(2)组策略的配置及使用

gpedit.msc（组策略）gpedit.msc(组策略):使⽤系统管理员的帐号登陆进⼊系统，打开“开始”-“运⾏”，在运⾏输⼊框中输⼊“gpedit.msc”，进⼊“组策略”.说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应⽤软件配置的数据库，随着Windows功能的越来越丰富，注册表⾥的配置项⽬也越来越多。

很多配置都是可以⾃定义设置的，但这些配置发布在注册表的各个⾓落，如果是⼿⼯配置，可想是多么困难和烦杂。

⽽组策略则将系统重要的配置功能汇集成各种配置模块，供管理⼈员直接使⽤，从⽽达到⽅便管理计算机的⽬的。

简单点说，组策略就是修改注册表中的配置。

当然，组策略使⽤⾃⼰更完善的管理组织⽅法，可以对各种对象中的设置进⾏管理和配置，远⽐⼿⼯修改注册表⽅便、灵活，功能也更加强⼤。

各功能现如⼀介绍:计算机配置-windows设置-安全设置中包括“帐户策略”和“本地策略”两个⽅⾯，⽽其中的“帐户策略”⼜包括：密码策略、帐户锁定策略和Kerberos策略三个⽅⾯；另外的“本地策略”也包括：审核策略、⽤户权限分配和安全选项三部分。

下⾯分别予以介绍。

⼀、密码策略的设置 ⼀、密码策略的设置 密码策略作⽤于域帐户或本地帐户，其中就包含以下⼏个⽅⾯： 强制密码历史 密码最长使⽤期限 密码最短使⽤期限 密码长度最⼩值 密码必须符合复杂性要求 ⽤可还原的加密来存储密码 以上各项的配置⽅法均需根据当前⽤户帐户类型来选择。

默认情况下，成员计算机的配置与其域控制器的配置相同。

下⾯分别根据⼏种不同⽤户类型介绍相应的密码策略配置⽅法。

1. 对于本地计算机 对于本地计算机的⽤户帐户，其密码策略设置是在“本地安全设置”管理⼯个中进⾏的。

下⾯是具体的配置⽅法。

第1步，执⾏〖开始〗→〖管理⼯具〗→〖本地安全策略〗菜单操作，打开如图所⽰的“本地安全设置”界⾯。

对于本地计算机中⽤户“帐户和本地策略”都查在此管理⼯具中进⾏配置的。

AD域组策略规划和部署指南AD域（Active Directory）是一种用于管理网络资源的服务。

组策略是AD域中的一项功能，在整个域范围内为用户和计算机提供统一的安全设置和管理。

本文将提供AD域组策略规划和部署的指南，帮助管理员更好地使用此功能。

一、规划阶段1.定义需求：首先，确定组策略的主要需求和目标。

这可能包括安全性、访问控制、软件分发、用户配置等方面。

2.识别和分类对象：将AD域中的用户和计算机分组，并为每个组定义不同的策略需求。

例如，可以将用户分为管理人员、技术人员和普通员工等组别。

3.制定策略范围：确定需要部署组策略的范围。

可以选择在整个域中实施策略，也可以仅在特定的组织单位或者OU（组织单元）中实施。

二、设计策略1.定义基本策略：根据需求和目标，制定基本策略模板。

这些策略包括密码策略、帐户锁定策略、用户权限策略等。

2.定义高级策略：根据不同的组别和对象，制定更详细的策略，以满足各组的需求。

例如，可以为管理人员组设计更严格的安全设置，为技术人员组配置特定的软件等。

3.组织单位结构设计：根据分组需求，设计合适的OU结构。

这将有助于更好地管理和应用组策略，使其更符合组织的层次结构和需求。

三、实施策略1.创建组策略：在AD域中，使用组策略对象来创建和管理策略。

可以通过右键单击"组策略对象"，然后选择"新建策略"来创建新的策略。

2.配置策略设置：打开组策略对象后，可以根据需求和目标，通过对不同设置进行配置来实施策略。

这些设置包括安全设置、软件安装、脚本执行、桌面设置等。

3.应用策略：设置好策略后，在AD域中的对象将自动接收到策略，并按照设置进行操作。

可以通过强制组策略更新、重启计算机等方式来确保策略被应用。

四、测试和审计1.测试策略：在实施策略后，进行测试以确保它们按预期工作。

可以选择一些测试用户和计算机，观察他们是否符合策略要求。

2.审计策略：定期审计和评估组策略的效果和安全性。

组策略与安全设置系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。

组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。

因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。

计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。

可以通过以下两个方法来设置组策略。

●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。

●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。

计算机配置实例演示当我们要将Windows Server2012 计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时，系统都不会再询问了。

注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。

用户配置实例演示以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。

也就是经过以下设置后，浏览器内的安全和连接标签消失了。

用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

组策略以及来宾用户权限的设置我都是用组策略来实现这个目的的具体用法如下（简单的）Windows 2000/XP/2003 组策略控制台如果是Windows 2000/XP/2003 系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc 并确定，即可运行程序。

使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：1）打开Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC 并回车，运行控制台程序）。

2）在“文件”菜单上，单击“添加/删除管理单元”。

3）在“独立”选项卡上，单击“添加”。

4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

6）单击“完成”，单击“关闭”，然后单击“确定”。

组策略管理单元即打开要编辑的组策略对象。

对于不包含域的计算机系统来说，在上面第5 步的界面中，只有“计算机”标签，而没有其他标签项目。

通过上面的方法，我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。

在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003 组策略管理控制台同样也有三种状态，只不过名字变了。

它们分别是：已启用、未配置、已禁用。

四、“桌面”设置Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。

下面就让我们来看看几个实用的配置实例：位置：“组策略控制台→用户配置→管理模板→桌面”1．隐藏桌面的系统图标（Windows 2000/XP/2003）虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。

组策略允许小部件设置方法组策略允许小部件设置方法介绍在Windows操作系统中，组策略是一种非常有用的工具，它能够帮助管理员对计算机上的各种设置进行集中管理和控制。

允许小部件设置是其中的一种功能，可以通过组策略来配置和管理桌面上的小部件。

本文将详细说明各种方法，以便资深的创作者能够灵活应用并充分发挥组策略的功能，帮助管理员更好地管理和定制桌面上的小部件。

方法一：使用组策略编辑器1.打开组策略编辑器：点击Windows键 + R，输入“”并按Enter键。

2.在组策略编辑器中，依次展开“用户配置” > “管理模板” >“桌面”。

3.找到“禁用全部桌面小工具”选项，双击打开编辑窗口。

4.在编辑窗口中选择“已禁用”选项，并点击“确定”按钮保存设置。

方法二：使用注册表编辑器注：使用注册表编辑器之前，请务必备份注册表以防意外情况发生。

1.打开注册表编辑器：点击Windows键 + R，输入“regedit”并按Enter键。

2.在注册表编辑器中，依次展开以下路径：HKEY_CURRENT_USER。

3.如果“Widgets”路径不存在，可以右键点击“Policies”文件夹，选择“新建” > “键值”，并将其命名为“Widgets”。

4.右键点击“Widgets”文件夹，选择“新建” > “DWORD (32位)值”，并将其命名为“DisableWidgets”。

5.双击“DisableWidgets”项，将数值数据设置为“1”以禁用全部桌面小部件。

方法三：使用命令提示符或PowerShell1.打开命令提示符或PowerShell：点击Windows键 + R，输入“cmd”或“PowerShell”并按Enter键。

2.输入以下命令并按Enter键：reg add "HKCU\Software\Microsoft\Windows\CurrentVer sion\Policies\Widgets" /v DisableWidgets /t REG_DWORD /d 1 /f方法四：使用组策略批处理脚本1.创建一个新的文本文件，并将以下内容复制到文件中：REG ADD HKCU\Software\Microsoft\Windows\CurrentVers ion\Policies\Widgets /v DisableWidgets /t REG_DWORD /d 1 /f2.将文件保存为“disable_”（注意文件扩展名为.bat）。

组策略（gpedit.msc）完全使用手册组策略（gpedit.msc）完全使用手册组策略（gpedit.msc）完全使用手册对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。

其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。

一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

2.组策略的版本对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows2000/XP/2003操作系统中。

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。

当用户登录时，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然，Windows2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。

使用组策略配置域中任务计划组策略（Group Policy）是Windows域中一种集中管理计算机和用户配置的技术。

通过使用组策略，管理员可以轻松地配置和部署计算机和用户的设置，以便满足组织的安全性、合规性和操作需求。

其中一种常见的使用组策略的场景是配置任务计划。

在本文中，将介绍如何使用组策略配置域中的任务计划。

如果要配置计算机级别的任务计划，可以展开"计算机配置"，然后选择"Windows 设置" -> "安全设置" -> "任务计划程序"。

在右侧的窗格中，可以看到数个可配置的选项。

要创建一个新的任务计划，可以使用右侧窗格中"任务计划程序库"的选项。

右键单击"任务计划程序库"，选择"新建任务计划"。

在弹出的对话框中，指定新任务计划的名称和描述。

然后点击"下一步"。

在下一步中，可以选择计划任务执行的触发器。

可以根据需要选择不同的触发器类型，例如在每天指定时间执行、在登录时启动或在特定事件发生时执行。

选择合适的触发器后，点击"下一步"。

在下一步中，可以指定要执行的操作。

可以选择运行程序、脚本或发送电子邮件等操作。

根据不同操作的需求，选择合适的选项，并配置相关的参数。

完成后，点击"下一步"。

在下一步中，可以选择任务计划的安全选项。

这些选项包括指定运行任务的账户、配置运行任务时的权限以及是否将任务计划设置为隐藏。

根据组织的需求进行相应的配置，并点击"下一步"。

在最后一步中，可以对任务计划进行最后的概述和配置检查。

确认任务计划的设置无误后，点击"完成"。

现在已经创建了一个新的任务计划。

要配置任务计划的其他设置，可以在任务计划程序库中选择相应的任务计划，然后右键单击并选择"属性"。

一、gpedit.msc是什么？gpedit.msc是Windows操作系统中的一个重要工具，它是组策略编辑器的命令行缩写形式。

组策略编辑器是Windows操作系统中的一个重要管理工具，可以帮助用户管理本地计算机和组织的计算机配置。

通过组策略编辑器，用户可以修改注册表、配置安全选项、设置软件安装、配置用户环境等，是管理Windows系统的重要工具之一。

二、gpedit.msc的作用gpedit.msc是管理本地计算机和组织中计算机配置的重要工具，它的作用包括但不限于以下几个方面：1. 管理注册表组策略编辑器可以帮助用户管理Windows操作系统中的注册表，通过修改组策略可以对注册表的访问权限、键值等进行配置，从而实现对系统的管理。

2. 配置安全选项用户可以通过组策略编辑器对系统的安全选项进行配置，包括密码策略、账户锁定策略、安全审核策略等，从而保障系统的安全性。

3. 设置软件安装通过组策略编辑器，用户可以限制或允许特定软件的安装，从而控制系统中的软件应用。

4. 配置用户环境组策略编辑器还可以帮助用户配置用户的工作环境，包括桌面设置、启动菜单设置、控制面板设置等，从而对用户的工作环境进行管理。

5. 部署网络通过组策略编辑器，用户可以配置网络设置，包括网络驱动器映射、网络打印机设置、安全设置等，从而管理系统中的网络资源。

三、使用gpedit.msc的方法要使用gpedit.msc，首先需要确认你的计算机上是否安装了组策略编辑器，具体可以通过以下步骤进行确认：1. 在Windows系统中，点击“开始”按钮，选择“运行”。

2. 在运行对话框中输入“gpedit.msc”，并点击“确定”按钮。

3. 如果系统中安装了组策略编辑器，那么将会打开一个新的窗口，显示组策略编辑器的界面。

如果系统中没有安装组策略编辑器，则会提示相关信息。

如果系统中没有安装组策略编辑器，可以通过以下步骤安装组策略编辑器：1. 在Windows系统中，点击“开始”按钮，选择“控制面板”。

组策略以及来宾用户权限的设置组策略以及来宾用户权限的设置组策略以及来宾用户权限的设置我都是用组策略来实现这个目的的具体用法如下（简单的）Windows 2000/XP/2003 组策略控制台如果是Windows 2000/XP/2003 系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc 并确定，即可运行程序。

使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：1）打开Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC并回车，运行控制台程序）。

2）在“文件”菜单上，单击“添加/删除管理单元”。

3）在“独立”选项卡上，单击“添加”。

4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

6）单击“完成”，单击“关闭”，然后单击“确定”。

组策略管理单元即打开要编辑的组策略对象。

对于不包含域的计算机系统来说，在上面第5 步的界面中，只有“计算机”标签，而没有其他标签项目。

通过上面的方法，我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。

在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003 组策略管理控制台同样也有三种状态，只不过名字变了。

它们分别是：已启用、未配置、已禁用。

四、“桌面”设置Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。

下面就让我们来看看几个实用的配置实例：位置：“组策略控制台→用户配置→管理模板→桌面”1．隐藏桌面的系统图标（Windows2000/XP/2003）虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。

域控中组策略基本设置组策略是在Windows Server域控制器上用于管理网络中计算机和用户设置的集中管理工具。

通过组策略，管理员可以控制和配置域中计算机和用户的许多行为和设置。

下面将介绍组策略的基本设置。

1.创建组策略对象（GPO）：在域中的组策略管理中打开“组策略管理”后，右键点击“域对象”，选择“创建一个GPO在这里，并链接这个GPO在此处”，填写名称并创建。

2.修改组策略设置：（1）计算机配置：可以设置计算机的安全性选项、软件安装、启动和关机脚本、Windows设置等。

其中一项重要的设置是安全设置，可以设置密码策略、账户策略、用户权限等以增强计算机的安全性。

（2）用户配置：可以设置用户的桌面设置、启动和关机脚本、 Internet Explorer设置等。

其中一项重要的设置是目录重定向，可以将用户的特定文件夹（如“我的文档”）重定向到网络共享文件夹，以实现数据备份和集中管理。

3.配置组策略的应用范围：组策略可以应用到不同范围的目标对象上，包括域、站点和组织单位。

可以通过链接组策略、过滤器和安全分组来控制组策略的应用范围。

（1）链接组策略：在组策略管理中，右键点击目标范围，选择“链接已存在的GPO”，选择要链接的GPO。

（2）过滤器：可以设置组策略在特定条件下才应用，如特定用户或计算机，通过右键点击链接的GPO，选择“属性”，在“安全”选项卡中设置过滤器。

（3）安全分组：可以通过集成权限管理来设置组策略的应用范围，通过右键点击链接的GPO，选择“属性”，在“高级”选项卡中设置安全分组。

4.更新组策略：组策略的更改需要更新到目标计算机上才能生效。

Windows客户端默认每隔90分钟自动更新组策略，也可以使用命令“gpupdate /force”立即强制更新。

以上是组策略的基本设置，通过组策略的灵活配置，管理员可以集中管理和控制域中计算机和用户的行为和设置，提高网络安全性和管理效率。

登录时不显示欢迎屏幕抑制欢迎屏幕。

这项设置在每次用户登录时将Windows 2000 Professional 和Windows XP Professional 欢迎屏幕隐藏。

用户仍旧可以通过在「开始」菜单选择或在运行对话框中键入“Welcome”来显示欢迎屏幕。

这项设置时适用于Windows 2000 Professional 和Windows XP Professional。

它不会影响到Windows 2000 Server 上的“在Windows 2000 Server 上配置您的服务器”屏幕。

注意: 这项设置出现在“计算机配置”和“用户配置”文件夹中。

如果配置这项设置，“计算机配置”中的设置比“用户配置”中的设置优先。

窍门: 要显示欢迎屏幕，请单击开始、指向程序、指向附件指向系统工具然后单击“开始”。

要在不指定设置的情况下抑制欢迎屏幕，请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”。

2000 年份转译决定程序如何转译用两位数字表示的年份。

这个设置将最大的两位数字的年份指定为以20 打头。

所有小于和等于指定数值的数字被转译成以20 打头的。

所有大于指定数值的数字被转译成以19 打头的。

例如，默认数值--2029 指定所有小于和等于29 (00 到29)的两位数字的年份被转译成以20 打头的，即2000 到2029。

相反，所有大于29 (30 到99)的两位数字的年份被转译成以19 打头的，即1930 到1999。

这个设置只影响用这个Windows 功能转译两位数字的年份的程序。

如果程序无法正确转译两位数字的年份，请查阅程序的文档或询问制造商。

配置驱动程序搜索位置此设置配置查找到新硬件时Windows 将要搜索驱动程序的位置。

默认情况下，Windows 将在下列位置搜索驱动程序: 本地安装、软盘驱动器、CD-ROM 驱动器、Windows Update。

使用此设置，您可以从搜索范围删除软盘或CD-ROM 驱动器。

域控创建策略
在域控中创建策略，主要涉及到以下几个步骤：
1.组织单位的创建：在域中创建一个或多个组织单位（OU），以便将策略应用于特定的用户和计算机组。

可以根据需要创建多个OU，以更好地组织和管理网络中的对象。

2.组策略的配置：在域控制器上打开“组策略管理”控制台，找到相应的组织单位，并为其创建一个组策略对象（GPO）。

在GPO中，可以定义各种策略设置，如软件安装、用户权限等。

3.安全策略的配置：可以在GPO中定义安全设置，如账户策略、本地策略等。

这些设置可以控制用户账户的密码策略、账户锁定策略等。

4.软件安装策略的配置：通过“软件设置”选项，可以定义软件安装策略。

在此，可以选择允许或禁止安装特定软件，并可以基于安全级别进行更细粒度的控制。

5.路径规则的配置：在软件限制策略中，可以创建路径规则来控制对特定文件的访问。

这有助于防止恶意软件的安装和传播。

6.审核策略的配置：通过审核设置，可以追踪对系统资源的访问和更改。

这对于监控和审计系统活动非常有用。

7.发布通告信息：发布通告信息可以告知用户有关新策略的信息，以及如何遵守这些策略。

这对于提高用户对新策略的意识和遵从性非常有帮助。

8.应用策略：一旦配置好GPO，将其应用到相应的组织单位上。

这样，所定义的策略就会应用到选定的OU中的用户和计算机上。

在配置过程中，请确保仔细考虑各种策略的影响，并遵循最佳实践，以确保网络的安全和稳定性。

【踏上攻防的征途】——第九十六课——组策略简介：组策略（Group Policy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

打开方式：开始菜单→运行→输入“gpedit.msc”→点击确定，即可打开！所谓组策略，就是基于组的策略。

它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置，包括桌面配置和安全配置。

譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。

简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

组策略的用途：组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

考虑到安全方面的原因，Windows 7已经开发了许多新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。

这些功能的配置取决于您的具体要求和使用环境，本文将主要介绍Windows 7组策略的安全使用技巧，介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。

具体用途：1. 禁止运行指定程序系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。

AD域用户常用组策略设置在Active Directory（AD）域环境中，组策略是用于管理和配置用户和计算机的集中策略工具。

组策略允许管理员通过在域中创建和应用组策略对象（GPOs）来定义用户和计算机的设置。

以下是AD域用户常用的组策略设置：1.密码策略：通过密码策略，管理员可以设置密码的复杂性要求、密码过期时间以及密码历史保留的数量。

这有助于增加密码的安全性。

2.帐户锁定策略：通过帐户锁定策略，管理员可以配置登录失败尝试的次数和锁定持续时间。

这有助于防止恶意用户通过暴力破解密码来获取访问权限。

3.账户密码策略：管理员可以配置密码重置和更改密码的要求。

这包括要求用户更改密码的频率、提供密码重置选项和密码复杂性要求。

4. 安全选项：管理员可以配置安全选项，包括启用或禁用自动管理员登录、禁用Guest帐户、强制使用加密方式进行网络通信等。

5.审核策略：通过审核策略，管理员可以配置要审计的事件类型以及要记录的日志信息。

这有助于保护系统免受安全威胁并进行安全审计。

6.应用程序控制：管理员可以配置允许或拒绝运行的应用程序列表，以帮助防止使用未经授权的应用程序。

7.注册表设置：管理员可以配置注册表设置，以控制计算机上注册表项的访问权限和配置。

8.文件和文件夹权限：管理员可以使用组策略设置来定义共享文件和文件夹的权限，确保只有经过授权的用户可以访问和修改文件。

9.桌面设置：管理员可以通过组策略设置来配置桌面背景、屏幕保护程序、任务栏、桌面图标等，以统一组织内工作站的外观和体验。

10.网络设置：管理员可以使用组策略设置来配置网络接口卡、防火墙、代理服务器等网络设置，以保护网络安全并优化网络性能。

11.程序安装和升级：管理员可以使用组策略设置来自动安装和升级特定的应用程序，以减轻用户手动操作的负担。

12.远程桌面设置：管理员可以配置远程桌面访问权限，限制哪些用户可以远程访问计算机。

13. Internet Explorer设置：管理员可以使用组策略设置来配置Internet Explorer的安全性、高级选项和首选项，以确保一致的浏览器体验。