域环境使用组策略实现统一企业桌面

在域环境中，体现企业文化也好，让用户拥有一样的体验也罢，我们可以利用组策略为域中所有的用户配置一致的墙纸，具体步骤如下：一、创建共享文件夹1、创建共享文件夹并放置墙纸的副本，这将是墙纸文件到网络的分发点。

在我们的示例中，创建了一个名为WA L L P A P E R的共享文件夹2、右键单击WA L L P A P E R，然后点击“共享”，选择“攻击共享”3、选择“高级共享”4、勾选“共享此文件夹”，然后点击“权限”5、点击”添加“6、在”输入对象名称来选择“中输入do m a i n，然后点击“检查名称“7、选择”D o m a i n C o m p ut e r s”和“D o m a i n U s e r s”，然后点击“确定”8、点击“确定”9、点击“应用”，所有域用户和所有域计算机都被授予对此文件夹的读取权限二、创建组策略1、在域控制器上，在搜索栏中输入“组策略”打开组策略管理工具2、创建新的组策略3、输入新组策略的名称，在我们的示例中，新的G P O被命名为M Y-G P O4、在“组策略管理”屏幕上，展开名为“组策略对象”的文件夹。

右键单击新的组策略对象并选择“编辑”选项5、在组策略编辑器屏幕上，展开用户配置文件夹并找到以下项目“用户配置>首选项>Wi n d o w s设置>F i l e s“6、右键单击“文件”选项并创建一个新文件7、选择更新操作。

在源字段中，输入墙纸的网络路径。

在目标字段中，输入保存墙纸副本的本地路径。

在我们的示例中，G P O将创建墙纸文件的本地副本。

接下来，将G P O配置为自动启用图像文件的本地副本作为墙纸8、在组策略编辑器屏幕上，展开用户配置文件夹并找到以下项目U s e rC o nf i g ur a t i o n >P o l i c i e s>A dm i n i s t r a t i ve T e m pl a t e s>D e s k t o p>D e s k t o p，访问名为D e s k t o p的文件夹后点击”应用“，之后点击”确定“三、链接G P O1、在组策略管理屏幕上，你需要右键单击所需的组织单位，然后选择”链接现有G P O“2、在我们的示例中，我们将把名为M Y-G P O的组策略链接到域的根3、应用G P O后，你需要等待10或20分钟。

目录前言 (3)第一章：软件概述 (4)1、软件说明 (4)2、系统结构 (4)3、系统特点 (4)4、主要功能 (4)5、应用领域 (5)6、术语解释 (5)第二章：系统安装说明 (5)1、系统安装环境 (5)2、网络环境要求 (6)3、安装流程图 (6)第三章：服务器安装 (7)1、快速安装指南 (7)2、安装服务器操作系统 (7)3、ADS 服务端安装与配置 (7)4、ADS服务端启动 (10)第四章：镜像制作与镜像管理 (11)1、快速使用指南 (11)2、安装前的准备 (11)3、镜像制作 (11)3．1、客户端分区规划 (11)3．2、安装操作系统及软件 (11)3．3、安装 ADS 客户端 (11)4、镜像上传 (14)4．1、启动A DS 客户端登陆服务器 (14)4．2、上传系统盘镜像 (15)4．3、上传数据盘镜像 (16)5、多系统镜像制作与上传 (18)第五章：磁盘管理 (19)1、快速使用指南 (19)2、创建磁盘 (19)3、创建操作系统及数据盘 (20)4、多操作系统创建 (22)5、磁盘属性设置『重点』 (23)6、多个磁盘的创建 (25)第七章：分组管理 (26)1、快速使用指 (26)2、创建分组 (27)3、组策略配置说明 (27)3．1、基本设置 (28)3．2、执行软件预注册 (28)3．3、高级设置 (28)3．4、部署方式 (28)4、多个组的创建与配置 (29)5、添加占位机 (30)第七章：智能部署 (31)1、快速使用指南 (31)2、客户端准备 (31)4、部署策略执行 (32)5、客户端执行情况 (34)6、增量部署 (36)7、多任务部署 (37)第八章：系统修改及自动维护 (37)1、快速使用指南 (37)2、镜像修改 (37)3、增量上传 (39)4、客户端自动更新 (41)5、删除镜像 (42)6、镜像重命名 (42)第九章：操作系统管理 (43)1、设置操作系统属性 (43)2、快照管理 (43)3、创建分区 (44)4、设置分区属性 (44)5、复制分区到镜像 (44)6、删除分区 (44)第十章操作系统复制 (44)第十一章：日常管理和维护 (47)1、添加操作系统 (47)2、删除操作系统 (48)3、保护还原方式修改 (49)4、引导选单策略 (49)5、USB 及串并口等设置 (50)6、添加分组 (51)7、删除分组 (52)8、远程终端系统修复 (52)9、导入、导出组内终端信息 (53)10、组内终端管理及终端管理 (53)11、远程停止部署服务 (54)12、强制执行垃圾回收 (55)13、重建数据库索引 (55)14、服务器运行参数设置 (56)第十二章：软件升级 (57)1、服务器端升级 (57)2、客户端升级 (57)前言感谢您在众多管理系统中，选择使用集智（ADS）桌面云管理系统。

域用户常用组策略设置组策略是指在Windows操作系统中，通过集中管理策略和设置来控制域用户和计算机的行为。

以下是一些常用的组策略设置，适用于Windows Server上的域环境。

1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。

可以设置密码的最短长度、密码的复杂性要求，如必须包含大写字母、小写字母、数字和特殊字符等。

还可以设置密码的最长有效期和密码历史记录的保留个数，以防止用户频繁更改密码。

2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。

该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。

可以设置失败尝试次数和锁定时间。

3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。

例如，可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。

可以根据组织的需求进行灵活的设置，以满足不同用户角色和职责的需要。

4.审计策略审计策略用于记录用户和计算机的操作日志。

可以设置哪些操作需要被审计，如登录、文件访问、对象的创建和删除等。

审计策略可以帮助管理员跟踪和分析系统的安全事件，及时发现和应对潜在的安全威胁。

5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。

可以通过组策略将软件程序推送到目标计算机上，或者限制一些用户或计算机无法安装特定的软件。

这样可以确保组织中的计算机都拥有统一的软件环境，便于管理和维护。

6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。

可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。

还可以限制用户是否可以访问控制面板、开始菜单等系统设置。

这样可以加强计算机的安全性，并减少用户误操作或恶意行为造成的影响。

7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。

可以设置浏览器的安全级别、对特定网站启用或禁用特定功能，如ActiveX控件、Java脚本等。

企业中如何实现域环境下组策略管理优化计算机随着信息技术的广泛应用，计算机应用在煤矿中得到了快速发展，而企业中服务器、个人PC电脑、笔记本电脑的管理和维护难度越来越大，在大规模的网络、个人用户薄弱的安全意识、软件部署、软件管理的难度和复杂的系统设置等种种问题面前，研究和部署域环境中的组策略具有十分重要的现实意义。

所谓组策略，就是基于组的策略。

它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。

譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。

我们可以抛砖引玉，通过利用管理模板策略，来实现如下一些典型配置。

一、限制用户只可以运行指定的程序在煤矿企业网络管理中，很大一部分工作就是员工网络行为的管理。

在没有有效管理手段之前，往往会有部分员工在上班期间利用网络工具(如QQ)进行聊天、打游戏、浏览不良网页等等。

这样不仅造成资源的浪费，而且极其容易感染病毒，网络攻击等严重后果，这就使得我们网络管理员不得不不定期的去各个办公室进行电脑维护。

针对此现象，我们利用微软的组策略功能来规范管理员工网络行为。

即可以指定某台计算机只能够运行哪些程序。

如我们就可以利用这个功能，指定公司电脑只能够运行OFFCIE、邮件客户端、金山词霸以及其他的一些必要的应用程序。

而把QQ、游戏等软件排除在外，员工就无法在客户端运行这些程序。

从权限上排除这些软件，我们网络管理员就可以实现事先控制。

如我们在活动目录用户与计算机内，依次打开用户配置、管理模板、系统，找到“只运行许可的应用程序”选项，然后，在程序列表中，输入我们允许其运行的程序文件名称。

或者通过软件限制策略功能来实现，它是Microsoft Windows XP和Microsoft Windows Server 2003中的一项新功能，提供了一套策略驱动机制，用于指定允许执行哪些程序以及不允许执行哪些程序，帮助组织免遭恶意代码的攻击。

如何实现AD组策略实现统一桌面和屏保使用 AD 组策略实现统一桌面组策略实现统一桌面和屏保和屏保在企业中为了实现企业形象的统一性, 会要求在企业所有计算机上实现标准的桌面化配置环境。

那么要怎么实现呢?桌面部署桌面部署如下如下如下::1、在域控上建立存放背景图片的文件夹,将其设置为共享文件夹如:share;2、在开始—运行中 gpedit.msc 命令进入组策略编辑器,将“用户配置用户配置用户配置------管理模板管理模板管理模板------桌面桌面 ----Active DesktopActive DesktopActive Desktop” ” 中的“ “ 启用 Active Desktop Active Desktop 选项选项选项” ” 设置为已启用;3、并双击“用户配置用户配置用户配置------管理模板管理模板管理模板------桌面桌面桌面------Active DesktopActive DesktopActive Desktop” ” 中的 Active Active Desktop Desktop Desktop 墙纸墙纸墙纸选项,将其设置为已启用。

4、在墙纸名称路径框中输入存放桌面背景文件的完整路径。

如:\\\server server\\share share\\文件名文件名。

在墙纸样式中任意选择一项,按确定;屏保部署屏保部署过程过程过程::在开始—运行中 gpedit.msc 命令进入组策略编辑器,展开“ “ 用户配置用户配置” ” ---->>“ 管理模板” ---->>“ 控制面板控制面板” ” ---->>“ 显示显示” ”,在右边面板上双击以下策略项并进行设置:a. a. 将将“ 屏幕保护屏幕保护程序程序程序” ” 以及以及“ 可执行屏幕保护可执行屏幕保护程序的名称程序的名称程序的名称” ” 设置为设置为“ 已启用启用” ”b. 在“ 可执行屏幕保护程序的名称” 属性中设置路径为 \\DC服务器名称或者 IP\netlogon\test.scr如 :\\192.168.150.254192.168.150.254\\netlogonnetlogon\\test.scr5、在开始在开始------运行中输入运行中输入 Gpupdate Gpupdate /force /force命令命令, , 刷新组策略刷新组策略。

在一些大型公司企业中，IT管理员为了统一管理公司内的办公电脑，再根据网络安全相关制度要求，防止个人资料泄密等原因，会通过AD域组策略设置屏幕保护时间。

，在唤醒电脑时，需要输入登陆用户密码。

1、点击服务器任务栏左下角的开始，再点击管理工具
2、组策略管理­­右击default domain policy策略（或者新建GPO），在选择编辑
3、选择用户配置­­策略­­管理模板­­控制面板­­个性化
4、开启启用屏幕保护程序
5、启用带密码的屏幕保护程序
码才可以解锁。

7、开启强制使用特定的屏幕保护程序
说明：
1、屏幕保护程序，可以到网站上自行下载喜欢的样式
2、屏幕保护程序在本地存放路径为C:\Windows\System32
新一下组策略
否正确。

域组策略应用详解域组策略是一种Windows Active Directory环境中的管理工具，它允许管理员集中管理多台计算机的安全策略和配置。

通过域组策略，管理员可以实现对域内计算机的用户账户、密码策略、软件安装、网络连接和访问控制等进行统一的管理与控制。

以下是对域组策略的详细解析。

1.域组策略的作用与优势域组策略的主要作用是提供一种集中管理和控制计算机的方式，帮助企业或组织实施统一的安全策略，并降低管理成本。

以下是域组策略的一些优势：-统一管理：通过域组策略，管理员可以在整个域内管理和控制所有计算机的安全策略和配置，无需分别配置每台计算机，简化了管理流程。

-集中控制：域组策略可以集中控制所有计算机的用户账户、密码策略、软件安装、网络连接和访问控制等，确保整个域内的计算机都遵循相同的安全标准。

-统一更新：通过域组策略，管理员可以轻松地对所有计算机进行安全策略的更新和修改，确保所有计算机都能及时获得最新的安全补丁和配置。

2.域组策略的组件域组策略由以下几个重要的组件组成：-组策略对象（GPO）：是域组策略的核心组件，它包含了一组安全策略和配置项，可以应用给特定的域、组或用户。

-组策略文件夹：存储域内所有组策略对象的文件夹，通常存放在域控制器的系统目录下。

-组策略客户端扩展（CSE）：是一种在计算机或用户执行组策略时生效的软件组件，用于解析和处理组策略配置。

3.域组策略的配置和应用域组策略的配置和应用主要包括以下几个步骤：-将组策略对象应用到域、组或用户：通过将组策略对象链接到特定的域、组或用户上，使其生效。

可以通过域控制器上的“组策略管理”工具来实现。

- 强制更新和刷新组策略：可以使用“gpupdate”命令来强制计算机或用户立即更新和刷新组策略，或等待策略刷新的策略设置。

-监测和审核组策略的应用：可以通过策略审计和事件日志来监测和审核组策略的应用情况，以及统计计算机和用户的符合策略的状态。

4.域组策略的常见应用场景域组策略在企业或组织中有多种应用场景，以下是其中一些常见的应用场景：-账户和密码策略：通过域组策略，管理员可以设置和控制用户账户的安全策略和密码策略，例如密码复杂性要求、账户锁定策略等。

如何利用组策略统一配置用户桌面
1，打开AD界面：
2，右击苏州龙杰-属性-组策略-打开：
3，点击---组策略对像，右击组策略对象—新建—输入自定义名称-完成：
4，照到你新建好的组策略右击—编辑（跳出如下画面）：
5，点击用户配置—管理模版—桌面—Active Desktop
（路径可以设置，但必须是网络共享的路径），点击确定。

7，在右边找到启动Active Desktop,双击打开，选择已启用，点击确定。

GPO，找到你刚才建好的组策略对象，点击确定。

：
9，右击你建好的组策略对象,将强制勾选上：
10，点击开始-运行-输入gpupdate /force，选择N（如果选择Y，大家都会注销。

）
10，在本机电脑点击-开始-运行-输入gpupdate /force 选择Y注销电脑重新登录即可。

使用组策略实现统一企业形象开头我想引入一个缩写CIS，那么什么是CIS呢？CIS是现代组织形象整体策划和实施系统的简称。

其英文全称是Corporation Identity System。

中文译为“企业识别系统”。

CIS理论主张将企业理念，企业文化，企业行为及企业视觉标志通过统一设计加以整合，强化其传播效果，使组织迅速提升自己的知名度，美誉度和公众的认可度。

当然这里要想统一企业形象，内容是包括了很多方面，IT部门下管理的计算机自然也是其中之一。

我们在下面就例举一些IT部门如何做到企业形象的统一。

一、统一企业桌面因为公司内很多员工总是总是把工作用的计算机的桌面背景改成一些个性很强的一些图片，从公司的某一个角度看过去，每个显示器所显示的桌面都是不一样。

这样公司管理层对此总是不满意，那么就衍生了需要我们IT人员去强制把每一个员工的桌面背景统一起来，让来访的客户或者企业参观者看起来企业管理非常有序，企业形象非常强。

下面我来介绍如何统一企业桌面，自然我们的环境也必须是要有域环境才能实现统一。

第一步：我们在域控制器D盘下建一个共享文件夹share，用于存放我们准备统一的桌面背景图片Desktop.jpg，E:\share\Desktop.jpg。

注：当然我在这里建议大家共享文件夹要放在非系统磁盘上，还有一点非常重要的就是，很多朋友在从前到后都是按照我这样的方法创建好策略就是因为文件夹共享权限设置不当，导致客户端无权读取、复制该图片，桌面背景策略是应用了就是桌面背景图片没有更改，唯一遗漏掉的就是这个共享文件夹的权限一定要设置好，我一般设置为Domain User。

第二步：在域控制器上点击开始→管理工具→组策略管理，打开组策略管理控制台。

（注：这里我是安装了组策略管理工具GPMC）第三步：打开组策略管理，右键点击域→点击“创建并链接（GPO）”→输入组策略名称“统一桌面”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

我们先了解下组策略知识：1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上生效。

计算机启动的时候应用，在出现登录界面前。

2 用户配置：针对用户的配置，只在所有用户帐户上生效。

用户登录后应用。

2、根据应用范围将组策略分为三类：1 域的组策略：设置对于整个域都生效。

在“AD用户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU生效。

在“AD用户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点生效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD用户和计算机”中才能进入。

3、组策略的执行顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉用户配置4、组策略的冲突：1 在不同组策略中的同一项目的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。

再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。

2 冲突的结果：后执行的是结果。

5、组策略中的设置内容：1 软件安装：自动安装应用软件。

计算机配置和用户配置下都有。

准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。

将软件的源安装文件放到一个共享文件夹中。

（网络路径）A、已发行：由用户决定是否安装。

如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，自动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。

公司域控方案引言在现代企业中，域控制器（Domain Controller）是一种关键的网络设备，用于管理和控制整个公司网络的用户账户、安全策略以及权限控制等。

公司域控方案的设计和实施决定了企业网络的安全性、稳定性和管理效率。

本文将介绍一种可行的公司域控方案，旨在帮助企业高效地管理和维护网络环境。

1. 方案概述本方案基于Windows Server操作系统和Active Directory（AD）服务，通过架设域控制器来实现统一管理网络中的用户、计算机和其他资源。

具体方案如下：•使用一台或多台Windows Server作为域控制器，在公司内部搭建域环境；•部署Active Directory服务，建立域，并配置相应的组织单元（OU）；•将公司员工账户加入域，并设置相应的访问权限；•将公司计算机加入域，并通过组策略进行统一管理；•设置密码策略、访问控制策略等，加强网络安全性；•定期进行域控制器备份，以确保数据的安全性和可恢复性。

2. 环境准备在部署公司域控方案之前，需要进行一些环境准备工作，如下：2.1 硬件要求•至少一台运行Windows Server操作系统的服务器，具备足够的计算能力和存储容量；•网络交换机和网络设备，确保网络通畅和稳定。

2.2 软件要求•Windows Server操作系统的安装介质，并确保其合法授权；•Active Directory服务的安装程序，可从Windows Server操作系统中安装。

2.3 域名选择选择合适的域名对于公司域控方案的实施至关重要。

建议选择与公司名称或主要业务相关的域名，以增加易记性和专业性。

3. 建立域环境以下是建立域环境的步骤：3.1 安装Windows Server操作系统在服务器上安装Windows Server操作系统，确保操作系统版本与实际需求相匹配。

3.2 部署Active Directory服务•打开服务器管理器，选择。

使用组策略可能用公司员工的电脑统一设置，即在域环境中使用，如IE首页，用户密码位数等。

1. 本地计算机策略和本地安全策略如没有加主到域中那它只有本地计算机策略，可以用控制台来打开看（运行MMC），添加一个管理单元（文件—添加或删除管理单元—组策略—本地计算机策略），它包括了计算机的配置，还有用户的配置，二方面的。

在控制面板里的管理工具也有个“本地安全策略”，这个其实是本地计算机策略中的一部分，即是计算机的配置中的“安全设置”里的一部分。

2.默认域策略域策略会应用到整个域，在域控制器上，所以要到域控制器上打开：管理工具—组策略管理，打开如下图，可以看到在“组策略对象”里默认有策略，3.组织单元的策略，如要对某组织单元加策略：如要对某个部分做策略，只要右击其组名选“在这个域中创建GPO并在此外链接”现在有“组织单元上的策略”，“本地策略”，“默认或创建的域控制器策略”三种啦，那哪一种起作用呢，如下图：那谁的权限最高的？如下图：所以组策略规划：实例：如财务部门的人都具有某策略：打开：管理工具—组策略管理，打开如下图，可以看到在“组策略对象”里默认有策略，右击财务部新建选“在这个域中创建GPO并在此外链接”—取名---按向导操作，建好后再编辑，里面有好多，掌握常用的就可，可以进行配置。

如要求用户的IE主页为统一，如下图找到这项“internet explorer维护”---URL项---右边的“重要URL”—在里面填你要设统一的网址。

验证：再用域用户用财务部的用户进入验证。

最好先刷新一下组策略，用gpupdate命令，这命令的用法如下图，我们这里用这参数来刷新：gpupdate /? 可查看参数，这里用gpupdate /target: user。

使用组策略管理域用户组策略管理域用户是一种集中管理域内用户的方式，通过组策略可以为用户设定一系列的管理规则和权限，以实现对用户的统一管理。

组策略是Windows操作系统提供的一种重要的管理员工具，可以通过它实现对域内用户的权限控制、安全策略、桌面环境以及部署应用等管理操作。

本文将详细介绍如何使用组策略管理域用户。

组策略的核心概念是“组策略对象（GPO）”。

GPO是一组策略设置的集合，可以设置用户配置和计算机配置两部分。

用户配置适用于用户登录到域时，计算机配置适用于计算机启动时。

创建GPO后，可以将其链接到域、OU或站点，并通过权限和过滤设置来控制策略的应用范围。

接下来，我们将详细介绍如何使用组策略管理域用户的权限控制、安全策略、桌面环境和应用部署等方面。

此外，组策略还可以用于管理用户的桌面环境。

在GPO中，可以设置用户的桌面壁纸、屏幕保护程序、桌面图标等。

此外，还可以设置用户的开始菜单、任务栏等。

最后，组策略还可以用于应用部署。

在GPO中，可以设置应用程序的安装和卸载规则，以实现对用户的应用程序管理。

例如，可以通过GPO将一些应用程序自动安装在用户的计算机上，并实现对应用程序的自动升级和卸载。

在使用组策略管理域用户时，还需要注意以下几点。

首先，要合理规划和设计组策略，以满足实际需求。

例如，可以根据不同用户群体的需求，创建不同的GPO，并将其链接到不同的OU或站点。

其次，要及时更新和维护组策略，以保证其有效性和安全性。

例如，要根据实际情况定期检查和更新密码策略、安全策略等。

最后，要合理设置组策略的应用范围和权限，以保护域内用户的安全和隐私。

总之，组策略是一种重要的管理员工具，可以通过它实现对域用户的统一管理。

通过组策略，可以进行权限控制、安全策略、桌面环境和应用部署等管理操作。

在使用组策略管理域用户时，需要合理规划、及时更新和维护，并合理设置其应用范围和权限。

希望本文对您理解和使用组策略管理域用户有所帮助。

I.T.Operations (CITIC-Prudential Life Insurance Limited)信诚人寿保险有限公司域组策略配置规则1.屏幕保护程序。

规则：采用登录屏幕保护程序，使用密码，等待时间为15分钟。

设置：A.开始——程序——管理工具——Active Directory用户和计算机B.右击ZXBC.BJ——属性——组策略——编辑I.T.Operations (CITIC-Prudential Life Insurance Limited)C.用户配置——控制面板——显示，修改可执行的屏幕保护程序的名称（启用），密码保护屏幕I.T.Operations (CITIC-Prudential Life Insurance Limited)保护程序（启用），屏幕保护程序超时（设900秒，启用）。

2.桌面墙纸。

规则：采用公司统一的墙纸（有信诚标志的墙纸）。

设置：A. 在服务器上建立一个LOGON的文件夹，把公司统一的墙纸摆进去，everyone只有读的权限。

B. 设置：A.开始——程序——管理工具——Active Directory用户和计算机——右击ZXBC.BJ——属性——组策略——编辑。

(可以参照以上屏幕保护程序的图)。

C. 用户配置——桌面——活动桌面——启用活动桌面（启用），活动桌面墙纸（启用），禁用所有项目（启用）。

I.T.Operations (CITIC-Prudential Life Insurance Limited)3．帐户策略的设置。

规则：密码最短6个字符，密码每45日更改一次，密码的更改保留前6次的记忆。

帐户三次无效的登录，锁定帐户；帐户锁定时间60分钟，复位帐户锁定时间30分钟。

设置：A.开始——程序——管理工具——Active Directory用户和计算机——右击ZXBC.BJ——属性——组策略——编辑。

B．计算机配置----Windows设置----帐户策略----密码策略及帐户锁定策略。

Citrix域用户使用组策略加入到虚拟桌面本地管理员
1.打开组策略
2.选中需要做策略的OU，这里使用test。

在右方空白处新建一个策略。

3.编辑新建的组策略test policy
4.依次选择如下选项，用户配置—性能---控制面板设置---本地用户和组，
5.在本地用户和组右侧空白处新建组，因为是更新组成员，所以选择update。

操作中的“更新”代表更新域客户端Administrators组中的成员，而不是新建组；
“添加当前用户”表示添加登录时的域帐号到客户端系统的本地Administrators组，只要域帐号一登录，就把它加入本地管理员组，也可以同时选中右边的“删除所有成员用户”或者是删除所有成员组，意思是将当前登录的用户加入到本地管理员组的时候，删除其他成员用户或者是组，以起到动态加入管理员组的效果，也就是始终保持最近登录的用户是在管理员组中，其他用户删除，但是需要注意。

在此我们不选择，先看一下效果。

6.配置完成后，重启虚拟桌面。

重启完成后，会在虚拟桌面本地管理员组中看到相应账户，
配置完成。

说明：此场景只适合于Win7及以后的操作系统，像XP/2003等需要安装插件，以使用“首选项”功能生效，下载地址：cc731892(WS.10).aspx
估计大家是用不到了，毕竟都已经是两个退役的产品了。

另外一点，就是如果是希望将某个组都加入到本地管理员组，则建议使用计算机配置下的“本地用户和组”功能。

统一Windows桌面配置提高企业工作效率-电脑资料在日常工作中，企业用户可能希望自己使用企业内部任何一台电脑，都能够有自己所熟悉的工作环境，。

也就是说，因为工作需要(如因为开会需要动用会议室的临时电脑)，企业员工使用不同的电脑登录时，在员工面前呈现的就是用户自己的桌面、共享文件夹等员工自己的工作环境。

换句话说，员工利用不同的电脑，只要员工的用户名相同，则其就应该采用同一个配置文件。

要实现这个目的并不是天方夜谭。

Windows操作系统提供了一种叫做“漫游用户配置”文件的策略，来实现这个目的。

一、三个配置文件的差异分析。

在微软的操作系统中，其默认提供了三种配置文件，分别为本地用户配置文件、漫游用户配置文件、强制用户配置文件等等。

这三个配置文件各有各的用途。

作为微软的系统工程师，要了解这三个配置文件的特点以及差异，然后根据企业的实际需求选择合适的配置文件。

当用户第一次登录到操组系统的时候，系统便会为用自动创建一个“本地用户配置文件”。

也就说，操作系统会把用户桌面、网络文件夹等配置保存在本地用户配置文件中，以供下次登录的时候使用。

不过本地用户配置文件它是随着计算机不同而不同的，换一句话说，每个用户在不同的计算机内(即使用户名相同)各有其不同的本地用户配置文件。

故这个配置文件不能够满足上面的需求。

强制用户配置文件是系统管理员预先配置好的，用户登录后对用户生效的配置文件。

当员工登录后虽然可以根据需要调整桌面设置，但是当用户注销时，这些改变并不会保存到强制用户配置文件内。

也就是说，使用强制用户配置文件后，员工每次登录操作系统时都是使用固定不变的桌面设置，其后续做的调整都会丢失。

为此这个配置文件也不能够满足上述的需求。

如果系统管理员希望域用户无论到域内的任何一台计算机上登录时，系统所采用的都是这个用户自己的工作环境，既能够使用相同的配置文件以便拥有相同的桌面设置时，就需要采用存储在服务器上的漫游用户配置文件。