本地组策略的安装方法

gpedit.msc（组策略）gpedit.msc(组策略):使⽤系统管理员的帐号登陆进⼊系统，打开“开始”-“运⾏”，在运⾏输⼊框中输⼊“gpedit.msc”，进⼊“组策略”.说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应⽤软件配置的数据库，随着Windows功能的越来越丰富，注册表⾥的配置项⽬也越来越多。

很多配置都是可以⾃定义设置的，但这些配置发布在注册表的各个⾓落，如果是⼿⼯配置，可想是多么困难和烦杂。

⽽组策略则将系统重要的配置功能汇集成各种配置模块，供管理⼈员直接使⽤，从⽽达到⽅便管理计算机的⽬的。

简单点说，组策略就是修改注册表中的配置。

当然，组策略使⽤⾃⼰更完善的管理组织⽅法，可以对各种对象中的设置进⾏管理和配置，远⽐⼿⼯修改注册表⽅便、灵活，功能也更加强⼤。

各功能现如⼀介绍:计算机配置-windows设置-安全设置中包括“帐户策略”和“本地策略”两个⽅⾯，⽽其中的“帐户策略”⼜包括：密码策略、帐户锁定策略和Kerberos策略三个⽅⾯；另外的“本地策略”也包括：审核策略、⽤户权限分配和安全选项三部分。

下⾯分别予以介绍。

⼀、密码策略的设置 ⼀、密码策略的设置 密码策略作⽤于域帐户或本地帐户，其中就包含以下⼏个⽅⾯： 强制密码历史 密码最长使⽤期限 密码最短使⽤期限 密码长度最⼩值 密码必须符合复杂性要求 ⽤可还原的加密来存储密码 以上各项的配置⽅法均需根据当前⽤户帐户类型来选择。

默认情况下，成员计算机的配置与其域控制器的配置相同。

下⾯分别根据⼏种不同⽤户类型介绍相应的密码策略配置⽅法。

1. 对于本地计算机 对于本地计算机的⽤户帐户，其密码策略设置是在“本地安全设置”管理⼯个中进⾏的。

下⾯是具体的配置⽅法。

第1步，执⾏〖开始〗→〖管理⼯具〗→〖本地安全策略〗菜单操作，打开如图所⽰的“本地安全设置”界⾯。

对于本地计算机中⽤户“帐户和本地策略”都查在此管理⼯具中进⾏配置的。

本地组策略与安全策略的自动导入-奚瑞的博客首先，提取出需要部署的策略中能通过组策略或安全策略实施的项如表所示（部分演示）：序号要求1 “密码必须符合复杂性要求”选择“已启动”2 “密码最长存留期”设置为“90天”3 “账户锁定阀值”设置为小于或等于 6次4 “从远端系统强制关机”设置为“只指派给Administrtors组”5 “关闭系统”设置为“只指派给Administrators组”6 “取得文件或其它对象的所有权”设置为“只指派给Administrators组”7 审核登录事件，设置为成功和失败都审核。

8 “审核策略更改”设置为“成功” 和“失败”都要审核9 “审核对象访问”设置为“成功”和“失败”都要审核10 “审核目录服务器访问”设置为“成功” 和“失败”都要审核11 “审核目录服务器访问”设置为“成功” 和“失败”都要审核12 “审核系统事件”设置为“成功” 和“失败”都要审核13 “审核账户管理”设置为“成功” 和“失败”都要审核14 “审核过程追踪”设置为“失败”需要审核15 “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

16 启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。

17 所有驱动器均“关闭自动播放”上表中前15项属于安全策略，第16项属于组策略中的计算机配置策略，第17项属于用户配置策略。

下面仅对Windows 2003平台的操作进行了分析与测试。

一、对于安全策略，可以用以下步骤进行应用部署：::在测试用机上，先使用gpedit.msc手工更改策略（如表中前15面），再用以下命令导出当前策略secedit /export /cfg sec.inf::用文本编辑器编辑sec.inf文件，去除不需要调整的内容，仅保留要定制策略表中15条策略对应的inf文件内容如下：[Unicode]Unicode=yes[Version]signature="$CHICAGO$"Revision=1[System Access]MaximumPasswordAge = 90PasswordComplexity = 1LockoutBadCount = 6[Event Audit]AuditSystemEvents = 3AuditLogonEvents = 3AuditObjectAccess = 3AuditPrivilegeUse = 3AuditPolicyChange = 3AuditAccountManage = 3AuditProcessTracking = 2AuditDSAccess = 3[Registry Values]machine\system\currentcontrolset\services\lanmanserver\p arameters\autodisconnect=4,15[Privilege Rights]seremoteshutdownprivilege = *S-1-5-32-544seshutdownprivilege = *S-1-5-32-544setakeownershipprivilege = *S-1-5-32-544::用命令生成一个sdb文件secedit /import /db sec.sdb /cfg sec.inf /overwrite::用命令把定制策略更新到目标服务器，不能用/overwrite参数，否则除定制策略外的其它策略丢失secedit /configure /db sec.sdb::刷新组策略gpupdate /force二、其他组策略的应用以前曾经研究过利用gpcvreg与gpscript命令行程序来应用组策略，并且写了autoit3脚本的UDF，这次正好可以利用。

在域环境下配置组策略批量安装客户端常用软件部署方法：(一) 在主域控制器的F盘，新建一个目录，命名为“软件安装共享”，设置共享后，并确保user组用户具有读取，执行权限。

（最好在“软件安装共享”的安全属性配置向下继承）(二) 打开主域控制器上的“Active Directory用户与计算机”右键“”属性，选择“组策略”“编辑”，进入“组策略编辑器”(三) 注意：将用户liyuan加入到DomainAdministrators 安全组、Enterprise Administrators 安全组或Group Policy Creator Owners 安全组。

以发布用户方式安装1. 依次展开“用户配置”“软件设置”“软件安装”。

2. 新建一个“程序包”，在“文件名”后的文本框内输入UNC路径（例如// 192.168.0.1）软件安装共享\ apache_2.2.4-win32-x86-no_ssl.msi3. 选择“apache_2.2.4-win32-x86-no_ssl.msi”软件后，点打开4. 配置部署方法为“已发布”5. 确定后，登陆客户端client-01进行测试。

（测试失败可使用gpupdate/force命令刷新组策略后，重试。

）6. 在客户端的“添加/删除程序”中“添加新程序”，找到“apache_2.2.4-win32-x86-no_ssl.msi”双击安装。

以指派用户方式安装1. 在部署软件时选择“已指派”2. 选择“apache_2.2.4-win32-x86-no_ssl.msi”属性，选中“在登录时安装此应用程序”3. 登录客户端，自动安装软件，可卸载。

以指派计算机方式安装1. 在“AD用户与计算机”下，新建一个组织单元us，将computers下的client01客户端，移动到us里面。

2. 右键“us”选择“属性”，点击“组策略”，新建一个策略。

3. 点击“编辑”，展开“计算机设置”“软件设置”，在“软件安装”上右键，新建一个“程序包”文件名后面的文本框最好用完整的计算机名，如\\ \软件安装共享\ apache_2.2.4-win32-x86-no_ssl.msi4. 默认部署类型“已指派”5. 在客户端上登录，显示如下界面，说明该软件通过组策略安装成功。

组策略把客户端用户加入本地P o w e r U s e r s组中精编Document number：WTT-LKK-GBB-08921-EIGG-22986组策略—把客户端用户加入本地Power Users组中对于客户端用户都属于Domain Users 组的时候，登陆域后没有权限安装AD组策略分发下来的软件，那么我们要做的就是把Domain Users组加入到客户端本地的Power Users组中去。

1、我建了一个OU2的OU把所有的客户端计算机都放入到了这个OU里面。

在DC上新建一条组策略针对OU2这个OU的;2、编辑这条组策略，找到“计算机配置”——“Windows 设置“——”安全设置“——“受限制的组”，按鼠标右键，选择”添加组“;3、输入Power Users，点击”确定“4、在Power Users属性中点击添加，弹出添加成员对话框的时候点击浏览：5、弹出选择用户或组的对话框的时候选择高级按钮。

6、接下来点击立即查找—在搜索结果中找到Domain Users 选中它—再点击确定按钮7、点击确定。

8、继续点击确定9、点击应用按钮，这样就把Domain Users组添加到Power Users组中去了。

10、添加好后如下图，可以在Power Users组中看到它的成员中有LONG这个域中的Domain Users组了。

11、接下来用gpupdate /force命令刷新组策略。

12、重新启动客户端计算机，再验证策略是否成功,看下图客户端已经成功。

这样就可以在客户端正常安装软件了。

等所有客户端软件安装完成以后，为了安全起见再把Domain Users组从客户端本地Power Users组中移除，具体步骤：找到算机配置—Windows设置—安全设置—受限制的组—在右边选中Power Users 组—右键单击—属性—选中Domain Users组—删除接下来点击应用。

看到Power Users组的成员为空的时候，那么Domain Users组就已经从Power Users组中移除了。

安装与配置Active Directory/china/technet/prodtechnol/windowsserver2003/technologi es/directory/default.mspx1、实验目的让学生掌握目录服务知识。

2、实验环境多台装有Windows 2000 Server的计算机。

3、相关理论活动目录是一种目录服务，它存储有关网络对象的信息，例如，用户、组和计算机账户、共享资源和打印机等，并使管理员和用户可以方便地查找和使用网络信息。

活动目录的应用起源于Windows NT 4.0，在Windows 2000 Server中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。

活动目录的优点：(1)基于策略的管理(2)扩展性(3)可调整性(4)信息复制(5)与DNS的集成(6)灵活的查询(7)信息安全性4、实验内容（1）在安装Active Directory前首先确定DNS服务正常工作，下面来安装在根域为的第一台域控制器。

（2）运行Active Directory安装向导将Windows 2000 Server计算机为域控制器创建一个新域或者向现有的域添加其他域控制器。

5、实验步骤安装活动目录的具体操作步骤如下：(1) 执行“开始”→“程序”→“管理工具”→“配置服务器”命令，打开“Windows 2000配置服务器”对话框，如下图所示。

注释：安装完Windows 2000 Server后，每次启动计算机，系统都会自动打开“Windows 2000配置服务器”对话框。

(2) 在左边的列表中单击Active Directory(活动目录)选项，并将右边的滚动条拖动到底部，使对话框如下图所示。

(3) 单击“开始Active Directory向导”选项，打开“欢迎使用Active Directory 安装向导”对话框。

该对话框显示了Active Directory安装向导的简单欢迎信息。