WIN域环境下被组策略拒绝本地登录的解决方法

在win2003的域环境下，组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题，使管理员的日常维护效率大大提高，但世间万物皆有利弊，同样人也一样会犯错误，在日常的维护工作中，由于管理员的疏忽操作导致的各种问题比比皆是。下面我们就来讨论一种看似比较棘手的情况。

在win2003中，当某个域中的用户或本地用户被策略拒绝了本地登陆的权限，当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”，使得用户无法登陆本地计算机，同样也不能登陆域，通常遇到这种问题，我们的解决

办法是，用管理员账号登陆域控制器，修改一下策略，把此用户从“拒绝本地登录”

列表中删除即可，但如果由于人为的操作失误，管理员把所以用户的本地登陆权限都

禁止了，导致了域中所有用户都不能本地登陆域内计算机（包括域管理员以及本地管

理员），这种情况就比较棘手了，我们用什么方法能解决这看似不能解决的问题呢通过查询相关资料以及测试，我们知道所有策略的设置都保存在域控制器（DC）的windows文件夹下的sysvol文件夹下，以GUID为文件夹名，其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GUID\MACHINE\Microsoft\wind ows NT\SecEdit\ 这个文件中，这是一个文本文件，能通过记事本编辑，要解除对所

有用户本地登录限制，我们只需修改这个文本文件，把拒绝登陆的相关信息删除就OK 了，而在默认情况下，存放策略设置的sysvol这个文件夹在DC上是被共享的，那我

们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹，远程修改文件，从

而解除本地登陆限制呢，下面我们就用虚拟机来做个实验，来模拟一下这样的网络环境，看看能不能达到我们预想的效果。

通过查询资料得知：

默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9

默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9

实验的拓扑环境如下：先部署一个域，用物理机做DNS，IP为域中有两台计算机，Florence为DC，Berlin为加入域的一台成员服务器，Perth为一台工作站。但Perth 不能加入域，因为如果设置了禁止本地登陆，Perth加入域后也不能登陆，我们要用P erth远程登陆到DC来解决这个问题，所以Perth只需把IP设置为与DC同一个网段，DNS都指向即可。

因本文主要讨论的是后期修改策略的操作，前期的准备工作我就简单介绍一下，就不贴图了哈~~

1 创建DNS区域：修改NS记录和SOA记录，IP地址都应解析为

2 在florence创建域控制器，记得要修改Florence网卡的TCP/IP属性，应该使

用作为自己的DNS服务器。创建完毕后重启florence并用管理员账号登录到域。

3 修改Berlin 的IP地址以及DNS地址，把其加入到域中，使其成为域的一个成

员服务器

好，至此前期的准备工作已经完成，我们首先在florence（DC）上打开Active D irectory用户和计算机，先创建一个用户user1

然后可以在DC和Berlin上用管理员和user1登陆试一下，可以看到现在登陆是没有问题的

下面我们来修改组策略，使所有用户都不能本地登陆，为了能的达到预期效果，我们需要把域策略和域控制器策略同时做禁止本地登陆的修改，因为如果只是域策略阻止，

由于默认域控制器的策略上允许管理员登录，而域控制器是个OU，通过组策略的优先级我们知道，OU的优先级要高于域的优先级，所以管理员可以登录到DC上，把策略改回去。而如果只是域控制器的策略阻止，它只对DC生效。管理员可以在域内的其它计算机上登录到域，把策略改回去。

打开打开Active Directory用户和计算机，首先设置域策略，操作如下图：

选组策略，点击编辑

修改以下位置，在拒绝本地登陆位置双击打开，默认是没有定义的，勾选“定义这些策略设置”，点击“添加用户或组”，因为domain user 组包含了域内的所有用户，所以我们只需添加这个组即可

确定后回到Active Directory用户和计算机，用同样的方法在Domain Dontrollers（域控制器）级别上设置同样的组策略。完成后我们需要使设置马上生效，需刷新组策略，在DC和Berlin上用gpupdate /force命令刷新策略，完成后注销登陆，在DC和Berli n上用管理员和user1登陆，现在可以看到两台计算机都已经无法本地登陆了。

测试没有问题后右键点击我的电脑，点击管理，打开计算机管理页面，右键点击计算机管理（本地）点击连接到另一台计算机，输入DC的IP地址后点确定

然后选择下图所示位置：

SeDenyInteractiveLogonRight字符串，这个字符串后面数字就是我们定义的禁止本地登陆的相关信息，我们直接把后面的内容删掉即可，最后别忘记保存。

域控制器策略修改完成后，我们还要修改域的策略，点击向上回到路径下，然后双击打开{31B2F340-016D-11D2-945F-00C04FB984F9}文件夹，上文提到过这个文件名默认是域策略的GUID，同样找到文件，把最后的SeDenyInteractiveLogonRight后面的数值清除并保存，至此我们已经把域策略和域控制器策略全部修改完毕。

但策略生效需要刷新，可现在无法登陆不能刷新策略，所以我们只有通过telnet远程刷一下策略。但默认情况下，telnet服务是被禁用的，需要远程把它启动，操作很简单，修改完策略后回到计算机管理页面，现在是连接到DC的状态，然后如下图所示，启动telnet服务即可

启动服务后，打开命令提示符，telnet到DC，用gpupdate /force刷新组策略

刷新完成后会提示刷新用户策略失败，这个是正常的，因为我们没有用任何用户的账号登入到系统，系统还处于挂起状态，而提示计算机策略刷新完成说明我们修改的组策略设置已经生效，然后我们重新用管理员账号和user1账号登陆DC和Berlin试一下，已经可以登陆了。

至此，大功告成！问题成功解决！

除以上方法外，也可以使用C$ 共享远程访问DC来修改策略，（若C$共享默认没打开，可以用net share C$=C: 开启），其解决办法的原理都一样，具体方法不再赘述，有兴趣的朋友可以自己试一下。

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置 编辑整理： 尊敬的读者朋友们： 这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。 本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具） 使用：运行---〉gpmc。msc 如下键面： 文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组

3.用本地用户登录机器查看！ 禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

使用windows组策略对计算机进行安全配置.

综合性实验项目名称：使用windows组策略对计算机进行安全配置 一、实验目的及要求： 1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件，计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理： 组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。 三、主要仪器设备及实验耗材： PC机一台,Windows2000系统，具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。 依次进行以下实验： (1)隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。

图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示

用组策略从十大方面保护Windows安全

用组策略从十大方面保护Windows安全 Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。 一、给我们的IP添加安全策略? 在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。? 图 1 小提示由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。 二、隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择“用户配置→管理模板→Windows组件→Windows 资源管理器”（如图2）。

图 2 三、禁用指定的文件类型 在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行 REG文件，具体操作方法如下： 1.打开组策略，点击“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指

派的文件类型”、“受信任的出版商”项(图3)。 图 3 2.双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。 3.双击“安全级别→不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows 无法打开此程序”。 4.要取消此软件限制策略的话，双击“安全级别→不受限的”，打开“不受限的?属性”窗口，按“设为默认值”即可。 如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，你会看到它可以建立哈希规则、Internet?区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的

组策略分发软件全攻略

组策略分发软件全攻略 2008-12-23 13:26 在规模比较大的网络环境里面，为了对服务器和客户机上的软件、系统补丁进行集中统一的管理，我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新，不在本文讨论，请参考其它相关技术文档。虽然SMS功能较强大，兼容性好，绝大多数应用软件都可以用它来管理，但是它比较复杂，实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话，其实我们还是可以回归到比较原始的技术： 利用GPO实现软件设置 ● 分发软件 ● 修复软件 ● 删除软件 ● 升级软件 优点：易实现 缺点：功能简单、兼容性差（只能分发winodows安装程序包——.msi，exe 封装的程序安装包要用Advanced Installer重新封装成msi文件） 实现：前提是熟悉Winodows Server活动目录的基本管理，理解组策略，熟悉通过AD部署组策略 一、获取要分发的软件

如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用，但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包，所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包： 1、运行Advanced Installer，打开新建工程向导，按向导做 选择“语言”、“重新包装安装”——>“确定” 2、按向导提示，关掉真正运行的其它程序，下一步

3、选中捕获新的安装

4、指定要重新包装的源程序，并设置名称、版本等信息 5、如图，选中新的系统捕获

6、指定“安装捕获配置文件”保存路径，其它默认

组策略设置系列篇之“安全选项”2

组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录：不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。 “交互式登录：不显示上次的用户名”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。 对策：将“不显示上次的用户名”设置配置为“已启用”。 潜在影响：用户在登录服务器时，必须始终键入其用户名。 交互式登录：不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

组策略详解

组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号：大中小 组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是 打开控制台，将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也 是本文的重中之重。

2003系统域的组策略应用详解_

域网络构建教程（4）组策略 古人云：运筹帷幄之中，决胜千里之外。这大概就是用兵的最高境界了吧！作为一个生于和平年代的网络管理人员，这辈子带兵是没戏了。不过在域环境的帮助下，这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的 XP 系统上一直存在，通过在运行栏中输入 gpedit.msc 就可以启动本地计算机的组策略编辑器。截图如下： 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器，所见即所得一直都是微软的看家本领啊。有了域环境之后，通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中，我感觉这种管理与控制几乎覆盖了使用中的方方面面，反正现在我只要在域控制器上动动手指头，就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的，有兴趣的可以在看完本文后自己实践一下（后果自负 哈）。

闲话少说，书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器，注意这里不能使用gpedit.msc（那是编辑本机策略的），而要打开“开始——程序——管理工具——Active Directory 用户和计算机”。 截图如下： 在打开的窗口中选择你的域名，并在其上右击选择属性，然后在弹出的属性对话框中选择组

策略。现在你就会看到默认域策略——Default Domain Policy，截图如下： 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy，这样便于我们随时恢复到系统默认的设置。呵呵，留条出迷宫的路，是所有操作前的必修课。 默认的不让动，那我们怎么编辑组策略呢？答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机，注意组织单位将是一个我们经常使用的划分方式，组策略可以按层次模式很好的在其上运行，这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式，组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了，出了问题还便于排查错误。为了演示这种层次模式，我新建一个名为“用户和计算机”的组织单位，并将原来的两个组

组策略终极应用技巧

组策略终极应用技巧 出处：中国IT实验室责任编辑：ANSON2006-03-17 15:39:34 关闭缩略图的缓存（Windows XP/2003） Windows XP/20003系统系统具有缩略图的功能，为加快那些被频繁浏览的缩略图显示速度，系统还会将这些显示过的图片置于缓存中，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。若你不希望系统进行缓存的话，则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理，反而会大大加快第一次浏览的速度。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示：若你的电脑是一个网络中的共享工作站，为了数据安全，建议你启用该设置以关闭缩略图视图缓存，因为缩略图视图缓存可以被任何人读取。

屏蔽系统自带的CD刻录功能（Windows XP/2003） Windows XP/2003系统自带CD刻录功能，若你有刻录机连接在电脑上，在Windows 资源管理器中可以直接将数据犹如复制一样写到CD－R上。这样虽然方便，但是会影响系统性能和资源管理器的执行速度，再加之大部分用户都习惯了运用专用刻录软件进行刻录，所以我们建议无论电脑上有无刻录机，都可以利用组策略来屏蔽此功。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示：该设置不会阻止用户使用第三方应用程序来刻录或修改CD－R。 限制IE浏览器的保存功能（Windows 2000/XP/2003）

当多人共用一台计算机时，为了保持硬盘的整洁，对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢？具体步骤如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”，然后将右侧窗格中的“…文件?菜单：禁用…另存为...?菜单项”、“…文件?菜单：禁用另存为网页菜单项”、“…查看?菜单：禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改，可以将“…工具?菜单：禁用…Internet选项...?”策略启用。此外，如果个人需要的话，还可以在该窗格中禁用其他项目。 禁止修改IE浏览器的主页（Windows 2000/XP/2003） 在IE浏览器中可以设置默认主页，如果不希望他人对自己设定的IE浏览器主页进

组策略安全选项对应注册表项汇总

组策略安全选项对应注册表项汇总 在组策略中的位置:计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] : : ::值名:含义:类型:数据:值名:含义:类型:数 据:0=停用1=启用值名:含义:类型:数据:值 名:RestrictAnonymous含义:对匿名连接的额外限制(通常用于限制IPC$空连接)类型:REG_DWORD数据:0=无.依赖于默认许可权限1=不允许枚举SAM账号和共享2=没有显式匿名权限就无法访问值名ubmitControl含义:允许服务器操作员计划任务(仅用于域控制器)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers]值名:AddPrinterDrivers含义:防止用户安装打印机驱动程序类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management]值名:ClearPageFileAtShutdown含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]值名

rotectionMode含义:增强全局系统对象的默认权限(例如Symbolic Links) 类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]值 名:EnableSecuritySignature含义:对服务器通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对服务器通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnableForcedLogOff含义:当登录时间用完时自动注销用户 (本地)类型:REG_DWORD数据:0=停用1=启用值名:AutoDisconnect 含义:在断开会话产所需要的空闲时间类型:REG_DWORD数据:分钟数[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]值 名:EnableSecuritySignature含义:对客户端通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对客户端通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnablePlainTextPassword含义:发送未加密的密码以连接到第三方SMB服务器类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]值名isablePasswordChange含义:防止计算机帐户密码的系统维护类型:REG_DWORD 数据:0=停用1=启用值名ignSecureChannel含义:安全通道: 对安全通道数据进行数字签名(如果可能)类型:REG_DWORD数据:0=停用 1=启用值名ealSecureChannel含义:安全通道: 对安全通道数据进行数字加密(如果可能)类型:REG_DWORD数据:0=停用1=启用值 名:RequireSignOrSeal含义:安全通道: 对安全通道数据进行数字加密或签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:RequireStrongKey 含义:安全通道: 需要强(Windows 2000 或以上版本)会话密钥类 型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\Driver Signing]值名olicy含义:未签名驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Non-Driver Signing]值名olicy含义:未签名非驱动程序的安装操作类型:REG_BINARY 数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]值名isableCAD 含义:禁用按CTRL ALT DEL进行登录的设置类型:REG_DWORD数据:0=停用1=启用值名ontDisplayLastUserName含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用值名:LegalNoticeCaption含义:用户试图登录时消息标题类型:REG_SZ数据:标题文本值名:LegalNoticeText含义:用户试图登录时消息文字类型:REG_SZ数据:消息文字值名hutdownWithoutLogon含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel含义:故障恢复控制台:允许自动系统管理级登录类 型:REG_DWORD数据:0=停用1=启用值名etCommand含义:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问类型:REG_DWORD 数据:0=停用1=启用[MACHINE\Software\[M$]\Windows NT\CurrentVersion\Winlogon]值名:AllocateCDRoms含义:只有本地登录的用户才能访

组策略对windows7的安全性设置(陈琪) - 修改

组策略对windows7的安全性设置 陈琪 （重庆市商务学校重庆市大渡口区400080） 【摘要】：现在Win7系统已成为电脑市场的主流，大量企业和家庭个人都选择使用Win7系统，主要是Win7系统设计具有人性化、操作非常的简单，更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷，用户往往是通过第三方软件来实现，但是这些方法往往不具有个性化的设置，而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】：组策略点击用户配置驱动器木马权限哈希值【引言】：在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此，限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的，有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】： 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。

1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器：点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂一些别有用心的软件，用户真是防不胜防。所以网络安全性的设置相当重要。

使用域组策略及脚本统一配置防火墙

使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置； 统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法； 1 域组策略统一配置防火墙 使用域管理员登录域控制器，打开“管理工具>组策略管理”； 在目标组织单位右击，新建GPO； 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；

选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务； 结果如下； 1.1.2 查看客户端结果 重启XP客户端查看结果

重启Win7客户端查看结果 1.2 开放客户端防火墙端口 （注：首先将上面组策略中的系统服务设置还原在进行下一步的配置） 1.2.1 域策略配置 右击目标GPO选择编辑，选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；

组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM)，它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。

3种用组策略将域帐号加入本地管理员组的方法

3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”

2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。 第1种方法的步骤很简单： .在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图 第2种方法：

为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下： 为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： https://www.360docs.net/doc/c118521438.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：

在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组

组策略与安全设置

组策略与安全设置 系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。 组策略概述 组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。 组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。 ●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背 应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。 ●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内 的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。 对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。 本地计算机策略实例演示 以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。 计算机配置实例演示 当我们要将Windows Server2012计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用 以后关机或重启计算机时，系统都不会再询问了。 注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。 用户配置实例演示 以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。也就是经过以下设置后，浏览器内的安全和连接标签消失了。 用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

域组策略应用详解

Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

组策略的管理(账户锁定策略)

组策略的管理（账户锁定策略） 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户，用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”，可打开组策略控制台，依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 （1）账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户，除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0，则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上，失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中，双击“账户锁定阈值”选项，显示“账户锁定阈值属性”对话框，选中“定义这个策略设置”复选框，在“账户不锁定”文本框中输入无效登录的次数，例如3，则表示3次无效登录后，锁定登录所使用的账户。 建议启用该策略，并设置为至少3次，以避免非法用户登录。 （2）账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0，那么在管理员明确将其解锁前，该账户将被锁定。

如果定义了账户锁定阈值，则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框，选中“定义这个策略设置”复选框，在“账户锁定时间”文本框中输入账户锁定时间，例如30，则表示账户被锁定的时间为30分钟，30分钟后方可使用再次使用被锁定的账户。 默认值为无，因为只有当指定了账户锁定阈值时，该策略设置才有意义。 （3）复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数，有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值，则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框，选中“定义这个策略设置”复选框，在“复位账户锁定计数器”文本框中输入账户锁定复位的时间，例如30，表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时，该策略设置才有意义。

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

管理员操作手册-AD域控及组策略管理_51CTO下载

AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控（DC）基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位（OU） (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位：(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象（dsmod） (14) 6、其他命令（dsquery、dsmove、dsrm） (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)

一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于： 1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。 2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。