策略组编辑器
策略组编辑器
答:运行里输入gpedit.msc
体系里提示没有打开组策略这条敕令?
答:1:看是不是注册表中锁住了组策略“HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer”,把“RestrictRun”的键值改为0即可。
2:开端--运行--MMC--文件--添加删除治理单位--添加--组策略--添加,后面的你应当会了。看你要开哪个策略,就添加哪个策略。
一、桌面项目设置
1、隐蔽不须要的桌面图标
2、禁止对桌面的修改
3、启用或禁止活动桌面
4、给“开端”菜单减肥
5、保护好“义务栏”和“开端”菜单的设置
二、隐蔽或禁止控制面板项目
1. 禁止拜访“控制面板”
2、隐蔽或禁止“添加/删除法度榜样”项
3、隐蔽或禁止“显示”项
三、体系项目设置
1、登录时不显示迎接屏幕界面
2、禁用注册表编辑器
3、封闭体系主动播放功能
4、封闭Windows主动更新
5、删除义务治理器
四、隐蔽或删除Windows XP资本治理器中的项目
1、删除“文件夹选项”
2、隐蔽“治理”菜单项
五、IE浏览器项目设置
1、限制IE浏览器的保存功能
2、给对象栏减肥
3、在IE对象栏添加快捷方法
4、让IE插件不再骚扰你
5、保护好你的小我隐私
6、禁止修改IE浏览器的主页
7、禁用导入和导出收藏夹
六、体系安然/共享/权限设置
1、暗码策略
2、用户权力指派
3、文件和文件夹设置审核
4、Windows 98拜访Windows XP共享目次被拒绝的问题解决
5、阻拦拜访敕令提示符
6、阻拦拜访注册表编辑对象
一、桌面项目设置
在“组策略”的左窗口依次展开“用户设备”→“治理模板”→“桌面”节点,便能看到
有关桌面的所有设置。此节点重要感化在于治理用户应用桌面的权力和隐蔽桌面图标。
1、隐蔽不须要的桌面图标
桌面上的一些快捷方法我们可以易如反掌地删除,但要删除“我的电脑”、“收受接收站”、“网上邻居”等默认图标,就须要依附“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐蔽桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐蔽桌面上‘网上邻居’图标”和“
隐蔽桌面上的Internet Explorer图标”两个策略选项启用即可;假如隐蔽桌面上的所有图标,只要将“隐蔽和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项今后,“我的电脑”和“我
的文档”图标将从你的电脑桌面上消掉了;假如在桌面上你不再爱好“收受接收站”这个图标
,那么也可以把它给删除,具体办法是将“从桌面删除收受接收站”策略项启用。
2、禁止对桌面的修改
应用组策略可达到禁止别人修改桌面某些设置的目标。“禁止用户更改‘我的文档’路径
”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和封闭义务栏的工
具栏”项可阻拦用户从桌面上添加或删除义务栏。双击启用“退出时不保存设置”后,用户将不克不及保存对桌面的更改。最后,双击启用“隐蔽和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方法以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。
3、启用或禁止活动桌面
应用“Active Desktop”项,可根据本身的须要设置活动桌面的各类属性。“启用活动桌
面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有效户的桌面
上显示的桌面墙纸。而启用“不许可更改”项便可防止用户更改活动桌面设备。
4、给“开端”菜单减肥
Windows XP的“开端”菜单的菜单项很多,可经由过程组策略将不须要的删除掉落。供给了删除
“开端”菜单中的公用法度榜样组、“我的文档”图标、“文档”菜单、“收集连接”、“收
藏夹”菜单、“搜刮”菜单、“赞助”敕令、“运行”菜单、“图片收藏”图标、“我的
音乐”图标和“网上邻居”图标等策略。只要将不须要的菜单项所对应的策略启用即可。以删除开端菜单中的“我的文档”图标为例看看其具体操作办法:在右边窗口中双击“从‘开端’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“肯定”,如许在“开端”菜单中“我的文档”图标将会隐蔽。
5、保护好“义务栏”和“开端”菜单的设置
假使不想随便让他人更改“义务栏”和“开端”菜单的设置,只要将右侧窗格中的“阻拦更改‘义务栏和「开端」菜单’设置”和“阻拦拜访义务栏的高低文菜单”两个策略项启用即可。如许,当用鼠标右键单击义务栏并单击“属性”时,体系会出现一个缺点消息,提示信息是某个设置禁止了这个操作。
二、隐蔽或禁止控制面板项目
这里讲到的控制面板项目设置是指设备控制面板法度榜样的各项设置,重要用于隐蔽或禁止控制面板项目。在组策略左边窗口依次展开“用户设备”→“治理模板”→“控制面板”项,便可看到“控制面板”节点下面的所有设置和子节点。
1. 禁止拜访“控制面板”
假如您不欲望其他用户拜访计算机的“控制面板”,您只要运行组策略编辑器(gpedit.msc),在左侧窗格中逐极展开“‘本地计算机’策略”→“用户设备”→“治理模板”→
“控制面板”分支,然后将右侧窗格的“禁止拜访控制面板”策略启用即可。此项设置可以防止“控制面板”法度榜样文件(Control.exe)的启动。其成果是,他人将无法启动“控制面板”(或运行任何“控制面板”项目)。别的,这个设置将从“开端”菜单中删除“控制面板”。同时这个设置还从Windows 资本治理器中删除“控制面板”文件夹。
3、隐蔽或禁止“添加/删除法度榜样”项
展开“添加/删除法度榜样”项:双击启用“删除‘添加/删除法度榜样’法度榜样”设置项后,控制面板中的“添加/删除法度榜样”项将被删除。此外在“添加或删除法度榜样”对话框中共有3个页面
:“更改或删除法度榜样”、“添加新法度榜样”以及“添加/删除Windows组件”;而当你进入“添加新法度榜样”页面时,会发明有3个选项:“从CD-ROM或软盘添加法度榜样”、“从Microsof
t添加法度榜样”以及“从收集中添加法度榜样”,假如你想这些具体页面或选项隐蔽,可直接在组策略“添加/删除法度榜样”项中将响应隐蔽功能启用。
3、隐蔽或禁止“显示”项
展开“显示”项,发明这一项和上一项一样,可隐蔽“显示属性”对话框中的选项卡。这里就不细讲了,例如双击启用“隐蔽‘桌面’选项卡”后,“显示窗口”中将不再出现“
桌面”项。此外,在这里用户还可启用“删除控制面板中的‘显示’”,如许在控制面板
中双击打开“显示”项时,就会弹出一个对话框提示你:体系治理员禁止应用“显示”控制面板。
4、其他
自定义控制面板法度榜样:“隐蔽指定的控制面板法度榜样”或“只显示指定的控制面板法度榜样”,根据提示提示操作,隐蔽或显示控制面板项目.
依次展开“显示”→“桌面主题”项,双击启用“删除主题选项”、“阻拦选择窗口和按
钮式样”、“禁止选择字体大年夜小”项后,可阻拦他人更改主题、窗口和按钮式样、字体。展开“打印机”项,双击启用“阻拦添加打印机”或“阻拦删除打印机”可防止其余用户添加或删除打印机。最后,直接在“控制面板”一项下启用“禁止拜访控制面板”,控制
面板将无法启动。
三、体系项目设置
这一项在“用户设备”→“治理模板”→“体系”中设置(图15)。组策略中对体系的设
置涉及到登录、电源治理、组策略、脚本等很多项目,下面把和我们接洽慎密的部分清理出来分类列举如下:
1、登录时不显示迎接屏幕界面
Windows 2000和Windows XP体系登录时默认情况下都有迎接屏幕,固然漂亮但也麻烦且延
长登录时光,经由过程组策略便可将其除去。双击启用“体系”节点下的“登录时不显示迎接
屏幕”,则每次用户登录时迎接屏幕将隐蔽。
2、禁用注册表编辑器
为防止他人修改注册表,可在组策略中禁止拜访注册表编辑器。双击启用“体系”节点下的“阻拦拜访注册表编辑器”项后,用户试图启动注册表编辑器时,体系将提示:注册编辑已被治理员停用(图16)。别的,假如你的注册表编辑器被锁逝世,也可双击此设置,在弹出对话框的“设置”标签中点选“未被设备”项,如许你的注册表便解锁了。假如要防止用户应用其他注册表编辑对象打开注册表,请双击启用“只运行许可的Windows应用法度榜样
3、封闭体系主动播放功能
一旦你将光盘插入光驱中,Windows XP就会开端读取光驱,并启动相干的应用法度榜样。如许
固然给我们的工作带来了便利,在某些时刻也带来了不少麻烦。在“体系”节点下有一项为“封闭主动播放”设置项,双击其并在弹出对话框的“设置”标签中点选“已启用”,在“封闭主动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。
留意:此设置不阻拦主动播放音乐CD。
4、封闭Windows主动更新
每当用户连接到Internet,Windows XP就会搜刮用户计算机上的可用更新,根据设备的具体情况,鄙人载的组件预备好安装时或鄙人载之前,给用户以提示。假如你不爱好比尔老大年夜这种自作主意的立场,可经由过程组策略封闭这一功能。只须双击“体系”节点下的“Windows主动更新”设置项,在弹出来的对话框中点选“已禁用”并肯定即可。
5、删除义务治理器
若Windows XP用户已撤消“应用迎接屏幕”项,若同时按下“Ctrl+Alt+Del”键,便会弹出一个“Windows安然”对话框,此对话框中有“锁定计算机”、“刊出”、“关机”、“
更改暗码”、“义务治理器”、“撤消”6个功能按钮。大年夜家都知道这里的每个按钮对体系都起着关键的感化。为了阻拦别人操作,可经由过程组策略樊篱这些按钮。
找到“体系”下的“Ctrl+Alt+Del选项”,双击启用“删除义务治理器”、“删除‘锁定
计算机’”、“删除改变暗码”、“删除刊出”项便能樊篱掉落“Windows安然”对话框的“义务治理器”、“锁定计算机”、“更改暗码”、“撤消”4个功能按钮。
留意:“刊出”、“关机”两个菜单项的樊篱,在“用户设备”→“治理模板”→“义务
栏和‘开端’菜单”节点下。
四、隐蔽或删除Windows XP资本治理器中的项目
一向以来,资本治理器就是Windows体系中最重要的对象,若何高效、安然地治理资本也一向是电脑用户的不懈寻求。依次展开“用户设备”→“治理模板”→“Windows组件”→“Windows资本治理器”项,可以看到“Windows资本治理器”节点下的所有设置。下面就来
看看如何经由过程组策略实现资本治理器个性化
1、删除“文件夹选项”
“文件夹选项”是资本治理器中一个重要的菜单项,经由过程它可修改文件的查看方法,编辑
文件类型的打开方法。我们本身对其设定好后,为了防止他人随便更改,可将此菜单项删除,你只须双击启用“从‘对象’菜单删除‘文件夹选项’菜单”便能完成这一设置。2、隐蔽“治理”菜单项
在资本治理器中右键单击“我的电脑”出现的快捷菜单中有一个“治理”菜单项,经由过程此
菜单项,可以打开一个包含“事宜查看器”、“本地用户和组”、“设备治理器”、“磁
盘治理”等浩瀚对象的“计算机治理”窗口。为了保障你的计算机免受他人无意破坏,可经由过程双击启用“隐蔽Windows资本治理器高低文菜单上的‘治理’项目”项来樊篱此菜单项。
3、其他项目标隐蔽
此外经由过程启用“隐蔽‘我的电脑’中的这些指定的驱动器”可隐蔽你指定的驱动器。还可
经由过程启用“‘网上邻居’中不含‘全部收集’”樊篱掉落“全部收集”项。双击启用“删
除
CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的文件移到
‘收受接收站’”则今后删除文件时将不进入收受接收站直接删除掉落。当然还有不少项目这里没有
讲到,大年夜家可根据须要自行商量,进行恰当的设备。
五、IE浏览器项目设置
在组策略左边窗口中依次展开“用户设备”→“治理模板”→“Windows组件”→“Internet Explorer”项,在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子
节点。IE是Windows XP自带的网页浏览器,也是大年夜多半用户采取的浏览器,但其安然性也
为人所诟病,下面就经由过程组策略来对其进行“改革”。
1、限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,须要对浏览器的保存功能进行限制应用,那么若何才能实现呢?具体办法为:选择“用户设置”→“治理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”分支,然后将右侧窗格中的“‘文件’菜单
:禁用‘另存为…’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’
菜单:禁用‘源文件’菜单项”和“禁用高低文菜单”等策略项目启用即可。
别的,假使您不欲望别人对IE浏览器的设置进行随便更改,您只要将“‘对象’菜单:禁用‘Internet选项…’”策略启用即可。别的,根据您小我的须要,在该窗格中还可以对
其他项目进行禁用。
2、给对象栏减肥
假使您要隐蔽对象栏中的对象按扭,具体办法是:选择“用户设置”→“治理模板”→“Windows组件”→“Internet Explorer”→“对象栏”分支,然后在右侧窗格中双击“配
置对象栏按扭”策略,弹出“设备对象栏按扭属性”窗口,在“设置”选项卡中选择“已启用”单选按扭,将列表中将要显示按扭名称前面的复选框打上勾选标记,若要隐蔽某些按扭,则不要将其前面的复选框进行勾选。然后单击“肯定”按扭即可
3、在IE对象栏添加快捷方法
不知道大年夜家留意到了没有,不少软件在安装完之后都邑在IE对象栏上添加图标,单击其便
能启用响应法度榜样。其实用组策略可以在IE对象栏上为任何法度榜样添加快捷方法,这里举例说
明若何添加一个ICQ的启动图标。展开“Internet Explorer保护”下的“浏览器用户界面”,双击“浏览器对象栏自定义”设置项,在弹出来的对话框中单击“添加”按钮,在“
浏览器对象栏按钮信息”对话框的“对象栏标题”中输入:ICQ,在“对象栏操作”中输入D:FunICQLiteICQLite.exe,然后再随便选择一个“色彩图标”和“灰度图标”,当然
你也可以用ExeScope等来提取ICQ的图标)。单击“肯定”后IE对象栏中便多了一个ICQ 图标!
4、让IE插件不再骚扰你
我们平常上彀浏览网页时,总会弹出一些诸如“是否安装Flash插件”、“是否安装3721网络实名”的提示,就像告白窗口一样烦人。实际上我们可在组策略中经由过程启用“Internet Explorer”节点下的“禁用Internet Explorer组件的主动安装”来禁止这种提示的出现
。不过有时这一功能也是很用的,所以在禁止此功能之前请稍加推敲。
5、保护好你的小我隐私
一般经由过程单击IE对象栏上的“汗青”按钮,便可懂得以前浏览过的网页和文件。为保密起
见,你可以经由过程双击启用“Internet Explorer”节点下的“不要保存比来打开文档的记录”和“退出时清除比来打开的文档记录”两个设置项,如许再单击IE对象栏上的“汗青”按钮,你拜访过的汗青网页记录将全部消掉。
6、禁止修改IE浏览器的主页
假如不欲望他人对你的主页进行修改,可启用“Internet Explorer”节点下的“禁用更改
主页设置”设置项禁止别人更改你的主页。你也可经由过程拜访“浏览器菜单”,启用个中的
设置项对IE浏览器的若干菜单项进行樊篱。最后,在“Internet控制面板”节点下,你还可对“Internet选项”对话框中的部分选项卡进行隐蔽。
假使启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“惯例”选项卡的“主页”区域的设置将变灰。
特别提示:假如设置了位于“用户设备”→“治理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用惯例页”策略,则无需设置该策略,因为“禁用惯例页”策略将删除界面上的“惯例”选项卡。
7、禁用导入和导出收藏夹
禁止用户应用“导入/导出领导”菜单项导入或导出收藏夹链接。用户设备治理模板Windows 组件Internet Explorer。
假如启用该策略,“导入/导出领导”菜单项将无法导入/导出收藏夹链接和Cookie。假如
禁用该功能或纰谬其进行设备,则用户可以经由过程单击“文件”菜单上的“导入和导出”菜
单项,然后运行“导入/导出领导”,导入/导出IE中的收藏夹。
留意:假如启用该策略,用户仍然可以查看“导入/导出领导”,但当用户单击“完成”按
钮时,将出现解释该功能已被禁用的提示信息。
六、体系安然/共享/权限设置
自有计算机以来,安然一向就是人们存眷的核心问题,Windows XP也不例外。在组策略中,体系安然设备一般在“计算机设备”→“Windows设置”→“安然设置”中进行。
1、暗码策略
这一策略在“账户策略”→“暗码策略”节点中设备。口令是体系安然的一大年夜隐患,可通
过组策略设置暗码(口令)的最小长度:双击启用“暗码必须相符复杂性请求”设置项,肯定后双击“暗码长度最小值”设置项,在弹出来的对话框中将暗码长度最小值设为8或更大年夜,如许今后设置账户暗码时就必须输入8位以上,安然性就高多了。
2、用户权力指派
展开“本地策略”→“用户权力指派”节点,在右边窗口中便能看到“用户权力指派”节点下的所有设置。合适地指派用户权力可以解决一些奇怪的问题,例如在局域网中应用Wi ndows XP体系的同伙一般会发明一个奇怪的现象,那就是即使你启用guest用户并赐与权限,局域网中的其他Win9X操作体系的用户照样无法拜访Windows XP体系中的共享资本。这个
问题可在组策略中经由过程修改有关设置解决:双击“用户权力指派”节点下的“拒绝从收集
拜访这台计算机”设置项,在弹出对话框中点选“guest”,然后单击“删除”,最后肯定
即可。在“用户权力指派”节点下还可给用户添加很多权限,例如给guest添加长途关机权
限、给一般用户添加更改体系时光的权限。
3、文件和文件夹设置审核
Windows XP Professional可以应用审核跟踪用于拜访文件或其他对象的用户账户、登录尝试、体系封闭或从新启动以及类似的事宜。审核文件、文件夹(只实用于NTFS文件体系)可以包管文件和文件夹的安然。在审核产生之前,您必须应用“组策略”指定要审核的事件类型。为文件和文件夹设置审核的步调如下。
a.单击选择“开端”→“运行”敕令,在弹出的“运行”对话框中键入“gpedit.msc”命令,然后单击“肯定”按扭即可;当然你也可以在桌面上创建一个响应的快捷方法。
b.在弹出的“组策略”窗口中,逐级展开右侧窗格中的“计算机设备”→“Windows设置”→“安然设置”→“本地策略”分支,然后在该分支下选择“审核策略”选项。
c.在右侧窗格顶用鼠标双击“审查对象拜访”选项,在弹出的“本地安然策略设置”窗口中,将“本地策略设置”框内的“成功”和“掉败”复选框都打上勾选标记。如图12所示。然后单击“肯定”按扭
d.用鼠标右键单击想要审核的文件(或文件夹)。选择快捷菜单的“属性”敕令,然后在
弹出的窗口中选择“安然”选项卡。
e.单击“高等”按扭,然后选择“审核”选项卡。
f.根据具体情况选择您的操作:
(1)假使对一个新组(或用户)设置审核, 请单击“添加”按扭,在“名称”框中键入新用户名,然后单击“肯定”按扭,将打开“审核项目”对话框。
(2)要查看(或更改)原有的组(或用户)审核, 选择用户名,然后单击“查看/编辑
”按扭。
(3)要删除原有的组(或用户)审核, 选择用户名,然后单击“删除”按扭即可。
g.如有须要的话,在“审核项目”对话框中的“应用到”列表中拔取您欲望审核的处所(“应用到”列表仅对文件夹有效)。
h.假如您想禁止目次树中的文件和子文件夹持续这些审核项目,选择“仅对此容器内的对
象和/或容器应用这些审核项”复选框。
假如在“审核项目”对话框中的“拜访”之下的复选框变暗,或在“拜访控制设置”对话框中“删除”按钮弗成用,那么解释已经持续了来自父文件夹的审核。
须要留意的是:必须是治理员构成员或在组策略中被授权有“治理审核和安然日记”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,您必须启用“组策略”中“审核策略”的“审查对象拜访”。不然,当您设置完文件、文件夹审核时会返回
一个缺点消息,并且文件、文件夹都没有被审核。经由过程事宜查看器(Event Viewer)可以
检查那些拜访审核过的文件和文件夹的成功或掉败的测验测验。
4、Windows 98拜访Windows XP共享目次被拒绝的问题解决
在局域网内,经常可以碰到装有Windows 2000的电脑开了共享目次,而装有Windows 98的
电脑却无法拜访的问题。这个在微软的官方网页上可以找到谜底,提示开启Windows 2000 的GUEST用户就行了。可是Windows XP出来今后,同样的又面对这个问题,成果有些人发明
这个办法不灵了,从网上邻居拜访Windows XP的共享目次不必定能被许可。原因安在?这个问题本也困扰过我好几天,后来在无意中发清楚明了问题的谜底,也许这是Windows XP 的一
个BUG?
在开启了体系Guest用户的情况下,运行组策略编辑器法度榜样,在“本地计算机策略”→“计
算机设备”→“Windows设置”→“安然设置”→“本地策略”→“用户权力指派”→“拒绝从收集拜访这台计算机”中赫然可以看到有Guest用户!假如在这里删除Guest用户,那么其他电脑就可以从网上邻居中查看这台电脑的共享目次了
5、阻拦拜访敕令提示符
计算机上运行。地位:用户设备治理模板体系假如启用这个设置,用户试图打开命
令窗口,体系会显示一个消息,解释设置阻拦这种操作。
留意:假如计算机应用登录、刊出、启动或封闭批文件脚本,不防止计算机运行批文件;也不防止应用终端办事的用户运行批文件。
6、阻拦拜访注册表编辑对象
该策略将禁用Regedit.exe,以禁用Windows注册表编辑器。如许可以很大年夜程度防止网页上
的恶意代码修改IE。地位:用户设备治理模板体系假如这个设置被启用,并且用户试
图启动注册表编辑器,解释设置禁止这类操作的消息会出现。要防止用户应用其他体系管理对象,请应用“只运行许可的Windows应用法度榜样”策略设置。
弥补
1.禁止法度榜样后组策略无法应用
可以经由过程以下办法来恢复设置:从新启动计算机,在启动菜单出现时按F8键,在Windows高
级选项菜单中选择“带敕令行提示的安然模式”选项,然后在敕令提示符下运行mmc.exe。在打开的“控制台”窗口中,依次点击“文件→添加/删除治理单位→添加→组策略→添加→完成→封闭→肯定”,如今已经添加了一个组策略控制台,接下来把本来的设置改回来,然后从新进入Windows即可。
2、从“我的电脑”中删除共享文档
当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资本治理器的Web 视图
涌如今“其他地位”和“在这台计算机上存储的其他文件”中。应用此设置,你可选择不显示这些项目。
本地计算机策略——>用户设备——>治理模板——>Windows组件——>Windows资本治理器
假如启用此设置,“共享文档”文件夹将不会以Web视图方法显示或在“我的电脑”中出现。假如禁用或不设备此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会
以Web视图方法显示或在“我的电脑”中出现。
组策略应用案例探析
组策略应用案例 实验环境 BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置 1所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序,比如计算器,画图等。 3 配置域用户所有IE的默认设定为本企业网站,保证员工打开IE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 5保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源。 6 关闭2003的事件跟踪,公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。 9取消自动播放,以防止插入U盘有病毒,自动运行病毒 10 除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。
实验目的 1所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 4所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放 10 管理员可以使用本地连接-属性,任何域用户帐号不可使用. 实验准备 1 一人一组 2 准备两台Windows Server2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24
(完整)域组策略--+域控中组策略基本设置
(完整)域组策略--+域控中组策略基本设置 编辑整理: 尊敬的读者朋友们: 这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)域组策略--+域控中组策略基本设置)的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。 本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)域组策略--+域控中组策略基本设置的全部内容。
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!—-—-—gpmc.msi (工具) 使用:运行---〉gpmc。msc 如下键面: 文件夹重定向: 1。在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!)
2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组
3.用本地用户登录机器查看! 禁止卸载: 1。权限domain user + 管理模板(相当于改动注册表!!)
2.再把控制面板里的“添加删除程序"禁用
禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb。adm 2. 3。 4。
常用AD组策略设置
常用AD组策略设置 利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。 根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。 下面是实际操作演示: ?AD域控制器:Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序 打开“https://www.360docs.net/doc/fd6888715.html,”域下组织单位“北京”的属性(如下图): 可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.360docs.net/doc/fd6888715.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是: copy bssec.scr c:\windows\system32 即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。打开“https://www.360docs.net/doc/fd6888715.html,”域的属性(如下图): 可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
Windows环境中组策略处理优先级详解
Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后是链接到其子 组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响: GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
win7组策略编辑器设置
win7组策略怎么打开? 首先,在开始-运行中输入“gpedit.msc”,然后回车,打开组策略编辑器。依次点击“用户配置”→“管理模板”→“Windows 组件”即可 win7组策略编辑器设置 从Windows 2000开始,组策略就是配置Windows的有效工具。其实严格说起来,组策略编辑器中的大部分配置都可以直接修改注册表实现,不过很明显,通过组策略编辑器进行修改,更加直观,而且也不容易出错。因此很多Windows用户都已经习惯了使用组策略对Windows的一些高级设置进行配置。 Windows 7中新增了大量新的功能,同时组策略编辑器中也包含了更多内容。想知道这些新增的内容对我们有什么用吗?一起来看看吧。 提示:下文是以测试版的Windows 7RC2 Ultimate为基础撰写的,因此和正式版中可能会有所不同。另外,win7的家庭版没有组策略编辑器功能。 控制硬件设备的安装 这是一个很吸引人的功能。现在很多公司都不希望员工使用闪存盘或者MP3随身听之类可以通过计算机的USB接口传输文件的设备,因为这很容易导致公司的机密数据丢失。传统的预防办法最常见就是将计算机上的USB接口堵死,但这种“硬”方法也造成了一些问题,导致其他使用USB接口的设备,例如键盘和鼠标都无法使用。那么有没有不那么“强硬”的方法?这时候可以考虑使用Windows 7的组策略了。 通过组策略实现的目标 通过Windows 7的组策略,对硬件设备的安装将可以达到下列限制: ● 只有指定类型的设备可以安装,其他未指定设备一律无法安装。 ● 只有指定的具体硬件可以安装,其他未指定的硬件一律无法安装。 ● 所有可移动设备都无法安装。
组策略应用大全
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
组策略(gpedit.msc)学习
组策略(gpedit.msc)学习 习背景:组策略就是修改注册表中的配置。当然,组策略使自己更完善计算机的管理组织方法,可以对 各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大. 学习目的:熟悉组策略的使用,完善计算机的管理与设置 学习步骤:组策略的启动,组策略的实际例子操作讲解,安全防范,组策略的保护! 地计算机配置对应注册表 HKEY_LOCAL_MACHINE 本地用户配置对应注册表 HKEY_CURRENT_USER 访问本地组策略的方法有两种: 第一种方法是命令行方式:“开始”→“运行”→“gpedit.msc”→“确定”刚才我们演示的 (gpedit.msc我们可以在系统盘中找到“C:\WINNT\SYSTEM32\gpedit.msc”) 第二种方法是通过在MMC控制台中选择GPE插件来实现: “开始”→“运行”→“mmc”→“确定”→“文件”→“添加/删除管理单元”→“独立”→“添加”→“添加独立管理单元”→"组策略对象编辑器" 大家看到了吧!这样也是可以的,只是麻烦了点!继续讲解啊! “本地计算机策略” | |——“计算机配置” 对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运 | | 行环境都起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块” | | |——“用户配置”对当前用户的系统配置进行设置的,它仅对当前用户起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块”
下面我们就用实际的例子来学习组策略这个超级工具!(因为组策略的功能太多,太强大!所以我就选择 其中有代表性的例子进行讲解!一一讲解的话,你可以与我QQ联系,我一一讲解,这里不耽误大家时间) (任何事情都是有起因的,呵呵) 事件一.起因:我们想不让别人使用我们的CMD(命令)与REGEDIT(注册表),所以我想删除“运行” 因为我们运行CMD与REGEDIT多是在运行菜单下进行的操作如下(涉及2个知识点) 我们在实验之前看看我们的运行菜单他还好好的在那里!! 知识点1.“任务栏”和“开始”菜单相关选项的删除和禁用 (1)在“本地计算机”策略中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略 !我们现在看看他没了运行菜单没了 删除“运行”那么操作如下: 用户配置”→“管理模板”→“任务栏和「开始」菜单”→从开始菜单中删除运行→已启用→确定 那么我们想禁止使用CMD与REGEDIT的话是不是就已经成功了呢!带着疑问我们看看! 没有运行菜单了是不是就是我的实验成功了呢????是不是就是不可以运行CMD与REGEDIT了呢?? 我们接着看看大家可以看得懂我的操作是什么吧就是运用BAT文件运行CMD与REGEDIT 我们的命令提示符出来了说明我们没有成功! 没有成功!继续深入! 知识点2.禁止使用CMD与REGEDIT (2)在“本地计算机”策略中,逐级展开“用户配置”→“管理模板”→“系统”分支。 在右侧我们可以看到“阻止访问命令提示符”和“阻止访问注册表编辑工具”双击“已启用”确定 检验结果!
组策略设置系列篇之“安全选项”2
组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录:不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置,不显示上次成功登录的用户的名称。如果禁用此策略设置,则显示上次登录的用户的名称。 “交互式登录:不显示上次的用户名”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。 对策:将“不显示上次的用户名”设置配置为“已启用”。 潜在影响:用户在登录服务器时,必须始终键入其用户名。 交互式登录:不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置,用户登录时无需按此组合键。如果禁用此策略设置,用户在登录到Windows 之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录:不需要按CTRL+ALT+DEL”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策:将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
如何设置常用组策略
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
组策略禁止客户端软件安装及使用
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:
(2)组策略的配置及使用
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重
Windows操作系统组策略应用全攻略
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
组策略怎么打开,组策略编辑器命令
什么是组策略:所谓组策略就是配置计算机中某一些用户组策略的程序,由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具,在组策略中管理员可以管控诸如:禁止运行指定程序、锁定注册表编辑器、阻止访问命令提示符、禁止修改系统还原配置、修改用户组密码等等; 组策略编辑器命令是什么,组策略怎么打开: 点击“开始”菜单——>选择“运行”——>输入“gpedit.msc”(不含引号)——>点击确定即可打开组策略; 假如您在网吧或局域网中权限受限,导致无法打开组策略,您还可以这样操作,在桌面新建一个文本文档TXT——>打开文本文档,输入“gpedit.msc”(不含引号)——>点击左上角“文件”——>选择“另存为”——>将“保存类型”设置为“所有文件”——>将“文件名”设置为“组策略.bat”——>点击“保存”——>在桌面上双击“组策略.b at” 程序,弹出cmd命令提示符后即可自动启动“组策略”; 假如您在运行中输入“gpedit.msc”后,系统提示“Windows找不到文件xxxxx。请确定文件名是否正确后....”;您可以这样操作,首先点击“开始”菜单——>选择“运行”——>输入“mmc”——>点击确定,打开“控制台1”窗口——>点击“文件”—— >选择“添加\删除管理单元”——>点击下方的“添加”按钮——>在“可用的独立管理单元”中找到并选中“组策略对象编辑器”—— >点击“添加”——>点击“完成”即可——>再通过在运行中输入“gpedit.msc”打开组策略;
组策略怎么打开——>通过在运行窗口中输入“gpedit.msc”;组策略编辑器命令——>gpedit.msc;假如组策略运行异常,请使用上述方法尝试打开组策略。
Windows组策略应用大全
Windows组策略应用大全.txt9母爱是一滴甘露,亲吻干涸的泥土,它用细雨的温情,用钻石的坚毅,期待着闪着碎光的泥土的肥沃;母爱不是人生中的一个凝固点,而是一条流动的河,这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows?9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows?2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active?Directory?对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet?Explorer策略设置。 3)Wmplayer.adm:用于Windows?Media?Player?设置。 4)Conf.adm:用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows?9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
2003系统域的组策略应用详解_
域网络构建教程(4)组策略 古人云:运筹帷幄之中,决胜千里之外。这大概就是用兵的最高境界了吧! 作为一个生于和平年代的网络管理人员,这辈子带兵是没戏了。不过在域环境的帮助下,这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的XP系统上一直存在,通过在运行栏中输入gpedit.msc就可以启动本地计算机的组策略编辑器。截图如下: 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器,所见 即所得一直都是微软的看家本领啊。 有了域环境之后,通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中,我感觉这种管理与控制几乎覆盖了使用中的方方面面,反正现在我只要在域控制器上动动手指头,就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的,有兴趣的可以在看完本文后自己实践一下(后果自负哈)。
闲话少说,书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器,注意这里不能使用gpedit.msc(那是编辑本机策略的),而要打开“开始——程序——管理工具——Active Directory用户和计算机”。 截图如下: 在打开的窗口中选择你的域名,并在其上右击选择属性,然后在弹出的属性对话框中选择组
策略。现在你就会看到默认域策略——Default Domain Policy,截图如下: 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy,这样便于我们随时恢复到系统默认的设置。呵呵,留条出迷宫的路,是所有操作前的必修课。 默认的不让动,那我们怎么编辑组策略呢?答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机,注意组织单位将是一个我们经常使用的划分方式,组策略可以按层次模式很好的在其上运行,这样也便于对今后一定会日趋复杂的组策略进行有效的管理。 注意这里我提到了层次模式,组策略是可以按层次逐级继承的。这不但可以使策略设置简洁 明了,出了问题还便于排查错误。 为了演示这种层次模式,我新建一个名为“用户和计算机”的组织单位,并将原来的两个组
如何进入组策略编辑器
如何打开组策略编辑器 开始-->运行:gpedit.msc 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 方法一、怎么打不开EXE文件了?是不是中病毒了?对于程序打不开菜鸟的第一反应就是认为中病毒了,其实是通过设置把EXE文件运行禁止了。这和哪里的设置有关系?你想要的答案就是组策略。组策略可是博大精深,里面包含了系统,软件还有网络安全的有关设置,之前说的那个状况就是禁止了EXE文件的运行配置。 开始讲太深奥菜鸟可能吃不消,先说简单的,怎么打开组策略。在开始菜单运行那里输入gpedit.msc,然后确定,
就可以进入到组策略的操作界面。组策略包括计算机陪孩子,软件配置,用户配置三大配置,其中三大配置里面又包含许多的小配置。该文先让菜鸟弄懂怎么进入组策略的,高手可以回避。 运行输入gpedit.msc 进入组策略界面
方法二、除了上面这种进入组策略的方法,还有一种就是通过控制台进入组策略。同样在运行那里输入mmc命令,进入控制台界面。在控制台文件那下拉菜单选中添加删除/管理单元,点击进去,来到添加/删除管理界面,点击添加按钮,添加独立管理单元。
组策略以及来宾用户权限的设置
组策略以及来宾用户权限的设置
组策略以及来宾用户权限的设置 我都是用组策略来实现这个目的的具体用法如下(简单的)Windows 2000/XP/2003 组策略控制台 如果是Windows 2000/XP/2003 系统,那么系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”命令项,输入gpedit.msc 并确定,即可运行程序。 使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机 组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体步骤如下: 1)打开Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC
并回车,运行控制台程序)。 2)在“文件”菜单上,单击“添加/删除管理单元”。 3)在“独立”选项卡上,单击“添加”。4)在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。 5)在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象,或通 过单击“浏览”查找所需的组策略对象。 6)单击“完成”,单击“关闭”,然后单击“确定”。组策略管理单元即打开要编辑 的组策略对象。 对于不包含域的计算机系统来说,在上面第5 步的界面中,只有“计算机”标签,而没 有其他标签项目。
通过上面的方法,我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置功能,让管理员的工作更轻松和高效。 在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态,Windows 2000/XP/2003 组策略管理控制台同样也有三种状态,只不过名字变了。它们分别是:已启用、未配置、已禁用。 四、“桌面”设置 Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我 们的贴身秘书,让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例: 位置:“组策略控制台→用户配置→管理模板→桌面”
Windows操作系统组策略应用全攻略
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。
组策略编辑器相关文件
如何打开组策略编辑器? 答:运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 答:1:看是不是注册表中锁住了组策略“HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer”,把“RestrictRun”的键值改为0即可。 2:开始--运行--MMC--文件--添加删除治理单元--添加--组策略--添加,后面的你应该会了。看你要开哪个策略,就添加哪个策略。 一、桌面项目设置
1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、爱护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止操纵面板项目 1. 禁止访问“操纵面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务治理器 四、隐藏或删除Windows XP资源治理器中的项目 1、删除“文件夹选项” 2、隐藏“治理”菜单项 五、IE扫瞄器项目设置
1、限制IE扫瞄器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、爱护好你的个人隐私 6、禁止修改IE扫瞄器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核 4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“治理模板”→“桌面”节点,便能看到 有关桌面的所有设置。此节点要紧作用在于治理用户使用桌面的权利和隐藏桌面图标。