组策略管理客户端

将做墙纸的图片存放在server的C:\Pho\1.bmp文件夹中，并将此文件夹设为共享文件夹，操作如下图：
二、步骤： 1、打开active directory 用户和计算机，找到sale 组织单位，右键选择“属性”，在sale 属性窗口选择“组策略”标签。

2、在窗口中点击“新建”按钮，新建一个名为“OU ”组策略对象。

3、选择“OU ”组策略对象，点击“编辑”进行域组策略管理。

4、展开组策略左边的树状拦，“用户配置”-“管理模板”-“桌面”-“Active Desktop”，在右边双击“启用 Active Desktop ”—启用。

5、展开组策略左边的树状拦，“用户配置”-“管理模板”-“桌面”-“Active Desktop”，在右边双击“Active Desktop 墙纸”—启用，在墙纸名称那里输入用来做墙纸的那个图片
网络路径（图中为\\10.1.1.100\pho\1.jpg）点确定即可。

6、组策略中设置好之后，通过“运行”进行DOS，输入命令“gpupdate /force”,强制刷新DC的组策略。

7、注销客户端，客户端重新登录到域中。

会发现桌面更换成域组策略中设置的图片了，当我们打开“显示”属性对话框，会看到桌面中已经有“1”这张背景桌面了，而且当前是这张图片，并无权更换桌面壁纸了。

二、设置IE浏览器主页面为学校的网站地址：，浏览器标题为SALE。

作为网管员,很多时候客户端的权限问题乃是最为纠结的一件事了,下面我们向大家介绍下通过组策略的文件系统向客户端赋权,这样的话大大节省了网管员的时间,也避免了客户端因为软件不能正常运行而抱怨不休的情况。

在调整设置的时候，下列问题要注意:该策略是针对计算机的策略是应用在计算机设置上可能客户端组策略结果中无法正常显示出策略应用集，但是却能够正常使用（这也是我纳闷的一点）使用相对路径的时候注意大小写的书写不建议对对所有文件夹赋权，以免客户端对系统盘操作权限过大，照成系统未知问题参考文章:在附件，请下载查看！1、我们在域控上打开组策略管理器，选中需要调整这个设置的组织单元，右键点击新建组策略，在选中新建的策略，右键选择编辑2、在弹出的组策略管理编辑器页面中选择计算机配置--策略--windows设置--安全设置--文件系统，右键点击文件系统，在点击添加文件3、在弹出的对话框里选择对应域用户下面的桌面的对应位置，点击确定。

会弹出右下边的图请注意：这里输入的是绝对路径，（作为域控，肯定不会安装一些日常应用软件，因此而导致服务器上不存在与客户端对应的文件夹，所以我们需要用到相对路径来达到我们的目的），而客户端又有XP和win7之分，大家都知道，win7系统是有Program Files和Program Files（X86）两个文件夹，所以这里我们也要添加两个。

实际环境中不建议把Program Files整个文件夹的权限给domain users 应该针对其中的部分软件安装的文件夹路径赋权，以免造成客户端权限过大而导致系统被更改等等原因，这样的话就有点得不偿失了。

文件夹路劲是可以手动输入的。

在添加无管理员权限的用户桌面的时候，是添加%systemdrive%\users\public\desktop或者%UserProfile%\Desktop这个路劲。

有管理员权限的用户就是用户名所对应的文件夹下面的桌面。

4、点击添加，在弹出的对话框里输入domain users再点击右边的检查名称，然后再点击确定5、选中刚刚添加的domain users，在下面的权限允许里调整权限，调整好后点击应用，再点击确定6、在弹出的对话框中我们设置相应的权限，我们设置的权限为除了完全控制其他全部赋予客户端，然后点击确定，在这一步弹出的页面中询问关于此文件夹的权限问题：添加此权限到所有子文件夹和文件此权限替换所有子文件夹和文件的权限不允许此权限下发到子文件夹和文件这里我们选择替换所有子文件夹和文件的权限，同理添加其他文件夹，权限设置与此一致。

winserver2008r2开机显示group policy client的解决方法（最新版）目录1.引言2.Group Policy Client 的作用3.WinServer2008R2 开机显示 Group Policy Client 的原因4.解决方法5.总结正文一、引言在 WinServer2008R2 操作系统中，有时开机时会显示“Group Policy Client”的提示，这让一些用户感到困惑。

本文将介绍这一现象的原因及解决方法。

二、Group Policy Client 的作用Group Policy Client（组策略客户端）是 Windows 操作系统中的一个组件，负责从域控制器下载和应用组策略设置。

组策略是一种管理企业网络中计算机和用户的方法，可以确保计算机和用户遵循统一的安全和配置策略。

三、WinServer2008R2 开机显示 Group Policy Client 的原因WinServer2008R2 开机显示 Group Policy Client 的原因可能有以下几点：1.计算机连接到了一个域，并且域控制器上启用了组策略。

2.计算机上的组策略客户端组件出现故障或损坏。

3.域控制器上的组策略设置有误。

四、解决方法针对上述原因，可以尝试以下解决方法：1.如果计算机连接到了一个域，并且域控制器上启用了组策略，可以通过修改组策略设置来禁用或调整开机时的提示信息。

具体操作如下：（1）打开“运行”对话框，输入“gpedit.msc”并回车，打开本地组策略编辑器。

（2）在左侧导航树中，展开“用户配置”>“管理模板”>“系统”，找到“预防访问控制列表”设置。

（3）双击“预防访问控制列表”设置，选择“已启用”选项，然后点击“应用”和“确定”。

2.如果组策略客户端组件出现故障或损坏，可以尝试重新安装组策略客户端。

具体操作如下：（1）打开“运行”对话框，输入“sfc /scannow”并回车，检查系统文件并修复错误。

在域环境下配置组策略批量安装客户端常用软件部署方法：(一) 在主域控制器的F盘，新建一个目录，命名为“软件安装共享”，设置共享后，并确保user组用户具有读取，执行权限。

（最好在“软件安装共享”的安全属性配置向下继承）(二) 打开主域控制器上的“Active Directory用户与计算机”右键“”属性，选择“组策略”“编辑”，进入“组策略编辑器”(三) 注意：将用户liyuan加入到DomainAdministrators 安全组、Enterprise Administrators 安全组或Group Policy Creator Owners 安全组。

以发布用户方式安装1. 依次展开“用户配置”“软件设置”“软件安装”。

2. 新建一个“程序包”，在“文件名”后的文本框内输入UNC路径（例如// 192.168.0.1）软件安装共享\ apache_2.2.4-win32-x86-no_ssl.msi3. 选择“apache_2.2.4-win32-x86-no_ssl.msi”软件后，点打开4. 配置部署方法为“已发布”5. 确定后，登陆客户端client-01进行测试。

（测试失败可使用gpupdate/force命令刷新组策略后，重试。

）6. 在客户端的“添加/删除程序”中“添加新程序”，找到“apache_2.2.4-win32-x86-no_ssl.msi”双击安装。

以指派用户方式安装1. 在部署软件时选择“已指派”2. 选择“apache_2.2.4-win32-x86-no_ssl.msi”属性，选中“在登录时安装此应用程序”3. 登录客户端，自动安装软件，可卸载。

以指派计算机方式安装1. 在“AD用户与计算机”下，新建一个组织单元us，将computers下的client01客户端，移动到us里面。

2. 右键“us”选择“属性”，点击“组策略”，新建一个策略。

3. 点击“编辑”，展开“计算机设置”“软件设置”，在“软件安装”上右键，新建一个“程序包”文件名后面的文本框最好用完整的计算机名，如\\ \软件安装共享\ apache_2.2.4-win32-x86-no_ssl.msi4. 默认部署类型“已指派”5. 在客户端上登录，显示如下界面，说明该软件通过组策略安装成功。

电话：(0371)65706336 65706337 65706339 传真：（0371）65706367 地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002 1通过组策略修改客户端登录的方式场景某企业的管理员为了方便用户的登录及只允许登录到域，希望能够达到以下目的：z不使用安全键序列Ctrl+Alt+Del，直接输入用户名及密码z在登录时，登录对话框中只显示域，而不显示本机，从而达到只能登录到域的目的z个别的计算机（如展厅的PC）开机就自动登录到域，而且使用的是有密码的权限受限的账户原理在Windows NT开始，在登录的时候就需要Ctrl-Alt-Delete组合键才能出现登录对话框，这三个键叫Secure Attention Sequence(SAS)。

微软之所以这样设计，是因为CTRL+ALT+DEL 三键直接调出的程序只有任务管理器和登录窗口，而其它的一些骗取密码的木马类程序是无法通过的，从而提高了安全性。

一般建议用户使用这个安全键序列。

但是有些不了解的用户却认为这样不方便。

SAS热键的注册使得Winlogon成为第一个处理CTRL+ALT+DEL的进程，所以保证了没有其他应用程序能够处理这个热键。

在Windows NT/Windows 2000/Windows XP中， WinSta0 是表示物理屏幕、鼠标和键盘的Windows系统对象的名字。

Winlogon在WinSta0 Windows系统中创建了SAS窗口（窗口标题是"SAS Window"）和如下三个桌面。

z Winlogon 桌面z应用程序桌面z屏幕保护桌面当用户按下Ctrl-Alt-Delete组合键时，Winlogon桌面上的SAS窗口收到它注册的系统热键消息(WM_HOTKEY) SAS Window窗口处理这个消息调用Graphical Identification and Authentication(GINA)动态连接库中的相关函数。

客户端配置方法(一）
组策略配置
一、选择“开始”，“运行”，输入gpedit.msc，打开组策略窗口。

注意：有些win2000、winxp版本(例如：OEM版的winxp home)不带有组策略功能，因此无法使用这种方法。

请您选择第二种方式。

二、选择“管理模板”，然后从菜单中选择“操作”，“添加/删除模板”。

注意：winxp sp1以上版本的操作系统中这个wuau.adm已经添加了，您可以直
接跳到第六步。

三、在“添加/删除模板”窗口中选择“添加”。

四、在“策略模板”中选择“wuau.adm”，并选择“打开”。

五、选择“关闭”，关闭“添加/删除模板”窗口。

六、选择“计算机配置”->“管理模板”->“Windows 组件”->“Windows Update”，并
选择“配置自动更新”。

七、在“配置自动更新”的属性窗口中，选择“启用”，并选择“确定”。

八、在“指定Intranet Microsoft更新服务器位置”的属性窗口中，选择“启用”，并在“设置检测更新的Intranet更新服务：”框中输入“/”，在“设置Intranet统计服务器：”框中输入“/”，并选择确定。

原有的sus用户无需更改其他设置，只需将这里的服务器更改为我们服务
器就能获得WSUS提供的服务
九、关闭组策略窗口。

十、在开始运行处输入wuauclt.exe /detectnow 命令，立即启动wsus服务！。

在一些大型公司企业中，IT管理员为了统一管理公司内的办公电脑，再根据网络安全相关制度要求，防止个人资料泄密等原因，会通过AD域组策略设置屏幕保护时间。

，在唤醒电脑时，需要输入登陆用户密码。

1、点击服务器任务栏左下角的开始，再点击管理工具
2、组策略管理­­右击default domain policy策略（或者新建GPO），在选择编辑
3、选择用户配置­­策略­­管理模板­­控制面板­­个性化
4、开启启用屏幕保护程序
5、启用带密码的屏幕保护程序
码才可以解锁。

7、开启强制使用特定的屏幕保护程序
说明：
1、屏幕保护程序，可以到网站上自行下载喜欢的样式
2、屏幕保护程序在本地存放路径为C:\Windows\System32
新一下组策略
否正确。

wsus组策略（最新版）目录1.WSUS 组策略概述2.WSUS 组策略的优点3.WSUS 组策略的配置方法4.WSUS 组策略的应用场景5.WSUS 组策略的局限性正文1.WSUS 组策略概述WSUS，全称 Windows Server Update Services，是微软公司推出的一款用于管理 Windows 操作系统和软件更新的服务。

WSUS 组策略是WSUS 的一个重要功能，它允许管理员通过组策略对象（GPO）来配置和管理客户端的更新。

通过使用 WSUS 组策略，管理员可以实现对企业内部大量计算机的统一更新管理，从而提高工作效率，降低维护成本。

2.WSUS 组策略的优点WSUS 组策略具有以下优点：（1）集中管理：通过 WSUS 组策略，管理员可以在一个中央位置对所有客户端的更新进行管理，无需逐一访问每台计算机。

（2）简化操作：WSUS 组策略支持批量操作，管理员只需在 GPO 中配置一次更新，便可将该更新分发给所有客户端。

（3）安全性：WSUS 组策略可以确保客户端只接收经过微软认证的更新，有效防止恶意软件的入侵。

（4）节省带宽：WSUS 组策略支持更新缓存，可以将常用的更新文件缓存在本地，减少网络传输，提高带宽利用率。

3.WSUS 组策略的配置方法配置 WSUS 组策略的步骤如下：（1）安装 WSUS：首先需要在服务器上安装 WSUS 服务，并配置好相关的更新源。

（2）创建 GPO：在域控制器上创建一个新的组策略对象，并将 WSUS 的更新策略添加到 GPO 中。

（3）链接 GPO：将创建好的 GPO 链接到需要应用的组织单元（OU）上。

（4）客户端配置：在客户端计算机上配置 WSUS 客户端，并加入到域中，使客户端可以接收到 GPO 中的更新策略。

4.WSUS 组策略的应用场景WSUS 组策略广泛应用于以下场景：（1）企业内部计算机的统一更新管理。

（2）教育机构、政府部门等拥有大量计算机的组织。

电话：(0371)65706336 65706337 65706339 传真：（0371）65706367 地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002 1通过组策略及DameWare加强远程管理场景仅仅是通过Windows XP自身远程桌面进行管理，这有很大的的局限性，如：单一控制台，不允许多人共享桌面。

所以很多管理员希望能够有强大的工具来实现远程协助、远程管理。

面对规模庞大的局域网，数量众多的客户机，管理和维护是件不容易的事情。

使用DameWare Mini Remote Control，一切就变得简单了：不用再为了设置调试在两台机器中跑来跑去，户机的管理员账号和密码，就能顺利完成远程管理和维护工作。

它有以下特点：z资源占用小z支持Windows Vista (32 & 64 bit)z MSI格式的安装包，方便通过活动目录部署z自动配置Windows防火墙z支持XP和Vista的快速用户切换z支持多显示器环境(本地或远程)z DameWare 镜像驱动程序增强了驱动和性能z与操作系统验证集成z使用操作系统内置的加密功能z部署不需要客户机重新启动z使用Mini Remote 或RDP (Remote Desktop Protocol)风格连接z可以对所有流量进行加密z可以设置必须经过用户许可后才能连接z基于IP的过滤z基于本地组或全局组验证z基于共享密码的验证z共享会话z方便的文件传输我们可以设想这样一个场景：当一个用户遇到一个问题时，会给HelpDesk人员打电话要求远程协助。

HelpDesk人员通过远程协助工具连接到用户的计算机进行协助。

当HelpDesk人员连接上他的PC机时，右下角会有一个提示，如下图所示HelpDesk人员的可以在他的计算机上远程进行协助了，这样就不需要到用户的现场，这样工作效率就会提高很多。

2电话：(0371)65706336 65706337 65706339 传真：（0371）65706367地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002实现DameWare有多个产品，其中DameWare Mini Remote Control只是用于远程控制。

域环境下对客户端统一设定桌面等2012-02-06 9:51CIS是现代组织形象整体策划和实施系统的简称。

其英文全称是Corporation Identity System。

中文译为“企业识别系统”。

CIS理论主张将企业理念，企业文化，企业行为及企业视觉标志通过统一设计加以整合，强化其传播效果，使组织迅速提升自己的知名度，美誉度和公众的认可度。

一、统一企业桌面第一步：我们在域控制器D盘下建一个共享文件夹share，用于存放我们准备统一的桌面背景图片Desktop.jpg，E:\share\Desktop.jpg。

注：建议大家共享文件夹要放在非系统磁盘上，共享文件夹的权限一般设置为Domain User。

第二步：在域控制器上点击开始→管理工具→组策略管理，打开组策略管理控制台。

（注：组策略管理工具GPMC）第三步：打开组策略管理，右键点击域→点击“创建并链接（GPO）” →输入组策略名称“统一桌面”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第四步：右键点击“统一桌面”策略→点击“编辑”→点击“用户配置”→“管理模板”→“桌面”→“Active Desktop”。

第五步：双击“启用Active Desktop”→点击“已启用”→点击“应用”→点击“确定”。

第六步：双击“启用Active Desktop墙纸”→点击“已启用”→ 在“墙纸名称”里面输入墙纸的位置→选择“墙纸样式”→点击“应用”→点击“确定”。

注：在“墙纸名称”这里输入墙纸的路径方法有两种：一种是本地路径另外一种就是UNC路径的方式，推荐使用UNC路径。

用“gpupdate /froce”强制刷新下策略，然后在到客户端用“gpupdate/froce”强制刷新下策略或者注销下客户端再登录就会发现客户端在登录客户端后发现客户端桌面就会自动换成我们指定的桌面背景了。

二、统一Internet Explorer浏览器标题、徽标第一步：在域控制器上点击开始→管理工具→组策略管理，打开组策略管理控制台→右键点击域→点击“创建并链接（GPO）” →输入组策略名称“统一Internet Explorer”。

科技信息2008年第24期SCIENCE &TECHNO LO GY INFORMATION ●随着网络用户数量的不断增加,由此引发的网络通信和安全故障越来越多,尤其体现在网络滥用导致的网络拥塞、蠕虫病毒泛滥导致的性能下降,以及系统漏洞导致的恶意攻击等方面。

如果不采取有力的应对措施,那么网络瘫痪的情形将不断上演。

由此可见,对网络客户端进行必要严格的管理与控制,是保障网络高效、稳定、安全运行的重要措施。

一、合理规划组织单位网络服务中关键的问题是安全,而安全的基础是访问权限的设置。

为每个用户分别设置权限虽然理论上可行,但是,当用户数量较多时,不仅管理的工作量非常巨大,而且还可能因误操作而产生问题。

因此,借助工作组实现对用户权限的划分,就成为提高管理效率的重要手段。

该方法的实现非常简单,只需将用户指定至不同的工作组,然后为不同的工作组划分权限,那么这些权限就会对该工作组中的所有用户产生作用。

Windo ws 2003Serv er 服务器操作系统在Activ e Directo ry 活动目录中增加了组织单位这种对象,使得整个域的规划和管理更具弹性,更能发挥出“分层负责、授权自治”的优点。

简而言之,组织单位就是一个比域还小的管理单位。

若能善用组织单位,就可以有效避免形成多域架构,节约企业成本。

二、利用组策略实现自动化管理随着网络内计算机数量的不断增加,系统维护和安全维护的工作量会越来越大,软件安装、系统安全以及文件夹共享等基本操作都会成为系统管理员的“累赘”。

组策略是系统管理员为计算机和用户所定义的,用来控制应用程序、系统设置和管理模板的一种机制。

通俗一点说,组策略是介于控制面板和注册表之间的一种修改系统设置的工具,它提供了一种对批量计算机进行高效管理的方法。

Windo ws 2000Serv er 和Windo ws 2003Server 作为功能强大的服务器操作系统,内置强大的组策略管理平台。

最近在使用Adobe Reader XI看PDF文件时，会出现闪退或者出现如下图所示的错误：
解决方法：
1、点击任务栏左下角的开始--管理工具--组策略管理
2、选中Default Domain Policy这个策略，右键--编辑
3、依次展开计算机配置--windows设置--安全设置--高级安全windows防火墙，再根据需求创建出、入站规则以及连接安全规则。

4、点击出站规则，右边的空白出右键点击，选择新建规则
注意：
（1）、在设置程序路径的时候，程序是不安装在服务器上的，要手动指定路径。

（2）、客户端安装程序，路径尽可能统一，不然要创建多个策略。

例如：客户端电脑的Adobe Reader XI安装在C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe，这里就要写成C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe
（3）、经过测试，这里不能使用通配符，否则将不会生效。

配置完成后，关闭窗口。

5、在域服务器中以管理员身份运行Windows PowerShell，然后输入gpupdate /force，强制刷新
一下组策略
6、客户端电脑重新启动一下，再打开Adobe Reader XI，看是否会闪退或者报错。

1.编写DNS设置计算机策略脚本1)新建文本文档并重命名为computer.bat2)编辑computer.bat，将以下命令复制进去并保存netsh interface ip set dns "本地连接" static <首选DNS>netsh interface ip add dns "本地连接" <备选DNS>netsh interface ip add dns "本地连接" addr=<备选DNS 2> index=3netsh interface ip add dns "本地连接" addr=<备选DNS 3> index=4 2.编写DNS设置用户策略脚本1)新建文本文档并重命名为user.bat2)编辑user.bat，将以下命令复制进去并保存echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户>"netsh interface ip set dns "本地连接" static <首选DNS>"echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户>"netsh interface ip add dns "本地连接" <备选DNS>"echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户>"netsh interface ip add dns "本地连接" addr=<备选DNS2> index=3"echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户>"netsh interface ip add dns "本地连接" addr=<备选DNS3> index=4"3.设置计算机策略1)依次打开“组策略管理器”—组策略对象—找到对应OU的组策略。

一、测试前准备。

1、Vmware虚拟机.2、windows2003Server和windows XP 的ISo文件.(注：为了更加像企业环境，我们这里采用2003做服务器系统，XP做用户系统坏.)3、已经搭建好的、正常的虚拟域.4、分配好的OU.5、组策略安装包二、测试步骤。

1、使用安装包在服务器DC上安装则策略服务。

2、安装完成，在开始，管理工具中，打开组策略管理.3、打开你的客户机，并将其加入到域.4、当加入成功时，你会在AD用户与计算机的相应OU中看到出现的对应的计算机名..5、打开组策略管理器,在你需要建立策略的OU上点右键，创建并连接GPO.在这里，建立策略的时候不经存在权限问题，还存在继承权限的问题。

在这一块，我还是有点欠缺，…Sorry. （注：我这里选择的是我的管理者建立的策略，在我的OU中，administrator的权限是最高的）6、给你的策略命名.7、管理你的策略。

点击celue1，你会看到有关它的详细信息.8、右击，编辑，打开组策略编辑器。

9、选择用户配置，管理模版，桌面，Active Desktop。

打开桌面编辑器。

这就是我们需要操作来更改客户机桌面的地方.10、让我们释放出我们的桌面，回到我的电脑。

在这里，我们要给准备素材。

所谓素材就是指所需的图片或软件.打开我的电脑，新建一个share文件夹，并向其中放入你需要设置为用户桌面的图片.11、设置share的属性.右键，打开属性面板.点击共享选项卡，选择共享此文件夹。

并将其的共享名后加“$”，$表示是隐藏文件，用户端不可见.点击权限，分配权限这一步是一定是必要的。

勾选完全控制.确定。

到此，我们的素材准备工作完毕. 12、返回组策略编辑器.13、点击，启用Actieve Desktop。

属性，启用.14.点击Active Desktop墙纸。

属性。

启用。

并输入墙纸所在的路径.这里可以输入本地路径，也可以用UNC路径，就操作的简单性而言，我选择的是UNC 路径.输入路径后，设置墙纸样式.确定.15、当这些都设置好后，我们可以返回组策略管理来查看我们策略的有关信息.16．一切正常后，我们返回我们的用户机器.在用户机里，开始，运行。