如何设置常用组策略

［技巧］gpedｉt.mｓｃ组策略应用大全gpedit.mscﻫ组策略应用全攻略ﻫ一、什么是组策略ﻫ（一)组策略有什么用？说到组策略,就不得不提注册表。

注册表是Windows系统中保存系统、应用软件配置的数据库,随着Wiｎdoｗs功能的越来越丰富，注册表里的配置项目也越来越多。

很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置,可想是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用,从而达到方便管理计算机的目的。

ﻫ简单点说，组策略就是修改注册表中的配置。

当然,组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活,功能也更加强大。

(二)组策略的版本ﻫ大部分Wiｎdｏws 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。

其实组策略是系统策略的更高级扩展，它是由Wｉndows 9X／NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Ｗiｎｄows 2０0０/XP/２0０３系统。

早期系统策略的运行机制是通过策略管理模板,定义特定的．ＰOＬ(通常是Confｉg．ｐol）文件。

当用户登录的时候，它会重写注册表中的设置值。

当然,系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然,Wｉndows 2000/ＸP/２003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActivｅDiｒｅctｏry 对象(即站点、域或组织单位）并对它进行设置。

这是以前“系统策略编辑器”工具无法做到的。

无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

使用 Windows XP 组策略修改系统配置组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。

通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。

微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。

利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。

平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。

组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强。

本文主要介绍Windows XP Professional本地组策略的应用。

本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。

其下所有设置项的配置都将保存到注册表的相关项目中。

其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到HKEY_CURRENT_USER。

一、访问组策略有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是打开控制台，将组策略添加进去。

1. 输入gpedit.msc命令访问选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。

组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。

这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。

此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。

“计算机配置”、“用户配置”两大节点下的子和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。

Windows8组策略在Windows8RTM9200版本中，较Win7新增加了127个组策略选项，其中有25个组策略比较常用，列举如下：一、账户同步设置（1）不同步说明：阻止微软服务器与此电脑进行双向同步（不上传，不下载）。

这将关闭并禁用电脑设置中的“同步你的设置”页上的“同步你的设置”切换开关。

（2）不同步个性化说明：阻止“个性化”设置同步至微软服务器，不下载个性化设置。

这将关闭并禁用电脑设置中的“同步你的设置”页上的“个性化”组。

（3）不同步浏览器设置说明：阻止“浏览器”组与PC之间的双向同步。

这会关闭和禁用PC设置的“同步你的设置”页面中的“浏览器”组。

“浏览器”组包含设置和历史记录与收藏夹等信息。

（4）不同步密码说明：阻止“密码”组与此电脑进行双向同步。

这将关闭并禁用电脑设置中的“同步你的设置”页上的“密码”组。

（5）不同步其他Windows设置说明：阻止“其他Windows设置”组与此电脑进行双向同步。

这将关闭并禁用电脑设置中的“同步你的设置”页上的“其他Windows设置”组。

（6）不同步应用设置说明：阻止“应用设置”组与此电脑进行双向同步。

这将关闭并禁用电脑设置中的“同步你的设置”页上的“应用设置”组。

（7）不同步桌面个性化说明：阻止“桌面个性化”组与此电脑进行双向同步。

这将关闭并禁用电脑设置中的“同步你的设置”页上的“桌面个性化”组。

二、通知显示设置（1）不显示“仅本地访问”网络图标说明：即使连接到网络的用户仅可本地访问，系统任务栏也会显示Internet访问图标（2）不显示“安装了新应用程序”通知说明：将不会显示通知（3）不显示“密码显示”按钮说明：如果启用此策略设置，则用户在密码输入文本框中键入密码后，不会显示“密码显示”按钮。

（4）不显示“显示密码”按钮说明：在IE10中，如果你启用此策略设置，则所有密码字段都将隐藏“显示密码”按钮。

用户和开发人员将无法依赖于以任何Web表单或Web应用程序显示的“显示密码”按钮。

电脑怎么设置为别人不能玩游戏电脑设置让别人玩不了游戏的方法要想完成这样的限制别人的设置，需要用到电脑系统组策略，首先需要先打开组策略。

在运行中输入gpedit.msc,然后敲回车;或者打开我的电脑，或者文件夹，在路径目录选框中输入C:\WINDOWS\system32\gpedit.msc;在打开的组策略中，依次展开用户配置管理模板系统;在系统选项中找到不要运行指定的Windows应用程序的选项;这样就限制了别人玩自己电脑上的游戏了;但为了不影响自己玩，在D盘根目录下新建一个记事本，输入F:\ProgramFiles\Tencent\dota2\dota2.exeExit然后保存为dota2.bat文件格式的文档，如果自己玩，运行D：\dota2.bat就可以启动游戏了。

相关阅读：电脑常用使用小技巧如何我们要离开座位，又不想让人看到我们的电脑中的内容或者一些聊天信息的话，可以使用快捷键【Windows+L】键，可以将电脑锁屏。

使用快捷键【ctrl+w】，可以关闭所有的页面，包括浏览器页面和记事本页面等等如果桌面的图片太多太乱，很难找到我的电脑或计算机图标的话，可以使用快捷键【Windows+E】，即可打开资源管理器。

当有人做过来的时候，你不想让人看到你在浏览什么网页的话，可以使用快捷键【Windows+D】，直接返回桌面，一步到位。

想要直接打开电脑自带的录像功能的话，可以使用快捷键【Windows+R】，然后输入【prs.exe】，点击下回车键即可打开录像功能。

如果你想同时打开某些进程，以3D效果的形式打开的话，可以使用快捷键【ctrl+Tab】，可以让页面以3D效果呈现。

想要打开虚拟键盘的话，只需使用快捷键【windows+R】，然后输入【osk】，即可出现虚拟键盘啦。

在域环境下配置组策略批量安装客户端常用软件部署方法：(一) 在主域控制器的F盘，新建一个目录，命名为“软件安装共享”，设置共享后，并确保user组用户具有读取，执行权限。

（最好在“软件安装共享”的安全属性配置向下继承）(二) 打开主域控制器上的“Active Directory用户与计算机”右键“”属性，选择“组策略”“编辑”，进入“组策略编辑器”(三) 注意：将用户liyuan加入到DomainAdministrators 安全组、Enterprise Administrators 安全组或Group Policy Creator Owners 安全组。

以发布用户方式安装1. 依次展开“用户配置”“软件设置”“软件安装”。

2. 新建一个“程序包”，在“文件名”后的文本框内输入UNC路径（例如// 192.168.0.1）软件安装共享\ apache_2.2.4-win32-x86-no_ssl.msi3. 选择“apache_2.2.4-win32-x86-no_ssl.msi”软件后，点打开4. 配置部署方法为“已发布”5. 确定后，登陆客户端client-01进行测试。

（测试失败可使用gpupdate/force命令刷新组策略后，重试。

）6. 在客户端的“添加/删除程序”中“添加新程序”，找到“apache_2.2.4-win32-x86-no_ssl.msi”双击安装。

以指派用户方式安装1. 在部署软件时选择“已指派”2. 选择“apache_2.2.4-win32-x86-no_ssl.msi”属性，选中“在登录时安装此应用程序”3. 登录客户端，自动安装软件，可卸载。

以指派计算机方式安装1. 在“AD用户与计算机”下，新建一个组织单元us，将computers下的client01客户端，移动到us里面。

2. 右键“us”选择“属性”，点击“组策略”，新建一个策略。

3. 点击“编辑”，展开“计算机设置”“软件设置”，在“软件安装”上右键，新建一个“程序包”文件名后面的文本框最好用完整的计算机名，如\\ \软件安装共享\ apache_2.2.4-win32-x86-no_ssl.msi4. 默认部署类型“已指派”5. 在客户端上登录，显示如下界面，说明该软件通过组策略安装成功。

ad域常用策略AD域（Active Directory）是一种由微软公司开发的用于管理网络资源的目录服务。

在企业和组织中，AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面，以确保网络的稳定运行和信息安全。

本文将介绍AD域常用策略的相关内容。

一、用户权限管理策略1. 密码策略：通过设置密码复杂度、密码过期时间等参数，确保用户的密码安全可靠。

密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码，并设置密码最短使用期限和密码历史，禁止用户频繁更改密码。

2. 用户账户锁定策略：设置账户锁定阈值和锁定时间，当用户连续多次输入错误密码时，账户将被锁定一段时间，以防止密码暴力破解。

3. 用户授权策略：通过授权用户的组成员身份和所属组织单位，限制用户对资源的访问权限，确保数据的安全性和完整性。

二、安全策略1. 安全审核策略：启用安全审核策略，记录系统日志和安全事件，及时发现和处理安全漏洞和威胁。

2. 账户登录策略：限制用户登录计算机的方式和时间，设置登录失败提示信息，以防止非法用户的登录访问。

3. 文件和文件夹权限策略：通过设置文件和文件夹的权限，保护重要数据不被未授权的用户访问和修改。

三、网络访问控制策略1. 防火墙策略：设置防火墙规则，限制不同网络段之间的通信，阻止潜在的网络攻击和入侵。

2. 网络访问策略：通过设置网络访问规则和权限，限制特定用户或用户组对特定网络资源的访问，确保网络资源的安全和合规性。

四、软件安装与更新策略1. 软件安装策略：通过AD域控制器的软件分发功能，实现远程软件安装和更新，确保企业中所有计算机的软件版本一致性和安全性。

2. Windows更新策略：配置Windows更新设置，自动下载和安装操作系统和应用程序的更新补丁，及时修复安全漏洞，提高系统的稳定性和安全性。

五、域控制器策略1. 域控制器安全策略：加强对域控制器的安全管理，设置域控制器的安全审计策略、密码策略和账户锁定策略，提高域控制器的安全性。

使用域组策略/脚本统一配置防火墙目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置；统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法；1 域组策略统一配置防火墙使用域管理员登录域控制器，打开“管理工具>组策略管理”；在目标组织单位右击，新建GPO；1.1 禁用客户端防火墙1.1.1 域策略配置右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务；结果如下；1.1.2 查看客户端结果重启XP客户端查看结果重启Win7客户端查看结果1.2 开放客户端防火墙端口（注：首先将上面组策略中的系统服务设置还原在进行下一步的配置）1.2.1 域策略配置右击目标GPO选择编辑，选择“ 计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；组策略设置描述Windows 防火墙: 保护所有网络连接用于指定所有网络连接都已启用Windows 防火墙。

Windows 防火墙: 不允许例外用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。

Windows 防火墙: 定义程序例外用于通过应用程序文件名定义已添加到例外列表的通信。

Windows 防火墙: 允许本地程序例外用于启用程序例外的本地配置。

本地安全策略命令本地安全策略是Windows操作系统中的一个重要功能，它可以帮助用户管理计算机的安全设置，包括密码策略、账户锁定策略、用户权限等。

通过本地安全策略命令，用户可以在命令行界面下进行相关设置和管理操作。

本文将介绍一些常用的本地安全策略命令，帮助用户更好地了解和使用这一功能。

首先，我们需要打开命令提示符窗口，可以通过在Windows搜索栏中输入“cmd”并回车来打开。

接下来，我们可以输入以下命令来进行相应的设置和管理操作：1. secedit。

secedit命令可以帮助用户分析安全策略数据库并应用安全模板。

用户可以使用secedit命令来导入和导出安全模板，以及分析安全模板的配置情况。

例如，可以使用以下命令来导出当前安全设置：secedit /export /cfg "C:\security.cfg"这将会将当前的安全设置导出为一个security.cfg文件，用户可以在需要的时候进行导入操作。

2. net accounts。

net accounts命令可以帮助用户查看和更改计算机的密码策略设置。

用户可以使用net accounts命令来查看当前密码策略的详细信息，并可以根据需要进行修改。

例如，可以使用以下命令来设置密码最短长度为8个字符：net accounts /minpwlen:8。

这将会修改密码策略，要求所有用户的密码长度不得少于8个字符。

3. net user。

net user命令可以帮助用户管理本地用户账户，包括创建新用户、删除用户、修改用户密码等操作。

用户可以使用net user命令来查看当前系统中的用户账户信息，并进行相应的管理操作。

例如，可以使用以下命令来创建一个新用户账户：net user testuser 123456 /add。

这将会创建一个用户名为testuser，密码为123456的新用户账户。

4. gpupdate。

gpupdate命令可以帮助用户立即刷新本地计算机或当前用户的组策略设置。

A D域控及组策略管理目录一、Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于：1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。

在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。

而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。

这就是两者最大的不同。

2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

而工作组只是进行本地电脑的信息与安全的认证。

2、公司采用域管理的好处1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。

4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。