一个“组策略对象链接”命名为“deng”如图:1-3 1-3 4、点击“编辑”,如图:1-4 1-4
谈在windows server 中使用软件限制策略
在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。要创建此默认安全级不的特例,能够创建针对特定软件的规则。能够创建以下几种规则:?哈希规则 ?证书规则 ?路径规则
? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略,能够执行以下任务: ?操纵能够在计算机上运行的程序。例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上,仅同意用户运行特定的文件。例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
2003系统域的组策略应用详解_
域网络构建教程(4)组策略 古人云:运筹帷幄之中,决胜千里之外。这大概就是用兵的最高境界了吧!作为一个生于和平年代的网络管理人员,这辈子带兵是没戏了。不过在域环境的帮助下,这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的 XP 系统上一直存在,通过在运行栏中输入 gpedit.msc 就可以启动本地计算机的组策略编辑器。截图如下: 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器,所见即所得一直都是微软的看家本领啊。有了域环境之后,通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中,我感觉这种管理与控制几乎覆盖了使用中的方方面面,反正现在我只要在域控制器上动动手指头,就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的,有兴趣的可以在看完本文后自己实践一下(后果自负 哈)。
闲话少说,书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器,注意这里不能使用gpedit.msc(那是编辑本机策略的),而要打开“开始——程序——管理工具——Active Directory 用户和计算机”。 截图如下: 在打开的窗口中选择你的域名,并在其上右击选择属性,然后在弹出的属性对话框中选择组
策略。现在你就会看到默认域策略——Default Domain Policy,截图如下: 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy,这样便于我们随时恢复到系统默认的设置。呵呵,留条出迷宫的路,是所有操作前的必修课。 默认的不让动,那我们怎么编辑组策略呢?答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机,注意组织单位将是一个我们经常使用的划分方式,组策略可以按层次模式很好的在其上运行,这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式,组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了,出了问题还便于排查错误。为了演示这种层次模式,我新建一个名为“用户和计算机”的组织单位,并将原来的两个组
软件分发功能简易说明
软件分发功能简易说明 网络服务端五大功能区 控制及软件功能切换区 被控机管理员密码输入及被控机启动盘选择区 功能控制菜单区 主窗口 状态栏 控制及软件功能切换区 1.群组:用来选择需要控制的群组,最多可以控制80个群组。 2.电脑:用来选择群组中需要控制的计算机,一个网络服务端程序最多可以控 制一个群组中的80 台计算机。 3.电脑列表:列出所有收集到的安装Max-User 计算机相关信息及状态;包括 “群组”、“计算机名称”、“IP 地址”、“系统”、“模式”、“属性”和“网卡地址”。 4.档案传输:列出正在进行文件传输的计算机及状态。 5.网络唤醒排程:设定(新增、删除、修改)控制排程和设定(新增、删除、 修改)触发事件,主要用于在保护系统的系统保护。 6.帮助:提供电子版本的帮助文件。 7.关于:公司服务电话及Email。 8.离开:退出MaxControl控制软件操作界面。 输入被控端管理员密码输入及选择被控机启动盘
1.输入被控端管理员密码: 需要输入正确的密码才能对安装MaxUser的计算机进行控制,该密码与硬盘保护系统的密码一致。 2.选择被控机启动盘: 此处显示的操作系统为当前用户使用的操作系统的名称,同时可以通过选择不同的操作系统的名称配合功能控制菜单区中的功能选项进入不同的操作系统。 功能控制菜单 1.收集ID: 收集被控计算机ID,用于读取安装网络客户端程序的计算机状态,同时在主窗口界面中显示出来,用户可以根据主窗口的显示对该计算机进行相关的操作。若被控机处于硬盘保护启动菜单状态下,请选择按保护系统信息收集;若被控机已经进入Windows 操作系统状态下,请选择按操作系统信息收集。 2.网络唤醒: 将所选择的被控计算机通过网络唤醒。 需要将CMOS中的关于网络唤醒的选项打开,并确认被控计算机前次关机是从Windows 状态下进行正常 关机的。如遇以下情况被控机也将无法唤醒:公用电网停电、正常关机后单 机切断电源或机房统一切断电源。 3. 重启: 命令所选择的被控计算机进行重新启动的操作。 点击后将弹出如图所示的对话框: 此对话框将在您点击重启、关机、使用者模式、管理员模式、保留模式、备份、还原、指定启动盘、取消指定启动盘、维护排程、传递硬盘保护参数等按扭后弹出,由于以上功能均需要使被控端计算机重启或关机,因此该对话框可以根据您的需要使得被控计算机延迟相应的时间进行重启和关机以便使用者能及时保存重要信息,同时您可以在对话框中输入文字以提醒被控机的使用者。如果您选择“不显示信息”被控计算机会立即重启或关机。
Windows组策略中软件限制策略规则编写示例
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.wendangku.net/doc/039267570.html, 这样的目录(如C:\Program Files\https://www.wendangku.net/doc/039267570.html,\Site Map https://www.wendangku.net/doc/039267570.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
AD域中如何布置软件自动分发
AD域中如何布置软件自动分发 本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。您可以通过以下方法使用组策略分发计算机程序: ? 分配软件 您可以将程序分发分配到用户或计算机。如果将程序分配给一个用户,在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时,安装过程最终完成。如果将程序分配给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时,安装过程最终完成。 ? 发布软件 您可以将一个程序分发发布给用户。当用户登录到计算机上时,发布的程序会显示在“添加或删除程序”对话框中,并且可以从这里安装。 注意:Windows Server 2003 组策略自动程序安装要求客户端计算机运行 Microsoft Windows 2000 或更高版本。 创建分发点 要发布或分配计算机程序,必须在发布服务器上创建一个分发点: 1. 以管理员身份登录到服务器计算机。 2. 创建一个共享网络文件夹,将您要分发的 Microsoft Windows 安装程序包(.msi 文件)放入此文件夹。 3. 对该共享设置权限以允许访问此分发程序包。 4. 将该程序包复制或安装到分发点。例如,要分发 Microsoft Office XP,请运行管理员安装(setup.exe /a) 以将文件复制到分发点。 创建组策略对象 要创建一个用以分发软件程序包的组策略对象 (GPO),请执行以下操作: 1. 启动“Active Directory 用户和计算机”管理单元,方法是:单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。 2. 在控制台树中,右键单击您的域,然后单击“属性”。 3. 单击“组策略”选项卡,然后单击“新建”。 4. 为此新策略键入名称(例如,Office XP 分发),然后按 Enter。
组策略终极应用技巧
组策略终极应用技巧 出处:中国IT实验室责任编辑:ANSON2006-03-17 15:39:34 关闭缩略图的缓存(Windows XP/2003) Windows XP/20003系统系统具有缩略图的功能,为加快那些被频繁浏览的缩略图显示速度,系统还会将这些显示过的图片置于缓存中,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。若你不希望系统进行缓存的话,则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理,反而会大大加快第一次浏览的速度。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示:若你的电脑是一个网络中的共享工作站,为了数据安全,建议你启用该设置以关闭缩略图视图缓存,因为缩略图视图缓存可以被任何人读取。
屏蔽系统自带的CD刻录功能(Windows XP/2003) Windows XP/2003系统自带CD刻录功能,若你有刻录机连接在电脑上,在Windows 资源管理器中可以直接将数据犹如复制一样写到CD-R上。这样虽然方便,但是会影响系统性能和资源管理器的执行速度,再加之大部分用户都习惯了运用专用刻录软件进行刻录,所以我们建议无论电脑上有无刻录机,都可以利用组策略来屏蔽此功。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示:该设置不会阻止用户使用第三方应用程序来刻录或修改CD-R。 限制IE浏览器的保存功能(Windows 2000/XP/2003)
当多人共用一台计算机时,为了保持硬盘的整洁,对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢?具体步骤如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“…文件?菜单:禁用…另存为...?菜单项”、“…文件?菜单:禁用另存为网页菜单项”、“…查看?菜单:禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改,可以将“…工具?菜单:禁用…Internet选项...?”策略启用。此外,如果个人需要的话,还可以在该窗格中禁用其他项目。 禁止修改IE浏览器的主页(Windows 2000/XP/2003) 在IE浏览器中可以设置默认主页,如果不希望他人对自己设定的IE浏览器主页进
组策略对windows7的安全性设置(陈琪) - 修改
组策略对windows7的安全性设置 陈琪 (重庆市商务学校重庆市大渡口区400080) 【摘要】:现在Win7系统已成为电脑市场的主流,大量企业和家庭个人都选择使用Win7系统,主要是Win7系统设计具有人性化、操作非常的简单,更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷,用户往往是通过第三方软件来实现,但是这些方法往往不具有个性化的设置,而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】:组策略点击用户配置驱动器木马权限哈希值【引言】:在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此,限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的,有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】: 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。
1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器:点击“开始”,在搜索框中输入“gpedit.msc”,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器”,选择“已启用”,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机”,刚才选择的驱动器图标就不见了。提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备(例如闪存、移动硬盘等)已经成为不少用户的标准配置,使用也最为广泛。正因如此,它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵,因为病毒传播都是通过执行病毒和木马程序来实现的,因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”,进入“可移动磁盘:拒绝执行权限”,选择“已启用”,确定后设置生效。移动设备上的可执行文件将不能执行,计算机也就不会再被病毒感染。而如果需要执行,只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网,可是说实话,现在上网一点也不省心,病毒、木马和流氓软件横行,连不少大网站都会被挂一些别有用心的软件,用户真是防不胜防。所以网络安全性的设置相当重要。
组策略 软件分发
用组策略部署软件,省心又省力! 责任编辑:李鹏作者:姜磊福 2006-06-20 【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略 软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的 \VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可 以在https://www.wendangku.net/doc/039267570.html,/下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI 包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
使用域组策略及脚本统一配置防火墙
使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置; 统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法; 1 域组策略统一配置防火墙 使用域管理员登录域控制器,打开“管理工具>组策略管理”; 在目标组织单位右击,新建GPO; 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO,选择编辑GPO,选择“计算机配置>策略>Windows设置>安全设置>系统服务”;
选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务,并禁用该俩项服务; 结果如下; 1.1.2 查看客户端结果 重启XP客户端查看结果
重启Win7客户端查看结果 1.2 开放客户端防火墙端口 (注:首先将上面组策略中的系统服务设置还原在进行下一步的配置) 1.2.1 域策略配置 右击目标GPO选择编辑,选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”,下面的子集即为客户端防火墙配置项目,此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集,其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用;
组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM),它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。
域组策略应用详解
Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境,实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.
2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
域环境通过组策略分发软件给客户端讲课稿
域环境通过组策略分发软件给客户端
域环境通过组策略分发软件给客户端 通常情况下,我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦)。通过在组策略的“计算机配置”中的“软件安装中,点击右键,如何选择程序包,通过UNC路径(注意了哦:这个是网络路径,所以,管理员必须把此软件共享出去)找到程序位置。如何,选择"已指派"就可以了。当然,在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有?在发布好软件后,选择软件里面的属性,查看“部署”,可以看见“指派”与“发行”两个选项(计算机配置中,发行为灰色)。所以,这里有就有三种软件部署的方法了: 1、发行给用户 2、指派给用户 3、指派给计算机 下面,来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时,软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式,用户再任何一台电脑登陆域,都可以在开始菜单与桌面上看到软件的快捷方式。同时,计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时,计算机就会自动下载安装次软件。但与发行给用户不同的是,用户可以删除此软件,但是,下次登陆时,它还是会出现,意思是说,它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式,用户不用手动执行,计算机会在启动时,自动下载并安装此软件。用户不能删除此软件,只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员
window实验手册组策略规划
w i n d o w实验手册组策 略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】
教学时 间 第五周2008-3-18 教学课 时 3 教案序 号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略 教学过程: 一、OU(组织单元)的管理 1、OU的概念 域是最小的管理单位,在活动目录中,域一般对应公司,而OU则对应于公司中的部门。OU是活动目录中的容器,可以在OU中建立用户、组等其他对象,也可以在OU中建立OU。 2、建立OU及子对象 (1)注意图标。 (2)建立步骤:在需要创建的空白处右击,选择“新建”——“组织单元”,在对话框内输入OU名称即可。 (3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。 实验一:OU的管理 1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述 1、组策略的概念 (1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。 (2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。 (3)组策略配置类型有:计算机配置和用户配置。 (4)组策略分为:本地安全策略和活动目录的组策略。 本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。 2、组策略的应用顺序 (1)本地组策略 (2)域组策略 (3)域控制器组策略 (4)组织单元组策略 三、组策略对象的管理 我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。 1、创建组策略 步骤:右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略 步骤:右击-属性-“组策略”选项卡-“编辑”按钮
使用组策略限制软件运行示例
组策略之软件限制策略——完全教程与规则示例 导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘) %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符: Windows里面默认
组策略禁止客户端软件安装及使用
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图: