windows 2008 r2 组策略设置和应用

Windows server 2008 R2 用组策略隐藏指定磁盘驱动器（盘符）1.我们通过修改C:\Windows\PolicyDefinitions\WindowsExplorer.admx这个文件来达到在Windows server 2008中隐藏指定盘符的功能.(编辑这个文件可以用记事本或者是notepad++)2.首先找到C:\Windows\PolicyDefinitions目录下的WindowsExplorer.admx和C:\Windows\PolicyDefinitions\zh-CN目录下的WindowsExplorer.adml两个文件，分别复制到桌面作为备份。

3.在WindowsExplorer.admx文件中查找字段NoDrives,添加相应的字符串可以设置隐藏指定的磁盘驱动器;查找字段NoViewOnDrive,并修改相应的字段,可以设置拒绝从Windows资源管理器访问某个磁盘驱动器.下面以设置隐藏指定的磁盘驱动器为例:(下列黑体字我测试时设置的"只显示Z,其他盘符不显示.")<policy name="NoDrives" class="User" displayName="$(string.NoDrives)"explainText="$(string.NoDrives_Help)" presentation="$(presentation.NoDrives)"key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"><parentCategory ref="windows:WindowsExplorer" /><supportedOn ref="windows:SUPPORTED_Win2k" /><elements><enum id="NoDrivesDropdown" valueName="NoDrives" required="true"><item displayName="$(string.ABOnly)"><value><decimal value="3" /></value></item><item displayName="$(string.COnly)"><value><decimal value="4" /></value></item><item displayName="$(string.DOnly)"><value><decimal value="8" /></value></item><item displayName="$(string.ABConly)"><value><decimal value="7" /></value></item><item displayName="$(string.ABCDOnly)"><value><decimal value="15" /></value></item><item displayName="$(string.ALLDrives)"><value><decimal value="67108863" /></value></item><item displayName="$(string.RestNoDrives)"><value><decimal value="0" /></value></item><item displayName="$(string.Zonly)"><value><decimal value="33554431" /></value></item></enum></elements></policy>…… ……（此处省略若干代码）<policy name="NoViewOnDrive" class="User" displayName="$(string.NoViewOnDrive)" explainText="$(string.NoViewOnDrive_Help)"presentation="$(presentation.NoViewOnDrive)"key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"><parentCategory ref="windows:WindowsExplorer" /><supportedOn ref="windows:SUPPORTED_Win2k" /><elements><enum id="NoDrivesDropdown" valueName="NoViewOnDrive" required="true"><item displayName="$(string.ABOnly)"><value><decimal value="3" /></value></item><item displayName="$(string.COnly)"><value><decimal value="4" /></value></item><item displayName="$(string.DOnly)"><value><decimal value="8" /></value></item><item displayName="$(string.ABConly)"><value><decimal value="7" /></value></item><item displayName="$(string.ABCDOnly)"><value><decimal value="15" /></value></item><item displayName="$(string.ALLDrives)"><value><decimal value="67108863" /></value></item><item displayName="$(string.RestNoDrives)"><value><decimal value="0" /></value></item><item displayName="$(string.Zonly)"><value><decimal value="33554431" /></value></item></enum></elements></policy>红色字体为增加的代码，总共2处。

windows2008 r2的账户锁定策略Windows2008 R2是微软公司推出的一款服务器操作系统。

在这个操作系统中，账户锁定策略是非常重要的一项安全措施。

本文将详细介绍Windows2008 R2的账户锁定策略，并一步一步回答与之相关的问题。

一、什么是账户锁定策略？账户锁定策略是指在一定的条件下，当用户连续输入错误的密码达到一定次数时，系统会自动锁定该账户一段时间，以保护系统的安全。

账户锁定策略可以防止暴力破解攻击，提高系统的安全性。

二、账户锁定策略的设置方法？步骤一：登录Windows Server 2008 R2系统，以管理员权限打开“服务器管理器”。

步骤二：在“服务器管理器”中，选择“配置”选项卡，点击“本地用户和组”，在右侧窗口中点击“用户”。

步骤三：在“用户”窗口中，选择需要设置账户锁定策略的用户，右键点击，选择“属性”。

步骤四：在“属性”窗口中，选择“账户”选项卡，在“帐户锁定”部分，点击“锁定帐户”复选框，并设置相关参数，比如“账户锁定阈值”和“锁定持续时间”。

然后点击“确定”保存设置。

三、账户锁定策略的参数解释1. 账户锁定阈值：表示当用户连续输入错误的密码次数达到设定的值时，系统会自动锁定该账户。

一般建议将该值设置为3~5次，以兼顾安全与用户体验。

2. 锁定持续时间：表示当账户被锁定后，需要等待的时间解锁账户。

可以选择设定一段时间（如15分钟），也可以设置为管理员手动解锁。

根据实际需求和安全要求进行设置。

四、账户锁定策略的作用账户锁定策略可以有效地防止恶意用户进行暴力破解攻击。

通过限制用户连续尝试错误密码的次数，避免了暴力破解攻击者利用程序自动化尝试密码。

同时，账户锁定策略还可以提醒用户注意密码的安全性，避免使用过于简单的密码。

五、账户锁定策略的注意事项1. 合理设置账户锁定阈值和锁定持续时间。

如果设置太低，可能会导致用户频繁被锁定，影响正常使用；如果设置太高，可能会增加系统被攻击的风险。

Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口1给administrator用户加密码，开始运行control userpassword2控制面板\用户帐户给administrator设密码control userpasswords2这个运行命令，可以取消输入密码你输入的没有错误，可能是你机子根本没有密码吧，你仔细看会发现你的指针是闪过一下漏斗的。

下面的效果一样的开始--运行，输入“rundll32 netplwiz.dll,UsersRunDll”，按回车键后弹出“用户帐户”窗口，看清楚，这可跟“控制面板”中打开的“用户账户”面板窗口不同哦！然后取消选定“要使用本机，用户必须输入用户名和密码”选项，单击确定，在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可。

2修改远程访问端口，这个可以在使用的软件上修改修改远程访问服务端口更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208，重启生效！Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002010（1）在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp（3）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp（5）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为同上的端口（6）在控制面板--Windows 防火墙--高级设置--入站规则--新建规则（7）选择端口--协议和端口--TCP/特定本地端口：同上的端口（8）下一步，选择允许连接（9）下一步，选择公用（10）下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。

2008r2 安全策略写入注册表在Windows Server 2008 R2中，可以通过组策略编辑器（Group Policy Editor）来配置安全策略，并将其写入注册表。

以下是一些步骤，可以帮助您在Windows Server 2008 R2中配置安全策略并写入注册表：1. 打开组策略编辑器：按下Win键，键入“组策略编辑器”，然后选择“组策略编辑器”。

2. 导航到所需的策略：在左侧导航窗格中，展开“计算机配置”或“用户配置”，然后选择“策略”文件夹。

3. 创建或编辑策略：右键单击“策略”文件夹，选择“创建新策略”或“编辑策略”。

4. 配置安全设置：在右侧窗格中，展开“安全设置”文件夹。

5. 配置安全选项：在“安全设置”文件夹中，您可以配置各种安全选项，例如帐户策略、本地策略、审核策略等。

根据您的需求进行必要的配置。

6. 确定策略：完成配置后，右键单击“安全设置”文件夹，选择“应用”以使更改生效。

7. 将策略写入注册表：在组策略编辑器中，展开“计算机配置”或“用户配置”，然后展开“Windows设置”文件夹。

8. 创建或编辑注册表项：右键单击“注册表”文件夹，选择“创建新项”或“编辑项”。

9. 将值添加到注册表：在右侧窗格中，选择要添加的注册表项，然后右键单击该项并选择“新建”>“DWORD值”或“字符串值”，根据需要为其指定名称和值。

10. 应用更改：完成注册表项的配置后，右键单击“注册表”文件夹，选择“应用”以使更改生效。

11. 关闭组策略编辑器：在组策略编辑器窗口中，单击“文件”>“退出”以关闭组策略编辑器。

请注意，在更改注册表之前，请确保您已备份注册表并了解注册表编辑器的使用风险。

错误的更改可能导致系统不稳定或无法正常工作。

建议在进行更改之前仔细阅读相关文档并谨慎操作。

如果要想把它作为类似于Windows 7的个人版操作系统的话，安装过后就必须对系统进行一系列的设置，本文介绍了系统安装系统后必须进行的一些配置。

内容半转载半原创，根据个人的经验和习惯加以整合，设置项太杂，对于转载的原文恕不一一引用了。

一、组策略和杂项（1）组策略中使用简单密码策略（取消复杂性和最长期限要求，最小长度设为0可以使用空密码）（2）组策略中启用“无须按Ctrl+Alt+Del”登录（3）组策略中禁用“关机事件跟踪程序”（为了取消关机原因的提示）关机事件跟踪(Shutdown Event Tracker)对于服务器来说这是一个必要的选择，但是对于工作站系统却没什么用，我们同样可以禁止它。

打开”开始“Start ->”运行“Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker”在出现的对话框中选择“禁止”(Disabled)，点击然后“确定”(OK)保存后退出这样，你将看到类似于windows 2000的关机窗口。

（4）组策略中设置开始菜单电源按纽为关机也可以不从组策略中修改此设置项（位于用户配置），而可以从“开始菜单和任务栏属性-开始菜单”中配置。

从开始菜单中修改并不会影响到组策略中的设置项，但是组策略中的修改将覆盖开始菜单中的配置。

建议从开始菜单属性中修改，这更方便一些，对系统影响也小。

（5）组策略中启用不显示“管理您的服务器”页（也可以在“管理您的服务器”页上直接设置）（6）关闭IE“增强安全配置”（ESC），建议更改主页（默认是安全提示页）（7）处理器计划设置为“程序”优先（8）数据执行保护设置为“仅为Windows基本程序和服务启用DEP”（9）在“桌面-个性化”设置中启用AERO主题（需要先按添加相关的服务和功能）（10）允许在登录界面执行关机（允许未登录时关机）对于服务器来说，在登录界面显示关机按钮是很不好的，意味着任何人都有权关闭服务器。

Windows2008应用之组策略分发应用程序安装和维护软件对于我们从事IT行业的人来说是常有的事，也是一件特别耗时的事。

现在技术的不断发展也同时带动着软件的频繁更新，为了适应公司作业的需求，我们也只能随着潮流将软件卸了又装，装了又卸。

一两台机如果采用手动进行安装相信不是件难事，但是当我们面对几十、上百上千甚至更多的客户端要同时安装新软件时，采用手动操作可想而知是件又耗时又耗力的事，而且还存在被他人追在屁股后面大叫的情况。

面对这些，我们有没有更好的办法来解决这个问题呢?其实微软已经推出如SMS、SCCM自动化部署工具。

但在这里我将给大家带来更为简单可行的办法－－利用组策略分发应用程序，这样即可以让大家省去一笔银子去购买SMS、SCCM工具，也可以很好的实现我们的目的。

一、准备工作1、部署一台Windows2008服务器，安装域控或加入到已经存在域中。

2、客户端加入与服务器相同的一个域中。

3、在AD中建立相应的组织单元和用户。

4、在Windows2008服务器中共享一个目录用于存储所需分发的软件，并且共享及安全权限要给验证用户只读权限。

二、设置组策略1、打开“组策略管理器”，依次展开到“组策略对象”，右键选择“新建”创建一个新的组策略对象，当然你也可以用它默认的进行修改。

2、在已经建立的新的组策略对象上双击或右键点编辑对新策略进行编辑，进入到“组策略管理编辑器”中展开“用户配置”并依次展开到“软件安装”，并点右键选择“新建”－“数据包”。

3、选择所需部署的软件，记住这里我们只能部署MSI格式的应用程序，EXE格式需要进行重新封装为MSI格式才能部署(转换工具有很多如：Wininstall,大家可以到网上去搜索下载)，选择文件时需要使用它的网络路径（如：\\dc2-2008\Install files\…)，否则客户端将无法读取文件，部署将失败。

4、建立好数据包后，我们将看到“软件安装”中已经有一条数据，其中“来源”中是网络路径，而部署状态是根据“软件设置”的默认状态来确定，主要有“已发布”和“已分配”两种。

Windows Server 2008 R2 常规安全设置及基本安全策略1、目录权限除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全)。

备注：方便多种版本Windows远程管理服务器。

windows server 2008的远程桌面连接，与2003相比，引入了网络级身份验证（NLA，network level authentication)，XP SP3不支持这种网络级的身份验证，vista跟win7支持。

然而在XP系统中修改一下注册表，即可让XP SP3支持网络级身份验证。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中双击Security Pakeages，添加一项“tspkg”。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders，在右窗口中双击SecurityProviders，添加credssp.dll；请注意，在添加这项值时，一定要在原有的值后添加逗号后，别忘了要空一格（英文状态）。

然后将XP系统重启一下即可。

再查看一下，即可发现XP系统已经支持网络级身份验证3、修改远程访问服务端口更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208，重启生效！Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002010（1）在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp （3）找到右侧的"PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp （5）找到右侧的"PortNumber"，用十进制方式显示，默认为3389，改为同上的端口（6）在控制面板--Windows 防火墙--高级设置--入站规则--新建规则（7）选择端口--协议和端口--TCP/特定本地端口：同上的端口（8）下一步，选择允许连接（9）下一步，选择公用（10）下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。

想把Workstation 加入到DC，作为额外的辅助DC现在用检查网络连接的命令，结果显示passed就是对的此时只需要把windows中增加一条默认域控制器组策略就可以了windows2000中的组策略刷新查看dc完成情况组策略的概念组策略建在站点域OU应用对象用户对象计算机对象组策略功能介绍：设置集中化和分散化策略确保用户处于其所需的工作环境中控制用户和计算机的环境实施公司策略Sysvol 文件夹的重要性：若删除了sysvol 文件夹，会造成AD中组策略不可用，界面呈灰色，网络停用也会出现这样的问题删除sysvol文件夹运行去看组策略出现错误现添加sysvol文件夹刷新后就可以用组策略了windows2000时用Secedit 强制刷新windows2003时用gpupdate 刷新Ad 有关联DNS 有关联网络有关联Gpresult.exe查看组策略的结果重点查看：先安装一个gptools，然后把生成结果存到gp.txt Gpresult.exe 的应用GPOTool.exe 检验组策略文件的“健康情况”以及查看GPO的组策略还在不在如何应用先验证DC 再验证DC上的相关组策略Repadmin.exe 命令工具来做强行复制通过命令行进行强行复制使用NTFRSUtl.exe来检查订阅信息首先安装工具检查NTFS数据库文件FRS数据库文件位于winnt\ntfrs\jeb\ntfrs.jdb下面GPMC不是windows2003内置的工具安装GPMCGPMC的进入方式组策略管理控制台可以实现组策略的备份和还原组策略建模：可以模拟一个用户登录到另外一台计算机上是什么情况GPMC不能装在windows2000上，但是GPMC能够去管理windows2000的域使用第三方工具。

windows2008 r2的账户锁定策略-回复Windows Server 2008 R2是微软公司推出的一款服务器操作系统，它提供了丰富的功能和安全策略，其中之一就是账户锁定策略。

在本文中，我将详细介绍Windows Server 2008 R2的账户锁定策略，包括其原理、配置方法以及相关注意事项。

首先，让我们来了解账户锁定策略的原理。

在Windows Server 2008 R2中，账户锁定策略是一种安全措施，用于保护系统免受恶意攻击。

当一个账户发生多次无效的登录尝试时，系统会根据账户锁定策略的设置来决定是否锁定该账户，从而防止攻击者通过猜测密码或暴力破解的方式登录系统。

接下来，让我们看看如何配置账户锁定策略。

在Windows Server 2008 R2中，可以通过本地安全策略或组策略来配置账户锁定策略。

下面是一步一步的配置方法：1. 使用管理员权限登录Windows Server 2008 R2系统。

2. 打开“开始”菜单，选择“管理工具”，然后点击“本地安全策略”或“组策略管理”。

3. 在左侧导航栏中选择“账户策略”，然后点击“账户锁定策略”。

4. 在右侧窗口中，找到“账户锁定阈值”设置选项。

这个选项决定了当一个账户发生多次无效的登录尝试时，系统会锁定该账户的次数。

5. 可以根据需要将“账户锁定阈值”设置为一个适当的值。

一般来说，推荐将其设置为5或10次无效登录尝试。

6. 可以选择是否启用“账户锁定复位计时器”。

如果启用了复位计时器，那么在账户被锁定一定时间后，系统会自动将其解锁。

否则，管理员需要手动解锁被锁定的账户。

7. 点击“应用”按钮，然后点击“确定”保存配置。

需要注意的是，在配置账户锁定策略时，应该平衡安全和用户友好性。

设置过于严格的账户锁定阈值可能会导致用户频繁被锁定，影响其正常使用系统。

而设置过于宽松的阈值可能增加系统被攻击的风险。

因此，建议在配置时根据实际情况进行调整。

关于windows2008 的组策略设置开始---运行----gpedit.msc---组策略----计算机配置---- Windows设置----安全设置---组策略设置：在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;启用不允许匿名访问SAM帐号和共享;启用不允许为网络验证存储凭据或Passport;从文件共享中删除允许匿名登录的DFS$和COMCFG;启用交互登录：不显示上次的用户名;启用在下一次密码变更时不存储LANMAN哈希值;禁止IIS匿名用户在本地登录;3.本地安全策略设置:开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组（备注不要加入User组以后无法远程登录。

）通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户防火墙安全设置：计算机配置----管理模板----网络---网络连接----windows防火墙----标准配置文件---windows防火墙保护所有网络连接---- 启动Tsconfig.msc 右键RDP—TCP 属性安全层SSL （TLS.0）加密级别高（带网络认证安全连接）关于目录权限设置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。