下载文档原格式
如何设置常用组策略?组策略用法详解电脑新手办公数码-电脑资料组策略是计算机中一个非常重要的模块功能了,我们经常会用到它,下面我来给各位介绍组策略常用的一些设置技巧,希望文章对大家会带来帮助,。
组策略应用设置大全一、桌面项目设置1. 隐藏不必要的桌面图标2. 禁止对桌面的改动3. 启用或禁止活动桌面4. 给“开始”菜单减肥5. 保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板”2. 隐藏或禁止“添加/删除程序”项3. 隐藏或禁止“显示”项三、系统项目设置1. 登录时不显示欢迎屏幕界面2. 禁用注册表编辑器3. 关闭系统自动播放功能4. 关闭Windows自动更新5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1. 删除“文件夹选项”2. 隐藏“管理”菜单项五、IE浏览器项目设置1. 限制IE浏览器的保存功能2. 给工具栏减肥3. 在IE工具栏添加快捷方式4. 让IE插件不再骚扰你5. 保护好你的个人隐私6. 禁止修改IE浏览器的主页7. 禁用导入和导出收藏夹六、系统安全/共享/权限设置1. 密码策略2. 用户权利指派3. 文件和文件夹设置审核4. Windows 98访问Windows XP共享目录被拒绝的问题解决5. 阻止访问命令提示符6. 阻止访问注册表编辑工具解决方案:一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”---“管理模板”---“桌面”节点,便能看到有关桌面的所有设置。
此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1. 隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。
例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
Windows7组策略配置全攻略(全套技巧)
概括:组策略的设置也就是对注册表的操作,因为注册表的路径太多太难记,所以使用组策略能很好的对计算机进行管理。
同时,组策略也有非常强大的功能,即可以进行安全配置,也能进行个性化设置。
即使是在网络管理里面,也离不开组策略的应用,组件它的重要性!
颜色分类说明:
*红色为系统安全设置项,建议多掌握一些!
*蓝色为个性功能设置,能把你的系统改得千奇百怪、五花八门,当你系统出现了什么不见了,什么不能用了的时候,就在这里找答案哈!*紫色为系统功能设置,比如打开某功能,禁用某功能
*绿色为常见问题需要注意的地方
*同一行内有多种颜色,说明同时具有那些颜色的性质!
点击系统右下角的开始菜单,输入命令:gpedit.msc,就可以打开组策略了。
路径从左往右依次展开,如果该行左边为空,上级路径看最靠近的上行路径!
…………详情请看附件
附件下载:
/d/582cc7d0e073314e5c4de2f 94a8386184ddbb4b2ee390000。
一、实验名称组策略的配置及使用二、实验类型验证性实验三、实验目的通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。
四、实验内容(1)通过控制台访问组策略(2)对用户设置密码策略(3)对用户设置登录策略(4)退出系统时清除最近打开的文件的历史五、相关知识1、组策略对象的类型组策略对象有两种类型:本地和非本地。
本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。
然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。
在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。
非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。
非本地组策略对象也可以应用于用户或计算机。
如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。
根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。
2、组策略模板组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。
该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。
当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。
组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重定向等设置。
计算机可以通过连接SYSVOL文件夹来获得这些信息。
组策略模板存储在域控制器的%systemroot%\SYSVOL\sysvol文件夹下面。
组策略的配置与管理一、组策略的概念及作用组策略是Windows操作系统中的一种重要管理工具,它可以对计算机或用户进行一系列的配置和管理。
通过组策略,管理员可以对网络中的计算机和用户进行统一的管理,从而提高网络安全性、降低维护成本和提高工作效率。
二、组策略的配置与管理方法1. 打开组策略编辑器在Windows操作系统中,打开组策略编辑器有两种方法:一种是在运行窗口中输入“gpedit.msc”命令;另一种是在控制面板中选择“管理工具”->“本地安全策略”。
2. 配置计算机配置和用户配置在组策略编辑器中,有两个主要选项:计算机配置和用户配置。
管理员可以根据需要分别对这两个选项进行配置。
其中,计算机配置包括Windows设置、安全设置、软件设置等;用户配置包括Windows设置、安全设置、脚本设置等。
3. 配置组策略对象管理员可以选择要应用某个组策略的对象。
例如,可以选择应用某个组策略到特定的计算机或用户上。
4. 配置组策略规则在每个选项卡下面都有很多不同的规则可供管理员进行配置。
例如,在“Windows设置”->“安全设置”中,管理员可以配置密码策略、账户锁定策略等。
5. 配置组策略优先级如果不同的组策略规则之间存在冲突,那么就需要根据优先级来确定哪个规则会被应用。
管理员可以在组策略编辑器中为不同的规则设置优先级。
三、常见的组策略配置和管理案例1. 禁用USB存储设备在计算机配置中,选择“Windows设置”->“安全设置”->“本地策略”->“安全选项”,找到“可移动存储访问控制”,将其禁用即可禁止使用USB存储设备。
2. 配置密码策略在计算机配置中,选择“Windows设置”->“安全设置”->“账户策略”->“密码策略”,可以对密码长度、是否启用复杂性要求等进行配置。
3. 禁止用户更改壁纸在用户配置中,选择“管理模板”->“控制面板”->“个性化”,找到“阻止改变桌面背景”,将其启用即可禁止用户更改壁纸。
综合性实验项目名称:使用windows组策略对计算机进行安全配置一、实验目的及要求:1.组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具,通过使用组策略可以设置各种软件,计算机和用户策略。
2.我们通过实验,学会使用组策略对计算机进行安全配置。
二、实验基本原理:组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件,计算机和用户策略。
三、主要仪器设备及实验耗材:PC机一台,Windows2000系统,具有管理员权限账户登录四、注意事项必须以管理员或管理员组成员的身份登录win2000系统计算机配置中设置的组策略级别要高于用户配置中的级别策略五、实验内容与步骤1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定,即可运行程序。
依次进行以下实验:(1)隐藏驱动器平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项。
1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示图6-1 使用策略前,“我的电脑”2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。
图6-2隐藏驱动器3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示图6-3 使用策略后,“我的电脑”(2).禁止来宾账户本机登录使用电脑时,我们有时要离开座位一段时间,如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时,为了避免有人动用电脑,我们一般会把电脑锁定。
但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户并登录到别的账户,就会给正常工作带来影响。
我们可以通过“组策略”来禁止一些账户在本机上的登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”,然后双击右侧窗格的”拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示图6-4 选择用户和组采取拒绝本地登录策略,如图6-5所示图6-5 拒绝本地登录(3).开启审核策略在“计算机配置—>windows设置—>安全设置—>本地策略—>审核策略”上,我们可以看到它可以审核策略更改,登录事件,对象访问,过程追踪,目录服务访问,特权使用等,这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录,关闭系统或更改过哪些策略等等,如图6-6所示图6-6 审核策略我们应该养成经常在“控制面板—>管理工具—>事件查看器”里查看事件的好习惯。
win7系统组策略有什么设置技巧Windows7组策略是系统中一个重要功能,可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置,包括桌面配置和平安配置。
总结了一些Windows 7下组策略使用小窍门,大家可以根据自己的需求利用组策略对win7系统进行更改,以提高win7运行效率。
Windows 7强大的搜索功能相当好用,不过麻烦的是所有的搜索历史记录都会出现在下拉列表框中,如果使用的是公用计算机,平安性就是一个问题了。
其实,我们可以利用组策略解决这一问题,操作如下。
在“开始搜索”框或“运行”框中输入“gpedit.msc”,翻开“本地组策略器”窗口,依次翻开“用户配置→管理模板→Windows 组件→Windows资源管理器”,在右侧窗格中找到“在Windows资源管理器搜索框中关闭最近搜索条目的显示”工程,双击翻开属性窗口,在这里选择“已启用”,确认之后即可生效,以后就再也不会自动保存搜索记录了。
提示:关闭搜索记录后将不会在搜索时显示相应的搜索建议。
此外,如果需要删除地址栏中的历史记录,只要用右键单击地址栏,从快捷菜单中选择“删除历史记录”命令即可将其清理干净。
习惯了每次在xp下把U盘的自动播放给关闭,但是在Win7下一直没有找到相关项(主要原因是英文水平次,呵呵)。
今天认真看了下win7下的组策略,突然发现微软把它加强了许多,这可能会是一个趋势,把设置集中到组策略,减少对的不必要操作。
好了,言归正传。
win+R快捷键,键入gpedit.msc翻开组策略,右侧依次点开:puter configuration, administrativetemplates, windows ponents, autoplay policies, turn off autoplay,关闭自动播放选择enable即可,然后点OK。
win+R快捷键输入services.msc 翻开效劳。
然后Shell Hardware Detection这个效劳右击,属性,设为手动。
组策略教程组策略教程(1000字)一、什么是组策略?组策略是一种在大多数Windows操作系统中使用的管理工具,它的主要作用是通过安全设置和监控用户的计算机,从而实现对系统中的用户行为和系统资源进行控制和管理。
组策略可以帮助管理员有效地管理和配置用户和计算机的权限、网络设置、软件安装等。
本篇教程将重点介绍组策略的使用方法和常用功能。
二、如何打开组策略编辑器?要打开组策略编辑器,首先需要以管理员身份登录到计算机。
然后按下Win + R键,输入“gpedit.msc”,并按回车键。
这将打开组策略编辑器。
三、组策略的常用功能1. 用户配置和计算机配置组策略编辑器中有两个主要的配置项,即用户配置和计算机配置。
用户配置主要用于配置用户的权限和设置,计算机配置则用于配置计算机的网络设置和系统行为。
管理员可以根据需要,选择相应的配置项进行设置。
2. 禁用和启用功能组策略编辑器中有很多配置选项,管理员可以根据需要禁用或启用某些功能。
例如,可以禁用控制面板中的某个功能,防止用户对系统进行不必要的更改。
3. 定制开始菜单组策略编辑器还可以用于定制开始菜单。
管理员可以根据需要,添加或删除某些应用程序或文件夹,以满足用户的需求。
4. 软件安装和升级通过组策略编辑器,管理员可以轻松地安装、升级和卸载软件。
只需选择相应的配置选项,并指定软件的安装包路径,即可实现自动安装和升级。
5. 网络设置组策略还可以用于配置网络设置,例如限制特定的网站访问、配置代理服务器等。
管理员可以根据实际需求,灵活地配置网络设置。
四、如何使用组策略?1. 打开组策略编辑器,选择用户配置或计算机配置中的相应项目。
2. 选择需要配置的选项并进行相应的设置。
可根据具体需求,禁用或启用某些功能,添加或删除某些应用程序或文件夹等。
3. 配置完毕后,保存设置并退出组策略编辑器。
4. 重新启动计算机,使配置生效。
五、注意事项和常见问题1. 使用组策略编辑器时,要以管理员身份登录计算机,否则可能无法保存设置或使配置生效。
一、访问组策略1.输入gpedit.msc命令访问:选择“开始”→“运行”(或快捷方式:Win+R),在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口。
组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。
这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点(如图一),节点下面还有更多的节点和设置。
此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。
“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。
“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。
但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。
其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。
图一:下面我们就进入“用户配置”,去细细探测它的奥秘:1、在软件设置里面没有什么重要内容,我们省去介绍吧(不信你看看);2、那我们先看看“windows设置”里的内容(如图二全结构图:):在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点,其中“脚本”下包含“登录”和“注销”两个脚本,其功能(属性)是设置“登录”和“注销”时的桌面背景!在“安全设置”里面没有什么实质内容,现我们就忽略它吧!《而对于“计算机配置”的“安全设置”的下节点里,多了三个小节点,其一是“密码策略”,它可以设置我们对用户的密码要求及密码保留时间等,因此,当你设置后,你的密码设置就必须符合这要求。
其二是“帐号锁定策略”,它可以设置帐号无效登录系统的次数和帐户被锁定时间。
其三是“IP安全策略”,其功能是计算机的客户端和服务端的IP的安全管理,其效果倒是很难体验到哈。
组策略对象可以应用到的容器包括:站点、域、和OU中。
默认的域策略、域控制器策略尽量不要去修改。
默认的域策略会影响到所有的域内的用户,计算机以及DC,默认的域控制器策略只会影响到域内的所有的域控制器。
组策略(group policy)对象包括组策略容器(GPC)和组策略模板(GPT)组策略是AD集中管理的工具。
GPC存放在AD用户和计算机中。
存放位置如下:高级功能-选择域-system-policies对应的UID中,单击属性可以查看版本号等信息,CPT存放于sysvol\域名\polilcies\ID number下的文件夹下,包含计算机和用户的配置,以及版本号。
多个GPO可以链接到一个容器,一个GPO可以链接到多个容器。
计算机如何知道组策略是否更改过?如何获取适合自己的组策略?计算机在登录时首先查看GPlink(adsiedit.msc中域-属性-属性编辑器),查看ID和对应的版本号是否更改过,以便登录的时候实施对应的组策略。
计算机和用户如果要应用组策略对象的设定:计算机和用户必须位于GPO有链接的SDOU容器内。
必须对GPO要有读取和应用组策略的权限。
组策略对象冲突时:1:计算机策略覆盖用户策略。
2:不同层次的策略产生冲突时,子容器上的GPO优先级高3:同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。
(按照链接的组策略对象的顺序执行)总体原册:后执行的优先级高。
变更组策略管理顺序:阻止继承,强制。
设为强制的GPO优先级最高。
阻止继承:就是在父策略的对象不在子策略中实施。
不要轻易设置强制和阻止继承。
方便排错。
安全策略:删除默认的authenticated user组,按照GPO设定创建安全组,为安全组分配权限。
问题:如何实现OU内的GPO只对OU内特定人员生效?(GPO只对财务部OU和销售部OU的经理生效)使用安全过滤;在AD用户和计算机上新建一个安全组,将需要生效的成员(经理)添加进来,在所要生效的GPO中右击属性-委派-高级,删除默认的authenticated user组,将新建的安全组添加进来,权限中设置读取和应用组策略权限即可。
(尽量不要使用,方便排错)如何使其他用户具有编辑组策略的权限?在所设置的组策略上点击添加,将用户添加进来,给予相应的权限,给定的用户即可编辑对应的组策略。
如何设置域中用户具有修改域的所有组策略(不包含给定权限的用户自己编辑的组策略)的权限?单击AD用户和计算机,单击group policy creator owners-属性,将需要添加的成员添加进来即可。
如何设置域中GPO的链接的权限?(将设置的组策略对象链接到相应的容器中的权限)在AD用户和计算机上单击域,右击委派控制-添加,将要添加的用户添加进来,然后给予相应的权限即可。
如何查看当前系统新增的组策略功能?GPedit中单击管理模板-查看-筛选器选项,勾选相应选项即可查看。
组策略结果集RSoP的用处?MMC中添加策略的结果集即可以打开RSoP可以选择记录模式和计划模式,记录模式显示当期应用的组策略结果,计划模式显示模拟的即将应用的组策略结果,单击更改查询切换,进行查询。
GPMC中策略的结果为RSoP的记录模式。
(推荐使用)提供HTML报告,可以保存报告组策略建模的作用?打开方式:GPMC中,右键组策略建模、OU节点、域名节点下拉菜单中单击组策略建模向导。
在组策略排错方面与组策略结果集配合使用可以方便排错。
软件限制策略常用有哪些?有路径规则域哈希规则。
路径规则可以限制咋某个路径下的文件的限制,用户修改了此文件的路径,便无效。
哈希规则即为限制某个文件的哈希值,无论文件在何处,都不可以运行。
如果一个程序有多个软件限制策略规则,该如何应用?按照1:哈希;2:证书;3:路径;4:internet区域路径规则;优先级顺序执行。
组策略的执行顺序为:本地策略、站点策略、域策略、父OU策略、子OU策略。
后执行的优先级高。
如多于一个的同类规则作用于同一个程序,则同类规则中最具有限制能力的规则起作用。
使用软件限制策略的最佳实践:1.不要修改默认的域策略,不要链接外域策略。
2.坚持为软件限制策略建立独立的组策略对象。
3.如果应用软件限制策略出现预期之外的问题,请以安全模式启动计算机修正策略。
4.为获得最好的限制效果,请连同访问策略一起使用软件限制策略。
5.在软件限制策略应用前应在测试环境进行测试。
6.慎重使用“不允许的”默认策略7.不要删除系统自动建立的注册表路径规则多个组策略的合并1.默认安全级别、文件类型、check dll、skip admin均由最高及的GPO设置2.附加规则将被合并3.如同时在计算机和用户上建立了SRP(安全级别),则:1.限制最严格的默认安全级别被选择2.文件类型以计算机的优先,没有才使用用户的3.skip admin一直用计算机的策略4.check dll只要设置了就启用5.其他规则将被合并软件分发的共享文件夹权限如何设置及操作步骤?先在服务器端建立一个共享文件夹设置成隐藏共享,只读和执行即可,无须给更高权限。
其次策略-软件设置,点击软件安装。
选择网络路径安装,不可点击本地路径安装。
路径指向隐藏的共享文件夹,客户端在登录的时候双击此文件便自动安装。
指派和发布如何区分?将软件指派给计算机,会安装到all user中,所有使用此计算机的用户均可使用,仅管理员可卸载。
将软件指派给用户,会在开始菜单中添加一个快捷方式,双击即安装。
不能将软件发布给计算机。
将软件发布给用户时,会在添加删除程序中显示发布的软件。
单击此软件程序的文件时,会自动查询DC后,关联进行安装。
系统会通过指派或发布的软件自动探测并修复已经损坏的软件。
软件发布指派时,单击软件安装-属性,指定将要发布的软件的网络位置,\\计算机名\文件夹对于要写入注册表的软件,打开组策略的安全模板-兼容性安全模板,降低客户端对注册表的权限。
文件夹重定向如何操作?服务器端创建共享文件夹,在共享和安全给予相应足够的权限,单击组策略管理器-目标,文件夹重定向,设置选择高级,指定安全组成员身份(为哪些用户做文件夹重定向)添加,选择安全组成员,及根路径(须为网络路径),设置选项查看相应选项。
GPMC中的安全筛选很重要。
可以限制特定用户使用某个GPO。
迁移表的用处?跨域迁移在实验环境中调试的GPO想应用于生产环境中,在复制和导入时,安全主体(用户名、组、计算机)UNC不一致,应用之前使用迁移表,影射源GPO中的安全主体、UNC到目标GPO中新值的文件。
打开迁移表方式:mtedit.exe GPMC下,右击域下拉菜单中选择打开迁移表编辑器。
右击组策略对象中选择打开迁移表编辑器。
适用于迁移表的安全主体包括:安全策略设置中的用户权限分配、受限制的组、系统服务、文件系统、注册表高级文件夹重定向策略设置GPO的DACL(执行复制操作时,选择保留)软件安装对象的DACL适用于使用迁移表的UNC:文件夹重定向策略设置软件安装策略设置中的软件分发点脚本指针使用迁移表:使用前先验证表(工具-验证表)“从GPO写入”和“从备份写入”自动填充迁移表推荐使用使用“独占方式使用迁移表”如何禁止客户端本地登录,只能使用域环境登录?打开GPMC,在所要设置的GPO中编辑如下:计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中,单击允许本地登录,安全选项中,帐户:管理员帐户状态,禁用,可以实现只能登陆到域。
管理模板管理模板的策略是基于注册表的策略,管理模板定义了如何修改注册表。
组策略中提供大量的设定使管理员可以通过一次设定,管理多台计算机或者多个用户。
组策略中很大一部分设定实际上是改动注册表(registry_based_policy)管理模板(.Adm)文件定义了组策略如何修改注册表所有基于注册表的组策略设定存为registry.pol,存放在sysvol中。
.adm文件实际上提出一种供企业管理员管理客户端注册表/应用程序的配置方法。
组策略的实践技巧1.单独保留默认的GPO密码、帐户锁定、kerberos策略、登录时间用完自动注销用户、重命名管理员帐户和重命名来宾帐户必须在域级别实现。
2.设计你的OU结构一. 将DC放在DC所在的OU并单独管理,不要移动,此OU中含有default domain controller policy 二. 为用户和计算机创建单独的OU使用OU把用户和计算机按照角色分组。
不同角色的用户、服务器放在不同的OU中域控制器保留在默认的domain controllers OU下3.反对跨域GPO链接(父域的GPO直接链接到子域中)一. 将明显的影响处理时间(加大处理时间)增加排错难度二. 违反问题简单化的原则,在一个域中更改GPO设置将影响到另一个域三. 使用GPO备份和复制实现父域与子域使用相同的GPO,不必跨域链接4.谨慎使用强制、阻止继承、回环处理模式一. 增加了处理时间和排错难度(可以使用强制,但不要使用阻止继承)二. 回环处理模式会给排错带来负担,但有特定的场景使用(1).通常用于保证等于的每一个用户都能获得相同的配置(2).用于特定的计算机(公共场所的电脑、图书馆)(3).需要基于使用的计算机来修改用户策略(4)经常用户终端服务实现5.一切简单化一. 每增加一个GPO都会增加复杂性二. 限制谁能创建、修改、链接GPOs(委派)三. 如果可能的话,尽量使用:默认的域策略(用户帐户设置)基线的安全策略(强制)(应用到域中的每个用户,计算机)一个指定OU的策略(专门针对某个OU包含一些唯一设置的GPO)四. 反对为每一个GPO设置安全过滤器五. 仅仅对每个GPO中需要的设置做修改,其他保留默认状态6.在GPMC中进行所有的操作一. 使用GPMC的RSOP工具二. 在测试环境和生产环境进行迁移7.即使没有改变设置也强制重新应用策略一. 组策略位置:计算机或用户配置-管理模板-系统-组策略-每一种策略的类型(策略处理)二. 适用于当用户是计算机的本地管理员组的成员时三. 考虑禁用“允许通过慢速网络连接进行处理”(低于500k/s)提高网络流量8.使windowsXP同步处理组策略组策略位置:计算机配置-管理模板-系统-登陆-计算机启动和登陆时总是等待网络9.使用GPO的命名惯例一. 保证GPO的一致性并保证容易理解(创建GPO的人越多,一致性越差)二. 使用简洁的名字描述GPO的意图。
推荐三个关键字符命名:范围、目的、谁管理10.为新的帐户指定策略一. 默认情况下所有新帐户不能链接GPOs到这些容器二. 域中使用rediruser.exe和redircmp.exe指定所有新计算机/ 用户帐户创建时的默认OU 三. 要求windows服务器域的功能级别至少为windows2003四. 允许使用组策略管理新创建的帐户11.如何阻止用户访问特定的驱动器?一. 组策略位置:用户配置-管理模板-windows组件-windows资源管理器-防止从“我的电脑”访问这些驱动器二. 下载GPdriveoption12.密码存储安全一. 不允许存储LM哈希值,位置:计算机配置-windows设置-安全设置-本地策略-安全选项-网络安全:不要在下次更改密码时存储LM manager哈希值。
