第13周：项目6.使用组策略管理用户和计算机(1)

Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。

本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。

将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。

本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。

四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。

图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。

这样,只更改一个GPO,就能管理成千上万地计算机或用户。

组策略对象是应用于选定用户与计算机地设置地集合。

组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。

通过链接,一个GPO可与AD DS地多个容器关联。

反过来,多个GPO也可链接到一个容器。

一．域策略域级策略只影响属于该域地用户与计算机。

默认情况下存在两个域级策略,如表六-一所示。

表六-一默认域级策略（域策略,域控制器策略）可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。

例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。

又如,GPO可限制某个组织单位用户地桌面环境。

二．本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。

此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。

组策略完全使用手册对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现;其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能;一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂;而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的;其实简单地说,组策略设置就是在修改注册表中的配置;当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大;2.组策略的版本对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中;早期系统策略的运行机制是通过策略管理模板,定义特定的POL通常是文件;当用户登录时,它会重写注册表中的设置值;当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置;而组策略及其工具,则是对当前注册表进行直接修改;显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory活动目录对象即站点、域或组织单位并对其进行设置;这是以前“系统策略编辑器”工具无法做到的;当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已;3.在WindowsXP中运行组策略在Windows2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“”并确定,即可运行组策略;如图1所示;使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开：1打开Microsoft管理控制台可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定;2单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮;3在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮;4在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象;5单击“完成”按钮,组策略管理单元即打开要编辑的组策略对象;6在左窗格中定位需要更改的选项的位置,在右窗格中右键单击需要更改的具体选项,单击“属性”命令,即可打开其属性对话框,从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理;4.组策略中的管理模板在Windows2000/XP/2003中包含几个ADM文件;这些文件是文本文件,被称为“管理模板”,它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息;在Windows2000/XP/2003中,默认的管理模板位于系统文件夹的INF文件夹中,包含了默认安装下的4个模板文件,分别为：1：默认安装在“组策略”中,用于系统设置;2：默认安装在“组策略”中,用于InternetExplorerIE策略设置;3：用于Windows MediaPlayer设置;4：用于NetMeeting设置;在策略管理控制台中,可以多次添加“策略模板”,下面让我们来看看具体操作：首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,单击鼠标右键,选择“添加/删除模板”命令,然后在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM 文件;单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行;返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”选项,再单击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了;注意：下面的操作均在WindowsXP中进行;二、个性化我的电脑1.删除“开始”菜单中的“文档”菜单项在多人使用的计算机中,有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息;因此,为了删除用于记录历史文档的“文档”菜单项,我们可以通过修改组策略来实现;位置：\用户配置\管理模板\任务栏和“开始”菜单\启用此设置,则系统保存“文档”快捷方式,但不在“文档”菜单中显示它们;如果以后禁用此设置或把它设置为未配置,则启用设置之前及其生效之时保存的“文档”快捷方式会出现在“文档”菜单项中;如图2所示;注意：此设置不会阻止Windows程序在最近打开的文档中显示快捷方式;另外,你也可以设置在退出系统时自动清除最近打开的文档的历史记录;位置：\用户配置\管理模板\任务栏和“开始”菜单\如果禁用该策略设置,系统就会在用户退出时删除快捷方式;因此,用户登录时,“开始”菜单上的文档菜单总是空的;如果禁用或不配置此设置,系统将保留文档快捷方式,并且用户登录时的文档菜单看起来与用户退出系统时完全相同;注意：系统在\DocumentsandSettings\\Recent文件夹中的用户配置文件中保存文档快捷方式;2.删除“开始”菜单中的“运行”菜单项在“开始”菜单中有“运行”菜单项,可以输入程序名称来启动程序;我们可以将“运行”菜单项从“开始”菜单中删除;位置：\用户配置\管理模板\任务栏和“开始”菜单\如果启用该设置,发生如下更改：1“运行”命令从“开始”菜单中删除;2新建任务运行命令从任务管理器删除;3阻止用户在IE地址栏中输入下列项：UNC路径：\\＜server＞\＜share＞;访问本地驱动器：例如,C:;访问本地文件夹：例如,\temp＞;同时,使用WIN+R组合键将无法显示“运行”对话框;如果禁用或不配置此设置,用户可以访问“开始”菜单和任务管理器的“运行”命令,以及使用IE地址栏;注意：这个策略只影响指定的界面;不会防止用户使用其他方法运行程序;3.给“开始”菜单减肥如果觉得Windows的“开始”菜单太臃肿,你完全可以通过组策略设置将不需要的菜单项从“开始”菜单中删除;位置：\用户配置\管理模板\任务栏和“开始”菜单\在组策略右侧窗格中,提供“从‘开始’菜单删除用户文件夹”、“删除到‘WindowsUpdate’的访问和链接”、从‘开始’菜单删除公用程序组、从‘开始’菜单中删除“我的文档”图标等配置项目;你只要将不需要的菜单项所对应的策略启用即可;4.隐藏和禁用桌面上的所有项目该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目;位置：\用户配置\管理模板\桌面\该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和快捷方式所代表的项目; 5.退出时不保存用户设置该策略用于防止用户保存对桌面的某些更改;位置：\用户配置\管理模板\桌面\如果你启用这个设置,用户可以对桌面做某些更改,但有些更改,比如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存;6.启用/禁用“活动桌面”ActiveDesktop活动桌面是Windows 98及以后版本或安装了IE的系统中自带的高级功能,它最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示;但出于对安全和性能的考虑,有时候我们需要禁用这一功能并且防止用户启用它;位置：\用户配置\管理模板\桌面\ActiveDesktop提示：如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置,“禁用Active Desktop”设置会被忽略;如果“禁用Active Desktop和Web视图”设置在“用户配置\管理模板\Windows 组件\Windows资源管理器”被启用,ActiveDesktop就会被禁用,并且这两个策略都会被忽略;7.从“我的电脑”中删除共享文档当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中;使用此设置,你可选择不显示这些项目;位置：\用户配置\管理模板\Windows组件\Windows资源管理器\如果启用此设置,“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现;如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现;8.不要将已删除的文件移到“回收站”当Windows资源管理器中的一个文件或文件夹被删除时,该文件或文件夹的副本会被放在“回收站”里;使用此策略,你能改变此行为;位置：\用户配置\管理模板\Windows组件\Windows资源管理器\如果启用此设置,使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里,因此被永久删除;如果禁用或不配置此设置,使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里;三、利用组策略进行系统设置1.登录时不显示欢迎屏幕为了加快计算机启动的速度,我们完全可以通过组策略设置在每次用户登录时将WindowsXP欢迎屏幕隐藏;位置：\用户配置\管理模板\系统\要显示欢迎屏幕,请依次单击“开始→程序→附件→系统工具”选项,然后单击“开始”选项;要在不指定设置的情况下不显示欢迎屏幕,请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”选项;注意：这项设置出现在“计算机配置”和“用户配置”文件夹中;如果配置这项设置,“计算机配置”中的设置比“用户配置”中的设置优先;2.配置驱动程序查找位置默认情况下,Windows将从本地安装、软盘驱动器、光盘驱动器、WindowsUpdate等位置搜索驱动程序;此设置配置查找到新硬件时Windows将要搜索驱动程序的位置;位置：\用户配置\管理模板\系统\如果启用此设置,你可以通过检查位置名称的相关复选框,删除这三个位置中的任何位置;如果禁用或不配置此设置,Windows将从本地安装、软盘驱动器、光盘驱动器和WindowsUpdate等位置中搜索驱动程序;3.关闭自动播放一旦你将媒体插入驱动器,自动运行就开始从驱动器中读取;这会造成程序的设置文件和在音频媒体上的音乐立即开始;该策略将关闭自动运行功能;位置：\用户配置\管理模板\系统\如果你启动这项设置,你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行;注意：这个设置出现在“计算机配置”和“用户配置”两个文件夹中;如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先;另外,此设置不阻止自动播放音乐CD;4.只运行许可的Windows应用程序该策略可以限制用户可以运行的Windows程序;位置：\用户配置\管理模板\系统\如果你启用这个设置,用户只能运行你加入“允许运行的应用程序列表”中的程序;这个设置只能防止用户从Windows资源管理器启动程序;无法防止用户用其他方式启动程序,例如任务管理器;如果用户可以访问命令提示符窗口,这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序;注意：要创建允许的文件列表,请单击“显示”按钮,在打开的对话框中单击“添加”按钮,然后输入应用程序的执行文件名称例如,、、;如图3所示;5.删除任务管理器当我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框;任务管理器可以让用户启动或终止程序、监视计算机性能、查看及监视计算机上所有运行中的程序包含系统服务、搜索程序的执行文件名、更改程序运行的优先顺序;在这里,我们可以通过组策略删除任务管理器;位置：\用户配置\管理模板\系统\Ctrl+Alt+Del选项\如果该设置被启用,并且用户试图启动任务管理器,系统会显示消息,解释是一个策略禁止了这个操作;6.删除改变“密码”选项该策略可以防止用户通过任务管理器更改系统密码;位置：\用户配置\管理模板\系统\Ctrl+Alt+Del选项\这个设置停用Windows安全设置对话框上的“更改密码”按钮;但是,用户在得到系统提示时依旧可以更改密码;管理员要求新密码和密码作废时,系统会提示用户输入新密码;7.不允许运行WindowsMessengerWindows XP自带有聊天工具Windows Messenger,但是,我们也有可能在系统中安装MSNMessenger;该策略允许你禁用Windows Messenger;位置：\用户配置\管理模板\Windows组件\Windows Messenger如果启用该策略,WindowsMessenger将不会运行;如果禁止或不配置该策略,WindowsMessenger可以被使用;注意：如果启用这个策略,远程协助无法使用WindowsMessenger;另外,这个策略也会出现在“计算机配置”中;如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先;8.关闭系统还原功能系统还原是WindowsXP/2003中集成的强大功能,它在系统运行的同时,备份被更改的文件和数据,如果出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将计算机还原到以前的状态;默认情况下,系统还原处于打开状态; 但这一功能付出的代价也是相当大的,系统性能会明显下降,磁盘空间也会被占用很多;对于配置不高的计算机来说,强烈建议关闭此功能;位置：\计算机配置\管理模板\系统\系统还原\关闭系统还原启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界面”;四、利用组策略调整上网设置1.禁用导入和导出收藏夹禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接;位置：\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie;如果禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上的“导入和导出”菜单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹;注意：如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完成”按钮时,将出现说明该功能已被禁用的提示信息;2.禁用更改“高级”选项卡的设置禁止用户更改“Internet选项”对话框中“高级”选项卡上的设置;位置：\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,则用户无法更改高级Internet设置,如安全、多媒体和打印;用户无法选中“高级”选项卡上的复选框,也不能清除这些复选框的复选标记;如果禁用该策略或不对其进行配置,则用户可以选择或清除“高级”选项卡上的设置;如果设置了位于\用户配置\管理模板\Windows组件\InternetExplorer\Internet控制面板中的“禁用高级页”策略,则无需设置该策略,因为“禁用高级页”策略将删除界面上的“高级”选项卡;3.对拨号连接使用“自动检测”属性自动检测在浏览器第一次启动时使用DHCP动态主机配置协议或DNS服务器来自定义浏览器;该策略指定自动检测用于用户的拨号设置的配置; 位置：\用户配置\管理模板\Windows组件\InternetExplorer如果启用该设置,自动检测将配置用户的拨号设置;如果禁用该配置或不配置,自动检测不会配置用户的拨号设置,除非用户指定;4.禁用Internet连接向导禁止用户运行Internet连接向导;位置：\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将变灰;用户也无法通过单击桌面上的“连接到Internet”图标或单击“开始→程序→附件→通讯”,然后单击“Internet连接向导”运行Internet连接向导;如果禁用该策略或不对其进行配置,则用户可以通过运行Internet连接向导,更改连接设置;注意：该策略与位于＼用户配置＼管理模板＼Windows组件＼InternetExplorer＼Internet控制面板中的“禁用连接页”策略有相似之处,后者将删除界面上的“连接”选项卡;从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”菜单中运行Internet连接向导;5.禁用表单的自动完成功能禁止IE自动完成表单,如填写用户以前在网页中输入过的姓名或密码;位置：\用户配置\管理模板\Windows组件\InternetExplorer如果启用该策略,“表单”复选框将变灰;单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮,即可出现“表单”复选框;如果禁用该策略或不对其进行配置,则用户可以启用表单的自动完成功能;位于\用户配置\管理模板\Windows组件\InternetExplorer\Internet控制面板中的“禁用内容页”策略的优先级高于该策略;如果启用了“禁用内容页”策略,该策略将被忽略,因为“禁用内容页”策略将删除“控制面板”中“InternetExplorer属性”对话框中的“内容”选项卡;注意：如果用户已开始使用启用了表单自动完成功能的浏览器后,再启用该策略,则不会清除用户已经使用表单自动完成功能在表单中所填写的内容;6.配置媒体浏览栏属性媒体浏览器栏播放来自Internet的音乐和视频内容,该策略允许管理员启用和禁用媒体浏览器栏和设置默认自动播放;位置：\用户配置\管理模板\Windows组件\InternetExplorer如果禁用媒体浏览器栏,用户无法显示媒体浏览器栏;自动播放功能也被禁用;当用户在IE中单击一个链接,系统中的默认媒体客户端将播放内容;如果启用媒体浏览器栏或不配置,用户可以显示和隐藏媒体浏览器栏;管理员也可以打开和关闭自动播放功能;该设置只在媒体浏览器栏启用时应用;如果选择,媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容;如果不选择,系统上的默认媒体客户端将播放内容;7.禁用右键快捷菜单禁止在用户使用IE过程中单击鼠标右键时出现快捷菜单;位置：\用户配置\管理模板\Windows组件\InternetExplorer\浏览器菜单如果启用该策略,在用户指向网页,然后单击鼠标右键时将不出现快捷菜单;如果禁用该策略或不对其进行配置,则用户可以使用快捷菜单;8.自定义IE标题栏我们可以利用组策略自定义出现在IE和OE标题栏中的文本;无论软件包中是否有OE或者用户计算机上已经安装了OE,都将更新OE标题栏;位置：\用户配置\管理模板\Windows设置\InternetExplorer维护\浏览器用户界面\浏览器标题请在打开的对话框中选中“自定义标题栏”选项,然后在“标题栏文本”框中键入希望的文本;注意：在选择某个位图时,要确保颜色与文本的对比度;这为用户确保了更高程度的可读性;9.自定义IE工具按钮我们可以利用该策略个性化出现在IE中的工具栏,给你一定的灵活性和设计机会;可以使用的元素包括用于标准工具栏按钮例如“搜索”和“历史”的工具栏背景和图标外观;位置：＼用户配置＼管理模板＼Windows设置＼InternetExplorer维护＼浏览器用户界面＼浏览器工具栏自定义在打开的对话框中单击“添加”按钮,然后在打开的对话框中在“工具栏标题必需”框中,键入用户鼠标悬停在工具栏按钮上时出现的文本;必须指定该按钮的标题或标签;建议的最大长度是10个字符;在“工具栏操作作为脚本文件或可执行文件,必需”框中,键入脚本文件或可执行文件的名称,或者单击“浏览”按钮查找文件;必须指定用户单击工具栏按钮时运行的脚本文件或可执行文件;在“工具栏颜色图标必需”框中,键入表示按钮为活动状态的文件的名称,或者单击“浏览”按钮查找该文件;必须指定出现在工具栏上的按钮的彩色图标;图标由活动和非活动状态的20×20像素的图像组成;在“工具栏灰度图标必需”框中,键入出现在黑白监视器上的工具栏的灰度图标文件名和位置,或者单击“浏览”按钮查找文件;必须指定显示在工具栏上按钮的灰度图标;选中“默认情况下,该按钮应显示在工具栏上”复选框来显示默认情况下用户浏览器中的工具栏按钮;五、利用组策略设置优化网络环境1.禁止访问网络连接组件的属性“本地连接属性”对话框包括连接时使用的网络组件列表;要查看或更改组件属性,请单击组件名称,然后单击组件列表下面的“属性”按钮,如图4所示;该策略确定用户是否可以更改由网络连接使用的组件属性,它确定是否启用用于网络连接组件的“属性”按钮;位置：\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就会为管理员禁用“属性”按钮;无论“为管理员启用网络连接设置”设置启用与否,用户都不可以访问连接组件;如果禁用或不配置“为管理员启用网络连接设置”;如果禁用或不配置此设置,将为用户启用“属性”按钮;2.禁用TCP/IP高级配置确定用户是否可以配置TCP/IP设置;位置：\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就对所有用户包括管理员禁用“Internet协议TCP/IP属性”对话框上的“高级”按钮;因此,用户不能打开“高级TCP/IP设置”对话框并修改IP设置例如,DNS 和WINS服务器信息;如果禁用此设置,则启用“高级”按钮,并且所有用户均可打开“高级TCP/IP设置”对话框;注意：此设置会由禁止访问连接属性或连接组件属性的设置取代;如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮,用户就无法访问用于TCP/IP配置的“高级”按钮;不管此设置如何,非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限;在用户退出系统之前,将此设置从“启用”更改为“未配置”不会启用“高级”按钮;3.禁止添加或删除用于网络连接或远程访问连接的组件“安装”按钮可打开用来添加网络组件的对话框;单击“卸载”按钮可删除组件列表中的选定组件;“安装”和“卸载”按钮出现在用于连接的“属性”对话框之中;这些按钮位于“常规”选项卡和“网络”选项卡上;该策略确定管理员是否可以添加和删除用于网络连接或远程访问连接的网络组件;位置：\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就会禁用用于连接组件的“安装”和“卸载”按钮,并且不允许用户访问“Windows组件向导”中的网络组件;如果禁用或不配置此设置,就会启用用于“网络连接”文件夹中连接组件的“安装”和“卸载”按钮;同样地,用户可以访问“Windows组件向导”中的网络组件;4.禁止访问网络连接的属性右键单击“网上邻居”图标,在打开的快捷菜单中可以看到“属性”菜单项,用于打开网络连接属性对话框,该策略确定用户是否可以更改网络连接的属性;位置：\用户配置\管理模板\网络\网络连接\如果启用此设置并启用“为管理员启用网络连接设置”设置,就对所有用户禁用“属性”菜单项,而且用户不能打开“连接属性”对话框;如果禁用或不配置此设置,右键单击“网上邻居”的图标时,就会出现“属性”菜单项;同样地,当用户选择此连接时,就会启用“文件”菜单上的“属性”菜单项;注意：此设置优先于操作“局域连接属性”对话框内的功能的可用性设置;如果启用此设置,用户将不可使用网络连接的属性对话框内的任何功能;5.更改所有用户远程访问连接的属性该策略用于确定用户是否可以查看和更改对计算机所有用户可用的远程访问连接的属性;此设置确定是否启用“属性”菜单项,以及远程访问连接属性对话框是否对用户可用;位置：\用户配置\管理模板\网络\网络连接\如果启用此设置,任何用户右键单击用来进行远程访问连接的图标时,就会出现“属性”菜单项;同样地,当任何用户选择连接时,“文件”菜单上就出现“属性”;如果禁用此设置并启用“为管理员启用网络连接设置”设置,就会禁用“属性”菜单项,并且用户包括管理员无法打开远程访问连接对话框;如果不配置此设置,则只有管理员才可以更改所有用户远程访问连接的属性;注意：此设置优先于操作远程访问连接属性对话框内的功能的可用性设置;如果禁用此设置,则用户不可使用用于远程访问连接的属性对话框内的任何功能;再谈组策略--Windows组策略应用全攻略一、什么是组策略一组策略有什么用说到组策略,就不得不提注册表;注册表是Windows系统中保存系统、应用软件配置的数。

组策略的作用和功能本页仅作为文档封面，使用时可以删除This document is for reference only-rar21year.March组策略的作用和功能1,组策略在windows域中的作用组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”为网络用户分发软件、设定用户可以运行的程序、自定义“开始”菜单并简化“控制面板”。

此外，还可添加能在计算机上(在计算机启动或停止时，以及用户登录或注销时)自动运行的脚本，甚至可配置Internet Explorer。

组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境，更加方便地管理整个网络。

但伴随着灵活性而来的是复杂性。

如何熟悉、熟练应用组策略是系统管理员必须解决的一个问题。

如果能够正确、灵活地运用组策略，就能使Windows系统发挥出更加强大的功能，为个人用户和企业用户带来更大的利益。

策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory对象并对它进行设置。

2,日常工作中，在windows单机模式下，组策略中有很多比较有用的功能，例如，本地安全策略。

本地安全策略是对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。

例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。

这些安全设置分组管理，就组成了的本地安全策略！。

组策略作用范围组策略是Windows操作系统中的一项重要功能，它可以用来管理计算机和用户的配置。

通过组策略，系统管理员可以集中管理计算机网络中的各种设置，包括安全设置、网络设置、软件安装等。

组策略的作用范围是指它所能影响到的对象的范围，包括计算机对象和用户对象。

一、计算机对象的作用范围计算机对象是指在Windows域中的计算机账户。

通过组策略，可以对计算机对象进行一系列的配置和管理。

计算机对象的作用范围主要包括以下几个方面：1. 安全设置：组策略可以用来配置计算机的安全设置，包括密码策略、用户权限、防火墙设置等。

管理员可以通过组策略确保计算机的安全性，防止未经授权的访问和操作。

2. 网络设置：组策略可以用来配置计算机的网络设置，包括IP地址、DNS服务器、代理服务器等。

管理员可以通过组策略统一管理计算机的网络配置，提高网络的稳定性和安全性。

3. 软件安装：组策略可以用来配置计算机的软件安装策略，包括安装、卸载和更新软件。

管理员可以通过组策略控制计算机上的软件安装，确保计算机上的软件版本统一和安全。

4. 系统配置：组策略可以用来配置计算机的系统设置，包括桌面背景、屏幕保护程序、电源管理等。

管理员可以通过组策略统一配置计算机的系统设置，提供用户体验和工作效率。

二、用户对象的作用范围用户对象是指在Windows域中的用户账户。

通过组策略，可以对用户对象进行一系列的配置和管理。

用户对象的作用范围主要包括以下几个方面：1. 安全设置：组策略可以用来配置用户的安全设置，包括密码策略、访问权限、账户锁定策略等。

管理员可以通过组策略确保用户账户的安全性，防止未经授权的访问和操作。

2. 桌面设置：组策略可以用来配置用户的桌面设置，包括桌面背景、屏幕保护程序、桌面图标等。

管理员可以通过组策略统一配置用户的桌面设置，提供统一的用户体验。

3. 软件安装：组策略可以用来配置用户的软件安装策略，包括安装、卸载和更新软件。

管理员可以通过组策略控制用户账户上的软件安装，确保软件版本统一和安全。

组策略管理计算机
1.什么是组策略管理计算机
组策略是Windows操作系统中的一种管理工具，它可以用来管理计算机和用户的设置和配置。

组策略管理计算机能够让管理员通过集中的方式来管理计算机和用户的安全策略、软件设置以及系统配置等方面。

在企业中，许多计算机都是连在一起的，组策略管理计算机可以让管理员对这些计算机的配置进行集中控制，统一管理。

通过组策略，管理员可以对指定的操作系统用户或计算机进行指定策略的配置，大幅度提高了系统安全性和管理效率。

2.组策略管理计算机的优点
1.算法高效：组策略管理计算机能够快速而准确地完成计算机配置更新，避免了人工修改配置的错误。

2.统一管理：管理员可以通过组策略管理工具对所有计算机进行一致的设置，统一管理不同计算机的配置。

3.提高效率：组策略工具可以让管理员在短时间内完成大量计算机的管理任务，提高了管理效率。

4.提高安全性：管理员可以通过组策略工具设置计算机和用户的安全策略，限制用户的权限，增强了系统安全性。

3.组策略管理计算机的使用方法
1.打开“组策略管理器”。

在“控制面板”中找到“管理工具”，然后点击“组策略管理器”。

2.在左侧面板中选择“组策略对象编辑器”，然后找到需要编辑的策略。

3.右键点击目标策略，在弹出的菜单中选择“编辑”。

4.在“组策略对象编辑器”中进行配置，然后保存。

5.将修改的组策略应用到相应的计算机或用户上。

4.总结
组策略管理计算机是一种非常便捷、高效的管理工具，大大提高了计算机系统的管理效率和安全性。

因此，它在企业中使用越来越广泛，深受管理者们的青睐。

组策略的配置与管理一、组策略的概念及作用组策略是Windows操作系统中的一种重要管理工具，它可以对计算机或用户进行一系列的配置和管理。

通过组策略，管理员可以对网络中的计算机和用户进行统一的管理，从而提高网络安全性、降低维护成本和提高工作效率。

二、组策略的配置与管理方法1. 打开组策略编辑器在Windows操作系统中，打开组策略编辑器有两种方法：一种是在运行窗口中输入“gpedit.msc”命令；另一种是在控制面板中选择“管理工具”->“本地安全策略”。

2. 配置计算机配置和用户配置在组策略编辑器中，有两个主要选项：计算机配置和用户配置。

管理员可以根据需要分别对这两个选项进行配置。

其中，计算机配置包括Windows设置、安全设置、软件设置等；用户配置包括Windows设置、安全设置、脚本设置等。

3. 配置组策略对象管理员可以选择要应用某个组策略的对象。

例如，可以选择应用某个组策略到特定的计算机或用户上。

4. 配置组策略规则在每个选项卡下面都有很多不同的规则可供管理员进行配置。

例如，在“Windows设置”->“安全设置”中，管理员可以配置密码策略、账户锁定策略等。

5. 配置组策略优先级如果不同的组策略规则之间存在冲突，那么就需要根据优先级来确定哪个规则会被应用。

管理员可以在组策略编辑器中为不同的规则设置优先级。

三、常见的组策略配置和管理案例1. 禁用USB存储设备在计算机配置中，选择“Windows设置”->“安全设置”->“本地策略”->“安全选项”，找到“可移动存储访问控制”，将其禁用即可禁止使用USB存储设备。

2. 配置密码策略在计算机配置中，选择“Windows设置”->“安全设置”->“账户策略”->“密码策略”，可以对密码长度、是否启用复杂性要求等进行配置。

3. 禁止用户更改壁纸在用户配置中，选择“管理模板”->“控制面板”->“个性化”，找到“阻止改变桌面背景”，将其启用即可禁止用户更改壁纸。