组策略在Windows域管理中的应用

组策略在Windows域管理中的应用

摘要：为了简化Windows域管理人员的工作复杂度，提高管理效率，研究了Windows系统的组策略在Windows 域管理中的应用。首先对Windows组策略的工作原理进行了分析，明确了组策略的应用对象和处理规则。然后用实例来演示如何使用组策略在Windows域中部署软件以及如何设

置软件限制策略。介绍了基于Windows活动目录的域组策略的强大功能，通过在局域网的实际应用，阐述了组策略的设置方法。利用组策略来管理Windows域提高了工作效率，减轻了工作负担，使得软件的安装、维护和管理更为灵活和简便。

关键词：组策略；组策略对象；活动目录；域控制器；组织单位

中图分类号：TP316文献标识码：A文章编号：

1009-3044(2011)22-5390-03

Group Policy for Windows Domain Management

ZHANG Zhan

(Renmin University of Chian, Beijing 100193, China)

Abstract: To simplify the complexity of Windows domain management and improve management efficiency, the usage of

group policy in Windows domain management is studied. In the first place the principle of Windows group policy is elaborated. The target object and the rules of group policy are analyzed. Demonstrated how to deploy software and set the software restriction policies. Illustrated that group policy improves management efficiency of Windows domain, reduces workload and makes the software installation, maintenance and management more flexible and simple.

Key words: group policy; group policy object; active directory; domain controller; organization unit

组策略是Windows 2000及以后版本中新增加的功能，它给了我们过去的Windows系统从来没有提供过的服务――对用户计算机的集中而且详尽的控制。我们可以把它看作是NT 4.0系统中“系统策略”的改进。组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”为网络用户分发软件、设定用户可以运行的程序、自定义“开始”菜单并简化“控制面板”。此外，还可添加能在计算机上(在计算机启动或停止时，以及用户登录或注销时)自动运行的脚本，甚至可配置Internet Explorer。组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境，更加方便地管理整个网

络。但伴随着灵活性而来的是复杂性。如何熟悉、熟练应用组策略是系统管理员必须解决的一个问题。如果能够正确、灵活地运用组策略，就能使Windows系统发挥出更加强大的功能，为个人用户和企业用户带来更大的利益。

1 组策略简介

所谓组策略，就是基于组的策略。可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。组策略是自Windows 2000以来，操作系统

自带的最强大的设置管理工具之一。通过它，可以让我们更容易地管理计算机以及网络上的资源。

说到组策略，就不得不提注册表。注册表是Windows

系统中保存系统、应用软件配置的数据库，很多配置都是可以自定义设置的。但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory

对象并对它进行设置。

2 组策略的工作原理

2.1 组策略对象

组策略对象(GPO)的有关设置存储在域控制器中，只能在Active Directory环境下使用，适用于组策略对象所作用的站

点、域或组织单位的用户和计算机。与Active Directory 组策略对应的是本地安全策略。本地安全策略的设置存储在所有运行Windows 2000/ XP / 2003 / 2008 / Vista / Windows 7的计算机上。一个本地组策略对象只能存在于一台计算机上，只能作用于该计算机及本地用户。如果与Active Directory组策略的设置发生冲突，Active Directory组策略对象的设置就会覆盖本地安全策略对象的设置。如果不冲突，则两者都可以应用。可以将站点、域或组织单位为作用范围来定义不同层次的组策略对象，一旦定义了组策略对象，则该对象包含的规则将应用到相应范围的用户和计算机的设置。组策略对象的作用范围是由组策略对象链接来设置的。任何组策略对象想要生效，必须链接到某个Active Directory 对象(站点、域或组织单位)。

2.2 组策略的应用对象

用户和计算机是接收策略的唯一Active Directory对象类型，相应地称为用户策略和计算机策略。对于用户策略，无论用户登录到哪台计算机，组策略中的用户配置设置都将应用于该用户。用户在登录时获得用户策略。对于计算机配置来说，无论哪个用户登录到计算机，组策略中的计算机配置都将应用于该计算机。计算机在启动时获得计算机策略。

2.3 组策略的处理规则

当有多个组策略同时作用于一个活动目录对象时，最终

结果是这多个组策略的叠加。但如果这些组策略中间有冲突的地方，则根据下面的规则进行处理：

1) 当多个组策略同时设置在一个活动目录对象上面时，根据组策略配置界面中组策略的排列顺序，排在上面的组策略优先执行。

2) 当用户的组策略和计算机的组策略冲突时，绝大多数情况下是计算机的组策略最终生效，虽然计算机的组策略在用户组策略的前面执行。

3) 当站点、域、组织单位的组策略冲突时，执行次序是站点、域，然后是组织单位，最后执行的组策略生效。

3 组策略在网络管理中的应用

下面以Windows Server 2003域控制器为例．介绍组策略在网络管理中的应用。

3.1 使用组策略部署软件

Windows Server 2003可以结合组策略集中管理软件安

装部署。管理员可以配置域或者组织单位中的计算机或用户自动从指定的计算机得到软件并安装部署。

使用组策略管理软件可以有如下四个阶段：

1) 准备阶段

为了能让用户得到需要统一部署的软件包．管理员必须先把软件包准备好并放置在一个可以被网络计算机访

问到的分布点，通常是把软件包放置到共享文件夹中供用户

访问。使用组策略部署的软件包必须是扩展名为MSI的Windows安装程序文件。

2) 部署阶段

受组策略限制的计算机会根据组策略的设置把软件安

装到特定的计算机上或者特定用户登录的计算机上。

3) 维护阶段

当软件出现升级版本或者发布了最新的补丁时。管理员可以把补丁和升级包创建到组策略的软件设置中，而不必在逐台计算机上手动安装或者通知每个用户．这些工作可以集中在组策略中一次性完成。

4) 删除阶段

统一删除软件也可以用组策略完成。这样可以让管理员方便地集中管理网络环境，大大减少了维护大量计算机的工作负荷。

在组策略中部署软件可采用“发布”或“指派”两种方式之一来分发软件。

发布：如希望由用户决定是否安装应用程序．则可采用发布的方式。发布完成后，在客户机控制面板中的“添加／删除程序”项中将会显示该程序包。

指派：当希望所选组策略对象中的每个用户均必须在计算机上安装该应用程序，可采用指派的方式。指派完成后，该应用程序将出现在用户的“开始”菜单中，用户可以利用

运行程序和文件激活的方式安装程序。在Windows Server 2003中提供了新的选项，可以让指派给用户的软件在用户登录的时候自动被安装。如果在组策略中指派给计算机，当计算机启动后软件将自动被安装。

下面假设一个软件安装实例：

我们要进行的是通过软件部署给所有客户端计算机安

装adminpak.msi(Windows Server 2003管理工具包)，首先把该工具包保存到域控制器上一个共享文件夹中。

在域控制器上打开用户和计算机控制台，目标组织单位上点击鼠标右键并打开属性对话框，打开“组策略”选项卡，点击“新建”按钮，创建一条软件分发策略“tools”。选中这条新建的“tools”策略，点击“编辑”。

在窗口左侧的树形列表中展开“计算机配置＼软件设置＼软件安装”，右键单击软件安装，单击“新建”，然后单击“软件包”。

在“打开”对话框中。通过浏览方式找到该软件包并单击“打开”。在“部署软件”对话框中．可采用“已指派”或“已发布”两种方式之一来分发软件。

通过以上介绍，我们可以看到利用组策略中的软件分发功能提高了工作效率，减轻了工作负担，使得软件的安装、维护和管理更为灵活和简便。

3.2 使用组策略配置软件限制策略

软件限制策略可以防止计算机环境中被安装运行未知

的或不被信任的软件。组策略对象中应用的默认的软件限制策略的安全级别是不限制任何软件。管理员可根据需要在软件限制策略中添加配置若干类型的附加规则：

1) 哈希规则

使用哈希规则，管理员可以列出要阻止或明确允许的程序文件。程序文件经哈希规则处理后将形成一个加密指印，无论文件名称或位置如何变化此指印都保持不变。可以使用此方法阻止某个程序的特定版本运行，或者使某个程序无论在什么位置都不能运行。

2) 证书规则

通过提供软件发行商的代码签名证书来构建证书规则。与哈希规则类似，证书规则的应用不考虑程序文件的位置或名称。

3) 路径规则

路径规则应用于从指定的本地或网络路径以及从路径

中的子文件夹中运行的所有程序。

4) Internet区域规则

可以使用Internet区域规则应用软件限制策略规则。目前这些规则仅应用于从该区域运行的Windows 安装程序包。

下面介绍软件限制策略的应用实例：

在本例中，我们假设了这样的应用：员工的计算机仅可

运行操作系统自带的所有程序以及工作所必须的Word、Excel、PowerPoint和Outlook。

在域控制器上打开用户和计算机控制台，在目标组织单位上右击并打开属性对话框，打开“组策略”选项卡，点击“新建”按钮，创建一条软件限制策略"soft”。选中“soft”策略，点击“编辑，在窗口左侧的树形列表中展开“计算机配置＼Windows设置＼安全设置＼软件限制策略”，右击软

件限制策略，单击“创建软件限制策略”。

此时系统将会新建两个新的条目：“安全级别”和“其

它规则”。其中在安全级别条目下有两条规则：“不允许的”和“不受限的”。前者的意思是默认情况下，所有软件都不

允许运行，只有特别配置过的少数软件才可以运行。而后者的意思是默认情况下，所有软件都可以运行，只有特别配置过的少数软件才被禁止运行。本例中需要运行的软件都已经确定，所以我们使用“不允许的”作为默认规则。

在右侧面板空白处右击，选择“新建哈希规则”，在对

话框中点击“浏览”按钮，然后定位所有允许使用的Office

程序的可执行文件并双击加入。在“安全级别”菜单下选择“不受限的”，点击确定退出。

在哈希规则中，一个特定文件的哈希值是固定的，只要文件内容不发生变化，那么它的哈希值就永远不变。这样也就避免了造假的可能。不过同时也存在一个问题，虽然文件

的哈希值可以不变化，但是文件本身可能会需要某些改变。例如安装了一个Word的补丁程序，那么winword.exe文件的哈希值可能就会变化。因此如果选择创建这种规则，每当软件更新后就需要同步更新一下相应的规则，否则正常程序的运行会受到影响。

同理，可以在组策略编辑器中对用户的桌面图标、任务栏和开始菜单、IE浏览器主页等其他用于客户端的操作环境根据管理的需要做出相应的设置。总之，基于活动目录的域组策略为我们提供了强大的管理功能，简化了管理任务，实现了安全设置，从而可定制整个网络的计算机和用户环境。

4 结束语

在全球信息化时代，大型企业的内部网络和Internet是企业信息系统不可缺少的组成部分。如何在企业内部按照不同部门的职能，按照每一个雇员的任务，有效地布置和管理系统的资源和信息，有效地控制谁该获得什么信息，是一项复杂而艰巨的任务。网络越大，服务器和工作站越多，其管理就越复杂。Windows组策略为系统管理员提供了比较好的完善的管理手段。

随着最新操作系统的普及，越来越多的人将会接触到组策略，将会切实感受到由组策略强大的功能所带来的便利。通过简单的设置，组策略就能根据网络用户特定的需求改变操作系统的设置，极大地提高了网络管理员的工作效率。未

来操作系统的不断完善，会使组策略也随之完善，其功能将越来越强大。完善和开发组策略的功能，必将是未来人们所面临的新课题。

参考文献：

[1] Moskowitz J.Group Policy:Fundamentals,Security,and the Managed Desktop[M].Wiley Publishing,2010.

[2] Reimer S,Kezema C,Mulcare M,et al.Windows Server 2008 Active Directory Resource Kit [M].Microsoft Press, 2008.

[3] Melber D.Windows Group Policy Resource Kit:Windows Server 2008 and Windows Vista[M].Microsoft Press,2008.

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置 编辑整理： 尊敬的读者朋友们： 这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。 本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具） 使用：运行---〉gpmc。msc 如下键面： 文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组

3.用本地用户登录机器查看！ 禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

Active+Diretory+全攻略--组策略

组策略与OU中的组没有关系，不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如：用户桌面环境、计算机启动/关机所执行脚本文件，用户登录/注销所执行的脚本文件、文件重定向、软件安装等。 一、组策略的基本概念 1、组策略的设置数据保存在AD数据库中，因此必须在域控制器上设置组策略。 2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。 3、组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU） 4、组策略不适用于WINDOWS9X/NT的计算机，所以应用到这些计算机上无效。 5、组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应使用本地安全策略来管理。注意一下：本地安全策略与组策略很相似，但功能较少，仅能管理本机上的计算机设置与用户设置。 GPO的特性： 组策略的设置数据都是保存在“组策略对象“（GPO）中，GP O具有以下特性：

1、GPO利用ACL记录权限设置，可以修改个别GPO的A CL，指定哪些人对该GPO拥有何种权限。 2、用户只要有足够的权限，便能够添加或删除GPO，但无法复制GPO。当AD域刚建好时，默认仅有一个GPO--DEFA OLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略，通常会再另行建立GPO，以方便管理。 GPO的内容： GPO有两大类策略：1、计算机设置：包含所有与计算机有关的策略设置，这些策略只会应用到计算机帐户。 2、用户设置：包含所有与用户有关的策略设置，这些策略只会应用到用户帐户。 下面来看下

组策略分发软件全攻略

组策略分发软件全攻略 2008-12-23 13:26 在规模比较大的网络环境里面，为了对服务器和客户机上的软件、系统补丁进行集中统一的管理，我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新，不在本文讨论，请参考其它相关技术文档。虽然SMS功能较强大，兼容性好，绝大多数应用软件都可以用它来管理，但是它比较复杂，实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话，其实我们还是可以回归到比较原始的技术： 利用GPO实现软件设置 ● 分发软件 ● 修复软件 ● 删除软件 ● 升级软件 优点：易实现 缺点：功能简单、兼容性差（只能分发winodows安装程序包——.msi，exe 封装的程序安装包要用Advanced Installer重新封装成msi文件） 实现：前提是熟悉Winodows Server活动目录的基本管理，理解组策略，熟悉通过AD部署组策略 一、获取要分发的软件

如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用，但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包，所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包： 1、运行Advanced Installer，打开新建工程向导，按向导做 选择“语言”、“重新包装安装”——>“确定” 2、按向导提示，关掉真正运行的其它程序，下一步

3、选中捕获新的安装

4、指定要重新包装的源程序，并设置名称、版本等信息 5、如图，选中新的系统捕获

6、指定“安装捕获配置文件”保存路径，其它默认

Windows环境中组策略处理优先级详解

Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户（或计算机）的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息，请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的： 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理，都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理，然后是链接到其子 组织单位的GPO，依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中，可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO，它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 该顺序意味着首先会处理本地GPO，最后处理链接到计算机或用户直接所属的组织单位的GPO，它会覆盖以前GPO 中与之冲突的设置。（如果不存在冲突，则只是将以前的设置和以后的设置进行结合。） 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响： GPO 链接可以“强制”，也可以“禁用”，或者同时设置两者。默认情况下，GPO 链接既不强制也不禁用。

组策略详解

组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号：大中小 组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是 打开控制台，将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也 是本文的重中之重。

组策略终极应用技巧

组策略终极应用技巧 出处：中国IT实验室责任编辑：ANSON2006-03-17 15:39:34 关闭缩略图的缓存（Windows XP/2003） Windows XP/20003系统系统具有缩略图的功能，为加快那些被频繁浏览的缩略图显示速度，系统还会将这些显示过的图片置于缓存中，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。若你不希望系统进行缓存的话，则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理，反而会大大加快第一次浏览的速度。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示：若你的电脑是一个网络中的共享工作站，为了数据安全，建议你启用该设置以关闭缩略图视图缓存，因为缩略图视图缓存可以被任何人读取。

屏蔽系统自带的CD刻录功能（Windows XP/2003） Windows XP/2003系统自带CD刻录功能，若你有刻录机连接在电脑上，在Windows 资源管理器中可以直接将数据犹如复制一样写到CD－R上。这样虽然方便，但是会影响系统性能和资源管理器的执行速度，再加之大部分用户都习惯了运用专用刻录软件进行刻录，所以我们建议无论电脑上有无刻录机，都可以利用组策略来屏蔽此功。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示：该设置不会阻止用户使用第三方应用程序来刻录或修改CD－R。 限制IE浏览器的保存功能（Windows 2000/XP/2003）

当多人共用一台计算机时，为了保持硬盘的整洁，对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢？具体步骤如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”，然后将右侧窗格中的“…文件?菜单：禁用…另存为...?菜单项”、“…文件?菜单：禁用另存为网页菜单项”、“…查看?菜单：禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改，可以将“…工具?菜单：禁用…Internet选项...?”策略启用。此外，如果个人需要的话，还可以在该窗格中禁用其他项目。 禁止修改IE浏览器的主页（Windows 2000/XP/2003） 在IE浏览器中可以设置默认主页，如果不希望他人对自己设定的IE浏览器主页进

域组策略域控中组策略基本设置

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！-----gpmc.msi （工具） 使用：运行--->gpmc.msc 如下键面： 文件夹重定向： 1.在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患！） 2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件： 1.给域用户基本权限（Domain user），但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组 3.用本地用户登录机器查看！ 禁止卸载： 1.权限domain user + 管理模板（相当于改动注册表！！） 2.再把控制面板里的“添加删除程序”禁用 禁止使用USB: 1.工具（程序模板usb.adm）,拷到C:\WINDOWS\inf\usb.adm 3. 4. 5. 6. 7.客户端机器重启生效 禁止绿色软件安装，如：迅雷，QQ等--------建立哈希规则： 建立了哈希规则后不论此软件放在机器的任何路径，都将被禁止！ GPO软件分发： 1.工具：Advanced Installer 制作MSI格式文件 2.在DC上建立一共享文件夹。把*.MSI格式文件放入，附Authenticated 可读，Admini 完 全控制 3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名) 4.软件安装右击→程序包-→*.MSI →已发布\已指派 停止域客户端的防火墙： 右击，域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall 漫游： 1.账号在客户机上登录 2.在server上建议账号空间

2003系统域的组策略应用详解_

域网络构建教程（4）组策略 古人云：运筹帷幄之中，决胜千里之外。这大概就是用兵的最高境界了吧！作为一个生于和平年代的网络管理人员，这辈子带兵是没戏了。不过在域环境的帮助下，这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的 XP 系统上一直存在，通过在运行栏中输入 gpedit.msc 就可以启动本地计算机的组策略编辑器。截图如下： 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器，所见即所得一直都是微软的看家本领啊。有了域环境之后，通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中，我感觉这种管理与控制几乎覆盖了使用中的方方面面，反正现在我只要在域控制器上动动手指头，就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的，有兴趣的可以在看完本文后自己实践一下（后果自负 哈）。

闲话少说，书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器，注意这里不能使用gpedit.msc（那是编辑本机策略的），而要打开“开始——程序——管理工具——Active Directory 用户和计算机”。 截图如下： 在打开的窗口中选择你的域名，并在其上右击选择属性，然后在弹出的属性对话框中选择组

策略。现在你就会看到默认域策略——Default Domain Policy，截图如下： 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy，这样便于我们随时恢复到系统默认的设置。呵呵，留条出迷宫的路，是所有操作前的必修课。 默认的不让动，那我们怎么编辑组策略呢？答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机，注意组织单位将是一个我们经常使用的划分方式，组策略可以按层次模式很好的在其上运行，这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式，组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了，出了问题还便于排查错误。为了演示这种层次模式，我新建一个名为“用户和计算机”的组织单位，并将原来的两个组

域组策略应用详解

Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

3种用组策略将域帐号加入本地管理员组的方法

3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”

2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。 第1种方法的步骤很简单： .在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图 第2种方法：

为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下： 为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： https://www.wendangku.net/doc/1518049372.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：

在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组

window实验手册组策略规划

w i n d o w实验手册组策 略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】

教学时 间 第五周2008-3-18 教学课 时 3 教案序 号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略 教学过程： 一、OU（组织单元）的管理 1、OU的概念 域是最小的管理单位，在活动目录中，域一般对应公司，而OU则对应于公司中的部门。OU是活动目录中的容器，可以在OU中建立用户、组等其他对象，也可以在OU中建立OU。 2、建立OU及子对象 （1）注意图标。 （2）建立步骤：在需要创建的空白处右击，选择“新建”——“组织单元”，在对话框内输入OU名称即可。 （3）在OU中可以放用户、组、打印机、共享文件夹、子OU等。 实验一：OU的管理 1、在下中新建“教师”和“学生”两个OU，再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1，t2账户，“学生”OU中包括s1，s2账户，“普通教师”OU中包括c1，c2账户。

二、组策略概述 1、组策略的概念 （1）组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括管理模板设置、Windows设置、软件设置。 （2）组策略配置包含在一个组策略对象（GPO）中，该对象又与选定的活动目录服务容器（如站点、域、组织单元OU等）相关联，不会影响没有加入域的计算机和用户。 （3）组策略配置类型有：计算机配置和用户配置。 （4）组策略分为：本地安全策略和活动目录的组策略。 本地安全策略适用于本地用户和组，我们所讲的是活动目录的组策略，活动目录安装好以后就自动建立了两个组策略（域控制器安全策略和域安全策略）。 2、组策略的应用顺序 （1）本地组策略 （2）域组策略 （3）域控制器组策略 （4）组织单元组策略 三、组策略对象的管理 我们可以通过Active Directory用户和计算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。 1、创建组策略 步骤：右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略 步骤：右击-属性-“组策略”选项卡-“编辑”按钮

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

使用域组策略及脚本统一配置防火墙

使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置； 统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法； 1 域组策略统一配置防火墙 使用域管理员登录域控制器，打开“管理工具>组策略管理”； 在目标组织单位右击，新建GPO； 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；

选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务； 结果如下； 1.1.2 查看客户端结果 重启XP客户端查看结果

重启Win7客户端查看结果 1.2 开放客户端防火墙端口 （注：首先将上面组策略中的系统服务设置还原在进行下一步的配置） 1.2.1 域策略配置 右击目标GPO选择编辑，选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；

组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM)，它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读 实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠 ：1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

Windows组策略应用大全

Windows组策略应用大全.txt9母爱是一滴甘露，亲吻干涸的泥土，它用细雨的温情，用钻石的坚毅，期待着闪着碎光的泥土的肥沃；母爱不是人生中的一个凝固点，而是一条流动的河，这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? （一）组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 （二）组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows?9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows?2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active?Directory?对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1）System.adm：默认情况下安装在“组策略”中，用于系统设置。 2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet?Explorer策略设置。 3）Wmplayer.adm：用于Windows?Media?Player?设置。 4）Conf.adm：用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows?9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

组策略完全使用手册

组策略完全使用手册 对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。 使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开： (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

组策略应用之域环境内的统一发放补丁

组策略应用之域环境内的统一发放补丁 这是平常应用中的一个小案例，说出来和大家分享一下，现在很多公司都是用MS的产品，而且都是用域来管理，大家都知道AD的好处就是能统一资源管理，而在AD中起到关键作用的就是“组策略”。 说说本人在日常管理中的应用小窍门，说白了也不是什么小窍门，只是按规章办事就好而已，做足了这些工作之后就能做个轻松的管理员，可以减少很多病毒的困扰和很多麻烦琐事。那就是 1：对所有电脑统一发放最新系统更新补丁，很多病毒蠕虫都是趁着这个来的了2：及时更新杀毒软件病毒库 3：给员工适合的权限也能大大减少中病毒木马的几率，例如一个只有USER权限的员工，中了木马后没有安装的权限所以木马就运行不起来，给相应的权限很重要把，呵呵…这些做足了，很多病毒木马想找你都没门了。 好了越扯越远了，接下来就来说说AD环境中统一发放补丁的一个组策略应用把，想要统一发放补丁就必须先搭建一个WSUS服务器，MS免费的哦，难得啊还不好好利用，怎么搭建和应用这里就不讲了，大家百度谷歌吧，当我们搭建好了WSUS服务器之后就开始我们的组策略之旅了。 这里我更新域里面的所有计算机 新建策略“UPDATE”

小名取好之后就“编辑”吧

打开组策略后依次展开计算机配置>Windows组件>Windows Update

看到右边的配置自动更新了吗？

我们启动它，配置如图,更新计划和时间可以根据自身的情况去定

我们再来配置“指定Internet Microsoft更新服务位置”也就只填进你WSUS服务器的URL路径，指定了端口的还要把端口也加上去

Windows操作系统组策略应用全攻略

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是Config.pol)文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)System.adm：默认情况下安装在“组策略”中，用于系统设置。 2)Inetres.adm：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。