组策略GPO设置2008

域环境下共享文件夹加密、Windows 2008 Server局域网共享文件夹设置权限设置的方法当前，国内很多企事业单位处于网络统一管理和网络安全的需要，通常会组建域环境，将局域网内部电脑全部加入到域里面进行控制。

毋庸置疑，通过Windows域控制器可以集中管理局域网电脑使用权限、统一推送补丁或分发各种策略，从而极大地保护了局域网网络安全，也规范了网络管理。

同时，在很多企事业单位局域网中，通常都有自己的局域网文件服务器，并且经常共享一些文件供局域网用户访问。

虽然通过域控制器可以设置局域网电脑访问共享文件的相关权限，一定程度上保护共享文件的安全。

那么，域环境下如何设置服务器共享文件的安全呢？具体如下：比如我们现在新来了一个员工李斯我们需要为他配备电脑，安装office，配置邮箱，文件共享驱动的映射等诸多事项。

那么我们可以利用组策略为员工添加文件共享服务器的映射驱动，同时也会对该用户访问权限也会随之生效1.我们需要为新员工奖励域账户，并添加到所属部门的 ou（人事）2.还需要在文件共享服务器为其添加相应的访问权限。

3. 开始-管理工具-组策略管理4.选择-人事（ou）-邮件点击-在这个域中创建GPO并在此处链接5.输入GPO名称“人事文件映射驱动”点击-确定6.选择GPO 人事文件映射驱动右键-点击编辑7.选择用户配置-首选项-windows设置-驱动器映射-右键点击新建-点击映射驱动器8.编辑新建驱动器属性，在本属性中的设置直接关系到能否正确的发布驱动器，所以我们要细细的分析一下。

在此类型的下拉列表中提供了四个选择：创建、替换、更新和删除。

组策略的应用结果会因选定的操作以及驱动器号是否已经存在而异。

[创建]：为用户创建新的映射驱动器。

[替换]: 删除并重新创建用户的映射驱动器。

“替换”操作的最终结果是覆盖与映射驱动器相关的所有现有设置。

如果驱动器映射不存在，则“替换”操作会创建新的驱动器映射。

[更新]: 修改用户的现有映射驱动器的设置。

系统管理员必读之组策略要点——确保组策略正常运作的
GPO设置及启用绝招
Darren Mar-Elia; 欧阳宇（译）
【期刊名称】《《Windows IT Pro Magazine：国际中文版》》
【年(卷),期】2008(000)005
【摘要】无论是配置10台还是10，000台Windows服务器和台式机，组策略都能起到重要作用，在其帮助下用户可以及时完成任务，从而有时间享受生活。

但组策略的复杂程度常常导致这样的问题：系统管理员在修改组策略时由于不了解后果，结果让工作变得更加困难。

例如，现在要修改组策略对象（GPO）的“本地登录”用户以删除不必要的用户组，但该GPO原来应用于域中的所有用户，结果造成所有人都无法登录。

这种事情经常会发生。

【总页数】4页(P52-55)
【作者】Darren Mar-Elia; 欧阳宇（译）
【作者单位】
【正文语种】中文
【中图分类】TP316.86
【相关文献】
1.Windows组策略应用全攻略：组策略的设置技巧 [J],
2.使用Windows7或Windows Server2008R2时，如何通过PowerShell链接到组策略对象（GPO）？ [J],
3.使用Windows 7和Windows Server 2008 R2时，如何通过Power Shell创建组策略对象（GPO）？ [J],
4.灵活备份GPO组策略 [J], 刘进京
5.灵活备份GPO组策略 [J], 刘进京
因版权原因，仅展示原文概要，查看原文内容请购买。

（1）防止黑客建立IPC$空连接打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右边修改RestrictAnonymous为1.（2）账户问题。

首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次选中组策略编辑界面左侧列表中的"计算机配置"节点选项，再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Windows登录选项"分支选项，从目标分支选项下面找到"在用户登录期间显示有关以前登录的信息"目标组策略选项，并用鼠标双击该选项，进入如图8所示的选项设置界面；(图挂了你自己猜吧) 在该选项设置界面中检查"已启用"选项有没有被选中，倘若看到该选项还没有被选中时，我们应该重新选中它，再单击"确定"按钮保存上面的设置操作，这样的话Windows Server 2008服务器系统自带的显示以前登录信息功能就被成功启用了。

日后，当有危险登录行为发生在Windows Server 2008服务器系统中时，目标危险登录账号信息就会被Windows Server 2008系统自动跟踪记忆下来，网络管理员下次重启服务器系统时，就能非常清楚地看到上次登录系统的所有账号信息，其中来自陌生账号的登录行为可能就是危险登录行为，根据这个危险登录行为网络管理员应该及时采取安全措施进行应对，以便杜绝该现象的再次发生。

（3）加强连接安全保护Windows Server 2008服务器系统自带的防火墙功能比以往进步了不少，为了让本地系统中的所有网络连接安全性及时地得到Windows防火墙的保护，我们需要对该系统环境下的组策略参数进行合适设置，来让Windows Server 2008服务器系统下的所有网络连接都处于Windows防火墙的安全保护之中，下面就是具体的设置步骤：首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次将鼠标定位于组策略编辑界面左侧列表区域中的"计算机配置"节点选项上，再从该节点选项下面依次点选"管理模板"、"网络"、"网络连接"、"Windows防火墙"、"标准配置文件"组策略子项，在目标组策略子项下面，找到"Windows防火墙：保护所有网络连接"选项，并用鼠标双击该选项，进入如图7所示的选项设置界面；（图挂了你自己猜）检查该设置界面中的"已启用"选项是否处于选中状态，要是发现该选项还没有被选中时，我们应该及时将它选中，再单击"确定"按钮保存上述设置操作，那样的话Windows Server 2008系统下的所有网络连接日后都会处于Windows防火墙的安全保护之下了。

使用组策略文件系统为域客户端文件夹赋权
测试环境——Windows Server 2008 R2
方法
打开相应的组策略对象（GPO），依次点击计算机配置-------策略-----windows设置-----安全设置-----文件系统，点击文件系统，在页面右侧点击新建文件。

接下来的操作如下面几幅图所示。

注意一
“包括可以从该项的父项继承的权限”选项一定要勾上，不然本地账户对该文件夹的权限都没有了。

“包括可以从该项的父项继承的权限”勾选后，客户端是强制性的。

注意二
假如要将域的超级管理员予以授权，不要直接将“域名\administrator”添加到权限列表里面。

不知道为什么，客户端的反应是将本地的超级管理员添加到权限列表里面了。

甚是奇怪。

可以将“域名\administrator”所在的分组添加到权限列表里面。

WindowsServer2008组策略设置详解1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上生效。

计算机启动的时候应用，在出现登录界面前。

2 用户配置：针对用户的配置，只在所有用户帐户上生效。

用户登录后应用。

2、根据应用范围将组策略分为三类：1 域的组策略：设置对于整个域都生效。

在“AD用户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU生效。

在“AD用户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点生效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD 用户和计算机”中才能进入。

3、组策略的执行顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉用户配置4、组策略的冲突：1 在不同组策略中的同一项目的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。

再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。

2 冲突的结果：后执行的是结果。

5、组策略中的设置内容：1 软件安装：自动安装应用软件。

计算机配置和用户配置下都有。

准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。

将软件的源安装文件放到一个共享文件夹中。

（网络路径）A、已发行：由用户决定是否安装。

如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，自动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。

WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略，密码策略，密码过期默认42天服务账户设置成永不过期，帐户锁定策略，本地策略，审核策略，计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。

1.在⼯作组中的安全策略，打开本地安全策略。

2.打开本地安全策略之后选择密码策略，可以看到有很多的策略，先看第⼀个密码复杂性要求。

3.打开密码必须符合复杂性要求，默认是打开的，我们在设置密码的时候，不能设置纯数字或者纯字母，必须要有数字加⼤⼩写。

4.密码长度最⼩值，这个是设置密码最低⼩于⼏位数，默认是0，这⾥修改为6位，在设置密码的时候必须满⾜6位，包括数字字母⼤⼩写或者特殊符号。

5.密码最短使⽤期限，默认是0天这⾥设置为30天，在30天不会提⽰你修改密码，必须要使⽤30天才能改密码。

6.密码最长使⽤期限，默认是42天，这⾥修改为60天超过60天之后会提⽰让你修改密码。

7.强制密码历史，这个选项是你修改密码时不能⼀样，默认是0，这⾥设置为3次，修改3次密码之后才能修改回第⼀次使⽤的密码。

8.打开账户锁定策略，账户锁定值默认是0次，可以设置5次超过5次就会把这个账户锁定，为了防⽌别⼈⼊侵你的电脑，等待半个⼩时之后就会⾃动解锁，或者联系管理员⾃动解锁。

9.账号锁定时间，默认是30分钟⾃动解锁，也可以⾃⼰修改，这⾥修改为3分钟⾃动解锁。

10.现在lisi这个⽤户输错五次密码，就算输⼊正确的密码，提⽰账户已锁定，⽆法登录。

11.打开服务器管理器，选择本地⽤户和组，可以查看lisi这个⽤户，输错5次密码之后账户已锁定，管理员可以⼿动把这个勾去掉，然后确定就能登⼊了，或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。

12.打开本地策略，选择审核登录事件，默认是⽆审核，这⾥我勾选成功跟失败，然后确定。

13.打开事件查看器，选择安全把⾥⾯的事件先全部删除，然后使⽤lisi远程登录到这台计算机。

1. 启用internet进程在运行里输入gpedit.msc->计算机配置->管理模板->windows组件->internet explorer->安全功能->限制文件下载->internet进程->选择已启用，日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。

(作用：防止恶意代码直接下载到本机上)2. 对重要文件夹进行安全审核、打开组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核对象访问,右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选中该属性设置窗口中的“成功”和“失败”复选项，再单击“确定”按钮，如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败，都会被Windows Server 2008系统自动记录保存到对应的日志文件中，我们只要及时查看服务器系统的相关日志文件，就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了，一旦发现系统存在安全隐患的话，我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。

3. 禁止改变本地安全访问级别打开组策略->用户配置->管理模板->Windows组件->InternetExplorer->Internet控制模板->禁用安全页,右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选择已启用4. 禁用internet选项打开组策略->用户配置->管理模板->Windows组件->Internet Explorer->浏览器菜单->禁用“Internet选项”组策略的属性设置窗口打开，然后选中其中的“已启用”选项，最后单击“确定”按钮就能使设置生效了。

设置Windows Server 2008系统组策略功能2013-08-22 14:26 463人阅读评论(0) 收藏举报分类：windows（63）作者同类文章X尽管Windows Server 2008系统的安全性要领先其他操作系统一大步，不过默认状态下过高的安全级别常常使不少人无法顺利地在Windows Server 2008系统环境下进行各种操作，为此许多用户往往会采用手工方法来降低Windows Server 2008系统的安全访问级别。

可是，一旦降低了安全访问级别，Windows Server 2008系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下，我们仍然能够让Windows Server 2008系统安全地运行?要做到这一点，我们可以利用Windows Server 2008系统强大的组策略功能，来对相关选项参数进行有效设置!1、禁止恶意程序“不请自来”在Windows Server 2008系统环境中使用IE浏览器上网浏览网页内容时，时常会有一些恶意程序不请自来，偷偷下载保存到本地计算机硬盘中，这样不但会白白浪费宝贵的硬盘空间资源，而且也会给本地计算机系统的安全带来不少麻烦。

为了让Windows Server 2008系统更加安全，我们往往需要借助专业的软件工具才能禁止应用程序随意下载，很显然这样操作不但麻烦而且比较累人;其实，在Windows Server 2008系统环境中，我们只要简单地设置一下系统组策略参数，就能禁止恶意程序自动下载保存到本地计算机硬盘中了，下面就是具体的设置步骤：首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“管理模板”/“Windows 组件”/“Internet Explorer”/“安全功能”/“限制文件下载”子项，双击“限制文件下载”子项下面的“Internet Explorer进程”组策略选项，打开如图1所示的目标组策略属性设置窗口;选中“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样一来我们就能成功启用限制Internet Explorer进程下载文件的策略设置，日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。

想把Workstation 加入到DC，作为额外的辅助DC现在用检查网络连接的命令，结果显示passed就是对的此时只需要把windows中增加一条默认域控制器组策略就可以了windows2000中的组策略刷新查看dc完成情况组策略的概念组策略建在站点域OU应用对象用户对象计算机对象组策略功能介绍：设置集中化和分散化策略确保用户处于其所需的工作环境中控制用户和计算机的环境实施公司策略Sysvol 文件夹的重要性：若删除了sysvol 文件夹，会造成AD中组策略不可用，界面呈灰色，网络停用也会出现这样的问题删除sysvol文件夹运行去看组策略出现错误现添加sysvol文件夹刷新后就可以用组策略了windows2000时用Secedit 强制刷新windows2003时用gpupdate 刷新Ad 有关联DNS 有关联网络有关联Gpresult.exe查看组策略的结果重点查看：先安装一个gptools，然后把生成结果存到gp.txt Gpresult.exe 的应用GPOTool.exe 检验组策略文件的“健康情况”以及查看GPO的组策略还在不在如何应用先验证DC 再验证DC上的相关组策略Repadmin.exe 命令工具来做强行复制通过命令行进行强行复制使用NTFRSUtl.exe来检查订阅信息首先安装工具检查NTFS数据库文件FRS数据库文件位于winnt\ntfrs\jeb\ntfrs.jdb下面GPMC不是windows2003内置的工具安装GPMCGPMC的进入方式组策略管理控制台可以实现组策略的备份和还原组策略建模：可以模拟一个用户登录到另外一台计算机上是什么情况GPMC不能装在windows2000上，但是GPMC能够去管理windows2000的域使用第三方工具。

利用windows 2008域控下发注册表项以及修改IE的安全区域设置步骤：1.首先在域控中新建GPO, OU，将计算机和用户添加到该OU下。

2、打开组策略编辑器。

将该OU链接一条新的组策略对象3，使用组策略编辑器编辑组策略对象。

4. 添加HKCU注册表项目在用户配置-首选项-注册表中，右键点击新建-注册表项在常规设置中，对于已经存在的注册表键值，我们如果希望修改它，可以选择更新，如果是新添加注册表键值，可以选择创建。

在配置单元中，选择HKEY_CURRENT_USER在注册表路径中，选择需要修改的注册表的路径值，该路径可以是在DC中不存在的，但是在需要生效的客户端存在。

在值名称中，输入注册表的名称在值类型中，选择注册表的数据类型在数值数据中，添加键值。

添加完毕后，在AD中，输入gpupdate /force.在客户端注销。

5. 添加HKLM注册表项目在计算机配置-首选项-注册表中，右键点击新建-注册表项在常规设置中，对于已经存在的注册表键值，我们如果希望修改它，可以选择更新，如果是新添加注册表键值，可以选择创建。

在配置单元中，选择HKEY_LOCAL_MACHINE在注册表路径中，选择需要修改的注册表的路径值，该路径可以是在DC中不存在的，但是在需要生效的客户端存在。

在值名称中，输入注册表的名称在值类型中，选择注册表的数据类型在数值数据中，添加键值。

添加完毕后，在AD中，输入gpupdate /force.在客户端reboot。

6. 修改IE浏览器的可信任站点及控件启用列表在windows 2008的服务器管理器中，在安全信息中，点击配置IE ESC将管理员和用户的IE增强安全配置禁用在组策略管理器中，选择用户配置-Internet Explorer维护在安全- 安全区域和内容分级中，双击打开。

会有提示，点击继续。

然后选择导入当前安全区域和隐私设置选择修改设置，将安全区域更改为需要的设置。

将Internet Explorer设置为首选模式。

winserver2008r2开机显示group policy client的解决方法【原创实用版3篇】目录（篇1）1.引言2.group policy client 的作用3.winserver2008r2 开机显示 group policy client 的原因4.解决方法5.总结正文（篇1）一、引言在企业级操作系统中，Windows Server 2008 R2 是一款非常受欢迎的服务器操作系统。

然而，在使用过程中，可能会遇到开机显示 group policy client 的问题。

本文将为您介绍如何解决这一问题。

二、group policy client 的作用Group Policy Client（组策略客户端）是 Windows 系统中的一个重要组件，负责从域控制器获取并应用组策略设置。

组策略可以对计算机进行各种配置，如安装软件、设置用户权限等。

当 group policy client 出现问题时，可能会影响到计算机的正常运行。

三、winserver2008r2 开机显示 group policy client 的原因Windows Server 2008 R2 开机显示 group policy client 的原因可能有以下几点：1.组策略设置错误：如果域控制器上的组策略设置有误，可能会导致客户端开机时出现问题。

2.客户端与域控制器通信故障：如果客户端与域控制器之间的网络连接有问题，可能会导致 group policy client 无法正常工作。

3.客户端系统文件损坏：如果客户端系统的组策略相关文件损坏，可能会导致开机时出现异常。

四、解决方法针对上述原因，我们可以尝试以下解决方法：1.检查并修复组策略设置：登录到域控制器，检查组策略设置，确保没有错误的设置。

如果有问题，及时进行修复。

2.检查网络连接：确保客户端与域控制器之间的网络连接正常。

可以尝试重启网络设备或者检查网络线路。

WindowsServer2008利用组策略的安全设置相信很多人都知道Windows Server 2008系统的安全功能非法强大，而它的强大之处不仅仅是新增加了一些网络安全功能，而且还表现在一些不起眼的传统功能上。

这不，巧妙对Windows Server 2008系统的组策略功能进行深入挖掘，我们可以发现许多网络技术安全应用秘密;现在本文就为各位朋友贡献几则这样的安全秘密，希望能对大家有用!1、限制使用迅雷进行恶意下载在多人共同使用相同的一台计算机进行工作时，我们肯定不希望普通用户随意使用迅雷工具进行恶意下载，这样不但容易浪费本地系统的磁盘空间资源，而且也会大大消耗本地系统的上网带宽资源。

而在Windows Server 2008系统环境下，限制普通用户随意使用迅雷工具进行恶意下载的方法有很多，例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能，或者通过限制下载端口等方法来实现上述控制目的，其实除了这些方法外，我们还可以巧妙地利用该系统的软件限制策略来达到这一目的，下面就是该方法的具体实现步骤：首先以系统管理员权限登录进入Windows Server 2008系统，打开该系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，进入对应系统的组策略控制台窗口;其次在该控制台窗口的左侧位置处，依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“创建软件限制策略”命令;接着在对应“软件限制策略”选项的右侧显示区域，用鼠标双击“强制”组策略项目，打开如图1所示的设置对话框，选中其中的“除本地管理员以外的所有用户”选项，其余参数都保持默认设置，再单击“确定”按钮结束上述设置操作;下面选中“软件限制策略”节点下面的“其他规则”选项，再用鼠标右键单击该组策略选项，从弹出的快捷菜单中点选“新建路径规则”命令，在其后出现的设置对话框中，单击“浏览”按钮选中迅雷下载程序，同时将对应该应用程序的“安全级别”参数设置为“不允许”，最后单击“确定”按钮执行参数设置保存操作;重新启动一下Windows Server 2008系统，当用户以普通权限账号登录进入该系统后，普通用户就不能正常使用迅雷程序进行恶意下载了，不过当我们以系统管理员权限进入本地计算机系统时，仍然可以正常运行迅雷程序进行随意下载。

关于windows2008 的组策略设置开始---运行----gpedit.msc---组策略----计算机配置---- Windows设置----安全设置---组策略设置：在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;启用不允许匿名访问SAM帐号和共享;启用不允许为网络验证存储凭据或Passport;从文件共享中删除允许匿名登录的DFS$和COMCFG;启用交互登录：不显示上次的用户名;启用在下一次密码变更时不存储LANMAN哈希值;禁止IIS匿名用户在本地登录;3.本地安全策略设置:开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组（备注不要加入User组以后无法远程登录。

）通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户防火墙安全设置：计算机配置----管理模板----网络---网络连接----windows防火墙----标准配置文件---windows防火墙保护所有网络连接---- 启动Tsconfig.msc 右键RDP—TCP 属性安全层SSL （TLS.0）加密级别高（带网络认证安全连接）关于目录权限设置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

实验报告切换到服务器并打开“AD用户和计算机”在域上新建“OU”并键入OU名称在OU里创建用户在运行窗口中输入“gpmc.msc”打开组策略管理右击域名并选择“在这个域中创建GPO…”设置域GPO名称，并确定右击GPO名称并选择编辑第一步：依次选择计算机配置--策略—管理模板—系统第二步选择显示“关闭事件跟踪程序”第三步：选择已禁用，并确定第一步：选择用户配置—管理模板—桌面第二步：选择删除桌面上的计算机图标第三步：选择已禁用并确定右键单击SCB OU并选择“在这个域中创建GPO…. ”输入GPO名称并确定右键GPO并选择编辑按钮第一步：依次选择用户配置—策略—管理模板—桌面—桌面第二步：选择桌面墙纸选择已启用，并输入墙纸的共享UNC路径因未创建共享，以下为创建共享文件夹实验打开C盘并在创建AA文件夹将AA文件夹设置共享并设置权限将桌面图片文件复制到AA共享文件夹下切到组策略管理编辑中输入墙纸的共享UNC路径第一步：依次选择用户配置—策略—管理模板—控制面板—显示第二步：双击阻止更改墙纸第三步：选择已启用并点击确定给SCB 新建GPO2右击GPO2并选择编辑第一步：选择用户配置—策略—管理模板—桌面第二步：选择删除桌面上的计算机图标第三步：选择已启用并确定用SCB账号登陆客户机桌面如下：无计算机图标桌面已经更改因为普通用户无关机权限，所以无法验证“禁用关闭事件跟踪器”，用网络管理员账户登陆客户机测试禁用关闭事件跟踪器。

关机时无关闭事件跟踪器说明实验成功给域新建GPO2并确定，并编辑域GPO2依次选择用户配置—软件设置—软件安装右击此空白处选择属性按钮在此输入软件文件夹的UNC路径右击此空白处选择新建按钮并选择数据包选择要安装的软件选择部署类型，我们选择已分配右键单击需安装的软件并选择属性选择部署选项卡勾选在登录时安装此程序用此域中的用户账户登陆客户机软件安装成功切换到服务器，在组策略管理编辑器中软件安装空白处右击并选择新建—数据包选择软件升级后的安装包选择部署方式，我们选择分配右击新版本的软件并选择属性第一步：选择升级选项卡，并选择添加第二步：选择升级前的软件第三步：勾选此选项勾选现有数据包所需的升级，并确定切换到部署选项卡并勾选在登陆时安装此应用程序登陆客户机后显示此话面，正在删除升级前得软件删除升级前得软件后安装升级后的软件开机后软件已经更新成了最新版本说明实验成功。