使用windows组策略对计算机进行安全配置

综合性实验项目名称：使用windows组策略对计算机进行安全配置

一、实验目的及要求：

1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具,

通过使用组策略可以设置各种软件，计算机和用户策略。

2.我们通过实验,学会使用组策略对计算机进行安全配置。

二、实验基本原理：

组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。

三、主要仪器设备及实验耗材：

PC机一台,Windows2000系统，具有管理员权限账户登录

四、注意事项

必须以管理员或管理员组成员的身份登录win2000系统

计算机配置中设置的组策略级别要高于用户配置中的级别策略

五、实验内容与步骤

1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。

依次进行以下实验：

(1)隐藏驱动器

平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。

1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示

图6-1 使用策略前,“我的电脑”

2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。

图6-2

隐藏驱动器

3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示

图6-3 使用策略后,“我的电脑”

(2).禁止来宾账户本机登录

使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。

在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示

图6-4 选择用户和组

采取拒绝本地登录策略,如图6-5所示

图6-5 拒绝本地登录

(3).开启审核策略

在“计算机配置—>windows设置—>安全设置—>本地策略—>审核策略”上，我们可以看

到它可以审核策略更改，登录事件，对象访问，过程追踪，目录服务访问，特权使用等,这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作：几时登录，关闭系统或更改过哪些策略等等,如图6-6所示

图6-6 审核策略

我们应该养成经常在“控制面板—>管理工具—>事件查看器”里查看事件的好习惯。比如，当你修改过“组策略”后，系统就发生了问题，此时“事件查看器“就会及时告诉你修改了哪些策略，在“登录事件”里，你可以查看到详细的登录事件，知道有人就尝试使用禁用的账户登录，谁的账户密码已过期……而要启用哪些审核，只要双击相应的项目，选中“成功”和“失败”两个选项即可

(4).禁止修改IE浏览器主页

如果你不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意的更改，我们可以选择“用户配置—>管理模板—>windows组件—>internet explorer—>禁用更改主页设置”,如图6-7所示

图6-7 禁止更改主页设置禁止更改主页设置后,查看Internet属性, 如图6-8所示

图6-8所示Internet属性

1.还提供了“更改历史记录设置，更改颜色设置，更改internet临时文件设置”等项目的

禁用功能。如果启用了这个策略，在IE浏览器的“Internet选项”对话框，在“常规”

选项卡的“主页”区域的设置将变灰

禁止更改历史记录设置,如图6-9所示

图6-9更改历史记录设置禁止更改颜色设置,如图6-10所示

图6-10更改颜色设置

禁止更改internet临时文件设置,如图6-11所示

图6-11 更改internet临时文件设置

2.如果设置了“用户配置—>管理模板—>windows组件—>Internet explorer—>Internet控制

面板—>禁用常规页”，则“常规”选项被删除

禁用常规页,如图6-12所示

图6-12常规页设置

3.逐级展开“用户设置—>管理模板—>windows组件—>Internet explorer”,包括了“Internet

控制面板，脱机页，浏览器菜单，工具栏，持续行为，管理员认可”等策略选项。利用它可以打造一个极有个性和安全的IE,如图6-13所示

图6-13 IE管理设置

(5).禁用IE组件自动安装

计算机配置—>管理模板—>windows组件—>Internet explorer—>禁用Internet explorer组件的自动安装—>启用，将会禁止Internet explorer自动安装组件。这样可以防止Internet explorer 在用户访问到需要某个组件的网站时下载该组件，篡改IE的行为也会得到遏制，保证IE的安全,如图6-14所示

图6-14 禁止Internet explorer自动安装组件

组策略应用案例探析

组策略应用案例 实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置 １所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。 ２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 ５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒 １0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的 １所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 ４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放 １0 管理员可以使用本地连接-属性,任何域用户帐号不可使用． 实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

使用windows组策略对计算机进行安全配置.

综合性实验项目名称：使用windows组策略对计算机进行安全配置 一、实验目的及要求： 1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件，计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理： 组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。 三、主要仪器设备及实验耗材： PC机一台,Windows2000系统，具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。 依次进行以下实验： (1)隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。

图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示

利用组策略部署软件分发

【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容，可以使用隐藏共享文件夹，即在共享名字后加$符号。 三、创建组策略对象

组策略详解

组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号：大中小 组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是 打开控制台，将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也 是本文的重中之重。

WindowsXP组策略修改系统配置

组策略是管理员为计算机和用户定义地，用来控制应用程序、系统设置和管理模板地一种机制.通俗一点说，是介于控制面板和注册表之间地一种修改系统、设置程序地工具.微软自开始便采用了组策略这一机制，经过发展到已相当完善.利用组策略可以修改地桌面、开始菜单、登录方式、组件、网络及浏览器等许多设置. 平时像一些常用地系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改地东西太少；水平稍高点地用户进而使用修改注册表地方法来设置，但注册表涉及内容又太多，修改起来也不方便.组策略正好介于二者之间，涉及地内容比控制面板中地多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强. 文档来自于网络搜索 本文主要介绍本地组策略地应用.本地计算机组策略主要可进行两个方面地配置：计算机配置和用户配置.其下所有设置项地配置都将保存到注册表地相关项目中.其中计算机配置保存到注册表地子树中，用户配置保存到.文档来自于网络搜索 一、访问组策略 有两种方法可以访问组策略：一是通过命令直接进入组策略窗口；二是打开控制台，将组策略添加进去.文档来自于网络搜索 . 输入命令访问 选择“开始”→“运行”，在弹出窗口中输入“”，回车后进入组策略窗口（图）.组策略窗口地结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成.这两个节点下分别都有“软件设置”、“设置”和“管理模板”三个节点，节点下面还有更多地节点和设置.此时点击右边窗口中地节点或设置，便会出现关于此节点或设置地适用平台和作用描述.“计算机配置”、“用户配置”两大节点下地子节点和设置有很多是相同地，那么我们该改哪一处？“计算机配置”节点中地设置应用到整个计算机策略，在此处修改后地设置将应用到计算机中地所有用户.“用户配置”节点中地设置一般只应用到当前用户，如果你用别地用户名登录计算机，设置就不会管用了.但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点地各项设置地修改，附带讲解“计算机配置”节点下地一些设置.其中“管理模板”设置最多、应用最广，因此也是本文地重中之重.文档来自于网络搜索. 通过控制台访问组策略 单击“开始”→“运行”，输入“”，回车后进入控制台窗口.单击控制台窗口地“文件”→“添加删除管理单元”，在弹出窗口单击“添加”（图），之后选择“组策略”并单击“添加”（图），在下一步地“选择组策略对象”对话框中选择对象.由于我们组策略对象就是“本地计算机”，因此不用更改，如果是网络上地另一台计算机，那么单击“浏览”选择此计算机即可.另外，如果你希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请选中“当从命令行开始时，允许更改‘组策略管理单元’地焦点”复选框（图）.最后添加进来地组策略如图所示. 文档来自于网络搜索 二、任务栏和“开始”菜单项目设置 本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目.依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”，在右边窗口便能看到“任务栏和‘开始’菜单”节点下地具体设置，其状态都处在“未被配置”（图）.文档来自于网络搜索. 给“开始”菜单减肥 地“开始”菜单地菜单项很多，可通过组策略将不需要地删除掉.以删除开始菜单中地“我地文档”图标为例看看其具体操作方法：在右边窗口中双击“从‘开始’菜单上删除‘我地文档’图标”项，在弹出对话框地“设置”标签中点选“已启用”，然后单击“确定”（图），这样在“开始”菜单中“我地文档”图标将会隐藏.文档来自于网络搜索 . 防止隐私泄漏

用组策略统一部署Bginfo软件

用组策略统一部署Bginfo软件(显示计算机信息到桌面) 下面来说说如何在企业内部使用组策略统一部署Bginfo的： 1.下面是主程序的界面图 中间蓝色部分就是显示项，左边的设置项是可以更改的，比如改成中文; <>内的不可修改，fields下面就是显示设置的可选项 2.清空蓝色区域，在fields中选择要在工作站桌面上显示的内容，我选择的是Host Name和IP Address，并将字体大小，颜色等设置完毕 3.另存当前的配置文件”File”->”Save as”这里保存为bginfo.bgi 4.建立两个批处理，内容如下： copyfile.bat ------------------------------------------------------------------------- @echo off copy %logonserver%\netlogon\bginfo.exe %systemroot%\bginfo.exe bginfo.bat --------------------------------------------------------------------------- @echo off

bginfo.exe %logonserver%\netlogon\bginfo.bgi /nolicprompt /timer:0 5.把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件，拷贝到%logonserver%\netlogon目录下。 6.通过组策略管理器（GPMC），编辑或新建的一个组策略（OU组织单位），在"计算机配置"选择"windows设置"，"脚本（启动／关机）"，在"启动"中添加copyfile.bat文件(把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件复制到“显示文件”按钮点开的文件夹内，按添加把copyfile.bat文件选中); 7.在计算机配置中选择 "windows设置"，"安全设置"，右键点击"文件系统"，选择"添加文件"，在打开的窗口中输入 “%systemroot%bginfo.exe”，并将上两项的user权限改为可读写。（让域用户有权限将bginfo.exe复制到系统目录中，默认是只有读取权限的。如省略此步骤，工作站在登录时可能出现文件不能成功创建的错误信息）

XP组策略命令大全(一)

XP组策略命令大全 如何打开组策略编辑器？ 答：运行里输入gpedit.msc 系统里提示没有打开组策略这条命令？ 答：1：看是不是注册表中锁住了组策略 “HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。 2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加。任务栏和开始菜单设置详解 用户配置-管理模板-任务栏和开始菜单 从「开始」菜单删除用户文件夹 隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。其它项目出现，但文件夹会被 隐藏。 这个设置是为了转发文件夹而设计的。被转发的文件夹会出现在「开始」菜单的主要区域中。但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。因为两个同样的文件夹可能会让用户觉得混乱，您可以使用这个设置来隐藏用户指定文件夹。 请注意这个设置会隐藏所有的用户指定文件夹，不光是被转发的用户指定文件夹。 如果您启用这个设置，在「开始」菜单中的上方区域不会出现任何文件夹。如果用户将新文件夹加入「开始」菜单，文件夹会出现在用户配置文件的目录中，但不会出现在「开始」菜单中。 如果停用或不配置这个设置，Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。 删除到“Windows Update”的访问和链接 防止用户连接到Windows Update网站。 这个设置阻止用户访问地址为: https://www.wendangku.net/doc/602548994.html,的Windows Update 网站。这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update超链接。 Windows Update 为Windows 的联机扩展，提供软件更新以使用户的系统保持最新。Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。 还可参阅“隐藏‘从Microsoft 添加程序’选项”设置。 从「开始」菜单删除公用程序组 在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。 默认情况下，程序菜单包括从所有用户配置文件项目和用户配置文件项目。如果您启用这项设置，只有用户配置文件上的项目会出现在程序菜单上。 窍门: 要查阅在所有用户配置文件中的程序菜单项目，请在系统驱动器上转到Documents and Settings\All Users\Start Menu\Programs。

Windows环境中组策略处理优先级详解

Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户（或计算机）的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息，请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的： 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理，都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理，然后是链接到其子 组织单位的GPO，依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中，可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO，它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 该顺序意味着首先会处理本地GPO，最后处理链接到计算机或用户直接所属的组织单位的GPO，它会覆盖以前GPO 中与之冲突的设置。（如果不存在冲突，则只是将以前的设置和以后的设置进行结合。） 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响： GPO 链接可以“强制”，也可以“禁用”，或者同时设置两者。默认情况下，GPO 链接既不强制也不禁用。

win+R 命令大全

Win +R 命令大全 常用命令已经做好了标记，如有统计不周敬请见谅！ Nslookup－－－－－－－IP地址侦测器 explorer－－－－－－－打开资源管理器 logoff－－－－－－－－注销命令 tsshutdn－－－－－－－60秒倒计时关机命令 lusrmgr.msc－－－－－本机用户和组 services.msc－－－－－本地服务设置 oobe/msoobe /a－－－－检查XP是否激活 notepad－－－－－－－－打开记事本 cleanmgr－－－－－－－**整理 net start messenger－－－－开始信使服务 net stop messenger－－－－－停止信使服务 compmgmt.msc－－－－－计算机管理 conf－－－－－－－－－－－启动netmeeting dvdplay－－－－－－－－DVD播放器 charmap－－－－－－－－启动字符映射表 diskmgmt.msc－－－－磁盘管理实用程序 calc－－－－－－－－－－－启动计算器 dfrg.msc－－－－－－－磁盘碎片整理程序 chkdsk.exe－－－－－Chkdsk磁盘检查 devmgmt.msc－－－设备管理器 regsvr32 /u *.dll－－－－停止dll文件运行 drwtsn32－－－－－－系统医生 rononce －p －－－－15秒关机 dxdiag－－－－－－－－－检查DirectX信息 regedt32－－－－－－－注册表编辑器 Msconfig.exe－－－系统配置实用程序 rsop.msc－－－－－－－组策略结果集 mem.exe－－－－－－－－显示内存使用情况 regedit.exe－－－－注册表 winchat－－－－－－－－XP自带局域网聊天 progman－－－－－－－－程序管理器 winmsd－－－－－－－－－系统信息 perfmon.msc－－－－计算机性能监测程序 winver－－－－－－－－－检查Windows版本 sfc /scannow－－－－－扫描错误并复原 taskmgr－－－－－任务管理器（2000／xp／2003） wmimgmt.msc－－－－打开windows管理体系结构(WMI)

组策略详细部署

1．隐藏电脑的驱动器 位置：用户配置\\管理模板\\Windows组件\\Windows资源管理器\\启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址栏输入盘符就无法访问了，但在运行里直接输入cmd，在Dos下仍然可以看见，接下来就是把CMD命令也禁用了。 位置：用户配置\\管理模板\\系统\\ 2．禁用注册表 位置：用户配置\\管理模板\\系统\\ 3．禁用控制面板 位置：用户配置\\管理模板\\系统\\ 如想在控制面板中隐藏Internet选项，则在隐藏控制面板程序里添加Inetcpl.cpl，具体名称可查看Windows\\System32里以cpl结尾的文件。 4．隐藏文件夹 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项, 位置：用户配置\\管理模板\\Windows组件\\Windows资源管理器\\ 5．关闭缩略图缓存 有时我们在文件夹中放过图片，后来移除了，但以缩略图缓存仍然能被其他人读取。 位置：用户配置\\管理模板\\Windows组件\\Windows资源管理器 6．去除开始菜单中的“文档”菜单 开始菜单中的文档一栏，会记载我们曾经编辑过的文档，我们可以去掉这个菜单： 位置：用户配置\\管理模板\\Windows组件\\任务栏和“开始”菜单 7．隐藏…屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护，但很容易被人修改，我们可以隐藏这一选项。 用户配置\\管理模板\\控制面板\\显示。 8．禁止更改TCP/IP属性 我们设定的IP地址可能会被更改，那么只要关闭它的属性页就可以了。 位置：用户配置\\管理模板\\网络\\网络连接 把下面两项设为启用。 9．删除任务管理器 可别小看了任务管理器，它除了可以终止程序、进程外还可以重启、关机，搜索程序的执行文件名，及更改程序运行的优先顺序。 位置：用户配置\\管理模板\\系统\\C trl+Alt+Del选项\\ 10．禁用IE“工具”菜单下的“Internet选项” 为了阻止别人对IE浏览器设置的随意更改。

域环境通过组策略分发软件给客户端讲课稿

域环境通过组策略分发软件给客户端

域环境通过组策略分发软件给客户端 通常情况下，我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦）。通过在组策略的“计算机配置”中的“软件安装中，点击右键，如何选择程序包，通过UNC路径（注意了哦：这个是网络路径，所以，管理员必须把此软件共享出去）找到程序位置。如何，选择"已指派"就可以了。当然，在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有？在发布好软件后，选择软件里面的属性，查看“部署”，可以看见“指派”与“发行”两个选项（计算机配置中，发行为灰色）。所以，这里有就有三种软件部署的方法了： 1、发行给用户 2、指派给用户 3、指派给计算机 下面，来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时，软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式，用户再任何一台电脑登陆域，都可以在开始菜单与桌面上看到软件的快捷方式。同时，计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时，计算机就会自动下载安装次软件。但与发行给用户不同的是，用户可以删除此软件，但是，下次登陆时，它还是会出现，意思是说，它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式，用户不用手动执行，计算机会在启动时，自动下载并安装此软件。用户不能删除此软件，只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

(2)组策略的配置及使用

一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 （1）通过控制台访问组策略 （2）对用户设置密码策略 （3）对用户设置登录策略 （4）退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型：本地和非本地。 本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。 非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

使用组策略部署软件

需要注意的是已发布的方法只能部署到用户，不能部署到计算机上，也就是说只有组策略中的用户配置可以使用这种部署方法。已发布软件部署方法可以保证： 1、当用户登录计算机时，软件并不会自动安装，只有当用户双击与应用程序关联的文件时，软件才会自动安装。如我们双击一个ppt 文档或doc文档时，会自动安装OFFICE。 2、对于发布的软件，用户可以在控制面板中的“添加/删除”中安装或者删除，也就是说用户自己可以安装，也可以卸载。 这种部署方法的好处在于，对于一些不能确定使用用户的软件，可以以发布方法部署，是否安装由用户自己决定。 配置方法如下： 1、右击“用户配置”中的“软件安装”，选择“新建”，然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件，然后单击“打开”。 2、在选择部署方法中，选定“已发布”。

已指派的方法可以将软件部署给用户和计算机，也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。 当我们使用此方法将软件指派给用户时可以保证： 1、软件对用户总是可用的，不管用户从哪一台计算机登陆，软件都将会在开始菜单或桌面上出现，但这时软件并没有被安装，只有在用户双击应用程序图标或与应用程序关联的文件时，软件才会被安装。 2、如果用户删除了安装的软件，哪么当用户下次登录时软件还会出现在开始菜单或是桌面上，并在用户双击关联文件时被激活安装。 这种部署的好处在于，对于一些不常用的，但某些人却必须要使用的软件我们没有必要在每台计算机都安装，只要指派给需要的用户，不管这个用户在哪台计算机上操作，都能保证要使用的软件是可用的。 方法如下： 1、右击“用户配置”中的“软件安装”，选择“新建”，然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件，然后单击“打开”。 2、在选择部署方法中，选定“已指派”。 当我们使用此方法将软件指派给用户时可以保证： 1、对于被指派的计算机，软件总是可用的，无论哪个用户登录都可以使用被指派的软件。 2、软件不会通过文件关联安装，而是在计算机启动时被安装。 3、用户不能删除被指派安装的软件，只有管理员才可以。 这种部署方法的好处在于，可以将一些大家都要用到的软件指派给计算机，被指派安装在计算机上的软件对于所有用户都是可用的。 配置方法如指派给用户的步骤，只是将“用户配置”改为“计算机配置”即可。 三、改变部署的软件包选项 在用组策略部署一个软件后，可以修改待部署的软件包的选项以适应我们的需要： 1、点击软件安装，在右边找到待部署的软件包，点击右键选择属性，在出现的对话框中选择部署，如图。

组策略命令(全)

组策略命令大全(全) 如何打开组策略编辑器？ 答：运行里输入gpedit.msc 系统里提示没有打开组策略这条命令？ 答：1：看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。 2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加，后面的你应该会了。看你要开哪个策略，就添加哪个策略。 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器 四、隐藏或删除Windows XP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核

4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。例如要删除“我的文档”，只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“ 隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。 2、禁止对桌面的改动 利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后，用户将不能保存对桌面的更改。最后，双击启用“隐藏和禁用桌面上的所有项目”设置项，将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目，连桌面右键菜单都将被禁止。 3、启用或禁止活动桌面 利用“Active Desktop”项，可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。 4、给“开始”菜单减肥 Windows XP的“开始”菜单的菜单项很多，可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收 藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的 音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法：在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项，在弹出对话框的“设置”标签中点选“已启用”，然后单击“确定”，这样在“开始”菜单中“我的文档”图标将会隐藏。 5、保护好“任务栏”和“开始”菜单的设置 倘若不想随意让他人更改“任务栏”和“开始”菜单的设置，只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样，当用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，提示信息是某个设置禁止了这个操作。 二、隐藏或禁止控制面板项目

如何设置常用组策略

如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

使用组策略限制软件运行示例

组策略之软件限制策略——完全教程与规则示例 导读 注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有 点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。 如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？ 一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了

一.环境变量、通配符和优先级 关于环境变量（假定系统盘为C盘） %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符： Windows里面默认

windows命令大全

Windows命令大全 1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 4. explorer-------打开资源管理器 5. logoff---------注销命令 6. tsshutdn-------60秒倒计时关机命令 7. lusrmgr.msc----本机用户和组 8. services.msc---本地服务设置 9. oobe/msoobe /a----检查XP是否激活 10. notepad--------打开记事本 11. cleanmgr-------垃圾整理 12. net start messenger----开始信使服务 13. compmgmt.msc---计算机管理 14. net stop messenger-----停止信使服务 15. conf-----------启动netmeeting 16. dvdplay--------DVD播放器 17. charmap--------启动字符映射表 18. diskmgmt.msc---磁盘管理实用程序 19. calc-----------启动计算器 20. dfrg.msc-------磁盘碎片整理程序

21. chkdsk.exe-----Chkdsk磁盘检查 22. devmgmt.msc--- 设备管理器 23. regsvr32 /u *.dll----停止dll文件运行 24. drwtsn32------ 系统医生 25. rononce -p ----15秒关机 26. dxdiag---------检查DirectX信息 27. regedt32-------注册表编辑器 28. Msconfig.exe---系统配置实用程序 29. rsop.msc-------组策略结果集 30. mem.exe--------显示内存使用情况 31. regedit.exe----注册表 32. winchat--------XP自带局域网聊天 33. progman--------程序管理器 34. winmsd---------系统信息 35. perfmon.msc----计算机性能监测程序 36. winver---------检查Windows版本 37. sfc /scannow-----扫描错误并复原 38. taskmgr-----任务管理器（2000／xp／2003 39. winver---------检查Windows版本 40. wmimgmt.msc----打开windows管理体系结构(WMI) 41. wupdmgr--------windows更新程序 42. wscript--------windows脚本宿主设置