域控中组策略基本设置

域控中组策略基本设置

计算机配置：要重启生效用户配置：注销生效

策略配置后要刷新：gpupdate /force

组策略编辑工具！-----gpmc.msi （工具）

使用：运行--->gpmc.msc 如下键面：

文件夹重定向：

1.在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患！）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！

禁止用户安装软件：

1.给域用户基本权限（Domain user），但有时基本应用软件也不能运行！

2.把域用户加入到本地power user 组可以运行软件！

域用户添加Power user组

3.用本地用户登录机器查看！

1.权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序”禁用

禁止使用USB:

1.工具（程序模板usb.adm）,拷到C:\WINDOWS\inf\usb.adm

2.

3.

4.

5.

6.

7.客户端机器重启生效

禁止绿色软件安装，如：迅雷，QQ等--------建立哈希规则：

建立了哈希规则后不论此软件放在机器的任何路径，都将被禁止！

GPO软件分发：

1.工具：Advanced Installer 制作MSI格式文件

2.在DC上建立一共享文件夹。把*.MSI格式文件放入，附Authenticated 可读，Admini 完

全控制

3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名)

4.软件安装右击→程序包-→*.MSI →已发布\已指派

停止域客户端的防火墙：

右击，域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall

漫游：

1.账号在客户机上登录

2.在server上建议账号空间

3.server在客户机上登

4.server上设主文件

组策略设置系列篇之“安全选项”2

组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录：不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。 “交互式登录：不显示上次的用户名”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。 对策：将“不显示上次的用户名”设置配置为“已启用”。 潜在影响：用户在登录服务器时，必须始终键入其用户名。 交互式登录：不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

利用组策略部署软件分发

【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容，可以使用隐藏共享文件夹，即在共享名字后加$符号。 三、创建组策略对象

域策略

制作网安全策略 应用Win2000 Advanced Server的策略AGDLP原则对网络客户端做安全性设置，可以实现所有站点有统一的界面；可以使用户没有任何设置涉及系统安全性方面的权力，所有对安全性的设置大部分都在服务器端只设置一次，只有很少量的设置需要在各客户端设置 建OU并加入用户和组 其中，yztvuser是OU，即一个域中的组织单位，yzgd是一个用户，即在客户端登陆win 2000的用户名，yztv是一个全局安全组，具体创建过程如下： 开始－程序－管理工具－Active Directory用户和计算机，展开左边树，如图5－ 1 Array图5－1 选中https://www.wendangku.net/doc/ee5212274.html,右键－新建－组织单位，如图5－2

图5－2 输入组织单位名称：yztvuser，确定，创建OU结束。 然后在OU上创建组，在yztvuser－右键－新建－组，如图5－3 图5－3 输入组名：yztv，组作用域：全局，组类型：安全式，确定，创建组完成。 同样，创建用户，在yztvuser－右键－新建－用户，如图5－4

图5－4 输入需要创建的用户名登陆名：yzxw，姓名：yzxw 注：目前皆改为yzgd 下一步，如图5－5 图5－5 输入密码，并选中：用户不能更改密码；密码永不过期，下一步，如图5－6

图5－6 创建完成，点击确定。 然后修改用户属性，使其加入到yztv组中，在新建的用户名上右键－属性－成员属于－添加－选中yztv－添加，这样把用户添加到yztv全局安全组。 若需要建立其它帐号，可依上样建立，如yzxw、yzdss、yzgz三个用户。 组策略的设置 组策略使用来设置windows登陆安全的策略，比如屏蔽客户端左面右键，开始菜单，资源管理器等，组策略针对OU，所有设置只涉及“用户配置”中的“windows设置”和“管理模板”。 建立策略组 在组织单位yztvuser上右键－属性－组策略－新建，如图5－7

使用windows组策略对计算机进行安全配置.

综合性实验项目名称：使用windows组策略对计算机进行安全配置 一、实验目的及要求： 1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件，计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理： 组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。 三、主要仪器设备及实验耗材： PC机一台,Windows2000系统，具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。 依次进行以下实验： (1)隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。

图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示

域组策略域控中组策略基本设置

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！-----gpmc.msi （工具） 使用：运行--->gpmc.msc 如下键面： 文件夹重定向： 1.在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患！） 2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件： 1.给域用户基本权限（Domain user），但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组 3.用本地用户登录机器查看！ 禁止卸载： 1.权限domain user + 管理模板（相当于改动注册表！！） 2.再把控制面板里的“添加删除程序”禁用 禁止使用USB: 1.工具（程序模板usb.adm）,拷到C:\WINDOWS\inf\usb.adm 3. 4. 5. 6. 7.客户端机器重启生效 禁止绿色软件安装，如：迅雷，QQ等--------建立哈希规则： 建立了哈希规则后不论此软件放在机器的任何路径，都将被禁止！ GPO软件分发： 1.工具：Advanced Installer 制作MSI格式文件 2.在DC上建立一共享文件夹。把*.MSI格式文件放入，附Authenticated 可读，Admini 完 全控制 3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名) 4.软件安装右击→程序包-→*.MSI →已发布\已指派 停止域客户端的防火墙： 右击，域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall 漫游： 1.账号在客户机上登录 2.在server上建议账号空间

组策略分发软件全攻略

组策略分发软件全攻略 2008-12-23 13:26 在规模比较大的网络环境里面，为了对服务器和客户机上的软件、系统补丁进行集中统一的管理，我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新，不在本文讨论，请参考其它相关技术文档。虽然SMS功能较强大，兼容性好，绝大多数应用软件都可以用它来管理，但是它比较复杂，实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话，其实我们还是可以回归到比较原始的技术： 利用GPO实现软件设置 ● 分发软件 ● 修复软件 ● 删除软件 ● 升级软件 优点：易实现 缺点：功能简单、兼容性差（只能分发winodows安装程序包——.msi，exe 封装的程序安装包要用Advanced Installer重新封装成msi文件） 实现：前提是熟悉Winodows Server活动目录的基本管理，理解组策略，熟悉通过AD部署组策略 一、获取要分发的软件

如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用，但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包，所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包： 1、运行Advanced Installer，打开新建工程向导，按向导做 选择“语言”、“重新包装安装”——>“确定” 2、按向导提示，关掉真正运行的其它程序，下一步

3、选中捕获新的安装

4、指定要重新包装的源程序，并设置名称、版本等信息 5、如图，选中新的系统捕获

6、指定“安装捕获配置文件”保存路径，其它默认

组策略分发Adobe Reader 10教程

组策略分发Adobe Reader 10教程 1，实验环境 域控：Windows Server 2008 R2 客户端：Windows XP SP3 32位 Adobe Reader版本：10.1.4 2，获取分发Adobe Reader的许可协议 按照Adobe公司的要求，分发Adobe Reader需要取得许可，仅为形式上的东西，申请网址为https://www.wendangku.net/doc/ee5212274.html,/cn/products/reader/distribution.html?readstep，申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader，免费的。 3，下载Adobe Reader msi包 官方下载地址：ftp://https://www.wendangku.net/doc/ee5212274.html,/pub/adobe/reader/win/。Adobe Reader 10.1.4版本只有MSP包下载，所以我们需先下载Adobe Reader 10.1.0的msi包，下载目录ftp://https://www.wendangku.net/doc/ee5212274.html,/pub/adobe/reader/win/10.x/10.1.0/zh_CN/，对于网内有中英文电脑的酒店，都可下载此中文安装包，只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示，单语言安装包只有66.8M，而多语言安装包有140多M，安装单语言安装包将快得多。然后在目录 ftp://https://www.wendangku.net/doc/ee5212274.html,/pub/adobe/reader/win/10.x/10.1.4/misc/下载名为 AdbeRdrUpd1014.msp的MSP包。 4，下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址：https://www.wendangku.net/doc/ee5212274.html,/support/downloads/detail.jsp?ftpID=4950。此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等，后面将详细介绍。 5，安装下载的MST生成工具 安装完后在工具栏中选择File --- Open Package，打开之前下载的Adobe Reader 10.1.0的msi包，请勿在msi包上单击右键选择Adobe Customization Wizard X用打开，这样打开将报错，弄得我还以为是电脑有问题。 6，生成MST文件 可参考如下文档 https://www.wendangku.net/doc/ee5212274.html,/content/dam/kb/en/837/cpsid_83709/attachments/Customization_ Wizard.pdf，接下来我将简单介绍几个实用的修改。

用组策略从十大方面保护Windows安全

用组策略从十大方面保护Windows安全 Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。 一、给我们的IP添加安全策略? 在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。? 图 1 小提示由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。 二、隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择“用户配置→管理模板→Windows组件→Windows 资源管理器”（如图2）。

图 2 三、禁用指定的文件类型 在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行 REG文件，具体操作方法如下： 1.打开组策略，点击“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指

派的文件类型”、“受信任的出版商”项(图3)。 图 3 2.双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。 3.双击“安全级别→不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows 无法打开此程序”。 4.要取消此软件限制策略的话，双击“安全级别→不受限的”，打开“不受限的?属性”窗口，按“设为默认值”即可。 如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，你会看到它可以建立哈希规则、Internet?区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的

公司企业内部局域网软件部署安全策略及准则

XX有限公司 企业内部局域网软件部署安全策略及准则 (第一版) 2014年9月 XX有限集团公司 xx公司

xx有限公司 企业内部局域网软件部署安全策略及准则 (第一版) 为确保公司企业内部局域网安全有效运行，依据《xx公司非涉密计算机及网络管理办法》及国家相关管理规定，特制定本《企业内部局域网软件部署安全策略及准则》，本策略为公司局域网软件部署的安全性指导性文件。本安全策略及准则由以下几个部分组成： 1、公司https://www.wendangku.net/doc/ee5212274.html,局域网概况 2、软件使用范围及规则 3、公司内部局域网使用安全准则 4、电子数据交换安全准则 5、病毒防护策略及准则 6、https://www.wendangku.net/doc/ee5212274.html,域安全策略 7、域计算机及域用户登录脚本 一、公司https://www.wendangku.net/doc/ee5212274.html,局域网概况： 公司根据信息化建设规划需要，经数年努力，逐步建成了https://www.wendangku.net/doc/ee5212274.html,局域网络，该网络覆盖了102工房、104工房、203工房、205工房、702工房、401大楼等物理区域，为了保障网络的可靠性，整个网络由CISCO核心可管交换机及CISCO主干网络交换机控制，整个网络采用VLAN技术划分为10个网段：(170.16.70、72、74、76、78、80、82、84、86、88)。在硬件层面，https://www.wendangku.net/doc/ee5212274.html, 局域网中运行服务器11台(含虚拟服务器)、台式计算机498台、笔记本电脑33台、交换机21台、路由器2台；在操作系统OS层面，所有服务器操作系统OS均运行WINDOWS2012R2操作系统，410台计算机运行WINDOWS7X64操作系统，88台

计算机运行WINDOWXP-X32操作系统。在软件运用层面，整个网络在AD主域集中控制、CAPP、数字化档案信息系统、MRPII、MES、CAQ、内部邮件系统、文件集约存储系统、财务系统、DNC系统、INTERNET接入及控制、WSUS补丁升级、病毒防护、OA系统等方面均有重要应用，支撑整个企业在信息化模式下快速、有效运维。 二、软件使用范围及规则： 公司对非涉密计算机及网络软件进行白名单准入制，白名单内的软件在计算机上进行安装使用可不经过审批，采用文件服务器进行统一发布，不在白名单列表内的软件,需由使用人及使用单位写出软件安装使用申请，经主管部门测试审批、公司领导批准后方可安装使用。未经批准擅自安装软件的，按《xxxx非涉密计算机及网络管理考核办法》相关条款进行考核。 《xxxx公司非涉密计算机及网络软件白名单》： (具体安装位置为：\\SVMC2F\软件发布，\\SVMC2F\UPDATE) ACDSEE12、ADOBE_READER、ADOBE_PDF、PHOTOSHOP媒体工具 DOTNET3.5、DOTNET4.5基础框架 IE11、IE8 FOR WINDOWSXP浏览器 xx公司集团OA办公软件 OFFICE2007办公软件 好压、暴风影音、金山词霸2011 百度拼音、小鸭五笔输入法 微软MSE杀毒软件 NERO、ULTRAISO光盘刻录工具 AIDA64、3DMARK硬件检测工具 AUTOCAD2004_X32、AUTOCAD2010_X64、AUTOCAD2015_X64设计软件

利用组策略来发布和指派软件

利用组策略来发布和指派软件 1、分发具备的条件： A、用户端必须是Windows 2000以上的版本 B、要加入域的计算机才受软件分发的影响 C、分发的软件的格式一定是*.msi 扩展：软件WinInstall可以将EXE的文件转换成MSI的 另外还有其它分发软件 2、分发的步骤： A、建立软件分发点即建一个共享文件夹将Msi的文件解压到共享文件夹中 B、建立组策略GPO（组策略容器） 注意：默认程序包位置要用UNC路径\\计算机名\a共享的文件夹名 C、发布软件方式有：发布和指派注意区别 1、指派方式有两种：指派给计算机和指派给用户； （1）指派给计算机：计算机启动时软件会自动安装在计算机里； 安装目录：Documents and setting\All User （2）指派给用户：不会自动安装软件本身 只安装软件相关部分信息，如快捷方式 何时会自动安装 1、开始运行此软件 2、利用“文件启动”功能（document activation） 2、发布方式：只有发布给用户，不能发布给计算机 1、软件不会自动安装 2、何时自动安装 “控制面板”>>“添加或删除程序”>>“添加新程序”D、客户端安装（注意：要有权限，是域的管理员可以安装，本地的管理员不行，或者设置策略来进行软件的安装） 下面就开始做实验：

1、打开域控制器，我就用callcenter.21cn.local来举例。如图：1-1 1-1 2、新建一个组织，命名为“callcneter”，如图：1-2 1-2

3、点击“callcenter”属性，然后点击“组策略”选项卡，点击“新建”>>，创建一个“组策略对象链接”命名为“deng”如图：1-3 1-3 4、点击“编辑”，如图：1-4 1-4

软件分发功能简易说明

软件分发功能简易说明 网络服务端五大功能区 控制及软件功能切换区 被控机管理员密码输入及被控机启动盘选择区 功能控制菜单区 主窗口 状态栏 控制及软件功能切换区 1.群组：用来选择需要控制的群组，最多可以控制80个群组。 2.电脑：用来选择群组中需要控制的计算机，一个网络服务端程序最多可以控 制一个群组中的80 台计算机。 3.电脑列表：列出所有收集到的安装Max-User 计算机相关信息及状态；包括 “群组”、“计算机名称”、“IP 地址”、“系统”、“模式”、“属性”和“网卡地址”。 4.档案传输：列出正在进行文件传输的计算机及状态。 5.网络唤醒排程：设定（新增、删除、修改）控制排程和设定（新增、删除、 修改）触发事件，主要用于在保护系统的系统保护。 6.帮助：提供电子版本的帮助文件。 7.关于：公司服务电话及Email。 8.离开：退出MaxControl控制软件操作界面。 输入被控端管理员密码输入及选择被控机启动盘

1.输入被控端管理员密码： 需要输入正确的密码才能对安装MaxUser的计算机进行控制，该密码与硬盘保护系统的密码一致。 2.选择被控机启动盘： 此处显示的操作系统为当前用户使用的操作系统的名称，同时可以通过选择不同的操作系统的名称配合功能控制菜单区中的功能选项进入不同的操作系统。 功能控制菜单 1.收集ID: 收集被控计算机ID，用于读取安装网络客户端程序的计算机状态，同时在主窗口界面中显示出来，用户可以根据主窗口的显示对该计算机进行相关的操作。若被控机处于硬盘保护启动菜单状态下，请选择按保护系统信息收集；若被控机已经进入Windows 操作系统状态下，请选择按操作系统信息收集。 2.网络唤醒： 将所选择的被控计算机通过网络唤醒。 需要将CMOS中的关于网络唤醒的选项打开，并确认被控计算机前次关机是从Windows 状态下进行正常 关机的。如遇以下情况被控机也将无法唤醒：公用电网停电、正常关机后单 机切断电源或机房统一切断电源。 3. 重启： 命令所选择的被控计算机进行重新启动的操作。 点击后将弹出如图所示的对话框： 此对话框将在您点击重启、关机、使用者模式、管理员模式、保留模式、备份、还原、指定启动盘、取消指定启动盘、维护排程、传递硬盘保护参数等按扭后弹出，由于以上功能均需要使被控端计算机重启或关机，因此该对话框可以根据您的需要使得被控计算机延迟相应的时间进行重启和关机以便使用者能及时保存重要信息，同时您可以在对话框中输入文字以提醒被控机的使用者。如果您选择“不显示信息”被控计算机会立即重启或关机。

管理员操作手册 AD域控及组策略管理 CTO

AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控（DC）基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位（OU）...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位：(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象（dsmod）............................... 6、其他命令（dsquery、dsmove、dsrm）....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................

AD域中如何布置软件自动分发

AD域中如何布置软件自动分发 本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。您可以通过以下方法使用组策略分发计算机程序： ? 分配软件 您可以将程序分发分配到用户或计算机。如果将程序分配给一个用户，在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时，安装过程最终完成。如果将程序分配给一台计算机，在计算机启动时就会安装此程序，所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时，安装过程最终完成。 ? 发布软件 您可以将一个程序分发发布给用户。当用户登录到计算机上时，发布的程序会显示在“添加或删除程序”对话框中，并且可以从这里安装。 注意：Windows Server 2003 组策略自动程序安装要求客户端计算机运行 Microsoft Windows 2000 或更高版本。 创建分发点 要发布或分配计算机程序，必须在发布服务器上创建一个分发点： 1. 以管理员身份登录到服务器计算机。 2. 创建一个共享网络文件夹，将您要分发的 Microsoft Windows 安装程序包（.msi 文件）放入此文件夹。 3. 对该共享设置权限以允许访问此分发程序包。 4. 将该程序包复制或安装到分发点。例如，要分发 Microsoft Office XP，请运行管理员安装(setup.exe /a) 以将文件复制到分发点。 创建组策略对象 要创建一个用以分发软件程序包的组策略对象 (GPO)，请执行以下操作： 1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。 2. 在控制台树中，右键单击您的域，然后单击“属性”。 3. 单击“组策略”选项卡，然后单击“新建”。 4. 为此新策略键入名称（例如，Office XP 分发），然后按 Enter。

组策略安全选项对应注册表项汇总

组策略安全选项对应注册表项汇总 在组策略中的位置:计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] : : ::值名:含义:类型:数据:值名:含义:类型:数 据:0=停用1=启用值名:含义:类型:数据:值 名:RestrictAnonymous含义:对匿名连接的额外限制(通常用于限制IPC$空连接)类型:REG_DWORD数据:0=无.依赖于默认许可权限1=不允许枚举SAM账号和共享2=没有显式匿名权限就无法访问值名ubmitControl含义:允许服务器操作员计划任务(仅用于域控制器)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers]值名:AddPrinterDrivers含义:防止用户安装打印机驱动程序类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management]值名:ClearPageFileAtShutdown含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]值名

rotectionMode含义:增强全局系统对象的默认权限(例如Symbolic Links) 类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]值 名:EnableSecuritySignature含义:对服务器通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对服务器通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnableForcedLogOff含义:当登录时间用完时自动注销用户 (本地)类型:REG_DWORD数据:0=停用1=启用值名:AutoDisconnect 含义:在断开会话产所需要的空闲时间类型:REG_DWORD数据:分钟数[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]值 名:EnableSecuritySignature含义:对客户端通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对客户端通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnablePlainTextPassword含义:发送未加密的密码以连接到第三方SMB服务器类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]值名isablePasswordChange含义:防止计算机帐户密码的系统维护类型:REG_DWORD 数据:0=停用1=启用值名ignSecureChannel含义:安全通道: 对安全通道数据进行数字签名(如果可能)类型:REG_DWORD数据:0=停用 1=启用值名ealSecureChannel含义:安全通道: 对安全通道数据进行数字加密(如果可能)类型:REG_DWORD数据:0=停用1=启用值 名:RequireSignOrSeal含义:安全通道: 对安全通道数据进行数字加密或签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:RequireStrongKey 含义:安全通道: 需要强(Windows 2000 或以上版本)会话密钥类 型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\Driver Signing]值名olicy含义:未签名驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Non-Driver Signing]值名olicy含义:未签名非驱动程序的安装操作类型:REG_BINARY 数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]值名isableCAD 含义:禁用按CTRL ALT DEL进行登录的设置类型:REG_DWORD数据:0=停用1=启用值名ontDisplayLastUserName含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用值名:LegalNoticeCaption含义:用户试图登录时消息标题类型:REG_SZ数据:标题文本值名:LegalNoticeText含义:用户试图登录时消息文字类型:REG_SZ数据:消息文字值名hutdownWithoutLogon含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel含义:故障恢复控制台:允许自动系统管理级登录类 型:REG_DWORD数据:0=停用1=启用值名etCommand含义:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问类型:REG_DWORD 数据:0=停用1=启用[MACHINE\Software\[M$]\Windows NT\CurrentVersion\Winlogon]值名:AllocateCDRoms含义:只有本地登录的用户才能访

组策略 软件分发

用组策略部署软件，省心又省力！ 责任编辑：李鹏作者：姜磊福 2006-06-20 【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略 软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的 \VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可 以在https://www.wendangku.net/doc/ee5212274.html,/下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI 包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使

服务器备份与域安全策略(最全)个人收集

服务器备份与域安全策略 实验目标 1) 熟悉企业搭建Windows网络环境的基本需求 2) 掌握域环境的规划 3) 掌握附助的域控制器的安装 4) 掌握OU的管理 5) 掌握用户帐户和组的管理掌握windows环境下的安全策略管理 6) 掌握文件服务器及打印服务器的配置 7) 掌握企业网络的Internet接入 准备环境 1) 准备4台真机，安装2台域控制器，安装2台打印服务器，安装1台文件服务器，安装1台代理服务器。（具体参照以上TOP图）。 2) 规划IP地址。 3) 创建5个部门OU。 4) 创建部门全局组，总经理域帐户，部门经理域帐户，员工域帐户。 5) 配置文件服务器 6) 配置打印服务器 7) 代理服务器，客户机必须走代理才能上网 实验步骤及参考 步骤一：修改计算机名称并设置IP地址

1) 把计算机名称修改为PCXX（XX为机器号） 2) 所有真机IP地址不修改， DNS均为PDC的IP地址。 3) 3台服务器网关均填写为教师机IP地址。 4) 客户机的网关可以不用填写。 步骤二：配置代理服务器，并测试代理服务器是否能上网。 1) 设置代理服务器的网关和DNS为教师机IP地址 2) 保证代理服务器必须能上网（测试） 3) 安装ccproxy代理软件，并开启。

步骤三：安装PDC 1) 设置PDC的网关为教师机IP地址，DNS为自己的IP地址。 2) 给PDC设置密码为abc123,

3) 在计算机PDC上，单击“开始”---“运行”，输入“dcpromo”，按Active Directory 安装向导进行。 4) 在“域控制器类型”中选择“新域的域控制器”。 5) 在“创建一个新域”中选择“在新林中的域”。 6) 输入新域的DNS全名“https://www.wendangku.net/doc/ee5212274.html,”。（X为自己的小组号）

域环境通过组策略分发软件给客户端讲课稿

域环境通过组策略分发软件给客户端

域环境通过组策略分发软件给客户端 通常情况下，我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦）。通过在组策略的“计算机配置”中的“软件安装中，点击右键，如何选择程序包，通过UNC路径（注意了哦：这个是网络路径，所以，管理员必须把此软件共享出去）找到程序位置。如何，选择"已指派"就可以了。当然，在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有？在发布好软件后，选择软件里面的属性，查看“部署”，可以看见“指派”与“发行”两个选项（计算机配置中，发行为灰色）。所以，这里有就有三种软件部署的方法了： 1、发行给用户 2、指派给用户 3、指派给计算机 下面，来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时，软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式，用户再任何一台电脑登陆域，都可以在开始菜单与桌面上看到软件的快捷方式。同时，计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时，计算机就会自动下载安装次软件。但与发行给用户不同的是，用户可以删除此软件，但是，下次登陆时，它还是会出现，意思是说，它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式，用户不用手动执行，计算机会在启动时，自动下载并安装此软件。用户不能删除此软件，只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员

域安全策略和域控制器安全策略的区别

域安全策略和域控制器安全策略的区别 域控制器安全策略仅更改域控制器的本地用户 而域安全策略控制整个域的用户 正如你说的“域控制器安全策略”优先于“域安全策略”，所以同时设置了两个策略的则域控制器将优先使用域控制器安全策略，而域中的其他的计算机还将继续使用域安全策略的设置项 因为很长时间没有设置带有域的网络了，所以可能我说的可能也有不对的地方，你还是把各种组合试一下来看看规律的好 策略大体上分为4类，即本地策略，域策略，站点策略，ou策略，他们的作用顺序：local policy——〉site policy——〉domain policy——〉ou policy 本地安全策略是本地策略的一部分，在开机的时后就会被执行，无论你是否处于工作组模式还是域模式. 域安全策略是domain policy的一部分，domain policy的作用范围是整个域，因此一台计算机只要处于域模式，就会采用域策略 site的策略一般只在site之间有慢速连接的时候才会使用它，所以微软没有内置站点策略，需要管理员手工设置. DC安全策略是OU策略的一种，ou策略仅作用在ou下,因为dc安全策略是作用在domain controller这个ou上，所以把他们称作dc安全策略，而domain controller这个ou下默认存储的就是域内的所有dc，因此dc安全策略仅作用在dc之上，当然，如果你手工将一个计算机账号移入dc ou，则那台计算机也会执行dc安全策略。 也就是说，一台处于工作组模式的计算机只会执行本地安全策略，而dc则至少要执行本地安全策略，域安全策略，域控制器安全策略三个策略，换言之，处于域模式的计算机要执行多条策略，那么就要有相应的措施保证策略不冲突。默认情况下，当多条策略之间不产生冲突的时候，多条策略之间是merge的关系，即和并执行；但当产生冲突的时候，后执行的策略会替代先执行的策略。也就是说无论在何种情况下，ou设置的策略都会生效 一条策略又可以分为计算机策略和用户策略，计算机策略作用在计算机上，用户策略作用在用户对象上，当同一条策略的计算机策略和用户策略产生冲突的时