如何设置常用组策略
故障现象:
组策略应用设置大全
一、桌面项目设置
1. 隐藏不必要的桌面图标
2. 禁止对桌面的改动
3. 启用或禁止活动桌面
4. 给开始菜单减肥
5. 保护好任务栏和开始菜单的设置
二、隐藏或禁止控制面板项目
1. 禁止访问控制面板
2. 隐藏或禁止添加/删除程序项
3. 隐藏或禁止显示项
三、系统项目设置
1. 登录时不显示欢迎屏幕界面
2. 禁用注册表编辑器
3. 关闭系统自动播放功能
4. 关闭Windows自动更新
5. 删除任务管理器
四、隐藏或删除Windows XP资源管理器中的项目
1. 删除文件夹选项
2. 隐藏管理菜单项
五、IE浏览器项目设置
1. 限制IE浏览器的保存功能
2. 给工具栏减肥
3. 在IE工具栏添加快捷方式
4. 让IE插件不再骚扰你
5. 保护好你的个人隐私
6. 禁止修改IE浏览器的主页
7. 禁用导入和导出收藏夹
六、系统安全/共享/权限设置
1. 密码策略
2. 用户权利指派
3. 文件和文件夹设置审核
4. Windows 98访问Windows XP共享目录被拒绝的问题解决
5. 阻止访问命令提示符
6. 阻止访问注册表编辑工具
解决方案:
一、桌面项目设置
在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1. 隐藏不必要的桌面图标
桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer 图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
和禁用桌面上的所有项目启用即可;当启用了删除桌面上的‘我的文档’图标和删除桌面上的‘我的电脑’图标两个选项以后,我的电脑和我的文档图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢回收站这个图标,那么也可以把它给删除,具体方法是将从桌面删除回收站策略项启用。
2. 禁止对桌面的改动
利用组策略可达到禁止别人改动桌面某些设置的目的。禁止用户更改‘我的文档’路径项可防止用户更改我的文档文件夹的路径。禁止添加、拖、放和关闭任务栏的工具栏项可阻止用户从桌面上添加或删除任务栏。双击启用退出时不保存设置后,用户将不能保存对桌面的更改。最后,双击启用隐藏和禁用桌面上的所有项目设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。
3. 启用或禁止活动桌面
利用Active Desktop项,可根据自己的需要设置活动桌面的各种属性。启用活动桌面项可启用活动桌面并防止用户禁用它。活动桌面墙纸项可指定在所有用户的桌面上显示的桌面墙纸。而启用不允许更改项便可防止用户更改活动桌面配置。
4. 给开始菜单减肥
Windows XP的开始菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除开始菜单中的公用程序组、我的文档图标、文档菜单、网络连接、收藏夹菜单、搜索菜单、帮助命令、运行菜单、图片收藏图标、我的音乐图标和网上邻居图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的我的文档图标为例看看其具体操作方法:在右边窗口中双击从‘开始’菜单上删除‘我的文档’图标项,在弹出对话框的设置标签中点选已启用,然后单击确定,这样在开始菜单中我的文档图标将会隐藏。
5. 保护好任务栏和开始菜单的设置
倘若不想随意让他人更改任务栏和开始菜单的设置,只要将右侧窗格中的阻止更改‘任务栏和「开始」菜单’设置和阻止访问任务栏的上下文菜单两个策略项启用即可。这样,当用鼠标右键单击任务栏并单击属性时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。
二、隐藏或禁止控制面板项目
这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止控制面板项目。在组策略左边窗口依次展开用户配置---管理模板---控制面板项,便可看到控制面板节点下面的所有设置和子节点。
1. 禁止访问控制面板
如果您不希望其他用户访问计算机的控制面板,您只要运行组策略编辑器(gpedit.msc),在左侧窗格中逐级展开‘本地计算机’策略---用户配置---管理模板--- 控制面板分支,然后将右侧窗格的禁止访问控制面板策略启用即可。此项设置可以防止控制面板程序文件(Control.exe)的启动。其结果是,他人将无法启动控制面板(或运行任何控制面板项目)。另外,这个设置将从开始菜单中删除控制面板。同时这个设置还从 Windows 资源管理器中删除控制面板文件夹。
2. 隐藏或禁止添加/删除程序项
展开添加/删除程序项:双击启用删除‘添加/删除程序’程序设置项后,控制面板中的添加/删除程序项将被删除。此外在添加或删除程序对话框中共有3个页面:更改或删除程序、添加新程序以及添加/删除Windows组件;而当你进入添加新程序页面时,会发现有3个选项:从CD-ROM或软盘添加程序、从 Microsoft添加程序以及从网络中添加程序,如果你想这些具体页面或选项隐藏,可直接在组策略添加/删除程序项中将相应隐藏功能启用。
3. 隐藏或禁止显示项
展开显示项,发现这一项和上一项一样,可隐藏显示属性对话框中的选项卡。这
里就不细讲了,例如双击启用隐藏‘桌面’选项卡后,显示窗口中将不再出现桌面项。此外,在这里用户还可启用删除控制面板中的‘显示’,这样在控制面板中双击打开显示项时,就会弹出一个对话框提示你:系统管理员禁止使用显示控制面板。
4. 其他
自定义控制面板程序:隐藏指定的控制面板程序或只显示指定的控制面板程序,根据提示提示操作,隐藏或显示控制面板项目.依次展开显示---桌面主题项,双击启用删除主题选项、阻止选择窗口和按钮式样、禁止选择字体大小项后,可阻止他人更改主题、窗口和按钮式样、字体。展开打印机项,双击启用阻止添加打印机或阻止删除打印机可防止别的用户添加或删除打印机。最后,直接在控制面板一项下启用禁止访问控制面板,控制面板将无法启动。
三、系统项目设置
这一项在用户配置---管理模板---系统中设置。组策略中对系统的设置涉及到登录、电源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理出来分类列举如下:
1. 登录时不显示欢迎屏幕界面
Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦且延长登录时间,通过组策略便可将其除去。双击启用系统节点下的登录时不显示欢迎屏幕,则每次用户登录时欢迎屏幕将隐藏。
2. 禁用注册表编辑器
为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。双击启用系统节点下的阻止访问注册表编辑器项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用(图16)。另外,如果你的注册表编辑器被锁死,也可双击此设置,在弹出对话框的设置标签中点选未被配置项,这样你的注册表便解锁了。如果要防止用户使用其他注册表编辑工具打开注册表,请双击启用只运行许可的Windows应用程序。
3. 关闭系统自动播放功能
一旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用程序。这样虽然给我们的工作带来了便利,在某些时候也带来了不少麻烦。在系统节点下有一项为关闭自动播放设置项,双击其并在弹出对话框的设置标签中点选已启用,在关闭自动播放框中选择CD-ROM启动器或所有驱动器项即可。
注意:此设置不阻止自动播放音乐CD。
4. 关闭Windows自动更新
每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根据配置的具体情况,在下载的组件准备好安装时或在下载之前,给用户以提示。如果你不喜欢比尔老大这种自作主张的态度,可通过组策略关闭这一功能。只须双击系统节点下的Windows自动更新设置项,在弹出来的对话框中点选已禁用并确定即可。
5. 删除任务管理器
若Windows XP用户已取消使用欢迎屏幕项,若同时按下Ctrl+Alt+Del键,便会弹出一个Windows安全对话框,此对话框中有锁定计算机、注销、关机、更改密码、任务管理器、取消6个功能按钮。大家都知道这里的每个按钮对系统都起着关键的作用。为了阻止别人操作,可通过组策略屏蔽这些按钮。找到系统下的Ctrl+Alt+Del选项,双击启用删除任务管理器、删除‘锁定计算机’、删除改变密码、删除注销项便能屏蔽掉Windows安全对话框的任务管理器、锁定计算机、更改密码、取消4个功能按钮。注意:注销、关机两个菜单项的屏蔽,在用户配置---管理模板---任务栏和‘开始’菜单节点下。
四、隐藏或删除Windows XP资源管理器中的项目
一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源也一直是电脑用户的不懈追求。依次展开用户配置---管理模板---Windows组件---Windows 资源管理器项,可以看到Windows资源管理器节点下的所有设置。下面就来看看怎样通过组策略实现资源管理器个性化
1. 删除文件夹选项
文件夹选项是资源管理器中一个重要的菜单项,通过它可修改文件的查看方式,编辑文件类型的打开方式。我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删除,你只须双击启用从‘工具’菜单删除‘文件夹选项’菜单便能完成这一设置。
2. 隐藏管理菜单项
在资源管理器中右键单击我的电脑出现的快捷菜单中有一个管理菜单项,通过此菜单项,可以打开一个包含事件查看器、本地用户和组、设备管理器、磁盘管理等众多工具的计算机管理窗口。为了保障你的计算机免受他人无意破坏,可通过双击启用隐藏Windows资源管理器上下文菜单上的‘管理’项目项来屏蔽此菜单项。
3. 其他项目的隐藏
此外通过启用隐藏‘我的电脑’中的这些指定的驱动器可隐藏你指定的驱动器。还可通过启用‘网上邻居’中不含‘整个网络’屏蔽掉整个网络项。双击启用删除CD烧录功能删除Windows XP自带的光盘刻录功能。双击启用不要将已删除的文件移到‘回收站’则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有讲到,大家可根据需要自行探讨,进行适当的配置。
五、IE浏览器项目设置
在组策略左边窗口中依次展开用户配置---管理模板---Windows组件---Internet Explorer项,在右边窗口中便能看到Internet Explorer节点下的所有设置和子节点。IE 是Windows XP自带的网页浏览器,也是大多数用户采用的浏览器,但其安全性也为人所诟病,下面就通过组策略来对其进行改造。
1. 限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择用户设置---管理模板---Windows组件
---Internet Explorer---浏览器菜单分支,然后将右侧窗格中的‘文件’菜单:禁用‘另存为’菜单项、‘文件’菜单:禁用另存为网页菜单项、‘查看’菜单:禁用‘源文件’菜单项和禁用上下文菜单等策略项目启用即可。另外,倘若您不希望别人对IE浏览器的设置进行随意更改,您只要将‘工具’菜单:禁用‘Internet选项’策略启用即可。另外,根据您个人的需要,在该窗格中还可以对其他项目进行禁用。
2. 给工具栏减肥
倘若您要隐藏工具栏中的工具按扭,具体方法是:选择用户设置---管理模板---Windows 组件---Internet Explorer---工具栏分支,然后在右侧窗格中双击配置工具栏按扭策略,
弹出配置工具栏按扭属性窗口,在设置选项卡中选择已启用单选按扭,将列表中将要显示按扭名称前面的复选框打上勾选标记,若要隐藏某些按扭,则不要将其前面的复选框进行勾选。然后单击确定按扭即可
3. 在IE工具栏添加快捷方式
不知道大家注意到了没有,不少软件在安装完之后都会在IE工具栏上添加图标,单击其便能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式,这里举例说明如何添加一个ICQ的启动图标。展开Internet Explorer维护下的浏览器用户界面,双击浏览器工具栏自定义设置项,在弹出来的对话框中单击添加按钮,在浏览器工具栏按钮信息对话框的工具栏标题中输入:ICQ,在工具栏操作中输入D:FunICQLiteICQLite.exe,然后再随便选择一个颜色图标和灰度图标,当然你也可以用ExeScope等来提取ICQ的图标)。单击确定后IE工具栏中便多了一个ICQ图标!
4. 让IE插件不再骚扰你
我们平常上网浏览网页时,总会弹出一些诸如是否安装Flash插件、是否安装3721网络实名的提示,就像广告窗口一样烦人。实际上我们可在组策略中通过启用Internet Explorer节点下的禁用Internet Explorer组件的自动安装来禁止这种提示的出现。不过有时这一功能也是很用的,所以在禁止此功能之前请稍加考虑。
5. 保护好你的个人隐私
一般通过单击IE工具栏上的历史按钮,便可了解以前浏览过的网页和文件。为保密起见,你可以通过双击启用Internet Explorer节点下的不要保留最近打开文档的记录和退出时清除最近打开的文档记录两个设置项,这样再单击IE工具栏上的历史按钮,你访问过的历史网页记录将全部消失。
6. 禁止修改IE浏览器的主页
如果不希望他人对你的主页进行修改,可启用Internet Explorer节点下的禁用更改主页设置设置项禁止别人更改你的主页。你也可通过访问浏览器菜单,启用其中的设置项对IE 浏览器的若干菜单项进行屏蔽。最后,在Internet控制面板节点下,你还可对Internet选项对话框中的部分选项卡进行隐藏。
倘若启用了这个策略,在IE浏览器的Internet 选项对话框中,其常规选项卡的主页区域的设置将变灰。
特别提示:如果设置了位于用户配置---管理模板---Windows 组件---Internet Explorer---Internet 控制面板中的禁用常规页策略,则无需设置该策略,因为禁用常规页策略将删除界面上的常规选项卡。
7. 禁用导入和导出收藏夹
禁止用户使用导入/导出向导菜单项导入或导出收藏夹链接。用户配置管理模板Windows 组件Internet Explorer。
如果启用该策略,导入/导出向导菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置,则用户可以通过单击文件菜单上的导入和导出菜单项,然后运行导入/导出向导,导入/导出IE中的收藏夹。
注意:如果启用该策略,用户仍然可以查看导入/导出向导,但当用户单击完成按钮时,将出现说明该功能已被禁用的提示信息。
六、系统安全/共享/权限设置
自有计算机以来,安全一直就是人们关注的焦点问题,Windows XP也不例外。在组策略中,系统安全配置一般在计算机配置---Windows设置---安全设置中进行。
1. 密码策略
这一策略在账户策略---密码策略节点中配置。口令是系统安全的一大隐患,可通过组策略设置密码(口令)的最小长度:双击启用密码必须符合复杂性要求设置项,确定后双击密码长度最小值设置项,在弹出来的对话框中将密码长度最小值设为8或更大,这样以后设置账户密码时就必须输入8位以上,安全性就高多了。
2. 用户权利指派
展开本地策略---用户权利指派节点,在右边窗口中便能看到用户权利指派节点下的所有设置。合适地指派用户权利可以解决一些奇怪的问题,例如在局域网中使用Windows XP系统的朋友一般会发现一个奇怪的现象,那就是即使你启用guest用户并给予权限,局域网中的其他Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个问题可在组策略中通过修改有关设置解决:双击用户权利指派节点下的拒绝从网络访问这台计算机设置项,在弹出对话框中点选guest,然后单击删除,最后确定即可。在用户权利指派节点下还可给用户添加许多权限,例如给guest添加远程关机权限、给一般用户添加更改系统时间的权限。
3. 文件和文件夹设置审核
Windows XP Professional可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。审核文件、文件夹(只适用于 NTFS文件系统)可以保证文件和文件夹的安全。在审核发生之前,您必须使用组策略指定要审核的事件类型。为文件和文件夹设置审核的步骤如下。
a.单击选择开始---运行命令,在弹出的运行对话框中键入gpedit.msc命令,然后单击确定按扭即可;当然你也可以在桌面上创建一个相应的快捷方式。
b.在弹出的组策略窗口中,逐级展开右侧窗格中的计算机配置---Windows设置---安全设置---本地策略分支,然后在该分支下选择审核策略选项。
c.在右侧窗格中用鼠标双击审核对象访问选项,在弹出的本地安全策略设置窗口中,将本地策略设置框内的成功和失败复选框都打上勾选标记。如图12所示。然后单击确定按扭
d.用鼠标右键单击想要审核的文件(或文件夹)。选择快捷菜单的属性命令,然后在弹出的窗口中选择安全选项卡。
e.单击高级按扭,然后选择审核选项卡。
f.根据具体情况选择您的操作:
(1)倘若对一个新组(或用户)设置审核, 请单击添加按扭,在名称框中键入新用户名,然后单击确定按扭,将打开审核项目对话框。
(2)要查看(或更改)原有的组(或用户)审核, 选择用户名,然后单击查看/编辑按扭。
(3)要删除原有的组(或用户)审核, 选择用户名,然后单击删除按扭即可。
g.如有必要的话,在审核项目对话框中的应用到列表中选取您希望审核的地方(应用到列表仅对文件夹有效)。
h.如果您想禁止目录树中的文件和子文件夹继承这些审核项目,选择仅对此容器内的对象和/或容器应用这些审核项复选框。
如果在审核项目对话框中的访问之下的复选框变暗,或在访问控制设置对话框中删除按钮不可用,那么说明已经继承了来自父文件夹的审核。
需要注意的是:必须是管理员组成员或在组策略中被授权有管理审核和安全日志权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,您必须启用组策略中审核策略的审核对象访问。否则,当您设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。通过事件查看器(Event Viewer)可以检查那些访问审核过的文件和文件夹的成功或失败的尝试。
4. Windows 98访问Windows XP共享目录被拒绝的问题解决
在局域网内,经常可以遇到装有Windows 2000的电脑开了共享目录,而装有Windows 98的电脑却无法访问的问题。这个在微软的官方网页上可以找到答案,提示开启Windows 2000的GUEST用户就行了。可是Windows XP出来以后,同样的又面临这个问题,结果有些人发现这个方法不灵了,从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在?这个问题本也困扰过我好几天,后来在无意中发现了问题的答案,也许这是Windows XP的一个BUG?在开启了系统Guest用户的情况下,运行组策略编辑器程序,在本地计算机策略---计算机配置---Windows设置---安全设置---本地策略---用户权利指派---拒绝从网络访问
这台计算机中赫然可以看到有Guest用户!如果在这里删除Guest用户,那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了
5. 阻止访问命令提示符
防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在计算机上运行。位置:用户配置管理模板系统如果启用这个设置,用户试图打开命
令窗口,系统会显示一个消息,解释设置阻止这种操作。注意:如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件;也不防止使用终端服务的用户运行批文件。
6. 阻止访问注册表编辑工具
该策略将禁用Regedit.exe,以禁用Windows注册表编辑器。这样可以很大程度防止网页上的恶意代码篡改IE。位置:用户配置管理模板系统如果这个设置被启用,并且用户试图启动注册表编辑器,解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管理工具,请使用只运行许可的Windows应用程序策略设置。
补充
1. 禁止程序后组策略无法使用
可以通过以下方法来恢复设置:重新启动计算机,在启动菜单出现时按F8键,在Windows 高级选项菜单中选择带命令行提示的安全模式选项,然后在命令提示符下运行mmc.exe。在打开的控制台窗口中,依次点击文件---添加/删除管理单元---添加---组策略---添加---完成---关闭---确定,现在已经添加了一个组策略控制台,接下来把原来的设置改回来,然后重新进入Windows即可。
2. 从我的电脑中删除共享文档
当Windows用户在一个工作组中,一个共享文档图标会以Windows资源管理器的Web视图出现在其他位置和在这台计算机上存储的其他文件中。使用此设置,你可选择不显示这些项目。本地计算机策略---;用户配置---;管理模板---;Windows组件---;Windows资源管理器如果启用此设置,共享文档文件夹将不会以Web视图方式显示或在我的电脑中出现。如果禁用或不配置此设置,当用户是工作组的一部分时,共享文档文件夹将会以Web视图方式显示或在计算机中出现。
备注:
1. 组策略在家庭版Windowss系统上不存在;
2. 组策略设置有风险,请注意提交备份数据。
组策略应用案例探析
组策略应用案例 实验环境 BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置 1所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序,比如计算器,画图等。 3 配置域用户所有IE的默认设定为本企业网站,保证员工打开IE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 5保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源。 6 关闭2003的事件跟踪,公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。 9取消自动播放,以防止插入U盘有病毒,自动运行病毒 10 除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。
实验目的 1所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 4所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放 10 管理员可以使用本地连接-属性,任何域用户帐号不可使用. 实验准备 1 一人一组 2 准备两台Windows Server2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24
(完整)域组策略--+域控中组策略基本设置
(完整)域组策略--+域控中组策略基本设置 编辑整理: 尊敬的读者朋友们: 这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)域组策略--+域控中组策略基本设置)的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。 本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)域组策略--+域控中组策略基本设置的全部内容。
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!—-—-—gpmc.msi (工具) 使用:运行---〉gpmc。msc 如下键面: 文件夹重定向: 1。在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!)
2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组
3.用本地用户登录机器查看! 禁止卸载: 1。权限domain user + 管理模板(相当于改动注册表!!)
2.再把控制面板里的“添加删除程序"禁用
禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb。adm 2. 3。 4。
Windows命令大全
windows运行命令大全winver 检查Windows版本 wmimgmt.msc 打开Windows管理体系结构(wmi) wupdmgr Windows更新程序 wscript Windows脚本宿主设置 write 写字板 winmsd 系统信息 wiaacmgr 扫描仪和照相机向导 winchat xp自带局域网聊天 mem.exe 显示内存使用情况 msconfig.exe 系统配置实用程序 mplayer2 简易widnows media player mspaint 画图板 mstsc 远程桌面连接 mplayer2 媒体播放机 magnify 放大镜实用程序 mmc 打开控制台 mobsync 同步命令 dxdiag 检查directx信息 drwtsn32 系统医生 devmgmt.msc 设备管理器
dfrg.msc 磁盘碎片整理程序 diskmgmt.msc 磁盘管理实用程序 dcomcnfg 打开系统组件服务 ddeshare 打开dde共享设置 dvdplay dvd播放器 net stop messenger 停止信使服务 net start messenger 开始信使服务 notepad 打开记事本 nslookup 网络管理的工具向导 ntbackup 系统备份和还原 narrator 屏幕“讲述人” ntmsmgr.msc 移动存储管理器 ntmsoprq.msc 移动存储管理员操作请求 netstat -an (tc)命令检查接口 syncapp 创建一个公文包 sysedit 系统配置编辑器 sigverif 文件签名验证程序 sndrec32 录音机 shrpubw 创建共享文件夹 secpol.msc 本地安全策略 syskey 系统加密,一旦加密就不能解开,保护Windows xp系统的双重
Windows环境中组策略处理优先级详解
Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后是链接到其子 组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响: GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。
XP组策略命令大全(一)
XP组策略命令大全 如何打开组策略编辑器? 答:运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 答:1:看是不是注册表中锁住了组策略 “HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。 2:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加。任务栏和开始菜单设置详解 用户配置-管理模板-任务栏和开始菜单 从「开始」菜单删除用户文件夹 隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。其它项目出现,但文件夹会被 隐藏。 这个设置是为了转发文件夹而设计的。被转发的文件夹会出现在「开始」菜单的主要区域中。但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。因为两个同样的文件夹可能会让用户觉得混乱,您可以使用这个设置来隐藏用户指定文件夹。 请注意这个设置会隐藏所有的用户指定文件夹,不光是被转发的用户指定文件夹。 如果您启用这个设置,在「开始」菜单中的上方区域不会出现任何文件夹。如果用户将新文件夹加入「开始」菜单,文件夹会出现在用户配置文件的目录中,但不会出现在「开始」菜单中。 如果停用或不配置这个设置,Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。 删除到“Windows Update”的访问和链接 防止用户连接到Windows Update网站。 这个设置阻止用户访问地址为: https://www.wendangku.net/doc/a619163515.html,的Windows Update 网站。这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update超链接。 Windows Update 为Windows 的联机扩展,提供软件更新以使用户的系统保持最新。Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。 还可参阅“隐藏‘从Microsoft 添加程序’选项”设置。 从「开始」菜单删除公用程序组 在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。 默认情况下,程序菜单包括从所有用户配置文件项目和用户配置文件项目。如果您启用这项设置,只有用户配置文件上的项目会出现在程序菜单上。 窍门: 要查阅在所有用户配置文件中的程序菜单项目,请在系统驱动器上转到Documents and Settings\All Users\Start Menu\Programs。
常用AD组策略设置
常用AD组策略设置 利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。 根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。 下面是实际操作演示: ?AD域控制器:Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序 打开“https://www.wendangku.net/doc/a619163515.html,”域下组织单位“北京”的属性(如下图): 可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.wendangku.net/doc/a619163515.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是: copy bssec.scr c:\windows\system32 即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。打开“https://www.wendangku.net/doc/a619163515.html,”域的属性(如下图): 可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
组策略应用大全
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
组策略设置系列篇之“安全选项”2
组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录:不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置,不显示上次成功登录的用户的名称。如果禁用此策略设置,则显示上次登录的用户的名称。 “交互式登录:不显示上次的用户名”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。 对策:将“不显示上次的用户名”设置配置为“已启用”。 潜在影响:用户在登录服务器时,必须始终键入其用户名。 交互式登录:不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置,用户登录时无需按此组合键。如果禁用此策略设置,用户在登录到Windows 之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录:不需要按CTRL+ALT+DEL”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策:将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
如何设置常用组策略
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
(2)组策略的配置及使用
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重
Windows操作系统组策略应用全攻略
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
Windows组策略应用大全
Windows组策略应用大全.txt9母爱是一滴甘露,亲吻干涸的泥土,它用细雨的温情,用钻石的坚毅,期待着闪着碎光的泥土的肥沃;母爱不是人生中的一个凝固点,而是一条流动的河,这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows?9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows?2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active?Directory?对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet?Explorer策略设置。 3)Wmplayer.adm:用于Windows?Media?Player?设置。 4)Conf.adm:用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows?9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
电脑键盘快捷键和组合件使用大全
电脑键盘快捷键和组合键功能使用大全 键盘快捷键使用大全所谓快捷键就是使用键盘上某一个或某几个键的组合完成一条功能命令,从而达到提高操作速度的目的。下面为大家介绍一些常用快捷键的使用和功能。希望这些电脑快捷键大全可以给用户带来便捷的上网体验。善用快捷键,可以更快捷的使用电脑。 (图为标准键盘示意图) 下面来看看各种电脑快捷键大全和组合键的功能大全。 一、最常用的电脑快捷键大全
二、电脑快捷键大全键和组合键功能大全
Ctrl+1,2,3... 功能:切换到从左边数起第1,2,3...个标签 Ctrl+A 功能:全部选中当前页面内容 Ctrl+C 功能:复制当前选中内容 Ctrl+D 功能:打开“添加收藏”面版(把当前页面添加到收藏夹中) Ctrl+E 功能:打开或关闭“搜索”侧边栏(各种搜索引擎可选) Ctrl+F 功能:打开“查找”面版 Ctrl+G 功能:打开或关闭“简易收集”面板 Ctrl+H 功能:打开“历史”侧边栏 Ctrl+I 功能:打开“收藏夹”侧边栏/另:将所有垂直平铺或水平平铺或层叠的窗口恢复 Ctrl+K 功能:关闭除当前和锁定标签外的所有标签 Ctrl+L 功能:打开“打开”面版(可以在当前页面打开Iternet地址或其他文件...) Ctrl+N 功能:新建一个空白窗口(可更改,Maxthon选项→标签→新建) Ctrl+O 功能:打开“打开”面版(可以在当前页面打开Iternet地址或其他文件...)
Ctrl+P 功能:打开“打印”面板(可以打印网页,图片什么的...) Ctrl+Q 功能:打开“添加到过滤列表”面板(将当前页面地址发送到过滤列表) Ctrl+R 功能:刷新当前页面 Ctrl+S 功能:打开“保存网页”面板(可以将当前页面所有内容保存下来) Ctrl+T 功能:垂直平铺所有窗口 Ctrl+V 功能:粘贴当前剪贴板内的内容 Ctrl+W 功能:关闭当前标签(窗口) Ctrl+X 功能:剪切当前选中内容(一般只用于文本操作) Ctrl+Y 功能:重做刚才动作(一般只用于文本操作) Ctrl+Z 功能:撤消刚才动作(一般只用于文本操作) Ctrl+F4 功能:关闭当前标签(窗口) Ctrl+F5 功能:刷新当前页面 Ctrl+F6 功能:按页面打开的先后时间顺序向前切换标签(窗口) Ctrl+F11 功能:隐藏或显示菜单栏
2003系统域的组策略应用详解_
域网络构建教程(4)组策略 古人云:运筹帷幄之中,决胜千里之外。这大概就是用兵的最高境界了吧! 作为一个生于和平年代的网络管理人员,这辈子带兵是没戏了。不过在域环境的帮助下,这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的XP系统上一直存在,通过在运行栏中输入gpedit.msc就可以启动本地计算机的组策略编辑器。截图如下: 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器,所见 即所得一直都是微软的看家本领啊。 有了域环境之后,通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中,我感觉这种管理与控制几乎覆盖了使用中的方方面面,反正现在我只要在域控制器上动动手指头,就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的,有兴趣的可以在看完本文后自己实践一下(后果自负哈)。
闲话少说,书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器,注意这里不能使用gpedit.msc(那是编辑本机策略的),而要打开“开始——程序——管理工具——Active Directory用户和计算机”。 截图如下: 在打开的窗口中选择你的域名,并在其上右击选择属性,然后在弹出的属性对话框中选择组
策略。现在你就会看到默认域策略——Default Domain Policy,截图如下: 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy,这样便于我们随时恢复到系统默认的设置。呵呵,留条出迷宫的路,是所有操作前的必修课。 默认的不让动,那我们怎么编辑组策略呢?答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机,注意组织单位将是一个我们经常使用的划分方式,组策略可以按层次模式很好的在其上运行,这样也便于对今后一定会日趋复杂的组策略进行有效的管理。 注意这里我提到了层次模式,组策略是可以按层次逐级继承的。这不但可以使策略设置简洁 明了,出了问题还便于排查错误。 为了演示这种层次模式,我新建一个名为“用户和计算机”的组织单位,并将原来的两个组
组策略以及来宾用户权限的设置
组策略以及来宾用户权限的设置
组策略以及来宾用户权限的设置 我都是用组策略来实现这个目的的具体用法如下(简单的)Windows 2000/XP/2003 组策略控制台 如果是Windows 2000/XP/2003 系统,那么系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”命令项,输入gpedit.msc 并确定,即可运行程序。 使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机 组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体步骤如下: 1)打开Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC
并回车,运行控制台程序)。 2)在“文件”菜单上,单击“添加/删除管理单元”。 3)在“独立”选项卡上,单击“添加”。4)在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。 5)在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象,或通 过单击“浏览”查找所需的组策略对象。 6)单击“完成”,单击“关闭”,然后单击“确定”。组策略管理单元即打开要编辑 的组策略对象。 对于不包含域的计算机系统来说,在上面第5 步的界面中,只有“计算机”标签,而没 有其他标签项目。
通过上面的方法,我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置功能,让管理员的工作更轻松和高效。 在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态,Windows 2000/XP/2003 组策略管理控制台同样也有三种状态,只不过名字变了。它们分别是:已启用、未配置、已禁用。 四、“桌面”设置 Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我 们的贴身秘书,让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例: 位置:“组策略控制台→用户配置→管理模板→桌面”
Windows操作系统组策略应用全攻略
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。
组策略配置及实践技巧
组策略对象可以应用到的容器包括:站点、域、和OU中。 默认的域策略、域控制器策略尽量不要去修改。 默认的域策略会影响到所有的域内的用户,计算机以及DC,默认的域控制器策略只会影响到域内的所有的域控制器。 组策略(group policy)对象包括组策略容器(GPC)和组策略模板(GPT) 组策略是AD集中管理的工具。GPC存放在AD用户和计算机中。存放位置如下:高级功能-选择域-system-policies对应的UID中,单击属性可以查看版本号等信息,CPT存放于sysvol\域名\polilcies\ID number下的文件夹下,包含计算机和用户的配置,以及版本号。 多个GPO可以链接到一个容器,一个GPO可以链接到多个容器。 计算机如何知道组策略是否更改过?如何获取适合自己的组策略? 计算机在登录时首先查看GPlink(adsiedit.msc中域-属性-属性编辑器),查看ID和对应的版本号是否更改过,以便登录的时候实施对应的组策略。 计算机和用户如果要应用组策略对象的设定: 计算机和用户必须位于GPO有链接的SDOU容器内。 必须对GPO要有读取和应用组策略的权限。 组策略对象冲突时: 1:计算机策略覆盖用户策略。 2:不同层次的策略产生冲突时,子容器上的GPO优先级高 3:同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。(按照链接的组策略对象的顺序执行) 总体原册:后执行的优先级高。 变更组策略管理顺序:阻止继承,强制。设为强制的GPO优先级最高。阻止继承:就是在父策略的对象不在子策略中实施。不要轻易设置强制和阻止继承。方便排错。 安全策略:删除默认的authenticated user组,按照GPO设定创建安全组,为安全组分配权限。 问题:如何实现OU内的GPO只对OU内特定人员生效?(GPO只对财务部OU和销售部OU的经理生效) 使用安全过滤;在AD用户和计算机上新建一个安全组,将需要生效的成员(经理)添加进来,在所要生效的GPO中右击属性-委派-高级,删除默认的authenticated user组,将新建的安全组添加进来,权限中设置读取和应用组策略权限即可。(尽量不要使用,方便排错) 如何使其他用户具有编辑组策略的权限? 在所设置的组策略上点击添加,将用户添加进来,给予相应的权限,给定的用户即可编辑对应的组策略。 如何设置域中用户具有修改域的所有组策略(不包含给定权限的用户自己编辑的组策略)的权限?单击AD用户和计算机,单击group policy creator owners-属性,将需要添加的成员添加进来即可。 如何设置域中GPO的链接的权限?(将设置的组策略对象链接到相应的容器中的权限) 在AD用户和计算机上单击域,右击委派控制-添加,将要添加的用户添加进来,然后给予相应的权限即可。 如何查看当前系统新增的组策略功能? GPedit中单击管理模板-查看-筛选器选项,勾选相应选项即可查看。 组策略结果集RSoP的用处? MMC中添加策略的结果集即可以打开RSoP 可以选择记录模式和计划模式,记录模式显示当期应用的组策略结果,计划模式显示模拟的即将应用的组策略结果,单击更改查询切换,进行查询。
Windows系统组策略应用最新技巧
Windows系统组策略应用最新技巧 系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了。但是笔者一直认为,只要我们足够细心、用心,就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新“境界”! 巧限程序,谨防“自锁” Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论你是否在“只允许运行程序列表”中,添加了gpedit.msc命令,只要“只允许运行Windows应用程序”的组策略项目生效,系统的组策略就会自动“自锁”,即使你在超级管理员XX下使用“gpedit.msc”命令,也不能打开系统的组策略编辑窗口!那么有没有一种办法,既能限制应用程序的运行,又能防止系统组策略出现“自锁”现象呢?答案是肯定的,你可以按照如下步骤来操作: 首先依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口; 依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目,在对应“系统”项目右边的子窗口中,双击“只运行许可的Windows应用程序”选项,在其后弹出的界面中,将“已启用”选项选中。随后,你将在对应的窗口中看到“显示”按钮被自动激活,再单击“显示”按钮,然后继续单击其后窗口中的“添加”按钮,再将需要运行的应用程序名称输入在添加设置框中,最后单击“确定”按钮; 下面,请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框,并在其中执行“gpedit.msc”命令,此时你将发现系统组策略编辑程序已经无法运行了!不过,幸亏前面没有将组策略编辑窗口关闭,现在你可以继续在组策略编辑窗口中,双击刚才设置的“只允许运行Windows应用程序”项目,然后在弹出的策略设置窗口中,选中“未配置”选项,最后单击一下“确定”按钮,这样就能实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。
组策略详细设置
组策略入门 (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT 的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 组策略管理模板 在Windows 2000/XP/2003目录中包含了几个.adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: