本地组策略.

组策略入门（一）组策略有什么用?说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。

很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

简单点说，组策略就是修改注册表中的配置。

当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

（二）组策略的版本大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。

其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT 的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。

早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。

当用户登录的时候，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象（即站点、域或组织单位）并对它进行设置。

这是以前“系统策略编辑器”工具无法做到的。

无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

组策略管理模板在Windows 2000/XP/2003目录中包含了几个.adm 文件。

本地安全组策略是Windows操作系统中的一种安全机制，用于控制计算机本地账户的访问权限。

其详细描述如下：
本地账户管理：可以指定密码策略、启用或禁用本地账户、更改本地账户的名称等。

用户权限：可以控制本地用户访问计算机资源（如文件夹、注册表等）的权限，包括允许或拒绝访问、授权运行特定程序等。

安全选项：可以设定一些安全选项来增强计算机的安全性，如自动锁定屏幕、安全审计日志、强制密码复杂性等。

事件审核：可以开启事件审核功能，记录用户在计算机上发生的特定活动，以便进行安全审计。

高级审核策略：可以针对特定用户或计算机启用高级审核策略，精确控制哪些事件会被记录，以及如何通知管理员。

总之，本地安全组策略提供了一系列安全设置和控制选项，使得管理员可以更加细致地管理和保护计算机系统和数据。

组策略程序控制
组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。

以win10系统为例，通过组策略限制指定应用程序的运行步骤如下：
1. 按下win+R组合键打开运行窗口，然后输入gpedit.msc并回车，或点击“确定”打开组策略；
2. 依次展开定位至“用户配置”-“管理模板”-“系统”，单击“系统”，在右侧找到“不运行指定的Windows应用程序”，双击打开；
3. 勾选“已启用”，点击“不允许的应用程序列表”后的“显示”按钮；
4. 在“值”下方输入指定的运行程序的名字，点击“确定”，再点击界面上的“确定”即可。

组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境，更加方便地管理整个网络。

但其复杂性也不容忽视，需要管理员熟悉、熟练应用组策略，才能使Windows 系统发挥出更加强大的功能。

组策略—把客户端用户加入本地Power Users组中对于客户端用户都属于Domain Users 组的时候，登陆域后没有权限安装AD组策略分发下来的软件，那么我们要做的就是把Domain Users组加入到客户端本地的Power Users组中去。

1、我建了一个OU2的OU把所有的客户端计算机都放入到了这个OU里面。

在DC上新建一条组策略针对OU2这个OU的;2、编辑这条组策略，找到“计算机配置”——“Windows设置“——”安全设置“——“受限制的组”，按鼠标右键，选择”添加组“;3、输入Power Users，点击”确定“4、在Power Users属性中点击添加，弹出添加成员对话框的时候点击浏览：5、弹出选择用户或组的对话框的时候选择高级按钮。

6、接下来点击立即查找—在搜索结果中找到Domain Users 选中它—再点击确定按钮7、点击确定。

8、继续点击确定9、点击应用按钮，这样就把Domain Users组添加到Power Users组中去了。

10、添加好后如下图，可以在Power Users组中看到它的成员中有LONG这个域中的Domain Users组了。

11、接下来用gpupdate /force命令刷新组策略。

12、重新启动客户端计算机，再验证策略是否成功,看下图客户端已经成功。

这样就可以在客户端正常安装软件了。

等所有客户端软件安装完成以后，为了安全起见再把Domain Users组从客户端本地Power Users组中移除，具体步骤：找到算机配置—Windows 设置—安全设置—受限制的组—在右边选中Power Users 组—右键单击—属性—选中Domain Users组—删除接下来点击应用。

看到Power Users组的成员为空的时候，那么Domain Users组就已经从Power Users组中移除了。

再接下来就是在命令行下用gpupdate /force命令刷新组策略，重启客户端计算机，整个过程就到此结束了。

windows home本身是没有本地组策略的。

运行regsvr32 gpedit.dll，找不到指定模块，这是为home安装本地策略的方法：
(1)将另一台正常使用的电脑上企业版或者商业版windows的“Windows\system32”文件夹中的gpedit.msc、fde.dll、gpedit.dll、gptext.dll、wsecedit.dll文件复制到您的电脑的“Windows\system32”文件夹中。

(2)在“开始→运行”中依次运行以下命令：“regsvr32 fde.dll”、“regsvr32 gpedit.dll”、“regsvr32 gptext.dll”、“regsvr32 wsecedit.dll”分别注册这4个动态数据库。

(3)将企业版或者商业版的“Windows\Inf”文件夹中的所有*.adm文件复制替换到您的电脑的“C:\Windows\Inf”文件夹中。

(4)单击“开始→运行”，输入“gpedit.msc”便可以启动组策略了。

如果还是不行，则在本地Windows\system32\wbem中将framdyn.dll复制到Windows\system32中，运行regsvr32 framdyn.dll，再运行（2）中“regsvr32 gpedit.dll”和（4）就可以了。

本地组策略编辑注意哪些问题在编辑本地组策略时，需要注意以下几个问题：1.了解默认策略：不要随意删除默认的策略，如默认域策略和默认域控制器策略，因为很多问题的发生都是由删除这两条默认策略而引起的。

2.明确策略应用对象：组策略是为站点、组织单元和域等对象设置的，而不是为用户组设置的。

因此，要确保策略被应用到正确的对象上。

3.注意策略的生效顺序：策略的生效顺序是本地策略→站点策略→域策略→父OU策略→子OU策略。

当在一个容器上链接了多个策略时，要明确它们的顺序，因为最新的策略设置会覆盖其他设置。

4.考虑策略的生效时间：非域控制器的计算机每90分钟刷新一次策略，其中含有随机的30分钟时间偏移量。

而域控制器每5分钟刷新一次。

因此，在编辑策略后，需要考虑到这些时间因素，确保策略能够及时生效。

5.谨慎修改安全策略：安全策略是保护系统安全的重要组成部分，因此在修改这些策略时要格外小心。

确保你了解每个设置的影响，并在修改前进行备份。

6.测试策略更改：在将更改应用到生产环境之前，先在测试环境中测试策略更改。

这可以帮助你发现并解决潜在的问题，确保更改不会对系统或用户产生负面影响。

7.记录更改：在编辑策略时，要记录你所做的更改。

这可以帮助你在需要时回滚更改，并为以后的问题排查提供有用的信息。

8.考虑用户权限：在编辑策略时，要考虑到用户的权限。

确保你了解哪些设置可能会限制用户的访问权限或影响他们的工作流程，并在必要时与用户进行沟通。

9.保持更新：定期查看和更新你的组策略设置，以确保它们仍然符合你的组织需求和安全标准。

同时，关注新的安全威胁和漏洞，以便及时调整你的安全策略。

总之，在编辑本地组策略时，需要谨慎、细心并考虑到各种因素，以确保你的更改不会对系统或用户产生负面影响。

如何在Windows操作系统中设置文件夹重命名限制Windows操作系统为用户提供了丰富的功能和选项，以便于管理和组织文件和文件夹。

其中一个重要的操作便是文件夹重命名。

文件夹重命名是指更改文件夹的名称，使其更符合用户的需求和组织结构。

然而，为了避免误操作或者混乱命名，我们可以在Windows操作系统中设置文件夹重命名限制。

本文将介绍如何通过Windows操作系统的功能来实现文件夹重命名的限制。

首先，我们需要打开“本地组策略编辑器”。

可以通过在开始菜单中搜索“gpedit.msc”来打开本地组策略编辑器。

一旦打开了本地组策略编辑器，我们需要按照以下步骤进行设置。

1. 在左侧的面板中，展开“计算机配置”文件夹。

2. 继续展开“Windows 设置”文件夹。

3. 然后展开“安全设置”文件夹。

4. 在“安全设置”文件夹下找到“文件系统”文件夹，并单击打开。

5. 在右侧的面板中，找到并双击“禁止重命名”选项。

在弹出的窗口中，选择“已启用”选项，并点击“确定”按钮。

这样就可以禁止用户对文件夹进行重命名。

此外，你还可以通过设置特定的重命名限制来控制文件夹的重命名。

在“文件系统”文件夹中，你可以找到以下几个选项进行设置：- “禁止文件夹重命名和移动”：选择此选项后，用户将无法对文件夹进行重命名和移动。

- “禁止文件夹重命名”：选择此选项后，用户将无法对文件夹进行重命名，但可以移动文件夹。

- “不限制文件夹重命名或移动”：选择此选项后，用户将不受限制地进行文件夹的重命名和移动。

根据实际需求，选择适当的选项，并将其设置为“已启用”。

完成上述设置后，用户将受到相应的限制，无法轻易地对文件夹进行重命名操作。

这可以避免意外的更改或混乱的文件夹命名，提高文件管理的效率。

需要注意的是，上述设置仅在本地计算机上有效。

如果你是在一个网络环境中使用Windows操作系统，而且连接到了网络域，那么这些设置可能会被网络管理员所管理和控制。

WINDOWS默认本地组原载：/wi ... 12052.mspx?mfr=true下表列出了“组”文件夹中默认组的描述以及为每个组指派的用户权利。

这些权利是在本地安全策略中指派的。

组描述默认用户权利Administrators描述该组的成员具有对服务器的完全控制权限，并且可以根据需要向用户指派用户权利和访问控制权限。

管理员帐户也是默认成员。

当该服务器加入域中时，Domain Admins 组会自动添加到该组中。

由于该组可以完全控制服务器，所以向该组添加用户时请谨慎。

详细信息，请参阅默认本地组和默认组。

默认用户权利从网络访问此计算机；调整某个进程的内存配额；允许本地登录；允许通过终端服务登录；备份文件和目录；忽略遍历检查；更改系统时间；创建页面文件；调试程序；从远程系统强制关机；提高调度优先级；加载和卸载设备驱动程序；管理审核和安全日志；修改固件环境变量；执行卷维护任务；调整单一进程；调整系统性能；从扩展坞中取出计算机；恢复文件和目录；关闭系统；取得文件或其他对象的所有权。

Backup Operators描述该组的成员可以备份和还原服务器上的文件，而不管保护这些文件的权限如何。

这是因为执行备份任务的权利要高于所有文件权限。

他们不能更改安全设置。

默认用户权利从网络访问此计算机；允许本地登录；备份文件和目录；忽略遍历检查；还原文件和目录；关闭系统。

DHCP Administrators（与 DHCP 服务器服务一起安装）描述该组的成员具有对“动态主机配置协议 (DHCP) 服务器”服务的管理访问权限。

该组提供了一种方式，仅授予对 DHCP 服务器的有限管理访问权，而不提供对服务器的完全访问权。

该组的成员可以使用 DHCP 控制台或 Netsh 命令在服务器上管理 DHCP，但不能在服务器执行其他管理任务。

没有默认的用户权利。

DHCP Users（与 DHCP 服务器服务一起安装）描述该组的成员具有对 DHCP 服务器服务的只读访问权。