组策略怎么打开,组策略编辑器命令

什么是组策略：所谓组策略就是配置计算机中某一些用户组策略的程序，由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具，在组策略中管理员可以管控诸如：禁止运行指定程序、锁定注册表编辑器、阻止访问命令提示符、禁止修改系统还原配置、修改用户组密码等等；

组策略编辑器命令是什么，组策略怎么打开：

点击“开始”菜单——>选择“运行”——>输入“gpedit.msc”(不含引号)——>点击确定即可打开组策略；

假如您在网吧或局域网中权限受限，导致无法打开组策略，您还可以这样操作，在桌面新建一个文本文档TXT——>打开文本文档，输入“gpedit.msc”(不含引号)——>点击左上角“文件”——>选择“另存为”——>将“保存类型”设置为“所有文件”——>将“文件名”设置为“组策略.bat”——>点击“保存”——>在桌面上双击“组策略.b at” 程序，弹出cmd命令提示符后即可自动启动“组策略”；

假如您在运行中输入“gpedit.msc”后，系统提示“Windows找不到文件xxxxx。请确定文件名是否正确后....”；您可以这样操作，首先点击“开始”菜单——>选择“运行”——>输入“mmc”——>点击确定，打开“控制台1”窗口——>点击“文件”—— >选择“添加\删除管理单元”——>点击下方的“添加”按钮——>在“可用的独立管理单元”中找到并选中“组策略对象编辑器”—— >点击“添加”——>点击“完成”即可——>再通过在运行中输入“gpedit.msc”打开组策略；

组策略怎么打开——>通过在运行窗口中输入“gpedit.msc”；组策略编辑器命令——>gpedit.msc；假如组策略运行异常，请使用上述方法尝试打开组策略。

组策略详解

组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号：大中小 组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是 打开控制台，将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也 是本文的重中之重。

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置 编辑整理： 尊敬的读者朋友们： 这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。 本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具） 使用：运行---〉gpmc。msc 如下键面： 文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组

3.用本地用户登录机器查看！ 禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

组策略统一修改客户端本地管理员密码

使用组策略统一修改客户端本地管理员密码 版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明 https://www.360docs.net/doc/5d1731313.html,/logs/4657183.html 您可以通过开机/关机脚本来现实统一修改域中本地管理员的密码。 有关如何创建启动脚本您可以参考下面的链接： https://www.360docs.net/doc/5d1731313.html,/technet/archive/community/columns/tips/2kscr ipt.mspx?mfr=true 具体的操作方法如下： 1. 点击“开始－>运行”并输入“DSA.MSC”?－>打开Active Directory用户和计算机 2. 然后右键点击https://www.360docs.net/doc/5d1731313.html,（您的域名）－>属性－>组策略。 3. 然后编辑该策略－>计算机配置－> Windows设置-脚本（开机/关机脚本） 4. 双击启动，点击添加，点击浏览，然后将.vbs文件拷贝到弹出的对话中，然后选中该文件，点击打开，点击确定。最后点击应用和确定。下面是.vbs的具体内容： strComputer = "." Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user") objUser.SetPassword "testtest01!" objUser.SetInfo testtest01!为您指定的新的管理员密码。 5、在DC上刷新组策略，然后重新启动一台客户端，测试管理员密码有没有被更改。 请注意：如果您在域策略上启用密码必须满足复杂性的话，那么您设的新密码一定要满足该条件，否则本地管理员密码不会被更改。 时间同步 通常情况下，Windows 2000/xp/2003域成员有个w32time时间服务， 它会自动与域DC进行时间同步，无需人为干涉， 保持域内时间的同步是kerberos认证协议的一个基本要求， 也是为了防止重放攻击的一种手段，如果域成员客户机与DC的时间相差太大的话， 它的登录将不能成功，这时你可以手动调整系统时间，通常情况下，只要通讯无阻碍， 域成员将自动与DC保持时间同步 还可以在命令行下实现：

常用AD组策略设置

常用AD组策略设置 利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。 根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。 下面是实际操作演示： ?AD域控制器：Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序 打开“https://www.360docs.net/doc/5d1731313.html,”域下组织单位“北京”的属性(如下图)： 可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.360docs.net/doc/5d1731313.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是： copy bssec.scr c:\windows\system32 即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。打开“https://www.360docs.net/doc/5d1731313.html,”域的属性(如下图)： 可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

(2)组策略的配置及使用

一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 （1）通过控制台访问组策略 （2）对用户设置密码策略 （3）对用户设置登录策略 （4）退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型：本地和非本地。 本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。 非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

组策略的基本知识

一、组策略的基本知识 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。 本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。 访问本地组策略的方法有两种：第一种方法是命令行方式；第二种方法是通过在MMC 控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动 您只需单击选择“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。（注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。） 在打开的组策略窗口中，可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。另外，您或许已经注意到，左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成，并且这两者中的部分项目是重复的，如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢？这里的“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。例如，二者都提供了“停用自动播放”功能的设置，如果是在“计算机配置”中选择了该功能，那么所有用户的光盘自动运行功能都会失效；如果是在“用户配置”中选择了此项功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。设置时需注意这一点。 2、将组策略作为独立的MMC管理单元打开 若要在MMC控制台中通过选择GPE插件来打开组策略编辑器，具体方法如下： （1）单击选择“开始”→“运行”命令，在弹出的对话框中键入“mmc”，然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。 （2）选择“文件”菜单下的“添加/删除管理单元”命令。 （3）在“添加/删除管理单元”窗口的“独立”选项卡中，单击“添加”按扭。 （4）弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”选项，单击“添加”按钮。 （5）由于是将组策略应用到本地计算机中，故在“选择组策略对象”对话框中，单击“本地计算机”，编辑本地计算机对象，或通过单击“浏览”按扭查找所需的组策略对象（6）单击“完成”→“关闭”→“确定”按扭，组策略管理单元即可打开要编辑的组策略对象。 特别提示：倘若您希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。 二、“任务栏”和“开始”菜单相关选项的删除和禁用 在“…本地计算机?策略”中，逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略。 1、给“开始”菜单瘦瘦身 如果您觉得Windows XP的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读 实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠 ：1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

3种用组策略将域帐号加入本地管理员组的方法

3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”

2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。 第1种方法的步骤很简单： .在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图 第2种方法：

为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下： 为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： https://www.360docs.net/doc/5d1731313.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：

在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组

win7组策略编辑器设置

win7组策略怎么打开？ 首先，在开始-运行中输入“gpedit.msc”，然后回车，打开组策略编辑器。依次点击“用户配置”→“管理模板”→“Windows 组件”即可 win7组策略编辑器设置 从Windows 2000开始，组策略就是配置Windows的有效工具。其实严格说起来，组策略编辑器中的大部分配置都可以直接修改注册表实现，不过很明显，通过组策略编辑器进行修改，更加直观，而且也不容易出错。因此很多Windows用户都已经习惯了使用组策略对Windows的一些高级设置进行配置。 Windows 7中新增了大量新的功能，同时组策略编辑器中也包含了更多内容。想知道这些新增的内容对我们有什么用吗？一起来看看吧。 提示：下文是以测试版的Windows 7RC2 Ultimate为基础撰写的，因此和正式版中可能会有所不同。另外，win7的家庭版没有组策略编辑器功能。 控制硬件设备的安装 这是一个很吸引人的功能。现在很多公司都不希望员工使用闪存盘或者MP3随身听之类可以通过计算机的USB接口传输文件的设备，因为这很容易导致公司的机密数据丢失。传统的预防办法最常见就是将计算机上的USB接口堵死，但这种“硬”方法也造成了一些问题，导致其他使用USB接口的设备，例如键盘和鼠标都无法使用。那么有没有不那么“强硬”的方法？这时候可以考虑使用Windows 7的组策略了。 通过组策略实现的目标 通过Windows 7的组策略，对硬件设备的安装将可以达到下列限制： ● 只有指定类型的设备可以安装，其他未指定设备一律无法安装。 ● 只有指定的具体硬件可以安装，其他未指定的硬件一律无法安装。 ● 所有可移动设备都无法安装。

系统无法打开组策略进行配置怎么解决

系统无法打开组策略进行配置怎么解决 组策略可以对计算机进行各种配置。最近有XP用户反馈，电脑的组策略遇到不能启动的情况，这是怎么回事呢?可能是某些功能被禁用了，下面请看具体的解决方法。 步骤如下： 1、在启动计算机时按F8键，在“Windows高级选项菜单”操作界面中选择“带命令行提示的安全模式”，进入系统，然后单击“开始→运行”，输入“cmd”，在“命令提示符”对话框中输入“mmc.exe”并回车打开“控制台”，依次单击“文件→添加/删除管理单元→添加”按钮，选中“组策略对象编辑器→添加”按钮，然后单击“完成”按钮。 2、接下来在“控制台”对话框里选择“‘本地计算机’策略”并单击“添加”按钮，然后进去把“只运行许可的Windows运用程序”策略禁用。

3、另外一种情况就是连安全模式也进不去了，这时我们可以进入“故障恢复控制台”，用CD命令依次进入“C:\WINDOWS\system32\GroupPolicy”目录，运行“del/f/q gpt.ini”命令，将组策略的配置文件gpt.ini删除，然后重新启动计算机即可恢复。 相关阅读：电脑无法开机、黑屏的故障排解 很多时候我们会遇到按动计算机POWER键后，计算机无法启动，没有任何开机自检或进入操作系统的现象，常常使用户无法处理和影响正常使用。在此我们对常见的故障现象、分析和解决方法做简单分析，希望对遇到此类问题的用户有所帮助。 按动POWER键后无任何反映 故障现象：开机后屏幕没有任何显示，没有听到主板喇叭的“滴”声。 故障分析：主板COMS芯片内部BIOS数据被CIH病毒或静电等问题损坏损坏，无法读取，系统启动无法完成自检，所以无法

组策略(gpedit.msc)学习

组策略（gpedit.msc）学习 习背景：组策略就是修改注册表中的配置。当然，组策略使自己更完善计算机的管理组织方法，可以对 各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大. 学习目的：熟悉组策略的使用，完善计算机的管理与设置 学习步骤：组策略的启动，组策略的实际例子操作讲解，安全防范，组策略的保护！ 地计算机配置对应注册表 HKEY_LOCAL_MACHINE 本地用户配置对应注册表 HKEY_CURRENT_USER 访问本地组策略的方法有两种： 第一种方法是命令行方式：“开始”→“运行”→“gpedit.msc”→“确定”刚才我们演示的 （gpedit.msc我们可以在系统盘中找到“C:\WINNT\SYSTEM32\gpedit.msc”） 第二种方法是通过在MMC控制台中选择GPE插件来实现: “开始”→“运行”→“mmc”→“确定”→“文件”→“添加/删除管理单元”→“独立”→“添加”→“添加独立管理单元”→"组策略对象编辑器" 大家看到了吧！这样也是可以的，只是麻烦了点！继续讲解啊！ “本地计算机策略” | |——“计算机配置” 对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运 | | 行环境都起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块” | | |——“用户配置”对当前用户的系统配置进行设置的，它仅对当前用户起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块”

下面我们就用实际的例子来学习组策略这个超级工具！（因为组策略的功能太多，太强大！所以我就选择 其中有代表性的例子进行讲解！一一讲解的话，你可以与我QQ联系，我一一讲解，这里不耽误大家时间） （任何事情都是有起因的，呵呵） 事件一.起因：我们想不让别人使用我们的CMD（命令）与REGEDIT（注册表），所以我想删除“运行” 因为我们运行CMD与REGEDIT多是在运行菜单下进行的操作如下（涉及2个知识点） 我们在实验之前看看我们的运行菜单他还好好的在那里！！ 知识点1.“任务栏”和“开始”菜单相关选项的删除和禁用 （1）在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略 ！我们现在看看他没了运行菜单没了 删除“运行”那么操作如下： 用户配置”→“管理模板”→“任务栏和「开始」菜单”→从开始菜单中删除运行→已启用→确定 那么我们想禁止使用CMD与REGEDIT的话是不是就已经成功了呢！带着疑问我们看看！ 没有运行菜单了是不是就是我的实验成功了呢？？？？是不是就是不可以运行CMD与REGEDIT了呢？？ 我们接着看看大家可以看得懂我的操作是什么吧就是运用BAT文件运行CMD与REGEDIT 我们的命令提示符出来了说明我们没有成功！ 没有成功！继续深入！ 知识点2.禁止使用CMD与REGEDIT （2）在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→“系统”分支。 在右侧我们可以看到“阻止访问命令提示符”和“阻止访问注册表编辑工具”双击“已启用”确定 检验结果！

组策略设置系列篇之“安全选项”2

组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录：不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。 “交互式登录：不显示上次的用户名”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。 对策：将“不显示上次的用户名”设置配置为“已启用”。 潜在影响：用户在登录服务器时，必须始终键入其用户名。 交互式登录：不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

远程修改组策略

远程修改组策略 由于管理员的误操作导致了本地策略拒绝所有人登录，如何恢复呢？今天我们就来做这个实验！ 首先，我们要做一下的准备工作： 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置，使得任何用户都无法登录。 （1.）在Berlin上，点击开始/运行，输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器，然后点击windows设置/安全设置/本地策略/用户权限分配，如下图所示：

打开以后我们就可以找到拒绝本地登录这一项了，双击打开 打开后点击添加用户和组，把User用户添加进去

点击确定后，注销计算机。 任何的用户都无法登录了，甚至就连大名鼎鼎的管理员也无法登录了！ OK！实验正式开始了！ 我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务，但计算机默认的telnet服务是关闭的，首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中，右键点击我的电脑，打开计算机管理，然后右键点击：计算机管理（本地）——连接到另一台计算机，如下图：

在选择计算机中输入Berlin的IP地址，然后点击确定。 然后的服务中找到Telnet，

手动启动起来。 OK！我觉得现在的准备工作才算完成了！接下来我们要用Telnet 把Berlin连接过来。 在Florence中，点击开始/运行，输入cmd

键入telnet 192.168.12.103 在C:\>提示符下，键入secedit /export /cfg c:\sectmp.inf，导出它的当前安全设置。 完成以后不用着急关闭该提示符。

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：

Windows7本地安全策略

广东XXXX职业学院 计算机工程技术学院(软件学院) 实验报告 专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节 一、实验目的与要求（此栏实验前由老师填写） ◆创建和验证多重本地组策略的设置； ◆配置本地安全策略设置。 二、实验环境及方案（此栏实验前由老师填写） 实验环境： 主机硬件配置至少1G内存，15G以上的空余硬盘空间，然后要求在主机上安装Oracle VM VirtualBox 4.1.8，利用它配置至少一台虚拟机，安装windows 7企业版客户机，并准备好相应的windows 7安装盘或对应ISO文件。 实验说明： 1.计算机启动时所启动的操作系统称为主机，在虚拟机上安装的操作系统称 为客户机； 2.启动客户机后，如果想操作客户机，只需用鼠标点击客户机桌面就可以； 如果要回到主机操作，可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码：P@ssw0rd 5.实验所需的各种资料在共享文件夹中找

6.请把实验过程的关键操作屏幕的图片剪切下来，贴在相应实验内容后面， 以备检查。（截屏方法：如果要截全屏，直接按屏幕打印键；如果只截当前屏幕，请按Alt+屏幕打印键） 7.完成后，请将实验结果文件命名为：“班内序号_姓名_第几次实验”，如张 三班内序号为18号、实验一的结果文件可命名为：“18_张三_1.doc” ；再如李四班内序号为8号、实验六的结果文件可命名为：“08_李四_6.doc” 三、实验内容（将每项实验内容的具体操作步骤及相关截图存放于实验结果 栏中） （一）创建和验证多重本地组策略的设置 1、以administrator登录计算机，创建自定义管理控制台，分别选择本地计算机、Administrators和非管理员为组策略对象，保存到桌面并命名为Multiple Local Group Policy Editor； 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本，添加一个登录脚本文件， 脚本文件名称为computerscript.vbs，脚本内容为msgbox “Default Computer Policy”； 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本，添加一个 登录脚本文件，脚本文件名称为administratorscript.vbs，脚本内容为msgbox “Default Administrator’s Policy”； 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本，添加一个登录

组策略怎么打开,组策略编辑器命令

什么是组策略：所谓组策略就是配置计算机中某一些用户组策略的程序，由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具，在组策略中管理员可以管控诸如：禁止运行指定程序、锁定注册表编辑器、阻止访问命令提示符、禁止修改系统还原配置、修改用户组密码等等； 组策略编辑器命令是什么，组策略怎么打开： 点击“开始”菜单——>选择“运行”——>输入“gpedit.msc”(不含引号)——>点击确定即可打开组策略； 假如您在网吧或局域网中权限受限，导致无法打开组策略，您还可以这样操作，在桌面新建一个文本文档TXT——>打开文本文档，输入“gpedit.msc”(不含引号)——>点击左上角“文件”——>选择“另存为”——>将“保存类型”设置为“所有文件”——>将“文件名”设置为“组策略.bat”——>点击“保存”——>在桌面上双击“组策略.b at” 程序，弹出cmd命令提示符后即可自动启动“组策略”； 假如您在运行中输入“gpedit.msc”后，系统提示“Windows找不到文件xxxxx。请确定文件名是否正确后....”；您可以这样操作，首先点击“开始”菜单——>选择“运行”——>输入“mmc”——>点击确定，打开“控制台1”窗口——>点击“文件”—— >选择“添加\删除管理单元”——>点击下方的“添加”按钮——>在“可用的独立管理单元”中找到并选中“组策略对象编辑器”—— >点击“添加”——>点击“完成”即可——>再通过在运行中输入“gpedit.msc”打开组策略；

组策略怎么打开——>通过在运行窗口中输入“gpedit.msc”；组策略编辑器命令——>gpedit.msc；假如组策略运行异常，请使用上述方法尝试打开组策略。

组策略完全使用手册

组策略完全使用手册 对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。 使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开： (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

通过组策略禁用本地管理员用户修改计算机名

通过组策略禁用本地管理员用户修改计算机 场景1 (1) 场景2 (2) 背景知识 (2) 解决方法1：通过组策略来禁用修改计算机名 (4) 解决方法2：通过修改netid.dll禁用修改计算机名 (6) 总结 (8) 场景1 某单位为了加强管理，指定某些用户只能在某些计算机上登录，如下图所示： 由于某种原因，这些域用户属于本机administratos组的成员。 为了防止这些用户自行修改计算机名，所以需要通过组策略来防止他们修改计算机名。 1电话：(0371)65706336 65706337 65706339 传真：（0371）65706367

场景2 防止域成员计算机退出域，从而脱离域策略的控制 背景知识 通过注册表或组策略可以防止用户在图形界面环境在可以将“属性”选项从“我的电脑”右击菜单移除，如下图所示： 或者，当用户双击“控制面板”中“系统”的时没有反应，如下图所示： 2电话：(0371)65706336 65706337 65706339 传真：（0371）65706367

注：系统属性是SYSDM.CPL 比如，通过修改注册表中的值来达到此目录（未验证） 1.打开注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 2.右键单击NoPropertiesMyComputer的键值修改为1 3.如果没有NoPropertiesMyComputer可以新建一个DWORD值并命名为 NoPropertiesMyComputer然后把键值修改为1 参考：https://www.360docs.net/doc/5d1731313.html,/en-us/library/cc779895(WS.10).aspx 以上方法仅仅是“愚民政策”。从本质上讲，一个具有管理权限的用户可以做任何事情。 永远不要以为您单位不会这些事情，呵呵 比如，可以通过以下netdom或脚本修改计算机名称： strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colComputers = objWMIService.ExecQuery _ ("Select * from Win32_ComputerSystem") For Each objComputer in colComputers err = ObjComputer.Rename("新计算机名") Wscript.Echo err 3电话：(0371)65706336 65706337 65706339 传真：（0371）65706367

如何进入组策略编辑器

如何打开组策略编辑器 开始-->运行：gpedit.msc 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 方法一、怎么打不开EXE文件了？是不是中病毒了？对于程序打不开菜鸟的第一反应就是认为中病毒了，其实是通过设置把EXE文件运行禁止了。这和哪里的设置有关系？你想要的答案就是组策略。组策略可是博大精深，里面包含了系统，软件还有网络安全的有关设置，之前说的那个状况就是禁止了EXE文件的运行配置。 开始讲太深奥菜鸟可能吃不消，先说简单的，怎么打开组策略。在开始菜单运行那里输入gpedit.msc，然后确定，

就可以进入到组策略的操作界面。组策略包括计算机陪孩子，软件配置，用户配置三大配置，其中三大配置里面又包含许多的小配置。该文先让菜鸟弄懂怎么进入组策略的，高手可以回避。 运行输入gpedit.msc 进入组策略界面

方法二、除了上面这种进入组策略的方法，还有一种就是通过控制台进入组策略。同样在运行那里输入mmc命令，进入控制台界面。在控制台文件那下拉菜单选中添加删除/管理单元，点击进去，来到添加/删除管理界面，点击添加按钮，添加独立管理单元。