域控器的组策略应用设置大全

合集下载

域控中组策略基本设置

域控中组策略基本设置
在Windows域控制器中，组策略是一种非常重要的工具，用于管理网络中的计算机和用户。

组策略允许系统管理员在网络上部署、管理和强制执行特定设置，以确保网络安全性和一致性。

下面将详细介绍域控制器中组策略的基本设置。

1.创建和链接组策略：
-打开“组策略管理”控制台，右键单击“域”节点，选择“创建一个或多个GPO，并将其链接到此处”
-输入策略名称，点击“确定”创建策略
-右键单击域或OU（组织单位），选择“链接已存在的GPO”
-选择需要链接的策略，点击“确定”
2.应用组策略：
-应用到特定的OU：选择需要应用策略的OU，右键单击，选择“应用组策略”
- 更新组策略：使用命令行工具gpupdate /force强制更新策略
3.用户配置：
4.计算机配置：
5.安全设置：
6.软件安装：
7.文件共享：
8.IE设置：
9.桌面配置：
10.AUDIT策略：
值得注意的是，组策略设置在域控制器上只对处于该域中的计算机和用户生效。

通过组策略，管理员可以集中管理网络中的资源和安全策略，并确保网络中的计算机和用户的行为符合组织的政策和要求。

完成以上设置后，管理员需定期检查组策略的运行情况，保证其有效性和及时性。

域用户常用组策略设置

域用户常用组策略设置组策略是指在Windows操作系统中，通过集中管理策略和设置来控制域用户和计算机的行为。

以下是一些常用的组策略设置，适用于Windows Server上的域环境。

1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。

可以设置密码的最短长度、密码的复杂性要求，如必须包含大写字母、小写字母、数字和特殊字符等。

还可以设置密码的最长有效期和密码历史记录的保留个数，以防止用户频繁更改密码。

2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。

该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。

可以设置失败尝试次数和锁定时间。

3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。

例如，可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。

可以根据组织的需求进行灵活的设置，以满足不同用户角色和职责的需要。

4.审计策略审计策略用于记录用户和计算机的操作日志。

可以设置哪些操作需要被审计，如登录、文件访问、对象的创建和删除等。

审计策略可以帮助管理员跟踪和分析系统的安全事件，及时发现和应对潜在的安全威胁。

5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。

可以通过组策略将软件程序推送到目标计算机上，或者限制一些用户或计算机无法安装特定的软件。

这样可以确保组织中的计算机都拥有统一的软件环境，便于管理和维护。

6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。

可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。

还可以限制用户是否可以访问控制面板、开始菜单等系统设置。

这样可以加强计算机的安全性，并减少用户误操作或恶意行为造成的影响。

7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。

可以设置浏览器的安全级别、对特定网站启用或禁用特定功能，如ActiveX控件、Java脚本等。

域控制器管理组策略应用案档

真学习和掌握相关知识。 • 由于域控制器和组策略需要对网络中的所有用户和计算机进行管理和配置，因此可能会产生一些性能问题
和管理负担，需要管理员合理规划和部署相关方案。
域控制器和组策略综合应用实例展示
• 实例展示：在某企业中，管理员利用域控制器和组策略实现了对网络中所有用户和计算机的统一管理和配置。通过对不同部门、不同职位的用户设置不同的策略，实现了对用户权限的细粒度控制和配置。同时，管理员还利用域控制器实现了对用户身份的集中认证和授权，提高了网络的安全性和可靠性。通过这些综合应用实例的展示，我们可以看到域控制器和组策略在Windows网络环境中的重要性和实用性。
提高网络性能
组策略的集中管理和部署可以减少网络中的重复配置和数据传输，从而提高网络性能。
组策略应用范围
01
域控制器管理
组策略可以用于管理域控制器上的安全设置、用户权限和网络配置等
。
02
用户和计算机配置
组策略可以用于配置用户和计算机在域中的行为和权限，如登录脚本
、桌面配置、应用程序安装等。
03
网络资源保护
THANKS
感谢观看
组策略在企业IT架构管理中的应用
总结词
统一管理、标准化设置、降低运维成本
详细描述
通过组策略可以对企业IT架构中的各种资源进行统一管理和标准化设置，降低运维成本。例如，对操作系统、应用程序、桌面设置等进行统一配置和管理。
05
域控制器与组策略综合应用方案
域控制器和组策略的搭配使用
01
域控制器和组策略是Windows网络环境中非常重要的管理工具，它们可以有效地对网络中的用户和计算机进行管理和配置。
02
在实际应用中，域控制器和组策略经常搭配使用，通过组策略来实现对网络中用户和计算机的统一管理和配置，同时利用域控制器来实现对用户和计算机的集中认证和授权。

windows域常用组策略设置

开启
从开始菜单删除：收藏夹、搜索、常用程序列表、公共程序组、游戏、帮助、所以程序、网络连接、附加的程序列表、运行等等
删除部分
从“设置”菜单删除程序：此设置防止“控制面板”、“打印机”和“网络连接”文件夹在「开始」菜单、“我的电脑”和Windows资源管理器上设置。它还阻止运行这些文件夹所代表的程序(如Control.exe)。
不允许
重命名来宾帐户和重命名系统管理员账户
Enterprise Admins组，最高权限，建议只放一个用户，并且常年禁用
事件日志，设置事件日志的相关选项，包括：大小，时间，类型等等
调整
关闭自动播放：启用此设置，则可以禁用CD-ROM和可移动介质驱动器上的自动播放，也可以禁用所有驱动器上的自动播放。
关闭
实际测试
开启按部门需求
防止删除打印机：如果用户试图删除打印机，例如使用“控制面板”中“打印机”
是
中的“删除”选项来删除打印机，会显示一条消息，说明该设置组织执行此操作。
隐藏“从CD-ROM或软盘安装程序”选项：从“添加新程序”页面删除“从CD-ROM或软盘安装程序”部分。这样可以防止用户使用“添加或删除程序”从可移动介质安装程序。
是
提示用户在过期之前更改密码：确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告，用户有时间构造足够强大的密码。
10天
无需按Ctrl+Alt+Del:该安全设置决定用户是否需要按Ctrl+Alt+Del才能登录。
无需
可匿名访问的共享：此安全设置确定匿名用户可以访问哪些网络共享。
是
阻止更改壁纸：阻止用户添加或更改桌面的背景设计。
是
桌面墙纸：指定在所有用户的桌面上显示的桌面背景(“墙纸”)

组策略常用设置详解

组策略常用设置详解（任务栏和开始菜单、桌面、控制面板、网络和系统）（本人整理自Windows XP Pro SP2）（各项默认状态均为“未被配置”）任务栏和开始菜单设置详解用户配置-管理模板-任务栏和开始菜单从开始菜单删除用户文件夹隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。

其它项目出现，但文件夹会被隐藏。

这个设置是为了转发文件夹而设计的。

被转发的文件夹会出现在「开始」菜单的主要区域中。

但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。

因为两个同样的文件夹可能会让用户觉得混乱，您可以使用这个设置来隐藏用户指定文件夹。

请注意这个设置会隐藏所有的用户指定文件夹，不光是被转发的用户指定文件夹。

如果您启用这个设置，在「开始」菜单中的上方区域不会出现任何文件夹。

如果用户将新文件夹加入「开始」菜单，文件夹会出现在用户配置文件的目录中，但不会出现在「开始」菜单中。

如果停用或不配置这个设置，Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。

删除到“Windows Update”的访问和链接防止用户连接到Windows Update 网站。

这个设置阻止用户访问地址为:的Windows Update 网站。

这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update 超链接。

Windows Update 为Windows 的联机扩展，提供软件更新以使用户的系统保持最新。

Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。

还可参阅“隐藏…从Microsoft 添加程序‟选项”设置。

从开始菜单删除公用程序组在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。

域组策略域控中组策略基本设置

域组策略域控中组策略基本设置
组策略是域控中的一项重要功能，它允许管理员集中管理域中的计算机和用户。

组策略可以通过设置一系列规则和限制来控制域中的计算机和用户的行为和配置。

在组策略基本设置中，管理员可以执行以下操作：
2.链接组策略到组织单位或域对象：管理员可以将组策略链接到特定的组织单位或域对象上。

链接组策略到组织单位将使该策略应用于组织单位下的所有计算机和用户。

链接组策略到域对象将使该策略应用于整个域中的所有计算机和用户。

3.启用和禁用组策略：管理员可以启用或禁用组策略，以控制该策略是否应用于目标计算机和用户。

禁用组策略将导致不应用该策略中定义的所有设置和规则。

4.强制组策略：管理员可以通过强制组策略来立即应用组策略中的设置和规则。

强制组策略可以用于快速应用新的或更改的设置，而无需等待组策略刷新。

5.优先级设置：管理员可以为链接到同一组织单位或域对象的多个组策略设置优先级。

优先级较高的组策略将覆盖优先级较低的组策略中的相同设置和规则。

7.备份和恢复组策略：管理员可以备份组策略的配置，并在需要时进行恢复。

这样可以确保即使发生意外情况，管理员也能轻松地恢复组策略的设置。

8.详细日志和审计：系统还提供了详细的日志和审计功能，记录组策略的所有修改和应用。

管理员可以使用这些日志来跟踪和审计组策略的变更历史。

设置域控制安全策略完整版

设置域控制安全策略 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
背景
某些员工设置密码长度很短，而且不符合复杂性要求
密码很久也不修改
有时会发生非法用户试探员工密码
目标
1、密码策略设置
2、账户锁定策略设置
3、密码策略的验证
4、账户锁定策略验证
5、如何给账户解锁
第一步：找到域控制器安全策略点击进入
第二步：找到帐户安全策略点击进入
第三步：选择密码策略点已启用
第四步：选择密码最小长度值选项并输入你要设定的长度值！第五步：选择帐户锁定策略
第七步：设置复位锁定帐户时间！
第九步：登陆用户故意输错密码相对应的次数后就会发现
并会弹出一个你的帐户已被锁定的界面
这时再进入服务器的超户—域控—USERS下—打开你刚刚登陆的用户的帐户选项卡就会出现一个帐户被锁定的选项把勾去掉用
户即被解锁！
实验完成！经过这样的设置后服务器上创建用户都会根据你设置的要求来了，而当你在设定的错误登陆次数内还没能正确输入密码后你的用户就会被锁定！如果想要解锁就只有让管理员来进超户进入域用户帐户里进行解锁了。

(2)组策略的配置及使用

一、实验名称组策略的配置及使用二、实验类型验证性实验三、实验目的通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。

四、实验内容（1）通过控制台访问组策略（2）对用户设置密码策略（3）对用户设置登录策略（4）退出系统时清除最近打开的文件的历史五、相关知识1、组策略对象的类型组策略对象有两种类型：本地和非本地。

本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。

然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。

在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。

非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。

非本地组策略对象也可以应用于用户或计算机。

如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。

根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。

2、组策略模板组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。

该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。

当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。

组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。

计算机可以通过连接SYSVOL文件夹来获得这些信息。

组策略模板存储在域控制器的%systemroot%\SYSVOL\sysvol文件夹下面。

整理[计算机]组策略配置及技巧

组策略攻略概念：组策略对象可以应用到的容器包括：站点、域、OU。

默认的域策略、域控制器策略尽量不要去修改。

默认的域策略会影响到所有的域内的用户，计算机以及DC，默认的域控制器策略只会影响到域内的所有的域控制器。

组策略（group policy）对象包括组策略容器（GPC）和组策略模板（GPT）组策略是AD集中管理的工具。

GPC存放在AD用户和计算机中。

存放位置如下：高级功能-选择域-system-policies对应的UID中，单击属性可以查看版本号等信息，CPT存放于sysvol\域名\polilcies\ID number下的文件夹下，包含计算机和用户的配置，以及版本号。

多个GPO可以链接到一个容器，一个GPO可以链接到多个容器。

强制：是不受组策略阻断影响，Q&A：如何实现OU内的GPO只（不）对OU内特定人员生效？（GPO只对财务部OU和销售部OU的经理生效）使用安全过滤；在AD用户和计算机中新建一个安全组，将需要生效的成员（经理）添加进来，在所要生效的GPO中右击属性-委派-高级，删除默认的authe nticated user组，将新建的安全组添加进来，权限中设置读取和应用（拒绝）组策略权限即可。

（尽量不要使用，方便排错）如果一个程序有多个软件限制策略规则，该如何应用？按照1：哈希；2：证书；3：路径；4：internet区域路径规则；优先级顺序执行。

组策略的执行顺序为：本地策略、站点策略、域策略、父OU策略、子OU策略。

后执行的优先级高。

如多于一个的同类规则作用于同一个程序，则同类规则中最具有限制能力的规则起作用。

如何禁止客户端本地登录，只能使用域环境登录？打开GPMC，在所要设置的GPO中编辑如下：计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中，单击允许本地登录，安全选项中，帐户：管理员帐户状态，禁用，可以实现只能登陆到域。

组策略如何备份？打开GPMC-组策略对象，在需要备份的GPO中单击备份，要备份所有的GPO，单击组策略对象，选择备份。

域控制器管理组策略应用案档

域控制器管理组策略应用案档域控制器管理组策略是指通过组策略对象（Group Policy Object，GPO）来管理和配置域中的计算机和用户的一种方法。

域控制器是一个重要的网络资源，它负责认证用户、授权访问和维护整个域的安全性。

对于大型组织而言，域控制器管理组策略的应用对于保持整个域的一致性和安全性非常重要。

首先，域控制器管理组策略可以帮助管理员集中管理域中的计算机和用户。

通过组策略，管理员可以配置域中的计算机和用户的许多设置，如密码策略、网络连接、软件安装、桌面设置等。

管理员只需在域控制器上配置这些设置一次，之后就可以自动应用到域中的所有计算机和用户上，极大地简化了管理的工作量。

其次，域控制器管理组策略可以保障整个域的一致性。

由于所有的域成员都从域控制器获取组策略，因此所有成员的计算机和用户的配置都是一样的。

这样可以保障域中的计算机和用户的安全性和一致性。

当需要进行更改时，管理员只需在域控制器上进行修改，不需要逐个修改每个计算机和用户的配置，避免了错误和遗漏。

另外，域控制器管理组策略还可以提高域的安全性。

通过组策略，管理员可以配置域中的计算机和用户的安全设置，如强制密码复杂性、禁用Guest账户、限制访问等。

这些安全设置可以有效地保护域中的计算机和用户免受各种安全威胁。

而且，由于组策略是集中管理的，管理员可以随时修改安全策略，并立即应用到整个域中，及时响应安全威胁和变化。

最后，域控制器管理组策略还可以提高用户体验。

通过组策略，管理员可以配置域中的计算机和用户的桌面设置、网络连接、应用程序等，使其更加适应用户的需求和习惯。

这可以提高用户的工作效率和满意度。

总之，域控制器管理组策略的应用对于大型组织而言是非常重要的。

它可以帮助管理员集中管理域中的计算机和用户，保障整个域的一致性和安全性，提高域的安全性和用户体验。

通过合理使用域控制器管理组策略，管理员可以更加有效地管理和保护域中的计算机和用户。

域组策略应用详解

域组策略应用详解域组策略是一种Windows Active Directory环境中的管理工具，它允许管理员集中管理多台计算机的安全策略和配置。

通过域组策略，管理员可以实现对域内计算机的用户账户、密码策略、软件安装、网络连接和访问控制等进行统一的管理与控制。

以下是对域组策略的详细解析。

1.域组策略的作用与优势域组策略的主要作用是提供一种集中管理和控制计算机的方式，帮助企业或组织实施统一的安全策略，并降低管理成本。

以下是域组策略的一些优势：-统一管理：通过域组策略，管理员可以在整个域内管理和控制所有计算机的安全策略和配置，无需分别配置每台计算机，简化了管理流程。

-集中控制：域组策略可以集中控制所有计算机的用户账户、密码策略、软件安装、网络连接和访问控制等，确保整个域内的计算机都遵循相同的安全标准。

-统一更新：通过域组策略，管理员可以轻松地对所有计算机进行安全策略的更新和修改，确保所有计算机都能及时获得最新的安全补丁和配置。

2.域组策略的组件域组策略由以下几个重要的组件组成：-组策略对象（GPO）：是域组策略的核心组件，它包含了一组安全策略和配置项，可以应用给特定的域、组或用户。

-组策略文件夹：存储域内所有组策略对象的文件夹，通常存放在域控制器的系统目录下。

-组策略客户端扩展（CSE）：是一种在计算机或用户执行组策略时生效的软件组件，用于解析和处理组策略配置。

3.域组策略的配置和应用域组策略的配置和应用主要包括以下几个步骤：-将组策略对象应用到域、组或用户：通过将组策略对象链接到特定的域、组或用户上，使其生效。

可以通过域控制器上的“组策略管理”工具来实现。

- 强制更新和刷新组策略：可以使用“gpupdate”命令来强制计算机或用户立即更新和刷新组策略，或等待策略刷新的策略设置。

-监测和审核组策略的应用：可以通过策略审计和事件日志来监测和审核组策略的应用情况，以及统计计算机和用户的符合策略的状态。

4.域组策略的常见应用场景域组策略在企业或组织中有多种应用场景，以下是其中一些常见的应用场景：-账户和密码策略：通过域组策略，管理员可以设置和控制用户账户的安全策略和密码策略，例如密码复杂性要求、账户锁定策略等。

常用AD组策略设置

常用AD组策略设置常用AD组策略设置利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。

根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。

相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。

下面是实际操作演示：AD域控制器：Windows Server 2003/2008以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图)：可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A 23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是：copy bssec.scr c:\windows\system32即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。

作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。

打开“”域的属性(如下图)：可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“用户配置”－“管理模板”－“控制面板”－“显示”，启用右侧的“屏幕保护程序”，启用“可执行的屏幕保护程序的名称”，填入屏幕保护文件名：bssec.scr，(如下图)：同时启用右侧的“密码保护屏幕保护程序”，设置屏保超时(如下图)：屏保设置完毕。

AD组策略使用技巧-域控制器软件限制策略的配置

域控制器软件限制策略的配置
1、开始-运行gpedit.msc 打开组策略
在组策略编辑器中展开软件限制策略的安全级别节点。

2、选择右边不允许的或不受限的单击设为默认
打开对话框单击浏览按钮导入3、单击其他规则
单击新建哈希规则打开对话框
选择上方的操作选项单击新建哈希规则
单击其他规则选择上方的操作选项
要限制的文件
要限制的文件
单击新建路径规则，，可以在路径文本框中文件路径或注册表路径如果使用注册表路径4、单击新建路径规则
必须用%江注册表路径括起来 ...
5、软件策略里面有个指派的文件类型选项根据自己的需要可以在里面添加或删除文件后缀名
6、双击强制选项打开强制属性对话框选择软件限制策略应用的范围和用户
7、在受信任的发布者属性里面可以选择软件发布者的用户选项
在受信任的发布者属性里面可以选择软件发布者的用户选项，，并选择证书发行商的检查项目。

域组策略域控中组策略基本设置

域控中组策略基本设置计算机配置：要重启生效用户配置：注销生效策略配置后要刷新：gpupdate /force组策略编辑工具工具使用：运行---> 如下键面：文件夹重定向：1.在域控建立一共享文件夹,权限放到最大完全控制,无安全隐患2．域账户用户登录任一台机器都能看到我的文档里的自己的东西禁止用户安装软件：1.给域用户基本权限Domain user,但有时基本应用软件也不能运行2.把域用户加入到本地power user 组可以运行软件域用户添加Power user组3.用本地用户登录机器查看禁止卸载：1.权限domain user + 管理模板相当于改动注册表2.再把控制面板里的“添加删除程序”禁用禁止使用USB:1.工具程序模板,拷到C:\WINDOWS\inf\2.3.4.5.6.7.客户端机器重启生效禁止绿色软件安装,如：迅雷,等--------建立哈希规则：建立了哈希规则后不论此软件放在机器的任何路径,都将被禁止GPO软件分发：1.工具：Advanced Installer 制作MSI格式文件2.在DC上建立一共享文件夹;把.MSI格式文件放入,附Authenticated 可读,Admini 完全控制3.编辑组策略-用户配置-软件安装-右击\\DC的IP\共享名4.软件安装右击程序包-.MSI 已发布\已指派停止域客户端的防火墙：右击,域计算机-Windows-设置安全设置-系统服务windows firewall漫游：1.账号在客户机上登录2.在server上建议账号空间在客户机上登上设主文件。

AD组策略的设置（超详细）

AD组策略的设置（超详细）AD组策略的设置（超详细）⼀、编辑组策略1、允许⼀户登陆本计算机在OU⼀⼀→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→⼀户权限分配→允许在本地登陆。

⼀gpupdate /force 命令刷新。

2、拒绝⼀户访问运⼀、CMD、以及批处理⼀件。

1、在要设定的OU上点击右键→属性→组策略→编辑策略→⼀户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运⼀菜单。

⼀gpupdate /force 命令刷新。

2、在要设定的域控制器点击右键→属性→组策略→编辑策略→⼀户配置→管理摸板→系统→阻⼀⼀户访问命令提⼀符→继续点击下⼀的的选项→是否拒绝使⼀批处理⼀件处理→选择“是”。

⼀gpupdate /force 命令刷新。

⼀、拒绝继承权限1、在下⼀级的OU上→属性→组策略→禁⼀策略的继承。

⼀gpupdate /force 命令刷新。

三、强制继承1、在上⼀级的OU上→属性→组策略→选项→禁⼀替代钩上。

⼀gpupdate /force 命令刷新。

四、过滤⼀户（特定的⼀群）1、在要设定的OU上→属性→组策略→属性→安全→添加⼀户→给予权限→拒绝组策略。

⼀gpupdate /force 命令刷新。

五、桌⼀管理1、在要设定的OU上→属性→组策略→编辑组策略→⼀户配置→管理模板→桌⼀→Active desktop→启⼀Active desktop→启⼀Active desktop墙纸→输⼀对应的主机的地址和共享⼀件。

2、⼀户配置→管理模板→系统→CTRL+ALR+DEL选项。

六、密码策略1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→（1、密码策略2、帐户锁定策略）七、组策略脚本1、当⼀户启动时→启动脚本→登陆脚本2、当⼀户注销时→注销脚本→关机脚本3、wscript.echo"内容" 后缀改为“VBS”1、建⼀脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→⼀户配置（计算机配置）→WINDOWS设置→脚本→双击登陆→显⼀⼀件→把脚本⼀件拖进去→3、在点击添加→写⼀⼀件名就可以了。

域控器的组策略应用设置大全

域控器的组策略应用设置大全组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。

此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。

例如要删除“我的文档”，只需在“删除桌面上的…我的文档?图标”一项中设置即可。

若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上…网上邻居?图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的…我的文档?图标”和“删除桌面上的…我的电脑?图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

使用组策略配置域中任务计划

使用组策略配置域中任务计划Jenny was compiled in January 2021使用组策略配置域中客户机的任务计划配置目标：使用AD的组策略，配置域中的客户机任务计划，使得域中的客户机自动执行脚本，实现客户机的自动配置和自动运行程序。

模拟配置环境：如图所示：在AD Server上创建任务计划要执行的脚本，设置组策略，使得域中所有的客户能按照设置的时间自动执行脚本。

为了能测试脚本是否正确完成，本次测试脚本功能为每执行一次，在文件中自动写入执行的时间。

脚本如下：脚本执行后将在C：\中记录当前脚本的执行时间：当在C:\里查看到相关信息时，说明脚本正常运行。

配置方式：1.在域控制器上打开服务器管理器，浏览到【功能】--》【组策略管理】--》【Default Domain Policy】，选择【更多】--》【编辑】2.打开Default Domain Policy 策略，浏览到【用户配置】--》【首选项】--》【控制面板设置】--》【任务计划】，在任务计划窗口处右键单击，选择【新建】--》【任务计划】。

3.打开了【新建任务属性】，由于需要域中的客户机执行此脚本，需要将脚本放置在网络路径上。

此路径必须能被客户机访问。

将新建任务属性暂且放置，将需要运行的脚本放置到固定路径，为此处【运行】中要输入的路径做准备。

4.将可执行脚本复制到AD网络共享的SysVol目录中。

5.回到组策略的新建任务属性中，输入脚本的共享网络路径和相关信息：运行的脚本路径是：可执行脚本的全称。

此处为\\\sysvol\\scripts\6.设置定时执行的时间7.配置完成8.从域中的客户机上使用域用户重新登录，打开任务计划程序，会看到策略分配的任务计划，并且已经开始执行。

验证：在客户机上查看运行结果通过查看脚本生成的文件信息，验证组策略配置的任务计划在客户机上正常运行了。

总结：可以将脚本更改为管理员希望完成的功能，即可实现通过在AD的组策略上配置任务计划，在域中客户机上统一配置和定时执行的功能。

域控制器管理--组策略应用案档

域操纵器治理--组策略应用案例今天针对域操纵器组策略应用做一下讲解，以一个案例的形式为大伙儿做一下介绍，如此让大伙儿更轻易理解在域操纵器中组策略应用的重要性，和给我们带来的方便。

BENET公司利用域环境来实现企业网络治理，公司要求企业职员在使用企业计算机的相关设置需统一治理，要求企业治理员按如下要求完成设置1、所有域用户不能随便修改背景，保证公司使用带有公司LOGO的统一背景。

2、所有域用户不能运行治理员差不多限制的程序，比方计算器，画图等。

3、配置域用户所有IE的默认设定为本企业网站，保证职员翻开IE能够直截了当访咨询到公司网站。

且用户不能自行更改主页4、禁止域用户使用运行，治理员除外。

防止翻开注册表等修改系统配置。

只有治理员处于治理方便目的，能够使用运行。

5、保证域用户有关机权限，保证职员下班能够自行关机，节约公司资源。

6、关闭2003的事件跟踪，公司使用其他手段监控用户计算机。

7、隐躲所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。

8、操纵面板中隐躲〞添加删除windows组件〞，防止用户随意添加windows组件，造成系统咨询题。

9、取消自动播放，以防止插进U盘有病毒，自动运行病毒10、除治理员外的任何域帐号都不能够更改计算机的IP地址设置，防止由于IP地址冲突造成网络混乱。

实验目的1、所有域用户不能随便修改背景2、所有域用户只能运行的程序3、所有域用户帐号翻开IE默认主页为4、所有域用户帐号无法使用运行,治理员能够使用运行5、域用户帐号能够关机6、域用户帐号关机时没有事件跟踪提示7、域用户帐号瞧不到C盘8域用户帐号在操纵面板中瞧不到〞添加删除windows组件〞9取消自动播放10治理员能够使用本地连接－属性,任何域用户帐号不可使用．实验预备1、一人一组2、预备两台WindowsServer2003虚拟机(一台DC,一台成员主机)3、实验网络环境1实验步骤1、所有域用户不能随便修改背景，保证公司使用带有公司LOGO的统一背景。