windows 2008 r2 组策略设置和应用

Windows server 2008 R2 用组策略隐藏指定磁盘驱动器（盘符）1.我们通过修改C:\Windows\PolicyDefinitions\WindowsExplorer.admx这个文件来达到在Windows server 2008中隐藏指定盘符的功能.(编辑这个文件可以用记事本或者是notepad++)2.首先找到C:\Windows\PolicyDefinitions目录下的WindowsExplorer.admx和C:\Windows\PolicyDefinitions\zh-CN目录下的WindowsExplorer.adml两个文件，分别复制到桌面作为备份。

3.在WindowsExplorer.admx文件中查找字段NoDrives,添加相应的字符串可以设置隐藏指定的磁盘驱动器;查找字段NoViewOnDrive,并修改相应的字段,可以设置拒绝从Windows资源管理器访问某个磁盘驱动器.下面以设置隐藏指定的磁盘驱动器为例:(下列黑体字我测试时设置的"只显示Z,其他盘符不显示.")<policy name="NoDrives" class="User" displayName="$(string.NoDrives)"explainText="$(string.NoDrives_Help)" presentation="$(presentation.NoDrives)"key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"><parentCategory ref="windows:WindowsExplorer" /><supportedOn ref="windows:SUPPORTED_Win2k" /><elements><enum id="NoDrivesDropdown" valueName="NoDrives" required="true"><item displayName="$(string.ABOnly)"><value><decimal value="3" /></value></item><item displayName="$(string.COnly)"><value><decimal value="4" /></value></item><item displayName="$(string.DOnly)"><value><decimal value="8" /></value></item><item displayName="$(string.ABConly)"><value><decimal value="7" /></value></item><item displayName="$(string.ABCDOnly)"><value><decimal value="15" /></value></item><item displayName="$(string.ALLDrives)"><value><decimal value="67108863" /></value></item><item displayName="$(string.RestNoDrives)"><value><decimal value="0" /></value></item><item displayName="$(string.Zonly)"><value><decimal value="33554431" /></value></item></enum></elements></policy>…… ……（此处省略若干代码）<policy name="NoViewOnDrive" class="User" displayName="$(string.NoViewOnDrive)" explainText="$(string.NoViewOnDrive_Help)"presentation="$(presentation.NoViewOnDrive)"key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"><parentCategory ref="windows:WindowsExplorer" /><supportedOn ref="windows:SUPPORTED_Win2k" /><elements><enum id="NoDrivesDropdown" valueName="NoViewOnDrive" required="true"><item displayName="$(string.ABOnly)"><value><decimal value="3" /></value></item><item displayName="$(string.COnly)"><value><decimal value="4" /></value></item><item displayName="$(string.DOnly)"><value><decimal value="8" /></value></item><item displayName="$(string.ABConly)"><value><decimal value="7" /></value></item><item displayName="$(string.ABCDOnly)"><value><decimal value="15" /></value></item><item displayName="$(string.ALLDrives)"><value><decimal value="67108863" /></value></item><item displayName="$(string.RestNoDrives)"><value><decimal value="0" /></value></item><item displayName="$(string.Zonly)"><value><decimal value="33554431" /></value></item></enum></elements></policy>红色字体为增加的代码，总共2处。

windows2008 r2的账户锁定策略Windows2008 R2是微软公司推出的一款服务器操作系统。

在这个操作系统中，账户锁定策略是非常重要的一项安全措施。

本文将详细介绍Windows2008 R2的账户锁定策略，并一步一步回答与之相关的问题。

一、什么是账户锁定策略？账户锁定策略是指在一定的条件下，当用户连续输入错误的密码达到一定次数时，系统会自动锁定该账户一段时间，以保护系统的安全。

账户锁定策略可以防止暴力破解攻击，提高系统的安全性。

二、账户锁定策略的设置方法？步骤一：登录Windows Server 2008 R2系统，以管理员权限打开“服务器管理器”。

步骤二：在“服务器管理器”中，选择“配置”选项卡，点击“本地用户和组”，在右侧窗口中点击“用户”。

步骤三：在“用户”窗口中，选择需要设置账户锁定策略的用户，右键点击，选择“属性”。

步骤四：在“属性”窗口中，选择“账户”选项卡，在“帐户锁定”部分，点击“锁定帐户”复选框，并设置相关参数，比如“账户锁定阈值”和“锁定持续时间”。

然后点击“确定”保存设置。

三、账户锁定策略的参数解释1. 账户锁定阈值：表示当用户连续输入错误的密码次数达到设定的值时，系统会自动锁定该账户。

一般建议将该值设置为3~5次，以兼顾安全与用户体验。

2. 锁定持续时间：表示当账户被锁定后，需要等待的时间解锁账户。

可以选择设定一段时间（如15分钟），也可以设置为管理员手动解锁。

根据实际需求和安全要求进行设置。

四、账户锁定策略的作用账户锁定策略可以有效地防止恶意用户进行暴力破解攻击。

通过限制用户连续尝试错误密码的次数，避免了暴力破解攻击者利用程序自动化尝试密码。

同时，账户锁定策略还可以提醒用户注意密码的安全性，避免使用过于简单的密码。

五、账户锁定策略的注意事项1. 合理设置账户锁定阈值和锁定持续时间。

如果设置太低，可能会导致用户频繁被锁定，影响正常使用；如果设置太高，可能会增加系统被攻击的风险。

Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口1给administrator用户加密码，开始运行control userpassword2控制面板\用户帐户给administrator设密码control userpasswords2这个运行命令，可以取消输入密码你输入的没有错误，可能是你机子根本没有密码吧，你仔细看会发现你的指针是闪过一下漏斗的。

下面的效果一样的开始--运行，输入“rundll32 netplwiz.dll,UsersRunDll”，按回车键后弹出“用户帐户”窗口，看清楚，这可跟“控制面板”中打开的“用户账户”面板窗口不同哦！然后取消选定“要使用本机，用户必须输入用户名和密码”选项，单击确定，在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可。

2修改远程访问端口，这个可以在使用的软件上修改修改远程访问服务端口更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208，重启生效！Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002010（1）在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp（3）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp（5）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为同上的端口（6）在控制面板--Windows 防火墙--高级设置--入站规则--新建规则（7）选择端口--协议和端口--TCP/特定本地端口：同上的端口（8）下一步，选择允许连接（9）下一步，选择公用（10）下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。

2008r2 安全策略写入注册表在Windows Server 2008 R2中，可以通过组策略编辑器（Group Policy Editor）来配置安全策略，并将其写入注册表。

以下是一些步骤，可以帮助您在Windows Server 2008 R2中配置安全策略并写入注册表：1. 打开组策略编辑器：按下Win键，键入“组策略编辑器”，然后选择“组策略编辑器”。

2. 导航到所需的策略：在左侧导航窗格中，展开“计算机配置”或“用户配置”，然后选择“策略”文件夹。

3. 创建或编辑策略：右键单击“策略”文件夹，选择“创建新策略”或“编辑策略”。

4. 配置安全设置：在右侧窗格中，展开“安全设置”文件夹。

5. 配置安全选项：在“安全设置”文件夹中，您可以配置各种安全选项，例如帐户策略、本地策略、审核策略等。

根据您的需求进行必要的配置。

6. 确定策略：完成配置后，右键单击“安全设置”文件夹，选择“应用”以使更改生效。

7. 将策略写入注册表：在组策略编辑器中，展开“计算机配置”或“用户配置”，然后展开“Windows设置”文件夹。

8. 创建或编辑注册表项：右键单击“注册表”文件夹，选择“创建新项”或“编辑项”。

9. 将值添加到注册表：在右侧窗格中，选择要添加的注册表项，然后右键单击该项并选择“新建”>“DWORD值”或“字符串值”，根据需要为其指定名称和值。

10. 应用更改：完成注册表项的配置后，右键单击“注册表”文件夹，选择“应用”以使更改生效。

11. 关闭组策略编辑器：在组策略编辑器窗口中，单击“文件”>“退出”以关闭组策略编辑器。

请注意，在更改注册表之前，请确保您已备份注册表并了解注册表编辑器的使用风险。

错误的更改可能导致系统不稳定或无法正常工作。

建议在进行更改之前仔细阅读相关文档并谨慎操作。

如果要想把它作为类似于Windows 7的个人版操作系统的话，安装过后就必须对系统进行一系列的设置，本文介绍了系统安装系统后必须进行的一些配置。

内容半转载半原创，根据个人的经验和习惯加以整合，设置项太杂，对于转载的原文恕不一一引用了。

一、组策略和杂项（1）组策略中使用简单密码策略（取消复杂性和最长期限要求，最小长度设为0可以使用空密码）（2）组策略中启用“无须按Ctrl+Alt+Del”登录（3）组策略中禁用“关机事件跟踪程序”（为了取消关机原因的提示）关机事件跟踪(Shutdown Event Tracker)对于服务器来说这是一个必要的选择，但是对于工作站系统却没什么用，我们同样可以禁止它。

打开”开始“Start ->”运行“Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker”在出现的对话框中选择“禁止”(Disabled)，点击然后“确定”(OK)保存后退出这样，你将看到类似于windows 2000的关机窗口。

（4）组策略中设置开始菜单电源按纽为关机也可以不从组策略中修改此设置项（位于用户配置），而可以从“开始菜单和任务栏属性-开始菜单”中配置。

从开始菜单中修改并不会影响到组策略中的设置项，但是组策略中的修改将覆盖开始菜单中的配置。

建议从开始菜单属性中修改，这更方便一些，对系统影响也小。

（5）组策略中启用不显示“管理您的服务器”页（也可以在“管理您的服务器”页上直接设置）（6）关闭IE“增强安全配置”（ESC），建议更改主页（默认是安全提示页）（7）处理器计划设置为“程序”优先（8）数据执行保护设置为“仅为Windows基本程序和服务启用DEP”（9）在“桌面-个性化”设置中启用AERO主题（需要先按添加相关的服务和功能）（10）允许在登录界面执行关机（允许未登录时关机）对于服务器来说，在登录界面显示关机按钮是很不好的，意味着任何人都有权关闭服务器。

Windows2008应用之组策略分发应用程序安装和维护软件对于我们从事IT行业的人来说是常有的事，也是一件特别耗时的事。

现在技术的不断发展也同时带动着软件的频繁更新，为了适应公司作业的需求，我们也只能随着潮流将软件卸了又装，装了又卸。

一两台机如果采用手动进行安装相信不是件难事，但是当我们面对几十、上百上千甚至更多的客户端要同时安装新软件时，采用手动操作可想而知是件又耗时又耗力的事，而且还存在被他人追在屁股后面大叫的情况。

面对这些，我们有没有更好的办法来解决这个问题呢?其实微软已经推出如SMS、SCCM自动化部署工具。

但在这里我将给大家带来更为简单可行的办法－－利用组策略分发应用程序，这样即可以让大家省去一笔银子去购买SMS、SCCM工具，也可以很好的实现我们的目的。

一、准备工作1、部署一台Windows2008服务器，安装域控或加入到已经存在域中。

2、客户端加入与服务器相同的一个域中。

3、在AD中建立相应的组织单元和用户。

4、在Windows2008服务器中共享一个目录用于存储所需分发的软件，并且共享及安全权限要给验证用户只读权限。

二、设置组策略1、打开“组策略管理器”，依次展开到“组策略对象”，右键选择“新建”创建一个新的组策略对象，当然你也可以用它默认的进行修改。

2、在已经建立的新的组策略对象上双击或右键点编辑对新策略进行编辑，进入到“组策略管理编辑器”中展开“用户配置”并依次展开到“软件安装”，并点右键选择“新建”－“数据包”。

3、选择所需部署的软件，记住这里我们只能部署MSI格式的应用程序，EXE格式需要进行重新封装为MSI格式才能部署(转换工具有很多如：Wininstall,大家可以到网上去搜索下载)，选择文件时需要使用它的网络路径（如：\\dc2-2008\Install files\…)，否则客户端将无法读取文件，部署将失败。

4、建立好数据包后，我们将看到“软件安装”中已经有一条数据，其中“来源”中是网络路径，而部署状态是根据“软件设置”的默认状态来确定，主要有“已发布”和“已分配”两种。