组策略与OU中的组没有关系,不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。
一、组策略的基本概念
1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。
2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。
3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU)
4、组策略不适用于Windows9X/N T的计算机,所以应用到这些计算机上无效。
5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。
GPO的特性:
组策略的设置数据都是保存在“组策略对象“(GPO)中,GPO具有以下特性:
1、GPO利用ACL记录权限设置,可以修改个别GPO的ACL,指定哪些人对该GPO拥有何种权限。
2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。当AD域刚建好时,默认仅有一个GPO--DEFAOLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。
GPO的内容:
GPO有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。
2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。
下面来看下
打开属性
可以看到这里只有一个,而且是默认的。点编辑
来到这个默认GPO编辑器。
在这个域树结构中,计算机设置和用户设置称为节点(NODE)而这两个节点又都包含了软件设置、Windows设置和系统管理模块三个子节点。介绍如下:
软件设置:此策略用来管理域内所有软件的安装、发布、指派、更新、修复和删除。
WINDOWS设置:在这里,系统管理员能够设置脚本文件、建立帐户策略、指派USER RIGH T和集中管理用户配置文件。WINDOWS设置在计算机设置与用户设置内,分别有不同的设置项目:在计算机设置的WINDOWS设置中,能够设置脚本文件与安全性设置策略。在用户设置的WINDO WS设置中,能够设置Internet Explorer维护、脚本文件、安全性设置、远程安装服务与文件重定向策略。
系统管理模板:所有涉到注册表的策略都集成在主个子节点下。系统管理模板在计算机设置能够设置WINDOWS元件、系统、网络与打印机策略。在用户设置的系统管理模板,能够设置WINDO WS元件、开始菜单、和任务栏、桌面控制台、网络与系统策略。
GPO与SDOU的连接关系:
GPO本身保存组策略的设置值,必须要进一步指定GPO连接一哪个SDOU,才能使用组策略在应用对象生效。
GPO与SDOU间的连接关系,可以是一对一,一对多或多对一。
2、组策略的应用机制:
两项特性:继承与累加
策略继承:在AD结构中,若X容器下层还有Y容器,则Y容器便是所谓的”子容器“,X,Y容器两者间便存在策略关系。在默认情况下子容器会继承来自上层容器的GPO。
在整个继承关系中,最上层为站点,其下层为域与组织单位。若有多层组织单位,则下层组织单位会继承上层组织单位的GPO。
策略累加:策略累加机制和组策略的应用顺序有密切的关系,假设将域FLAG。COM连接到GP O-F,将组织单位PRODUCT与EMLPOYE分别连接到GPO-P和GPO-E。PRODUCT与EMPLOY E这两个组织单位除了本身的组策略外,还会继承来自上层容器策略。子容器会首先应用继承来自上
层容器的组策略,然后再应用本身的组策略,当上层的设置项目与下层的设置项目不同时,组策略的效果可以相加,但若是对同一个项目做不同的设置,则先应用的策略会被后来应用的策略覆盖。
何时应用组策略:
开机/登录:当计算机开机时,域控制器会根据计算机帐户在AD中的位置,决定该计算机必须应用哪些GPO。此时仅应用这些GPO中计算机设置的部分。用户登录时,即按CTRL+ALT+DEL 后,输入账号和密码。域控制器会根据用户帐户在AD中的位置,决定该用户必须应用哪些GPO。此时仅应用这些GPO中用户设置的部分。
一般而言,都是计算机顺利启动之后,用户才能用该计算机登录域,因此,在实际上是先应用计算机设置,后应用用户设置。不过,这里出现一个值得注意的现象,当计算机设置和用户设置发生冲突时,若依照前面的概念,应该是后应用的用户设置覆盖掉先应用的计算机设置,然而并不是这样,事实是计算机设置覆盖掉用户设置。
此外由于计算机与用户可能分别隶属不同的站点、域或组织单位,因此,各自可能会继承不同的GPO。
,由图可知,X用户隶属于A2组织单位,Y计算机隶属于B2组织单位,当X用户从Y计算机开机并登录域时,应用GPO的情形如下:
1、当计算机开机时,会依次应用GPO1--GPO2--GPO3--GPO4中计算机设置的部分
2、当用户登录时,会依次应用GPO1--GPO2--GPO5中用户设置的部分。
重新应用组策略
实际更新组策略的间隔是以随机数产生,以90--120分钟的范围,倘若要强迫立即应用组策略,可执行GPUPDATE。EXE。
组策略的应用顺序:最先应用本机的组策略,其次为站点的组策略,再其次为域的组策略,然后是组织单位的组策略。倘若不考虑不可强制覆盖和不要继承策略,策略则是“后应用的设置值覆盖先应用的设置值。
3、下面来建立与管理组策略
建立和应用组策略
以组织单位上建立为例
点属性
点新建
新建了一个并重新命名了。即这个GPO FOR 业务部对象连接到了组织单位业务部。由于现在对此GPO没做任何设置,因此该组策略没有任何能力
设置阻碍策略继承与不可强制覆盖
如果不希望业务部继承上层的组策略,则对该组织单位设置阻碍策略继承,如果希望业务部在下层组织单位都能够有效,不被其它组策略覆盖。看下面
在阻止策略继承打上勾。
然后如图打上勾便可。
与已有的GPO建立连接关系。
可选取要连接的GPO。按确定。
调整GPO的应用顺序
当同一个对象连接到多个GPO时,系统管理员可以决定应用顺序,在组策略选项卡中,排在比较下面的GPO会先应用。当各个策略的设置发生冲突时,较晚应用于的策略(排在上面的GPO)会覆盖较先应用的策略(排在下面)。
选取后按向上或向下即可。
删除GPO与中断连接
假如要删除如上图选中的
这里有两个选项。选第一个是将中断所有容器与这个GPO的连接,但不删除此GPO。
点是
禁用GPO计算机设置或用户设置
应用组策略会延长计算机开机与用户登录所耗费的时间,而且连接的GPO愈多,花费的时间就越久,由于每一个GPO都有计算机设置和用户设置两个节点,我们可以禁用其中一个节点的设置来加快登录速度:
点属性
下面有两个选项,比如选禁用计算机设置。
选是。
筛选组策略
在正常情况下,将某个组策略应用到SDOU后,隶属于该SDOU的用户与计算机都受到此策略的影响,假设DOMIAN ADMIN组排除在外,不受该组策略的影响,此时就会用到筛选功能。其实就是改变GPO的ACL而已。计算机与用户之所以受到组策略影响,是因为它们默认对于该GPO有读取和应用组策略两种权限,以下示范一下:
点属性
点属性
勾选拒绝,表示不赋予权限给用户、计算机或组。都不勾选,则表示隐含拒绝。代表一种强有力较弱的拒绝,无法覆盖允许。以DEFAULT DOMAIN POLICY应用于ADMINISTRATOR帐户的默认情形为例。ADMINISTRATOR同时隶属于AUTHENTICATED USERS 、DOMAIN ADMINS、与E NTERPRISE ADMINS三个组,后两个组对于DEFAULT DOMIAN POLICY 没设置允许或拒绝,属于隐含拒绝。但是AUTHENTICATED USERS 组、对于DEFAULT DOMAIN POLICY 有读取和应用组策略两项权限,所以ADMINISTRATOR 还是受到该组策略的约束。
通常规划组策略时,有两种逻辑:1、策略允许,例外拒绝:保留对AUTHEN TICATED USER S组,让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略,这种方式相当于先关闭大门,再逐一过滤放行,安全较高。2、策略拒绝,例外允许:自ACL中删除AUTHENTICATED US ERS组,让所有登录域的人都不应用组策略,然后对于需要应用组策略的组和用户,个别”允许读取“与”允许应用组策略两项权限,两项权限,这咱方式相当于先敞开大门,再逐一过滤拦阻,稍有疏失便产生漏网之鱼,安全性较差,建议少用。
委派控制GPO:
要将管理GPO的工作委派给特定的用户,必须按照如下步骤:1、委派“建立GPO连接关系”的权限,利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除GPO”的权限,将用户帐户加入GROUP POLICY CREATOR OWNER组,便也能使他获得新建与删除GPO的权限。注意这两步骤不能颠倒,否则无法委派成功。
委派建立GPO连接关系的权限
假设要将建立GPO连接关系的权限委派给李小龙。
点委派控制。
便来到向导,点下一步。
点添加。
确定
按图勾上。
点完成。
委派新建与删除GPO的权限:
因为内置的GROUP POLICY CREATOR OWNER组,拥有在域内新建与删除GPO的权限,所以只要将李小龙加入该组中,便能够在域内新建与删除GPO。
点添加到组
输入组。
提示成功加入。
4、规划组策略的建议
*一般性策略尽量应用于上层容器,较特殊的策略应用于下层容器
组策略与OU中的组没有关系,不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。 一、组策略的基本概念 1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。 2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。 3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU) 4、组策略不适用于WINDOWS9X/NT的计算机,所以应用到这些计算机上无效。 5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。 GPO的特性: 组策略的设置数据都是保存在“组策略对象“(GPO)中,GP O具有以下特性:
1、GPO利用ACL记录权限设置,可以修改个别GPO的A CL,指定哪些人对该GPO拥有何种权限。 2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。当AD域刚建好时,默认仅有一个GPO--DEFA OLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。 GPO的内容: GPO有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。 2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。 下面来看下
组策略分发软件全攻略 2008-12-23 13:26 在规模比较大的网络环境里面,为了对服务器和客户机上的软件、系统补丁进行集中统一的管理,我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新,不在本文讨论,请参考其它相关技术文档。虽然SMS功能较强大,兼容性好,绝大多数应用软件都可以用它来管理,但是它比较复杂,实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话,其实我们还是可以回归到比较原始的技术: 利用GPO实现软件设置 ● 分发软件 ● 修复软件 ● 删除软件 ● 升级软件 优点:易实现 缺点:功能简单、兼容性差(只能分发winodows安装程序包——.msi,exe 封装的程序安装包要用Advanced Installer重新封装成msi文件) 实现:前提是熟悉Winodows Server活动目录的基本管理,理解组策略,熟悉通过AD部署组策略 一、获取要分发的软件
如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用,但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包,所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包: 1、运行Advanced Installer,打开新建工程向导,按向导做 选择“语言”、“重新包装安装”——>“确定” 2、按向导提示,关掉真正运行的其它程序,下一步
3、选中捕获新的安装
4、指定要重新包装的源程序,并设置名称、版本等信息 5、如图,选中新的系统捕获
6、指定“安装捕获配置文件”保存路径,其它默认
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后是链接到其子 组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响: GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。
组策略终极应用技巧 出处:中国IT实验室责任编辑:ANSON2006-03-17 15:39:34 关闭缩略图的缓存(Windows XP/2003) Windows XP/20003系统系统具有缩略图的功能,为加快那些被频繁浏览的缩略图显示速度,系统还会将这些显示过的图片置于缓存中,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。若你不希望系统进行缓存的话,则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理,反而会大大加快第一次浏览的速度。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示:若你的电脑是一个网络中的共享工作站,为了数据安全,建议你启用该设置以关闭缩略图视图缓存,因为缩略图视图缓存可以被任何人读取。
屏蔽系统自带的CD刻录功能(Windows XP/2003) Windows XP/2003系统自带CD刻录功能,若你有刻录机连接在电脑上,在Windows 资源管理器中可以直接将数据犹如复制一样写到CD-R上。这样虽然方便,但是会影响系统性能和资源管理器的执行速度,再加之大部分用户都习惯了运用专用刻录软件进行刻录,所以我们建议无论电脑上有无刻录机,都可以利用组策略来屏蔽此功。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示:该设置不会阻止用户使用第三方应用程序来刻录或修改CD-R。 限制IE浏览器的保存功能(Windows 2000/XP/2003)
当多人共用一台计算机时,为了保持硬盘的整洁,对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢?具体步骤如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“…文件?菜单:禁用…另存为...?菜单项”、“…文件?菜单:禁用另存为网页菜单项”、“…查看?菜单:禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改,可以将“…工具?菜单:禁用…Internet选项...?”策略启用。此外,如果个人需要的话,还可以在该窗格中禁用其他项目。 禁止修改IE浏览器的主页(Windows 2000/XP/2003) 在IE浏览器中可以设置默认主页,如果不希望他人对自己设定的IE浏览器主页进
一、组策略的基本知识 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。 本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置:本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。 访问本地组策略的方法有两种:第一种方法是命令行方式;第二种方法是通过在MMC 控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动 您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。) 在打开的组策略窗口中,可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。 2、将组策略作为独立的MMC管理单元打开 若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下: (1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。 (2)选择“文件”菜单下的“添加/删除管理单元”命令。 (3)在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。 (4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。 (5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按扭查找所需的组策略对象(6)单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的组策略对象。 特别提示:倘若您希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。 二、“任务栏”和“开始”菜单相关选项的删除和禁用 在“…本地计算机?策略”中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略。 1、给“开始”菜单瘦瘦身 如果您觉得Windows XP的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜
Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境,实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.
2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
常用AD组策略设置 利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。 根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。 下面是实际操作演示: ?AD域控制器:Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序 打开“https://www.doczj.com/doc/96792154.html,”域下组织单位“北京”的属性(如下图): 可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.doczj.com/doc/96792154.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是: copy bssec.scr c:\windows\system32 即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。打开“https://www.doczj.com/doc/96792154.html,”域的属性(如下图): 可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
w i n d o w实验手册组策 略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】
教学时 间 第五周2008-3-18 教学课 时 3 教案序 号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略 教学过程: 一、OU(组织单元)的管理 1、OU的概念 域是最小的管理单位,在活动目录中,域一般对应公司,而OU则对应于公司中的部门。OU是活动目录中的容器,可以在OU中建立用户、组等其他对象,也可以在OU中建立OU。 2、建立OU及子对象 (1)注意图标。 (2)建立步骤:在需要创建的空白处右击,选择“新建”——“组织单元”,在对话框内输入OU名称即可。 (3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。 实验一:OU的管理 1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述 1、组策略的概念 (1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。 (2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。 (3)组策略配置类型有:计算机配置和用户配置。 (4)组策略分为:本地安全策略和活动目录的组策略。 本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。 2、组策略的应用顺序 (1)本地组策略 (2)域组策略 (3)域控制器组策略 (4)组织单元组策略 三、组策略对象的管理 我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。 1、创建组策略 步骤:右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略 步骤:右击-属性-“组策略”选项卡-“编辑”按钮
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
组策略(gpedit.msc)学习 习背景:组策略就是修改注册表中的配置。当然,组策略使自己更完善计算机的管理组织方法,可以对 各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大. 学习目的:熟悉组策略的使用,完善计算机的管理与设置 学习步骤:组策略的启动,组策略的实际例子操作讲解,安全防范,组策略的保护! 地计算机配置对应注册表 HKEY_LOCAL_MACHINE 本地用户配置对应注册表 HKEY_CURRENT_USER 访问本地组策略的方法有两种: 第一种方法是命令行方式:“开始”→“运行”→“gpedit.msc”→“确定”刚才我们演示的 (gpedit.msc我们可以在系统盘中找到“C:\WINNT\SYSTEM32\gpedit.msc”) 第二种方法是通过在MMC控制台中选择GPE插件来实现: “开始”→“运行”→“mmc”→“确定”→“文件”→“添加/删除管理单元”→“独立”→“添加”→“添加独立管理单元”→"组策略对象编辑器" 大家看到了吧!这样也是可以的,只是麻烦了点!继续讲解啊! “本地计算机策略” | |——“计算机配置” 对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运 | | 行环境都起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块” | | |——“用户配置”对当前用户的系统配置进行设置的,它仅对当前用户起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块”
下面我们就用实际的例子来学习组策略这个超级工具!(因为组策略的功能太多,太强大!所以我就选择 其中有代表性的例子进行讲解!一一讲解的话,你可以与我QQ联系,我一一讲解,这里不耽误大家时间) (任何事情都是有起因的,呵呵) 事件一.起因:我们想不让别人使用我们的CMD(命令)与REGEDIT(注册表),所以我想删除“运行” 因为我们运行CMD与REGEDIT多是在运行菜单下进行的操作如下(涉及2个知识点) 我们在实验之前看看我们的运行菜单他还好好的在那里!! 知识点1.“任务栏”和“开始”菜单相关选项的删除和禁用 (1)在“本地计算机”策略中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略 !我们现在看看他没了运行菜单没了 删除“运行”那么操作如下: 用户配置”→“管理模板”→“任务栏和「开始」菜单”→从开始菜单中删除运行→已启用→确定 那么我们想禁止使用CMD与REGEDIT的话是不是就已经成功了呢!带着疑问我们看看! 没有运行菜单了是不是就是我的实验成功了呢????是不是就是不可以运行CMD与REGEDIT了呢?? 我们接着看看大家可以看得懂我的操作是什么吧就是运用BAT文件运行CMD与REGEDIT 我们的命令提示符出来了说明我们没有成功! 没有成功!继续深入! 知识点2.禁止使用CMD与REGEDIT (2)在“本地计算机”策略中,逐级展开“用户配置”→“管理模板”→“系统”分支。 在右侧我们可以看到“阻止访问命令提示符”和“阻止访问注册表编辑工具”双击“已启用”确定 检验结果!
Windows组策略应用大全.txt9母爱是一滴甘露,亲吻干涸的泥土,它用细雨的温情,用钻石的坚毅,期待着闪着碎光的泥土的肥沃;母爱不是人生中的一个凝固点,而是一条流动的河,这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows?9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows?2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active?Directory?对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet?Explorer策略设置。 3)Wmplayer.adm:用于Windows?Media?Player?设置。 4)Conf.adm:用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows?9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
组策略完全使用手册 对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。如图1所示。 使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开: (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
一、访问组策略 1.输入gpedit.msc命令访问: 选择“开始”→“运行”(或快捷方式:Win+R),在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点(如图一),节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。 图一:
下面我们就进入“用户配置”,去细细探测它的奥秘: 1、在软件设置里面没有什么重要内容,我们省去介绍吧(不信你看看); 2、那我们先看看“windows设置”里的内容(如图二全结构图:):在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点,其中“脚本”下包含“登录”和“注销”两个脚本,其功能(属性)是设置“登录”和“注销”时的桌面背景!在“安全设置”里面没有什么实质内容,现我们就忽略它吧! 《而对于“计算机配置”的“安全设置”的下节点里,多了三个小节点,其一是“密码策略”,它可以设置我们对用户的密码要求及密码保留时间等,因此,当你设置后,你的密码设置就必须符合这要求。。。。。。其二是“帐号锁定策略”,它可以设置帐号无效登录系