组策略详细设置

域控中组策略基本设置
在Windows域控制器中，组策略是一种非常重要的工具，用于管理网络中的计算机和用户。

组策略允许系统管理员在网络上部署、管理和强制执行特定设置，以确保网络安全性和一致性。

下面将详细介绍域控制器中组策略的基本设置。

1.创建和链接组策略：
-打开“组策略管理”控制台，右键单击“域”节点，选择“创建一个或多个GPO，并将其链接到此处”
-输入策略名称，点击“确定”创建策略
-右键单击域或OU（组织单位），选择“链接已存在的GPO”
-选择需要链接的策略，点击“确定”
2.应用组策略：
-应用到特定的OU：选择需要应用策略的OU，右键单击，选择“应用组策略”
- 更新组策略：使用命令行工具gpupdate /force强制更新策略
3.用户配置：
4.计算机配置：
5.安全设置：
6.软件安装：
7.文件共享：
8.IE设置：
9.桌面配置：
10.AUDIT策略：
值得注意的是，组策略设置在域控制器上只对处于该域中的计算机和用户生效。

通过组策略，管理员可以集中管理网络中的资源和安全策略，并确保网络中的计算机和用户的行为符合组织的政策和要求。

完成以上设置后，管理员需定期检查组策略的运行情况，保证其有效性和及时性。

域控器的组策略应用设置大全1.密码策略设置：可以设置密码的复杂度要求，包括密码长度、大小写字母要求、数字和特殊字符要求等。

还可以设置密码过期时间和历史密码禁用策略。

2.账户策略设置：可以设置账户锁定策略，包括连续登录失败次数和锁定时间。

还可以设置强制用户注销策略，踢出空闲用户和会话时间限制等。

3.审计策略设置：可以设置哪些事件需要进行审计，以及生成审计日志的位置和大小。

还可以设置审计策略的保留时间和备份策略等。

4.软件安装策略：可以通过组策略实现软件的自动安装和卸载。

可以指定软件的安装位置、启动方式和升级方式，并设置软件的相关策略。

5.防火墙策略设置：可以设置域中计算机的防火墙策略，包括入站和出站规则的配置。

可以设置允许和禁止的端口号、应用程序等。

6.网络共享策略设置：可以设置共享文件夹和打印机的访问权限，包括读写权限和管理权限。

可以配置网络共享策略的安全性和密码保护方式等。

7.远程桌面策略设置：可以设置远程桌面连接的权限和限制。

可以设置远程桌面连接的安全性和加密方式，以及是否允许远程桌面的访问。

8. Internet Explorer 策略设置：可以限制用户对 Internet Explorer 的设置和功能的访问和修改。

可以设置主页、安全性、隐私和其他 Internet Explorer 相关的策略等。

10.端口安全策略设置：可以限制计算机上允许开放的端口和服务。

可以阻止非授权的端口访问和连接，增强网络的安全性。

总结起来，域控制器的组策略应用设置包含了密码策略、账户策略、审计策略、软件安装策略、防火墙策略、网络共享策略、远程桌面策略、Internet Explorer 策略、软件限制策略和端口安全策略等方面的配置和管理。

通过合理配置组策略，可以提高网络的安全性，统一管理和控制计算机的行为，提升网络的效率和管理能力。

域用户常用组策略设置组策略是指在Windows操作系统中，通过集中管理策略和设置来控制域用户和计算机的行为。

以下是一些常用的组策略设置，适用于Windows Server上的域环境。

1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。

可以设置密码的最短长度、密码的复杂性要求，如必须包含大写字母、小写字母、数字和特殊字符等。

还可以设置密码的最长有效期和密码历史记录的保留个数，以防止用户频繁更改密码。

2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。

该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。

可以设置失败尝试次数和锁定时间。

3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。

例如，可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。

可以根据组织的需求进行灵活的设置，以满足不同用户角色和职责的需要。

4.审计策略审计策略用于记录用户和计算机的操作日志。

可以设置哪些操作需要被审计，如登录、文件访问、对象的创建和删除等。

审计策略可以帮助管理员跟踪和分析系统的安全事件，及时发现和应对潜在的安全威胁。

5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。

可以通过组策略将软件程序推送到目标计算机上，或者限制一些用户或计算机无法安装特定的软件。

这样可以确保组织中的计算机都拥有统一的软件环境，便于管理和维护。

6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。

可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。

还可以限制用户是否可以访问控制面板、开始菜单等系统设置。

这样可以加强计算机的安全性，并减少用户误操作或恶意行为造成的影响。

7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。

可以设置浏览器的安全级别、对特定网站启用或禁用特定功能，如ActiveX控件、Java脚本等。

组策略入门（一）组策略有什么用?说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。

很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

简单点说，组策略就是修改注册表中的配置。

当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

（二）组策略的版本大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。

其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT 的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。

早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。

当用户登录的时候，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象（即站点、域或组织单位）并对它进行设置。

这是以前“系统策略编辑器”工具无法做到的。

无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

组策略管理模板在Windows 2000/XP/2003目录中包含了几个.adm 文件。

一、编辑组策略1、允许用户登陆本计算机在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。

用gpupdate /force 命令刷新。

2、拒绝用户访问运行、CMD、以及批处理文件。

1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。

用gpupdate /force 命令刷新。

2、在要设定的域控制器点击右键→属性→组策略→编辑策略→用户配置→管理摸板→系统→阻止用户访问命令提示符→继续点击下面的的选项→是否拒绝使用批处理文件处理→选择“是”。

用gpupdate /force 命令刷新。

二、拒绝继承权限1、在下一级的OU上→属性→组策略→禁止策略的继承。

用gpupdate /force 命令刷新。

三、强制继承1、在上一级的OU上→属性→组策略→选项→禁止替代钩上。

用gpupdate /force 命令刷新。

四、过滤用户（特定的人群）1、在要设定的OU上→属性→组策略→属性→安全→添加用户→给予权限→拒绝组策略。

用gpupdate /force 命令刷新。

五、桌面管理1、在要设定的OU上→属性→组策略→编辑组策略→用户配置→管理模板→桌面→Acti ve desktop→启用Active desktop→启用Active desktop墙纸→输入对应的主机的地址和共享文件。

2、用户配置→管理模板→系统→CTRL+ALR+DEL选项。

六、密码策略1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→（1、密码策略2、帐户锁定策略）七、组策略脚本1、当用户启动时→启动脚本→登陆脚本2、当用户注销时→注销脚本→关机脚本3、wscript.echo"内容" 后缀改为“VBS”1、建立脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→用户配置（计算机配置）→WINDOWS设置→脚本→双击登陆→显示文件→把脚本文件拖进去→3、在点击添加→写入文件名就可以了。

AD域组策略规划和部署指南AD域（Active Directory）是一种用于管理网络资源的服务。

组策略是AD域中的一项功能，在整个域范围内为用户和计算机提供统一的安全设置和管理。

本文将提供AD域组策略规划和部署的指南，帮助管理员更好地使用此功能。

一、规划阶段1.定义需求：首先，确定组策略的主要需求和目标。

这可能包括安全性、访问控制、软件分发、用户配置等方面。

2.识别和分类对象：将AD域中的用户和计算机分组，并为每个组定义不同的策略需求。

例如，可以将用户分为管理人员、技术人员和普通员工等组别。

3.制定策略范围：确定需要部署组策略的范围。

可以选择在整个域中实施策略，也可以仅在特定的组织单位或者OU（组织单元）中实施。

二、设计策略1.定义基本策略：根据需求和目标，制定基本策略模板。

这些策略包括密码策略、帐户锁定策略、用户权限策略等。

2.定义高级策略：根据不同的组别和对象，制定更详细的策略，以满足各组的需求。

例如，可以为管理人员组设计更严格的安全设置，为技术人员组配置特定的软件等。

3.组织单位结构设计：根据分组需求，设计合适的OU结构。

这将有助于更好地管理和应用组策略，使其更符合组织的层次结构和需求。

三、实施策略1.创建组策略：在AD域中，使用组策略对象来创建和管理策略。

可以通过右键单击"组策略对象"，然后选择"新建策略"来创建新的策略。

2.配置策略设置：打开组策略对象后，可以根据需求和目标，通过对不同设置进行配置来实施策略。

这些设置包括安全设置、软件安装、脚本执行、桌面设置等。

3.应用策略：设置好策略后，在AD域中的对象将自动接收到策略，并按照设置进行操作。

可以通过强制组策略更新、重启计算机等方式来确保策略被应用。

四、测试和审计1.测试策略：在实施策略后，进行测试以确保它们按预期工作。

可以选择一些测试用户和计算机，观察他们是否符合策略要求。

2.审计策略：定期审计和评估组策略的效果和安全性。

【踏上攻防的征途】——第九十六课——组策略简介：组策略（Group Policy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

打开方式：开始菜单→运行→输入“gpedit.msc”→点击确定，即可打开！所谓组策略，就是基于组的策略。

它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置，包括桌面配置和安全配置。

譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。

简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

组策略的用途：组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

考虑到安全方面的原因，Windows 7已经开发了许多新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。

这些功能的配置取决于您的具体要求和使用环境，本文将主要介绍Windows 7组策略的安全使用技巧，介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。

具体用途：1. 禁止运行指定程序系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。

域组策略域控中组策略基本设置
组策略是域控中的一项重要功能，它允许管理员集中管理域中的计算机和用户。

组策略可以通过设置一系列规则和限制来控制域中的计算机和用户的行为和配置。

在组策略基本设置中，管理员可以执行以下操作：
2.链接组策略到组织单位或域对象：管理员可以将组策略链接到特定的组织单位或域对象上。

链接组策略到组织单位将使该策略应用于组织单位下的所有计算机和用户。

链接组策略到域对象将使该策略应用于整个域中的所有计算机和用户。

3.启用和禁用组策略：管理员可以启用或禁用组策略，以控制该策略是否应用于目标计算机和用户。

禁用组策略将导致不应用该策略中定义的所有设置和规则。

4.强制组策略：管理员可以通过强制组策略来立即应用组策略中的设置和规则。

强制组策略可以用于快速应用新的或更改的设置，而无需等待组策略刷新。

5.优先级设置：管理员可以为链接到同一组织单位或域对象的多个组策略设置优先级。

优先级较高的组策略将覆盖优先级较低的组策略中的相同设置和规则。

7.备份和恢复组策略：管理员可以备份组策略的配置，并在需要时进行恢复。

这样可以确保即使发生意外情况，管理员也能轻松地恢复组策略的设置。

8.详细日志和审计：系统还提供了详细的日志和审计功能，记录组策略的所有修改和应用。

管理员可以使用这些日志来跟踪和审计组策略的变更历史。

组策略组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。

通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。

微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。

利用组策略可以修改Windows 的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。

平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。

组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强。

本文主要介绍Windows XP Professional本地组策略的应用。

本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。

其下所有设置项的配置都将保存到注册表的相关项目中。

其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到HKEY_CURRENT_USER。

一、访问组策略有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是打开控制台，将组策略添加进去。

1. 输入gpedit.msc命令访问选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。

组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。

这两个节点下分别都有“软件设置”、“Windows 设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。

此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。

“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。

概括：组策略的设置也就是对注册表的操作，因为注册表的路径太多太难记，所以使用组策略能很好的颜色分类说明：*红色为系统安全设置项，建议多掌握一些！*蓝色为个性功能设置，能把你的系统改得千奇百怪、五花八门，当你系统出现了什么不见了，什*紫色为系统功能设置，比如打开某功能，禁用某功能。

*绿色为常见问题需要注意的地方*同一行内有多种颜色，说明同时具有那些颜色的性质！点击系统右下角的开始菜单，输入命令：gpedit.msc，就计算机配置Windows设置脚本（启动/关机）安全设置管理模版Windows组件InNeWWWWWWW错误报告W日历W移动中心备家庭组录音机任务计划程序事件日志服务搜索应用程序兼容性游戏浏览器远程桌面服务桌面窗口管理器桌面小工具自动播放策略打印机系统关机选项恢复可移动存储访问用户配置Windows设置脚本（登陆/注销）Internet Explorer维护管理模版“开始”菜单和任务栏为将“注销”添加到「开始」菜单关锁定任务栏将“在单独的内存空间运行”复选框添加到“运行”对话框删“气球提示”删“开始”菜单上的拖放和上下文菜单删“关机”、“重新启动”、“睡眠”和“休眠”命令从从“收藏夹”菜单从“搜索”链接从从“游戏”链接从“帮助”菜单关从“所有程序”列表从“网络连接”从不保留最近打开文档的历史从“最近的项目”菜单从“运行”菜单从“默认程序”链接从“文档”图标从“音乐”图标从“网络”图标从“图片”图标不删“搜索计算机”链接删“查看更多结果”/“搜索所有位置”链接不不 Internet不从“设置”菜单删除程序阻“任务栏和「开始」菜单”设置从“开始”菜单中删除“下载”链接从“开始”菜单中删除“家庭组”链接从“开始”菜单中删除“TV 录像”链接从从“开始”菜单中删除“视频”链接强从系统通知区域删除时钟阻止在任务栏上对项目分组不在任务栏显示任何自定义工具栏阻止访问任务栏的上下文菜单隐藏通知区域从「开始」菜单中删除用户文件夹链接从「开始」菜单中删除用户名删“Windows Update”的链接和访问更“开始”菜单电源按钮在从“移除 PC”按钮将“运行”命令添加到「开始」菜单删“注销”删“操作中心”图标删删除音量控制图标关闭功能提示气球通知不允许在跳转列表中附加项目不允许将程序附加到任务栏不要在跳转列表中显示或跟踪来自远程位置的项目关闭将通知图标自动提升到任务栏锁定所有任务栏设置Windows组件WWWWWWW错误报告W日历W移动中心W资源管理器备份附件管理器录音机任务计划程序应远程桌面连接客户端桌面窗口管理器共享文件夹控制面板个性化系统桌面从桌面删除回收站删“回收站”上下文菜单的“属性”退关 Aero Shake 窗口最小化鼠标手势禁禁用调整桌面工具栏表的操作，因为注册表的路径太多太难记，所以使用组策略能很好的对计算机进行管理。

计算机组策略应用设置大全组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。

此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。

例如要删除“我的文档”，只需在“删除桌面上的‘我的文档’图标”一项中设置即可。

若要隐藏桌面上的“网上邻居”和“I nternet Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

为何不能交互式登陆前一段时间做了一个win2000的终端网，采用win2000 application server终端服务模式+citrix(sp3)，客户机上出现登陆窗口，以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题，开始有点呐闷，这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样，后来查了一查资料，顿时明白过来。

在这里我必须讲一讲NT和win2000的身份验证机制。

NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议，用户通过提供登陆信息（如用户名和密码）,服务器将这些信息发送到服务器上的验证机构，验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的，不可传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权限。

而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的，他是由每域的RID主机（相对关系主机）来分配的。

SID在每个域中是独一无二的，但在其他域中也可能出现同样的SID，但是由于域ID的不同，所以二者的GUID就不可能相同。

但这必须建立在Kerberos协议的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A；A信任B，B信任C，A信任C。

当然也可手工调整，一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。

ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE（Access control entry)是具体的访问类型（如read,write 等等).说了这么多，我再谈一谈针对win2000域环境下本地交互登陆的机制，众所周知，win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器，GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求，就会将其转发到LSA（本地权威机构），而在WIN2000下由于Kerberos是默认的验证机制，所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后，便会出现错误信息，因为kerberos是用来验证域用户账号而非本地账号，此时LSA收到错误信息，会将其转发到GINA，GINA在将指定了MSV1_0协议的LSA来验证身份，如果通过则完成本地交互式登陆。

AD域用户常用组策略设置在Active Directory（AD）域环境中，组策略是用于管理和配置用户和计算机的集中策略工具。

组策略允许管理员通过在域中创建和应用组策略对象（GPOs）来定义用户和计算机的设置。

以下是AD域用户常用的组策略设置：1.密码策略：通过密码策略，管理员可以设置密码的复杂性要求、密码过期时间以及密码历史保留的数量。

这有助于增加密码的安全性。

2.帐户锁定策略：通过帐户锁定策略，管理员可以配置登录失败尝试的次数和锁定持续时间。

这有助于防止恶意用户通过暴力破解密码来获取访问权限。

3.账户密码策略：管理员可以配置密码重置和更改密码的要求。

这包括要求用户更改密码的频率、提供密码重置选项和密码复杂性要求。

4. 安全选项：管理员可以配置安全选项，包括启用或禁用自动管理员登录、禁用Guest帐户、强制使用加密方式进行网络通信等。

5.审核策略：通过审核策略，管理员可以配置要审计的事件类型以及要记录的日志信息。

这有助于保护系统免受安全威胁并进行安全审计。

6.应用程序控制：管理员可以配置允许或拒绝运行的应用程序列表，以帮助防止使用未经授权的应用程序。

7.注册表设置：管理员可以配置注册表设置，以控制计算机上注册表项的访问权限和配置。

8.文件和文件夹权限：管理员可以使用组策略设置来定义共享文件和文件夹的权限，确保只有经过授权的用户可以访问和修改文件。

9.桌面设置：管理员可以通过组策略设置来配置桌面背景、屏幕保护程序、任务栏、桌面图标等，以统一组织内工作站的外观和体验。

10.网络设置：管理员可以使用组策略设置来配置网络接口卡、防火墙、代理服务器等网络设置，以保护网络安全并优化网络性能。

11.程序安装和升级：管理员可以使用组策略设置来自动安装和升级特定的应用程序，以减轻用户手动操作的负担。

12.远程桌面设置：管理员可以配置远程桌面访问权限，限制哪些用户可以远程访问计算机。

13. Internet Explorer设置：管理员可以使用组策略设置来配置Internet Explorer的安全性、高级选项和首选项，以确保一致的浏览器体验。