当前位置：文档库 › Windows系统组策略屏蔽U盘有方法

Windows系统组策略屏蔽U盘有方法

微软WINDOWS系统组策略屏掉移动U盘的方

法

其他注意事项：

1、这种方法在您的客户端很多的时候，很方便，您只要确保客户端登录用户属于您已应用此组策略的OU下即可，如果暂时需要允许他使用U盘，那只要把该用户移出此OU，该用户再注销重新登录一下就OK。

2、需要注意的是，您在OU中建立用户时，用户缺省是属于Domain users组，这对于大多数软件来说没有问题，但会使有些软件无法安装或运行，您可以赋予这些用户在客户端本机的Power user组的权限，即可解决。

3、注意这种方法同时也屏蔽了您的光驱盘符，光驱也是不能访问的。当然U盘都屏蔽了，我想光驱就更该屏蔽了，呵呵！如果实在要访问，可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。

4、OU是可以嵌套的，客户端组策略的应用是从域根到OU再到子OU，而且是可以覆盖的，除非您选定了“阻止策略继承”。如果您在父OU上设置了屏蔽U盘，但在子OU中又取消了屏蔽，那么客户端的U盘是不会被屏蔽的。

5、如果您在一个OU中设置了此屏蔽策略，但您又要在其他同级的OU中要开放一些用户的U盘时，您需要重新建一个策略，而不是直接在“屏蔽U盘”的策略上修改成不屏蔽U盘，因为这是个链接到“屏蔽U盘”的策略，您实际修改的是“屏蔽U盘”策略，这会影响到他管理下的所有的OU，他们都将会应用您修改后的策略。

6、在域中应用组策略时，系统只能对整个域、组织单位实施组策略，不能对单个的用户或者计算机指定组策略，在实际应用的时候，可多建立几个组织单位来管理用户。

对于大多数用户来说，这的确很方便，但对于单位有要求的网管来说，就头疼了，现在新买的机器不能总是安装Windows 98吧，毕竟Windows 98就要“下岗”了，但面对U盘，却没有好的办法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不能放过一个”的办法，如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管自己用，哈哈！那有没有简单易行的办法呢？经过一段时间摸索和试验，笔者终于找到了使用修改组策略模板的方法实现此目标。

笔者在一家区级法院网络中心工作，为确保局域网内的计算机安全，省高院要求全省联网的法院客户端的机器光软驱都要拆除，而且禁止在局域网内使用U盘。我们知道，现在局域网中使用的操作系统绝大多数都是Windows系列，对于Windows 98说，做到这些并不难，因为U盘第一次使用时需要安装相应的驱动程序，拆除了光、软驱后，驱动无法安装，U盘也就无法使用，但对于Windows 2000、Windows XP来说，情况就不同了，用过U盘的人都知道这些操作系统不需要安装驱动，U盘即插即用。

实现条件

当然这是有前提条件的，首先，您的局域网必须以域为架构（我们知道Windows 2000、Windows XP自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可以在全域实现管理目标，如果不采用域模式，您需要每台都要设置组策略，无线路由器，合力万通，4G工业路由器，WIFI工业路由器，VPN工业服务器，AAA 认证服务器，失去了效率，也就没有采用的必要了）。

其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server组策略对Windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对您以后的网络管理带来不便。

特别说明：这里介绍的方法并不适用于Windows 98，只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件，我们就可以利用组策略屏蔽U盘，而对于其他USB设备却无任何影响，笔者在单位实施1年多来，效果很好，现将详细方法介绍出来，希望能给众多网管们提供一点借鉴。

基本原理

组策略实现的原理实际上就是修改注册表，当域用户登录到域上时，系统会对指定的客户端实施组策略，也即修改客户端的注册表，当我们新建了一个组策略时，系统实际上是拷贝了三个模板文件，在您修改组策略时，实际上是在修改这些模板的副本，然后把这些策略应用到指定的客户端中去，然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略，但我们可以手动修改系统的模板文件，使组策略模板具备屏蔽U盘的策略，实际上根据其原理，凡是修改注册表能做到的，基本上都可以在域中使用组策略实现。无线路由器，合力万通，4G工业路由器，WIFI工业路由器，VPN工业服务器，AAA认证服务器

实现方法

1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U 盘”，建好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置－管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器，在右边的窗口中会显示如图1所示。

我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，如图2所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。

2、在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到"屏蔽U盘"的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。

3、打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，此文件夹位于“C:https://www.wendangku.net/doc/c012279325.html,Policies”下（盘符依赖于您安装的操作系统所在的分区），注意其中https://www.wendangku.net/doc/c012279325.html,是您的Windows 2000的域名，打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM目录下的system.adm文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：

* POLICY !!NoDrives

EXPLAIN !!NoDrives_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoDrives"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly VALUE NUMERIC 4

NAME !!DOnly VALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly VALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

; low 26 bits on (1 bit per drive)

NAME !!RestNoDrives VALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

* POLICY !!NoViewOnDrive

EXPLAIN !!NoViewOnDrive_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoViewOnDrive"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly VALUE NUMERIC 4

NAME !!DOnly VALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly VALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

; low 26 bits on (1 bit per drive)

NAME !!RestNoDrives VALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

说明：这是两个策略，第一个!!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可以达到比较理想的效果。

仔细观察上述代码，不难发现，其中一共有7个NAME项，正好和我们图2下拉框中的一一对应，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on的意思说值为26位的二进制，最多可指定26个驱动器盘符，而1 bit per drive则代表1位代表1个驱动器，举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数（防止有人同时插入几个U盘，呵呵！）。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个策略中的NAME !!ABCDOnly VALUE NUMERIC 15

下插入一行

NAME !!ABCFGHIOnly VALUE NUMERIC 487

随后，移到System.adm文件的末尾，在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据，ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"

等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在如图2的下拉框中。保存后，打开“屏蔽U盘”策略，定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项（如图4）。

这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设置），保存后，包含于该组织单位下的用户登录时，便会发现他的U盘插上后，系统虽能识别并正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中输入盘符。

至此，全部设置完毕，让您的客户段使用此OU下的用户登录看看吧！

组策略应用案例探析

组策略应用案例实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置１所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒１0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的１所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放１0 管理员可以使用本地连接-属性,任何域用户帐号不可使用．实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

用U盘装系统图解教程

用U盘装系统图解教程随着现在的科技高速发展，数码电子产品的性能越来越高的同时价格也在大幅下跌，以前你买个12 8的U盘也许要花一百多，而现在你只需要几十块钱就可以买一个1G的大容量U盘，所以用U盘的装系统的技术也随时代而产生，当你的朋友或同事让你帮他去维护一下系统，你还要提着光盘文件包去吗，你还要为没有光驱而恼火吗？现在教你用u盘去做系统。只要你的主板有USB接口支持USB启动就可以，现在主板基本都有这个功能的。U盘这东西现在太普遍了，谁能没有。制作U盘启动盘在这里给你推荐一个软件，U盘系统维护工具V2.0版，这个工具现在又两个版本，一个是128M 是（即U盘的容量小于128M是选择这个版本）另一个是512M的（即你的U盘容量大于400 M那就选择这个版本，因为这个版本集成的工具更多更全面）下载地址我一会在下边给你们贴上。 01、根据需要从下载U盘维护工具V2.0相应版本（128M版或512M版）； 02、把下载回来的压缩包使用WinRAR解压到硬盘上任一目录； 03、插上U盘，确认在我的电脑中能进入可移动磁盘磁符（安装到本地硬盘此步骤省略）； 04、执行解压出该目录下的[ 安装.EXE ]。（如右图所示） 05、阅读安装界面上的提示后按任意键进入安装模式选择，然后选择要安装的模式（如下图所示）：

06、本篇介绍ZIP模式的安装方法，在安装上界面输入“3”后回车，进入ZIP模式的安装； 07、安装程序将检测到当前已连接好的U盘/可移动磁盘，并列表出来！（如下图所示）,输入要安装的U盘盘符，不要带冒号，如下面界面上检测到的F盘，输入“F”后回车（若没检测到U盘，将弹出7.2 所提示） *07.2、安装程序若检测不到U盘/可移动磁盘，将弹出如下图所示界面！请连接好U盘或可移动磁盘后按“B”返回主菜单重装开始安装；

图解用U盘安装XP系统

图解用U盘安装XP系统正常的安装XP系统一般都要用到安装光盘, 这就要电脑要有光驱, 如果你的电脑没有光驱, 可不可以用U盘安装XP系统呢? 其实用优盘也可以方便快速的安装操作系统, 用U 盘安装系统的方法: 一 . 先准备好U盘和XP系统 U盘系统盘这些东西都要先准备好, 在安装系统前，需要准备好一些东西。一个是操作系统的镜像，另一个就是能启动的U盘。下面我们就来讲解怎么安装deepin版的XP系统。注：读懂本文需要了解安装操作系统的一些基础知识。二制作一个U盘的WinPE系统 U盘WINPE系统制作, 跟我们以前的方法是一样的. 先到网上去下载一个叫“老毛桃

WinPE”的工具到硬盘里，再把U盘接在电脑上，然后按下面的步骤一步步来就可以制作一个能启动的U盘了。老毛桃WinPE选第4项，然后回车

这时候输入U盘的盘符，然后回车 U盘格式化步骤，按默认的设置，点“开始”就行

完成U盘格式化制作U盘引导部分

注意: 在“设备”里有两个可以选择的设备，有硬盘，也有U盘。这里一定要选对U盘而不要选择硬盘，从大小就能分出来哪个是U盘。笔者的U盘是2G的，所以应该选择（hd1）[1898M]。下面的“选项”部分可以不用管，默认不勾选任何参数就行。确认好以上步骤后，点“安装”然后进行下一步。写入引导完毕，继续下一步还可以给U盘设个密码这里跳过，所以没办法只好设了一个密码。设置完后，一定要牢记你设好的密码，否则启动U盘会无法使用。

启动功能的U盘制作完毕当你完成以上步骤后，启动功能的U盘已经做好了。你再也不用心烦没有光驱不能从光驱启动了，因为以后你可以从U盘启动再安装操作系统！想知道怎么操作吗？下一页就开始。三. 设置U盘启动电脑以往用光盘装系统，必须调整启动项为光驱启动，这里要通过修改bios, 让电脑从U盘启动，不同电脑不同版本的bios有不同的设置方法，系统安装的BIOS设置都有介绍, 不过都大同小异，目的就是让电脑的第一启动项变为U盘启动。下面我们举例几个不同bios 的调整方法。

(2)组策略的配置及使用

一、实验名称组策略的配置及使用二、实验类型验证性实验三、实验目的通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。四、实验内容（1）通过控制台访问组策略（2）对用户设置密码策略（3）对用户设置登录策略（4）退出系统时清除最近打开的文件的历史五、相关知识 1、组策略对象的类型组策略对象有两种类型：本地和非本地。本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

教你如何用U盘装win7系统(图解)

用UltraISO制作U盘启动盘及设BIOS从U盘启动的方法下面为大家介绍一种超简单的U盘启动盘制作方法，大家一看都会，所需要的只是一个小软件(UltraISO)，空间用UltraISO制作高兼容多合一启动U盘（GHOST+DOS工具+WinPE的启动盘）有提供下载。你平时从网上下载的可启动GHOST光盘映像文件，或者WINPE光盘也可以制作。 1、首先，下载好软件后，解压出来，直接运行，点击打开按钮，如图： 2、找到你准备好的GHOST光盘映像文件或者WINPE光盘，都可以

3、选择好后，点击打开，这样，光盘映像被加载到软件当中，选择启动光盘菜单中的写入硬盘映像。

4、这样，弹出写入硬盘映像信息，这里，值得注意的是，如果是硬盘驱动器的选择与写入方式，选择好硬盘驱动器后，选择写入方式，如果想要使制作出来的U盘启动盘兼容性好点的话，建议选择USB-ZIP模式。然后点击写入。

5、这样，弹出格式化提示，我们当然要选择是了。 6、选择完毕后，就开始直接写入U盘了。

写入，制作完毕后，会显示刻录成功的提示，我们点返回就OK了，怎样，这个U盘启动盘就这样刻录好了，方便，简单吧！剩下的工作就是进入BIOS，将U盘调整为第一磁盘，第一启动，然后利用U盘进行相关的工作了。下面就是我们最关键的一步了，设置U盘第一启动，如果这步不会，那就等于前功尽弃了！首先，将你制作好的可启动U盘插到你的电脑上，然后，进入BIOS进行调整第一引导顺序了，因主板不同，BIOS多少有点区别，以往用光盘装系统，必须调整启动项为光驱启动，而现在我们要用U盘装系统，所以要调整为U盘启动。下面我们举例两个不同bios的调整方法。 1、按DEL进入BIOS，进入boot选项卡，选择“hard disk drives"（硬盘驱动器）

组策略的基本知识

一、组策略的基本知识组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。访问本地组策略的方法有两种：第一种方法是命令行方式；第二种方法是通过在MMC 控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动您只需单击选择“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。（注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。）在打开的组策略窗口中，可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。另外，您或许已经注意到，左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成，并且这两者中的部分项目是重复的，如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢？这里的“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。例如，二者都提供了“停用自动播放”功能的设置，如果是在“计算机配置”中选择了该功能，那么所有用户的光盘自动运行功能都会失效；如果是在“用户配置”中选择了此项功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。设置时需注意这一点。 2、将组策略作为独立的MMC管理单元打开若要在MMC控制台中通过选择GPE插件来打开组策略编辑器，具体方法如下：（1）单击选择“开始”→“运行”命令，在弹出的对话框中键入“mmc”，然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。（2）选择“文件”菜单下的“添加/删除管理单元”命令。（3）在“添加/删除管理单元”窗口的“独立”选项卡中，单击“添加”按扭。（4）弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”选项，单击“添加”按钮。（5）由于是将组策略应用到本地计算机中，故在“选择组策略对象”对话框中，单击“本地计算机”，编辑本地计算机对象，或通过单击“浏览”按扭查找所需的组策略对象（6）单击“完成”→“关闭”→“确定”按扭，组策略管理单元即可打开要编辑的组策略对象。特别提示：倘若您希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。二、“任务栏”和“开始”菜单相关选项的删除和禁用在“…本地计算机?策略”中，逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略。 1、给“开始”菜单瘦瘦身如果您觉得Windows XP的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜

怎么样用U盘做系统盘安装电脑系统【U盘安装系统图解】

在使用不带光驱的笔记本时有个问题：重装系统没有光驱而不能使用通用的系统安装光盘。此时，有人会在dos下硬盘安装，但今天这个时代，有几个人会用dos？其实不仅仅不带光驱的笔记本用户发愁，那些没有光驱的台式机用户也发愁。为了给这类用户提供方便，今天本人整理网上通用的用U盘做系统盘安装系统的方法，并附上具体操作步骤图解。简单的讲用U盘做系统盘的大致步骤如下： 1、制作一个能启动电脑的带WindowsPE的启动U盘（1GB以上的U盘，有的U 盘不支持） 2、从网上下载镜像系统文件存放到U盘。 3、把电脑的第一启动项设为USB设备启动（有的主板不支持）。 4、用能启动的U盘安装XP ，格式化C盘，运行在U盘上的WinPE自带虚拟光驱装系统。详细操作步骤图解如下： ● 装系统前的准备一个能启动电脑的U盘和一个系统的光盘镜像

在安装系统前，需要准备好一些东西。一个是操作系统的镜像，另一个就是能启动的U盘。下面我们就来讲解怎么安装deepin版的XP系统。注：读懂本文需要了解安装操作系统的一些基础知识。 ● 首先是制作一个能启动电脑的带WindowsPE的启动U盘先到网上去下载一个叫“老毛桃WinPE”的工具到硬盘里，再把U盘接在电脑上，然后按下面的步骤一步步来就可以制作一个能启动的U盘了。选第4项，然后回车

输入U盘的盘符，然后回车

来到格式化步骤，按默认的设置，点“开始”就行

顺利格式化

引导部分这里要说明一下，在“设备”里有两个选项，一个是电脑的硬盘，一个是要制作的U盘。这里一定要选对U盘而别选错硬盘，从大小就能分出来哪个是U盘。笔者的U盘是2G的，所以应该选择（hd1）[1898M]。下面的“选项”部分可以不用管，默认不勾选任何参数就行。确认好以上步骤后，点“安装”然后进行下一步。

用U盘重装系统教程

用U盘重装系统教程 ●装系统前的准备一个能启动电脑的U盘和一个系统的光盘镜像在安装系统前，需要准备好一些东西。一个是操作系统的镜像，另一个就是能启动的U 盘。下面我们就来讲解怎么安装deepin版的XP系统。注：读懂本文需要了解安装操作系统的一些基础知识。 ●首先是制作一个能启动电脑的带WindowsPE的启动U盘先到网上去下载一个叫“老毛桃WinPE”的工具到硬盘里，再把U盘接在电脑上，然后按下面的步骤一步步来就可以制作一个能启动的U盘了。选第4项，然后回车

输入U盘的盘符，然后回车来到格式化步骤，按默认的设置，点“开始”就行

顺利格式化

引导部分这里要说明一下，在“设备”里有两个选项，一个是电脑的硬盘，一个是要制作的U 盘。这里一定要选对U盘而别选错硬盘，从大小就能分出来哪个是U盘。笔者的U盘是2G 的，所以应该选择（hd1）[1898M]。下面的“选项”部分可以不用管，默认不勾选任何参

数就行。确认好以上步骤后，点“安装”然后进行下一步。写入引导完毕，按任意键继续要给启动U盘设个密码本来笔者不想设置启动U盘的密码，但这个步骤不能跳过，所以没办法只好设了一个密码。设置完后，一定要牢记你设好的密码，否则启动U盘会无法使用。制作完毕当你完成以上步骤后，恭喜，一个具有启动功能的U盘已经来到你的身边。你再也不用心烦没有光驱不能从光驱启动了，因为以后你可以从U盘启动再安装操作系统！想知道怎么操作吗？下一页就开始。 ●把电脑的第一启动项设为USB设备启动以往用光盘装系统，必须调整启动项为光驱启动，而现在我们要用U盘装系统，所以要调整为U盘启动。关于这个，不同电脑不同版本的bios有不同的设置方法，不过都大同小异，目的就是让电脑的第一启动项变为U盘启动。下面我们举例几个不同bios的调整方法。

使用组策略修改客户端DNS设置

1.编写DNS设置计算机策略脚本 1)新建文本文档并重命名为computer.bat 2)编辑computer.bat，将以下命令复制进去并保存 netsh interface ip set dns "本地连接" static <首选DNS> netsh interface ip add dns "本地连接" <备选DNS> netsh interface ip add dns "本地连接" addr=<备选DNS 2> index=3 netsh interface ip add dns "本地连接" addr=<备选DNS 3> index=4 2.编写DNS设置用户策略脚本 1)新建文本文档并重命名为user.bat 2)编辑user.bat，将以下命令复制进去并保存 echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip set dns "本地连接" static <首选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" <备选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS2> index=3" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS3> index=4" 3.设置计算机策略 1)依次打开“组策略管理器”—组策略对象—找到对应OU的组策略。 2)右击编辑—“计算机配置”—“策略”—“Windows设置”—“脚本”—“启动” 3)在弹出的对话框中选择“添加”—“浏览”，将新建的computer.bat复制进去，选择computer.bat保存确定。 4.设置用户策略

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。安全设置包括：，，，，。：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。：倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

U盘PE装系统详细操作方法步骤

U盘启动装系统的操作方法（U盘PE启动安装GHOST XP）不带光驱的笔记本的网友和没有光驱的台式机的网友如何安装系统？这是许多网友希望解决的问题，为了给网友们提供方便，今天就来讲解一下，在没有光驱的情况下，如何方便快速的安装操作系统。 ?装系统前的准备一个能启动电脑的U盘和一个系统的光盘镜像在安装系统前，需要准备好一些东西。一个是操作系统的镜像，另一个就是能启动的U盘。下面我们就来讲解怎么利用U盘启动安装Ghost xp版的XP系统。（注：读懂本文需要了解安装操作系统的一些基础知识。） ?首先是制作一个能启动电脑的带WindowsPE 的启动U盘。先到网上去下载一个叫老毛桃WinPE ”的工具到硬盘里，或者在下面下载一

个GHOSTXP SP3 奥运纪念版V9.6 版 (dianlao_ghost_xpsp3_96.iso ) ”用WINRAR 解压出来，在目录中WINPE 安装”中的的文件就是老毛桃WinPE ”工具，再把U盘接在电脑上，然后按下面的步骤一步步来就可以制作一个能启动的U盘了。 GhostXP_sp3 电脑公司快速装机版V13 1.用迅$快速下载：打开迅新建一个下载任务，并将下面的地址复制到"网址(URL)" 一栏中，点击确定即可。 thunder://QUFodHRwOi8vNjEuMTkxLjE4OS4zNDo4MDgwL3hweGlh emFpL0dIT1NUWFBfU1AzX1BST19WMTMuaXNvWlo= 2.HTTP直接下载：GhostXP sp3 电脑公司快速装机版V13

点击WINPE安装”中的安装.EXE”进入以下环节，按以下图示操作。切记不要因为误操作而造成硬盘数据丢失。选第4项，然后回车

域组策略应用详解

Win2003域之组策略应用目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用因为只须设置一次，相应的用户或计算机即可全部使用规定的设置减少用户不正确配置环境的可能性 c)推行公司使用计算机规范桌面环境规范安全策略总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构组策略的具体设置数据保存在GPO中创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

如何设置常用组策略

如何设置常用组策略故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具解决方案: 一、桌面项目设置在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

用U盘装系统的操作图解

在笔记本电脑早已普及到会议室的这个年代，商务人士拿笔记本来演示PPT以及做电子版的会议记录；在笔记本电脑已经普及到教室的这个年代，学生们甚至在用笔记本翻阅资料进行开卷考试。随着笔记本电脑正在成为人们生活中不可或缺的一部分，新的问题来了，盲目的追求性价比导致的是机身重量肆无忌惮的在力压人们的肩膀，也就是“扁担效应”。有笔记本常识的人都知道，性价比和便携性是笔记本领域的正反命题，它们之间永远对立而不可能和谐相处，即使国家在努力提倡和谐社会。很多对移动性有要求的用户，在吃了第一个笔记本的性价比甜头的同时却都在忍受着“扁担效应”的副作用。因此他们开始选择只为便携而存在的第二台机器，而这种机器大多有一个特点，就是无光驱设计！在市场里放眼望去，不带光驱的笔记本通常都是轻便型机器的代表，它们的重量很轻，性能却不马虎，虽然售价高高在上，但依然获得了很多受不了“扁担效应”，追求移动性强的笔记本用户的青睐。笔者就有不少朋友在使用不带光驱的笔记本，但是问题也来了，需要重装系统的时候，没有光驱，该怎么办？也许你会说可以在dos下硬盘安装，但有几个人会用dos？其实不仅仅不带光驱的笔记本用户愁怎么装系统，那些没有光驱的台式机用户也愁。为了给这类用户提供方便，笔者今天就来讲解一下，在没有光驱的情况下，如何方便快速的安装操作系统。 ● 装系统前的准备一个能启动电脑的U盘和一个系统的光盘镜像

管理员操作手册-AD域控及组策略管理_51CTO下载

AD域控及组策略管理目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控（DC）基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位（OU） (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位：(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象（dsmod） (14) 6、其他命令（dsquery、dsmove、dsrm） (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)

一、Active Directory(AD)活动目录简介 1、工作组与域的区别域管理与工作组管理的主要区别在于： 1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。 2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略一、什么是组策略 (一)组策略有什么用说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。二、组策略中的管理模板在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

U盘装系统详细教程

U盘装系统详细教程步骤一： 1.准备一个已备份好数据的U盘（期间会对U盘进行格式化，U 盘重要数据进行备份），其容量大小因所装系统类型而异（XP 系统512MB以上，win7系统3GB以上）。 2.准备操作系统的镜像文件，其文件后缀名为：iso。（可以到百度空间“无约而来”或其他可下载系统镜像文件的网站） https://www.wendangku.net/doc/c012279325.html,/zxkh/blog/item/7564d76275bf80c9e6113a21.html； https://www.wendangku.net/doc/c012279325.html,/category/3.html；https://www.wendangku.net/doc/c012279325.html,/ 3.下载UltraISOPortable软件。可在360软件管家或网上下载，其版本很多，但无论哪一个版本的都能满足我们装系统的需要；https://www.wendangku.net/doc/c012279325.html,/f/10461605.html?from=like； https://www.wendangku.net/doc/c012279325.html,/source/2200232； https://www.wendangku.net/doc/c012279325.html,/down/index/5602470A1876。步骤二： 1.首先安装UltraISOPortable软件（如何安装就不说明了，你懂得）。安装完后打开软件，如下图所示：

点击“文件”-----“打开文件”，我以win7为例。如下所示：选中下载的系统镜像文件（后缀为iso）.点击打开，如下所示：

插入先前准备好的U盘，（此前插入亦可）。点击“启动”----“写入硬盘映像”，结果如下所示：注意：“刻录校验”可选可不选。如果选择则会校验文件是否完整（一般人品好都不会出现文件缺失），“写入方式”必须为“USB-HDD+”，然后点击“写入”。

远程修改组策略

远程修改组策略由于管理员的误操作导致了本地策略拒绝所有人登录，如何恢复呢？今天我们就来做这个实验！首先，我们要做一下的准备工作： 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置，使得任何用户都无法登录。（1.）在Berlin上，点击开始/运行，输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器，然后点击windows设置/安全设置/本地策略/用户权限分配，如下图所示：

打开以后我们就可以找到拒绝本地登录这一项了，双击打开打开后点击添加用户和组，把User用户添加进去

点击确定后，注销计算机。任何的用户都无法登录了，甚至就连大名鼎鼎的管理员也无法登录了！ OK！实验正式开始了！我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务，但计算机默认的telnet服务是关闭的，首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中，右键点击我的电脑，打开计算机管理，然后右键点击：计算机管理（本地）——连接到另一台计算机，如下图：

在选择计算机中输入Berlin的IP地址，然后点击确定。然后的服务中找到Telnet，

手动启动起来。 OK！我觉得现在的准备工作才算完成了！接下来我们要用Telnet 把Berlin连接过来。在Florence中，点击开始/运行，输入cmd

键入telnet 192.168.12.103 在C:\>提示符下，键入secedit /export /cfg c:\sectmp.inf，导出它的当前安全设置。完成以后不用着急关闭该提示符。

window实验手册组策略规划

w i n d o w实验手册组策略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】

教学时间第五周2008-3-18 教学课时 3 教案序号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略教学过程：一、OU（组织单元）的管理 1、OU的概念域是最小的管理单位，在活动目录中，域一般对应公司，而OU则对应于公司中的部门。OU是活动目录中的容器，可以在OU中建立用户、组等其他对象，也可以在OU中建立OU。 2、建立OU及子对象（1）注意图标。（2）建立步骤：在需要创建的空白处右击，选择“新建”——“组织单元”，在对话框内输入OU名称即可。（3）在OU中可以放用户、组、打印机、共享文件夹、子OU等。实验一：OU的管理 1、在下中新建“教师”和“学生”两个OU，再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1，t2账户，“学生”OU中包括s1，s2账户，“普通教师”OU中包括c1，c2账户。

二、组策略概述 1、组策略的概念（1）组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括管理模板设置、Windows设置、软件设置。（2）组策略配置包含在一个组策略对象（GPO）中，该对象又与选定的活动目录服务容器（如站点、域、组织单元OU等）相关联，不会影响没有加入域的计算机和用户。（3）组策略配置类型有：计算机配置和用户配置。（4）组策略分为：本地安全策略和活动目录的组策略。本地安全策略适用于本地用户和组，我们所讲的是活动目录的组策略，活动目录安装好以后就自动建立了两个组策略（域控制器安全策略和域安全策略）。 2、组策略的应用顺序（1）本地组策略（2）域组策略（3）域控制器组策略（4）组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。 1、创建组策略步骤：右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略步骤：右击-属性-“组策略”选项卡-“编辑”按钮

Windows组策略应用大全

Windows组策略应用大全.txt9母爱是一滴甘露，亲吻干涸的泥土，它用细雨的温情，用钻石的坚毅，期待着闪着碎光的泥土的肥沃；母爱不是人生中的一个凝固点，而是一条流动的河，这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全一、什么是组策略? （一）组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。（二）组策略的版本大部分Windows?9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows?9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows?2000/XP/2003系统。早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows?2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active?Directory?对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。二、组策略中的管理模板在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。在Windows?9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1）System.adm：默认情况下安装在“组策略”中，用于系统设置。 2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet?Explorer策略设置。 3）Wmplayer.adm：用于Windows?Media?Player?设置。 4）Conf.adm：用于NetMeeting?设置。在Windows?2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows?9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。