组策略的管理(账户锁定策略)
组策略的管理(账户锁定策略)
2. 账户锁定策略
账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”,可打开组策略控制台,依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。
(1)账户锁定阈值
该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户,除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0,则将无法锁定账户。
对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上,失败的密码尝试计入失败的登录尝试次数中。
在组策略窗口中,双击“账户锁定阈值”选项,显示“账户锁定阈值属性”对话框,选中“定义这个策略设置”复选框,在“账户不锁定”文本框中输入无效登录的次数,例如3,则表示3次无效登录后,锁定登录所使用的账户。
建议启用该策略,并设置为至少3次,以避免非法用户登录。
(2)账户锁定时间
该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将被锁定。
如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。
打开“账户锁定时间”的属性对话框,选中“定义这个策略设置”复选框,在“账户锁定时间”文本框中输入账户锁定时间,例如30,则表示账户被锁定的时间为30分钟,30分钟后方可使用再次使用被锁定的账户。
默认值为无,因为只有当指定了账户锁定阈值时,该策略设置才有意义。
(3)复位账户锁定计数器
该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数,有效范围为1~99 999分钟之间。
如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。
打开“复位账户锁定计数器”的属性对话框,选中“定义这个策略设置”复选框,在“复位账户锁定计数器”文本框中输入账户锁定复位的时间,例如30,表示30分钟后复位被锁定的账户。
只有当指定了账户锁定阈值时,该策略设置才有意义。
Active+Diretory+全攻略--组策略
组策略与OU中的组没有关系,不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如:用户桌面环境、计算机启动/关机所执行脚本文件,用户登录/注销所执行的脚本文件、文件重定向、软件安装等。 一、组策略的基本概念 1、组策略的设置数据保存在AD数据库中,因此必须在域控制器上设置组策略。 2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。 3、组策略不能应用到组,只能够应用到站点、域或组织单位(SDOU) 4、组策略不适用于WINDOWS9X/NT的计算机,所以应用到这些计算机上无效。 5、组策略不会影响未加入域的计算机和用户,对于这些计算机和用户,应使用本地安全策略来管理。注意一下:本地安全策略与组策略很相似,但功能较少,仅能管理本机上的计算机设置与用户设置。 GPO的特性: 组策略的设置数据都是保存在“组策略对象“(GPO)中,GP O具有以下特性:
1、GPO利用ACL记录权限设置,可以修改个别GPO的A CL,指定哪些人对该GPO拥有何种权限。 2、用户只要有足够的权限,便能够添加或删除GPO,但无法复制GPO。当AD域刚建好时,默认仅有一个GPO--DEFA OLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略,通常会再另行建立GPO,以方便管理。 GPO的内容: GPO有两大类策略:1、计算机设置:包含所有与计算机有关的策略设置,这些策略只会应用到计算机帐户。 2、用户设置:包含所有与用户有关的策略设置,这些策略只会应用到用户帐户。 下面来看下
利用组策略部署软件分发
【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容,可以使用隐藏共享文件夹,即在共享名字后加$符号。 三、创建组策略对象
Window 2008 R2组策略之一——组策略管理控制台
组策略管理在windows域管理中占有重要地位,本身也不是新的内容了。但微软在Windows2008中终于集成了一个非常好用的组策略管理工具——组策略管理控制台。并 且为原有的组策略添加了新的元素。本文从介绍组策略管理控制台入手,力求通过比较通俗的语言,为组策略新手开启一扇进入Windows域高级管理的大门。由于本人水平所限,如有不妥之处,请方家不吝赐教。 在08以前的Windows Server中要想配置组策略,是件麻烦事。后来微软推出了一个 小工具——gpmc,才解决了问题,但这个工具需要下载和安装,许多人不知道有这个工 具的存在。在Windows 2008中,微软将它集成了进来,大大方便了管理员对于组策略的 管理和配置。首先,让我们看看它的庐山真面目吧!点击“开始”,导航到“管理工具”,选 择“Group Policy Management”命令,打开组策略管理控制台。(见图一) 图一 正如各位所见,在此管理控制台的根节点,是一个叫做“https://www.360docs.net/doc/3e18170630.html,”的森林根节点。展 开后,可见如下几个主要节点:域,默认情况下是与森林同名的域;组策略对象(Group Policy Objects——GPO),是存放所有组策略的节点,包括用户创建的和默认域策略以及 默认域控制器策略;Starter GPOS(初级使用者GPO),它衍生自一个GPO,并且具有将一组管理模板策略集成在一个对象中的能力(Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative
管理员操作手册-AD域控及组策略管理_51CTO下载
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控(DC)基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位(OU) (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位:(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象(dsmod) (14) 6、其他命令(dsquery、dsmove、dsrm) (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)
一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于: 1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
组策略终极应用技巧
组策略终极应用技巧 出处:中国IT实验室责任编辑:ANSON2006-03-17 15:39:34 关闭缩略图的缓存(Windows XP/2003) Windows XP/20003系统系统具有缩略图的功能,为加快那些被频繁浏览的缩略图显示速度,系统还会将这些显示过的图片置于缓存中,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。若你不希望系统进行缓存的话,则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理,反而会大大加快第一次浏览的速度。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示:若你的电脑是一个网络中的共享工作站,为了数据安全,建议你启用该设置以关闭缩略图视图缓存,因为缩略图视图缓存可以被任何人读取。
屏蔽系统自带的CD刻录功能(Windows XP/2003) Windows XP/2003系统自带CD刻录功能,若你有刻录机连接在电脑上,在Windows 资源管理器中可以直接将数据犹如复制一样写到CD-R上。这样虽然方便,但是会影响系统性能和资源管理器的执行速度,再加之大部分用户都习惯了运用专用刻录软件进行刻录,所以我们建议无论电脑上有无刻录机,都可以利用组策略来屏蔽此功。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示:该设置不会阻止用户使用第三方应用程序来刻录或修改CD-R。 限制IE浏览器的保存功能(Windows 2000/XP/2003)
当多人共用一台计算机时,为了保持硬盘的整洁,对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢?具体步骤如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“…文件?菜单:禁用…另存为...?菜单项”、“…文件?菜单:禁用另存为网页菜单项”、“…查看?菜单:禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改,可以将“…工具?菜单:禁用…Internet选项...?”策略启用。此外,如果个人需要的话,还可以在该窗格中禁用其他项目。 禁止修改IE浏览器的主页(Windows 2000/XP/2003) 在IE浏览器中可以设置默认主页,如果不希望他人对自己设定的IE浏览器主页进
View部署09:View组策略优化配置
View组策略优化配置 1。从Connection Server安装目录复制View ADM策略模板到域服务器(主机A) 2.在域服务器上,运行组策略管理,新建组策略对象View GPO 3.拖动View GPO到VM Computer和View User,将此组策略应用到OU。 完成结果如下:
4.编辑View Group组策略 添加完成结果如下: 5.编辑PCoIP组策略,优化PCoIP通信 (请认真领会优化参数的功能设置,以备考察!) (1)如果网络带宽较低(如Internet),建议关闭无损传输功能 说明:无损传输功能默认开启,关闭此功能可节约带宽。 在高带宽网络(如内部网)启用无损传输可获得更好地的图像和桌面效果。
(2)根据网络性能,设置合适的客户端图像缓存大小,减少图像重传量。 说明:控制PCoIP客户端图像缓存的大小。客户端使用图像缓存来存储之前传送的显示部分。图像缓存减少了重传的数据量。未配置或禁用此设置时,PCoIP使用默认250MB的客户端图像缓存大小。启用此设置后,可以自定义配置客户端图像缓存的大小50MB至300MB。 (3)根据网络性能,设置合适的图像质量和帧率 说明:这些数据控制在网络拥挤期间PCoIP如何呈现图像,根据网络性能自己调整! 最低图像质量(值:30-100,默认为50):较低的值支持较高帧速率,但是可能会导致显示质量降低。较高的值支持较高的图像质量,但在网络带宽受限时可能会导致帧速降低。当网络带宽不受限时,无论值设置如何,PCoIP均保持最高质量。 最大图像质量(值:30-100,默认为90):显示图像更改区域的初始质量,可降低PCoIP所要求的网络带宽峰值。较低的值会降低变化内容的图像质量和峰值带宽要求。较高的值会提高变化内容的图像质量和峰值带宽要求。 最大帧率设置(值:1-120,默认为30):每秒屏幕更新的次数,从而可以管理每位用户占用的平均带宽。 (4)根据网络性能,设置合适的PCoIP带宽上限 说明:指定PCoIP会话中的最大带宽(kbps),此带宽包括所有图像、音频、虚拟通道、USB以及控制PCoIP流量,默认值90000kbps。可防止服务器尝试以超过链接流量的速率进行传输,从而避免出现丢失数据包或用户体验下降现象。 (5)根据网络性能,设置合适的带宽最小量
域组策略应用详解
Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境,实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次,相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.
2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC(组策略容器)与GPT(组策略模板) GPC:GPC是包含GPO属性和版本信息的活动目录对象 GPT:GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹层次结构
组策略详细部署
1.隐藏电脑的驱动器 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器\\启用后,发现我的电脑里的磁盘驱动器全不见了,但在地址栏输入盘符后,仍然可以访问,如果再把下面的防止从“我的电脑”访问驱动器设置为启用,在地址栏输入盘符就无法访问了,但在运行里直接输入cmd,在Dos下仍然可以看见,接下来就是把CMD命令也禁用了。 位置:用户配置\\管理模板\\系统\\ 2.禁用注册表 位置:用户配置\\管理模板\\系统\\ 3.禁用控制面板 位置:用户配置\\管理模板\\系统\\ 如想在控制面板中隐藏Internet选项,则在隐藏控制面板程序里添加Inetcpl.cpl,具体名称可查看Windows\\System32里以cpl结尾的文件。 4.隐藏文件夹 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项, 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器\\ 5.关闭缩略图缓存 有时我们在文件夹中放过图片,后来移除了,但以缩略图缓存仍然能被其他人读取。 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器 6.去除开始菜单中的“文档”菜单 开始菜单中的文档一栏,会记载我们曾经编辑过的文档,我们可以去掉这个菜单: 位置:用户配置\\管理模板\\Windows组件\\任务栏和“开始”菜单 7.隐藏…屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护,但很容易被人修改,我们可以隐藏这一选项。 用户配置\\管理模板\\控制面板\\显示。 8.禁止更改TCP/IP属性 我们设定的IP地址可能会被更改,那么只要关闭它的属性页就可以了。 位置:用户配置\\管理模板\\网络\\网络连接 把下面两项设为启用。 9.删除任务管理器 可别小看了任务管理器,它除了可以终止程序、进程外还可以重启、关机,搜索程序的执行文件名,及更改程序运行的优先顺序。 位置:用户配置\\管理模板\\系统\\C trl+Alt+Del选项\\ 10.禁用IE“工具”菜单下的“Internet选项” 为了阻止别人对IE浏览器设置的随意更改。
Active Directory 环境中使用组策略管理控制台 9468915501
Active Directory 环境中使用组策略管理控制 台9468915501 该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。该指南并不提供G PO 实施指导。 本页内容 简介 逐步式指南 Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。本指南第一介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory?;安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。 ? ?
在配置通用网络结构后,能够使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。 Microsoft Virtual PC 能够在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。 Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。 将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。 重要讲明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。 此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。 此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。 概述 Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具,它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。
window实验手册组策略规划
w i n d o w实验手册组策 略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】
教学时 间 第五周2008-3-18 教学课 时 3 教案序 号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略 教学过程: 一、OU(组织单元)的管理 1、OU的概念 域是最小的管理单位,在活动目录中,域一般对应公司,而OU则对应于公司中的部门。OU是活动目录中的容器,可以在OU中建立用户、组等其他对象,也可以在OU中建立OU。 2、建立OU及子对象 (1)注意图标。 (2)建立步骤:在需要创建的空白处右击,选择“新建”——“组织单元”,在对话框内输入OU名称即可。 (3)在OU中可以放用户、组、打印机、共享文件夹、子OU等。 实验一:OU的管理 1、在下中新建“教师”和“学生”两个OU,再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1,t2账户,“学生”OU中包括s1,s2账户,“普通教师”OU中包括c1,c2账户。
二、组策略概述 1、组策略的概念 (1)组策略是一种在用户或计算机集合上强制使用一些配置的方法,使用组策略可以给同组的计算机或者用户强加一套统一的标准,包括管理模板设置、Windows设置、软件设置。 (2)组策略配置包含在一个组策略对象(GPO)中,该对象又与选定的活动目录服务容器(如站点、域、组织单元OU等)相关联,不会影响没有加入域的计算机和用户。 (3)组策略配置类型有:计算机配置和用户配置。 (4)组策略分为:本地安全策略和活动目录的组策略。 本地安全策略适用于本地用户和组,我们所讲的是活动目录的组策略,活动目录安装好以后就自动建立了两个组策略(域控制器安全策略和域安全策略)。 2、组策略的应用顺序 (1)本地组策略 (2)域组策略 (3)域控制器组策略 (4)组织单元组策略 三、组策略对象的管理 我们可以通过Active Directory用户和计算机建立链接到域和OU的策略,Active Directory站点和服务建立链接到站点的策略。 1、创建组策略 步骤:右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略 步骤:右击-属性-“组策略”选项卡-“编辑”按钮
使用组策略部署软件
需要注意的是已发布的方法只能部署到用户,不能部署到计算机上,也就是说只有组策略中的用户配置可以使用这种部署方法。已发布软件部署方法可以保证: 1、当用户登录计算机时,软件并不会自动安装,只有当用户双击与应用程序关联的文件时,软件才会自动安装。如我们双击一个ppt 文档或doc文档时,会自动安装OFFICE。 2、对于发布的软件,用户可以在控制面板中的“添加/删除”中安装或者删除,也就是说用户自己可以安装,也可以卸载。 这种部署方法的好处在于,对于一些不能确定使用用户的软件,可以以发布方法部署,是否安装由用户自己决定。 配置方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已发布”。
已指派的方法可以将软件部署给用户和计算机,也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。 当我们使用此方法将软件指派给用户时可以保证: 1、软件对用户总是可用的,不管用户从哪一台计算机登陆,软件都将会在开始菜单或桌面上出现,但这时软件并没有被安装,只有在用户双击应用程序图标或与应用程序关联的文件时,软件才会被安装。 2、如果用户删除了安装的软件,哪么当用户下次登录时软件还会出现在开始菜单或是桌面上,并在用户双击关联文件时被激活安装。 这种部署的好处在于,对于一些不常用的,但某些人却必须要使用的软件我们没有必要在每台计算机都安装,只要指派给需要的用户,不管这个用户在哪台计算机上操作,都能保证要使用的软件是可用的。 方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已指派”。 当我们使用此方法将软件指派给用户时可以保证: 1、对于被指派的计算机,软件总是可用的,无论哪个用户登录都可以使用被指派的软件。 2、软件不会通过文件关联安装,而是在计算机启动时被安装。 3、用户不能删除被指派安装的软件,只有管理员才可以。 这种部署方法的好处在于,可以将一些大家都要用到的软件指派给计算机,被指派安装在计算机上的软件对于所有用户都是可用的。 配置方法如指派给用户的步骤,只是将“用户配置”改为“计算机配置”即可。 三、改变部署的软件包选项 在用组策略部署一个软件后,可以修改待部署的软件包的选项以适应我们的需要: 1、点击软件安装,在右边找到待部署的软件包,点击右键选择属性,在出现的对话框中选择部署,如图。
组策略的管理(账户锁定策略)
组策略的管理(账户锁定策略) 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”,可打开组策略控制台,依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 (1)账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户,除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0,则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上,失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中,双击“账户锁定阈值”选项,显示“账户锁定阈值属性”对话框,选中“定义这个策略设置”复选框,在“账户不锁定”文本框中输入无效登录的次数,例如3,则表示3次无效登录后,锁定登录所使用的账户。 建议启用该策略,并设置为至少3次,以避免非法用户登录。 (2)账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将被锁定。
如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框,选中“定义这个策略设置”复选框,在“账户锁定时间”文本框中输入账户锁定时间,例如30,则表示账户被锁定的时间为30分钟,30分钟后方可使用再次使用被锁定的账户。 默认值为无,因为只有当指定了账户锁定阈值时,该策略设置才有意义。 (3)复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数,有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框,选中“定义这个策略设置”复选框,在“复位账户锁定计数器”文本框中输入账户锁定复位的时间,例如30,表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时,该策略设置才有意义。
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
组策略的处理规则
组策略的处理规则 域控制器与域内计算机在处理、应用组策略时,有一定的程序与规则,只有详细了解这些程序与规则,才能充分的通过组策略来管理用户与计算机的环境。 一般的继承与处理规则 组策略的配置具有继承性,它的处理规则如下: 》如果父容器(high-level container)的某个策略被配置,但其子容器(low-level container)的策略未被配置,则子容器的这个策略将继承父容器的配置值。 》如果子容器的某个策略被配置,则止配置值会覆盖由其父容器所传递下来的配置值。 》组策略的配置有累加性(cumulative)。 但当域、站点与OU之间的GPO配置发生冲突时,则以处理顺序在后的GPO优先。系统处理GPO的优先顺序是: 站点的GPO、域的GPO、OU的GPO 因此OU 的GPO被优先处理。 》系统是先处理“计算机配置”,再处理“用户配置”,如果组策略内的“计算机配置”与“用户配置”冲突时,虽然“用户配置”在后,但大部分情况下却是以”计算机配置“优先。》如果你将多个GPO链接到同一个OU,那么所有GPO的配置将被累加起来,作为最后的有效配置值,如果这些GPO的配置相互冲突时,将以排在前面的GPO配置为优先。 提示:“本场计算机策略”的优先权最低,也就是说如果“本地计算机策略”内的配置值与站点、域或OU配置冲突时,站点、域或OU的配置优先、“本地计算机策略”的配置无效。 例外的继承配置 除了一般的继承与处理规则外,还可以配置以下的例外规则。 阻止策略继承 可以通过选择子容器内“阻止策略继承(Block Inheritance)”选项来设置不继承由父容器传递来的所有GPO配置,也就是直接以子容器的GPO作为配置值。如果子容器的GPO内设置为“尚未配置”,则采用默认值。 强制策略继承 强制策略继承(enforcing inheritance)是指可以在父容器中通过GPO的“禁止替代(No Override)”选项强制子容器必须继承(不准覆盖)此GPO内的组策略设定,而不论子容器是否设置了“阻止策略继承”。 过滤组策略配置 过滤组策略配置(Filtering Group Policy)是指在某个容器建立GPO后,此GPO的设置将被应用到这个容器内的所有用户和计算机。也可以让此GPO不应用到特定的用户或计算机,
组策略应用大全
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
组策略安装exe程序
在需要给大量客户端部署软件时,使用组策略的软件分发功能还是很有效率的。比如前面文章中谈到的部署limitlogin工具,需要在客户端安装电脑上安装软件的客户端,如果手动安装需要耗费很多时间,效率也很低。如果使用组策略则可以一步到位,一次性全部部署,而且不会影响到用户的日常工作。下面我们就来详细介绍一下使用组策略进行软件分发的过程:Windows主要有两种安装程序包,一种是扩展名为.exe的安装程序;另一种是扩展名为.msi 的安装程序。对于.msi的安装程序,组策略可以直接发布。对于.exe的安装程序,则需要转换为.msi安装程序或创建一个与其对应的扩展名为.zap的文本文件。注意:.zap包只能发布,不能指派;而.msi程序即可以发布,也可以指派。发布和指派的区别如下: 1)发布的软件,只能通过“添加/删除程序”中的“添加新程序”中添加,不能自动安装在用户的计算机中。 2)指派的软件,在用户登录的时候,系统会自动安装,不需要用户添加。不过,指派的软件也可以在“添加/删除程序”中添加和删除。 3)发布的软件,用户可以根据需要添加或删除,而指派的软件,如果用户删除,当用户下次登录时,系统还是会自动安装。 要分发软件,首先需要在服务器上建一个共享文件夹,用于存放需要分发的软件,如下图:
下面我们来看看软件分发的步骤: 1. 发布MSI格式的软件 1)首先在需要分发软件的OU上建一个策略,如下图:
2)在“组策略编辑器”窗口,选择“User Configuration—Software Settings—Software installation”,在右面板上,点右键,选择New—Package,如下图:
Windows操作系统组策略应用全攻略
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
Windows2003组策略配置、应用与管理
第10章组策略配置、应用与管理
10.1 组策略基础 组策略是Active Directory(活动目录)服务中允许管理员针对用户和计算机进行配置的基础架构。它与注册表的功能类似,但其设置组织形式更加直观,更加便于操作、配置与管理。它将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 10.1.1 组策略结构 组策略设置主要包括:用户计算机环境(如"开始"菜单、桌面快捷项、控制面板选项、可用程序等)、计算机和用户的本地或网络访问权利,以及其他安全控制策略(如组策略中的各种安全选项、IP安全策略等)。可以用组策略定义用户和计算机组的配置,如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。创建的组策略设置包含在组策略对象(GPO)中,通过将GPO与所选的Active Directory系统容器--站点、域和组织单位相关联,实现组策略设置的具体应用。还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。 组策略可基于活动目录中的用户和计算机账户两种对象分别进行配置,所以在GPO中的组策略设置项中包括"计算机配置"和"用户配置"两大部分(如图10-1所示),这就是组策略的基本结构。而且可以看到,在这两大部分中,有许多设置项是相同的,如都有"软件设置"、"Windows设置"和"管理模板"等这几部分,而且在这些部分中,又有许多相同的子设置选项。我们知道,"计算机配置"是针对计算机对象而言的,"用户配置"是针对用户对象而言的,而用户配置又是通过计算机来应用的,这就存在一个可能两者的相同选项设置不一致、有冲突的问题,这时又该应用哪个设置呢?根据组策略规定,当两者的配置有冲突时,最终以计算机策略为依据。 组策略不仅应用于用户和客户端计算机,还应用于成员服务器、域控制器以及管理范围内的任何其他Windows 2000计算机。组策略对象(GPO)的创建的最大容器是域,最小容器是组织单位(OU),当然可以为各级OU创建不同的GPO。不能为特定的计算机或用户创建
组策略应用之域环境内的统一发放补丁
组策略应用之域环境内的统一发放补丁 这是平常应用中的一个小案例,说出来和大家分享一下,现在很多公司都是用MS的产品,而且都是用域来管理,大家都知道AD的好处就是能统一资源管理,而在AD中起到关键作用的就是“组策略”。 说说本人在日常管理中的应用小窍门,说白了也不是什么小窍门,只是按规章办事就好而已,做足了这些工作之后就能做个轻松的管理员,可以减少很多病毒的困扰和很多麻烦琐事。那就是 1:对所有电脑统一发放最新系统更新补丁,很多病毒蠕虫都是趁着这个来的了2:及时更新杀毒软件病毒库 3:给员工适合的权限也能大大减少中病毒木马的几率,例如一个只有USER权限的员工,中了木马后没有安装的权限所以木马就运行不起来,给相应的权限很重要把,呵呵…这些做足了,很多病毒木马想找你都没门了。 好了越扯越远了,接下来就来说说AD环境中统一发放补丁的一个组策略应用把,想要统一发放补丁就必须先搭建一个WSUS服务器,MS免费的哦,难得啊还不好好利用,怎么搭建和应用这里就不讲了,大家百度谷歌吧,当我们搭建好了WSUS服务器之后就开始我们的组策略之旅了。 这里我更新域里面的所有计算机 新建策略“UPDATE”
小名取好之后就“编辑”吧
打开组策略后依次展开计算机配置>Windows组件>Windows Update
看到右边的配置自动更新了吗?
我们启动它,配置如图,更新计划和时间可以根据自身的情况去定
我们再来配置“指定Internet Microsoft更新服务位置”也就只填进你WSUS服务器的URL路径,指定了端口的还要把端口也加上去