当前位置:文档之家 › windows 2008 r2 组策略设置和应用

windows 2008 r2 组策略设置和应用

  • 格式:pptx
  • 大小:1.90 MB
  • 文档页数:37

下载文档原格式

  / 37

合集下载

Windows server 2008 R2 用组策略隐藏指定磁盘驱动器(盘符)

Windows server 2008 R2 用组策略隐藏指定磁盘驱动器(盘符)

Windows server 2008 R2 用组策略隐藏指定磁盘驱动器(盘符)1.我们通过修改C:\Windows\PolicyDefinitions\WindowsExplorer.admx这个文件来达到在Windows server 2008中隐藏指定盘符的功能.(编辑这个文件可以用记事本或者是notepad++)2.首先找到C:\Windows\PolicyDefinitions目录下的WindowsExplorer.admx和C:\Windows\PolicyDefinitions\zh-CN目录下的WindowsExplorer.adml两个文件,分别复制到桌面作为备份。

3.在WindowsExplorer.admx文件中查找字段NoDrives,添加相应的字符串可以设置隐藏指定的磁盘驱动器;查找字段NoViewOnDrive,并修改相应的字段,可以设置拒绝从Windows资源管理器访问某个磁盘驱动器.下面以设置隐藏指定的磁盘驱动器为例:(下列黑体字我测试时设置的"只显示Z,其他盘符不显示.")<policy name="NoDrives" class="User" displayName="$(string.NoDrives)"explainText="$(string.NoDrives_Help)" presentation="$(presentation.NoDrives)"key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"><parentCategory ref="windows:WindowsExplorer" /><supportedOn ref="windows:SUPPORTED_Win2k" /><elements><enum id="NoDrivesDropdown" valueName="NoDrives" required="true"><item displayName="$(string.ABOnly)"><value><decimal value="3" /></value></item><item displayName="$(string.COnly)"><value><decimal value="4" /></value></item><item displayName="$(string.DOnly)"><value><decimal value="8" /></value></item><item displayName="$(string.ABConly)"><value><decimal value="7" /></value></item><item displayName="$(string.ABCDOnly)"><value><decimal value="15" /></value></item><item displayName="$(string.ALLDrives)"><value><decimal value="67108863" /></value></item><item displayName="$(string.RestNoDrives)"><value><decimal value="0" /></value></item><item displayName="$(string.Zonly)"><value><decimal value="33554431" /></value></item></enum></elements></policy>…… ……(此处省略若干代码)<policy name="NoViewOnDrive" class="User" displayName="$(string.NoViewOnDrive)" explainText="$(string.NoViewOnDrive_Help)"presentation="$(presentation.NoViewOnDrive)"key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"><parentCategory ref="windows:WindowsExplorer" /><supportedOn ref="windows:SUPPORTED_Win2k" /><elements><enum id="NoDrivesDropdown" valueName="NoViewOnDrive" required="true"><item displayName="$(string.ABOnly)"><value><decimal value="3" /></value></item><item displayName="$(string.COnly)"><value><decimal value="4" /></value></item><item displayName="$(string.DOnly)"><value><decimal value="8" /></value></item><item displayName="$(string.ABConly)"><value><decimal value="7" /></value></item><item displayName="$(string.ABCDOnly)"><value><decimal value="15" /></value></item><item displayName="$(string.ALLDrives)"><value><decimal value="67108863" /></value></item><item displayName="$(string.RestNoDrives)"><value><decimal value="0" /></value></item><item displayName="$(string.Zonly)"><value><decimal value="33554431" /></value></item></enum></elements></policy>红色字体为增加的代码,总共2处。

windows2008 r2的账户锁定策略

windows2008 r2的账户锁定策略

windows2008 r2的账户锁定策略Windows2008 R2是微软公司推出的一款服务器操作系统。

在这个操作系统中,账户锁定策略是非常重要的一项安全措施。

本文将详细介绍Windows2008 R2的账户锁定策略,并一步一步回答与之相关的问题。

一、什么是账户锁定策略?账户锁定策略是指在一定的条件下,当用户连续输入错误的密码达到一定次数时,系统会自动锁定该账户一段时间,以保护系统的安全。

账户锁定策略可以防止暴力破解攻击,提高系统的安全性。

二、账户锁定策略的设置方法?步骤一:登录Windows Server 2008 R2系统,以管理员权限打开“服务器管理器”。

步骤二:在“服务器管理器”中,选择“配置”选项卡,点击“本地用户和组”,在右侧窗口中点击“用户”。

步骤三:在“用户”窗口中,选择需要设置账户锁定策略的用户,右键点击,选择“属性”。

步骤四:在“属性”窗口中,选择“账户”选项卡,在“帐户锁定”部分,点击“锁定帐户”复选框,并设置相关参数,比如“账户锁定阈值”和“锁定持续时间”。

然后点击“确定”保存设置。

三、账户锁定策略的参数解释1. 账户锁定阈值:表示当用户连续输入错误的密码次数达到设定的值时,系统会自动锁定该账户。

一般建议将该值设置为3~5次,以兼顾安全与用户体验。

2. 锁定持续时间:表示当账户被锁定后,需要等待的时间解锁账户。

可以选择设定一段时间(如15分钟),也可以设置为管理员手动解锁。

根据实际需求和安全要求进行设置。

四、账户锁定策略的作用账户锁定策略可以有效地防止恶意用户进行暴力破解攻击。

通过限制用户连续尝试错误密码的次数,避免了暴力破解攻击者利用程序自动化尝试密码。

同时,账户锁定策略还可以提醒用户注意密码的安全性,避免使用过于简单的密码。

五、账户锁定策略的注意事项1. 合理设置账户锁定阈值和锁定持续时间。

如果设置太低,可能会导致用户频繁被锁定,影响正常使用;如果设置太高,可能会增加系统被攻击的风险。

Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口

Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口

Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口1给administrator用户加密码,开始运行control userpassword2控制面板\用户帐户给administrator设密码control userpasswords2这个运行命令,可以取消输入密码你输入的没有错误,可能是你机子根本没有密码吧,你仔细看会发现你的指针是闪过一下漏斗的。

下面的效果一样的开始--运行,输入“rundll32 netplwiz.dll,UsersRunDll”,按回车键后弹出“用户帐户”窗口,看清楚,这可跟“控制面板”中打开的“用户账户”面板窗口不同哦!然后取消选定“要使用本机,用户必须输入用户名和密码”选项,单击确定,在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可。

2修改远程访问端口,这个可以在使用的软件上修改修改远程访问服务端口更改远程连接端口方法,可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208,重启生效!Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002010(1)在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方(2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp(3)找到右侧的 "PortNumber",用十进制方式显示,默认为3389,改为(例如)6666端口(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp(5)找到右侧的 "PortNumber",用十进制方式显示,默认为3389,改为同上的端口(6)在控制面板--Windows 防火墙--高级设置--入站规则--新建规则(7)选择端口--协议和端口--TCP/特定本地端口:同上的端口(8)下一步,选择允许连接(9)下一步,选择公用(10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站规则,以允许RDP通信。

2008r2 安全策略写入注册表

2008r2 安全策略写入注册表

2008r2 安全策略写入注册表在Windows Server 2008 R2中,可以通过组策略编辑器(Group Policy Editor)来配置安全策略,并将其写入注册表。

以下是一些步骤,可以帮助您在Windows Server 2008 R2中配置安全策略并写入注册表:1. 打开组策略编辑器:按下Win键,键入“组策略编辑器”,然后选择“组策略编辑器”。

2. 导航到所需的策略:在左侧导航窗格中,展开“计算机配置”或“用户配置”,然后选择“策略”文件夹。

3. 创建或编辑策略:右键单击“策略”文件夹,选择“创建新策略”或“编辑策略”。

4. 配置安全设置:在右侧窗格中,展开“安全设置”文件夹。

5. 配置安全选项:在“安全设置”文件夹中,您可以配置各种安全选项,例如帐户策略、本地策略、审核策略等。

根据您的需求进行必要的配置。

6. 确定策略:完成配置后,右键单击“安全设置”文件夹,选择“应用”以使更改生效。

7. 将策略写入注册表:在组策略编辑器中,展开“计算机配置”或“用户配置”,然后展开“Windows设置”文件夹。

8. 创建或编辑注册表项:右键单击“注册表”文件夹,选择“创建新项”或“编辑项”。

9. 将值添加到注册表:在右侧窗格中,选择要添加的注册表项,然后右键单击该项并选择“新建”>“DWORD值”或“字符串值”,根据需要为其指定名称和值。

10. 应用更改:完成注册表项的配置后,右键单击“注册表”文件夹,选择“应用”以使更改生效。

11. 关闭组策略编辑器:在组策略编辑器窗口中,单击“文件”>“退出”以关闭组策略编辑器。

请注意,在更改注册表之前,请确保您已备份注册表并了解注册表编辑器的使用风险。

错误的更改可能导致系统不稳定或无法正常工作。

建议在进行更改之前仔细阅读相关文档并谨慎操作。

WindowsServer2008R2配置、管理与应用

WindowsServer2008R2配置、管理与应用

4.7 配置 SNMP
4.8 激活 Windows Server 2008
R2
4.9 本章小 结
4 Windows Server 2008 R2基 本系统配置
4.1 系统个性化配置
https:///
4.1.1 配 置组策略
4.1.2 配 置桌面和
任务栏
4.1.4 新 建管理员
用户
3.1.1 选择服务器操 作系统的版本
A
3.1.2 准备安装系统 需要的工具
B
3.1.3 其他准备工作
C
3.1 安装前的准备工作
3 安装 Window s Server 2008 R2
3.2 Windows PE简介
https:///
01
3.2.1 Windows PE的优点
03
2.3 应用管理软件VMware vSphere Client
2 搭建虚 拟机测试 平台
2.4 搭建安全FTP
https:///
01
2.4.1 SSH概 述
03
2.4.3 配置应 用FTP
02
2.4.2 配置 SSH
03
3 安装Windows Server 2008 R2
3 安装Windows Server 2008 R2
Client
2.4 搭建安 全FTP
2.5 本章小 结
2 搭建虚拟机测试平台
2.1.1 什么是虚拟化
A
2.1.2 虚拟化的优势
B
2.1.3 采用虚拟化软 件的理由
C
2.1 虚拟化简介
2 搭建虚 拟机测试 平台
2.2 安装VMware ESXi 5.0.0
https:///

windows2008组策略应用范围

windows2008组策略应用范围
组策略
组策略
组策略概述 组策略对象和管理模板
学习要点
账户和本地策略 组策略应用
电子信息系 2009
一、组策略概述
组策略是将系统重要的配置功能汇集成各种配 置模块,供管理人员直接使用,从而达到方便管理计 算机的目的。简单地说,组策略就是修改注册表中的 配置。
“只有你想不到的,没有组策略做不到的!”
电子信息系 2009
组策略的应用顺序与规则

阻止策略的继承
在子容器组策略内,可以通过“阻止策略继承” 复选框来设置不要继承由父容器传递的组策略设置, 也就是直接以子容器的组策略为其设置。

强迫继承策略
在父容器的组策略内,可以通过“禁止替代”复 选框来强迫子容器必须继承由父容器传送的组策略设 置,而不管子容器的组策略内是否设置了“阻止策略 继承”,即“强迫继承”策略的优先级要高于“阻止 策略的继承”。
电子信息系
2009
什么是组策略?
管理员设置组策略 客户端接收组策略 one to many管理方式 组策略可以做: 集中化管理 管理用户环境 降低管理用户的开销 强制执行企业策略
GPO
站点

OU
电子信息系
2009
什么是组策略?
(1) 域组策略可以针对站点、域和组织单位设置。 这些组策略的数据存储在活动目录内(域控制器 “%systemroot%\SYSVOL\sysvol\域名\Policies”目 录下)。 (2) 本地组策略,它是针对每一台Windows 2003 Serve所进行的设置。本地组策略数据存储在本地计 算机的“%systemroot%\system32\GroupPolicy”目录
内,只针对本地计算机和本地用户。

Windows Server 2008 R2 个人使用优化设置资料

如果要想把它作为类似于Windows 7的个人版操作系统的话,安装过后就必须对系统进行一系列的设置,本文介绍了系统安装系统后必须进行的一些配置。

内容半转载半原创,根据个人的经验和习惯加以整合,设置项太杂,对于转载的原文恕不一一引用了。

一、组策略和杂项(1)组策略中使用简单密码策略(取消复杂性和最长期限要求,最小长度设为0可以使用空密码)(2)组策略中启用“无须按Ctrl+Alt+Del”登录(3)组策略中禁用“关机事件跟踪程序”(为了取消关机原因的提示)关机事件跟踪(Shutdown Event Tracker)对于服务器来说这是一个必要的选择,但是对于工作站系统却没什么用,我们同样可以禁止它。

打开”开始“Start ->”运行“Run ->输入”gpedit.msc “,在出现的窗口的左边部分,选择”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker”在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口。

(4)组策略中设置开始菜单电源按纽为关机也可以不从组策略中修改此设置项(位于用户配置),而可以从“开始菜单和任务栏属性-开始菜单”中配置。

从开始菜单中修改并不会影响到组策略中的设置项,但是组策略中的修改将覆盖开始菜单中的配置。

建议从开始菜单属性中修改,这更方便一些,对系统影响也小。

(5)组策略中启用不显示“管理您的服务器”页(也可以在“管理您的服务器”页上直接设置)(6)关闭IE“增强安全配置”(ESC),建议更改主页(默认是安全提示页)(7)处理器计划设置为“程序”优先(8)数据执行保护设置为“仅为Windows基本程序和服务启用DEP”(9)在“桌面-个性化”设置中启用AERO主题(需要先按添加相关的服务和功能)(10)允许在登录界面执行关机(允许未登录时关机)对于服务器来说,在登录界面显示关机按钮是很不好的,意味着任何人都有权关闭服务器。

Windows2008应用之组策略分发应用程序

Windows2008应用之组策略分发应用程序安装和维护软件对于我们从事IT行业的人来说是常有的事,也是一件特别耗时的事。

现在技术的不断发展也同时带动着软件的频繁更新,为了适应公司作业的需求,我们也只能随着潮流将软件卸了又装,装了又卸。

一两台机如果采用手动进行安装相信不是件难事,但是当我们面对几十、上百上千甚至更多的客户端要同时安装新软件时,采用手动操作可想而知是件又耗时又耗力的事,而且还存在被他人追在屁股后面大叫的情况。

面对这些,我们有没有更好的办法来解决这个问题呢?其实微软已经推出如SMS、SCCM自动化部署工具。

但在这里我将给大家带来更为简单可行的办法--利用组策略分发应用程序,这样即可以让大家省去一笔银子去购买SMS、SCCM工具,也可以很好的实现我们的目的。

一、准备工作1、部署一台Windows2008服务器,安装域控或加入到已经存在域中。

2、客户端加入与服务器相同的一个域中。

3、在AD中建立相应的组织单元和用户。

4、在Windows2008服务器中共享一个目录用于存储所需分发的软件,并且共享及安全权限要给验证用户只读权限。

二、设置组策略1、打开“组策略管理器”,依次展开到“组策略对象”,右键选择“新建”创建一个新的组策略对象,当然你也可以用它默认的进行修改。

2、在已经建立的新的组策略对象上双击或右键点编辑对新策略进行编辑,进入到“组策略管理编辑器”中展开“用户配置”并依次展开到“软件安装”,并点右键选择“新建”-“数据包”。

3、选择所需部署的软件,记住这里我们只能部署MSI格式的应用程序,EXE格式需要进行重新封装为MSI格式才能部署(转换工具有很多如:Wininstall,大家可以到网上去搜索下载),选择文件时需要使用它的网络路径(如:\\dc2-2008\Install files\…),否则客户端将无法读取文件,部署将失败。

4、建立好数据包后,我们将看到“软件安装”中已经有一条数据,其中“来源”中是网络路径,而部署状态是根据“软件设置”的默认状态来确定,主要有“已发布”和“已分配”两种。

Windows_Server_2008_R2_AD_DS架构-第03部分_OU、组策略规划及部署


WMI Filter
Administrator GPO
10 GB
400 MB
35 GB
750 MB
WMI过滤
查询是使用 WMI 查询语言 (WQL) 编写的
只套用XP Professional
Windows XP WMI过滤 域控制器 Windows XP
Windows 2000
仅运行 Windows XP Professional 的目标计算机 Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"
规划组织单位
如何规划组织单位的架构,是一个颇有挑战性的 课题。然而并无一定的准则,主要视企业实际 需求而定。 以下列举几种常见的规划模式:
基于地理位置
基于功能
N – 挪威 F – 法国 I – 印尼
基于混合型的示例
S – 销售 C – 咨询 M – 市场
N F I
S C M
组织 位置 功能 组织
基于组织 M E R
DACL
User 1 Read GPO2 Full Control
A copy of a GPO transfers only the settings within a GPO The new GPO is created unlinked
什么是 Backup 操作?
Backup Operation
GPO1 Backup of a GPO GPO1
In a backup operation, Group Policy Management export all data in the GPO to the selected file and saves the GPT files

Windows-Server-2008-R2常规安全设置及基本安全策略

Windows Server 2008 R2 常规安全设置及基本安全策略1、目录权限除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接,选择允许运行任意版本远程桌面的计算机连接(较不安全)。

备注:方便多种版本Windows远程管理服务器。

windows server 2008的远程桌面连接,与2003相比,引入了网络级身份验证(NLA,network level authentication),XP SP3不支持这种网络级的身份验证,vista跟win7支持。

然而在XP系统中修改一下注册表,即可让XP SP3支持网络级身份验证。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中双击Security Pakeages,添加一项“tspkg”。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders,在右窗口中双击SecurityProviders,添加credssp.dll;请注意,在添加这项值时,一定要在原有的值后添加逗号后,别忘了要空一格(英文状态)。

然后将XP系统重启一下即可。

再查看一下,即可发现XP系统已经支持网络级身份验证3、修改远程访问服务端口更改远程连接端口方法,可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208,重启生效!Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002010(1)在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方(2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp (3)找到右侧的"PortNumber",用十进制方式显示,默认为3389,改为(例如)6666端口(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp (5)找到右侧的"PortNumber",用十进制方式显示,默认为3389,改为同上的端口(6)在控制面板--Windows 防火墙--高级设置--入站规则--新建规则(7)选择端口--协议和端口--TCP/特定本地端口:同上的端口(8)下一步,选择允许连接(9)下一步,选择公用(10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站规则,以允许RDP通信。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

组策略使用——发布软件
软件部署概述 将软件发布、指派给用户或计算机
软件升级与重新部署
修改部署的软件
发布“非-MSI”的软件
什么是Windows Installer

Windows Installer是Windows操作系统的组件,可以 简化应用程序安装的过程,通过安装应用程序时集中 定义的一组安装规则,可以管理应用程序的安装和删 除,还可使用此项服务修改、修复现有应用程序.

由用于Windows操作系统的Windows Installer服务 以及包含有关部门应用程序设置和安装信息的程序 包.msi组成.
组策略什么时候应用?
Computer starts
Refresh Interval
Computer settings applied Startup scripts run
User logs on
Refresh Interval
User settings applied
Logon scripts run
Active Directory 用户和计算机 管理工具

要阻止策略在站点上继承

Active Directory 站点和服务管 理工具
销售
没有组策略对 象设置应用
强制组策略
强制 链接冲突
组策略筛选
域 生产 GPO
销售 允许 读取和应用 组策略 应用组策略
Mengph Kimyo 组
拒绝
什么是 WMI 过滤器?
1)软件分发 2)软件限制 3)安全设置(如密码策略、管理模板下相关设置等) 4)基于注册表的设置(管理模板) 5)IE维护 6)脱机文件夹 7)漫游配置文件和文件夹重定向 8)计算机和用户脚本

组策略组件
Group Policy Object
Group Policy Container
70-640系列课程
组策略
目录

组策略简介


组策略的应用
组策略继承和应用规则 实际使用举例
注册表与组策略

ቤተ መጻሕፍቲ ባይዱ
注册表是windows系统中保存系统、应用软件配置的数据库,随着系统丌同版本 里的功能越来越丰富,注册表里的配置项目也越来越多,很多配置都是可以自定 义设置的,但这些配置发布在注册表的各个角落,如果是手工配置就会非常困难 和繁杂。 而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用, 从而达到方便管理计算机的目的。 注册表是Windows程序员建造的一个复杂的信息数据库,它是多层次式的。在丌 同系统上注册表的基本结构相同。其中的复杂数据会在丌同方式上结合,从而产 生出一个绝对唯一的注册表。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更 完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改 注册表方便、灵活,功能也更加强大。
将组策略应用于新用户和计算机帐户

默认情况下,新用户和计算机帐户是在 CN=Users 和 CN=Computers 容器中创建的。 Redirusr.exe(用于用户帐户)和 Redircomp.exe (用于计算机帐户)是 Windows Server 2008 附带 提供的两个工具。可以使用这些工具更改新用户和 计算机帐户的默认创建位置,以便更轻松地为新创 建的用户和计算机对象直接指定 GPO 作用域
组策略对象的工具

默认组策略工具
Active
Directory 用户和计算机
域和组织单位组策略对象
Active
Directory 站点和服务
站点组策略对象
本地安全策略
本地计算机安全设置

附加工具
组策略管理
域、组织单位和站点组策略对象
组策略对象链接

OU
域 GPO
站点
组策略可以用来实现

对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的 工作环境;降低布置用户和计算机环境的总费用,因为只需要设置一次, 相应的用户或计算机即可全部使用规定的设置,减少用户丌正确配置环 境的可能性;推行公司使用计算机规范,包括桌面环境规范以及安全策 略等内容。例如:
OU OU
站点 GPO
组织单位 GPO
组织单位 GPO
组策略的应用用顺序
子OU策略 父OU策略 域策略 站点策略 本地策略
组策略权限的继承
OU GPO 1 OU GPO 2
OU
OU GPO 3
OU
OU
OU

用户或计算机账户
OU
阻止策略继承

要阻止策略在域或组织单位中继 承

域 生产 组策略对象
Stored in Active Directory Provides version information Group Policy Template Contains Group Policy settings Stores content in two locations
Stored in shared SYSVOL folder Provides Group Policy settings



组策略简介

“组策略”其实和“组”并没有关系,它是一组策略的集合。组策略加强了管理 员通过活劢目录数据库在站点、域、或组织单位中配置用户和计算机的能力,在 Windows Server 2008 中,通过应用组策略,管理员可以很方便地管理Active Directory 中的计算机和用户的工作环境,例如,用户桌面环境、计算机启劢/关 机不用户登陆/注销时所执行的脚本文件、软件安装、安全设置等。
Install Office XP? 500 MB free disk space?
WMI Filter
Administrator GPO
10 GB
400 MB
35 GB
750 MB
WMI过滤
查询是使用 WMI 查询语言 (WQL) 编写的
只套用XP Professional
WMI过滤
域控制器
Windows XP
Windows XP Windows 2000
仅运行 Windows XP Professional 的目标计算机 Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"