域控器的组策略应用设置大全
域策略方案
域策略方案简介域策略是指在一个Windows域环境下,管理员可以使用组策略对象(GPO)来控制和管理计算机和用户的配置和设置。
通过使用适当的域策略方案,管理员可以实施安全策略、限制用户权限以及管理整个域的行为。
本文档将介绍一个基本的域策略方案,包括如何创建和配置GPO,以及一些常见的安全设置和最佳实践。
步骤1. 创建组策略对象(GPO)首先,我们需要创建一个GPO来管理特定的配置和设置。
在域控制器上打开“组策略管理”控制台,然后右键单击“组策略对象”节点,选择“新建”。
2. 配置GPO设置一旦创建了GPO,我们就可以开始配置其中的设置。
对于一个基本的域策略方案,以下是一些常见的设置和建议:•密码策略:通过设置密码长度、复杂性要求和密码历史保留期等来强化密码安全性。
•账户锁定策略:通过设置账户锁定阈值和锁定时间来保护用户账户免受暴力破解。
•安全选项:启用Windows防火墙、禁用不安全的网络协议以及限制可访问的远程服务等。
•软件安装:通过GPO推送软件安装包,可以集中管理和部署软件应用。
•Internet Explorer设置:配置Internet Explorer的安全和隐私选项,以保护用户免受恶意网站和广告的侵害。
这些只是一些示例设置,您可以根据您的具体需求进行定制。
3. 将GPO链接到域或组织单位创建和配置GPO后,我们需要将其链接到适当的域或组织单位。
在“组策略管理”控制台中,右键单击目标域或组织单位,选择“链接现有GPO”。
选择刚刚创建的GPO,并将其链接到目标域或组织单位。
4. 强制更新组策略一旦GPO被链接到域或组织单位,我们需要强制客户端计算机应用新的策略设置。
我们可以通过在客户端计算机上打开命令提示符,并运行以下命令来实现:gpupdate /force这将强制客户端计算机立即应用新的策略设置。
安全设置和最佳实践以下是一些常见的安全设置和最佳实践,有助于确保域策略方案的高效和安全:1.定期审查和更新策略设置,以适应新的安全威胁和业务需求。
域控器的组策略应用设置大全
域控器的组策略应用设置大全1.密码策略设置:可以设置密码的复杂度要求,包括密码长度、大小写字母要求、数字和特殊字符要求等。
还可以设置密码过期时间和历史密码禁用策略。
2.账户策略设置:可以设置账户锁定策略,包括连续登录失败次数和锁定时间。
还可以设置强制用户注销策略,踢出空闲用户和会话时间限制等。
3.审计策略设置:可以设置哪些事件需要进行审计,以及生成审计日志的位置和大小。
还可以设置审计策略的保留时间和备份策略等。
4.软件安装策略:可以通过组策略实现软件的自动安装和卸载。
可以指定软件的安装位置、启动方式和升级方式,并设置软件的相关策略。
5.防火墙策略设置:可以设置域中计算机的防火墙策略,包括入站和出站规则的配置。
可以设置允许和禁止的端口号、应用程序等。
6.网络共享策略设置:可以设置共享文件夹和打印机的访问权限,包括读写权限和管理权限。
可以配置网络共享策略的安全性和密码保护方式等。
7.远程桌面策略设置:可以设置远程桌面连接的权限和限制。
可以设置远程桌面连接的安全性和加密方式,以及是否允许远程桌面的访问。
8. Internet Explorer 策略设置:可以限制用户对 Internet Explorer 的设置和功能的访问和修改。
可以设置主页、安全性、隐私和其他 Internet Explorer 相关的策略等。
10.端口安全策略设置:可以限制计算机上允许开放的端口和服务。
可以阻止非授权的端口访问和连接,增强网络的安全性。
总结起来,域控制器的组策略应用设置包含了密码策略、账户策略、审计策略、软件安装策略、防火墙策略、网络共享策略、远程桌面策略、Internet Explorer 策略、软件限制策略和端口安全策略等方面的配置和管理。
通过合理配置组策略,可以提高网络的安全性,统一管理和控制计算机的行为,提升网络的效率和管理能力。
windows域常用组策略设置
从开始菜单删除:收藏夹、搜索、常用程序列表、公共程序组、游戏、帮助、所以程序、网络连接、附加的程序列表、运行等等
删除部分
从“设置”菜单删除程序:此设置防止“控制面板”、“打印机”和“网络连接”文件夹在「开始」菜单、“我的电脑”和Windows资源管理器上设置。它还阻止运行这些文件夹所代表的程序(如Control.exe)。
不允许
重命名来宾帐户和重命名系统管理员账户
Enterprise Admins组,最高权限,建议只放一个用户,并且常年禁用
事件日志,设置事件日志的相关选项,包括:大小,时间,类型等等
调整
关闭自动播放:启用此设置,则可以禁用CD-ROM和可移动介质驱动器上的自动播放,也可以禁用所有驱动器上的自动播放。
关闭
实际测试
开启按部门需求
防止删除打印机:如果用户试图删除打印机,例如使用“控制面板”中“打印机”
是
中的“删除”选项来删除打印机,会显示一条消息,说明该设置组织执行此操作。
隐藏“从CD-ROM或软盘安装程序”选项:从“添加新程序”页面删除“从CD-ROM或软盘安装程序”部分。这样可以防止用户使用“添加或删除程序”从可移动介质安装程序。
是
提示用户在过期之前更改密码:确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告,用户有时间构造足够强大的密码。
10天
无需按Ctrl+Alt+Del:该安全设置决定用户是否需要按Ctrl+Alt+Del才能登录。
无需
可匿名访问的共享:此安全设置确定匿名用户可以访问哪些网络共享。
是
阻止更改壁纸:阻止用户添加或更改桌面的背景设计。
是
桌面墙纸:指定在所有用户的桌面上显示的桌面背景(“墙纸”)
组策略常用设置详解
组策略常用设置详解(任务栏和开始菜单、桌面、控制面板、网络和系统)(本人整理自Windows XP Pro SP2)(各项默认状态均为“未被配置”)任务栏和开始菜单设置详解用户配置-管理模板-任务栏和开始菜单从开始菜单删除用户文件夹隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。
其它项目出现,但文件夹会被隐藏。
这个设置是为了转发文件夹而设计的。
被转发的文件夹会出现在「开始」菜单的主要区域中。
但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。
因为两个同样的文件夹可能会让用户觉得混乱,您可以使用这个设置来隐藏用户指定文件夹。
请注意这个设置会隐藏所有的用户指定文件夹,不光是被转发的用户指定文件夹。
如果您启用这个设置,在「开始」菜单中的上方区域不会出现任何文件夹。
如果用户将新文件夹加入「开始」菜单,文件夹会出现在用户配置文件的目录中,但不会出现在「开始」菜单中。
如果停用或不配置这个设置,Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。
删除到“Windows Update”的访问和链接防止用户连接到Windows Update 网站。
这个设置阻止用户访问地址为:的Windows Update 网站。
这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update 超链接。
Windows Update 为Windows 的联机扩展,提供软件更新以使用户的系统保持最新。
Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。
还可参阅“隐藏…从Microsoft 添加程序‟选项”设置。
从开始菜单删除公用程序组在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。
域组策略的实施效果和方法
禁止替代完成状态
以OU内三用户之中任意用户 c 登录到客户机 OU内三用户之中任意用户
我的文档图标消失(域组策略强制实施),网上 我的文档图标消失(域组策略强制实施),网上 ), 邻居图标消失(OU组策略生效 组策略生效) 邻居图标消失(OU组策略生效)
7、组过滤问题: 组过滤问题:
组策略实施权限的管理
5、阻止策略继承
OU属性---组策略----选中“阻止策略继承” OU属性---组策略----选中“阻止策略继承” 属性---组策略----选中
以OU内三用户之中任意用户 b 登录到客户机 OU内三用户之中任意用户
我的文档图标出现(域组策略被阻止),网上邻 我的文档图标出现(域组策略被阻止),网上邻 ), 居图标消失(只有OU组策略生效) OU组策略生效 居图标消失(只有OU组策略生效)
3、在OU上设置“OU组策略” OU上设置 OU组策略 上设置“ 组策略”
域---右键----新建----组织单位OU ---右键----新建----组织单位OU 右键----新建----组织单位
在OU内建立三个用户:a、b、c OU内建立三个用户: 内建立三个用户
OU----右键----属性----组策略----新建--OU----右键----属性----组策略----新建------右键----属性----组策略----新建 ----编辑 -OU test ----编辑
2、“域组策略”的生效 域组策略”
客户机端: 客户机端:注销当前用户并重新登录
我的文档图标被隐藏(域组策略在客户机生效) 我的文档图标被隐藏(域组策略在客户机生效)
域控制器端: 域控制器端:注销当前用户并重新登录
我的文档图标被隐藏(域组策略在域控制器上同样生效) 我的文档图标被隐藏(域组策略在域控制器上同样生效)
(2)组策略的配置及使用
一、实验名称组策略的配置及使用二、实验类型验证性实验三、实验目的通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。
四、实验内容(1)通过控制台访问组策略(2)对用户设置密码策略(3)对用户设置登录策略(4)退出系统时清除最近打开的文件的历史五、相关知识1、组策略对象的类型组策略对象有两种类型:本地和非本地。
本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。
然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。
在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。
非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。
非本地组策略对象也可以应用于用户或计算机。
如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。
根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。
2、组策略模板组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。
该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。
当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。
组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。
计算机可以通过连接SYSVOL文件夹来获得这些信息。
组策略模板存储在域控制器的%systemroot%\SYSVOL\sysvol文件夹下面。
域组策略应用详解
域组策略应用详解域组策略是一种Windows Active Directory环境中的管理工具,它允许管理员集中管理多台计算机的安全策略和配置。
通过域组策略,管理员可以实现对域内计算机的用户账户、密码策略、软件安装、网络连接和访问控制等进行统一的管理与控制。
以下是对域组策略的详细解析。
1.域组策略的作用与优势域组策略的主要作用是提供一种集中管理和控制计算机的方式,帮助企业或组织实施统一的安全策略,并降低管理成本。
以下是域组策略的一些优势:-统一管理:通过域组策略,管理员可以在整个域内管理和控制所有计算机的安全策略和配置,无需分别配置每台计算机,简化了管理流程。
-集中控制:域组策略可以集中控制所有计算机的用户账户、密码策略、软件安装、网络连接和访问控制等,确保整个域内的计算机都遵循相同的安全标准。
-统一更新:通过域组策略,管理员可以轻松地对所有计算机进行安全策略的更新和修改,确保所有计算机都能及时获得最新的安全补丁和配置。
2.域组策略的组件域组策略由以下几个重要的组件组成:-组策略对象(GPO):是域组策略的核心组件,它包含了一组安全策略和配置项,可以应用给特定的域、组或用户。
-组策略文件夹:存储域内所有组策略对象的文件夹,通常存放在域控制器的系统目录下。
-组策略客户端扩展(CSE):是一种在计算机或用户执行组策略时生效的软件组件,用于解析和处理组策略配置。
3.域组策略的配置和应用域组策略的配置和应用主要包括以下几个步骤:-将组策略对象应用到域、组或用户:通过将组策略对象链接到特定的域、组或用户上,使其生效。
可以通过域控制器上的“组策略管理”工具来实现。
- 强制更新和刷新组策略:可以使用“gpupdate”命令来强制计算机或用户立即更新和刷新组策略,或等待策略刷新的策略设置。
-监测和审核组策略的应用:可以通过策略审计和事件日志来监测和审核组策略的应用情况,以及统计计算机和用户的符合策略的状态。
4.域组策略的常见应用场景域组策略在企业或组织中有多种应用场景,以下是其中一些常见的应用场景:-账户和密码策略:通过域组策略,管理员可以设置和控制用户账户的安全策略和密码策略,例如密码复杂性要求、账户锁定策略等。
常用AD组策略设置
常用AD组策略设置常用AD组策略设置利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。
根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。
相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。
下面是实际操作演示:AD域控制器:Windows Server 2003/2008以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图):可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A 23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是:copy bssec.scr c:\windows\system32即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。
作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。
打开“”域的属性(如下图):可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
在“用户配置”-“管理模板”-“控制面板”-“显示”,启用右侧的“屏幕保护程序”,启用“可执行的屏幕保护程序的名称”,填入屏幕保护文件名:bssec.scr,(如下图):同时启用右侧的“密码保护屏幕保护程序”,设置屏保超时(如下图):屏保设置完毕。
AD组策略使用技巧-域控制器软件限制策略的配置
域控制器软件限制策略的配置
1、开始-运行gpedit.msc 打开组策略
在组策略编辑器中展开软件限制策略的安全级别节点。
2、选择右边不允许的或不受限的单击设为默认
打开对话框 单击浏览按钮导入3、单击其他规则
单击新建哈希规则 打开对话框
选择上方的操作选项 单击新建哈希规则
单击其他规则 选择上方的操作选项
要限制的文件
要限制的文件
单击新建路径规则,,可以在路径文本框中文件路径或注册表路径如果使用注册表路径4、单击新建路径规则
必须用%江注册表路径括起来 ...
5、软件策略里面有个指派的文件类型选项根据自己的需要可以在里面添加或删除文件后缀名
6、双击强制选项打开强制属性对话框选择软件限制策略应用的范围和用户
7、在受信任的发布者属性里面可以选择软件发布者的用户选项
在受信任的发布者属性里面可以选择软件发布者的用户选项,,并选择证书发行商的检查项目。
组策略配置及技巧
组策略攻略概念:组策略对象可以应用到的容器包括:站点、域、OU。
默认的域策略、域控制器策略尽量不要去修改。
默认的域策略会影响到所有的域内的用户,计算机以及DC,默认的域控制器策略只会影响到域内的所有的域控制器。
组策略(group policy)对象包括组策略容器(GPC)和组策略模板(GPT)组策略是AD集中管理的工具。
GPC存放在AD用户和计算机中。
存放位置如下:高级功能-选择域-system-policies对应的UID中,单击属性可以查看版本号等信息,CPT存放于sysvol\域名\polilcies\ID number下的文件夹下,包含计算机和用户的配置,以及版本号。
多个GPO可以链接到一个容器,一个GPO可以链接到多个容器。
强制:是不受组策略阻断影响,Q&A:如何实现OU内的GPO只(不)对OU内特定人员生效?(GPO只对财务部OU和销售部OU的经理生效)使用安全过滤;在AD用户和计算机中新建一个安全组,将需要生效的成员(经理)添加进来,在所要生效的GPO中右击属性-委派-高级,删除默认的authe nticated user组,将新建的安全组添加进来,权限中设置读取和应用(拒绝)组策略权限即可。
(尽量不要使用,方便排错)如果一个程序有多个软件限制策略规则,该如何应用?按照1:哈希;2:证书;3:路径;4:internet区域路径规则;优先级顺序执行。
组策略的执行顺序为:本地策略、站点策略、域策略、父OU策略、子OU策略。
后执行的优先级高。
如多于一个的同类规则作用于同一个程序,则同类规则中最具有限制能力的规则起作用。
如何禁止客户端本地登录,只能使用域环境登录?打开GPMC,在所要设置的GPO中编辑如下:计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中,单击允许本地登录,安全选项中,帐户:管理员帐户状态,禁用,可以实现只能登陆到域。
组策略如何备份?打开GPMC-组策略对象,在需要备份的GPO中单击备份,要备份所有的GPO,单击组策略对象,选择备份。
域账号组策略配置手册V1.0
域账号组策略配置手册V1.0注:使用域后,原有每台机器需要配置的host文件仍需要配置,在修改ip和机器名后,请保持同步更新,以免影响应急系统的使用。
1. 域组策略配置1.1. 域控制器配置1.在域控制器上,打开Active Directory 用户和计算机进行配置2 . 新建组织单位WWIMP3.将Computers 下面属于集成平台得计算机加入到新建的组织中4. 在开始->运行中输入gpmc.msc,打开组策略管理器5. 在目录下找到刚才新建的组织WWIMP ,点击右键创建GPO6. 输入gpo名称wwgpo7. 右键点击刚才创建的GPO,选择编辑,打开组策略编辑器8. 根据下图打开安全选项组策略9. 在右边找到“用户账户控制:在管理审批模式下的提升提示行为”修改为“不提示,直接提升”10.在右边找到“用户账户控制:以管理员批准模式运行所有管理员”,将之改为“已启用”11. 关闭编辑器。
1.2. 域成员更新组策略(2008需要)1. 在域成员计算机上,开始-.>运行cmd ,进入命令窗口2. 运行命令杭gpupdate /force2. WW域用户配置2.1. Ww域用户增加1.登陆域控制器,打开打开Active Directory 用户和计算机进行配置2.选择新建用户3.增加用户wwimpuser 密码p@ssw0rd (0是数字),选择密码永不过期4. 在users 下找到该用户,右键属性,在“隶属于”选项卡中,将该用户加入到domain admins 和domain users 用户中2.2. Ww客户端配置(或者安装时)1. 双击所有程序中Wonderware下的Change Network Account2. 打开界面后能看到原来的配置,目前我们安装ww软件时都是用的wwuser,如下图3. 重新输入域名称(和现场实际相同),用户使用刚才创建的wwimpuser用户4. 点击确定,这边的提示密码会过期,不用管(我们在域中建的用户密码已经选择了永不过期),直接选择“是”4. 点击确定,重启计算机。
组策略设置大全
概括:组策略的设置也就是对注册表的操作,因为注册表的路径太多太难记,所以使用组策略能很好的颜色分类说明:*红色为系统安全设置项,建议多掌握一些!*蓝色为个性功能设置,能把你的系统改得千奇百怪、五花八门,当你系统出现了什么不见了,什*紫色为系统功能设置,比如打开某功能,禁用某功能。
*绿色为常见问题需要注意的地方*同一行内有多种颜色,说明同时具有那些颜色的性质!点击系统右下角的开始菜单,输入命令:gpedit.msc,就计算机配置Windows设置脚本(启动/关机)安全设置管理模版Windows组件InNeWWWWWWW错误报告W日历W移动中心备家庭组录音机任务计划程序事件日志服务搜索应用程序兼容性游戏浏览器远程桌面服务桌面窗口管理器桌面小工具自动播放策略打印机系统关机选项恢复可移动存储访问用户配置Windows设置脚本(登陆/注销)Internet Explorer维护管理模版“开始”菜单和任务栏为将“注销”添加到「开始」菜单关锁定任务栏将“在单独的内存空间运行”复选框添加到“运行”对话框删“气球提示”删“开始”菜单上的拖放和上下文菜单删“关机”、“重新启动”、“睡眠”和“休眠”命令从从“收藏夹”菜单从“搜索”链接从从“游戏”链接从“帮助”菜单关从“所有程序”列表从“网络连接”从不保留最近打开文档的历史从“最近的项目”菜单从“运行”菜单从“默认程序”链接从“文档”图标从“音乐”图标从“网络”图标从“图片”图标不删“搜索计算机”链接删“查看更多结果”/“搜索所有位置”链接不不 Internet不从“设置”菜单删除程序阻“任务栏和「开始」菜单”设置从“开始”菜单中删除“下载”链接从“开始”菜单中删除“家庭组”链接从“开始”菜单中删除“TV 录像”链接从从“开始”菜单中删除“视频”链接强从系统通知区域删除时钟阻止在任务栏上对项目分组不在任务栏显示任何自定义工具栏阻止访问任务栏的上下文菜单隐藏通知区域从「开始」菜单中删除用户文件夹链接从「开始」菜单中删除用户名删“Windows Update”的链接和访问更“开始”菜单电源按钮在从“移除 PC”按钮将“运行”命令添加到「开始」菜单删“注销”删“操作中心”图标删删除音量控制图标关闭功能提示气球通知不允许在跳转列表中附加项目不允许将程序附加到任务栏不要在跳转列表中显示或跟踪来自远程位置的项目关闭将通知图标自动提升到任务栏锁定所有任务栏设置Windows组件WWWWWWW错误报告W日历W移动中心W资源管理器备份附件管理器录音机任务计划程序搜索应远程桌面连接客户端桌面窗口管理器共享文件夹控制面板区域和语言选项系统桌面删“回收站”上下文菜单的“属性”退关 Aero Shake 窗口最小化鼠标手势禁禁用调整桌面工具栏表的操作,因为注册表的路径太多太难记,所以使用组策略能很好的对计算机进行管理。
域控器的组策略应用设置大全
域控器的组策略应用设置大全组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。
此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。
例如要删除“我的文档”,只需在“删除桌面上的…我的文档?图标”一项中设置即可。
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上…网上邻居?图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的…我的文档?图标”和“删除桌面上的…我的电脑?图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
组策略常用设置详解
组策略常用设置详解(任务栏和开始菜单、桌面、控制面板、网络和系统)(本人整理自Windows XP Pro SP2)(各项默认状态均为“未被配置”)任务栏和开始菜单设置详解用户配置-管理模板-任务栏和开始菜单从开始菜单删除用户文件夹隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。
其它项目出现,但文件夹会被隐藏。
这个设置是为了转发文件夹而设计的。
被转发的文件夹会出现在「开始」菜单的主要区域中。
但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。
因为两个同样的文件夹可能会让用户觉得混乱,您可以使用这个设置来隐藏用户指定文件夹。
请注意这个设置会隐藏所有的用户指定文件夹,不光是被转发的用户指定文件夹。
如果您启用这个设置,在「开始」菜单中的上方区域不会出现任何文件夹。
如果用户将新文件夹加入「开始」菜单,文件夹会出现在用户配置文件的目录中,但不会出现在「开始」菜单中。
如果停用或不配置这个设置,Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。
删除到“Windows Update”的访问和链接防止用户连接到Windows Update 网站。
这个设置阻止用户访问地址为:的Windows Update 网站。
这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update 超链接。
Windows Update 为Windows 的联机扩展,提供软件更新以使用户的系统保持最新。
Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。
还可参阅“隐藏…从Microsoft 添加程序‟选项”设置。
从开始菜单删除公用程序组在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。
域控创建策略
域控创建策略
在域控中创建策略,主要涉及到以下几个步骤:
1.组织单位的创建:在域中创建一个或多个组织单位(OU),以便将策略应用于特定的用户和计算机组。
可以根据需要创建多个OU,以更好地组织和管理网络中的对象。
2.组策略的配置:在域控制器上打开“组策略管理”控制台,找到相应的组织单位,并为其创建一个组策略对象(GPO)。
在GPO中,可以定义各种策略设置,如软件安装、用户权限等。
3.安全策略的配置:可以在GPO中定义安全设置,如账户策略、本地策略等。
这些设置可以控制用户账户的密码策略、账户锁定策略等。
4.软件安装策略的配置:通过“软件设置”选项,可以定义软件安装策略。
在此,可以选择允许或禁止安装特定软件,并可以基于安全级别进行更细粒度的控制。
5.路径规则的配置:在软件限制策略中,可以创建路径规则来控制对特定文件的访问。
这有助于防止恶意软件的安装和传播。
6.审核策略的配置:通过审核设置,可以追踪对系统资源的访问和更改。
这对于监控和审计系统活动非常有用。
7.发布通告信息:发布通告信息可以告知用户有关新策略的信息,以及如何遵守这些策略。
这对于提高用户对新策略的意识和遵从性非常有帮助。
8.应用策略:一旦配置好GPO,将其应用到相应的组织单位上。
这样,所定义的策略就会应用到选定的OU中的用户和计算机上。
在配置过程中,请确保仔细考虑各种策略的影响,并遵循最佳实践,以确保网络的安全和稳定性。
域的组策略
3,在OU上设置"OU组策略" OU上设置 OU组策略 上设置" 组策略"
域---右键----新建----组织单位OU ---右键----新建----组织单位OU 右键----新建----组织单位
在OU内建立三个用户:a,b,c OU内建立三个用户: 内建立三个用户
OU----右键----属性----组策略----新建--OU----右键----属性----组策略----新建------右键----属性----组策略----新建 ----编辑 -OU test ----编辑
5,阻止策略继承
OU属性---组策略----选中"阻止策略继承" OU属性---组策略----选中"阻止策略继承" 属性---组策略----选中
以OU内三用户之中任意用户 b 登录到客户机 OU内三用户之中任意用户
我的文档图标出现(域组策略被阻止),网上邻 我的文档图标出现(域组策略被阻止),网上邻 ), 居图标消失(只有OU组策略生效) OU组策略生效 居图标消失(只有OU组策略生效)
再次以用户 a 登录到客户机
网上邻居出现(OU组策略被过滤,与预期相同) 网上邻居出现(OU组策略被过滤,与预期相同) 组策略被过滤
以非ab 登录到客户机(预期: 以非ab 组中用户 c 登录到客户机(预期: 不受阻过滤影响, 不受阻过滤影响,网上邻居消失)
与预期相反
原因: 用户, 原因:安全对象中未包括 c 用户,该用户不受 该组策略影响(被排除在外) 该组策略影响(被排除在外)
在OU内建用户组 ab ,添加 a,b 为其成员 OU内建用户组
OU---属性---组策略---OU test ---属性---安全-OU---属性---组策略---OU ---属性---安全----属性---组策略--属性---安全 ---其权限默认 只读,未采用组策略) 其权限默认( -添加 ab 组---其权限默认(只读,未采用组策略)
使用组策略配置域中任务计划
使用组策略配置域中任务计划Jenny was compiled in January 2021使用组策略配置域中客户机的任务计划配置目标:使用AD的组策略,配置域中的客户机任务计划,使得域中的客户机自动执行脚本,实现客户机的自动配置和自动运行程序。
模拟配置环境:如图所示:在AD Server上创建任务计划要执行的脚本,设置组策略,使得域中所有的客户能按照设置的时间自动执行脚本。
为了能测试脚本是否正确完成,本次测试脚本功能为每执行一次,在文件中自动写入执行的时间。
脚本如下:脚本执行后将在C:\中记录当前脚本的执行时间:当在C:\里查看到相关信息时,说明脚本正常运行。
配置方式:1.在域控制器上打开服务器管理器,浏览到【功能】--》【组策略管理】--》【Default Domain Policy】,选择【更多】--》【编辑】2.打开Default Domain Policy 策略,浏览到【用户配置】--》【首选项】--》【控制面板设置】--》【任务计划】,在任务计划窗口处右键单击,选择【新建】--》【任务计划】。
3.打开了【新建任务属性】,由于需要域中的客户机执行此脚本,需要将脚本放置在网络路径上。
此路径必须能被客户机访问。
将新建任务属性暂且放置,将需要运行的脚本放置到固定路径,为此处【运行】中要输入的路径做准备。
4.将可执行脚本复制到AD网络共享的SysVol目录中。
5.回到组策略的新建任务属性中,输入脚本的共享网络路径和相关信息:运行的脚本路径是:可执行脚本的全称。
此处为\\\sysvol\\scripts\6.设置定时执行的时间7.配置完成8.从域中的客户机上使用域用户重新登录,打开任务计划程序,会看到策略分配的任务计划,并且已经开始执行。
验证:在客户机上查看运行结果通过查看脚本生成的文件信息,验证组策略配置的任务计划在客户机上正常运行了。
总结:可以将脚本更改为管理员希望完成的功能,即可实现通过在AD的组策略上配置任务计划,在域中客户机上统一配置和定时执行的功能。
组策略常用设置详解
组策略常用设置详解(任务栏和开始菜单、桌面、控制面板、网络和系统)(本人整理自Windows XP Pro SP2)(各项默认状态均为“未被配置”)任务栏和开始菜单设置详解用户配置-管理模板-任务栏和开始菜单从开始菜单删除用户文件夹隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。
其它项目出现,但文件夹会被隐藏。
这个设置是为了转发文件夹而设计的。
被转发的文件夹会出现在「开始」菜单的主要区域中。
但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。
因为两个同样的文件夹可能会让用户觉得混乱,您可以使用这个设置来隐藏用户指定文件夹。
请注意这个设置会隐藏所有的用户指定文件夹,不光是被转发的用户指定文件夹。
如果您启用这个设置,在「开始」菜单中的上方区域不会出现任何文件夹。
如果用户将新文件夹加入「开始」菜单,文件夹会出现在用户配置文件的目录中,但不会出现在「开始」菜单中。
如果停用或不配置这个设置,Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。
删除到“Windows Update”的访问和链接防止用户连接到Windows Update 网站。
这个设置阻止用户访问地址为:的Windows Update 网站。
这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update 超链接。
Windows Update 为Windows 的联机扩展,提供软件更新以使用户的系统保持最新。
Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。
还可参阅“隐藏…从Microsoft 添加程序‟选项”设置。
从开始菜单删除公用程序组在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。
组策略常用设置详解
组策略常用设置详解登录时不显示欢迎屏幕抑制欢迎屏幕。
这项设置在每次用户登录时将Windows 2000 Professional 和Windows XP Professional 欢迎屏幕隐藏。
用户仍旧可以通过在「开始」菜单选择或在运行对话框中键入“Welcome”来显示欢迎屏幕。
这项设置时适用于Windows 2000 Professional 和Windows XP Professional。
它不会影响到Windows 2000 Server 上的“在 Windows 2000 Server 上配置您的服务器”屏幕。
注意: 这项设置出现在“计算机配置”和“用户配置”文件夹中。
如果配置这项设置,“计算机配置”中的设置比“用户配置”中的设置优先。
窍门: 要显示欢迎屏幕,请单击开始、指向程序、指向附件指向系统工具然后单击“开始”。
要在不指定设置的情况下抑制欢迎屏幕,请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”。
2000 年份转译决定程序如何转译用两位数字表示的年份。
这个设置将最大的两位数字的年份指定为以 20 打头。
所有小于和等于指定数值的数字被转译成以 20 打头的。
所有大于指定数值的数字被转译成以 19 打头的。
例如,默认数值--2029 指定所有小于和等于 29 (00 到 29)的两位数字的年份被转译成以20 打头的,即 2000 到 2029。
相反,所有大于 29 (30 到 99)的两位数字的年份被转译成以 19 打头的,即 1930 到1999。
这个设置只影响用这个Windows 功能转译两位数字的年份的程序。
如果程序无法正确转译两位数字的年份,请查阅程序的文档或询问制造商。
配置驱动程序搜索位置此设置配置查找到新硬件时Windows 将要搜索驱动程序的位置。
默认情况下,Windows 将在下列位置搜索驱动程序: 本地安装、软盘驱动器、CD-ROM 驱动器、Windows Update。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
域控器的组策略应用设置大全组策略应用设置大全一、桌面项目设置1、暗藏不必要的桌面图标2、严禁对桌面的改动3、投入使用或严禁活动桌面4、给“已经开始”菜单瘦身5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1.禁止访问“控制面板”2、暗藏或严禁“嵌入/删除程序”项3、暗藏或严禁“表明”项三、系统项目设置1、登入时不表明热烈欢迎屏幕界面2、停止使用注册表编辑器3、关闭系统自动播放功能4、停用windows自动更新5、删掉任务管理器四、隐藏或删除windowsxp资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、ie浏览器项目设置1、管制ie浏览器的留存功能2、给工具栏瘦身3、在ie工具栏添加快捷方式4、让ie插件不再骚扰你5、保护好你的个人隐私6、严禁修正ie浏览器的主页7、停止使用引入和求出收藏夹六、系统安全/共享资源/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审查4、windows98访问windowsxp共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。
此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、暗藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。
例如要删除“我的文档”,只需在“删除桌面上的?我的文档?图标”一项中设置即可。
若要隐藏桌面上的“网上邻居”和“internetexplorer”图标,只要在右侧窗格中将“隐藏桌面上?网上邻居?图标”和“隐藏桌面上的internetexplorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的?我的文档?图标”和“删除桌面上的?我的电脑?图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2、严禁对桌面的改动利用组策略可达到禁止别人改动桌面某些设置的目的。
“禁止用户更改?我的文档?路径”项可防止用户更改“我的文档”文件夹的路径。
“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。
双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。
最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。
3、启用或禁止活动桌面利用“activedesktop”项,可以根据自己的须要设置活动桌面的各种属性。
“投入使用活动桌面”项可投入使用活动桌面并避免用户停止使用它。
“活动桌面墙纸”项可选定在所有用户的桌面上表明的桌面墙纸。
而投入使用“不容许修改”项便可以避免用户修改活动桌面布局。
4、给“开始”菜单减肥windowsxp的“已经开始”菜单的菜单项很多,可以通过组策略将不须要的删掉掉。
提供更多了删掉“已经开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收藏夹”菜单、“搜寻”菜单、“协助”命令、“运转”菜单、“图片珍藏”图标、“我的音乐”图标和“网上邻居”图标等策略。
只要将不须要的菜单项所对应的策略投入使用即可。
以删掉开始菜单中的“我的文档”图标为基准看一看其具体操作方法:在右边窗口中双击“从?已经开始?菜单上删掉?我的文档?图标”项,在插入对话框的“设置”标签中键入“已投入使用”,然后单击“确认”,这样在“已经开始”菜单中“我的文档”图标将可以暗藏。
5、维护不好“任务栏”和“已经开始”菜单的设置倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改?任务栏和「开始」菜单?设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。
这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息就是某个设置严禁了这个操作方式。
二、隐藏或禁止控制面板项目这里写到的控制面板项目设置就是指布局控制面板程序的各项设置,主要用作暗藏或严禁控制面板项目。
在组策略左边窗口依次进行“用户布局”→“管理模板”→“控制面板”项,便可以看见“控制面板”节点下面的所有设置和子节点。
1.严禁出访“控制面板”如果您不希望其他用户访问计算机的“控制面板”,您只要运行组策略编辑器(gpedit.msc),在左侧窗格中逐极展开“?本地计算机?策略”→“用户配置”→“管理模板”→“控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可。
此项设置可以防止“控制面板”程序文件(control.exe)的启动。
其结果是,他人将无法启动“控制面板”(或运行任何“控制面板”项目)。
另外,这个设置将从“开始”菜单中删除“控制面板”。
同时这个设置还从windows资源管理器中删除“控制面板”文件夹。
3、暗藏或严禁“嵌入/删除程序”项展开“添加/删除程序”项:双击启用“删除?添加/删除程序?程序”设置项后,控制面板中的“添加/删除程序”项将被删除。
此外在“添加或删除程序”对话框中共有3个页面:“更改或删除程序”、“添加新程序”以及“添加/删除windows组件”;而当你进入“添加新程序”页面时,会发现有3个选项:“从cd-rom或软盘添加程序”、“从microsoft添加程序”以及“从网络中添加程序”,如果你想这些具体页面或选项隐藏,可直接在组策略“添加/删除程序”项中将相应隐藏功能启用。
3、隐藏或禁止“显示”项进行“表明”项,辨认出这一项和上时一项一样,可以暗藏“表明属性”对话框中的选项卡。
这里就不细讲了,例如双击启用“隐藏?桌面?选项卡”后,“显示窗口”中将不再出现“桌面”项。
此外,在这里用户还可启用“删除控制面板中的?显示?”,这样在控制面板中双击打开“显示”项时,就会弹出一个对话框提示你:系统管理员禁止使用“显示”控制面板。
4、其他自定义控制面板程序:“暗藏选定的控制面板程序”或“只表明选定的控制面板程序”,根据提示信息提示信息操作方式,暗藏或表明控制面板项目.依次进行“表明”→“桌面主题”项,双击投入使用“删掉主题选项”、“制止挑选窗口和按钮式样”、“严禁挑选字体大小”项后,可以制止他人修改主题、窗口和按钮式样、字体。
进行“打印机”项,双击投入使用“制止嵌入打印机”或“制止删掉打印机”可以避免别的用户嵌入或删掉打印机。
最后,轻易在“控制面板”一项下投入使用“严禁出访控制面板”,控制面板将无法启动。
三、系统项目设置这一项在“用户配置”→“管理模板”→“系统”中设置(图15)。
组策略中对系统的设置涉及到登录、电源管理、组策略、脚本等很多项目,下面把和我们联系密切的部分清扫出分类列举如下:1、登录时不显示欢迎屏幕界面windows2000和windowsxp系统登入时预设情况下都存有热烈欢迎屏幕,虽然可爱但也麻烦且缩短登入时间,通过组策略便可以将其除去。
双击投入使用“系统”节点下的“登入时不表明热烈欢迎屏幕”,则每次用户登入时热烈欢迎屏幕将暗藏。
2、停止使用注册表编辑器为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。
双击启用“系统”节点下的“阻止访问注册表编辑器”项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用(图16)。
另外,如果你的注册表编辑器被锁死,也可双击此设置,在弹出对话框的“设置”标签中点选“未被配置”项,这样你的注册表便解锁了。
如果要防止用户使用其他注册表编辑工具打开注册表,请双击启用“只运行许可的windows应用程序”。
3、关闭系统自动播放功能一旦你将光盘填入光驱中,windowsxp就可以已经开始加载光驱,并启动有关的应用程序。
这样虽然给我们的工作增添了便捷,在某些时候也增添了不少麻烦。
在“系统”节点下存有一项为“停用自动播放”设置项,双击其并在插入对话框的“设置”标签中键入“已投入使用”,在“停用自动播放”侧边中挑选“cd-rom启动器”或“所有驱动器”项即可。
注意:此设置不阻止自动播放音乐cd。
4、关闭windows自动更新每当用户相连接至internet,windowsxp就可以搜寻用户计算机上的需用更新,根据布局的具体情况,在浏览的组件准备好加装时或在浏览之前,给用户以提示信息。
如果你不讨厌比尔大哥这种自作主张的态度,可以通过组策略停用这一功能。
只须双击“系统”节点下的“windows自动更新”设置项,在弹出来的对话框中键入“已停止使用”并确认即可。
5、删掉任务管理器若windowsxp用户已取消“使用欢迎屏幕”项,若同时按下“ctrl+alt+del”键,便会弹出一个“windows安全”对话框,此对话框中有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务管理器”、“取消”6个功能按钮。
大家都知道这里的每个按钮对系统都起着关键的作用。
为了阻止别人操作,可通过组策略屏蔽这些按钮。
找到“系统”下的“ctrl+alt+del选项”,双击启用“删除任务管理器”、“删除?锁定计算机?”、“删除改变密码”、“删除注销”项便能屏蔽掉“wi ndows安全”对话框的“任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。
注意:“注销”、“关机”两个菜单项的屏蔽,在“用户配置”→“管理模板”→“任务栏和?开始?菜单”节点下。
四、暗藏或删掉windowsxp资源管理器中的项目一直以来,资源管理器就是windows系统中最重要的工具,如何高效、安全地管理资源也一直是电脑用户的不懈追求。
依次展开“用户配置”→“管理模板”→“windows组件”→“windows资源管理器”项,可以看见“windows资源管理器”节点下的所有设置。
下面就去看一看怎样通过组策略同时实现资源管理器个性化1、删掉“文件夹选项”“文件夹选项”是资源管理器中一个重要的菜单项,通过它可修改文件的查看方式,编辑文件类型的打开方式。
我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删除,你只须双击启用“从?工具?菜单删除?文件夹选项?菜单”便能完成这一设置。
2、隐藏“管理”菜单项在资源管理器中右键单击“我的电脑”发生的便捷菜单中存有一个“管理”菜单项,通过此菜单项,可以关上一个涵盖“事件查看器”、“本地用户和组与”、“设备管理器”、“磁盘管理”等众多工具的“计算机管理”窗口。
为了确保你的计算机免遭他人有意毁坏,可以通过双击投入使用“暗藏windows资源管理器上下文菜单上的?管理?项目”项去屏蔽此菜单项。