组策略命令指南

组策略（Group Policy）是一个

分层的基础设施，它让网络管理

员可以掌控微软的活动目录

（Active Directory），针对用

户和计算机执行特定的配置。组

策略还能用来制定机器级别的用

户、安全和网络策略。在本期服

务器技术手册中，我们将介绍常

用的组策略命令，并提供一些设置实践。

什么是组策略？

什么是组策略？什么是组策略管理控制台？什么是gpresult？不管你对活动目录组策略是很陌生，还是经验相当丰富，下面都是你需要掌握的信息。

定义活动目录组策略：你应该知道的术语

快问快答：为什么组策略设置很重要

Windows Server 2012组策略的五大改进

组策略命令

从Windows Server 2008开始，诞生了组策略的PowerShell命令，它们可以更加简化组策略的管理过程。下面是一些你需要掌握的组策略命令。

组策略常用的五大Power Shell命令

能替换Windows登录脚本的五个组策略参数

组策略命令指南

五个您必须立刻实施的组策略选项

组策略实战

本部分介绍组策略的配置与管理实践。

备份Windows Server 2008组策略

五大技巧助你优化活动目录组策略性能

使用组策略管理虚拟桌面上的Office

如何使用组策略集中管理系统配置？

配置Windows 7审计与组策略设置

实战：利用微软组策略配置应用程序

实战：利用微软组策略配置打印机

定义活动目录组策略：你应该知道的术语

不管你对活动目录组策略是很陌生，还是经验相当丰富，如果试图得到正确理解，您来对地方了。

这个组策略术语表会让你了解与组策略有关的所有重要术语，从RSoP到GPMC 以及介于两者之间的。

什么是组策略？

你可能比较熟悉组策略的概念：是管理员用来管理活动目录基础设施中企业用户、桌面和服务器配置的一种技术。有了组策略，用户可以自动连接最近的打印机，并享受其他全新的机会。

什么是组策略管理控制台？

组策略管理控制台是管理员用来管理组策略对象的接口。它提供了AD用户和计算机、网站和服务、访问控制列表编辑器和授权的概述。

什么是策略的结果集？

RSoP记录活动目录中的所有组策略的设置，解释了设置是怎样作用网络，或者GPO如何影响网络上的用户的。

什么是gpresult？

与RSoP有关，gpresult是一种命令行工具，显示了RSoP根据用户的组策略设置。

什么是组策略对象？

组策略对象是一个设置的集合，包括系统的设定，用户和AD基础设施的交互方式。在Windows Server 2012 和Windows 8中，管理员可以设置针对Metro的GPO，就像为菜单使用定义的颜色。

什么是组策略首选项？

在Windows Server 2008及更新版本中，组策略首选项是访问组策略管理控制台的扩展，包括映射驱动器和打印机以及先进的文件夹设置。

想要知道其他更多的有关组策略的术语吗？请留下您的评论，或者通过Twitter @WindowsTT。更多有关IT定义，请点击https://www.360docs.net/doc/f714680216.html,。

快问快答：为什么组策略设置很重要

微软的组策略基础设施允许IT管理员使用活动目录指定计算机配置，而且能够在机器级别使用组策略为用户、应用以及网络设置策略。组策略对象以及组策略设置对于在桌面以及服务器级别维护安全性至关重要，但是你应该知道它们存在的限制。

为什么使用组策略限制对控制面板的访问？

除控制面板中的用户账户控制特性之外，IT管理员应该知道如何使用组策略锁定控制面板。这能够防止用户对机器进行未授权的改变。组策略同样对保护Outlook 2010、调整本地管理组以及管理活动目录有帮助。

如何使用组策略设置管理桌面？

尽管大多数IT人士关注的是企业网络的安全，但是不要忘了对端点，比如桌面以及移动设备进行监控。例如，你可以使用组策略自动进行磁盘加密。BitLocker是内置在Windows中的一个全磁盘加密程序。BitLocker需要用户输入密码访问在可移动磁盘，比如U盘上的文件。

为了正确地管理桌面，做好进行桌面审计以发现组织所拥有的IT资产。请注意不同版本的Windows系统组策略对象以及组策略设置有所不同。组策略能够限制桌面小工具的使用并为IE8提供安全设置。

组策略设置能够为管理虚拟桌面提供帮助吗？

组策略对象编辑器允许IT专业人员修改Office的配置以及安全设置，如果不采用组策略对象编辑器的话只能通过修改注册表才能达到这一目的。管理虚拟桌面基础设施，你只需要学会使用用于客户端部署的Office定制工具以及以及Office 2010的管理模板。

例如，组策略对象使管理员能够通过文件夹重定向限制虚拟桌面乃至开始菜单。此外，管理员有使用组策略保护网络端点的方法，但是组策略对象并不兼容所有的移动设备。

Windows Sever的组策略安全性有哪些改变？

请注意应该对Windows Server 2008的组策略进行定期备份。活动目录和组策略对象是非常有用的保护Windows Server 2008 R2设备工具。

Windows Server 2012 测试版（之前称为Windows Server 8 测试版）具有大量的组策略设置，同时还对组策略管理控制台的分发更新，活动目录网络的报告提供以及管理设置同步特性进行了改进。有些组策略对象是专门为Windows 8及其Metro界面而设计的。

Windows Server 2012组策略的五大改进

在Windows Server 2012 beta（之前叫做Windows Server 8 beta）版本中，有超过4560个组策略可用－有旧有新。此外，还有可用的组策略基础设施改进和组策略管理控制台。

下面讲到的五大领域可以帮助你测试兼容性并理解Windows 8客户端和服务伙伴如何共同工作：

组策略更新选项包含在组策略管理控制台中。在个体机上，你不用再像之前一样发布笨重的命令行刷新命令,像gpupdate /force，你可以在图形中选择组织单元来进行组策略更新。这实际上意味着，你可以马上从内控制台点击刷新，而不需要等一个半小时来在整个网络中刷新。你可以只针对组织单元里的电脑，但是刷新本身会中断用户和计算机部分组策略对象(GPOs)的重新下载。在幕后，这个选择会在目标组织单元的每一个计算机中产生两个列表形式的任务。要能正常工作，域控制器需要能够在计算机上生成列表任务，所以每个系统上的防火墙需要有相应的配置。

在网络动态目录中轻松监视的组策略基础设施状态报告。在组策略管理控制台中，有一个叫做“Infra Status”新标签。（作为一个机械的完美主义者，我希望微软将扩展这个很囧的简称，但我离题了。）这个标签上的信息显示了动态目录和系统磁碟区（使用分布式文件系统复制服务）复制的与组策略有关的域的状态。以前，你必须得查看每个服务器上的系统磁碟区状态，问题从来不会以一种特别容易解决的方式自己冒出来。

因为AD复制是让组策略正确适用于域内的关键，这将最终成为一个非常方便的故障诊断工具。

基于组策略的同步设置管理。 Windows 8家庭的一个新增功能是可以让用户通过一个云基础的同步服务，如苹果的iCloud服务，将一个Windows Live ID和其他的所有文件进行绑定，设置等等。当用户从一个设备访问另一个设备时，输入他们的ID，参数和文件就可以用了。设想这是一个巨大的配置文件跨安全边界工作。当然，企业管理者将会提防企业机器上授权太多的个人喜好而引发的问题，在Windows Server 2012上有7个新的GPOs将会控制这一功能。设置同步选项的组策略选项路径：计算机配置>管理模板>窗口组件>同步设置。

新的Internet Explorer政策。你现在可以直接从Windows Server 2012的组策略管理控制台处理Internet Explorer 9的首选项。IE的其他新功能包括防止密码泄漏（也是Windows 8 和IE 10的新功能）、需要使用增强保护模式（只针对64-bit 下的Internet Explorer）、增强保护模式下防止ActiveX在的较小的安全环境中运行、取消Windows 8“删除浏览历史记录设置”功能，等等。

Windows 8和Metro风格的GPOs。你可以定制Windows 8 的新特征行为，像解除锁定画面、关闭PIN登录、关闭图片密码登录、定制默认Metro程序包的部署和激活方式、使用某个颜色作为开机背景、关掉跟踪程序、关闭Windows 8 应用商店和定制视窗显示形式。

组策略常用的五大Power Shell命令

对于组策略的管理，传统的方式是通过组策略管理控制台（GPMC）来进行。使用图形界面（GUI）让管理员对数千个组策略选项的管理轻松了许多。然而，从Windows Server 2008开始，诞生了组策略的PowerShell命令，它们可以更加简化组策略的管理过程。

Get-GPO

Get-GPO命令可以检索到每一个组策略对象（GPO）的所有信息。而且可以根据GPO的名称，GPO的GUID来检索组策略信息，也可以使用-all选项来检索域中的所有组策略。虽然你会觉得通过GPMC也能获取这些信息，但是命令的输出还能列出一些通常会错过的信息，如GPO的所有者，它的创建时间，最后的修改时间以及启用还是禁用的信息。在网络中对于组策略问题进行排错时，这些信息将至关重要。

Backup/Restore-GPO

虽然可以通过系统状态的备份来对GPO进行备份，但是通过一个专门的任务对组策略进行单独备份也是一个不错的主意，毕竟这会让GPO的恢复变得更加容易。幸运的是，使用PowerShell命令backup-GPO就可以做到。与Get-GPO协作，可以根据GPO的名称，GUID或者使用-all选项来指定备份的GPO。这个命令最有用的部分是可以使用PowerShell脚本来定时进行备份：

Backup-Gpo -Name CompanyGPO -Path C:\GPO-Backup -Comment "Monthly Backup"

Restore-GPO命令可以将GPO还原到指定的域。然而，如果你使用backup-GPO 和restore-GPO命令来迁移组策略对象，需要保证Windows Server2008操作系统版本的一致性。也就是说，Windows Server 2008 R2的GPO将只能由Windows Server 2008 R2进行恢复。

Get-ResultantSetOfPolicy

很久以前，GPMC就都可以提供组策略的结果报告，这对于组策略的规划和记

录来说都是一个非常有用的工具。如果你使用PowerShell命令get-ResultantSetOfPolicy，也可以迅速得到组策略的结果，而且报告可以是HTML的格式。例如，如果你想检查一个特定的用户在特定的计算机上组策略设置的结果，可以运行以下的命令，命令的结果会产生一个所有信息的HTML文档：

Get-GPResultantSetofPolicy -user domain\https://www.360docs.net/doc/f714680216.html,er -reporttype html -path c:\GPO-Reports\UserGPOReport.html

使用所有提到的cmdlet，PowerShell还能够提供一种额外的管理能力，那就是将这些命令脚本化，并按照计划执行，这样就可以更有效的监控组策略基础架构的运行状况。

Set/Remove – GPLink

GPLink的cmdlet可以让你创建和删除GPO与OU之间的关联关系。虽然在GPMC中执行这项任务也非常容易，但是cmdlet还可以提供另一个方便的管理工具。假如你需要一个GPO只是在每个月的某一天运行，其它时间禁止运行。可以在这一天计划运行GP link命令将GPO和需要的OU关联起来，并在这一天结束前将GPO的关联删除，整个过程系统自动处理，无需手工运行。你还可以使用其它GPO 命令与GPLink的cmdlet进行组合，通过使用管道命令执行remote-GPLink，以下示例就是如何指定一条组策略或继承组策略，然后删除其链接：

(Get-GPInheritance -Target "ou=CompanyOU,dc=domain,dc=com").GpoLinks | Remove-GPLink

Get-GPPermissions

组策略有时会应用失败的原因之一是因为在GPO上不正确的权限设置。Get-GPPermissions cmdlet会生成详细的报告，报告中会显示GPO的访问控制列表（ACL）以及应用的权限。所以，如果你想准确的了解谁对某个GPO有权限，可以使用下列命令：

Get-GPPermissions -Name CompanyGPO -TargetName "Company" - TargetType Group

命令会给出以下的输出：

Trustee: Domain Users

TrusteeType: Group

PermissionLevel: GpoRead

Inherited: False

你能看到ACL中的所有对象，包括所有的管理组和系统组。在应用GPO时，有这样一个简单的输出，就可以非常容易的排除任何基于权限的问题。

能替换Windows登录脚本的五个组策略参数

你还在使用Windows登录脚本？它们不再是Windows管理员进行桌面配置控制的恶梦了。因为组策略参数几乎能完成所有登录脚本能做的事情。

下面是五个组策略参数GPP供你参考。

Drive Maps

很多IT组织仍然只使用登录脚本，因为有映射驱动并共享的能力。直到有了GPP，登录脚本成为关联这些驱动与具体的用户和组的最简便方式。登录脚本就跟用户执行登录似的，因为添加网络共享到脚本让其成为H：驱动映射到主文件夹，和S：驱动映射到共享文件夹。添加一点条件式的脚本逻辑，就可将驱动基于每个用户的身份进行映射。

Drive Maps是在组策略对象的用户配置下发现的GPP。创建你自己的GPP就可以映射相同的驱动给用户，但不会有恶意的脚本。

Environment variables

不是每个用户都需要设置Environment variables（环境变量），也不是每个应用也都需要。因此，许多登录脚本需要一些相当复杂的登录来确认基于用户、机器，甚至应用的变量设置。

GPP极大简化了该过程。在组策略对象的Computer Configuration half中，环境变量能预先配置。甚至，通过给每个GPP基于文件匹配项目层次目标打上标签，可确保环境变量只适用于包含这些应用需要的计算机。

Files

就算要与设置没有存储在注册表中的应用工作，这些设置在一个还是多个文件呢？仍有大量应用使用文件来存储它们的信息和具体用户的信息。文件很重要，因为易于工作，文件也很难，如果大量大用户需要在大量机器上配置。

组策略参数中的preferences强调了一个事实：GPP不需要强制执行。使用GPP定义用户的或应用的初始配置是可能的，也是推荐使用的，然后用户就可以根据需要进行更改。

文件不是在GPO找到的GPP。这个GPP能从源复制文件到目的位置。对于那些需要它们的应用来说，这绝对是复制文件最有用的方式。只需创建初始配置，添加文件到GPP，就可看见它自动分发到任何相关的计算机。如果你想给用户提供最佳体验而不是各种限制的话，只需检查Apply对话框一次，并在GPP通用表下不再申请即可。

Registry

尽管仍然有一些应用程序使用配置文件，但目前大多数都开始使用Windows注册表。在GPP之前，改变注册表是极其困难的，特别是遇到HKEY_CURRENT_USER hive时。

GPP通过HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER再次解除锁定应用程序配置。你会在GPO里发现注册表GPP支持Computer Configuration half和 User Configuration half。

然而，控制注册表值最难的一部分往往是只能找到它们。软件包装工具可以来帮忙。软件包装工具分析系统的两个快照，一个在应用程序之前，另一个在最后。通过检查这两个快照之间的差异，包装工具可以确定安装时修改了哪些文件和注册码。

你可以利用相同的方法找出一个应用程序设置对应哪个注册表值。技巧：安装初始快照与应用程序。更改应用程序设置，然后做第二个快照。任何改变都是进入注册GPP引起的。

Printers

你认为自己很聪明，因为你已经发布打印机到活动目录，但即使是最精确的打印机结构仍然可以让用户困惑。为什么不自动地找到最近的打印机呢？

你可以在GPP中使用打印机，连接电脑或用户的一半GPO中。你还需要借助每台计算机上的一些设置在识别计算机生命。常见的是它的子网。

如果你的网络工程师已经断开子网，您可以在GPP的项目级别导向中使用该网络。将该网络作为一个IP地址范围添加，下一次用户登录时，就会自动连接到离他们最近的打印机。

GPPs不算是新技术了。随着Windows Server 2008的发布就已经存在了。该技术比较稳定，使用简单方便，随时随地使用，不需要额外的软件（或插件）。

如果你还没有花时间使用这个非常有用的管理办法，可以考虑一下。加上项目级别导向，他们是最终消除那些令人讨厌的登录脚本很好的方法。

五个您必须立刻实施的组策略选项

作为微软集中管理解决方案的组策略今年将庆祝它的10周岁生日。在管理上让人感到惊奇的是，微软并没有因为这个方案增加额外的成本，我仍然对组策略在当今的IT界没有得到足够的使用而感到诧异。它在同Windows 2000 Server一起发布后，通过10年的研讨会、会议讲座、书籍以及培训而变得很显然。

在Windows Server 2008的功能集合里面添加了新的组策略选项(GPPs)。在这样一篇文章中，可能不必解释GPPs是什么以及它们是如何工作的，重要的是这些“可选的（如果您想要这样的话）”的配置项目是如何实际地帮助Windows域解决问题的。

在这篇文章中，我将为您介绍五个我认为必须添加的策略。在以后的文章中，我将深入介绍如何使用GPPs来处理计划和当前任务，消除您的登录脚本（这是每个人都想要的！）以及配置电源选项的一些细节。在这个系列中，我们不会介绍如何去使用GPP，您会清楚地看到，在今天的生产环境中，到底是如何去使用它们的。

考虑到这一点，让我们来看看那五个必须实现的组策略选项。一旦您明白了它们能做什么，您一定会发现，它们非常适合您的环境。

用户配置 | 因特网设置

第一个设置可能是到目前为止最痛苦的一个集中设置。基于其原始的界面以及完全的成功需要客户能实际保持您想要的设置，通过传统的组策略对Internet Explorer（IE）的内部设置进行配置历来就是一个噩梦。

早先Internet Explorer维护控制台的问题围绕于传统的组策略本身的局限性。使用该工具配置IE设置可以让您从一个样机（即正在运行控制台的机器）导入客户设置——真的没有其它东西了。这种错综复杂的接口往往强迫管理员在仅仅试图去查看什么设置被配置时，无意地进行了更改。

通过基于您想要配置的版本，对实际的IE属性屏幕的操作，会让对组策略选项（GPPs）的配置设置变得更符合逻辑。此外，GPPs可以在保持一些选项为必须

的同时，让一些设置为可选。它们也有精确和易于使用的定位能力，以确保您将正确的设置发送到合适的计算机。

用户配置 | 驱动映射

在一个没有对组策略选项提供支持的环境里，之所以保留登录脚本，其最大的原因是对驱动映射的需要。用户习惯于将H:作为主驱动，S:作为共享驱动（或其它任何您记住的名字）。当他们更换计算机时，需要对驱动器名进行重新设置，这让他们很沮丧。

使用用户配置下的驱动映射GPP，可以确保目标驱动器是基于它们是谁而不是它们在哪儿映射到用户集合。这对传统的需要手写并针对特定机器的登录脚本来说是一个大大的改进。

进一步讲，组策略选项不仅能创建并管理驱动映射，而且当您完成工作或者需要进行更改时，也可以对其进行移除。使用GPPs，您可以简单地通过修改驱动映射下的资源，来对其进行重配置。由于组策略处理延迟时间很少，您的用户会拥有一个几乎无缝地访问所需数据的解决方案。

计算机配置 | 服务

在计算机配置下还会发现另外一个用于管理服务，以及它们的启动模式、账户和恢复选项的增强工具。

如果您有一个需要对服务进行特别管理的安全政策或者兼容规则（在如今谁不需要这么做了？），您会发现服务GPP显著地提高了服务被正确配置的保证度。这个组策略选项有一个属性对话框，呈现域内的知名服务，为配置提供区域，并像所有的CPPs一样可以被设为可选或者所需的配置以及非常具体的任务。

此外，如果您的审核员需要看到您正确配置服务的可核实的证据，能用您的CPP设置本身来确切地看到：什么服务被锁定了、其原因是什么。

计算机配置 | 本地用户和组

几乎每一个IT环境中，都有将客户的用户和组转移到本地用户和组控制台以进行管理的需求。虽然每一个用户或者他/她的计算机都有个别的需求，几乎每一个环境都想将一个“本地IT”全局组添加到管理员组，以确保非域的技术人员可以对桌面进行访问。

用其它工具做这个历来就很难。许多环境都纠结于，在外出时，将组任务添加到他们的参考图像或者构建过程这一问题。一些更聪明的解决方案利用脚本来解决问题。

通过使用标记到本地计算机的组策略选项，您现在可以利用一个简单的屏幕就将正确的用户和组添加到目标计算机。有了这个控制台，您只需要添加组名和它们的成员，然后为GPP设置合适的计算机权限。接着，您就可以获取所需的访问，并可以在长期内确保其存在。

用户配置 | 数据源

最后是为数据库驱动应用程序配置数据源这个多年的顽疾。即使是最坚毅的IT专业人员在回忆如何正确的设置计算机的ODBC连接时，有时也会抓头皮。但当您可以一次创建一个ODBC连接并提供给需要它的用户时，对于单独配置又何必担忧了？

这种配置可能伴随着用户配置下的数据源。使用这个控制台，可能可以创建ODBC连接、它的DSN、驱动、属性和登录信息，并立马标记到使用的应用程序需要连接的人。如果您的风格是操作大片的机器，也可将数据源作为计算机配置下的一个组策略选项。

这五个GPPs可以作为您的开始，但它们仅仅是组策略选项可以提供的集中配置的一小部分……没有什么代价！在我的下一篇文章中，我将更进一步地介绍任务GPP的细节。您会发现使用这个控制台（以及一点指令）的计划活动是非常容易的。

备份Windows Server 2008组策略

Windows Server 2008组策略是windows域管理中最为主要的安全机制之一。这项机制在很多场合都能起到作用，从软件分发到控制面板里的哪个选项可以供哪个用户使用，都可以通过组策略来管理。可以想象的到，作为这样一个复杂的机制，有许多组策略配置信息需要提前设定。大多数企业花了大量的时间和精力来完成组策略方面的配置及其优化过程。正因为如此，以应对对其设置的无意改变或者数据丢失的备份操作显得尤为重要。在做出改变前对组策略进行备份是一件很推荐的做法，然而每天的备份则显得没那么重要。

备份Windows Server2008组策略的重要性

一些IT从业人员认为对组策略的备份没有那么重要。

当我们在Windows 2008或者Windows 2008 R2上部署好组策略之后，组策略就被放置到中心存储的位置上。中心存储是一个特殊的位置以自动复制到域环境中各个域控制器的目录。通过这样的方式，每个域控制器都有一份组策略的拷贝。中心存储位置存放在Windows 2008或者Windows 2008 R2版本

的 %Systemroot%\SYSVOL\domain\Policies里。

理解了这些内容之后，我们可以一起看看有关备份Windows 2008组策略的一些讨论。一个值得讨论的地方就是，组策略内容既然已经会自动复制到多个域控制器上，那么就没有必要对它进行备份了。另外一个方面的声音是，既然已经对超过一台域控制机器进行了全备份，那么组策略相关信息应该也得到了备份。

需要承认的是，任何域控制器的全备份都会包含组策略信息的备份，但针对组策略的单独备份则会更方便管理和恢复。

在需要恢复组策略信息的时候，用户需要了解的恢复是一个完整的过程，也就是说需要恢复的话不能仅恢复其中一部分。意思是，恢复的内容不会和现有的组策略内容结合在一起，而是会完全覆盖这些内容。

一个假设的环境

假设有人改变了默认组策略的内容然后导致了问题的产生。通常我们会选择查看事件日志来判断改变的内容有哪些以及之前的键值原本是怎么样的。

让我们同时假设多个组策略内容同时被改变了，我们对问题的原因也无从下手，除了知道默认组策略是问题的源头。让我们假想一下管理员恢复了昨晚对域控制器备份的组策略相关信息。

这样的话问题就出现了。如果我们看A图，可以看到的是Windows 2008 R2上的中心存储。中心存储的概念是来自微软的一个词汇，指的是特定的位置。单个的策略信息存放在加密的子文件夹内，而不是策略定义文件夹中。策略定义文件夹是为策略模板而保留的。对每个组策略目标，都有相应的文件夹并有着一个加密后的名字。在大规模环境下，这样的文件夹可能会有成百上千个。通常来说，如果你需要恢复一个组策略信息设置，通常需要手动打开每个单独文件夹内的XML文件，然后判断究竟哪个符合组策略目标是需要恢复的。

用上述方法显然是不可行的。对组策略指定自定义的备份计划是一个不错的主意。对管理员来说，他们可以很方便的管理备份，并且需要恢复的时候也可以很方便的知道哪个是需要恢复的内容。

图表A（点击图片查看大图）

中心存储包含了每个组策略的一份拷贝。

备份及组策略的恢复是一个简单的过程。在备份组策略的时候，首先需要打开组策略管理控制台，之后导航到组策略管理|<森林>|域|域名|组策略目标。然后，右键组策略容器再选择快捷菜单中的备份所有内容，如图表B所示。

图表B（点击图片查看大图）

在快捷菜单上，选择备份所有内容。

选择备份所有内容后，Windows会跳出一个备份目的地窗口，然后会看到一个可选项，如图表C。

图表C（点击图片查看大图）

组策略应用案例探析

组策略应用案例 实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置 １所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。 ２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 ５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒 １0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的 １所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 ４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放 １0 管理员可以使用本地连接-属性,任何域用户帐号不可使用． 实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

组策略详解

组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号：大中小 组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是 打开控制台，将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也 是本文的重中之重。

电脑命令提示符大全

winver 检查Windows版本 wmimgmt.msc 打开Windows管理体系结构(wmi) wupdmgr Windows更新程序 wscript Windows脚本宿主设置 write 写字板 winmsd 系统信息 wiaacmgr 扫描仪和照相机向导 winchat xp自带局域网聊天 mem.exe 显示内存使用情况 msconfig.exe 系统配置实用程序 mplayer2 简易widnows media player mspaint 画图板 mstsc 远程桌面连接 mplayer2 媒体播放机 magnify 放大镜实用程序 mmc 打开控制台 mobsync 同步命令 dxdiag 检查directx信息 drwtsn32 系统医生 devmgmt.msc 设备管理器 dfrg.msc 磁盘碎片整理程序 diskmgmt.msc 磁盘管理实用程序 dcomcnfg 打开系统组件服务 ddeshare 打开dde共享设置

dvdplay dvd播放器 net stop messenger 停止信使服务 net start messenger 开始信使服务 notepad 打开记事本 nslookup 网络管理的工具向导 ntbackup 系统备份和还原 narrator 屏幕“讲述人” ntmsmgr.msc 移动存储管理器 ntmsoprq.msc 移动存储管理员操作请求 netstat -an （tc）命令检查接口 syncapp 创建一个公文包 sysedit 系统配置编辑器 sigverif 文件签名验证程序 sndrec32 录音机 shrpubw 创建共享文件夹 secpol.msc 本地安全策略 syskey 系统加密，一旦加密就不能解开，保护Windows xp系统的双重密码services.msc 本地服务设置 sndvol32 音量控制程序 sfc.exe 系统文件检查器 sfc /scannow windows文件保护 tsshutdn 60秒倒计时关机命令 tourstart xp简介（安装完成后出现的漫游xp程序） taskmgr 任务管理器 eventvwr 事件查看器

XP组策略命令大全(一)

XP组策略命令大全 如何打开组策略编辑器？ 答：运行里输入gpedit.msc 系统里提示没有打开组策略这条命令？ 答：1：看是不是注册表中锁住了组策略 “HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。 2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加。任务栏和开始菜单设置详解 用户配置-管理模板-任务栏和开始菜单 从「开始」菜单删除用户文件夹 隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。其它项目出现，但文件夹会被 隐藏。 这个设置是为了转发文件夹而设计的。被转发的文件夹会出现在「开始」菜单的主要区域中。但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。因为两个同样的文件夹可能会让用户觉得混乱，您可以使用这个设置来隐藏用户指定文件夹。 请注意这个设置会隐藏所有的用户指定文件夹，不光是被转发的用户指定文件夹。 如果您启用这个设置，在「开始」菜单中的上方区域不会出现任何文件夹。如果用户将新文件夹加入「开始」菜单，文件夹会出现在用户配置文件的目录中，但不会出现在「开始」菜单中。 如果停用或不配置这个设置，Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。 删除到“Windows Update”的访问和链接 防止用户连接到Windows Update网站。 这个设置阻止用户访问地址为: https://www.360docs.net/doc/f714680216.html,的Windows Update 网站。这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update超链接。 Windows Update 为Windows 的联机扩展，提供软件更新以使用户的系统保持最新。Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。 还可参阅“隐藏‘从Microsoft 添加程序’选项”设置。 从「开始」菜单删除公用程序组 在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。 默认情况下，程序菜单包括从所有用户配置文件项目和用户配置文件项目。如果您启用这项设置，只有用户配置文件上的项目会出现在程序菜单上。 窍门: 要查阅在所有用户配置文件中的程序菜单项目，请在系统驱动器上转到Documents and Settings\All Users\Start Menu\Programs。

MS DOS 命令大全以及如何在doc下运行java程序

MS DOS 命令大全以及如何在doc下运行java程序 一、基础命令 1 dir 无参数：查看当前所在目录的文件和文件夹。 /s：查看当前目录已经其所有子目录的文件和文件夹。 /a：查看包括隐含文件的所有文件。 /ah：只显示出隐含文件。 /w：以紧凑方式（一行显示5个文件）显示文件和文件夹。 /p：以分页方式（显示一页之后会自动暂停）显示。 |more：前面那个符号是“\”上面的那个，叫做重定向符号，就是把一个 命令的结果输出为另外一个命令的参数。more也是一个命令，dir /w |more 得到的结果和dir /w /p的结果是一样的。 其他的参数大家可以用：dir/?查看。 2 cd cd 目录名：进入特定的目录。如果看到有个目录显示为：abcdef ghi 就 输入：cdabcdef.ghi进入该目录。 cd\ 退回到根目录。 cd..退回到上一级目录。 3 md rd md 目录名：建立特定的文件夹。（dos下面习惯叫目录，win下面习惯叫文件夹。呵呵！） rd 目录名：删除特定的文件夹。 4 cls 清除屏幕。 5 copy copy 路径\文件名路径\文件名：把一个文件拷贝到另一个地方。 6 move move 路径\文件名路径\文件名：把一个文件移动（就是剪切+复制）到另一个地方。 7 del del 文件名：删除一个文件。 del *.*：删除当前文件夹下所有文件。 del不能删除文件夹。 8 deltree 删除文件夹和它下面的所有子文件夹还有文件，厉害。。。不要乱用。

9 format format x: ：x代表盘符，格式化一个分区。在dos下是用fat文件系统格式 化的，在windows2000安装的时候会问你要不要转换为ntfs。 10 type type 文本文件名：显示出文本文件的内容。 11 edit 其实这是个小程序，编辑文本文件用的。 12 ren ren 旧文件名新文件名：改文件名。 二、关于网络的常用命令 1 ping ping 主机ip或名字：向目标主机发送4个icmp数据包，测试对方主机是否收到并响应，一般常用于做普通网络是否通畅的测试。但是ping不同不代表网络不通，有可能是目标主机装有防火墙并且阻止了icmp响应。 ping -t ：不停的发送数据包。当然都很小，不能称作攻击。有些人自己写 了一些类似于ping命令的程序，不停的发送很大的数据包，以阻塞目标主机的网络连接。 2 net 建议是用net /?获取具体帮助信息。实在是有很多参数，参数下面还有参 数。常用：net view \\主机来看共享，net start/stop 服务来启动和停 止服务，信使服务个人不太喜欢。 3 netstat netstat 主机：查看主机当前的tcp/ip连接状态，如端口的状态。 4 nbtstat nbtstat 主机：查看主机使用的NetBIOS name。 5 tracert tracert 主机：查看从你自己到目标逐机到底经过了那些路径。如： tracert https://www.360docs.net/doc/f714680216.html,然后等待。。。就会看到你经过的一个个路由节 点，一般大一点的路由器，如电信的主干路由，除了ip以外，都有英文标示的。 6 pathping pathping 主机：类似tracert，但可以显示一些tracert不能显示出来的信 息。可以自己试试。

(2)组策略的配置及使用

一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 （1）通过控制台访问组策略 （2）对用户设置密码策略 （3）对用户设置登录策略 （4）退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型：本地和非本地。 本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。 非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

CMD本机常用命令大全

CMD本机常用命令大全 cleanmgr–打开磁盘清理工具compmgmt.msc－－－计算机管理 conf—-启动netmeeting charmap–－启动字符映射表 calc—-启动计算器 chkdsk.exe–－Chkdsk磁盘检查 cmd.exe–－CMD命令提示符 certmgr.msc–证书管理实用程序 cliconfg–SQL SERVER 客户端网络实用程序Clipbrd–－剪贴板查看器 ciadv.msc–－－索引服务程序 dvdplay–－DVD播放器 diskmgmt.msc－－－磁盘管理实用程序dfrg.msc–磁盘碎片整理程序 devmgmt.msc－－－设备管理器 drwtsn32–－－系统医生 dxdiag–－－检查DirectX信息 dcomcnfg–打开系统组件服务 ddeshare–打开DDE共享设置 explorer–打开资源管理器

eventvwr–事件查看器 eudcedit–造字程序 fsmgmt.msc–－共享文件夹管理器 gpedit.msc–－组策略 iexpress–***工具，系统自带 logoff–注销命令 lusrmgr.msc–本机用户和组 mstsc–远程桌面连接 Msconfig.exe－－－系统配置实用程序 mem.exe–－显示内存使用情况（如果直接运行无效，可以先运行cmd，在命令提示符里输入mem.exe>d:a.txt 即可打开d盘查看a.txt，里面的就是内存使用情况了。当然什么盘什么文件名可自己决定。）mplayer2–简易widnows media player mspaint–－画图板 mplayer2–媒体播放机 magnify–－放大镜实用程序 mmc—-－打开控制台 mobsync–－同步命令 notepad–－打开记事本 net start messenger–开始信使服务 net stop messenger–－停止信使服务 net stop messenger–－停止信使服务

win+R 命令大全

Win +R 命令大全 常用命令已经做好了标记，如有统计不周敬请见谅！ Nslookup－－－－－－－IP地址侦测器 explorer－－－－－－－打开资源管理器 logoff－－－－－－－－注销命令 tsshutdn－－－－－－－60秒倒计时关机命令 lusrmgr.msc－－－－－本机用户和组 services.msc－－－－－本地服务设置 oobe/msoobe /a－－－－检查XP是否激活 notepad－－－－－－－－打开记事本 cleanmgr－－－－－－－**整理 net start messenger－－－－开始信使服务 net stop messenger－－－－－停止信使服务 compmgmt.msc－－－－－计算机管理 conf－－－－－－－－－－－启动netmeeting dvdplay－－－－－－－－DVD播放器 charmap－－－－－－－－启动字符映射表 diskmgmt.msc－－－－磁盘管理实用程序 calc－－－－－－－－－－－启动计算器 dfrg.msc－－－－－－－磁盘碎片整理程序 chkdsk.exe－－－－－Chkdsk磁盘检查 devmgmt.msc－－－设备管理器 regsvr32 /u *.dll－－－－停止dll文件运行 drwtsn32－－－－－－系统医生 rononce －p －－－－15秒关机 dxdiag－－－－－－－－－检查DirectX信息 regedt32－－－－－－－注册表编辑器 Msconfig.exe－－－系统配置实用程序 rsop.msc－－－－－－－组策略结果集 mem.exe－－－－－－－－显示内存使用情况 regedit.exe－－－－注册表 winchat－－－－－－－－XP自带局域网聊天 progman－－－－－－－－程序管理器 winmsd－－－－－－－－－系统信息 perfmon.msc－－－－计算机性能监测程序 winver－－－－－－－－－检查Windows版本 sfc /scannow－－－－－扫描错误并复原 taskmgr－－－－－任务管理器（2000／xp／2003） wmimgmt.msc－－－－打开windows管理体系结构(WMI)

组策略的基本知识

一、组策略的基本知识 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。 本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。 访问本地组策略的方法有两种：第一种方法是命令行方式；第二种方法是通过在MMC 控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动 您只需单击选择“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。（注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。） 在打开的组策略窗口中，可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。另外，您或许已经注意到，左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成，并且这两者中的部分项目是重复的，如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢？这里的“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。例如，二者都提供了“停用自动播放”功能的设置，如果是在“计算机配置”中选择了该功能，那么所有用户的光盘自动运行功能都会失效；如果是在“用户配置”中选择了此项功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。设置时需注意这一点。 2、将组策略作为独立的MMC管理单元打开 若要在MMC控制台中通过选择GPE插件来打开组策略编辑器，具体方法如下： （1）单击选择“开始”→“运行”命令，在弹出的对话框中键入“mmc”，然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。 （2）选择“文件”菜单下的“添加/删除管理单元”命令。 （3）在“添加/删除管理单元”窗口的“独立”选项卡中，单击“添加”按扭。 （4）弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”选项，单击“添加”按钮。 （5）由于是将组策略应用到本地计算机中，故在“选择组策略对象”对话框中，单击“本地计算机”，编辑本地计算机对象，或通过单击“浏览”按扭查找所需的组策略对象（6）单击“完成”→“关闭”→“确定”按扭，组策略管理单元即可打开要编辑的组策略对象。 特别提示：倘若您希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。 二、“任务栏”和“开始”菜单相关选项的删除和禁用 在“…本地计算机?策略”中，逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略。 1、给“开始”菜单瘦瘦身 如果您觉得Windows XP的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜

windors系统运行命令大全

windors系统运行命令大全 winver---------检查Windows版本 wmimgmt.msc----打开windows管理体系结构(WMI) wupdmgr--------windows更新程序 wscript--------windows脚本宿主设置 write----------写字板 winmsd---------系统信息 wiaacmgr-------扫描仪和照相机向导 winchat--------XP自带局域网聊天 mem.exe--------显示内存使用情况 Msconfig.exe---系统配置实用程序 mplayer2-------简易widnows media player mspaint--------画图板 mstsc----------远程桌面连接 mplayer2-------媒体播放机 magnify--------放大镜实用程序 mmc------------打开控制台 mobsync--------同步命令 dxdiag---------检查DirectX信息 drwtsn32------ 系统医生 devmgmt.msc--- 设备管理器 dfrg.msc-------磁盘碎片整理程序 diskmgmt.msc---磁盘管理实用程序 dcomcnfg-------打开系统组件服务 ddeshare-------打开DDE共享设置 dvdplay--------DVD播放器 net stop messenger-----停止信使服务 net start messenger----开始信使服务 notepad--------打开记事本 nslookup-------网络管理的工具向导 ntbackup-------系统备份和还原 narrator-------屏幕“讲述人” ntmsmgr.msc----移动存储管理器 ntmsoprq.msc---移动存储管理员操作请求 netstat -an----(TC)命令检查接口 syncapp--------创建一个公文包 sysedit--------系统配置编辑器 sigverif-------文件签名验证程序 sndrec32-------录音机 shrpubw--------创建共享文件夹 secpol.msc-----本地安全策略 syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码services.msc---本地服务设置 Sndvol32-------音量控制程序

计算机运行命令大全

开始-运行-命令大全 1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 4. explorer-------打开资源管理器 5. logoff---------注销命令 6. tsshutdn-------60秒倒计时关机命令 7. lusrmgr.msc----本机用户和组 8. services.msc---本地服务设置 9. oobe/msoobe /a----检查XP是否激活 10. notepad--------打开记事本 11. cleanmgr-------垃圾整理 12. net start messenger----开始信使服务 13. compmgmt.msc---计算机管理 14. net stop messenger-----停止信使服务 15. conf-----------启动netmeeting 16. dvdplay--------DVD播放器 17. charmap--------启动字符映射表 18. diskmgmt.msc---磁盘管理实用程序 19. calc-----------启动计算器 20. dfrg.msc-------磁盘碎片整理程序 21. chkdsk.exe-----Chkdsk磁盘检查 22. devmgmt.msc--- 设备管理器 23. regsvr32 /u *.dll----停止dll文件运行 24. drwtsn32------ 系统医生 25. rononce -p ----15秒关机 26. dxdiag---------检查DirectX信息 27. regedt32-------注册表编辑器 28. Msconfig.exe---系统配置实用程序 29. rsop.msc-------组策略结果集 30. mem.exe--------显示内存使用情况 31. regedit.exe----注册表 32. winchat--------XP自带局域网聊天 33. progman--------程序管理器 34. winmsd---------系统信息 35. perfmon.msc----计算机性能监测程序 36. winver---------检查Windows版本 37. sfc /scannow-----扫描错误并复原 38. taskmgr-----任务管理器（2000／xp／2003 39. winver---------检查Windows版本 40. wmimgmt.msc----打开windows管理体系结构(WMI) 41. wupdmgr--------windows更新程序 42. wscript--------windows脚本宿主设置 43. write----------写字板

电脑运行命令大全

外部命令其实就是一些可执行的文件（.exe文件）,程序文件（.com 文件），和批处理文件（.bat），也包括微软后来更新windows installer 后而以.msi命名的文件 常见的运行命令有 winver检查Windows版本 dxdiag检查DirectX信息 mem.exe显示内存使用情况 Sndvol32音量控制程序 sfc.exe系统文件检查器 gpedit.msc 组策略 regedit.exe 注册表 Msconfig.exe 系统配置实用程序 cmd.exe CMD命令提示符 chkdsk.exe Chkdsk磁盘检查 mem.exe显示内存使用情况 gpedit.msc 组策略 regedit.exe 注册表 Msconfig.exe系统配置实用程序 cmd.exe CMD命令提示符 services.msc 服务 lusrmgr.msc 本地账户管理 drwtsn32 系统医生 cleanmgr 整理 iexpress 木马捆绑工具，系统自带 mmc 控制台

dcpromo 活动目录安装 ntbackup 系统备份和还原 rononce -p 15秒关机 taskmgr任务管理器 conf 启动netmeeting devmgmt.msc 设备管理器 diskmgmt.msc NT的磁盘管理器 compmgmt.msc 计算机管理 winchat 局域网聊天 dvdplay DVD播放器 mplayer2 简易widnows media player mspaint 画图板 nslookup 网络管理的工具 syskey 系统加密，一旦加密就不能解开，保护windows xp系统的双重密码 wupdmgr WIDNOWS UPDATE Clipbrd 剪贴板查看器 Odbcad32 ODBC数据源管理器 Nslookup IP地址侦测器 编辑本段开始运行命令集锦 winver---------检查Windows版本 wmimgmt.msc----打开windows管理体系结构(WMI) wupdmgr--------windows更新程序 wscript--------windows脚本宿主设置

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

组策略命令(全)

组策略命令大全(全) 如何打开组策略编辑器？ 答：运行里输入gpedit.msc 系统里提示没有打开组策略这条命令？ 答：1：看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。 2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加，后面的你应该会了。看你要开哪个策略，就添加哪个策略。 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器 四、隐藏或删除Windows XP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核

4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。例如要删除“我的文档”，只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“ 隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。 2、禁止对桌面的改动 利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后，用户将不能保存对桌面的更改。最后，双击启用“隐藏和禁用桌面上的所有项目”设置项，将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目，连桌面右键菜单都将被禁止。 3、启用或禁止活动桌面 利用“Active Desktop”项，可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。 4、给“开始”菜单减肥 Windows XP的“开始”菜单的菜单项很多，可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收 藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的 音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法：在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项，在弹出对话框的“设置”标签中点选“已启用”，然后单击“确定”，这样在“开始”菜单中“我的文档”图标将会隐藏。 5、保护好“任务栏”和“开始”菜单的设置 倘若不想随意让他人更改“任务栏”和“开始”菜单的设置，只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样，当用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，提示信息是某个设置禁止了这个操作。 二、隐藏或禁止控制面板项目

域组策略应用详解

Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

电脑运行代码大全

开始菜单中的“运行”是通向程序的快捷途径，输入特定的命令后，即可快速的打开Windows 的大部分程序，熟练的运用它，将给我们的操作带来诸多便捷。 开始菜单--运行--CMD--输入指令 下面就是指令winver 检查Windows 版本wmimgmt.msc 打开Windows 管理体系结构(wmi) wupdmgr Windows 更新程序wscript Windows 脚本宿主设置write 写字板winmsd 系统信息wiaacmgr 扫描仪和照相机向导winchat xp 自带局域网聊天mem.exe 显示内存使用情况msconfig.exe 系统配置实用程序mplayer2 简易widnows media player mspaint 画图板mstsc 远程桌面连接mplayer2 媒体播放机magnify 放大镜实用程序mmc 打开控制台mobsync 同步命令 dxdiag 检查directx 信息drwtsn32 系统医生devmgmt.msc 设备管理器dfrg.msc 磁盘碎片整理程序diskmgmt.msc 磁盘管理实用程序dcomcnfg 打开系统组件服务ddeshare 打开dde 共享设置dvdplay dvd 播放器 net stop messenger 停止信使服务net start messenger 开始信使服务notepad 打开记事本nslookup 网络管理的工具向导ntbackup 系统备份和还原narrator 屏幕“讲述人” ntmsmgr.msc 移动存储管理器ntmsoprq.msc 移动存储管理员操作请求netstat -an (tc)命令检查接口 syncapp 创建一个公文包sysedit 系统配置编辑器sigverif 文件签名验证程序sndrec32 录音机shrpubw 创建共享文件夹secpol.msc 本地安全策略syskey 系统加密，一旦加密就不能解开，保护Windows xp 系统的双重密码services.msc 本地服务设置 sndvol32 音量控制程序 sfc.exe 系统文件检查器 sfc /scannow windows 文件保护tsshutdn 60 秒倒计时关机命令tourstart xp 简介（安装完成后出现的漫游xp 程序）taskmgr 任务管理器 eventvwr 事件查看器eudcedit 造字程序explorer 打开资源管理器 packager 对象包装程序perfmon.msc 计算机性能监测程序progman 程序管理器 regedit.exe 注册表rsop.msc 组策略结果集regedt32 注册表编辑器rononce -p 15 秒关机regsvr32 /u *.dll 停止dll 文件运行regsvr32 /u zipfldr.dll 取消zip 支持 cmd.exe cmd 命令提示符chkdsk.exe chkdsk 磁盘检查certmgr.msc 证书管理实用程序calc 启动计算器charmap 启动字符映射表cliconfg sql server 客户端网络实用程序clipbrd 剪贴板查看器conf 启动netmeeting compmgmt.msc 计算机管理cleanmgr 垃圾整理ciadv.msc 索引服务程序 osk 打开屏幕键盘odbcad32 odbc 数据源管理器oobe/msoobe /a 检查xp 是否激活lusrmgr.msc 本机用户和组logoff 注销命令 iexpress 木马捆绑工具，系统自带nslookup ip 地址侦测器fsmgmt.msc 共享文件夹管理器utilman 辅助工具管理器

如何设置常用组策略

如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏