如何使用组策略

准备工作：我用的是域环境，现在域内的一个共享文件夹下，放一张用来做墙纸的图片,我就放在dc 的E:\的car.jpg图片，注：当然我在这里建议大家共享文件夹要放在非系统磁盘上，还有一点非常重要的就是，很多朋友在从前到后都是按照我这样的方法创建好策略就是因为文件夹共享权限设置不当，导致客户端无权读取、复制该图片，桌面背景策略是应用了就是桌面背景图片没有更改，唯一遗漏掉的就是这个共享文件夹的权限一定要设置好，我一般设置为Domain User。

如下图步骤：1.首先用本地管理员或域管理员登录编辑组策略,我用的是本地管理员2.用“gpedit.msc”命令打开组策略注意：此步是错误的，通过“运行”打开组策略，修改的只是本地计算机的组策略，而不是域网络中的组策略，可以说百度收录的所有文章中都没有点明这一点。

导致桌面并不能统一。

那我们应该怎么做，才能修改域网络中的组策略：我们需要对域中的OU进行组策略编辑，我们要在“AD用户和计算机”窗口中新建组织单位OU，然后把新建的用户拖进这个OU，再对OU进行下面的组策略编辑，最终才能实现统一桌面的结果。

3.展开组策略左边的树状拦，“用户配置”-“管理模板”-“桌面”-“Active Desktop”，在右边双击“启用 Active Desktop”—启用4. 展开组策略左边的树状拦，“用户配置”-“管理模板”-“桌面”-“Active Desktop”，在右边双击“Active Desktop 墙纸”—启用，在墙纸名称那里输入用来做墙纸的那个图片网络路径（我这里是[url=file://\\172.16.1.5\Home\desktop.jgp]\\172.16.1.5\Home\car.jpg[/url]）点确定即可5.组策略中设置好之后，通过“运行”进行DOS，输入命令“gpupdate /force”,强制刷新DC的组策略。

6.这时我们登录客户端会发同桌面也并没有变过来，但是当我们打开“显示”属性对话框，会看到桌面中已经有“car.jpg”这张桌面了，而且当前选择的也是这张图片，只是没有应用，要应用需要等待很长一段时间。

如何使用组策略对公共电脑系统权限设限如何使用组策略对公共电脑系统权限设限对于公共电脑，设置系统限制可有效地防止对系统设置的改动，从而保证系统稳定运行。

公共电脑的本义，就是保证每一个用户都能使用公共的程序，反对随意改动系统，因此不必开放那么多程序。

对系统的简单限制莫过于使用注册表。

一直以来广受欢迎的注册表修改技巧，其最实用的一部分就是对系统设限，禁止随意更改系统设置。

但是注册表编辑器的使用比较麻烦，记住具有某种限制功能的键值项名称可没那么容易。

如果要进行相同的限制，可将限制设置保存为.reg格式的注册表文件，使用时双击导入即可；同时还要准备一个解除限制的注册表文件，以各自己使用。

与通过注册表设置限制效果相同，且更方便的方法是使用组策略。

组策略对系统设置的更改其实也是通过修改注册表，不过界面不同：简洁的文字说明介绍了某项限制的功能和其所针对的系统，启用／禁用的开关简洁明了，只需记住所需限制功能所属的类别分支即可。

在对系统的限制中，有一项是对注册表本身进行限制，这个限制的危险性在子，往往也会将自己限制住，想临时恢复某项系统功能都不行，自己给自己找麻烦。

因此，必须记住几种解除注册表限制的方法，临时搜索解决方案总是比较误事。

在域环境中，组策略的应用价值更大。

有网管甚至使用它来防止员工离职前对电脑资料进行删除或破坏。

思路很简单，建立一个针对离职员工的OU（组织单位），然后在“计算机配置” 一“安全设置”一“文件系统”中设置用户的文件权限即可。

对系统设限，与给予用户Users组权限一样，都是进一步压缩自由使用电脑的权限，保障电脑能够持续稳定运行。

将本地策略应用于除管理员以外的用户对于公共电脑，使用组策略设置限制是很合适的。

主要限制项目是桌面、开始菜单和资源管理器，如禁止对某些分区进行访问。

只是在设置限制前要考虑清楚，因为这也可能会把自己的权限给限制了。

如何既保留对用户的限制，而又不使自己也深“限”其中呢？微软给了一个办法：第1步运行gpedit.msc，打开组策略对象编辑器。

gpedit.msc（组策略）gpedit.msc(组策略):使⽤系统管理员的帐号登陆进⼊系统，打开“开始”-“运⾏”，在运⾏输⼊框中输⼊“gpedit.msc”，进⼊“组策略”.说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应⽤软件配置的数据库，随着Windows功能的越来越丰富，注册表⾥的配置项⽬也越来越多。

很多配置都是可以⾃定义设置的，但这些配置发布在注册表的各个⾓落，如果是⼿⼯配置，可想是多么困难和烦杂。

⽽组策略则将系统重要的配置功能汇集成各种配置模块，供管理⼈员直接使⽤，从⽽达到⽅便管理计算机的⽬的。

简单点说，组策略就是修改注册表中的配置。

当然，组策略使⽤⾃⼰更完善的管理组织⽅法，可以对各种对象中的设置进⾏管理和配置，远⽐⼿⼯修改注册表⽅便、灵活，功能也更加强⼤。

各功能现如⼀介绍:计算机配置-windows设置-安全设置中包括“帐户策略”和“本地策略”两个⽅⾯，⽽其中的“帐户策略”⼜包括：密码策略、帐户锁定策略和Kerberos策略三个⽅⾯；另外的“本地策略”也包括：审核策略、⽤户权限分配和安全选项三部分。

下⾯分别予以介绍。

⼀、密码策略的设置 ⼀、密码策略的设置 密码策略作⽤于域帐户或本地帐户，其中就包含以下⼏个⽅⾯： 强制密码历史 密码最长使⽤期限 密码最短使⽤期限 密码长度最⼩值 密码必须符合复杂性要求 ⽤可还原的加密来存储密码 以上各项的配置⽅法均需根据当前⽤户帐户类型来选择。

默认情况下，成员计算机的配置与其域控制器的配置相同。

下⾯分别根据⼏种不同⽤户类型介绍相应的密码策略配置⽅法。

1. 对于本地计算机 对于本地计算机的⽤户帐户，其密码策略设置是在“本地安全设置”管理⼯个中进⾏的。

下⾯是具体的配置⽅法。

第1步，执⾏〖开始〗→〖管理⼯具〗→〖本地安全策略〗菜单操作，打开如图所⽰的“本地安全设置”界⾯。

对于本地计算机中⽤户“帐户和本地策略”都查在此管理⼯具中进⾏配置的。

组策略编辑器的使用使用组策略在 Microsoft Windows XP 中，可以使用组策略为用户和计算机组定义用户和计算机配置。

通过使用组策略 Microsoft Management Console (MMC) 管理单元，您可以为特定的用户和计算机组创建特定的桌面配置。

您创建的组策略设置包含在组策略对象中，后者进而与选定的 Active Directory 容器（如站点、域或组织单位 (OU)）关联。

使用组策略管理单元，您可以为以下各项指定策略设置：•基于注册表的策略。

包括针对 Windows XP 操作系统及其组件以及针对所有程序的组策略。

为管理这些设置，请使用组策略管理单元的“管理模板”节点。

•安全选项。

包括本地计算机、域和网络安全设置的选项。

•软件安装和维护选项。

用来集中管理程序的安装、更新和删除。

•脚本选项。

包括用于计算机启动和关闭以及用户登录和注销的脚本。

•文件夹重定向选项。

这些选项允许管理员将用户的特殊文件夹重定向到网络上。

使用组策略，您可以一次性地定义用户工作环境的状态，以后就可以靠系统来实施您定义的策略。

备注: 为了使用组策略编辑器，您必须使用一个有管理员权限的帐户登录到计算机。

1. 单击开始，然后单击运行。

2. 在打开框中，键入 mmc，然后单击确定。

3. 在文件菜单上，单击添加/删除管理单元。

4. 单击添加。

5. 在 Available Stand-alone Snap-ins（可用的独立管理单元）菜单上，单击组策略，然后单击添加。

6. 如果您不希望编辑“本地计算机”策略，请单击浏览以找到您希望的组策略。

如果提示您输入用户名和密码，请输入，然后在返回“选择组策略对象”对话框后单击完成。

备注：您可以使用浏览按钮来找到链接到站点、域、组织单位 (OU) 或计算机的组策略对象。

使用默认的组策略对象 (GPO)（本地计算机）编辑本地计算机的设置。

7. 单击关闭，然后在添加/删除管理单元对话框中，单击确定。

使用组策略限制软件运行示例xx年xx月xx日CATALOGUE目录•介绍•组策略基本概念•使用组策略限制软件运行的方法•实际操作示例•组策略限制软件运行的优缺点01介绍组策略（Group Policy）是Windows操作系统中一套允许管理员修改系统设置和用户配置的技术，用于配置和管理Windows系统中的策略、安全性和资源。

组策略基于Windows管理控制台（MMC）的管理员管理单元，通过使用管理模板文件（.adm）和相关的脚本文件来实现系统设置和用户配置的自定义。

什么是组策略组策略的功能和用途配置安全设置：组策略可以配置安全设置，例如密码策略、账户锁定策略、安全审计策略等。

定制应用程序：管理员可以使用组策略来配置应用程序的运行选项，例如启动位置、数据源、默认打印机等。

控制用户配置：组策略可以控制用户的桌面、开始菜单、网络连接、浏览器设置等，以及定义用户登录和注销的选项。

组策略具有以下功能和用途管理系统设置：管理员可以使用组策略来修改系统设置，例如启动和关机选项、用户权限和访问控制、安全设置等。

为什么需要使用组策略限制软件运行使用组策略限制软件运行可以帮助管理员更好地管理和控制系统的应用程序和资源，确保只有经过授权的应用程序可以在系统中运行，防止恶意软件的侵入和破坏。

通过限制软件的运行，可以降低系统被攻击或感染病毒的风险，提高系统的安全性和稳定性。

组策略还可以帮助管理员对系统进行集中管理和配置，减少了管理员的工作量，提高了管理效率。

02组策略基本概念组策略对象是组织单位（OU）和域（Domain）的集合，用于集中管理计算机或应用程序配置。

可以使用组策略来配置计算机或应用程序的各个方面，如软件设置、安全性和用户权限等。

理解组策略对象组策略配置文件（GPO）是存储组策略设置和链接到特定组织单位或域的容器。

每个GPO都有链接到目标组织单位或域的优先级，并且可以覆盖本地组策略设置。

组策略的配置文件本地组策略适用于单个计算机或应用程序的组策略设置。

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

考虑到安全方面的原因，Windows 7已经开发了许多新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。

这些功能的配置取决于您的具体要求和使用环境，本文将主要介绍Windows 7组策略的安全使用技巧，介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。

一、系统设置安全篇1. 禁止运行指定程序系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。

通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。

具体步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

(2)在左边的窗格依次单击“用户配置→管理模板→系统”，然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。

图1 双击“不要运行指定的Windows应用程序”(3)选中“已启用”，单击“显示”按钮(如图2所示)，添加要阻止的程序如“Wgatray.exe”即可。

图2 添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。

把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。

要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。

这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。

该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。

组策略允许小部件设置方法组策略允许小部件设置方法介绍在Windows操作系统中，组策略是一种非常有用的工具，它能够帮助管理员对计算机上的各种设置进行集中管理和控制。

允许小部件设置是其中的一种功能，可以通过组策略来配置和管理桌面上的小部件。

本文将详细说明各种方法，以便资深的创作者能够灵活应用并充分发挥组策略的功能，帮助管理员更好地管理和定制桌面上的小部件。

方法一：使用组策略编辑器1.打开组策略编辑器：点击Windows键 + R，输入“”并按Enter键。

2.在组策略编辑器中，依次展开“用户配置” > “管理模板” >“桌面”。

3.找到“禁用全部桌面小工具”选项，双击打开编辑窗口。

4.在编辑窗口中选择“已禁用”选项，并点击“确定”按钮保存设置。

方法二：使用注册表编辑器注：使用注册表编辑器之前，请务必备份注册表以防意外情况发生。

1.打开注册表编辑器：点击Windows键 + R，输入“regedit”并按Enter键。

2.在注册表编辑器中，依次展开以下路径：HKEY_CURRENT_USER。

3.如果“Widgets”路径不存在，可以右键点击“Policies”文件夹，选择“新建” > “键值”，并将其命名为“Widgets”。

4.右键点击“Widgets”文件夹，选择“新建” > “DWORD (32位)值”，并将其命名为“DisableWidgets”。

5.双击“DisableWidgets”项，将数值数据设置为“1”以禁用全部桌面小部件。

方法三：使用命令提示符或PowerShell1.打开命令提示符或PowerShell：点击Windows键 + R，输入“cmd”或“PowerShell”并按Enter键。

2.输入以下命令并按Enter键：reg add "HKCU\Software\Microsoft\Windows\CurrentVer sion\Policies\Widgets" /v DisableWidgets /t REG_DWORD /d 1 /f方法四：使用组策略批处理脚本1.创建一个新的文本文件，并将以下内容复制到文件中：REG ADD HKCU\Software\Microsoft\Windows\CurrentVers ion\Policies\Widgets /v DisableWidgets /t REG_DWORD /d 1 /f2.将文件保存为“disable_”（注意文件扩展名为.bat）。

Windows系统本地组策略编辑器使用指南定制系统设置Windows操作系统是现代计算机的核心运行系统之一，为用户提供了强大的功能和广泛的定制性。

本地组策略编辑器是Windows系统提供的一个工具，可以用于管理计算机的各种设置和配置。

本文将为您详细介绍本地组策略编辑器的使用指南，帮助您定制适合您需求的系统设置。

一、打开本地组策略编辑器本地组策略编辑器是一个系统隐藏功能，只能通过特定的方法进行打开。

以下是打开本地组策略编辑器的步骤：1.按下Win + R键，打开运行对话框。

2.在运行对话框中输入“gpedit.msc”，点击确定按钮。

3.本地组策略编辑器窗口将随即打开。

二、理解本地组策略编辑器的基本概念在开始配置系统设置前，有几个基本的概念需要了解：1.计算机配置：用于配置整个计算机的设置，如安全选项、操作系统设置等。

2.用户配置：用于配置指定用户的设置，如桌面背景、启动菜单设置等。

3.策略设置：用于定义特定配置的规则和要求。

三、使用本地组策略编辑器定制系统设置本地组策略编辑器提供了众多的配置选项，可以根据用户需求进行个性化定制。

以下是几个常见的系统设置示例：1.禁用控制面板：选择“用户配置”→“管理模板”→“控制面板”，在右侧找到“禁用控制面板”策略设置，双击并选择已禁用，点击确定即可禁用控制面板。

2.设置密码策略：选择“计算机配置”→“Windows设置”→“安全设置”→“账户策略”，在右侧找到“密码必须符合复杂性要求”策略设置，双击并选择已启用，点击确定即可设置密码策略。

3.禁用USB驱动器：选择“计算机配置”→“管理模板”→“系统”→“可移动存储访问”，在右侧找到“所有可移动存储设备的阻止访问”策略设置，双击并选择已启用，点击确定即可禁用USB驱动器。

四、导出和导入策略设置在完成一系列的系统设置后，您可以将这些策略设置导出并在其他计算机上导入，以实现快速部署和配置一致性。

以下是导出和导入策略设置的步骤：1.导出策略设置：选择“文件”→“导出”，选择一个保存位置和文件名，点击保存按钮即可导出策略设置。

组策略（gpedit.msc）完全使用手册组策略（gpedit.msc）完全使用手册组策略（gpedit.msc）完全使用手册对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。

其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。

一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

2.组策略的版本对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows2000/XP/2003操作系统中。

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。

当用户登录时，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然，Windows2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。