Windows Server 2012 VDI 解决方案安装配置手册

Windows Server 2012 VDI 解决方案安

装配置手册

Publish: Nov 2012

Roger Ren

rogerren@https://www.360docs.net/doc/e05760214.html,

一、部署环境介绍

本次部署共涉及到4台服务器：

1. DC

计算机名: DC01

角色：域控制器/DHCP/CA证书服务器操作系统：Windows Server 2012 IP: 192.168.1.1/24

DNS: 192.168.1.1

2. RDCB

计算机名: RDCB01

角色：RD连接代理，RD Web访问

操作系统：Windows Server 2012 IP: 192.168.1.2/24

DNS: 192.168.1.1

3. RDSH

计算机名：RDSH01

角色：RD连接主机

IP: 192.168.1.3/24

DNS: 192.168.1.1

4. Win8 Client

计算机名: Win8CLI01

角色：WIN8 客户端

IP: 192.168.1.4/24

DNS: 192.168.1.1

5. RDVH

计算机名：RDVH01

角色：Hyper-V主机/RD虚拟主机IP: 192.168.1.10/24

DNS: 192.168.1.1

二、安装VDI 标准部署

1. 登录DC01服务器，安装AD DS和DHCP服务。在此实验中，域名为POCLAB.LOCAL.

2. 分别登录到其他计算机角色服务器上并加入域。

3. 登录到RDCB01服务器上，使用域管理员帐号poclab\administrator.

4. 运行服务器管理程序，点击添加要管理的其他服务器，加入RDSH01, RDVH01

5. 在快速启动栏，点击添加角色和功能。

6. 选择桌面服务安装，然后点击下一步。

7. 选择标准部署。

8. 选择默认虚拟机桌面部署。

9. 选择下一步。

10. 选择RD连接代理服务器，选择下一步。

11. 选择RD WEB服务器，然后下一步。

12. 选择RD 虚拟化主机服务器

13. 确认后点击部署开始安装。

14. 确认完成安装。

三、创建虚拟机集合

1. 登录到RDVH01服务器上，创建虚拟机模板。

2. 创建用户配置文件磁盘

1)登录到RDCB01计算机，使用POCLAB\Administrator账号

2)打开C盘，创建一个名为UPD的文件夹

3)选择UPD属性->共享->高级共享->权限，赋予Everyone完全控制权限。

4)然后选择安全->添加，加入RDVH01的计算机账号并赋予可修改权限。

3. 登录DC01, 创建一个OU，名称为VDI.并创建测试用户VU01, VU02.

4. 创建被管理的虚拟机集合

1)登录到RDCB01服务器，使用POCLAB\ADMINISTRATOR账号。

2)点击创建虚拟机集合

3)在弹出的窗口，点击下一步。给创建的集合定义名称。

4)选择虚拟机池类型

5)选择预先定义好的虚拟机模板

6)选择默认应答文件配置。

7)指定无人参与设置

8)指定用户和组

9)虚拟机分配保持默认

10)指定存储路径。

11)指定用户配置磁盘路径

12)确认完成以后点击创建

13)开始导出虚拟机并部署相应的虚拟桌面。

14)确认完成安装。

15)确认虚拟桌面部署完成。

3. 验证VDI远程服务的连接

1)登录到Win8CLI01客户端，打开IE浏览器

2)在IE中，键入Https://rdcb01.poclab.local/rdweb, 然后确认回车

3)点击继续浏览此网站（不推荐）

4)在验证对话框中，键入poclab\vu01和相应密码后，点击登录

5)点击POCLAB Managed Pool, 然后点击链接。

6）正在连接

7）确认已连接

四、部署RemoteApp发布

1. 使用poclab\administrator登录RDCB01服务器。

2. 添加角色和功能

3. 选择远程桌面服务安装

4. 选择标准部署

5. 选择基于会话的桌面部署

6. 选择RD连接代理

7. 选择RD Web访问

8. 选择RD会话主机

9. 确认安装完成安装。

10. 创建会话集合

11. 创建集合名称

12. 选择RD会话主机

13. 选择连接用户组

14. 选择用户配置磁盘路径

15. 确认安装

组策略应用案例探析

组策略应用案例 实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置 １所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。 ２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 ５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒 １0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的 １所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 ４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放 １0 管理员可以使用本地连接-属性,任何域用户帐号不可使用． 实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

Windows Server 2012 从入门到精通系列 之 DNS服务器

Windows Server 2012 从入门到精通系列之 DNS服务器2013-04-02 14:22:25 标签：DNS Windows2012添加标签>> 原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。https://www.360docs.net/doc/e05760214.html,/12728/1169181 首先，我先来问问大家在平常上网时，访问网站用的是IP地址还是域名？大家一般都会回答是域名，因为域名要比IP地址好记忆。但大家知道吗？最终访问服务器时都是需要IP 地址的，那么怎么能够把用户输入的域名相应的解析成IP地址呢？那就是DNS服务器的作用了！今天我们就来学习一下在Windows Server 2012服务器中如何搭建管理DNS服务器。 早期使用Hosts文件解析域名，它的缺点是：1）主机名称重复。2）主机维护困难。DNS（Domain Name System域名系统）的优点：1）分布式。2）层次性。 DNS服务主要起到两个作用： 1）可以把相对应的域名解析为对应的IP地址，这叫正向解析。 2）可以把相对应的IP地址解析为对应的域名，这叫反向解析。

域名空间采用分层结构： 1、根域(root) 2、顶级域 组织域

国家或地区域 3、二级域 4、主机名 FQDN（full qualified domain name 完全合格域名）=主机名.DNS后缀，如https://www.360docs.net/doc/e05760214.html,,其中www为主机名，https://www.360docs.net/doc/e05760214.html,为DNS后缀名。DNS的区域，DNS的管理是按照区域进行管理的。 1.域名空间树形结构的一部分 2.将域名空间根据需要划分为较小区域

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置 编辑整理： 尊敬的读者朋友们： 这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。 本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具） 使用：运行---〉gpmc。msc 如下键面： 文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组

3.用本地用户登录机器查看！ 禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

Windows环境中组策略处理优先级详解

Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户（或计算机）的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息，请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的： 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理，都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理，然后是链接到其子 组织单位的GPO，依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中，可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO，它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 该顺序意味着首先会处理本地GPO，最后处理链接到计算机或用户直接所属的组织单位的GPO，它会覆盖以前GPO 中与之冲突的设置。（如果不存在冲突，则只是将以前的设置和以后的设置进行结合。） 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响： GPO 链接可以“强制”，也可以“禁用”，或者同时设置两者。默认情况下，GPO 链接既不强制也不禁用。

windows-server-的基本设置试题教学内容

第二单元测试题 一、填空题 (1)Windows Server 2008 中的角色和功能，相当于Windows Server 2003 中的Windows组件，其中重要的组件划分成了角色，不太重要的服务和增加服务器的功能被划分成了功能。 (2)系统变量中，Path 变量定义了系统搜索可执行文件的路径， Windir定义了Windows的目录。 (3)用户配置文件其实是一个文件夹，这个文件夹位于 “\Documents and Settings”下，并且以用户名来命名。 (4)通过 MMC，用户可以将常用的管理工具集中到一个窗口界面中， 从而通过一个窗口就可以管理不同的管理工具。 (5) 一般情况下，建议用户将显示刷新频率设置为75Hz以上。 (6)Windows Server 2008 系统登录成功后将显示“初始配置任务” 窗口，通过此窗口用户可以根据需要对系统进行初始配置，包括3个任务：提供计算机信息、更新服务器、自定义服务器。 (7)页面文件夹的最大值可以设置得越大越好，通常建议将它设置为 最小值的2~3倍。 (8)set命令不仅可以显示当前的环境变量，也可以删除和修改变量。 (9)“自定义服务器“包括启用添加角色、添加功能、启用远程桌面、 配置Windows防火墙4个方面。 (10)管理员添加功能不会作为服务器的只要功能，但可以增强安装 的角色的功能。 (11)如果列表中没有75Hz及其以上的刷新频率，则需要先适当调低 显示器分辨率，然后再进行刷新的设置。

(12)MMC由分成两个窗格的窗口组成，左侧窗格为控制台树，显示 控制台中可以使用的项目；右侧窗格则列出左侧项目的详细信息和有个功能，包括网页、图形、图表、表格和列。 二、选择题 (1)在Windows Server 2008 系统中，如果要输入DOS命令，则在 “运行”对话框中输入（A）。 A . CMD B . MMC C . AUTOEXE D . TTY (2)Windows Server 2008 系统安装时生成的 Documents and Settings、Windows 以及Windows\System32文件夹是不能随意更改的，因为它们是（D） A . Windows的桌面 B . Windows正常运行时所必需的应用软件文件夹 C . Windows 正常运行时所必需的用户文件夹 D . Windows正常运行时所必需的系统文件夹 (3)启用Windows自动更新和反馈功能，不能进行手动配置设置的是 （C） A . Windows自动更新 B . Windows 错误报告 C . Windows激活 D . 客户体 验改善计划 (4)远程桌面被启用后，服务器操作系统被打开的端口为（B） A . 80 B . 3389 C . 8080 D . 1024

Windows Server 2008的基本配置

实验二Windows Server 2008的基本配置 一、实验目的 1、掌握Windows Server 2008的基本配置 2、掌握MMC控制台的使用 二、实验环境 1、安装有Windows Server 2008虚拟机软件的计算机 三、实验作业 将操作结果数据保存到WORD文档中，名称为班级-姓名-学号.doc，例如1班张三1号的文件名为：1-张三-01.doc。 操作结束将实验作业文档提交。 四、实验内容 1、修改计算机名 在桌面中选择【计算机】图标右击选择【属性】，单击【高级系统设置】，打开【系统属性】对话框，选择【计算机名】选项卡，单击【更改】按钮，更改计算机名称，命名为student班级学号，例如1班一号的计算机名称为：student101。 将修改后计算机名的【系统属性】的【计算机名】选项卡截图到实验作业中。 2、配置TCP/IP参数 （1）查看当前计算机的TCP/IP参数 右键单击桌面上的【网络】，选择【属性】，或者在桌面右下角单击【网络连接】图标，选择【网络和共享中心】，则打开【网络和共享中心】

对话框。 单击【查看状态】，显示【本地连接状态】对话框

单击【详细信息】，可以查看当前计算机TCP/IP的配置信息，截图记录到实验作业中。 （2）设置静态IP地址 在上图中选择【属性】单击，打开【本地连接属性】对话框

双击Internet协议版本4（TCP/IPV4）或单击后选择【属性】

自己设置静态IP信息：IP地址：192.168.0.XXX（XXX为本人的班级学号，例如1班1号为192.168.0.101）；子网掩码：255.255.255.0。设置结束，再次查看当前计算机的TCP/IP参数，并将查看结果截图到实验作业中。 3、设置网络发现和共享 （1）打开【网络和共享中心】，设置网络发现、文件共享的启用。

Windows Server 2008学习笔记

●Server 2008下安装“安装增强功能”的方法：保持虚拟光驱为空，鼠标单击 “安装增强功能”，然后操作如下： 进行增强功能插件的安装即可。 ●Server 2008 R2可扮演很多角色，如：DNS、DHCP服务器等，当你安装这 些角色后，系统会自动创建用来管理这些角色的工具（即：开始/管理工具/下的“服务器管理器”）； ●Win 7同样也有这个功能，但要求下载安装工具：Remote Server Administrator Tools for Windows 7(Windows 7的远程服务器管理工具)，安装完成之后：开始/控制面版/程序/打开或关闭Windows功能，即可正常使用。 ●若安装Server 2008时是采用.iso的镜像文件分别进行安装，则不存在Mac 地址冲突的可能性，但该方法较慢；若是先安装好一台机器，再进行“导出” 后再“导入”的方法得到另一台机器，会比较快，但由于两台机器的“Mac 地址”相同(虚拟机环境下不会报错，就如同实际当中的“机器名相同”、“IP 地址冲突”时导致两台机器不能相互通讯一样)，会导致这两台机器不能通信，则必须进行“Mac地址”的刷新才行，具体如下图：

要保证两台虚拟机能正常通讯，必须满足下列几个条件： １、Mac地址不能相同； ２、机器名不能重名； ３、IP地址不能相同； ４、虚拟机的网卡模式：Bridge(桥椄)； ５、防火墙处于关闭状态； ６、Routing and Remote Access服务处于开启状态(不是必需的)，如下：

●DNS主服务器(Primary Server)可直接在该管辖区域内添加、删除和修改记录， 存储着区域数据资源的主副本(Master copy)，而辅助服务器(Secondary Server)则只能从主服务器复制数据，且对这些记录无修改权限，存储着副本记录(replica)。 一般了解：主机服务器(Master Server) 可能是存储该区域主副本的主服务器，也可能是存储副本数据的辅助服务器。 唯缓存服务器(Caching-only Server)：无任何新建区域，当它接收到dns客户端的查询请求时，它会帮助dns客户端向其它dns服务器来查询，然后将查询到的记录存储到缓存区，并将该记录提供给客户端。当再次有客户查询该记录时，能够快速地提供给客户。适于远端分公司的安装。 ●递归查询发生在dns客户端向dns服务器提出查询请求时； 迭代查询发生在dns服务器与dns服务器之间的查询； ●使用Hosts文件进行解析：一般用于客户端。该文件用来存储主机名与IP的 对应数据。事实上DNS客户端在查找主机的IP地址时，它会先检查自己计算机内的HOSTS文件，看看文件内是否有该主机的IP地址，若找不到数据，才会向DNS服务器提交查询。 如：在hosts文件末加了一条记录“113.92.32.12 https://www.360docs.net/doc/e05760214.html,” 验证方法： C:\Users\Administrator>ping https://www.360docs.net/doc/e05760214.html, 正在Ping https://www.360docs.net/doc/e05760214.html, [113.92.32.12] 具有32 字节的数据: 来自192.168.10.130 的回复: 目标主机无法访问。 来自192.168.10.130 的回复: 目标主机无法访问。 来自192.168.10.130 的回复: 目标主机无法访问。 来自192.168.10.130 的回复: 目标主机无法访问。 113.92.32.12 的Ping 统计信息: 数据包: 已发送= 4，已接收= 4，丢失= 0 (0% 丢失) ●客户端在进行域名解析时，若使用TCP/IP程序（如：浏览器、telnet程序、

常用AD组策略设置

常用AD组策略设置 利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。 根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。 下面是实际操作演示： ?AD域控制器：Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序 打开“https://www.360docs.net/doc/e05760214.html,”域下组织单位“北京”的属性(如下图)： 可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.360docs.net/doc/e05760214.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是： copy bssec.scr c:\windows\system32 即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。打开“https://www.360docs.net/doc/e05760214.html,”域的属性(如下图)： 可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

组策略设置系列篇之“安全选项”2

组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录：不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。 “交互式登录：不显示上次的用户名”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。 对策：将“不显示上次的用户名”设置配置为“已启用”。 潜在影响：用户在登录服务器时，必须始终键入其用户名。 交互式登录：不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

如何设置常用组策略

如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

(2)组策略的配置及使用

一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 （1）通过控制台访问组策略 （2）对用户设置密码策略 （3）对用户设置登录策略 （4）退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型：本地和非本地。 本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。 非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

Windows组策略应用大全

Windows组策略应用大全.txt9母爱是一滴甘露，亲吻干涸的泥土，它用细雨的温情，用钻石的坚毅，期待着闪着碎光的泥土的肥沃；母爱不是人生中的一个凝固点，而是一条流动的河，这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? （一）组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 （二）组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows?9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows?2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active?Directory?对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1）System.adm：默认情况下安装在“组策略”中，用于系统设置。 2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet?Explorer策略设置。 3）Wmplayer.adm：用于Windows?Media?Player?设置。 4）Conf.adm：用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows?9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

2003系统域的组策略应用详解_

域网络构建教程（4）组策略 古人云：运筹帷幄之中，决胜千里之外。这大概就是用兵的最高境界了吧！ 作为一个生于和平年代的网络管理人员，这辈子带兵是没戏了。不过在域环境的帮助下，这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的XP系统上一直存在，通过在运行栏中输入gpedit.msc就可以启动本地计算机的组策略编辑器。截图如下： 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器，所见 即所得一直都是微软的看家本领啊。 有了域环境之后，通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中，我感觉这种管理与控制几乎覆盖了使用中的方方面面，反正现在我只要在域控制器上动动手指头，就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的，有兴趣的可以在看完本文后自己实践一下（后果自负哈）。

闲话少说，书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器，注意这里不能使用gpedit.msc（那是编辑本机策略的），而要打开“开始——程序——管理工具——Active Directory用户和计算机”。 截图如下： 在打开的窗口中选择你的域名，并在其上右击选择属性，然后在弹出的属性对话框中选择组

策略。现在你就会看到默认域策略——Default Domain Policy，截图如下： 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy，这样便于我们随时恢复到系统默认的设置。呵呵，留条出迷宫的路，是所有操作前的必修课。 默认的不让动，那我们怎么编辑组策略呢？答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机，注意组织单位将是一个我们经常使用的划分方式，组策略可以按层次模式很好的在其上运行，这样也便于对今后一定会日趋复杂的组策略进行有效的管理。 注意这里我提到了层次模式，组策略是可以按层次逐级继承的。这不但可以使策略设置简洁 明了，出了问题还便于排查错误。 为了演示这种层次模式，我新建一个名为“用户和计算机”的组织单位，并将原来的两个组

《WindowsServer2012服务器系统管理》测试试卷

《Windows Server 2012服务器系统管理》单科测试 考试说明： 1. 考试形式为闭卷，考试时间为150分钟。 2. 考试内容包括15道选择题（30分）和1道机试题（70分），满分合计100分。 3. 请将选择题的答案写在答题纸上，机试题提交电子档实验报告。 一、选择题（共15题，每题2分） 1）下面关于Windows Server 2012 R2说法错误的是（）。(选择一项) a) 支持故障转移群集 b) 标准版支持两个虚拟授权 c) 核心安装能减小受攻击面积 d) 数据中心版支持两个虚拟授权 2）在Windows Server 2012 R2中使用wbadmin命令制作备份脚本的文件格式为（）。 (选择一项) a) .txt b) .bta c) .inf d) .bat 3）查看计算机的IP地址可以使用命令（）。(选择一项) a) I pconfig b) Hostname c) Config d) Ipconfig /renew 4）关于NTFS文件系统中的权限继承，下面说法正确的是（）。(选择一项) a) 子文件夹会继承上级文件夹的权限 b) 上级文件夹不能强制子文件夹继承其权限 c) 如果用户对子文件夹没有任何权限，也能够强制其继承上级文件夹的权限 d) 新建文件夹不会自动继承上级的权限 5）以下不属于Windows内置账户的是（）。(选择一项) a) Administrator b) Administrators c) Guest d) SYSTEM

6）以下关于Windows内置账户和组说法正确的是（）。(选择两项) a) Everyone包含任何用户（包括来宾用户），设置开放的权限时经常使用 b) Users组的用户账户都具备管理员权限 c) Power Users用户组是新用户的默认组，可以运行大部分的应用程序 d) NETWORK SERVICE账户为Windows的一部分服务提供访问系统的权限 7）NTFS是微软公司随着Windows NT推出的文件系统，以下不是NTFS特性的有（）(选择一项) a) 压缩，压缩文件、文件夹 b) 磁盘配额 c) 访问控制列表 d) 采用16位和32位编址 8）有一台Windows Server 2012 R2的文件服务器名为FileServer，在D盘中设置了共享文件夹share，共享名为share$。通过（）路径可以访问共享文件夹。(选择一项) a) \\FileServer\share$ b) \\FileServer c) \\FileServer\share d) \\d:\\software 9）Vnet公司有一台Windows Server 2012 R2的文件服务器abcd，小张通过\\abcd访问计算机，如图所示，照成这种情况的原因是（）。(选择一项) a) 小张的客户端网络出现问题，不能和文件服务器进行通信 b) 小张的客户端开启了防火墙，禁止对外访问 c) 在文件服务器的“用户权限分配”中将小张的账户添加到“拒绝从网络访问这台计算 机”中 d) 文件服务器没有设置共享文件夹 10）Vnet公司有一台Windows Server 2012 R2的FTP服务器，员工可以使用（）连接FTP服务器(选择两项) a) Serv-U b) IE浏览器 c) RaidenFTPD d) FlashFXP 11）Windows Server 2012 R2上安装的FTP服务，默认的存储路径是（）。(选择一项)

组策略以及来宾用户权限的设置

组策略以及来宾用户权限的设置

组策略以及来宾用户权限的设置 我都是用组策略来实现这个目的的具体用法如下（简单的）Windows 2000/XP/2003 组策略控制台 如果是Windows 2000/XP/2003 系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc 并确定，即可运行程序。 使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机 组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下： 1）打开Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC

并回车，运行控制台程序）。 2）在“文件”菜单上，单击“添加/删除管理单元”。 3）在“独立”选项卡上，单击“添加”。4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。 5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通 过单击“浏览”查找所需的组策略对象。 6）单击“完成”，单击“关闭”，然后单击“确定”。组策略管理单元即打开要编辑 的组策略对象。 对于不包含域的计算机系统来说，在上面第5 步的界面中，只有“计算机”标签，而没 有其他标签项目。

通过上面的方法，我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。 在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003 组策略管理控制台同样也有三种状态，只不过名字变了。它们分别是：已启用、未配置、已禁用。 四、“桌面”设置 Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我 们的贴身秘书，让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例： 位置：“组策略控制台→用户配置→管理模板→桌面”

Windows操作系统组策略应用全攻略

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是Config.pol)文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)System.adm：默认情况下安装在“组策略”中，用于系统设置。 2)Inetres.adm：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。

Windows_Server_2008安全配置基础(改)

Windows Server 2008安全配置基础 一、及时打补丁 二、阻止恶意Ping攻击 我们知道，巧妙地利用Windows系统自带的ping命令，可以快速判断局域网中某台重要计算机的网络连通性;可是，ping命令在给我们带来实用的同时，也容易被一些恶意用户所利用，例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时，重要计算机系统由于无法对所有测试包进行应答，从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性，我们可以修改该系统的组策略参数，来禁止来自外网的非法ping攻击： 首先以特权身份登录进入Windows Server 2008服务器系统，依次点选该系统桌面上的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，进入对应系统的控制台窗口; 其次选中该控制台左侧列表中的“计算机配置”节点选项，并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项，再用鼠标选中目标选项下面的“入站规则”项目; 接着在对应“入站规则”项目右侧的“操作”列表中，点选“新规则”选项，此时系统屏幕会自动弹出新建入站规则向导对话框，依照向导屏幕的提示，先将“自定义”选项选中，再将“所有程序”项目选中，之后从协议类型列表中选中“ICMPv4”，如图3所示;

协议类型列表中选中“ICMPv4”， 之后向导屏幕会提示我们选择什么类型的连接条件时，我们可以选中“阻止连接”选项，同时依照实际情况设置好对应入站规则的应用环境，最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后，将Windows Server 2008服务器系统重新启动一下，这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。 小提示：尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能，可以实现很多安全防范目的，不过稍微懂得一点技术的非法攻击者，可以想办法修改防火墙的安全规则，那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则，我们可以进行下面的设置操作： 首先打开Windows Server 2008服务器系统的“开始”菜单，点选“运行”命令，在弹出的系统运行文本框中执行“regedit”字符串命令，打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项，同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallR ules注册表子项，该子项下面保存有很多安全规则;