下载文档原格式
组策略入门(一)组策略有什么用?说到组策略,就不得不提注册表。
注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。
很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。
当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
(二)组策略的版本大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。
其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT 的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。
早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。
当用户登录的时候,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。
这是以前“系统策略编辑器”工具无法做到的。
无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
组策略管理模板在Windows 2000/XP/2003目录中包含了几个.adm 文件。
本地安全组策略是Windows操作系统中的一种安全机制,用于控制计算机本地账户的访问权限。
其详细描述如下:
本地账户管理:可以指定密码策略、启用或禁用本地账户、更改本地账户的名称等。
用户权限:可以控制本地用户访问计算机资源(如文件夹、注册表等)的权限,包括允许或拒绝访问、授权运行特定程序等。
安全选项:可以设定一些安全选项来增强计算机的安全性,如自动锁定屏幕、安全审计日志、强制密码复杂性等。
事件审核:可以开启事件审核功能,记录用户在计算机上发生的特定活动,以便进行安全审计。
高级审核策略:可以针对特定用户或计算机启用高级审核策略,精确控制哪些事件会被记录,以及如何通知管理员。
总之,本地安全组策略提供了一系列安全设置和控制选项,使得管理员可以更加细致地管理和保护计算机系统和数据。
组策略程序控制
组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。
以win10系统为例,通过组策略限制指定应用程序的运行步骤如下:
1. 按下win+R组合键打开运行窗口,然后输入gpedit.msc并回车,或点击“确定”打开组策略;
2. 依次展开定位至“用户配置”-“管理模板”-“系统”,单击“系统”,在右侧找到“不运行指定的Windows应用程序”,双击打开;
3. 勾选“已启用”,点击“不允许的应用程序列表”后的“显示”按钮;
4. 在“值”下方输入指定的运行程序的名字,点击“确定”,再点击界面上的“确定”即可。
组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境,更加方便地管理整个网络。
但其复杂性也不容忽视,需要管理员熟悉、熟练应用组策略,才能使Windows 系统发挥出更加强大的功能。
组策略—把客户端用户加入本地Power Users组中对于客户端用户都属于Domain Users 组的时候,登陆域后没有权限安装AD组策略分发下来的软件,那么我们要做的就是把Domain Users组加入到客户端本地的Power Users组中去。
1、我建了一个OU2的OU把所有的客户端计算机都放入到了这个OU里面。
在DC上新建一条组策略针对OU2这个OU的;2、编辑这条组策略,找到“计算机配置”——“Windows设置“——”安全设置“——“受限制的组”,按鼠标右键,选择”添加组“;3、输入Power Users,点击”确定“4、在Power Users属性中点击添加,弹出添加成员对话框的时候点击浏览:5、弹出选择用户或组的对话框的时候选择高级按钮。
6、接下来点击立即查找—在搜索结果中找到Domain Users 选中它—再点击确定按钮7、点击确定。
8、继续点击确定9、点击应用按钮,这样就把Domain Users组添加到Power Users组中去了。
10、添加好后如下图,可以在Power Users组中看到它的成员中有LONG这个域中的Domain Users组了。
11、接下来用gpupdate /force命令刷新组策略。
12、重新启动客户端计算机,再验证策略是否成功,看下图客户端已经成功。
这样就可以在客户端正常安装软件了。
等所有客户端软件安装完成以后,为了安全起见再把Domain Users组从客户端本地Power Users组中移除,具体步骤:找到算机配置—Windows 设置—安全设置—受限制的组—在右边选中Power Users 组—右键单击—属性—选中Domain Users组—删除接下来点击应用。
看到Power Users组的成员为空的时候,那么Domain Users组就已经从Power Users组中移除了。
再接下来就是在命令行下用gpupdate /force命令刷新组策略,重启客户端计算机,整个过程就到此结束了。
windows home本身是没有本地组策略的。
运行regsvr32 gpedit.dll,找不到指定模块,这是为home安装本地策略的方法:
(1)将另一台正常使用的电脑上企业版或者商业版windows的“Windows\system32”文件夹中的gpedit.msc、fde.dll、gpedit.dll、gptext.dll、wsecedit.dll文件复制到您的电脑的“Windows\system32”文件夹中。
(2)在“开始→运行”中依次运行以下命令:“regsvr32 fde.dll”、“regsvr32 gpedit.dll”、“regsvr32 gptext.dll”、“regsvr32 wsecedit.dll”分别注册这4个动态数据库。
(3)将企业版或者商业版的“Windows\Inf”文件夹中的所有*.adm文件复制替换到您的电脑的“C:\Windows\Inf”文件夹中。
(4)单击“开始→运行”,输入“gpedit.msc”便可以启动组策略了。
如果还是不行,则在本地Windows\system32\wbem中将framdyn.dll复制到Windows\system32中,运行regsvr32 framdyn.dll,再运行(2)中“regsvr32 gpedit.dll”和(4)就可以了。
本地组策略编辑注意哪些问题在编辑本地组策略时,需要注意以下几个问题:1.了解默认策略:不要随意删除默认的策略,如默认域策略和默认域控制器策略,因为很多问题的发生都是由删除这两条默认策略而引起的。
2.明确策略应用对象:组策略是为站点、组织单元和域等对象设置的,而不是为用户组设置的。
因此,要确保策略被应用到正确的对象上。
3.注意策略的生效顺序:策略的生效顺序是本地策略→站点策略→域策略→父OU策略→子OU策略。
当在一个容器上链接了多个策略时,要明确它们的顺序,因为最新的策略设置会覆盖其他设置。
4.考虑策略的生效时间:非域控制器的计算机每90分钟刷新一次策略,其中含有随机的30分钟时间偏移量。
而域控制器每5分钟刷新一次。
因此,在编辑策略后,需要考虑到这些时间因素,确保策略能够及时生效。
5.谨慎修改安全策略:安全策略是保护系统安全的重要组成部分,因此在修改这些策略时要格外小心。
确保你了解每个设置的影响,并在修改前进行备份。
6.测试策略更改:在将更改应用到生产环境之前,先在测试环境中测试策略更改。
这可以帮助你发现并解决潜在的问题,确保更改不会对系统或用户产生负面影响。
7.记录更改:在编辑策略时,要记录你所做的更改。
这可以帮助你在需要时回滚更改,并为以后的问题排查提供有用的信息。
8.考虑用户权限:在编辑策略时,要考虑到用户的权限。
确保你了解哪些设置可能会限制用户的访问权限或影响他们的工作流程,并在必要时与用户进行沟通。
9.保持更新:定期查看和更新你的组策略设置,以确保它们仍然符合你的组织需求和安全标准。
同时,关注新的安全威胁和漏洞,以便及时调整你的安全策略。
总之,在编辑本地组策略时,需要谨慎、细心并考虑到各种因素,以确保你的更改不会对系统或用户产生负面影响。
如何在Windows操作系统中设置文件夹重命名限制Windows操作系统为用户提供了丰富的功能和选项,以便于管理和组织文件和文件夹。
其中一个重要的操作便是文件夹重命名。
文件夹重命名是指更改文件夹的名称,使其更符合用户的需求和组织结构。
然而,为了避免误操作或者混乱命名,我们可以在Windows操作系统中设置文件夹重命名限制。
本文将介绍如何通过Windows操作系统的功能来实现文件夹重命名的限制。
首先,我们需要打开“本地组策略编辑器”。
可以通过在开始菜单中搜索“gpedit.msc”来打开本地组策略编辑器。
一旦打开了本地组策略编辑器,我们需要按照以下步骤进行设置。
1. 在左侧的面板中,展开“计算机配置”文件夹。
2. 继续展开“Windows 设置”文件夹。
3. 然后展开“安全设置”文件夹。
4. 在“安全设置”文件夹下找到“文件系统”文件夹,并单击打开。
5. 在右侧的面板中,找到并双击“禁止重命名”选项。
在弹出的窗口中,选择“已启用”选项,并点击“确定”按钮。
这样就可以禁止用户对文件夹进行重命名。
此外,你还可以通过设置特定的重命名限制来控制文件夹的重命名。
在“文件系统”文件夹中,你可以找到以下几个选项进行设置:- “禁止文件夹重命名和移动”:选择此选项后,用户将无法对文件夹进行重命名和移动。
- “禁止文件夹重命名”:选择此选项后,用户将无法对文件夹进行重命名,但可以移动文件夹。
- “不限制文件夹重命名或移动”:选择此选项后,用户将不受限制地进行文件夹的重命名和移动。
根据实际需求,选择适当的选项,并将其设置为“已启用”。
完成上述设置后,用户将受到相应的限制,无法轻易地对文件夹进行重命名操作。
这可以避免意外的更改或混乱的文件夹命名,提高文件管理的效率。
需要注意的是,上述设置仅在本地计算机上有效。
如果你是在一个网络环境中使用Windows操作系统,而且连接到了网络域,那么这些设置可能会被网络管理员所管理和控制。
WINDOWS默认本地组原载:/wi ... 12052.mspx?mfr=true下表列出了“组”文件夹中默认组的描述以及为每个组指派的用户权利。
这些权利是在本地安全策略中指派的。
组描述默认用户权利Administrators描述该组的成员具有对服务器的完全控制权限,并且可以根据需要向用户指派用户权利和访问控制权限。
管理员帐户也是默认成员。
当该服务器加入域中时,Domain Admins 组会自动添加到该组中。
由于该组可以完全控制服务器,所以向该组添加用户时请谨慎。
详细信息,请参阅默认本地组和默认组。
默认用户权利从网络访问此计算机;调整某个进程的内存配额;允许本地登录;允许通过终端服务登录;备份文件和目录;忽略遍历检查;更改系统时间;创建页面文件;调试程序;从远程系统强制关机;提高调度优先级;加载和卸载设备驱动程序;管理审核和安全日志;修改固件环境变量;执行卷维护任务;调整单一进程;调整系统性能;从扩展坞中取出计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。
Backup Operators描述该组的成员可以备份和还原服务器上的文件,而不管保护这些文件的权限如何。
这是因为执行备份任务的权利要高于所有文件权限。
他们不能更改安全设置。
默认用户权利从网络访问此计算机;允许本地登录;备份文件和目录;忽略遍历检查;还原文件和目录;关闭系统。
DHCP Administrators(与 DHCP 服务器服务一起安装)描述该组的成员具有对“动态主机配置协议 (DHCP) 服务器”服务的管理访问权限。
该组提供了一种方式,仅授予对 DHCP 服务器的有限管理访问权,而不提供对服务器的完全访问权。
该组的成员可以使用 DHCP 控制台或 Netsh 命令在服务器上管理 DHCP,但不能在服务器执行其他管理任务。
没有默认的用户权利。
DHCP Users(与 DHCP 服务器服务一起安装)描述该组的成员具有对 DHCP 服务器服务的只读访问权。
Windows组策略本地设置与审计的技巧下面让我们来看一个例子,如何使用组策略首选项来管理AROBAT READER的程序行为。
在这个例子中,我们想要阻止它用浏览器内嵌的方式来查看PDF文件,取而代之的,我们需要它在网页中被点击后仅弹出自己的AROBAT READER程序窗口中查看PDF。
这个过程的第一步包含一个小调查。
为了能建立某个ACROBAT READER的禁用运行方式,你首先需要描述出如何表述它的语言。
在这个例子中,AROBAT READER的语言就是注册表语言。
通过简单的GOOGLE搜索,你可以很快锁定ADOBE的知识库,它会告诉你要关闭浏览器内嵌设置的确切注册表键值这个注册表的路径(至少在目前我们安装的测试计算机上)是HKEY_CURRENT_USERSoftwareAdobeAcrobat Reader9.0Originals。
而主键在默认情况不存在,在这里必须手动创建,命名为bBrowserIntegration,然后将REG_DWORD的键值分配为0,这样就可以关闭浏览器内嵌了。
了解这个注册表路径和键值是最难的部分。
以这种方式来更改程序的运行方式只能用在那些按照标准撰写代码的软件上。
这就是为什么有的时候在进行配置之前需要先做调查,因为有时需要的主键根本不存在,必须由你自己创建。
一旦你找到了需要的主键和键值,将它们的设置通过组策略首选项应用到你的整个网络中去就是很容易的事情了。
首先,运行组策略管理控制台(GPMC)然后创建一个新策略。
当创建好之后,用组策略管理编辑器(GPME)打开它,定位到计算配置首选项WINDOWS设置注册表。
然后右击注册表项目并选择新建注册表项目来创建一个新的首选项。
这个新的注册表属性控制台看起来如图1所示。
点击关键路径后面的省略号(…)按钮打开一个本地注册表的树形视图,你可以找到并输入正确的关键路径。
你还可以直接把正确的路径输入到对话框中。
主键名称也需要你输入,在本例中为bBrowserIntegration,还有主键类型REG_DWORD 和键值0。
组策略解除禁用的方法全文共四篇示例,供读者参考第一篇示例:组策略是Windows操作系统中管理计算机配置和用户设置的一种工具,可以通过组策略来限制用户的操作权限、设置安全策略和管理计算机资源。
如果不小心将某些设置禁用,可能会导致计算机系统出现问题或影响用户的正常使用。
在遇到禁用了组策略的情况时,需要及时解除禁用,恢复正常的配置。
本文将介绍关于如何解除禁用组策略的方法,帮助您解决相关问题。
一、查找禁用的组策略设置在解除禁用组策略之前,首先要确定具体被禁用的组策略设置是哪些,才能有针对性地进行恢复。
可以通过以下方法查找禁用的组策略设置:1. 使用组策略编辑器查看:打开组策略编辑器(gpedit.msc),在对应的组策略路径下查找被禁用的设置。
如果该设置已禁用,会显示“已禁用”;如果未禁用,会显示“未配置”。
2. 查看事件日志:有些禁用组策略的行为可能会在Windows的事件日志中有记录,可以查看事件日志中有无相关记录,并获取详细信息。
3. 使用第三方工具:也可以使用一些第三方的系统配置查看工具来快速找到被禁用的组策略设置,如Sysinternals Suite等。
通过以上方法查找到被禁用的组策略设置后,可以根据具体情况选择相应的方法来解除禁用。
二、解除禁用组策略的方法1. 使用组策略编辑器:打开组策略编辑器,找到被禁用的组策略设置,右键点击该设置,选择“属性”,然后选择“未配置”或“已启用”,点击“确定”保存设置即可。
如果是在组策略中配置了某个策略被禁用,只需要将其改为未配置或已启用状态即可恢复。
2. 使用命令行工具:可以通过命令行工具如gpupdate /force来强制更新组策略,并使之生效。
在命令提示符中输入gpupdate/force命令,等待执行完成后,重新启动计算机即可使设置生效。
3. 恢复系统默认设置:有些组策略设置被禁用后可能会导致系统出现异常情况,可以尝试将系统还原到默认设置,恢复正常运行。
计算机组策略组策略详解本文主要介绍Windows XP Professional本地组策略的应用。
本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。
其下所有设置项的配置都将保存到注册表的相关项目中。
其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到HKEY_CURRENT_USER。
一、访问组策略有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是打开控制台,将组策略添加进去。
1. 输入gpedit.msc命令访问选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。
组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。
这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。
此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。
“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。
“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。
但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。
其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。
2. 通过控制台访问组策略单击“开始”→“运行”,输入“mmc”,回车后进入控制台窗口。
单击控制台窗口的“文件”→“添加/删除管理单元”,在弹出窗口单击“添加”(图2),之后选择“组策略”并单击“添加”(图3),在下一步的“选择组策略对象”对话框中选择对象。
由于我们组策略对象就是“本地计算机”,因此不用更改,如果是网络上的另一台计算机,那么单击“浏览”选择此计算机即可。
windows 10 本地组策略如何恢复初始设置?
组策略是操作系统的管家,他可以在一定意义上规定可以或者不能再本计算机上进行何等操作,因此一旦组策略设置错误,就会导致很多操作无法使用,那么组策略设置错误后有没有办法恢复初始设置呢?下面小编来跟大家分享下具体的操作方法。
1、在电脑桌面依次双击打开此电脑—系统盘—Windows—System32—GroupPolicy。
2、在上方找到并点击查看,然后勾选隐藏的项目。
3、把该文件夹中的所有文件全部删除,然后返回电脑桌面使用快捷键win键+R唤出运行窗口,输入gpupdate /force,点击确定,组策略就会自动恢复默认设置了。
4、这种直接恢复默认设置的缺点还是很明显的,可能会导致之前的一些软硬件不兼容了,需要全部重新配置,因此建议还是定期对组策略进行备份,在出现问题是,直接还原回来,下面说明下具体的操作方法。
5、百度下载大势至服务器文件备份系统,解压并双击安装程序安装,待安装完成后返回电
脑桌面找到快捷方式,双击打开,根据提示输入初始帐号密码,点击确定。
6、在主界面上方找到并点击组策略备份,在弹出的窗口中找到备份组策略,点击其后的浏览。
7、在弹出的窗口中选中组策略备份的位置,然后点击保存,最后点击备份,待备份完成在弹出的窗口中点击确定即可。
8、把备份的文件保存好,如果组策略出现了问题,按照上面的步骤打开系统,在主界面上方找到并点击组策略备份,在弹出的窗口中找到恢复组策略,点击其后的浏览。
9、在弹出的窗口中找到并选中之前备份的组策略文件,然后点击打开,最后点击恢复即可。
电脑找不到本地安全策略怎么办
本地安全策略是我们在进行一些widow安全操作时的配置文件,那么电脑找不到本地安全策略怎么办呢?接下来大家跟着店铺一起来了解一下电脑找不到本地安全策略的解决方法吧。
电脑找不到本地安全策略解决方法
开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加,后面的你应该会了。
看你要开哪个策略,就添加哪个策略.
看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。
电脑打开本地安全策略的方法
1、在开始菜单中找到“控制面板选项”!
2、在控制面板中打开“系统和安全”!
3、在弹窗的新页面中,我们再次点击“管理工具”进入;
4、这时在弹出的窗口中我们找到“管理工具”,再依次找到“本地安全策略”,点击即可打开,如下图所示。
本地用户组策略命令
本地用户组策略命令是用来管理本地用户组策略的命令,可以通过这些命令来设置密码策略、账号锁定策略、用户登录策略等。
以下是常用的本地用户组策略命令:
1. net accounts:用于查看和配置密码策略。
2. net user:用于管理本地用户账户,可以创建、删除、修改本地用户账户的属性。
3. net group:用于管理本地用户组,可以创建、删除、修改本地用户组的属性。
4. net localgroup:用于管理本地用户组成员,可以将用户添加到用户组或从用户组中移除用户。
5. gpedit.msc:打开本地组策略编辑器,可以通过这个工具来管理本地计算机的各种策略。
这些命令通常需要以管理员权限运行,可以通过在命令提示符下使用"runas /user:administrator cmd"命令来运行具有管理员权限的命令提示符窗口。
恢复默认组策略
在域控制器上恢复默认组策略是用dcgpofix,但是不在域中的机器就不能用这个命令,跪求高手,如何恢复默认的本地组策略???
---------回复--------------
分析:
这涉及到组策略的执行次序问题。
应用次序为:本地组策略一> 站点组策略一> 域组策略一> 组织单位组策略。
举例,如果你的本地策略中帐户密码过期时间是42天。
而域策略是30天,那么密码过期时间就是30天。
所以您是不是可以设置本地组策略的禁止替代。
然后用gpupdate 更新一下
---------回复--------------
在具体点就是:
1、把你以前本地组策略的相关设置导出来,如果是xpsp1或者2003以后的OS,可以安装微软实用工具GPMC进行导出工作。
2、在DC上新建一个OU
3、把你不想继承策略的机器加到这个OU
4、把刚才导出的策略关联到这个OU
5、设置这个OU的属性,使策略禁止继承
---------回复--------------
重新添加一个组策略控制台,把原来的设置换回来,就OK了~
进入“带命令行提示的安全模式”→运行mmc.exe→“文件→添加/删除管理单元→添加→组策略→添加→完成→关闭→确定“。
