组策略配置及实践技巧
组策略对象可以应用到的容器包括:站点、域、和OU中。
默认的域策略、域控制器策略尽量不要去修改。
默认的域策略会影响到所有的域内的用户,计算机以及DC,默认的域控制器策略只会影响到域内的所有的域控制器。
组策略(group policy)对象包括组策略容器(GPC)和组策略模板(GPT)
组策略是AD集中管理的工具。GPC存放在AD用户和计算机中。存放位置如下:高级功能-选择域-system-policies对应的UID中,单击属性可以查看版本号等信息,CPT存放于sysvol\域名\polilcies\ID number下的文件夹下,包含计算机和用户的配置,以及版本号。
多个GPO可以链接到一个容器,一个GPO可以链接到多个容器。
计算机如何知道组策略是否更改过?如何获取适合自己的组策略?
计算机在登录时首先查看GPlink(adsiedit.msc中域-属性-属性编辑器),查看ID和对应的版本号是否更改过,以便登录的时候实施对应的组策略。
计算机和用户如果要应用组策略对象的设定:
计算机和用户必须位于GPO有链接的SDOU容器内。
必须对GPO要有读取和应用组策略的权限。
组策略对象冲突时:
1:计算机策略覆盖用户策略。
2:不同层次的策略产生冲突时,子容器上的GPO优先级高
3:同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。(按照链接的组策略对象的顺序执行)
总体原册:后执行的优先级高。
变更组策略管理顺序:阻止继承,强制。设为强制的GPO优先级最高。阻止继承:就是在父策略的对象不在子策略中实施。不要轻易设置强制和阻止继承。方便排错。
安全策略:删除默认的authenticated user组,按照GPO设定创建安全组,为安全组分配权限。
问题:如何实现OU内的GPO只对OU内特定人员生效?(GPO只对财务部OU和销售部OU的经理生效)
使用安全过滤;在AD用户和计算机上新建一个安全组,将需要生效的成员(经理)添加进来,在所要生效的GPO中右击属性-委派-高级,删除默认的authenticated user组,将新建的安全组添加进来,权限中设置读取和应用组策略权限即可。(尽量不要使用,方便排错)
如何使其他用户具有编辑组策略的权限?
在所设置的组策略上点击添加,将用户添加进来,给予相应的权限,给定的用户即可编辑对应的组策略。
如何设置域中用户具有修改域的所有组策略(不包含给定权限的用户自己编辑的组策略)的权限?单击AD用户和计算机,单击group policy creator owners-属性,将需要添加的成员添加进来即可。
如何设置域中GPO的链接的权限?(将设置的组策略对象链接到相应的容器中的权限)
在AD用户和计算机上单击域,右击委派控制-添加,将要添加的用户添加进来,然后给予相应的权限即可。
如何查看当前系统新增的组策略功能?
GPedit中单击管理模板-查看-筛选器选项,勾选相应选项即可查看。
组策略结果集RSoP的用处?
MMC中添加策略的结果集即可以打开RSoP
可以选择记录模式和计划模式,记录模式显示当期应用的组策略结果,计划模式显示模拟的即将应用的组策略结果,单击更改查询切换,进行查询。
GPMC中策略的结果为RSoP的记录模式。(推荐使用)提供HTML报告,可以保存报告
组策略建模的作用?
打开方式:GPMC中,右键组策略建模、OU节点、域名节点下拉菜单中单击组策略建模向导。
在组策略排错方面与组策略结果集配合使用可以方便排错。
软件限制策略常用有哪些?
有路径规则域哈希规则。路径规则可以限制咋某个路径下的文件的限制,用户修改了此文件的路径,便无效。哈希规则即为限制某个文件的哈希值,无论文件在何处,都不可以运行。
如果一个程序有多个软件限制策略规则,该如何应用?
按照1:哈希;2:证书;3:路径;4:internet区域路径规则;优先级顺序执行。
组策略的执行顺序为:本地策略、站点策略、域策略、父OU策略、子OU策略。后执行的优先级高。如多于一个的同类规则作用于同一个程序,则同类规则中最具有限制能力的规则起作用。
使用软件限制策略的最佳实践:
1.不要修改默认的域策略,不要链接外域策略。
2.坚持为软件限制策略建立独立的组策略对象。
3.如果应用软件限制策略出现预期之外的问题,请以安全模式启动计算机修正策略。
4.为获得最好的限制效果,请连同访问策略一起使用软件限制策略。
5.在软件限制策略应用前应在测试环境进行测试。
6.慎重使用“不允许的”默认策略
7.不要删除系统自动建立的注册表路径规则
多个组策略的合并
1.默认安全级别、文件类型、check dll、skip admin均由最高及的GPO设置
2.附加规则将被合并
3.如同时在计算机和用户上建立了SRP(安全级别),则:
1.限制最严格的默认安全级别被选择
2.文件类型以计算机的优先,没有才使用用户的
3.skip admin一直用计算机的策略
4.check dll只要设置了就启用
5.其他规则将被合并
软件分发的共享文件夹权限如何设置及操作步骤?
先在服务器端建立一个共享文件夹设置成隐藏共享,只读和执行即可,无须给更高权限。其次策略-软件设置,点击软件安装。选择网络路径安装,不可点击本地路径安装。路径指向隐藏的共享文件夹,客户端在登录的时候双击此文件便自动安装。
指派和发布如何区分?
将软件指派给计算机,会安装到all user中,所有使用此计算机的用户均可使用,仅管理员可卸载。将软件指派给用户,会在开始菜单中添加一个快捷方式,双击即安装。
不能将软件发布给计算机。
将软件发布给用户时,会在添加删除程序中显示发布的软件。
单击此软件程序的文件时,会自动查询DC后,关联进行安装。
系统会通过指派或发布的软件自动探测并修复已经损坏的软件。
软件发布指派时,单击软件安装-属性,指定将要发布的软件的网络位置,\\计算机名\文件夹
对于要写入注册表的软件,打开组策略的安全模板-兼容性安全模板,降低客户端对注册表的权限。文件夹重定向如何操作?
服务器端创建共享文件夹,在共享和安全给予相应足够的权限,单击组策略管理器-目标,文件夹重
定向,设置选择高级,指定安全组成员身份(为哪些用户做文件夹重定向)添加,选择安全组成员,及根路径(须为网络路径),设置选项查看相应选项。
GPMC中的安全筛选很重要。可以限制特定用户使用某个GPO。
迁移表的用处?跨域迁移
在实验环境中调试的GPO想应用于生产环境中,在复制和导入时,安全主体(用户名、组、计算机)UNC不一致,应用之前使用迁移表,影射源GPO中的安全主体、UNC到目标GPO中新值的文件。打开迁移表方式:mtedit.exe GPMC下,右击域下拉菜单中选择打开迁移表编辑器。
右击组策略对象中选择打开迁移表编辑器。
适用于迁移表的安全主体包括:
安全策略设置中的用户权限分配、受限制的组、系统服务、文件系统、注册表
高级文件夹重定向策略设置
GPO的DACL(执行复制操作时,选择保留)软件安装对象的DACL
适用于使用迁移表的UNC:
文件夹重定向策略设置软件安装策略设置中的软件分发点脚本指针
使用迁移表:
使用前先验证表(工具-验证表)
“从GPO写入”和“从备份写入”自动填充迁移表
推荐使用使用“独占方式使用迁移表”
如何禁止客户端本地登录,只能使用域环境登录?
打开GPMC,在所要设置的GPO中编辑如下:
计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中,单击允许本地登录,
安全选项中,帐户:管理员帐户状态,禁用,可以实现只能登陆到域。
管理模板
管理模板的策略是基于注册表的策略,管理模板定义了如何修改注册表。
组策略中提供大量的设定使管理员可以通过一次设定,管理多台计算机或者多个用户。
组策略中很大一部分设定实际上是改动注册表(registry_based_policy)
管理模板(.Adm)文件定义了组策略如何修改注册表
所有基于注册表的组策略设定存为registry.pol,存放在sysvol中。
.adm文件实际上提出一种供企业管理员管理客户端注册表/应用程序的配置方法。
组策略的实践技巧
1.单独保留默认的GPO
密码、帐户锁定、kerberos策略、登录时间用完自动注销用户、重命名管理员帐户和重命名
来宾帐户必须在域级别实现。
2.设计你的OU结构
一. 将DC放在DC所在的OU并单独管理,不要移动,此OU中含有default domain controller policy 二. 为用户和计算机创建单独的OU
使用OU把用户和计算机按照角色分组。不同角色的用户、服务器放在不同的OU中
域控制器保留在默认的domain controllers OU下
3.反对跨域GPO链接(父域的GPO直接链接到子域中)
一. 将明显的影响处理时间(加大处理时间)增加排错难度
二. 违反问题简单化的原则,在一个域中更改GPO设置将影响到另一个域
三. 使用GPO备份和复制实现父域与子域使用相同的GPO,不必跨域链接
4.谨慎使用强制、阻止继承、回环处理模式
一. 增加了处理时间和排错难度(可以使用强制,但不要使用阻止继承)
二. 回环处理模式会给排错带来负担,但有特定的场景使用
(1).通常用于保证等于的每一个用户都能获得相同的配置
(2).用于特定的计算机(公共场所的电脑、图书馆)
(3).需要基于使用的计算机来修改用户策略
(4)经常用户终端服务实现
5.一切简单化
一. 每增加一个GPO都会增加复杂性
二. 限制谁能创建、修改、链接GPOs(委派)
三. 如果可能的话,尽量使用:默认的域策略(用户帐户设置)基线的安全策略(强制)(应用到域中的每个用户,计算机)一个指定OU的策略(专门针对某个OU包含一些唯一设置的GPO)
四. 反对为每一个GPO设置安全过滤器
五. 仅仅对每个GPO中需要的设置做修改,其他保留默认状态
6.在GPMC中进行所有的操作
一. 使用GPMC的RSOP工具
二. 在测试环境和生产环境进行迁移
7.即使没有改变设置也强制重新应用策略
一. 组策略位置:计算机或用户配置-管理模板-系统-组策略-每一种策略的类型(策略处理)二. 适用于当用户是计算机的本地管理员组的成员时
三. 考虑禁用“允许通过慢速网络连接进行处理”(低于500k/s)提高网络流量
8.使windowsXP同步处理组策略
组策略位置:计算机配置-管理模板-系统-登陆-计算机启动和登陆时总是等待网络
9.使用GPO的命名惯例
一. 保证GPO的一致性并保证容易理解(创建GPO的人越多,一致性越差)
二. 使用简洁的名字描述GPO的意图。推荐三个关键字符命名:范围、目的、谁管理
10.为新的帐户指定策略
一. 默认情况下所有新帐户不能链接GPOs到这些容器
二. 域中使用rediruser.exe和redircmp.exe指定所有新计算机/ 用户帐户创建时的默认OU 三. 要求windows服务器域的功能级别至少为windows2003
四. 允许使用组策略管理新创建的帐户
11.如何阻止用户访问特定的驱动器?
一. 组策略位置:用户配置-管理模板-windows组件-windows资源管理器-防止从“我的电脑”访问这些驱动器
二. 下载GPdriveoption
12.密码存储安全
一. 不允许存储LM哈希值,位置:计算机配置-windows设置-安全设置-本地策略-安全选项-网络安全:不要在下次更改密码时存储LM manager哈希值。应用于DC,提高安全性,降低被攻击的危险。(win98依赖于LM哈希,删除会导致win98客户端不能访问域,可以安装活动目录客户端实现)
二. 将密码改为15位以上。
13.面对密码猜测
一. 清空上次登陆的用户名
组策略位置:计算机配置-windows设置-本地策略-安全选项-交互式登陆:不显示上次的登陆名二. 如具有监视工具,在特定的周期内对大量的密码猜测让系统自动响应
三. 如果没有监视工具,考虑使用帐户锁定策略。增加管理上的负担,接受了DDOS(拒绝服务)攻击
14.使用WMI过滤器需要考虑它的生存时间
会显著增加处理时间。每次组策略重新应用时将被重新评估。当IPSEC实现了,WMI过滤器应当移除。
15.创建登陆警报
组策略位置:计算机配置-windows设置-本地策略-安全选项-交互式登陆:用户试图登陆时的消息文字(可以让你的老板知道你正在做你份内的事……哈哈哈)
16.严格控制default domain controllers policy
组策略位置:default domain controllers policy-计算机配置-windows设置-安全设置-本地策略-用户权限指派
权利谁可以获得
从网络访问此计算机删除everyone
允许在本地登陆通过终端服务允许登陆仅administrator
域中添加工作站更改系统时间仅administrator
装载和卸载设备驱动程序仅administrator
还原文件和目录仅administrator
关闭系统仅administrator 降低风险,提高安全性
17.限制匿名枚举
组策略位置:default domain controllers policy-计算机配置-windows设置-安全设置-本地策略-安全选项-网络访问:
允许匿名SID/名称转换(防止用户使用已知的SID猜测管理员用户名)
不允许SAM帐户的匿名枚举(防止匿名用户从SAM数据库收集信息)
不允许SAM帐户和共享的匿名枚举(防止匿名用户从SAM数据库收集信息并枚举共享)
让“每个人”的权限应用于匿名用户(用户控制是否让匿名用户具有和everyone一样的权利)限制匿名访问的命名管道/共享(控制匿名用户是否客户访问共享资源)
18.关机清理页面文件
组策略位置:计算机配置-安全设置-安全选项-关机时清理页面文件
创建/清理硬盘上的虚拟内存页面文件将增加开/关机时间
出于安全考虑
19.打开审核&更改日志文件大小
一. 改变所有日志文件大小为10+MB。组策略位置为:计算机配置-windows设置-安全设置-事件日志-【日志名字】日志最大值
二. 为每个节点设置保持方法,建议:不要覆盖事件(手动清除日志)
三. 禁用如果无法记录安全审核则立即关闭系统组策略位置:计算机配置-windows设置-安全设置-本地策略-安全选项-审核:如果无法记录安全审核则立即关闭系统。
20.强制使LM离开您的网络
组策略位置:default domain controller policy-计算机配置-windows设置-安全设置-本地策略-安全选项-网络安全-LAN Manager身份验证级别推荐使用NTLMv2级别
组策略如何备份?
打开GPMC-组策略对象,在需要备份的GPO中单击备份,要备份所有的GPO,单击组策略对象,选择备份。
最后说下,此组策略笔记希望对大家的工作和学习能够有所帮助,如有不正确的地方,欢迎指正批评,
给予意见和指导。谢谢。此笔记未完待续……笔记源自于微软的资料整理
组策略应用案例探析
组策略应用案例 实验环境 BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置 1所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序,比如计算器,画图等。 3 配置域用户所有IE的默认设定为本企业网站,保证员工打开IE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 5保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源。 6 关闭2003的事件跟踪,公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。 9取消自动播放,以防止插入U盘有病毒,自动运行病毒 10 除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。
实验目的 1所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 4所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放 10 管理员可以使用本地连接-属性,任何域用户帐号不可使用. 实验准备 1 一人一组 2 准备两台Windows Server2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24
使用windows组策略对计算机进行安全配置.
综合性实验项目名称:使用windows组策略对计算机进行安全配置 一、实验目的及要求: 1.组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件,计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理: 组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件,计算机和用户策略。 三、主要仪器设备及实验耗材: PC机一台,Windows2000系统,具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定,即可运行程序。 依次进行以下实验: (1)隐藏驱动器 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。
图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时,我们有时要离开座位一段时间,如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户并登录到别的账户,就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录,让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”,然后双击右侧窗格的”拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示
WindowsXP组策略修改系统配置
组策略是管理员为计算机和用户定义地,用来控制应用程序、系统设置和管理模板地一种机制.通俗一点说,是介于控制面板和注册表之间地一种修改系统、设置程序地工具.微软自开始便采用了组策略这一机制,经过发展到已相当完善.利用组策略可以修改地桌面、开始菜单、登录方式、组件、网络及浏览器等许多设置. 平时像一些常用地系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改地东西太少;水平稍高点地用户进而使用修改注册表地方法来设置,但注册表涉及内容又太多,修改起来也不方便.组策略正好介于二者之间,涉及地内容比控制面板中地多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表强. 文档来自于网络搜索 本文主要介绍本地组策略地应用.本地计算机组策略主要可进行两个方面地配置:计算机配置和用户配置.其下所有设置项地配置都将保存到注册表地相关项目中.其中计算机配置保存到注册表地子树中,用户配置保存到.文档来自于网络搜索 一、访问组策略 有两种方法可以访问组策略:一是通过命令直接进入组策略窗口;二是打开控制台,将组策略添加进去.文档来自于网络搜索 . 输入命令访问 选择“开始”→“运行”,在弹出窗口中输入“”,回车后进入组策略窗口(图).组策略窗口地结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成.这两个节点下分别都有“软件设置”、“设置”和“管理模板”三个节点,节点下面还有更多地节点和设置.此时点击右边窗口中地节点或设置,便会出现关于此节点或设置地适用平台和作用描述.“计算机配置”、“用户配置”两大节点下地子节点和设置有很多是相同地,那么我们该改哪一处?“计算机配置”节点中地设置应用到整个计算机策略,在此处修改后地设置将应用到计算机中地所有用户.“用户配置”节点中地设置一般只应用到当前用户,如果你用别地用户名登录计算机,设置就不会管用了.但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点地各项设置地修改,附带讲解“计算机配置”节点下地一些设置.其中“管理模板”设置最多、应用最广,因此也是本文地重中之重.文档来自于网络搜索. 通过控制台访问组策略 单击“开始”→“运行”,输入“”,回车后进入控制台窗口.单击控制台窗口地“文件”→“添加删除管理单元”,在弹出窗口单击“添加”(图),之后选择“组策略”并单击“添加”(图),在下一步地“选择组策略对象”对话框中选择对象.由于我们组策略对象就是“本地计算机”,因此不用更改,如果是网络上地另一台计算机,那么单击“浏览”选择此计算机即可.另外,如果你希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请选中“当从命令行开始时,允许更改‘组策略管理单元’地焦点”复选框(图).最后添加进来地组策略如图所示. 文档来自于网络搜索 二、任务栏和“开始”菜单项目设置 本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目.依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”,在右边窗口便能看到“任务栏和‘开始’菜单”节点下地具体设置,其状态都处在“未被配置”(图).文档来自于网络搜索. 给“开始”菜单减肥 地“开始”菜单地菜单项很多,可通过组策略将不需要地删除掉.以删除开始菜单中地“我地文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我地文档’图标”项,在弹出对话框地“设置”标签中点选“已启用”,然后单击“确定”(图),这样在“开始”菜单中“我地文档”图标将会隐藏.文档来自于网络搜索 . 防止隐私泄漏
组策略统一修改客户端本地管理员密码
使用组策略统一修改客户端本地管理员密码 版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明 https://www.wendangku.net/doc/341954944.html,/logs/4657183.html 您可以通过开机/关机脚本来现实统一修改域中本地管理员的密码。 有关如何创建启动脚本您可以参考下面的链接: https://www.wendangku.net/doc/341954944.html,/technet/archive/community/columns/tips/2kscr ipt.mspx?mfr=true 具体的操作方法如下: 1. 点击“开始->运行”并输入“DSA.MSC”?->打开Active Directory用户和计算机 2. 然后右键点击https://www.wendangku.net/doc/341954944.html,(您的域名)->属性->组策略。 3. 然后编辑该策略->计算机配置-> Windows设置-脚本(开机/关机脚本) 4. 双击启动,点击添加,点击浏览,然后将.vbs文件拷贝到弹出的对话中,然后选中该文件,点击打开,点击确定。最后点击应用和确定。下面是.vbs的具体内容: strComputer = "." Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user") objUser.SetPassword "testtest01!" objUser.SetInfo testtest01!为您指定的新的管理员密码。 5、在DC上刷新组策略,然后重新启动一台客户端,测试管理员密码有没有被更改。 请注意:如果您在域策略上启用密码必须满足复杂性的话,那么您设的新密码一定要满足该条件,否则本地管理员密码不会被更改。 时间同步 通常情况下,Windows 2000/xp/2003域成员有个w32time时间服务, 它会自动与域DC进行时间同步,无需人为干涉, 保持域内时间的同步是kerberos认证协议的一个基本要求, 也是为了防止重放攻击的一种手段,如果域成员客户机与DC的时间相差太大的话, 它的登录将不能成功,这时你可以手动调整系统时间,通常情况下,只要通讯无阻碍, 域成员将自动与DC保持时间同步 还可以在命令行下实现:
(2)组策略的配置及使用
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重
组策略详解
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
Windows环境中组策略处理优先级详解
Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后是链接到其子 组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响: GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。
组策略的基本知识
一、组策略的基本知识 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。 本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置:本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。 访问本地组策略的方法有两种:第一种方法是命令行方式;第二种方法是通过在MMC 控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动 您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。) 在打开的组策略窗口中,可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。 2、将组策略作为独立的MMC管理单元打开 若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下: (1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。 (2)选择“文件”菜单下的“添加/删除管理单元”命令。 (3)在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。 (4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。 (5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按扭查找所需的组策略对象(6)单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的组策略对象。 特别提示:倘若您希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。 二、“任务栏”和“开始”菜单相关选项的删除和禁用 在“…本地计算机?策略”中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略。 1、给“开始”菜单瘦瘦身 如果您觉得Windows XP的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜
3种用组策略将域帐号加入本地管理员组的方法
3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。 第1种方法的步骤很简单: .在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图 第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下: 为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: https://www.wendangku.net/doc/341954944.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组
组策略应用大全
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
如何设置常用组策略
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
远程修改组策略
远程修改组策略 由于管理员的误操作导致了本地策略拒绝所有人登录,如何恢复呢?今天我们就来做这个实验! 首先,我们要做一下的准备工作: 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置,使得任何用户都无法登录。 (1.)在Berlin上,点击开始/运行,输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器,然后点击windows设置/安全设置/本地策略/用户权限分配,如下图所示:
打开以后我们就可以找到拒绝本地登录这一项了,双击打开 打开后点击添加用户和组,把User用户添加进去
点击确定后,注销计算机。 任何的用户都无法登录了,甚至就连大名鼎鼎的管理员也无法登录了! OK!实验正式开始了! 我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务,但计算机默认的telnet服务是关闭的,首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中,右键点击我的电脑,打开计算机管理,然后右键点击:计算机管理(本地)——连接到另一台计算机,如下图:
在选择计算机中输入Berlin的IP地址,然后点击确定。 然后的服务中找到Telnet,
手动启动起来。 OK!我觉得现在的准备工作才算完成了!接下来我们要用Telnet 把Berlin连接过来。 在Florence中,点击开始/运行,输入cmd
键入telnet 192.168.12.103 在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。 完成以后不用着急关闭该提示符。
Windows操作系统组策略应用全攻略
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
View部署09:View组策略优化配置
View组策略优化配置 1。从Connection Server安装目录复制View ADM策略模板到域服务器(主机A) 2.在域服务器上,运行组策略管理,新建组策略对象View GPO 3.拖动View GPO到VM Computer和View User,将此组策略应用到OU。 完成结果如下:
4.编辑View Group组策略 添加完成结果如下: 5.编辑PCoIP组策略,优化PCoIP通信 (请认真领会优化参数的功能设置,以备考察!) (1)如果网络带宽较低(如Internet),建议关闭无损传输功能 说明:无损传输功能默认开启,关闭此功能可节约带宽。 在高带宽网络(如内部网)启用无损传输可获得更好地的图像和桌面效果。
(2)根据网络性能,设置合适的客户端图像缓存大小,减少图像重传量。 说明:控制PCoIP客户端图像缓存的大小。客户端使用图像缓存来存储之前传送的显示部分。图像缓存减少了重传的数据量。未配置或禁用此设置时,PCoIP使用默认250MB的客户端图像缓存大小。启用此设置后,可以自定义配置客户端图像缓存的大小50MB至300MB。 (3)根据网络性能,设置合适的图像质量和帧率 说明:这些数据控制在网络拥挤期间PCoIP如何呈现图像,根据网络性能自己调整! 最低图像质量(值:30-100,默认为50):较低的值支持较高帧速率,但是可能会导致显示质量降低。较高的值支持较高的图像质量,但在网络带宽受限时可能会导致帧速降低。当网络带宽不受限时,无论值设置如何,PCoIP均保持最高质量。 最大图像质量(值:30-100,默认为90):显示图像更改区域的初始质量,可降低PCoIP所要求的网络带宽峰值。较低的值会降低变化内容的图像质量和峰值带宽要求。较高的值会提高变化内容的图像质量和峰值带宽要求。 最大帧率设置(值:1-120,默认为30):每秒屏幕更新的次数,从而可以管理每位用户占用的平均带宽。 (4)根据网络性能,设置合适的PCoIP带宽上限 说明:指定PCoIP会话中的最大带宽(kbps),此带宽包括所有图像、音频、虚拟通道、USB以及控制PCoIP流量,默认值90000kbps。可防止服务器尝试以超过链接流量的速率进行传输,从而避免出现丢失数据包或用户体验下降现象。 (5)根据网络性能,设置合适的带宽最小量
Windows7本地安全策略
广东XXXX职业学院 计算机工程技术学院(软件学院) 实验报告 专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节 一、实验目的与要求(此栏实验前由老师填写) ◆创建和验证多重本地组策略的设置; ◆配置本地安全策略设置。 二、实验环境及方案(此栏实验前由老师填写) 实验环境: 主机硬件配置至少1G内存,15G以上的空余硬盘空间,然后要求在主机上安装Oracle VM VirtualBox 4.1.8,利用它配置至少一台虚拟机,安装windows 7企业版客户机,并准备好相应的windows 7安装盘或对应ISO文件。 实验说明: 1.计算机启动时所启动的操作系统称为主机,在虚拟机上安装的操作系统称 为客户机; 2.启动客户机后,如果想操作客户机,只需用鼠标点击客户机桌面就可以; 如果要回到主机操作,可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码:P@ssw0rd 5.实验所需的各种资料在共享文件夹中找
6.请把实验过程的关键操作屏幕的图片剪切下来,贴在相应实验内容后面, 以备检查。(截屏方法:如果要截全屏,直接按屏幕打印键;如果只截当前屏幕,请按Alt+屏幕打印键) 7.完成后,请将实验结果文件命名为:“班内序号_姓名_第几次实验”,如张 三班内序号为18号、实验一的结果文件可命名为:“18_张三_1.doc” ;再如李四班内序号为8号、实验六的结果文件可命名为:“08_李四_6.doc” 三、实验内容(将每项实验内容的具体操作步骤及相关截图存放于实验结果 栏中) (一)创建和验证多重本地组策略的设置 1、以administrator登录计算机,创建自定义管理控制台,分别选择本地计算机、Administrators和非管理员为组策略对象,保存到桌面并命名为Multiple Local Group Policy Editor; 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本,添加一个登录脚本文件, 脚本文件名称为computerscript.vbs,脚本内容为msgbox “Default Computer Policy”; 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本,添加一个 登录脚本文件,脚本文件名称为administratorscript.vbs,脚本内容为msgbox “Default Administrator’s Policy”; 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本,添加一个登录
Windows组策略应用大全
Windows组策略应用大全.txt9母爱是一滴甘露,亲吻干涸的泥土,它用细雨的温情,用钻石的坚毅,期待着闪着碎光的泥土的肥沃;母爱不是人生中的一个凝固点,而是一条流动的河,这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows?9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows?2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active?Directory?对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet?Explorer策略设置。 3)Wmplayer.adm:用于Windows?Media?Player?设置。 4)Conf.adm:用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows?9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
win2008配置要求以及详细优化
win2008配置要求以及详细优化 MS公布了全新SERVER OS 2008以来,反响强烈。经过在下亲自使用过后感觉不错,现将自己的心得体会整理后发表出来供大家参考。 安装WINDOWS SERVER 2008前请确认你已经做好了以下准备: 1.你的硬件必须满足下列要求 处理器:最小: 1GHz 建议: 2GHz 最佳: 3GHz 或者更快速的 内存:最小: 512MB RAM 建议: 1GB RAM 最佳: 2GB RAM (完整安装) 或者1GB RAM (Server Core 安装) 或者 最大(32位系统): 4GB (标准版) 或者64GB (企业版以及数据中心版) 最大(64位系統): 32GB (标准版) 或者2TB (企业版, 数据中心版, 以及Itanium-based 系統) 允许的硬盘空间:最小: 8GB 建议: 40GB (完整安装) 或者10GB (Server Core 安装) 最佳: 80GB (完整安装) 或者40GB (Server Core 安装) 或者其他 要开启AERO,显卡硬件必须支持DX9.0和PS2.0(因为AERO会用到DX9和PS2.0的特效),最好有128MB以上显存 2.下载WINDOWS SERVER 2008 ISO安装文件 2008安装文件目前有RC0,RC1的32位和64位各5个版本,由于RC1没有官方的中文版,因此偶推荐下载RC0的官方简体中文版。考虑到做为家用,因此推荐安装32位的RC0企业完整版。 3.到这个网址去申请官方正版的KEY,https://www.wendangku.net/doc/341954944.html,/zh-cn/bb383572.aspx最多一次可以申请到5个激活KEY,应该足够你用了。 做好以上准备后,我们来开始安装吧。 安装方法(以安装RC0 32位X86企业版为例,): A.将ISO文件用DVD刻录机刻成启动盘用光盘启动安装,安装过程和安装XP没什么区别,大家应该都很熟了,就不再重复了。 B.在现有操作系统上安装,这个或许不太为人熟知。 如果你的系统是2000/XP系统,可以将ISO文件解压到非系统盘,直接运行解压文件里的SETUP.EXE,照提示一步步做。 或者用以下方式安装: 1.用虚拟光驱加载Win2008镜像文件,把里面的文件全部复制到硬盘,比如D:\win2008。把win2008里面的“bootmgr”和“boot”文件夹都复制到C盘目录下,并在C盘根目录下建个sources文件夹,把的D:\win2008\sources下的boot.win复制到C盘下sourse文件夹。 2.把bootsect..exe文件复制到C盘根下,没有这个文件可以下偶备份好的.然后用XP自带的convert把c盘换成NTFS格式(WIN2008的安装要求必须是NTFS格式的磁盘) 运行(WIN+R键)---键入CMD进入命令提示符---在命令提示符下键入C:\bootsect.exe /nt60 c: 当见到提示你系统将升级后,重启计算机。安装程序启动,选择你要安装的语言类型及键盘。 出现“开始安装界面”,(要注意了,不点击“现在安装”)点左下角“repair my computer(修复我的计算机)”。 进入“系统恢复选项”,选择最后一项“command prompt(命令提示行)”,进入DOS窗口。
组策略命令(全)
组策略命令大全(全) 如何打开组策略编辑器? 答:运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 答:1:看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。 2:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加,后面的你应该会了。看你要开哪个策略,就添加哪个策略。 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器 四、隐藏或删除Windows XP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核
4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“ 隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。 2、禁止对桌面的改动 利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。 3、启用或禁止活动桌面 利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。 4、给“开始”菜单减肥 Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收 藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的 音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。 5、保护好“任务栏”和“开始”菜单的设置 倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。 二、隐藏或禁止控制面板项目