Windows_Server_2008_AD组策略管理

结合组策略和注册表对IE进行安全进阶配置

过组策略配置IE

* 本文的实现环境为Windows 7 Ultimate + Internet Explorer 8

可配置的功能

● inPrivate 设置

● Internet 控制面板、功能、工具栏及菜单设置

● 安全功能、持续行为设置

● 控件、加速器、兼容性设置

● 脱机页面及浏览记录设置

● 企业功能设置

不同功能在组策略中的分类

示例方法：利用组策略配置 IE

此处，不仅左侧目录树中有着丰富的配置功能，在右侧的详细条目窗格中也有很多可供定义的设置。在配置时，只需双击需要设置的条目，在设置窗口内对选项和设定值进行修改即可。

下文中的配置方法如此例所示，除需要特殊说明外，基本步骤我不再另行截图。

计算机配置管理模板中的IE 配置

轻松搞定IE 安全进阶配置

对IE 进行安全进阶配置，就让我们一步一步来，步步为营，根据不同的环境要求做灵活配置。

锁定主页设置

在此条目中，将策略状态更改为“已启用”，并且填入我们需要的主页地址即可。如果不希望使用主页，

启用该策略并填入主页地址

设置完成后，IE 选项中的主页设置框将成为灰色不可用状态，并在会在设置窗口下方出现“某些设置由系统管理员管理”的提示。

IE 主页设置将不可用以及系统提示

禁用“另存为”功能

在企业或者公司重要部门，为了保证计算机存储资料的安全、保持计算机资料整齐和条理，可能不希望员工使用IE 的“另存为”功能保存网页，在组策略中可以实现此要求。

只需将此条目启用，在IE 的菜单栏“文件”选项下以及网页右键菜单中将不会显示“另存为...”按钮。禁用下载功能

上一条配置虽然禁用了“文件”菜单以及网页右键菜单中的“另存为”功能，但在链接、图片上若点击右键，依然会显示“目标另存为”功能，照样可以实现保存网页、图片，甚至是文件的功能。因此，我们还需要禁用IE 的下载功能。

只需将此条目启用，当在网页中的图片或其他元素上单击右键，“目标另存为”按钮都会是不可用的状态；而在链接上点击右键，虽然此按钮呈可用状态，但是点击之后会提示该功能不可用。

右键中的“目标另存为”功能已不可用

此组策略目录下的更多设置

在这个组策略目录下，还有更多设置，如：关闭”打印“菜单、禁用上下文菜单、禁用”Internet 选项“菜单等。

更多设置

菜单栏及右键菜单的进阶设置

到了这时，有人可能会问，如果我压根连浏览器菜单栏也不想对用户提供，更甚连右键菜单都需要禁用掉，怎么办？

我们依然可以使用组策略来完成，只是在禁用右键菜单上还需再结合注册表才可以做彻底。

禁用菜单栏

只需将此条目禁用，IE 中就无法在启用菜单栏。需要注意的是，在设置此功能之前请确认已将IE 中的菜单栏关闭，否则配置该条目之后将无法关闭菜单栏。

禁用IE 右键

打开注册表编辑器（regedit.exe）。

若没有经过上文中的组策略对菜单栏等的设置，请在组策略中新建该目录。

在该注册表目录下，新建名为”NoBrowserContextMenu“的DWORD 值，设置该键值为1 即为禁用IE 右键菜单，0 则是启用。

在注册表中编辑该键值为 1 即为禁用IE 右键菜单

当该键值为1 时，在IE 中就不再能打开右键菜单了。效果非常理想。

禁用”Internet 控制面板“中的相关功能

如果不希望用户通过”Internet 控制面板“修改IE 设置，我们可以通过组策略进行按需配置。

配置条目：

将需要屏蔽的控制面板选项页面禁用，IE 中的”Internet 控制面板“就不会再显示相关配置页面。

例如，我在这里启用了”禁用常规页“、”禁用内容页“以及”禁用连接页“，效果如下：

配置过的Internet 控制面板

可以看到，在”Internet 选项“窗口中将不再显示已被禁用的配置页面。

禁止关闭IE 浏览器

还有一种情况，企业的监视用电脑需要一直打开一个实时更新的数据监控网页，因而不希望用户关闭浏览器窗口。在组策略中可以完成此要求的设置。

只需将此条目启用，即可防止用户关闭浏览器。配置之后，无论用户是点击”文件“菜单中的”退出“按钮还是点击窗口右上角的红色”关闭窗口“按钮，都将被系统拒绝。

系统拒绝关闭窗口操作

注意：如果你是在跟着本文做实验，那么你会发现不仅在启用了改组策略之后IE 无法关闭，甚至当你将该策略禁用，依然无法关闭IE。此时，请通过任务管理器结束IE 进程（iexplore.exe）即可。

终极设置——禁用IE 浏览器

如果你说，你压根不希望用户使用IE ，IE 就是不安全因素的源泉，是一个梦魇，而且会让员工分散工作精力。那么，请直接禁用它吧。实现该要求，需要组策略对系统功能进行配置才可。

点击确定完成配置即可。

此时，无论通过何种方式运行IE ，都将失败并且收到系统的限制信息。

运行IE 时失败并收到系统限制信息

其他设置

在组策略中针对IE 还有这更多丰富的配置选项，此处就不一一列举了。希望本文能对大家是一个启发，希望各位能用好组策略，更好的管理和配置IE。

使用组策略进行账户安全配置

在目前所有 Windows 桌面操作系统中，Windows 7 可谓是集性能与安全两大优势于一身。它的易用性、易维护性都较上一版系统有着极大的提升。但是，安全与易维护特性的提升并不意味着能够高枕无忧了，万事都没有绝对化的，面对 Windows 7 ，我们更应该了解其新的安全特性，掌握正确的安全配置方法。

Windows 7 具有很多安全新特性，但是在默认情况下这些功能绝大多数都处于关闭状态。下

面，我们就来一步步启用这些安全功能。让客户资源能够获得最大限度的保护。

账户密码安全策略

账户密码策略

在组策略中可以对账户的密码安全性进行设置。

打开组策略，将左侧树目录定位至：

计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 密码策略

密码策略

这里可以看到丰富的密码安全策略条目。通常，为了保证用户密码的安全性，请启用“密码

必须符合复杂性要求”，密码复杂性要求的最低限度为：

● 不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分

● 至少有六个字符长

● 包含以下四类字符中的三类字符:

● 英文大写字母(A 到 Z)

● 英文小写字母(a 到 z)

● 10个基本数字(0 到 9)

● 非字母字符(例如 !、$、#、%)

需要注意的是，在域控制器下默认情况此策略配置是启用的，并且不能禁用此策略。需要禁用时，需要先删除域控制器。

其次，为了保证用户账户密码安全，还可以对密码长度、密码使用期限等进行配置。这里就不一一详述了。

防止依靠猜测密码进行恶意登录

目标要求

为了防止依靠猜测密码恶意登录，可以使用账户锁定策略进行配置，设定尝试登录失败阀值，激活账户锁定，使得被恶意猜测登录的账户在一定时间内不可用。

实现原理

通过配置组策略中的账户锁定策略，即可达到上述要求。

打开组策略（gpedit.msc），将目录树定位至安全设置：

计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 账户锁定策略

可以看到在此策略组下共有三条设置：账户锁定时间、账户锁定阀值、重置账户锁定计数器

●账户锁定时间：尝试登录失败次数达到阀值之后，账户被系统锁定的时间。

●账户锁定阀值：尝试登录失败的次数的阀值（最大值），达到此阀值时，账户将被系统锁定。尝试登陆失败次数不仅包括用户登录界面，还包括了 Ctrl+Alt+Del 以及密码保护的屏幕保护登录。

●重置账户锁定计数器：重置（归零）账户登录失败次数计数器所需要的时间。实现方法

设置账户锁定策略，需要先指定“账户锁定阀值”，因为锁定阀值是锁定时间的预先条件。在组策略配置中，若没有指定锁定阀值，“账户锁定时间”以及“重置账户锁定计数器”都将成不可用状态。

例如，我将锁定阀值设置为3：

设置好阀值之后，点击确定，会出现提示窗口，大意为系统根据我们自定义的阀值将对另外两项账户锁定策略（账户锁定时间、重置账户锁定计数器）进行建议值设置：

点击确定即可。此时可以看到所有关于账户锁定的策略都已被配置成功：

若上述步骤中的系统建议值（30分钟）符合用户要求，即无需改动。否则，请根据用户需

要自行设置即可。

若需要解除账户锁定策略，将“账户锁定阀值”设置为 0 即可，系统会自动对另外两项进行配置为不可用状态。

组策略管理——软件限制策略（1）

在系统安全方面，有人曾说，如果把 HIPS （Host-based Intrusion Prevention System ，基于主机的入侵防御系统）用的很好，就可以告别杀毒软件了。其实，在 Windows 中，如

果能将组策略中的“软件限制策略”使用的很好，再结合 NTFS 权限和注册表权限限制，依

然可以很淡定的告别杀软。

另一方面，由于组策略是原生于系统之上的，可能在底层与操作系统无缝结合，于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看，组策略中的“软件限制策略”才算是最好的系统管理利器。

当然，对于大多数用户来说，使用组策略来配置“软件管理策略”未免显得太过于繁杂专业，不得不承认的是，组策略的设计并没有为了最终用户体验而进行过优化的，相比其他 HIPS 软件，它在智能与灵活性上稍显不足。

注：本文实现环境基于 Windows 7 Ultimate x64 版本

软件限制策略的基本概念

“软件限制策略”，目的是通过标识或指定应用程序，实现控制应用程序运行的功能，使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则，则可使得程序可以在策略中得到标识，其中，路径规则在配置和应用中显得更加灵

活。在默认情况下，软件可以运行在“不受限”与“不允许”这两个级别上。

启用软件限制策略

在默认情况下，组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它：

●打开组策略编辑器：gpedit.msc

●将树目录定位至：计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略

●在“软件限制策略”上点击右键，点选“创建软件限制策略”

创建成功之后，组策略编辑窗口中会显示相关配置条目：

什么是“安全级别”？

安全级别

在默认情况下，系统默认为我们提供了三个安全级别：“不允许”、“基本用户”以及“不受限”。

不允许：不允许软件运行。

此级别不包含任何文件保护操作。只要用户的具有修改该文件的权限，即可对一个设定成“不允许”的文件进行读取、复制、粘贴、修改、删除等操作，组策略不会进行阻止。

不受限：允许软件在登录到计算机的用户的完全权限下运行。

此级别不等于完全不受限制，只是不受软件限制策略的附加限制。事实上，“不受限的”程序在启动时，系统将赋予该程序的父进程的权限，该程序所获得的访问令牌决定于其父进程，所以任何程序的权限将不会超过它的父进程。

基本用户：允许程序访问一般用户可以访问的资源，但没有管理员的访问权。

基本用户仅享有“跳过遍历检查”的特权，并拒绝享有管理员的权限。

在高级配置中，还有两个处于隐藏状态的安全级别供用户选择，我们可以通过修改注册表进行启用：

●打开注册表编辑器：regedit.exe

●定位注册表位置至：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

●新建名为 Levels 的 DOWRD 项，其值为十六进制的 0x4131000（十进制为：1094791424）注册表项创建完毕后重新打开组策略编辑器，可以看到另外两个级别此时已经显示出来了。

受限：无论用户的访问权如何，软件都无法访问某些资源，如加密密钥和凭据。

比基本用户限制更多，但也享有“跳过遍历检查”的特权。

不信任：允许程序访问只对众所周知的组授权的资源，不允许访问管理员特权和个人授予的权利。

不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。

根据权限限制程度，对所有安全级别进行排序的顺序依次为：

不受限 > 基本用户 > 受限 > 不信任 > 不允许

组策略管理——软件限制策略（2）

软件限制策略采取的规则

在组策略“软件限制策略”条目下，除了“安全级别”，还有一项目录称作“其他规则”。在对软件进行限制时，就需要使用“规则”来对软件进行标识。

右键单击“其他规则”，用户可根据不同的需要创建不同种类规则，分别有：证书规则、哈希规则、网络区域规则以及路径规则。

证书规则

软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和 Windows 安装程序包。可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。

路径规则

路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定，所以程序发生移动后路径规则将失效。路径规则中可以使用诸如 %programfiles% 或 %systemroot% 之类环境变量。路径规则也支持通配符，所支持的通配符为 * 和 ?。相对其他规则而言，此规则设置更为灵活方便。

哈希规则

哈希值是通过散列算法生成的唯一标识程序或文件的一系列定长字节。需要特别注意的是，对文件进行的任何篡改都将更改其哈希值并允许其绕过限制。但是重命名或者移动操作不会对哈希值产生影响。

网络区域规则

该规则主要用于使用Windows Installer技术安装的软件，因为通过该规则，我们可以对来自不同Internet 区域的软件的安装程序采取不同的限制措施。

软件限制策略规则的优先级

对同一个软件可以应用几个软件限制策略规则。这些规则将以下列优先权顺序应用（从高到

低）：

哈希规则> 证书规则> 路径规则> 网络区域规则

例如，如果某个软件程序所驻留的文件夹被指派了具有“不允许的”安全级别的路径规则，则在为该程序创建了具有“不受限的”安全级别的哈希规则后，该程序将能运行。哈希规则比任何路径规则优先级都要高。

如果对同一对象应用了两个路径规则，则两者中更为具体的规则将具有优先权。例如，如果C:\Windows\ 有一个具有“不允许的”安全级别的路径规则，而 C:\Windows\System32\ 有另一个具有“不受限的”安全级别的路径规则，则更为具体的路径规则将获得优先权。因此，C:\Windows\ 中的软件程序无法运行，而C:\Windows\System32\ 中的程序将运行。

如果对软件应用了两个仅在安全级别方面不同的规则，按最受限制的规则为准。例如，如果有两个哈希规则，一个具有“不允许的”的安全级别，一个具有“不受限的”的安全级别，当它们应用于同一软件程序时，具有“不允许的”安全级别的规则将获得优先权，因此该程序将不运行。

另外，对于路径规则，总的原则就是：规则越匹配越优先。

例如：

绝对路径 C:\Windows\System32\Taskmgr.exe

> 通配符全路径 *:\Windows\*\Taskmgr.exe

> 文件名规则 Taskmgr.exe

= 通配符文件名规则 *.*

> 部分绝对路径 C:\Windows\system32

= 部分通配符路径 C:\*\system32

> C:\Windows

= *\*

在路径规则中，即有如下特征：

绝对路径 > 通配符路径

文件名规则 > 目录规则

环境变量 = 相应的实际路径 = 注册表键值路径

对于同是目录规则，则能匹配的目录级数越多的规则越优先；对于同是文件名规则，优先级

均相同。

指定文件类型

在组策略中对软件的限制，其作用范围仅限于已被指定的文件类型。在“软件限制策略”根目录树下可以看到“指定的文件类型”策略条目。该条目允许我们自定义软件限制策略的作用范围。

默认情况下列表中的文件类型包括：

ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC

因此，对于正常的非可执行的文件，例如 TXT JPG GIF 这些是不受影响的，如果用户认为还有哪些扩展的文件有威胁，也可以将其扩展加入这里，或者是认为哪些扩展无威胁，也可以将其删除。

组策略管理——软件限制策略（3）

规则的权限分配及继承

操作系统对软件运行进行层次划分时，存在子进程、父进程的概念，若 B 程序是由 A 程序启动运行的，则称 A 为 B 的父进程，B 为 A 的子进程。在没有软件限制策略的情况下，如果程序 B 是由程序 A 启动，A 与 B 都在正常未受限的环境下工作。但是如果对 A 或者B 设置了软件限制策略，就存在权限继承和分配的问题。

在 Windows 组策略管理——软件限制策略中，对于程序权限的继承与分配，遵循的是最低权限原则。例如：在软件限制策略中，把 A 设为“基本用户”，对 B 不做任何限制（或设置为“不受限”），再由程序 A 启动程序 B，那么 B 将权限继承 A 的限制策略，运行于“基本用户”策略之下。

继承时的两种典型情况

A（基本用户）run--> B（不受限） => B（基本用户）

解释：

A 为“基本用户”，

B 不做限制或“不受限”且继由 A 运行启动，B 继承 A 的权限策略，运行于“基本用户”策略之下。

A（不受限）run--> B（基本用户） => B（基本用户）

解释：

B 为“基本用户”，A 不做限制或“不受限”，那么 A 启动 B 后，B 依然保持为“基本用户”权限。

由上面两种情况可以看到，一个程序所能获得的最终权限取决于其父进程权限和规则限

定的权限的最低等级，也就是我们所说的最低权限原则。

实例

若我们将 IE 的软件限制策略设置为“基本用户”等级，当运行 IE 之后，所有由 IE 执行的程序的权限都将不高于其父进程 IE 所在的“基本用户”级别，换句话说，由 IE 执行的程序所处的限制等级只可能更低。因此，使用这种限制手法，就可以很好的达到防范网页挂马等恶意代码的效果——即使 IE 下载木马或病毒并执行了，病毒由于权限的限制，无法对系统进行有害的操作，这样，病毒就丧失了行动能力，不会对系统构成危害，包括添加恶

意启动项等操作，此时，杀毒软件等即可对其进行轻松查杀。

受信任的发布者

可以使用“受信任的发布者”对话框来配置哪些用户可以选择和管理受信任的发布者。还可以确定在信任发布者之前执行哪些证书吊销检查（如果存在）。当启用证书规则后，软件限制策略将检查证书吊销列表 CRL，以确保软件的证书和签名有效。不过，这同时也会因为签名程序的启动而造成系统性能的下降。

配置“受信任的发布者”属性

在组策略设置条目“强制”中，可以根据需要进一步确定软件限制策略的作用范围。

在该组策略条目中，可以设置软件限制策略是否作用于管理员账户，是否应用到所有软件文件以及是否强制要求证书规则。

强制属性

组策略管理——软件限制策略（4）

编写软件限制规则

在前面几篇文章中讲了软件限制规则的基本概念，现在就来学习如何编写自定义软件限制策

略。

编写规则应遵循的原则

首先，需要大家注意的是，软件限制策略应本着方便、安全、实用的原则来编写。限制规则灵活方便，自定义的限制规则不能对自己的日常管理、维护等有过多的限制，并要留有充分的调整空间和变动余地，这样，即使出现问题也好进行解决；在安全性方面，需要综合考虑到用户系统面临的危险来源是哪些，不仅要有普遍的防护措施，还要针对其所处环境特点做好防护；最后关于实用方面，需要在策略规则编写时注意规则的严谨性和可操作性，例如，基于文件名辨别病毒就属于不严谨的，不需要制作大而全的规则“库”，需要的仅仅是几条

实用、易用的规则。

编写方法

首先，启动“组策略编辑器”(gpedit.msc)，将树目录定位至

计算机配置-> Windows 配置-> 安全设置-> 软件限制策略

如果之前没有对“软件限制策略”进行过配置，那么，请右击树目录中的“软件限制策略”，点击“创建软件限制策略”：

创建之后，软件限制策略可展开，此目录下有两个子目录，分别是：安全级别与其他规则。

接下来，请在“其他规则”上右击点选“新建路径规则”，创建我们自定义的路径规则条目。如果你不清楚各种规则条目分类区别，请查阅组策略管理——软件限制策略（2）。

新建路径规则：

Active+Diretory+全攻略--组策略

组策略与OU中的组没有关系，不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如：用户桌面环境、计算机启动/关机所执行脚本文件，用户登录/注销所执行的脚本文件、文件重定向、软件安装等。 一、组策略的基本概念 1、组策略的设置数据保存在AD数据库中，因此必须在域控制器上设置组策略。 2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。 3、组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU） 4、组策略不适用于WINDOWS9X/NT的计算机，所以应用到这些计算机上无效。 5、组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应使用本地安全策略来管理。注意一下：本地安全策略与组策略很相似，但功能较少，仅能管理本机上的计算机设置与用户设置。 GPO的特性： 组策略的设置数据都是保存在“组策略对象“（GPO）中，GP O具有以下特性：

1、GPO利用ACL记录权限设置，可以修改个别GPO的A CL，指定哪些人对该GPO拥有何种权限。 2、用户只要有足够的权限，便能够添加或删除GPO，但无法复制GPO。当AD域刚建好时，默认仅有一个GPO--DEFA OLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略，通常会再另行建立GPO，以方便管理。 GPO的内容： GPO有两大类策略：1、计算机设置：包含所有与计算机有关的策略设置，这些策略只会应用到计算机帐户。 2、用户设置：包含所有与用户有关的策略设置，这些策略只会应用到用户帐户。 下面来看下

Window 2008 R2组策略之一——组策略管理控制台

组策略管理在windows域管理中占有重要地位，本身也不是新的内容了。但微软在Windows2008中终于集成了一个非常好用的组策略管理工具——组策略管理控制台。并 且为原有的组策略添加了新的元素。本文从介绍组策略管理控制台入手，力求通过比较通俗的语言，为组策略新手开启一扇进入Windows域高级管理的大门。由于本人水平所限，如有不妥之处，请方家不吝赐教。 在08以前的Windows Server中要想配置组策略，是件麻烦事。后来微软推出了一个 小工具——gpmc，才解决了问题，但这个工具需要下载和安装，许多人不知道有这个工 具的存在。在Windows 2008中，微软将它集成了进来，大大方便了管理员对于组策略的 管理和配置。首先，让我们看看它的庐山真面目吧！点击“开始”，导航到“管理工具”，选 择“Group Policy Management”命令，打开组策略管理控制台。（见图一） 图一 正如各位所见，在此管理控制台的根节点，是一个叫做“https://www.360docs.net/doc/fa4660281.html,”的森林根节点。展 开后，可见如下几个主要节点：域，默认情况下是与森林同名的域；组策略对象（Group Policy Objects——GPO），是存放所有组策略的节点，包括用户创建的和默认域策略以及 默认域控制器策略；Starter GPOS（初级使用者GPO），它衍生自一个GPO，并且具有将一组管理模板策略集成在一个对象中的能力（Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative

管理员操作手册-AD域控及组策略管理_51CTO下载

AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控（DC）基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位（OU） (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位：(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象（dsmod） (14) 6、其他命令（dsquery、dsmove、dsrm） (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)

一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于： 1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。 2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

3种用组策略将域帐号加入本地管理员组的方法

3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”

2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。 第1种方法的步骤很简单： .在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图 第2种方法：

为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下： 为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： https://www.360docs.net/doc/fa4660281.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：

在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组

组策略终极应用技巧

组策略终极应用技巧 出处：中国IT实验室责任编辑：ANSON2006-03-17 15:39:34 关闭缩略图的缓存（Windows XP/2003） Windows XP/20003系统系统具有缩略图的功能，为加快那些被频繁浏览的缩略图显示速度，系统还会将这些显示过的图片置于缓存中，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。若你不希望系统进行缓存的话，则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理，反而会大大加快第一次浏览的速度。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示：若你的电脑是一个网络中的共享工作站，为了数据安全，建议你启用该设置以关闭缩略图视图缓存，因为缩略图视图缓存可以被任何人读取。

屏蔽系统自带的CD刻录功能（Windows XP/2003） Windows XP/2003系统自带CD刻录功能，若你有刻录机连接在电脑上，在Windows 资源管理器中可以直接将数据犹如复制一样写到CD－R上。这样虽然方便，但是会影响系统性能和资源管理器的执行速度，再加之大部分用户都习惯了运用专用刻录软件进行刻录，所以我们建议无论电脑上有无刻录机，都可以利用组策略来屏蔽此功。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示：该设置不会阻止用户使用第三方应用程序来刻录或修改CD－R。 限制IE浏览器的保存功能（Windows 2000/XP/2003）

当多人共用一台计算机时，为了保持硬盘的整洁，对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢？具体步骤如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”，然后将右侧窗格中的“…文件?菜单：禁用…另存为...?菜单项”、“…文件?菜单：禁用另存为网页菜单项”、“…查看?菜单：禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改，可以将“…工具?菜单：禁用…Internet选项...?”策略启用。此外，如果个人需要的话，还可以在该窗格中禁用其他项目。 禁止修改IE浏览器的主页（Windows 2000/XP/2003） 在IE浏览器中可以设置默认主页，如果不希望他人对自己设定的IE浏览器主页进

域组策略应用详解

Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

Active Directory 环境中使用组策略管理控制台 9468915501

Active Directory 环境中使用组策略管理控制 台9468915501 该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。该指南并不提供G PO 实施指导。 本页内容 简介 逐步式指南 Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。本指南第一介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory?；安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。 ? ?

在配置通用网络结构后，能够使用任何其他的逐步式指南。注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。 Microsoft Virtual PC 能够在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术，客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。 Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的，但大多数配置不经修改就能够应用于虚拟环境。 将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。 重要讲明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。 此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。 此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。 概述 Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具，它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。

window实验手册组策略规划

w i n d o w实验手册组策 略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】

教学时 间 第五周2008-3-18 教学课 时 3 教案序 号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略 教学过程： 一、OU（组织单元）的管理 1、OU的概念 域是最小的管理单位，在活动目录中，域一般对应公司，而OU则对应于公司中的部门。OU是活动目录中的容器，可以在OU中建立用户、组等其他对象，也可以在OU中建立OU。 2、建立OU及子对象 （1）注意图标。 （2）建立步骤：在需要创建的空白处右击，选择“新建”——“组织单元”，在对话框内输入OU名称即可。 （3）在OU中可以放用户、组、打印机、共享文件夹、子OU等。 实验一：OU的管理 1、在下中新建“教师”和“学生”两个OU，再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1，t2账户，“学生”OU中包括s1，s2账户，“普通教师”OU中包括c1，c2账户。

二、组策略概述 1、组策略的概念 （1）组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括管理模板设置、Windows设置、软件设置。 （2）组策略配置包含在一个组策略对象（GPO）中，该对象又与选定的活动目录服务容器（如站点、域、组织单元OU等）相关联，不会影响没有加入域的计算机和用户。 （3）组策略配置类型有：计算机配置和用户配置。 （4）组策略分为：本地安全策略和活动目录的组策略。 本地安全策略适用于本地用户和组，我们所讲的是活动目录的组策略，活动目录安装好以后就自动建立了两个组策略（域控制器安全策略和域安全策略）。 2、组策略的应用顺序 （1）本地组策略 （2）域组策略 （3）域控制器组策略 （4）组织单元组策略 三、组策略对象的管理 我们可以通过Active Directory用户和计算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。 1、创建组策略 步骤：右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略 步骤：右击-属性-“组策略”选项卡-“编辑”按钮

组策略的管理(账户锁定策略)

组策略的管理（账户锁定策略） 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户，用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”，可打开组策略控制台，依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 （1）账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户，除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0，则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上，失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中，双击“账户锁定阈值”选项，显示“账户锁定阈值属性”对话框，选中“定义这个策略设置”复选框，在“账户不锁定”文本框中输入无效登录的次数，例如3，则表示3次无效登录后，锁定登录所使用的账户。 建议启用该策略，并设置为至少3次，以避免非法用户登录。 （2）账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0，那么在管理员明确将其解锁前，该账户将被锁定。

如果定义了账户锁定阈值，则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框，选中“定义这个策略设置”复选框，在“账户锁定时间”文本框中输入账户锁定时间，例如30，则表示账户被锁定的时间为30分钟，30分钟后方可使用再次使用被锁定的账户。 默认值为无，因为只有当指定了账户锁定阈值时，该策略设置才有意义。 （3）复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数，有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值，则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框，选中“定义这个策略设置”复选框，在“复位账户锁定计数器”文本框中输入账户锁定复位的时间，例如30，表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时，该策略设置才有意义。

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读 实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠 ：1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

Windows2003组策略配置、应用与管理

第10章组策略配置、应用与管理

10.1 组策略基础 组策略是Active Directory（活动目录）服务中允许管理员针对用户和计算机进行配置的基础架构。它与注册表的功能类似，但其设置组织形式更加直观，更加便于操作、配置与管理。它将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 10.1.1 组策略结构 组策略设置主要包括：用户计算机环境（如"开始"菜单、桌面快捷项、控制面板选项、可用程序等）、计算机和用户的本地或网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP安全策略等）。可以用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。创建的组策略设置包含在组策略对象（GPO）中，通过将GPO与所选的Active Directory系统容器--站点、域和组织单位相关联，实现组策略设置的具体应用。还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。 组策略可基于活动目录中的用户和计算机账户两种对象分别进行配置，所以在GPO中的组策略设置项中包括"计算机配置"和"用户配置"两大部分（如图10-1所示），这就是组策略的基本结构。而且可以看到，在这两大部分中，有许多设置项是相同的，如都有"软件设置"、"Windows设置"和"管理模板"等这几部分，而且在这些部分中，又有许多相同的子设置选项。我们知道，"计算机配置"是针对计算机对象而言的，"用户配置"是针对用户对象而言的，而用户配置又是通过计算机来应用的，这就存在一个可能两者的相同选项设置不一致、有冲突的问题，这时又该应用哪个设置呢？根据组策略规定，当两者的配置有冲突时，最终以计算机策略为依据。 组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何其他Windows 2000计算机。组策略对象（GPO）的创建的最大容器是域，最小容器是组织单位（OU），当然可以为各级OU创建不同的GPO。不能为特定的计算机或用户创建

组策略(gpedit.msc)学习

组策略（gpedit.msc）学习 习背景：组策略就是修改注册表中的配置。当然，组策略使自己更完善计算机的管理组织方法，可以对 各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大. 学习目的：熟悉组策略的使用，完善计算机的管理与设置 学习步骤：组策略的启动，组策略的实际例子操作讲解，安全防范，组策略的保护！ 地计算机配置对应注册表 HKEY_LOCAL_MACHINE 本地用户配置对应注册表 HKEY_CURRENT_USER 访问本地组策略的方法有两种： 第一种方法是命令行方式：“开始”→“运行”→“gpedit.msc”→“确定”刚才我们演示的 （gpedit.msc我们可以在系统盘中找到“C:\WINNT\SYSTEM32\gpedit.msc”） 第二种方法是通过在MMC控制台中选择GPE插件来实现: “开始”→“运行”→“mmc”→“确定”→“文件”→“添加/删除管理单元”→“独立”→“添加”→“添加独立管理单元”→"组策略对象编辑器" 大家看到了吧！这样也是可以的，只是麻烦了点！继续讲解啊！ “本地计算机策略” | |——“计算机配置” 对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运 | | 行环境都起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块” | | |——“用户配置”对当前用户的系统配置进行设置的，它仅对当前用户起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块”

下面我们就用实际的例子来学习组策略这个超级工具！（因为组策略的功能太多，太强大！所以我就选择 其中有代表性的例子进行讲解！一一讲解的话，你可以与我QQ联系，我一一讲解，这里不耽误大家时间） （任何事情都是有起因的，呵呵） 事件一.起因：我们想不让别人使用我们的CMD（命令）与REGEDIT（注册表），所以我想删除“运行” 因为我们运行CMD与REGEDIT多是在运行菜单下进行的操作如下（涉及2个知识点） 我们在实验之前看看我们的运行菜单他还好好的在那里！！ 知识点1.“任务栏”和“开始”菜单相关选项的删除和禁用 （1）在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略 ！我们现在看看他没了运行菜单没了 删除“运行”那么操作如下： 用户配置”→“管理模板”→“任务栏和「开始」菜单”→从开始菜单中删除运行→已启用→确定 那么我们想禁止使用CMD与REGEDIT的话是不是就已经成功了呢！带着疑问我们看看！ 没有运行菜单了是不是就是我的实验成功了呢？？？？是不是就是不可以运行CMD与REGEDIT了呢？？ 我们接着看看大家可以看得懂我的操作是什么吧就是运用BAT文件运行CMD与REGEDIT 我们的命令提示符出来了说明我们没有成功！ 没有成功！继续深入！ 知识点2.禁止使用CMD与REGEDIT （2）在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→“系统”分支。 在右侧我们可以看到“阻止访问命令提示符”和“阻止访问注册表编辑工具”双击“已启用”确定 检验结果！

组策略应用之域环境内的统一发放补丁

组策略应用之域环境内的统一发放补丁 这是平常应用中的一个小案例，说出来和大家分享一下，现在很多公司都是用MS的产品，而且都是用域来管理，大家都知道AD的好处就是能统一资源管理，而在AD中起到关键作用的就是“组策略”。 说说本人在日常管理中的应用小窍门，说白了也不是什么小窍门，只是按规章办事就好而已，做足了这些工作之后就能做个轻松的管理员，可以减少很多病毒的困扰和很多麻烦琐事。那就是 1：对所有电脑统一发放最新系统更新补丁，很多病毒蠕虫都是趁着这个来的了2：及时更新杀毒软件病毒库 3：给员工适合的权限也能大大减少中病毒木马的几率，例如一个只有USER权限的员工，中了木马后没有安装的权限所以木马就运行不起来，给相应的权限很重要把，呵呵…这些做足了，很多病毒木马想找你都没门了。 好了越扯越远了，接下来就来说说AD环境中统一发放补丁的一个组策略应用把，想要统一发放补丁就必须先搭建一个WSUS服务器，MS免费的哦，难得啊还不好好利用，怎么搭建和应用这里就不讲了，大家百度谷歌吧，当我们搭建好了WSUS服务器之后就开始我们的组策略之旅了。 这里我更新域里面的所有计算机 新建策略“UPDATE”

小名取好之后就“编辑”吧

打开组策略后依次展开计算机配置>Windows组件>Windows Update

看到右边的配置自动更新了吗？

我们启动它，配置如图,更新计划和时间可以根据自身的情况去定

我们再来配置“指定Internet Microsoft更新服务位置”也就只填进你WSUS服务器的URL路径，指定了端口的还要把端口也加上去

组策略完全使用手册

组策略完全使用手册 对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。 使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开： (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

管理员操作手册-AD域控及组策略管理 51CTO下载

四川省烟草专卖局（公司） 效能协同平台 管理员操作手册 AD域控及组策略管理 版本号 1.0 日期:2011年6月 山东浪潮齐鲁软件产业股份有限公司

文档修订记录

目录 一、Active Directory(AD)活动目录简介 (4) 1、工作组与域的区别 (4) 2、公司采用域管理的好处 (4) 3、Active Directory(AD)活动目录的功能 (6) 二、AD域控（DC）基本操作 (6) 1、登陆AD域控 (6) 2、新建组织单位（OU） (8) 3、新建用户 (10) 4、调整用户 (11) 5、调整计算机 (14) 三、AD域控常用命令 (15) 1、创建组织单位：(dsadd) (15) 2、创建域用户帐户(dsadd) (15) 3、创建计算机帐户(dsadd) (15) 4、创建联系人(dsadd) (16) 5、修改活动目录对象（dsmod） (16) 6、其他命令（dsquery、dsmove、dsrm） (17) 四、组策略管理 (19) 1、打开组策略管理器 (19) 2、受信任的根证书办法机构组策略设置 (20) 3、IE安全及隐私组策略设置 (25) 4、注册表项推送 (30) 五、设置DNS转发 (33)

一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于： 1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。 2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

Windows组策略应用大全

Windows组策略应用大全.txt9母爱是一滴甘露，亲吻干涸的泥土，它用细雨的温情，用钻石的坚毅，期待着闪着碎光的泥土的肥沃；母爱不是人生中的一个凝固点，而是一条流动的河，这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? （一）组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 （二）组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows?9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows?2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active?Directory?对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1）System.adm：默认情况下安装在“组策略”中，用于系统设置。 2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet?Explorer策略设置。 3）Wmplayer.adm：用于Windows?Media?Player?设置。 4）Conf.adm：用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows?9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。