组策略GPO设置2008

域环境下共享文件夹加密、Windows 2008 Server局域网共享文件夹设置权限设置的方法当前，国内很多企事业单位处于网络统一管理和网络安全的需要，通常会组建域环境，将局域网内部电脑全部加入到域里面进行控制。

毋庸置疑，通过Windows域控制器可以集中管理局域网电脑使用权限、统一推送补丁或分发各种策略，从而极大地保护了局域网网络安全，也规范了网络管理。

同时，在很多企事业单位局域网中，通常都有自己的局域网文件服务器，并且经常共享一些文件供局域网用户访问。

虽然通过域控制器可以设置局域网电脑访问共享文件的相关权限，一定程度上保护共享文件的安全。

那么，域环境下如何设置服务器共享文件的安全呢？具体如下：比如我们现在新来了一个员工李斯我们需要为他配备电脑，安装office，配置邮箱，文件共享驱动的映射等诸多事项。

那么我们可以利用组策略为员工添加文件共享服务器的映射驱动，同时也会对该用户访问权限也会随之生效1.我们需要为新员工奖励域账户，并添加到所属部门的 ou（人事）2.还需要在文件共享服务器为其添加相应的访问权限。

3. 开始-管理工具-组策略管理4.选择-人事（ou）-邮件点击-在这个域中创建GPO并在此处链接5.输入GPO名称“人事文件映射驱动”点击-确定6.选择GPO 人事文件映射驱动右键-点击编辑7.选择用户配置-首选项-windows设置-驱动器映射-右键点击新建-点击映射驱动器8.编辑新建驱动器属性，在本属性中的设置直接关系到能否正确的发布驱动器，所以我们要细细的分析一下。

在此类型的下拉列表中提供了四个选择：创建、替换、更新和删除。

组策略的应用结果会因选定的操作以及驱动器号是否已经存在而异。

[创建]：为用户创建新的映射驱动器。

[替换]: 删除并重新创建用户的映射驱动器。

“替换”操作的最终结果是覆盖与映射驱动器相关的所有现有设置。

如果驱动器映射不存在，则“替换”操作会创建新的驱动器映射。

[更新]: 修改用户的现有映射驱动器的设置。

系统管理员必读之组策略要点——确保组策略正常运作的
GPO设置及启用绝招
Darren Mar-Elia; 欧阳宇（译）
【期刊名称】《《Windows IT Pro Magazine：国际中文版》》
【年(卷),期】2008(000)005
【摘要】无论是配置10台还是10，000台Windows服务器和台式机，组策略都能起到重要作用，在其帮助下用户可以及时完成任务，从而有时间享受生活。

但组策略的复杂程度常常导致这样的问题：系统管理员在修改组策略时由于不了解后果，结果让工作变得更加困难。

例如，现在要修改组策略对象（GPO）的“本地登录”用户以删除不必要的用户组，但该GPO原来应用于域中的所有用户，结果造成所有人都无法登录。

这种事情经常会发生。

【总页数】4页(P52-55)
【作者】Darren Mar-Elia; 欧阳宇（译）
【作者单位】
【正文语种】中文
【中图分类】TP316.86
【相关文献】
1.Windows组策略应用全攻略：组策略的设置技巧 [J],
2.使用Windows7或Windows Server2008R2时，如何通过PowerShell链接到组策略对象（GPO）？ [J],
3.使用Windows 7和Windows Server 2008 R2时，如何通过Power Shell创建组策略对象（GPO）？ [J],
4.灵活备份GPO组策略 [J], 刘进京
5.灵活备份GPO组策略 [J], 刘进京
因版权原因，仅展示原文概要，查看原文内容请购买。

（1）防止黑客建立IPC$空连接打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右边修改RestrictAnonymous为1.（2）账户问题。

首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次选中组策略编辑界面左侧列表中的"计算机配置"节点选项，再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Windows登录选项"分支选项，从目标分支选项下面找到"在用户登录期间显示有关以前登录的信息"目标组策略选项，并用鼠标双击该选项，进入如图8所示的选项设置界面；(图挂了你自己猜吧) 在该选项设置界面中检查"已启用"选项有没有被选中，倘若看到该选项还没有被选中时，我们应该重新选中它，再单击"确定"按钮保存上面的设置操作，这样的话Windows Server 2008服务器系统自带的显示以前登录信息功能就被成功启用了。

日后，当有危险登录行为发生在Windows Server 2008服务器系统中时，目标危险登录账号信息就会被Windows Server 2008系统自动跟踪记忆下来，网络管理员下次重启服务器系统时，就能非常清楚地看到上次登录系统的所有账号信息，其中来自陌生账号的登录行为可能就是危险登录行为，根据这个危险登录行为网络管理员应该及时采取安全措施进行应对，以便杜绝该现象的再次发生。

（3）加强连接安全保护Windows Server 2008服务器系统自带的防火墙功能比以往进步了不少，为了让本地系统中的所有网络连接安全性及时地得到Windows防火墙的保护，我们需要对该系统环境下的组策略参数进行合适设置，来让Windows Server 2008服务器系统下的所有网络连接都处于Windows防火墙的安全保护之中，下面就是具体的设置步骤：首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次将鼠标定位于组策略编辑界面左侧列表区域中的"计算机配置"节点选项上，再从该节点选项下面依次点选"管理模板"、"网络"、"网络连接"、"Windows防火墙"、"标准配置文件"组策略子项，在目标组策略子项下面，找到"Windows防火墙：保护所有网络连接"选项，并用鼠标双击该选项，进入如图7所示的选项设置界面；（图挂了你自己猜）检查该设置界面中的"已启用"选项是否处于选中状态，要是发现该选项还没有被选中时，我们应该及时将它选中，再单击"确定"按钮保存上述设置操作，那样的话Windows Server 2008系统下的所有网络连接日后都会处于Windows防火墙的安全保护之下了。

使用组策略文件系统为域客户端文件夹赋权
测试环境——Windows Server 2008 R2
方法
打开相应的组策略对象（GPO），依次点击计算机配置-------策略-----windows设置-----安全设置-----文件系统，点击文件系统，在页面右侧点击新建文件。

接下来的操作如下面几幅图所示。

注意一
“包括可以从该项的父项继承的权限”选项一定要勾上，不然本地账户对该文件夹的权限都没有了。

“包括可以从该项的父项继承的权限”勾选后，客户端是强制性的。

注意二
假如要将域的超级管理员予以授权，不要直接将“域名\administrator”添加到权限列表里面。

不知道为什么，客户端的反应是将本地的超级管理员添加到权限列表里面了。

甚是奇怪。

可以将“域名\administrator”所在的分组添加到权限列表里面。

WindowsServer2008组策略设置详解1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上生效。

计算机启动的时候应用，在出现登录界面前。

2 用户配置：针对用户的配置，只在所有用户帐户上生效。

用户登录后应用。

2、根据应用范围将组策略分为三类：1 域的组策略：设置对于整个域都生效。

在“AD用户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU生效。

在“AD用户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点生效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD 用户和计算机”中才能进入。

3、组策略的执行顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉用户配置4、组策略的冲突：1 在不同组策略中的同一项目的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。

再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。

2 冲突的结果：后执行的是结果。

5、组策略中的设置内容：1 软件安装：自动安装应用软件。

计算机配置和用户配置下都有。

准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。

将软件的源安装文件放到一个共享文件夹中。

（网络路径）A、已发行：由用户决定是否安装。

如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，自动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。

WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略，密码策略，密码过期默认42天服务账户设置成永不过期，帐户锁定策略，本地策略，审核策略，计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。

1.在⼯作组中的安全策略，打开本地安全策略。

2.打开本地安全策略之后选择密码策略，可以看到有很多的策略，先看第⼀个密码复杂性要求。

3.打开密码必须符合复杂性要求，默认是打开的，我们在设置密码的时候，不能设置纯数字或者纯字母，必须要有数字加⼤⼩写。

4.密码长度最⼩值，这个是设置密码最低⼩于⼏位数，默认是0，这⾥修改为6位，在设置密码的时候必须满⾜6位，包括数字字母⼤⼩写或者特殊符号。

5.密码最短使⽤期限，默认是0天这⾥设置为30天，在30天不会提⽰你修改密码，必须要使⽤30天才能改密码。

6.密码最长使⽤期限，默认是42天，这⾥修改为60天超过60天之后会提⽰让你修改密码。

7.强制密码历史，这个选项是你修改密码时不能⼀样，默认是0，这⾥设置为3次，修改3次密码之后才能修改回第⼀次使⽤的密码。

8.打开账户锁定策略，账户锁定值默认是0次，可以设置5次超过5次就会把这个账户锁定，为了防⽌别⼈⼊侵你的电脑，等待半个⼩时之后就会⾃动解锁，或者联系管理员⾃动解锁。

9.账号锁定时间，默认是30分钟⾃动解锁，也可以⾃⼰修改，这⾥修改为3分钟⾃动解锁。

10.现在lisi这个⽤户输错五次密码，就算输⼊正确的密码，提⽰账户已锁定，⽆法登录。

11.打开服务器管理器，选择本地⽤户和组，可以查看lisi这个⽤户，输错5次密码之后账户已锁定，管理员可以⼿动把这个勾去掉，然后确定就能登⼊了，或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。

12.打开本地策略，选择审核登录事件，默认是⽆审核，这⾥我勾选成功跟失败，然后确定。

13.打开事件查看器，选择安全把⾥⾯的事件先全部删除，然后使⽤lisi远程登录到这台计算机。