组策略配置及实践技巧
如何设置常用组策略?组策略用法详解电脑新手办公数码-电脑资料
如何设置常用组策略?组策略用法详解电脑新手办公数码-电脑资料组策略是计算机中一个非常重要的模块功能了,我们经常会用到它,下面我来给各位介绍组策略常用的一些设置技巧,希望文章对大家会带来帮助,。
组策略应用设置大全一、桌面项目设置1. 隐藏不必要的桌面图标2. 禁止对桌面的改动3. 启用或禁止活动桌面4. 给“开始”菜单减肥5. 保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板”2. 隐藏或禁止“添加/删除程序”项3. 隐藏或禁止“显示”项三、系统项目设置1. 登录时不显示欢迎屏幕界面2. 禁用注册表编辑器3. 关闭系统自动播放功能4. 关闭Windows自动更新5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1. 删除“文件夹选项”2. 隐藏“管理”菜单项五、IE浏览器项目设置1. 限制IE浏览器的保存功能2. 给工具栏减肥3. 在IE工具栏添加快捷方式4. 让IE插件不再骚扰你5. 保护好你的个人隐私6. 禁止修改IE浏览器的主页7. 禁用导入和导出收藏夹六、系统安全/共享/权限设置1. 密码策略2. 用户权利指派3. 文件和文件夹设置审核4. Windows 98访问Windows XP共享目录被拒绝的问题解决5. 阻止访问命令提示符6. 阻止访问注册表编辑工具解决方案:一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”---“管理模板”---“桌面”节点,便能看到有关桌面的所有设置。
此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1. 隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。
例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
Windows7组策略配置全攻略(全套技巧)
Windows7组策略配置全攻略(全套技巧)
概括:组策略的设置也就是对注册表的操作,因为注册表的路径太多太难记,所以使用组策略能很好的对计算机进行管理。
同时,组策略也有非常强大的功能,即可以进行安全配置,也能进行个性化设置。
即使是在网络管理里面,也离不开组策略的应用,组件它的重要性!
颜色分类说明:
*红色为系统安全设置项,建议多掌握一些!
*蓝色为个性功能设置,能把你的系统改得千奇百怪、五花八门,当你系统出现了什么不见了,什么不能用了的时候,就在这里找答案哈!*紫色为系统功能设置,比如打开某功能,禁用某功能
*绿色为常见问题需要注意的地方
*同一行内有多种颜色,说明同时具有那些颜色的性质!
点击系统右下角的开始菜单,输入命令:gpedit.msc,就可以打开组策略了。
路径从左往右依次展开,如果该行左边为空,上级路径看最靠近的上行路径!
…………详情请看附件
附件下载:
/d/582cc7d0e073314e5c4de2f 94a8386184ddbb4b2ee390000。
(2)组策略的配置及使用
一、实验名称组策略的配置及使用二、实验类型验证性实验三、实验目的通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。
四、实验内容(1)通过控制台访问组策略(2)对用户设置密码策略(3)对用户设置登录策略(4)退出系统时清除最近打开的文件的历史五、相关知识1、组策略对象的类型组策略对象有两种类型:本地和非本地。
本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。
然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。
在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。
非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。
非本地组策略对象也可以应用于用户或计算机。
如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。
根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。
2、组策略模板组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。
该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。
当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。
组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。
计算机可以通过连接SYSVOL文件夹来获得这些信息。
组策略模板存储在域控制器的%systemroot%\SYSVOL\sysvol文件夹下面。
组策略的配置与管理
组策略的配置与管理一、组策略的概念及作用组策略是Windows操作系统中的一种重要管理工具,它可以对计算机或用户进行一系列的配置和管理。
通过组策略,管理员可以对网络中的计算机和用户进行统一的管理,从而提高网络安全性、降低维护成本和提高工作效率。
二、组策略的配置与管理方法1. 打开组策略编辑器在Windows操作系统中,打开组策略编辑器有两种方法:一种是在运行窗口中输入“gpedit.msc”命令;另一种是在控制面板中选择“管理工具”->“本地安全策略”。
2. 配置计算机配置和用户配置在组策略编辑器中,有两个主要选项:计算机配置和用户配置。
管理员可以根据需要分别对这两个选项进行配置。
其中,计算机配置包括Windows设置、安全设置、软件设置等;用户配置包括Windows设置、安全设置、脚本设置等。
3. 配置组策略对象管理员可以选择要应用某个组策略的对象。
例如,可以选择应用某个组策略到特定的计算机或用户上。
4. 配置组策略规则在每个选项卡下面都有很多不同的规则可供管理员进行配置。
例如,在“Windows设置”->“安全设置”中,管理员可以配置密码策略、账户锁定策略等。
5. 配置组策略优先级如果不同的组策略规则之间存在冲突,那么就需要根据优先级来确定哪个规则会被应用。
管理员可以在组策略编辑器中为不同的规则设置优先级。
三、常见的组策略配置和管理案例1. 禁用USB存储设备在计算机配置中,选择“Windows设置”->“安全设置”->“本地策略”->“安全选项”,找到“可移动存储访问控制”,将其禁用即可禁止使用USB存储设备。
2. 配置密码策略在计算机配置中,选择“Windows设置”->“安全设置”->“账户策略”->“密码策略”,可以对密码长度、是否启用复杂性要求等进行配置。
3. 禁止用户更改壁纸在用户配置中,选择“管理模板”->“控制面板”->“个性化”,找到“阻止改变桌面背景”,将其启用即可禁止用户更改壁纸。
使用windows组策略对计算机进行安全配置
综合性实验项目名称:使用windows组策略对计算机进行安全配置一、实验目的及要求:1.组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具,通过使用组策略可以设置各种软件,计算机和用户策略。
2.我们通过实验,学会使用组策略对计算机进行安全配置。
二、实验基本原理:组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件,计算机和用户策略。
三、主要仪器设备及实验耗材:PC机一台,Windows2000系统,具有管理员权限账户登录四、注意事项必须以管理员或管理员组成员的身份登录win2000系统计算机配置中设置的组策略级别要高于用户配置中的级别策略五、实验内容与步骤1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定,即可运行程序。
依次进行以下实验:(1)隐藏驱动器平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项。
1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示图6-1 使用策略前,“我的电脑”2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。
图6-2隐藏驱动器3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示图6-3 使用策略后,“我的电脑”(2).禁止来宾账户本机登录使用电脑时,我们有时要离开座位一段时间,如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时,为了避免有人动用电脑,我们一般会把电脑锁定。
但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户并登录到别的账户,就会给正常工作带来影响。
我们可以通过“组策略”来禁止一些账户在本机上的登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”,然后双击右侧窗格的”拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示图6-4 选择用户和组采取拒绝本地登录策略,如图6-5所示图6-5 拒绝本地登录(3).开启审核策略在“计算机配置—>windows设置—>安全设置—>本地策略—>审核策略”上,我们可以看到它可以审核策略更改,登录事件,对象访问,过程追踪,目录服务访问,特权使用等,这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录,关闭系统或更改过哪些策略等等,如图6-6所示图6-6 审核策略我们应该养成经常在“控制面板—>管理工具—>事件查看器”里查看事件的好习惯。
Windows系统组策略应用技巧
等,提高计算机ห้องสมุดไป่ตู้能效果。
03
组策略应用技巧
管理用户账户
创建新的用户账户
01
通过控制面板或命令行创建新的用户账户,并设置密码和权限
。
禁用或删除不必要的用户账户
02
禁用或删除不必要的用户账户,以减少系统的安全风险和管理
负担。
限制用户账户的登录时间
根据系统检测到的软件使用情况,智能推荐需要 的软件安装,提高工作效率。
实现批量操作
批量删除文件
可以批量删除不需要的文件,节省存储空间 ,提高系统运行速度。
批量重命名文件
通过组策略可以实现对文件名的批量重命名 ,极大提高工作效率。
批量修改文件属性
根据需要可以批量修改文件的属性,如只读 、隐藏等,提高文件管理效率。
优化系统性能(续)
关闭无用服务
通过组策略可以关闭无用的系统服务,减少系统资源占用,提高 系统性能。
优化磁盘读写速度
通过组策略可以优化磁盘读写速度,提高文件访问速度。
禁止不必要的窗口
可以禁止不必要的系统窗口弹出,减少系统资源占用,提高系统响 应速度。
THANK YOU
通过组策略禁用不必要的网络共享,可以减 少病毒通过网络传播的风险。
限制不必要的端口
通过组策略限制不必要的端口,可以防止病 毒通过这些端口入侵系统。
强制执行安全设置
通过组策略强制执行安全设置,可以确保系 统的安全性和稳定性。
加强系统安全
禁用不必要的服务
通过组策略禁用不必要的服务,可以减少系统资源占用,提高系统 性能和安全性。
限制不必要的程序运行
Windows操作系统组策略应用全攻略
xx年xx月xx日
windows操作系统组策略应用全攻略
组策略基础组策略的配置与应用组策略的安全性和可靠性组策略的扩展和维护组策略的常见问题及解决方案组策略的未来发展与展望
contents
目录
01
组策略基础
组策略(Group Policy)是Windows操作系统中一套管理和配置系统的强大工具,它允许系统管理员通过设置和调整各种策略,来控制和规范用户在系统中的行为和操作。
应用策略
将配置好的策略应用到相应的用户或计算机上,可以通过“组策略”编辑器中的“应用”按钮进行批量应用。
家庭用户
01
对于家庭用户而言,组策略可以用于限制儿童使用计算机的时间、禁止访问不良网站等,从而提高家庭计算机的安全性和稳定性。
组策略的应用范围
企业用户
02
在企业中,组策略可以用于统一配置员工使用计算机的各项参数,如禁止使用U盘、限制访问特定网站等,从而提高企业管理效率和安全性。
限制使用U盘
03
组策略的安全性和可靠性
通过组策略可以设置特定的用户或用户组对系统资源的访问权限,有效防止未经授权的用户访问系统核心区域。
限制访问权限
对于敏感数据,如系统配置参数、密码等,可以通过组策略设置加密存储,确保数据的安全性。
加密敏感数据
组策略可以设置强制执行策略,确保系统的安全性和稳定性。
强制执行策略
组策略的安全性
组策略的可靠性
组策略的恢复策略
04
组策略的扩展和维护
扩展性概述
Windows操作系统中的组策略是一种强大的工具,可以用于配置和管理网络中的计算机。通过使用组策略,管理员可以定制和自动化许多系统级设置和程序配置。
扩展性示例
win7系统组策略有什么设置技巧
win7系统组策略有什么设置技巧Windows7组策略是系统中一个重要功能,可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置,包括桌面配置和平安配置。
总结了一些Windows 7下组策略使用小窍门,大家可以根据自己的需求利用组策略对win7系统进行更改,以提高win7运行效率。
Windows 7强大的搜索功能相当好用,不过麻烦的是所有的搜索历史记录都会出现在下拉列表框中,如果使用的是公用计算机,平安性就是一个问题了。
其实,我们可以利用组策略解决这一问题,操作如下。
在“开始搜索”框或“运行”框中输入“gpedit.msc”,翻开“本地组策略器”窗口,依次翻开“用户配置→管理模板→Windows 组件→Windows资源管理器”,在右侧窗格中找到“在Windows资源管理器搜索框中关闭最近搜索条目的显示”工程,双击翻开属性窗口,在这里选择“已启用”,确认之后即可生效,以后就再也不会自动保存搜索记录了。
提示:关闭搜索记录后将不会在搜索时显示相应的搜索建议。
此外,如果需要删除地址栏中的历史记录,只要用右键单击地址栏,从快捷菜单中选择“删除历史记录”命令即可将其清理干净。
习惯了每次在xp下把U盘的自动播放给关闭,但是在Win7下一直没有找到相关项(主要原因是英文水平次,呵呵)。
今天认真看了下win7下的组策略,突然发现微软把它加强了许多,这可能会是一个趋势,把设置集中到组策略,减少对的不必要操作。
好了,言归正传。
win+R快捷键,键入gpedit.msc翻开组策略,右侧依次点开:puter configuration, administrativetemplates, windows ponents, autoplay policies, turn off autoplay,关闭自动播放选择enable即可,然后点OK。
win+R快捷键输入services.msc 翻开效劳。
然后Shell Hardware Detection这个效劳右击,属性,设为手动。
组策略教程
组策略教程组策略教程(1000字)一、什么是组策略?组策略是一种在大多数Windows操作系统中使用的管理工具,它的主要作用是通过安全设置和监控用户的计算机,从而实现对系统中的用户行为和系统资源进行控制和管理。
组策略可以帮助管理员有效地管理和配置用户和计算机的权限、网络设置、软件安装等。
本篇教程将重点介绍组策略的使用方法和常用功能。
二、如何打开组策略编辑器?要打开组策略编辑器,首先需要以管理员身份登录到计算机。
然后按下Win + R键,输入“gpedit.msc”,并按回车键。
这将打开组策略编辑器。
三、组策略的常用功能1. 用户配置和计算机配置组策略编辑器中有两个主要的配置项,即用户配置和计算机配置。
用户配置主要用于配置用户的权限和设置,计算机配置则用于配置计算机的网络设置和系统行为。
管理员可以根据需要,选择相应的配置项进行设置。
2. 禁用和启用功能组策略编辑器中有很多配置选项,管理员可以根据需要禁用或启用某些功能。
例如,可以禁用控制面板中的某个功能,防止用户对系统进行不必要的更改。
3. 定制开始菜单组策略编辑器还可以用于定制开始菜单。
管理员可以根据需要,添加或删除某些应用程序或文件夹,以满足用户的需求。
4. 软件安装和升级通过组策略编辑器,管理员可以轻松地安装、升级和卸载软件。
只需选择相应的配置选项,并指定软件的安装包路径,即可实现自动安装和升级。
5. 网络设置组策略还可以用于配置网络设置,例如限制特定的网站访问、配置代理服务器等。
管理员可以根据实际需求,灵活地配置网络设置。
四、如何使用组策略?1. 打开组策略编辑器,选择用户配置或计算机配置中的相应项目。
2. 选择需要配置的选项并进行相应的设置。
可根据具体需求,禁用或启用某些功能,添加或删除某些应用程序或文件夹等。
3. 配置完毕后,保存设置并退出组策略编辑器。
4. 重新启动计算机,使配置生效。
五、注意事项和常见问题1. 使用组策略编辑器时,要以管理员身份登录计算机,否则可能无法保存设置或使配置生效。
(完整word版)组策略教程汇总,推荐文档
一、访问组策略1.输入gpedit.msc命令访问:选择“开始”→“运行”(或快捷方式:Win+R),在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口。
组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。
这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点(如图一),节点下面还有更多的节点和设置。
此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。
“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。
“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。
但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。
其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。
图一:下面我们就进入“用户配置”,去细细探测它的奥秘:1、在软件设置里面没有什么重要内容,我们省去介绍吧(不信你看看);2、那我们先看看“windows设置”里的内容(如图二全结构图:):在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点,其中“脚本”下包含“登录”和“注销”两个脚本,其功能(属性)是设置“登录”和“注销”时的桌面背景!在“安全设置”里面没有什么实质内容,现我们就忽略它吧!《而对于“计算机配置”的“安全设置”的下节点里,多了三个小节点,其一是“密码策略”,它可以设置我们对用户的密码要求及密码保留时间等,因此,当你设置后,你的密码设置就必须符合这要求。
其二是“帐号锁定策略”,它可以设置帐号无效登录系统的次数和帐户被锁定时间。
其三是“IP安全策略”,其功能是计算机的客户端和服务端的IP的安全管理,其效果倒是很难体验到哈。
信息安全知识补遗 Windows组策略设置技巧
信息安全知识补遗 Windows组策略设置技巧信息技术和互联网的普及,信息泄露的频发,使得这个时代的人们不断开始关注信息安全方面的问题。
在关注各种各样信息安全事件,并应用针对性技术进行防护的同时,有一个部分却是人们常常忽略的,那就是系统的信息安全。
作为信息设备的主要表现媒介,系统的安全往往会决定一个设备甚至一个企业信息、数据安全的关键。
而作为使用最广泛的windows系统,它的系统安全又该如何保证呢?下面就让信息安全领域的专家为您上一堂信息安全知识的补遗课,为您揭开windows组策略设置的神秘面纱吧。
Windows组策略设置:一个被遗忘的安全之法通过组策略配置Windows电脑是企业中最常见的一项任务。
使用组策略设置和配置安全设置是Windows计算机的一大优势。
是的,现在很多操作系统都有不相上下的管理机制,但组策略从1998年10月发布的Windows NT 4.0 Service Pack 4中就存在了。
可是就是这个一直长期存在的系统安全维护之法却经常被企业所忽视。
而山丽根据多年的防护经验总结10条组策略的设置技巧,只要保证这10个Windows组策略设置正确,你的Windows环境会在很长一段时间内保持更加安全的状态。
这些组策略都在计算机配置\Windows设置\安全设置下。
1、重命名本地管理员帐户:提高管理员帐户的安全性,就会大大降低被侵的风险。
2、禁用来宾帐户:最糟糕的事情就是使用该帐户。
因为它会允许任何人访问Windows 电脑,并且没有密码!3、禁用LM和NTLM v1:LM(LAN Manager)和NTLMv1认证协议存在漏洞。
使用NTLMv2和Kerberos。
默认情况下,大多数Windows系统都会支持这四个协议。
除非你有非常古老、没有打补丁的系统(超过10年吧)。
4、禁用LM哈希存储:LM哈希密码很容易转换为明文密码。
不要将它们存储在Windows 磁盘上,黑客会利用哈希转储工具找到它们。
组策略的配置与管理
组策略的配置与管理组策略的配置与管理1. 引言组策略是一个非常重要的管理工具,可以帮助管理员更有效地管理计算机系统和用户。
通过组策略,管理员可以配置和管理大量计算机的设置,如网络连接、安全设置、软件安装和用户权限等。
本文将探讨组策略的配置与管理,包括如何创建和编辑组策略以及如何将其应用于特定的计算机或用户。
2. 组策略的概念组策略是一组在活动目录中定义的配置规则,用于控制计算机和用户的行为。
这些规则可以被应用于特定的组织单位,如域、组织单元或站点。
组策略可以以层次结构的方式组织,从而实现对不同组织单位或计算机的差异化管理。
3. 创建和编辑组策略在Windows操作系统中,可以使用“组策略管理器”来创建和编辑组策略。
打开组策略管理器并选择要管理的组织单位。
可以通过右键点击“组策略对象”并选择“创建组策略对象”来创建新的组策略。
接下来,可以对组策略进行各种设置,如配置安全设置、设置软件安装和卸载、配置网络设置等。
通过编辑组策略设置,管理员可以根据实际需求来限制或开放特定功能和权限。
4. 组策略的应用一旦创建和编辑完组策略,就需要将其应用到特定的计算机或用户上。
可以通过将组策略链接到域、组织单元或站点来应用组策略。
还可以通过过滤器设置来限制组策略的应用对象,如特定用户、计算机或组织单位。
应用组策略后,用户登录或计算机启动时,组策略将自动应用并生效。
5. 组策略的管理组策略的管理包括对现有组策略的监控、更新和修改。
管理员可以使用组策略管理器来查看已应用的组策略,并验证其效果。
如果需要更新组策略,可以在组策略管理器中编辑并重新应用。
还可以通过备份和恢复组策略设置来保护和恢复组策略的配置。
对于大型组织,可以考虑使用组策略管理工具来集中管理和监控组策略的配置。
6. 组策略的注意事项在配置和管理组策略时,需要注意以下几点。
- 了解组策略的影响范围和优先级,以确保设置的生效顺序和覆盖关系。
- 谨慎使用和配置组策略,以避免意外限制用户的正常操作和访问。
组策略的配置与排错技巧
4.备份,还原组策略 test--右--备份--选择一个位置--新建一个文件 夹---开始备份 删除test---组策略对象--右--管理备份---选择 备份的文件---还原
5.组策略的继承关系 • 默认继承:子OU默认可以继承父OU的所 有组策略 • 阻止继承 • 强制继承 • 设置权限
(1)☻删除test--新建1组策略和2组策略--把1拖 到OU上 查看: OU---组策略继承--两个组策略1和 defualt domain(域级别默认组策略,从 域上继承过来的组策略) 那么OU上的用户计算机,登陆或开机生效的 组策略是两个组策略的和 ☻把2拖到域级别上 查看: OU---组策略继承---三个组策略 OU同时应用了三条组策略,如果之间有了 冲突,则列表中顺序上面的优先级最高
防止指定程序在不同电脑上运行本地电脑任何在域里的电脑可以通过组策略来限制客户端能使用的软件哈希规则?利用文件的md5或sha1的hash来做比较?当您有一个多版本的文件时来防止有些版本的运行路径规则?利用路径来做比较?当您的文件夹里含有许多要被运行程序所用到的文件证书规则?利用程序上的数码签名来做比较?防止有些win32的程序或含有activex的程序运行internet区域规则?控制不同webapplication在不同的internet区域里组策略1编辑安全设置软件限制策略创建软件策略其他规则新建路径规则c
• 客户端必须满足这三个条件才会返回 真,就可以应用该组策略,如果为假 则不应用 3. 和组策略1做连接---WMI筛选器--disk
什么是软件限制策略
• • • • 软件限制策略可以控制电脑上运行什么样的程序 只允许用户在多用户电脑上运行指定类型的文件 控制哪些用户运行软件时有限制 防止指定程序在不同电脑上运行 本地电脑 任何在域里的电脑
域控中组策略基本设置
域控中组策略基本设置组策略是在Windows Server域控制器上用于管理网络中计算机和用户设置的集中管理工具。
通过组策略,管理员可以控制和配置域中计算机和用户的许多行为和设置。
下面将介绍组策略的基本设置。
1.创建组策略对象(GPO):在域中的组策略管理中打开“组策略管理”后,右键点击“域对象”,选择“创建一个GPO在这里,并链接这个GPO在此处”,填写名称并创建。
2.修改组策略设置:(1)计算机配置:可以设置计算机的安全性选项、软件安装、启动和关机脚本、Windows设置等。
其中一项重要的设置是安全设置,可以设置密码策略、账户策略、用户权限等以增强计算机的安全性。
(2)用户配置:可以设置用户的桌面设置、启动和关机脚本、 Internet Explorer设置等。
其中一项重要的设置是目录重定向,可以将用户的特定文件夹(如“我的文档”)重定向到网络共享文件夹,以实现数据备份和集中管理。
3.配置组策略的应用范围:组策略可以应用到不同范围的目标对象上,包括域、站点和组织单位。
可以通过链接组策略、过滤器和安全分组来控制组策略的应用范围。
(1)链接组策略:在组策略管理中,右键点击目标范围,选择“链接已存在的GPO”,选择要链接的GPO。
(2)过滤器:可以设置组策略在特定条件下才应用,如特定用户或计算机,通过右键点击链接的GPO,选择“属性”,在“安全”选项卡中设置过滤器。
(3)安全分组:可以通过集成权限管理来设置组策略的应用范围,通过右键点击链接的GPO,选择“属性”,在“高级”选项卡中设置安全分组。
4.更新组策略:组策略的更改需要更新到目标计算机上才能生效。
Windows客户端默认每隔90分钟自动更新组策略,也可以使用命令“gpupdate /force”立即强制更新。
以上是组策略的基本设置,通过组策略的灵活配置,管理员可以集中管理和控制域中计算机和用户的行为和设置,提高网络安全性和管理效率。
经典实用的组策略配置
自定义IE工具栏(Windows 2000/XP/2003)通过组策略我们还可以自定义IE工具栏,打造属于我们自己的IE。
方法如下:打开“组策略控制台→用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目,在这里,我们可以自定义浏览器工具栏的背景图片,点击“浏览”选择一个BMP的位图文件即可。
另外我们还可以在IE的工具栏上添加自己的快捷方式,比如添加“我的QQ”,在这里也可以很轻松地完成。
,打开组策略的“用户配置→Windows设置→Internet Explorer维护→浏览器工具栏自定义”对话框,点击“添加”按钮,弹出“浏览器工具栏按钮信息”对话框,在这里就可对QQ按钮进行详细设置了,输入按钮的标题,找到QQ安装执行程序路径,并将制作好的QQ两个明暗头像,分别输入到颜色图标栏和灰色图标栏中,点击“确定”,再次打开IE后就可以看到修改的效果了。
清除上网的痕迹每次冲浪过后,系统都会“自做主张”地记录下上网的痕迹,其他人很容易通过这些痕迹,偷窥到自己的上网隐私。
为了避免自己的隐私不被外人非法偷窥到,你或许会在每次冲浪结束后,用手工清除的方法将各种上网痕迹逐一抹除掉,很显然这种方法不但烦琐,而且也不大容易记住。
其实,你可以通过下面的方法,让系统在注销的那一刻自动抹除所有的上网痕迹:首先创建一个批处理文件,确保在执行完该文件后,能自动将所有的上网痕迹全部清除掉。
在创建这样的批处理文件时,可以先打开记事本之类的文本编辑工具,然后在编辑界面中输入下面的命令代码:@echo offcd c:\windows\local settings\temporary internet filesc:\windows\command\deltree .\*.* /y之后,依次执行文本编辑界面中的“文件”/“保存”命令,将前面的命令代码保存成扩展名为“bat”的批处理文件,例如这里笔者将它保存为“autodel.bat”文件,当然该文件只对Win98或WinMe系统有效,如果要想自动清除Win2000以上版本系统中的上网痕迹时,就必须在文本编辑界面中输入下面的命令代码:@echo offcd c:\ documents ad settings\administrator\local settings\temporary internet filesc:\winnt\system32\deltree .\*.* /y而且要想让上面的批处理文件执行成功的话,还需要事先将Win98系统下的“Deltree.exe”命令,直接复制到Win2000以上版本系统的“c:\winnt\system32”目录下;当然如果Windows系统并没有按照默认设置来安装时,还需要将批处理文件中的系统安装路径,设置成实际的安装路径。
组策略使用技巧
组策略使用技巧组策略使用技巧是团队合作中一种有效的管理和决策工具,下面介绍一些组策略使用的技巧。
首先,制定明确的目标。
在使用组策略之前,团队需要明确决策的目标和目的。
只有明确的目标,才能确保团队在制定策略时能够集中注意力并保持一致性。
其次,确保团队成员的参与。
组策略的核心是鼓励所有团队成员参与和贡献意见。
团队领导者应当鼓励团队成员积极参与讨论,并给予他们表达意见的机会。
团队成员的参与将有助于形成全面的思考,从而得出更全面的策略。
第三,建立有效的沟通机制。
沟通在组策略中起着重要作用。
团队领导者需要建立一个有效的沟通机制,以确保团队成员能够充分了解决策过程和结果,并能够交流和分享他们的意见和想法。
团队领导者应当提供多种沟通途径,如会议、电子邮件、在线平台等。
第四,倾听和尊重团队成员的意见。
作为团队领导者,必须尊重和倾听团队成员的意见。
团队成员可能有不同的观点和想法,领导者需要认真倾听,并在策略制定过程中充分考虑这些意见。
这将有助于增加团队成员的参与感和归属感,更好地激发他们的创造力和主动性。
第五,鼓励合作和协作。
组策略的目的是通过合作和协作来制定最佳策略。
团队领导者应当鼓励团队成员之间的互相合作,鼓励他们分享资源和知识,并提供支持和帮助。
通过合作和共享,团队成员可以更好地利用各自的优势和专长,从而制定更好的策略。
最后,持续评估和反馈。
组策略不是一次性的活动,而是一个持续不断的过程。
团队领导者应当定期评估和反馈策略的执行情况,并根据实际情况进行调整和改进。
这将有助于团队不断学习和提高,以实现最佳的决策效果。
总之,组策略使用技巧的核心是明确目标、鼓励参与、建立有效沟通、倾听和尊重意见、鼓励合作和协作,以及持续评估和反馈。
只有充分利用这些技巧,团队才能在使用组策略时取得最佳效果。
Win7系统常用组策略设置技巧
Win7系统常用组策略设置技巧平时我们对电脑进行一些设置时都需要使用到组策略编辑器,通过使用组策略可以设置各种软件、电脑和用户策略,如显示上次登录系统的时间、设置登录密码错误次数、限制隐藏磁盘分区等。
小编为大家整理的一些常用组策略设置技巧,一起看看吧。
1、显示上次登录Win7系统的时间有时候我们不想他人对自己的电脑进行设置,或查看里面的文件资料,那么有什么方法可以让我们快速的知道电脑有没有被人动过呢?其实Win7系统中有一个功能,可以显示上一次登录的时间,这样就可以知道到底有没有被人动过电脑了。
方法技巧:打开组策略编辑器窗口,依次展开到“计算机配置--管理模块--W indows组件--Windows登录选项”,在右侧找到并双击打开“在用户登录期间显示有关以前登录的信息”,将其设置为“已启用”,这样当每次成功登录后都会提示上次登录的情况,包括登录是否成功,以及详细的登录时间。
2、设置Win7登录密码错误次数及锁定相信很多人为了保护电脑里面的数据或一些私密文件都会设置密码,但生活中难免会遇到一些人,不断的尝试登录密码去查看你电脑里面的信息。
如何才能更好地保护自己的电脑隐私呢?我们可以通过本地组策略来设置登录次数上限,密码输入错误几次就会自动锁定计算机且只有等多长时间后才能再次输入密码。
方法技巧:打开组策略编辑器窗口,依次展开到“计算机配置--Windows设置--安全设置--账户策略--账户锁定策略”,在右侧找到并双击打开“账户锁定阙值”,接着设置登录尝试失败的次数即可。
3、限制、隐藏磁盘分区平时我们会在电脑上存放一些重要的文件或资料,不想让别人看到,如何才能保护我们的隐私文件呢?这时我们可以通过限制或隐藏磁盘分区来实现数据的保护。
方法技巧:打开组策略编辑器窗口,依次展开到“用户配置--管理模板--Win dows组件--Windows资源管理器”,在右侧找到并双击打开“防止从‘我的电脑’访问驱动器的属性”,设置为“已启用”并在下面的选择驱动器的下拉列表中选择我们希望限制的驱动器,点击确定即可。
组策略配置及实践技巧
组策略配置及实践技巧组策略对象可以应用到的容器包括:站点、域、和OU中。
默认的域策略、域控制器策略尽量不要去修改。
默认的域策略会影响到所有的域内的用户,计算机以及DC,默认的域控制器策略只会影响到域内的所有的域控制器。
组策略(group policy)对象包括组策略容器(GPC)和组策略模板(GPT)组策略是AD集中管理的工具。
GPC存放在AD用户和计算机中。
存放位置如下:高级功能-选择域-system-policies对应的UID中,单击属性可以查看版本号等信息,CPT存放于sysvol\域名\polilcies\ID number下的文件夹下,包含计算机和用户的配置,以及版本号。
多个GPO可以链接到一个容器,一个GPO可以链接到多个容器。
计算机如何知道组策略是否更改过?如何获取适合自己的组策略?计算机在登录时首先查看GPlink(adsiedit.msc中域-属性-属性编辑器),查看ID和对应的版本号是否更改过,以便登录的时候实施对应的组策略。
计算机和用户如果要应用组策略对象的设定:计算机和用户必须位于GPO有链接的SDOU容器内。
必须对GPO要有读取和应用组策略的权限。
组策略对象冲突时:1:计算机策略覆盖用户策略。
2:不同层次的策略产生冲突时,子容器上的GPO优先级高3:同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。
(按照链接的组策略对象的顺序执行)总体原册:后执行的优先级高。
变更组策略管理顺序:阻止继承,强制。
设为强制的GPO优先级最高。
阻止继承:就是在父策略的对象不在子策略中实施。
不要轻易设置强制和阻止继承。
方便排错。
安全策略:删除默认的authenticated user组,按照GPO设定创建安全组,为安全组分配权限。
问题:如何实现OU内的GPO只对OU内特定人员生效?(GPO 只对财务部OU和销售部OU的经理生效)使用安全过滤;在AD用户和计算机上新建一个安全组,将需要生效的成员(经理)添加进来,在所要生效的GPO中右击属性-委派-高级,删除默认的authenticated user组,将新建的安全组添加进来,权限中设置读取和应用组策略权限即可。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组策略对象可以应用到的容器包括:站点、域、和OU中。
默认的域策略、域控制器策略尽量不要去修改。
默认的域策略会影响到所有的域内的用户,计算机以及DC,默认的域控制器策略只会影响到域内的所有的域控制器。
组策略(group policy)对象包括组策略容器(GPC)和组策略模板(GPT)组策略是AD集中管理的工具。
GPC存放在AD用户和计算机中。
存放位置如下:高级功能-选择域-system-policies对应的UID中,单击属性可以查看版本号等信息,CPT存放于sysvol\域名\polilcies\ID number下的文件夹下,包含计算机和用户的配置,以及版本号。
多个GPO可以链接到一个容器,一个GPO可以链接到多个容器。
计算机如何知道组策略是否更改过?如何获取适合自己的组策略?计算机在登录时首先查看GPlink(adsiedit.msc中域-属性-属性编辑器),查看ID和对应的版本号是否更改过,以便登录的时候实施对应的组策略。
计算机和用户如果要应用组策略对象的设定:计算机和用户必须位于GPO有链接的SDOU容器内。
必须对GPO要有读取和应用组策略的权限。
组策略对象冲突时:1:计算机策略覆盖用户策略。
2:不同层次的策略产生冲突时,子容器上的GPO优先级高3:同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。
(按照链接的组策略对象的顺序执行)总体原册:后执行的优先级高。
变更组策略管理顺序:阻止继承,强制。
设为强制的GPO优先级最高。
阻止继承:就是在父策略的对象不在子策略中实施。
不要轻易设置强制和阻止继承。
方便排错。
安全策略:删除默认的authenticated user组,按照GPO设定创建安全组,为安全组分配权限。
问题:如何实现OU内的GPO只对OU内特定人员生效?(GPO只对财务部OU和销售部OU的经理生效)使用安全过滤;在AD用户和计算机上新建一个安全组,将需要生效的成员(经理)添加进来,在所要生效的GPO中右击属性-委派-高级,删除默认的authenticated user组,将新建的安全组添加进来,权限中设置读取和应用组策略权限即可。
(尽量不要使用,方便排错)如何使其他用户具有编辑组策略的权限?在所设置的组策略上点击添加,将用户添加进来,给予相应的权限,给定的用户即可编辑对应的组策略。
如何设置域中用户具有修改域的所有组策略(不包含给定权限的用户自己编辑的组策略)的权限?单击AD用户和计算机,单击group policy creator owners-属性,将需要添加的成员添加进来即可。
如何设置域中GPO的链接的权限?(将设置的组策略对象链接到相应的容器中的权限)在AD用户和计算机上单击域,右击委派控制-添加,将要添加的用户添加进来,然后给予相应的权限即可。
如何查看当前系统新增的组策略功能?GPedit中单击管理模板-查看-筛选器选项,勾选相应选项即可查看。
组策略结果集RSoP的用处?MMC中添加策略的结果集即可以打开RSoP可以选择记录模式和计划模式,记录模式显示当期应用的组策略结果,计划模式显示模拟的即将应用的组策略结果,单击更改查询切换,进行查询。
GPMC中策略的结果为RSoP的记录模式。
(推荐使用)提供HTML报告,可以保存报告组策略建模的作用?打开方式:GPMC中,右键组策略建模、OU节点、域名节点下拉菜单中单击组策略建模向导。
在组策略排错方面与组策略结果集配合使用可以方便排错。
软件限制策略常用有哪些?有路径规则域哈希规则。
路径规则可以限制咋某个路径下的文件的限制,用户修改了此文件的路径,便无效。
哈希规则即为限制某个文件的哈希值,无论文件在何处,都不可以运行。
如果一个程序有多个软件限制策略规则,该如何应用?按照1:哈希;2:证书;3:路径;4:internet区域路径规则;优先级顺序执行。
组策略的执行顺序为:本地策略、站点策略、域策略、父OU策略、子OU策略。
后执行的优先级高。
如多于一个的同类规则作用于同一个程序,则同类规则中最具有限制能力的规则起作用。
使用软件限制策略的最佳实践:1.不要修改默认的域策略,不要链接外域策略。
2.坚持为软件限制策略建立独立的组策略对象。
3.如果应用软件限制策略出现预期之外的问题,请以安全模式启动计算机修正策略。
4.为获得最好的限制效果,请连同访问策略一起使用软件限制策略。
5.在软件限制策略应用前应在测试环境进行测试。
6.慎重使用“不允许的”默认策略7.不要删除系统自动建立的注册表路径规则多个组策略的合并1.默认安全级别、文件类型、check dll、skip admin均由最高及的GPO设置2.附加规则将被合并3.如同时在计算机和用户上建立了SRP(安全级别),则:1.限制最严格的默认安全级别被选择2.文件类型以计算机的优先,没有才使用用户的3.skip admin一直用计算机的策略4.check dll只要设置了就启用5.其他规则将被合并软件分发的共享文件夹权限如何设置及操作步骤?先在服务器端建立一个共享文件夹设置成隐藏共享,只读和执行即可,无须给更高权限。
其次策略-软件设置,点击软件安装。
选择网络路径安装,不可点击本地路径安装。
路径指向隐藏的共享文件夹,客户端在登录的时候双击此文件便自动安装。
指派和发布如何区分?将软件指派给计算机,会安装到all user中,所有使用此计算机的用户均可使用,仅管理员可卸载。
将软件指派给用户,会在开始菜单中添加一个快捷方式,双击即安装。
不能将软件发布给计算机。
将软件发布给用户时,会在添加删除程序中显示发布的软件。
单击此软件程序的文件时,会自动查询DC后,关联进行安装。
系统会通过指派或发布的软件自动探测并修复已经损坏的软件。
软件发布指派时,单击软件安装-属性,指定将要发布的软件的网络位置,\\计算机名\文件夹对于要写入注册表的软件,打开组策略的安全模板-兼容性安全模板,降低客户端对注册表的权限。
文件夹重定向如何操作?服务器端创建共享文件夹,在共享和安全给予相应足够的权限,单击组策略管理器-目标,文件夹重定向,设置选择高级,指定安全组成员身份(为哪些用户做文件夹重定向)添加,选择安全组成员,及根路径(须为网络路径),设置选项查看相应选项。
GPMC中的安全筛选很重要。
可以限制特定用户使用某个GPO。
迁移表的用处?跨域迁移在实验环境中调试的GPO想应用于生产环境中,在复制和导入时,安全主体(用户名、组、计算机)UNC不一致,应用之前使用迁移表,影射源GPO中的安全主体、UNC到目标GPO中新值的文件。
打开迁移表方式:mtedit.exe GPMC下,右击域下拉菜单中选择打开迁移表编辑器。
右击组策略对象中选择打开迁移表编辑器。
适用于迁移表的安全主体包括:安全策略设置中的用户权限分配、受限制的组、系统服务、文件系统、注册表高级文件夹重定向策略设置GPO的DACL(执行复制操作时,选择保留)软件安装对象的DACL适用于使用迁移表的UNC:文件夹重定向策略设置软件安装策略设置中的软件分发点脚本指针使用迁移表:使用前先验证表(工具-验证表)“从GPO写入”和“从备份写入”自动填充迁移表推荐使用使用“独占方式使用迁移表”如何禁止客户端本地登录,只能使用域环境登录?打开GPMC,在所要设置的GPO中编辑如下:计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中,单击允许本地登录,安全选项中,帐户:管理员帐户状态,禁用,可以实现只能登陆到域。
管理模板管理模板的策略是基于注册表的策略,管理模板定义了如何修改注册表。
组策略中提供大量的设定使管理员可以通过一次设定,管理多台计算机或者多个用户。
组策略中很大一部分设定实际上是改动注册表(registry_based_policy)管理模板(.Adm)文件定义了组策略如何修改注册表所有基于注册表的组策略设定存为registry.pol,存放在sysvol中。
.adm文件实际上提出一种供企业管理员管理客户端注册表/应用程序的配置方法。
组策略的实践技巧1.单独保留默认的GPO密码、帐户锁定、kerberos策略、登录时间用完自动注销用户、重命名管理员帐户和重命名来宾帐户必须在域级别实现。
2.设计你的OU结构一. 将DC放在DC所在的OU并单独管理,不要移动,此OU中含有default domain controller policy 二. 为用户和计算机创建单独的OU使用OU把用户和计算机按照角色分组。
不同角色的用户、服务器放在不同的OU中域控制器保留在默认的domain controllers OU下3.反对跨域GPO链接(父域的GPO直接链接到子域中)一. 将明显的影响处理时间(加大处理时间)增加排错难度二. 违反问题简单化的原则,在一个域中更改GPO设置将影响到另一个域三. 使用GPO备份和复制实现父域与子域使用相同的GPO,不必跨域链接4.谨慎使用强制、阻止继承、回环处理模式一. 增加了处理时间和排错难度(可以使用强制,但不要使用阻止继承)二. 回环处理模式会给排错带来负担,但有特定的场景使用(1).通常用于保证等于的每一个用户都能获得相同的配置(2).用于特定的计算机(公共场所的电脑、图书馆)(3).需要基于使用的计算机来修改用户策略(4)经常用户终端服务实现5.一切简单化一. 每增加一个GPO都会增加复杂性二. 限制谁能创建、修改、链接GPOs(委派)三. 如果可能的话,尽量使用:默认的域策略(用户帐户设置)基线的安全策略(强制)(应用到域中的每个用户,计算机)一个指定OU的策略(专门针对某个OU包含一些唯一设置的GPO)四. 反对为每一个GPO设置安全过滤器五. 仅仅对每个GPO中需要的设置做修改,其他保留默认状态6.在GPMC中进行所有的操作一. 使用GPMC的RSOP工具二. 在测试环境和生产环境进行迁移7.即使没有改变设置也强制重新应用策略一. 组策略位置:计算机或用户配置-管理模板-系统-组策略-每一种策略的类型(策略处理)二. 适用于当用户是计算机的本地管理员组的成员时三. 考虑禁用“允许通过慢速网络连接进行处理”(低于500k/s)提高网络流量8.使windowsXP同步处理组策略组策略位置:计算机配置-管理模板-系统-登陆-计算机启动和登陆时总是等待网络9.使用GPO的命名惯例一. 保证GPO的一致性并保证容易理解(创建GPO的人越多,一致性越差)二. 使用简洁的名字描述GPO的意图。
推荐三个关键字符命名:范围、目的、谁管理10.为新的帐户指定策略一. 默认情况下所有新帐户不能链接GPOs到这些容器二. 域中使用rediruser.exe和redircmp.exe指定所有新计算机/ 用户帐户创建时的默认OU 三. 要求windows服务器域的功能级别至少为windows2003四. 允许使用组策略管理新创建的帐户11.如何阻止用户访问特定的驱动器?一. 组策略位置:用户配置-管理模板-windows组件-windows资源管理器-防止从“我的电脑”访问这些驱动器二. 下载GPdriveoption12.密码存储安全一. 不允许存储LM哈希值,位置:计算机配置-windows设置-安全设置-本地策略-安全选项-网络安全:不要在下次更改密码时存储LM manager哈希值。