组策略一

组策略一●组策略可实现的功能与基本配置●帐户策略、用户指派权利●安全模板●本地组策略高级应用所谓组策略，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。组策略概述组策略是管理员为计算机和用户定义的，是用来控制应用程序、系统设置和管理模板的一种机制。简单地说，组策略就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。其实简单地说，组策略设置就是在修改注册表中的配置。组策略高于注册表，当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。组策略概述使用组策略可以实现的功能帐户策略的设定本地策略的设定脚本的设定用户工作环境的定制软件的安装与删除限制软件的运行文件夹的转移其他系统设定方法1：单击【开始】|【运行】命令，输入gpedit.msc，单击【确定】按钮，打开当前计算机的组策略。方法2：单击【开始】|【运行】命令，输入MMC，单击【确定】按钮，打开Microsoft管理控制台，添加【组策略对象编辑器】，选择所需的组策略对象，打开要编辑的组策略对象。启动组策略的方法组策略界面组策略主界面共分为左右两个窗格，左边窗格中的【“本地计算机”策略】由【计算机配置】和【用户配置】两个子项构成，右边窗格中是针对左边某一配置可以设置的具体策略组策略对象组策略的基本单元是组策略对象GPO,它是一组设置的组合。有两种类型的组策略对象：本地组策略对象和非本地组策略对象，即基于ActiveDirectory的GPO和本地GPO。组策略作用范围：由它们所链接的站点、域或组织单元启用。组策略模板组策略模板GPT实现了一系列指令，在组策略编辑器“计算机配置”和“用户配置”文件夹下导入这些管理模板文件，以实现在组策略中配置相关选项的目的。.adm文件本身并不是部署到客户端操作系统的实际设置，它只是一种模板文件。.adm文件存储在两个位置：GPO内部和本地计算机上的%windir%\inf文件夹中(1)System.adm：默认安装在“组策略”中，用于系统设置(2)Inetres.adm：默认安装在“组策略”中，用于InternetExplorer(IE)策略设置。(3)Wmplayer.adm：用于WindowsMediaPlayer设置。(4)Conf.adm：用于NetMeeting设置。(5)Wuau.adm：WindowsUpdate设置模板文件。组策略的应用时机计算机配置：计算机开机时自动启用，域控制器默认每隔5分钟自动启用，非域控制器默认每隔90-120分钟自动启动，此外不论策略是否有变动系统每隔16小时自动启动一次。用户配置：用户登录时自动启用，系统默认每隔90分钟自动启动，此外不论策略是否有变动系统每隔16小时自动启动一次。手动启动组策略的命令是：gpupdate/target:compute/force组策略的处理顺序组策略的配置是累加的。应用的顺序：本地组策略对象→站点的组策略对象→域的组策略对象→组织单元的组策略对象。后面策略覆盖前面策略。1.计算机配置计算机配置包括所有与计算机相关的策略设置，它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项以及应用设置。2.用户配置用户配置包括所有与用户相关的策略设置，它们用来指定操作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。组策略的基本配置3.组策略插件扩展（1）软件设置（2）Windows设置账号策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、IP安全策略、公钥策略（3）管理模板组策略的基本配置1．让Windows的上网速率提升20%在【组策略编辑器】控制台中，展开【计算机配置】|【管理模板】|【网络】|【QoS数据包调度程序】项，在右窗格双击【限制可保留带宽】策略，在属性对话框中，选择【已启用】单选按钮，并将【带宽限制】值设置为0%，单击【确定】按钮。2．关闭系统还原功能在【组策略】控制台中，展开【计算机配置】|【管理模板】|【系统】|【系统还原】项，在右窗格双击【关闭系统还原】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮，启用此设置来关闭系统还原组策略实例1：计算机配置3、禁止WindowsMessenger自动运行在【组策略】控制台中，展开【计算机配置】|【管理模板】|【Windows组件】|【WindowsMessenger】项，在右窗格双击【不允许运行WindowsMessenger】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮。4.审核登录帐户在【策略】控制台中，展开【计算机配置】|【Windows设置】|【安全设置】|【本地策略】|【审核策略】项，双击【帐户登录审核】策略，选择审核【成功】和【失败】两项，单击【确定】按钮。5．管理远程桌面设置实例★允许“远程桌面”连接在【组策略编辑器】中，展开【计算机配置】|【管理模板】|【Windows组件】|【终端服务】项，在右窗格中双击【允许用户使用终端服务远程连接】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮即可。★配置“数据重定向”双击【客户端/服务器数据重定向】目录，打开【客户端/服务器数据重定向】项，可以设置在建立连接后所能使用的客户端资源。★设置空闲会话连接时间展开【会话】目录，双击【为活动但空闲的终端服务会话设置时间限制】策略，可以限制空闲会话的连接时间。1.个性化【任务栏和「开始」菜单】通过组策略可以实现【任务栏和「开始」菜单】的个性化。在【组策略编辑器】控制台中，展开【用户配置】｜【管理模板】｜【任务栏和‘开始’菜单】项，在右窗格中列出【任务栏和‘开始’菜单】有关策略的具体配置。★保护好【任务栏和「开始」菜单】如果不想随意让他人更改【任务栏和「开始」菜单】的设置，只要启用【阻止更改“任务栏和开始菜单”设置】和【阻止访问任务栏的上下文菜单】两个策略即可。★利用组策略保护个人文档隐私如果不希望用户查看曾经访问过的文件，只要在组策略窗口中的【任务栏和「开始」菜单】项中，启用【不要保留最近打开文档的记录】和【退出时清除最近打开的文档的记录】两个策略即可。组策略实例2：用户配置2．个性化桌面通过组策略可以实现【桌面】的个性化，可以让桌面管理工作变得易如反掌。在【组策略编辑器】控制台中，展开【用户配置】|【管理模板】|【桌面】项，在右窗格中列出【桌面】有关策略的具体配置。★隐藏桌面的系统图标只要启用【隐藏桌面上“网上邻居”图标】、【隐藏桌面上的InternetExplorer图标】、【隐藏和禁用桌面上的所有项目】、【删除桌面上的“我的文档”图标】、【删除桌面上的“我的电脑”图标】和【从桌面删除回收站】等策略可以隐藏桌面上的相应的图标。★退出时不保存桌面设置启用【退出时不保存设置】策略可以防止用户保存对桌面的某些更改（如图标的位置、任务栏的位置及大小等），不过任务栏上的快捷方式总可以被保存。3.IE浏览器设置微软的IE浏览器让我们可以轻松地在互联网上遨游，但要想用好IE浏览器，则必须将它配置好。通过组策略可轻松实现高级配置功能。在【组策略编辑器】中，展开【用户配置】|【管理模板】|【Windows组件】|【InternetExplorer】项（需添加inetres.adm模板文件），在右窗口格中列出【InternetExplorer】有关策略的具体配置。★禁用【Internet选项】控制面板如果不希望用户修改InternetExplorer的属性中的某些设置，可以禁用【Internet选项】的某些选项卡，在【Internet控制面板】目录中，启用【禁用常规页】、【禁用安全页】等组策略项，可在【Internet选项】中删除【常规】、【安全】等选项卡。★禁止修改IE浏览器的主页在【工具栏】目录，启用【禁用更改主页设置】策略即可4.轻松实现Windows高级功能★隐藏【我的电脑】中指定的驱动器在【组策略编辑器】中，展开【用户配置】|【管理模板】|【Windows组件】|【Windows资源管理器】项，启用【隐藏“我的电脑”中的这些指定的驱动器】策略，并在列表框中选择一个驱动器或几个驱动器。★防止从【我的电脑】访问驱动器在【组策略编辑器】中，展开【用户配置】|【管理模板】|【Windows组件】|【Windows资源管理器】项，启用【防止从“我的电脑”访问驱动器】策略，并在列表框中选择一个驱动器或几个驱动器。★禁止使用【命令提示符】在【组策略编辑器】中，展开【用户配置】|【管理模板】|【系统】项，启用【阻止访问命令提示符】策略，并选择【也停用命令提示符脚本处理】项。★禁止更改显示属性在【组策略编辑器】中，展开【用户配置】|【管理模板】|【控制面板】|【显示】项，可根据需要启用【隐藏桌面选项卡】、【隐藏主题选项卡】、【隐藏保护程序选项卡】、【隐藏设置选项卡】等策略，来隐藏相关属性的选项卡，用户将无法再对桌面属性进行更改。★禁用注册表编辑器在【组策略编辑器】中，展开【用户配置】|【管理模板】|【系统】项，启用【阻止访问注册表编辑工具】策略，禁止用户启动注册表编辑器。★禁止访问【控制面板】在【组策略编辑器】中，展开【用户配置】|【管理模板】|【扩展面板】项，启用【禁止访问控制面板】策略。此后用户不能使用Control.exe启动【控制面板】，「开始」菜单和【资源管理器】中将删除【控制面板】项。★禁用【添加/删除程序】在【组策略编辑器】中，展开【用户配置】|【管理模板】|【添加或删除程序】项，启用【删除“添加/删除程序”】策略，用户将无法运行【添加/删除程序】。当用户登录计算机网络，操作系统将会通过“计算机配置”和“用户配置”中的“管理模板”策略配置用户环境。常用的配置：限制使用应用程序：展开【系统】项，启用【只运行许可的Windows应用程序】策略，添加允许运行的应用程序。隐藏在控制面板中指定的图标：展开【控制面板】项，启用【隐藏指定的控制面板程序】策略，添加相应的图标。禁用【Ctrl+Alt+Del】组合键弹出的对话框中的选项：展开【系统】|【Ctrl+Alt+Del】项，启用相应的策略，如【删除“任务管理器”】。删除开始菜单中的【关机】图标：展开【任务栏和「开始」菜单】项，启用【删除和阻止访问“关机”命令】策略。隐藏桌面上所有图标：展开【桌面】项，启用【隐藏和禁用桌面上所有的项目】策略。使用组策略配置用户环境帐户策略又包括密码策略、帐户锁定策略和Kerberos策略。1.密码策略的设置操作步骤：★对本地计算机的用户，在【组策略编辑器】中，展开【计算机配置】|【Windows设置】|【安全设置】|【帐户策略】|【密码策略】项，双击【密码必须符合复杂性要求】选项，选择【已启用】，单击【确定】按钮。还可设置：强制密码历史、密码最长使用期限、密码最短使用期限、密码长度最小值。★对域控制器用户，打开【ActiveDirectory用户和计算机】管理窗口，右击域或组织单位，选择【属性】命令，在打开的对话框中选择【组策略】选项卡。选择组策略对象，单击【编辑】按钮，打开【组策略编辑器】界面，展开【计算机配置】|【Windows设置】|【安全设置】|【帐户策略】|【密码策略】项，选择相应的密码策略选项配置即可。帐户策略2.帐户锁定策略帐户锁定指在某些情况下（如帐户受到黑客攻击），为保护帐户安全而将此帐户进行锁定，使之在一定时间内不能再次登录，从而挫败连续的猜解尝试。配置方法：在【组策略】控制台中，展开【计算机配置】|【Windows设置】|【安全设置】|【帐户策略】|【帐户锁定策略】项，双击