下载文档原格式
域控中组策略基本设置
在Windows域控制器中,组策略是一种非常重要的工具,用于管理网络中的计算机和用户。
组策略允许系统管理员在网络上部署、管理和强制执行特定设置,以确保网络安全性和一致性。
下面将详细介绍域控制器中组策略的基本设置。
1.创建和链接组策略:
-打开“组策略管理”控制台,右键单击“域”节点,选择“创建一个或多个GPO,并将其链接到此处”
-输入策略名称,点击“确定”创建策略
-右键单击域或OU(组织单位),选择“链接已存在的GPO”
-选择需要链接的策略,点击“确定”
2.应用组策略:
-应用到特定的OU:选择需要应用策略的OU,右键单击,选择“应用组策略”
- 更新组策略:使用命令行工具gpupdate /force强制更新策略
3.用户配置:
4.计算机配置:
5.安全设置:
6.软件安装:
7.文件共享:
8.IE设置:
9.桌面配置:
10.AUDIT策略:
值得注意的是,组策略设置在域控制器上只对处于该域中的计算机和用户生效。
通过组策略,管理员可以集中管理网络中的资源和安全策略,并确保网络中的计算机和用户的行为符合组织的政策和要求。
完成以上设置后,管理员需定期检查组策略的运行情况,保证其有效性和及时性。
域用户常用组策略设置组策略是指在Windows操作系统中,通过集中管理策略和设置来控制域用户和计算机的行为。
以下是一些常用的组策略设置,适用于Windows Server上的域环境。
1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。
可以设置密码的最短长度、密码的复杂性要求,如必须包含大写字母、小写字母、数字和特殊字符等。
还可以设置密码的最长有效期和密码历史记录的保留个数,以防止用户频繁更改密码。
2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。
该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。
可以设置失败尝试次数和锁定时间。
3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。
例如,可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。
可以根据组织的需求进行灵活的设置,以满足不同用户角色和职责的需要。
4.审计策略审计策略用于记录用户和计算机的操作日志。
可以设置哪些操作需要被审计,如登录、文件访问、对象的创建和删除等。
审计策略可以帮助管理员跟踪和分析系统的安全事件,及时发现和应对潜在的安全威胁。
5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。
可以通过组策略将软件程序推送到目标计算机上,或者限制一些用户或计算机无法安装特定的软件。
这样可以确保组织中的计算机都拥有统一的软件环境,便于管理和维护。
6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。
可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。
还可以限制用户是否可以访问控制面板、开始菜单等系统设置。
这样可以加强计算机的安全性,并减少用户误操作或恶意行为造成的影响。
7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。
可以设置浏览器的安全级别、对特定网站启用或禁用特定功能,如ActiveX控件、Java脚本等。
组策略入门(一)组策略有什么用?说到组策略,就不得不提注册表。
注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。
很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。
当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
(二)组策略的版本大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。
其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT 的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。
早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。
当用户登录的时候,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。
这是以前“系统策略编辑器”工具无法做到的。
无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
组策略管理模板在Windows 2000/XP/2003目录中包含了几个.adm 文件。
组策略的配置与管理一、组策略的概念及作用组策略是Windows操作系统中的一种重要管理工具,它可以对计算机或用户进行一系列的配置和管理。
通过组策略,管理员可以对网络中的计算机和用户进行统一的管理,从而提高网络安全性、降低维护成本和提高工作效率。
二、组策略的配置与管理方法1. 打开组策略编辑器在Windows操作系统中,打开组策略编辑器有两种方法:一种是在运行窗口中输入“gpedit.msc”命令;另一种是在控制面板中选择“管理工具”->“本地安全策略”。
2. 配置计算机配置和用户配置在组策略编辑器中,有两个主要选项:计算机配置和用户配置。
管理员可以根据需要分别对这两个选项进行配置。
其中,计算机配置包括Windows设置、安全设置、软件设置等;用户配置包括Windows设置、安全设置、脚本设置等。
3. 配置组策略对象管理员可以选择要应用某个组策略的对象。
例如,可以选择应用某个组策略到特定的计算机或用户上。
4. 配置组策略规则在每个选项卡下面都有很多不同的规则可供管理员进行配置。
例如,在“Windows设置”->“安全设置”中,管理员可以配置密码策略、账户锁定策略等。
5. 配置组策略优先级如果不同的组策略规则之间存在冲突,那么就需要根据优先级来确定哪个规则会被应用。
管理员可以在组策略编辑器中为不同的规则设置优先级。
三、常见的组策略配置和管理案例1. 禁用USB存储设备在计算机配置中,选择“Windows设置”->“安全设置”->“本地策略”->“安全选项”,找到“可移动存储访问控制”,将其禁用即可禁止使用USB存储设备。
2. 配置密码策略在计算机配置中,选择“Windows设置”->“安全设置”->“账户策略”->“密码策略”,可以对密码长度、是否启用复杂性要求等进行配置。
3. 禁止用户更改壁纸在用户配置中,选择“管理模板”->“控制面板”->“个性化”,找到“阻止改变桌面背景”,将其启用即可禁止用户更改壁纸。
win10组策略共享权限设置方法
要设置Windows 10组策略的共享权限,可以按照以下步骤进
行操作:
1. 打开“组策略编辑器”:
- 按下“Win + R”键,打开“运行”对话框。
- 输入“gpedit.msc”并按下“Enter”键。
2. 导航到共享权限的位置:
- 在组策略编辑器窗口中,依次展开以下路径:计算机配置 -> Windows设置 -> 安全设置 -> 本地策略 -> 安全选项。
3. 设置共享权限:
- 找到右侧面板中的“网络访问: 共享和安全模型”策略设置。
- 双击策略设置,选择“经典-本地用户进行身份验证,然后
以来宾身份访问”或“经典-本地用户进行身份验证”。
- 点击“确定”保存更改。
4. 应用共享权限设置:
- 关闭组策略编辑器窗口。
- 重新启动计算机或运行“gpupdate /force”命令来立即应用设置。
请注意,此方法只适用于Windows 10专业版、企业版和教育版。
家庭版没有组策略编辑器。
【踏上攻防的征途】——第九十六课——组策略简介:组策略(Group Policy)是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
打开方式:开始菜单→运行→输入“gpedit.msc”→点击确定,即可打开!所谓组策略,就是基于组的策略。
它以Windows中的一个MMC管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置,包括桌面配置和安全配置。
譬如,可以为特定用户或用户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个计算机范围内创建特殊的桌面配置。
简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。
注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
组策略的用途:组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
考虑到安全方面的原因,Windows 7已经开发了许多新的和增强的组策略功能和服务,帮助您更好地保护计算机上驻留的数据、功能和服务。
这些功能的配置取决于您的具体要求和使用环境,本文将主要介绍Windows 7组策略的安全使用技巧,介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。
具体用途:1. 禁止运行指定程序系统启动时一些程序会在后台启动,这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止,操作起来非常不便,通过组策略则非常方便,这对减少系统资源占用非常有效。
通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。
具体步骤如下:(1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
(2)在左边的窗格依次单击“用户配置→管理模板→系统”,然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。
图1 双击“不要运行指定的Windows应用程序”(3)选中“已启用”,单击“显示”按钮(如图2所示),添加要阻止的程序如“Wgatray.ex e”即可。
图2 添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。
把不允许运行的应用程序复制到其他的目录和分区中,仍然是不能运行的。
要恢复指定的受限程序的运行能力,可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”,或者将指定的应用程序从不允许运行列表中删除(这要求删除后列表不会成为空白的)。
这种方式只阻止用户运行从Windows资源管理器中启动的程序,对于由系统过程或其他过程启动的程序并不能禁止其运行。
该方式禁止应用程序的运行,其用户对象的作用范围是所有的用户,不仅仅是受限用户,Administrators组中的账户甚至是内建的administrato r帐户都将受到限制,因此给管理员带来了一定的不便。
当管理员需要执行一个包含在不允许运行列表中的应用程序时,需要先通过组策略编辑器将该应用程序从不运行运行列表中删除,在程序运行完成后,再将该程序添加到不允许运行程序列表中。
需要注意的是,不要将组策略编辑器(gpedit.msc)添加到禁止运行程序列表中,否则会造成组策略的自锁,任何用户都将不能启动组策略编辑器,也就不能对设置的策略进行更改。
提示:如果没有禁止运行“命令提示符”程序的话,用户可以通过cmd命令,从“命令提示符”运行被禁止的程序,例如,将记事本程序(notepad.exe)添加不运行列表中,通过桌面和菜单运行该程序是被限制的,但是在“命令提示符”下运行notepad命令,可以顺利的启动记事本程序。
因此,要彻底的禁止某个程序的运行,首先要将cmd.exe添加到不允许运行列表中。
如果禁止程序后组策略无法使用可以通过以下方法来恢复设置:重新启动计算机,在启动菜单出现时按F8键,在Windows高级选项菜单中选择“带命令行提示的安全模式”选项,然后在命令提示符下运行mmc.exe。
在打开的“控制台”窗口中,依次点击“文件→添加/删除管理单元→添加→组策略→添加→完成→关闭→确定”,添加一个组策略控制台,接下来把原来的设置改回来,然后重新进入Windows即可。
2. 锁定注册表编辑器注册表编辑器是系统设置的重要工具,为了保证系统安全,防止非法用户利用注册表编辑器来篡改系统设置,首先必须将注册表编辑器予以禁用。
具体操作步骤如下:(1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
(2)依次展开“用户配置→管理模板→系统”。
(3)在右侧窗格中双击“阻止访问注册表编辑工具”策略(如图3所示)。
图3 阻止访问注册表编辑工具(4)在弹出的对话框中,选择“启用”,将“是否禁用无提示regedit?”选择“是”(如图4所示),按“确定”即可。
图4 双击“阻止访问注册表编辑工具”此策略被启用后,用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。
若要防止用户使用其他管理工具,请使用“只运行指定的 Windows 应用程序”设置。
提示:解除注册表锁定与禁用注册表编辑器方法步骤相同,双击右侧窗格中的“阻止访问注册表编辑器”,在弹出的窗口中选择“已禁用”或“未配置”,点击“确定”按钮后退出组策略编辑器,即可为注册表解锁。
这项设置是一把双刃剑:如果设为“已禁用”,则有一些正常软件(大部分软件需要与注册表打交道)有可能不能使用,甚至无法安装;如果设置为“已启用”,则在杀毒软件的监护之外,为恶意程序留下隐患。
3. 阻止访问命令提示符命令提示符下有许多危险的操作,要阻止非法用户使用命令提示符窗口(Cmd.exe),远离各种不可预料的风险,具体步骤如下:(1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→系统”,在右侧窗格中双击“阻止访问命令提示符”(如图5所示),打开目标策略属性设置对话框。
图5 双击“阻止访问命令提示符”(3)在“阻止访问命令提示符”属性对话框中勾选已启用(如图6所示),按“确定”即可。
图6 “阻止访问命令提示符”属性对话框如果启用这个设置,用户试图打开命令窗口,系统会显示一个消息,解释设置阻止这种操作。
这个设置还决定批处理文件(.cmd和.bat)是否可以在计算机上运行。
提示:如果计算机使用登录、注销、启动或关闭批文件脚本,不能防止计算机运行批处理文件;也不能防止使用终端服务的用户运行批处理文件。
4. 禁止修改系统还原“系统还原”是Windows 7的一项很重要的功能,如果您对计算机的安全性要求很高,或是计算机是一台公用的计算机,有很多人会去使用,那么为了保证系统的可操作性,将“系统还原”所占用的磁盘空间设置得大一些很有必要。
但是如果这个设置被人更改,就会造成以前创建的还原点中信息的丢失。
您可以在“组策略”中禁止对“系统还原”的配置进行修改。
具体操作步骤如下:(1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模板→系统→系统还原”,在右侧窗格中双击“关闭配置”(如图7所示),打开目标策略属性设置对话框。
图7 双击“关闭配置”(3)在“关闭配置”属性对话框中勾选“已启用”,按“确定”。
“系统还原”配置界面上配置系统还原的选项就会消失。
如果选择“已禁用”(如图8所示),则仍可看见配置界面,但是,所有系统还原配置默认值都有效。
图8 “关闭配置”属性对话框注意:该配置必须重新启动计算机才会生效。
5. 设置虚拟内存页面对于重要文件,您可以通过加密和设置权限以禁止其他无关人员访问,不过您可知道,如果真的有必要,他人完全可以通过其他途径获得您的机密信息,那就是虚拟内存页面文件。
虚拟内存页面文件作为物理内存的补充,用途是在硬盘和内存之间交换数据,而虚拟内存页面文件本身就是硬盘上的一个文件,它位于系统所在硬盘分区的根目录中,文件名为pagef ile.sys。
一般情况下,当您运行程序时,这些程序的一部分内容可能会被临时保存到分页文件上,而如果您编辑完这个文件后立刻就关闭了系统,那么文件的一些内容仍然有可能被保存在虚拟内存页面文件中。
在这种情况下,如果有人得到了这台电脑的硬盘,那么只要把硬盘拆出来,利用特殊的软件,就可以将虚拟内存页面文件中的机密信息读取出来。
通过配置组策略,您可以避免这种潜在的危险。
(1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧窗格中双击“关机:清除虚拟内存页面文件” (如图9所示),打开目标策略属性设置对话框。
图9 双击“关机:清除虚拟内存页面文件”(3)在“关机:清除虚拟内存页面文件”属性对话框中勾选“已启用”(如图10所示),按“确定”即可。
图10 “关机:清除虚拟内存页面文件”属性对话框启用这个策略后,关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满,这样所有的信息自然也都会消失。
提示:这样做会减慢系统的关闭速度,如果不是非常必要,不建议您启用这个策略。
6. 防止菜单泄漏隐私在「开始」菜单中有一个“我最近的文档”菜单项,可以记录您曾经访问过的文件。
这个功能可以方便用户再次打开该文件,但别人也可通过此菜单访问您最近打开的文档,为安全起见,可屏蔽此项功能。
具体操作步骤如下:(1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→「开始」菜单和任务栏”,分别在右侧窗格中双击“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”(如图11所示),打开目标策略属性设置对话框。
