Win7组策略设置七大技巧

这篇Win7组策略设置七大技巧是小编特地为大家整理的，希望对大家有所帮助!

1、Win7关机时强制关闭程序

依次展开：“计算机配置”→“管理模板”→“系统”→“关机选项”→“关闭会阻止或取消关机的应用程序的自动终止功能”→“已启用”→“应用”并“确定”后退出

“用户配置”→“管理模板”→“网络”→“网络连接”→“删除所有用户远程访问连接”→“已启用”→“确定”

2、不让用户“占位”不干活

“Windows设置”→“安全设置”→“本地策略”→“安全选项”→“安全选项”→“网络安全：在超过登录时间后强制注销”

3、不让木马“进驻”临时文件

“计算机配置”→“Windows设置”→“安全设置”→“软件限制策略”→“其他规则”→“新建路径规则”→“浏览”按钮，打开本地系统的文件选择框，从中将Windows 7系统的临时文件夹选中并导入进来;下面在“安全级别”位置处单击下拉按钮，从下拉列表中选中“不允许”选项，同时单击“确定”按钮执行设置保存操作，那样一来我们日后即使不小心遭遇到了木马病毒，但它们却不能随意自由运行、发作，那么本地系统的安全性也就能得到一定的保证了。

4、不让用户恶意ping“我”

“计算机配置”→“Windows设置”→“安全设置”→“高级安全Windows防火墙”→“高级安全Windows 防火墙——本地组策略对象”→“入站规则”→“新规则”→“自定义”→“所有程序”→“ICMPv4”→“阻止连接”选项

5、让媒体播放更畅快

“用户配置”→“管理模板”→“Windows组件”→“WindowsMediaPlayer”→“播放”→“允许运行屏幕保护程序”→“已禁用”

6、关闭搜索记录

“本地组策略编辑器”“用户配置→管理模板→Windows组件→Windows资源管理器”→“在Windows资源管理器搜索框中关闭最近搜索条目的显示”→“已启用”，确认之后即可生效，以后就再也不会自动保存搜索记录了。

7、组策略让win7上网浏览更高效

“管理模板”→“Windows组件”→“Internet explorer”子项→“阻止绕过SmartScreen筛选器警告”→“已禁用”→“确定”。

三种方法-Win7系统优化(图文解说)

第一部分修改注册表 1.桌面显示ie8主图标不要把快捷方式当成主图标啊将以下代码储存为reg格式，双击导入注册表即可。请注意，如果你的系统不是安装在c盘下，请把里面所有的c盘盘符改为你的安装盘符。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desk top\NameSpace\{00000000-0000-0000-0000-100000000001}] @="Internet Explorer" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}] @="Internet Explorer" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\DefaultIcon] @="C:\\Windows\\System32\\ieframe.dll,-190" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell] @="" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\NoAdd Ons] @="无加载项(&N)" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\NoAdd Ons\Command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -extoff" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Open] @="打开主页(&H)" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Open\ Command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\"" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Set] @="属性(&R)" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Set\C ommand] @="\"C:\\Windows\\System32\\rundll32.exe\"

常用AD组策略设置

常用AD组策略设置利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。下面是实际操作演示： ?AD域控制器：Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序打开“https://www.360docs.net/doc/a8863799.html,”域下组织单位“北京”的属性(如下图)：可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.360docs.net/doc/a8863799.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是： copy bssec.scr c:\windows\system32 即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。打开“https://www.360docs.net/doc/a8863799.html,”域的属性(如下图)：可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

win7小窍门

(由于是很多人编写汇总的，顺序有点儿乱，甚至有部分重复。) 1、选择合适的版本。Windows 7版本众多，但受众各不相同，举例说大多数商业用户选择专业版即可，而无需更贵的旗舰版，除非你需要BitLocker等功能。 2、别忘了64位版。Windows 7是微软第二套完整支持64位技术的系统，而且64位桌面环境也已经基本成熟，硬件、软件都差不多了。 3、Windows XP虚拟模式。一套带有Windows XP完整拷贝的Virtual PC虚拟机。这是虚拟化第一次全面走向普通用户，让人们可以在升级到Windows 7的同时保留完整的XP兼容性。Windows XP Mode RTM最终正式版将在22日Windows 7发售当天公开发布。 4、Windows PowerShell v2。不止是一个简单的命令行外壳，更是管理员期待已久的集成脚本环境(ISE)，具备强大的分布式并行处理能力，可以借助新的远程功能轻松管理数百台计算机。快捷键Ctrl+Alt+I。目前只集成在 Windows 7中，不过半年后会发布用于Vista等旧系统的独立版本。 5、AppLocer。XP时代就有软件限制策略，AppLocker则是混合了黑白名单的软件运行限制功能，能增强甚至取代安全软件，确保只有你批准的软件能够执行。 6、在资源管理器和命令行之间切换。选中某个文件夹，按住Shift点击右键，即可出现在此处打开命令窗口，点击即可打开命令行窗口而且位置就是当前文件夹；如果在命令行里想开启资源管理器窗口而且焦点位于当前文件夹，输入start。(其实Vista也可以如此) 7、把问题录下来。碰到了麻烦想远程求助又不知道如何描述？问题步骤记录器(PSR)就能帮你把每次点击时的相应步骤和屏幕记录下来，甚至能够添加注释，最终生成一个MHTML文件并压缩，发送即可。

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读实际上，本教程主要为以下内容：理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。一.环境变量、通配符和优先级关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠：1个或0个字符几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

win7组策略编辑器设置

win7组策略怎么打开？首先，在开始-运行中输入“gpedit.msc”，然后回车，打开组策略编辑器。依次点击“用户配置”→“管理模板”→“Windows 组件”即可 win7组策略编辑器设置从Windows 2000开始，组策略就是配置Windows的有效工具。其实严格说起来，组策略编辑器中的大部分配置都可以直接修改注册表实现，不过很明显，通过组策略编辑器进行修改，更加直观，而且也不容易出错。因此很多Windows用户都已经习惯了使用组策略对Windows的一些高级设置进行配置。 Windows 7中新增了大量新的功能，同时组策略编辑器中也包含了更多内容。想知道这些新增的内容对我们有什么用吗？一起来看看吧。提示：下文是以测试版的Windows 7RC2 Ultimate为基础撰写的，因此和正式版中可能会有所不同。另外，win7的家庭版没有组策略编辑器功能。控制硬件设备的安装这是一个很吸引人的功能。现在很多公司都不希望员工使用闪存盘或者MP3随身听之类可以通过计算机的USB接口传输文件的设备，因为这很容易导致公司的机密数据丢失。传统的预防办法最常见就是将计算机上的USB接口堵死，但这种“硬”方法也造成了一些问题，导致其他使用USB接口的设备，例如键盘和鼠标都无法使用。那么有没有不那么“强硬”的方法？这时候可以考虑使用Windows 7的组策略了。通过组策略实现的目标通过Windows 7的组策略，对硬件设备的安装将可以达到下列限制： ● 只有指定类型的设备可以安装，其他未指定设备一律无法安装。 ● 只有指定的具体硬件可以安装，其他未指定的硬件一律无法安装。 ● 所有可移动设备都无法安装。

Windows7使用组策略禁用移动存储设备

Windows7通过组策略禁止使用移动存储设备现在移动存储设备的使用越来越广泛，但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生，不过同时也意味着计算机将无法使用其他USB接口的设备，例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前，请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。如果确定所用的Windows 7版本具有组策略功能，则可以按照以下步骤进行操作。 (1)单击“开始”按钮，在搜索框中输入“gpedit.msc”并按回车键，打开“本地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安装—设备安装限制”项，如图1所示。图1 (3)双击右侧的相应策略，就可以针对实际情况对硬件设备的安装做出限制。这里一共有10条可用的策略，含义分别如下。允许管理员忽略设备安装限制策略：这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略，那么不管其他策略如何设置，都只能影响非管理员账户，而不能影响管理员账户。如果禁用这条策略，或者保持未被配置的默认状态，那么管理员账户也将受到其余几条策略的限制。

?允许使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略用于设定允许安装的设备类型。简单来说，这条策略等于一个“白名单”，配合其他策略，就可以让Windows 7只安装设备类型在这条策略中批准过的设备，其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略用于设定禁止安装的设备类型。简单来说，这条策略等于一个“黑名单”，所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息：这条策略用于决定当有设备被禁止安装后，在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题：这条策略用于决定当有设备被禁止安装后，在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备：这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备：这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时，等待强制重新启动的时间（以秒为单位）：这条策略用于设置强制重新启动计算机前的倒计时，以便让策略生效。 ?禁止安装可移动设备：这条策略用于决定是否禁止安装任何可移动设备，而且这条策略的优先级是最高的，只要启用了这条策略，那么不管其他允许策略是如何设置的，可移动设备都将无法被安装。

组策略对windows7的安全性设置(陈琪) - 修改

组策略对windows7的安全性设置陈琪（重庆市商务学校重庆市大渡口区400080）【摘要】：现在Win7系统已成为电脑市场的主流，大量企业和家庭个人都选择使用Win7系统，主要是Win7系统设计具有人性化、操作非常的简单，更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷，用户往往是通过第三方软件来实现，但是这些方法往往不具有个性化的设置，而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以简单轻松的实现Win7的系统的安全性设置。【关键词】：组策略点击用户配置驱动器木马权限哈希值【引言】：在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此，限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的，有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。【正文】： 1.驱动器访问权限的设置驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。

1.1隐藏驱动器那么我们首先来实现如何让初级普通用户看不到驱动器：点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。 2.网络安全性设置电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂一些别有用心的软件，用户真是防不胜防。所以网络安全性的设置相当重要。

组策略(gpedit.msc)学习

组策略（gpedit.msc）学习习背景：组策略就是修改注册表中的配置。当然，组策略使自己更完善计算机的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大. 学习目的：熟悉组策略的使用，完善计算机的管理与设置学习步骤：组策略的启动，组策略的实际例子操作讲解，安全防范，组策略的保护！地计算机配置对应注册表 HKEY_LOCAL_MACHINE 本地用户配置对应注册表 HKEY_CURRENT_USER 访问本地组策略的方法有两种：第一种方法是命令行方式：“开始”→“运行”→“gpedit.msc”→“确定”刚才我们演示的（gpedit.msc我们可以在系统盘中找到“C:\WINNT\SYSTEM32\gpedit.msc”）第二种方法是通过在MMC控制台中选择GPE插件来实现: “开始”→“运行”→“mmc”→“确定”→“文件”→“添加/删除管理单元”→“独立”→“添加”→“添加独立管理单元”→"组策略对象编辑器" 大家看到了吧！这样也是可以的，只是麻烦了点！继续讲解啊！ “本地计算机策略” | |——“计算机配置” 对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运 | | 行环境都起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块” | | |——“用户配置”对当前用户的系统配置进行设置的，它仅对当前用户起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块”

下面我们就用实际的例子来学习组策略这个超级工具！（因为组策略的功能太多，太强大！所以我就选择其中有代表性的例子进行讲解！一一讲解的话，你可以与我QQ联系，我一一讲解，这里不耽误大家时间）（任何事情都是有起因的，呵呵）事件一.起因：我们想不让别人使用我们的CMD（命令）与REGEDIT（注册表），所以我想删除“运行” 因为我们运行CMD与REGEDIT多是在运行菜单下进行的操作如下（涉及2个知识点）我们在实验之前看看我们的运行菜单他还好好的在那里！！知识点1.“任务栏”和“开始”菜单相关选项的删除和禁用（1）在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略！我们现在看看他没了运行菜单没了删除“运行”那么操作如下：用户配置”→“管理模板”→“任务栏和「开始」菜单”→从开始菜单中删除运行→已启用→确定那么我们想禁止使用CMD与REGEDIT的话是不是就已经成功了呢！带着疑问我们看看！没有运行菜单了是不是就是我的实验成功了呢？？？？是不是就是不可以运行CMD与REGEDIT了呢？？我们接着看看大家可以看得懂我的操作是什么吧就是运用BAT文件运行CMD与REGEDIT 我们的命令提示符出来了说明我们没有成功！没有成功！继续深入！知识点2.禁止使用CMD与REGEDIT （2）在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→“系统”分支。在右侧我们可以看到“阻止访问命令提示符”和“阻止访问注册表编辑工具”双击“已启用”确定检验结果！

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件：一、限制用户使用未授权软件方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：

组策略怎么打开,组策略编辑器命令

什么是组策略：所谓组策略就是配置计算机中某一些用户组策略的程序，由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具，在组策略中管理员可以管控诸如：禁止运行指定程序、锁定注册表编辑器、阻止访问命令提示符、禁止修改系统还原配置、修改用户组密码等等；组策略编辑器命令是什么，组策略怎么打开：点击“开始”菜单——>选择“运行”——>输入“gpedit.msc”(不含引号)——>点击确定即可打开组策略；假如您在网吧或局域网中权限受限，导致无法打开组策略，您还可以这样操作，在桌面新建一个文本文档TXT——>打开文本文档，输入“gpedit.msc”(不含引号)——>点击左上角“文件”——>选择“另存为”——>将“保存类型”设置为“所有文件”——>将“文件名”设置为“组策略.bat”——>点击“保存”——>在桌面上双击“组策略.b at” 程序，弹出cmd命令提示符后即可自动启动“组策略”；假如您在运行中输入“gpedit.msc”后，系统提示“Windows找不到文件xxxxx。请确定文件名是否正确后....”；您可以这样操作，首先点击“开始”菜单——>选择“运行”——>输入“mmc”——>点击确定，打开“控制台1”窗口——>点击“文件”—— >选择“添加\删除管理单元”——>点击下方的“添加”按钮——>在“可用的独立管理单元”中找到并选中“组策略对象编辑器”—— >点击“添加”——>点击“完成”即可——>再通过在运行中输入“gpedit.msc”打开组策略；

组策略怎么打开——>通过在运行窗口中输入“gpedit.msc”；组策略编辑器命令——>gpedit.msc；假如组策略运行异常，请使用上述方法尝试打开组策略。

win7电脑组策略对应的注册表位置大全

组策略安全选项对应注册表项汇总在组策略中的位置: 计算机设置->Windows设置->安全设置->本地策略->安全选项详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] 值名:AuditBaseObjects 含义:对全局系统对象的访问进行审计类型:REG_DWORD 数据:0=停用 1=启用值名:CrashOnAuditFail 含义:如果无法纪录安全审计则立即关闭系统类型:REG_DWORD 数据:0=停用 1=启用值名:FullPrivilegeAuditing 含义:对备份和还原权限的使用进行审计类型:REG_BINARY 数据:0=停用 1=启用值名:LmCompatibilityLevel 含义:LAN Manager 身份验证级别类型:REG_DWORD 数据:0=发送LM & NTLM响应 1=发送LM & NTLM - 若协商使用NTLMv2安全 2=仅发送NTLM响应 3=仅发送NTLMv2响应 4=仅发送NTLMv2响应\拒绝LM 5=仅发送NTLMv2响应\拒绝LM &

NTLM 值名:RestrictAnonymous 含义:对匿名连接的额外限制(通常用于限制IPC$空连接) 类型:REG_DWORD 数据:0=无.依赖于默认许可权限 1=不允许枚举SAM账号和共享 2=没有显式匿名权限就无法访问值名ubmitControl 含义:允许服务器操作员计划任务(仅用于域控制器) 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers] 值名:AddPrinterDrivers 含义:防止用户安装打印机驱动程序类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management] 值名:ClearPageFileAtShutdown 含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]

如何进入组策略编辑器

如何打开组策略编辑器开始-->运行：gpedit.msc 1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。方法一、怎么打不开EXE文件了？是不是中病毒了？对于程序打不开菜鸟的第一反应就是认为中病毒了，其实是通过设置把EXE文件运行禁止了。这和哪里的设置有关系？你想要的答案就是组策略。组策略可是博大精深，里面包含了系统，软件还有网络安全的有关设置，之前说的那个状况就是禁止了EXE文件的运行配置。开始讲太深奥菜鸟可能吃不消，先说简单的，怎么打开组策略。在开始菜单运行那里输入gpedit.msc，然后确定，

就可以进入到组策略的操作界面。组策略包括计算机陪孩子，软件配置，用户配置三大配置，其中三大配置里面又包含许多的小配置。该文先让菜鸟弄懂怎么进入组策略的，高手可以回避。运行输入gpedit.msc 进入组策略界面

方法二、除了上面这种进入组策略的方法，还有一种就是通过控制台进入组策略。同样在运行那里输入mmc命令，进入控制台界面。在控制台文件那下拉菜单选中添加删除/管理单元，点击进去，来到添加/删除管理界面，点击添加按钮，添加独立管理单元。

组策略编辑器相关文件

如何打开组策略编辑器？答：运行里输入gpedit.msc 系统里提示没有打开组策略这条命令？答：1：看是不是注册表中锁住了组策略“HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer”，把“RestrictRun”的键值改为0即可。 2：开始－－运行－－MMC－－文件－－添加删除治理单元－－添加－－组策略－－添加，后面的你应该会了。看你要开哪个策略，就添加哪个策略。一、桌面项目设置

1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、爱护好“任务栏”和“开始”菜单的设置二、隐藏或禁止操纵面板项目 1. 禁止访问“操纵面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务治理器四、隐藏或删除Windows XP资源治理器中的项目 1、删除“文件夹选项” 2、隐藏“治理”菜单项五、IE扫瞄器项目设置

1、限制IE扫瞄器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、爱护好你的个人隐私 6、禁止修改IE扫瞄器的主页 7、禁用导入和导出收藏夹六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核 4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“治理模板”→“桌面”节点，便能看到有关桌面的所有设置。此节点要紧作用在于治理用户使用桌面的权利和隐藏桌面图标。

Win7系统安全设置攻略

一、Win7系统安全设置攻略 1、关闭默认共享封锁系统后门同XP、Vista一样，Win7在默认情况下也开启了网络共享（如图1所示）。虽然这可以让局域网共享更加方便，但同时也为病毒传播创造了条件。因此关闭默认共享，可以大大降低系统被病毒感染的概率。打开魔方，点击“系统优化→网络共享”，将“禁止默认的管理共享及磁盘分区共享”选中，点“保存设置”后重启计算机，此时就无法通过默认共享访问系统了（如图2所示）。如果不希望一次性关闭所有默认共享，魔方还提供了关闭单个默认共享的功能。在刚才的界面中选中“默认共享”点“刷新”，可以看到当前系统的默认共享列表，将不需要的默认共

享选中后点“清除共享”，保存设置重启计算机，选中的默认共享就会被关闭。此外，魔方还提供了“限制IPC$的远程默认共享”、“禁止进程间通讯IPC$的空连接”等能够有效提升系统安全性的设置，建议全部启用。 2、修改组策略加固系统注册表和XP、Vista相同，Win7中仍然开放了风险极高的可远程访问注册表的路径。将可远程访问注册表的路径设置为空，可以有效避免黑客利用扫描器通过远程注册表读取Win7的系统信息及其它信息。打开控制面板，选择“管理工具”，双击“本地安全策略”，依次打开“本地策略→安

全选项”，在右侧找到“网络访问：可远程访问的注册表路径”和“网络访问：可远程访问的注册表路径和子路径”，双击打开，将窗口中的注册表路径删除(如图3所示)。 3、锁定重要功能防止病毒盗用系统中一些常用的、权限较高的功能，如命令行程序、批处理文件、注册表编辑器等也经常被病毒等恶意软件利用，成为入侵系统的“帮凶”。而这些程序作为普通用户又不是经

MMC无法创建管理单元组策略对象编辑器未正确安装的解决方法

MMC无法创建管理单元组策略对象编辑器未正确安装的解决方法开始菜单→运行→输入gpedit.msc打开组策略编辑器，却出现错误提示MMC无法创建管理单元,这里分享下方法，需要的朋友可以参考下开始菜单→运行→输入gpedit.msc打开组策略编辑器，却出现错误提示： MMC 无法创建管理单元。 MMC 未能创建管理单元。管理单元可能未正确安装。名称：组策略对象编辑器 CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3} 如图：

解决方法： 1、右键单击“我的电脑”→“属性”→“高级”选项卡→“环境变量”→“系统变量”→双击“PATH 环境变量”→检查“变量值”中是否包含“%SystemRoot%\system32;%SystemR oot%;%SystemRoot%\system32\WBEM”，若未包含则添加上，注意如果出现其他系统变量，请不要删除，而要以半角分号“;”分割→一路“确定”。如果步骤一运行下来，组策略对象编辑器仍出现错误，则 2、开始菜单→运行→输入 regsvr32 gpedit.dll wsecedit.dll 如果出现如下错误提示： LoadLibrary ("gpedit.dll")失败 - 找不到指定的模块。如图：，则找到 C:\windows\system32\wbem 目录下的“Framedyn.dll”文件，并将其拷贝到 C:\windows\system32

目录下，开始菜单→运行→输入 regsvr32 gpedit.dll wsecedit.dll ，此时会提示 gpedit.dll 中的 DllRegisterServer 成功。如图：， wsecedit.dll 中的 DllRegisterServer 成功。如图：。开始菜单→运行→输入gpedit.msc就可以打开组策略编辑器“gpedit.msc”。

组策略——Win10 用户组策略不生效

Win10 用户组策略不生效 2018年11月18日 21:59:05 问题现象 Windows server 2008部署的AD服务器和打印服务器，客户端系统有win7，有win10。通过组策略将打印机部署至每个用户，结果win7的打印机列表里面会自动出现组策略部署的打印机，win10的就是不出现。刚开始怀疑是Server 2008服务器版本低不兼容，后来添加Windows server 2016服务器，角色依旧是AD服务器和打印服务器，Server 2008降级并将林和域级别提升至Server 2016。可惜的是问题依旧。如图所示，“GPNB-总经理办公室”里很多域用户。现象就是，用户如果使用的是win7，该GPO部署的打印机会自动出来，如果是win10，打印机就是不出来。反复重启、强制刷新组策略都不管用，而且发现这种问题不是个案，观察了很多客户端电脑，都有此规律。

问题原因在不经意地添加authenticated users又删除它的时候，碰到了一个系统提示。至此真想大白于天下。

提示的大体意思是要想从域控制器读取GPO数据以应用用户组策略，组策略得先取得计算机账户许可。Authenticated Users 或者Domain Computers安全组至少要添加一个到组策略的“安全筛选”里面，才能保证用户组策略被执行。结合问题现象，可以得出结论：Windows 10、Windows Server 2016系列系统引入了新的组策略安全机制，给指定domain user用户应用用户组策略得先取得domain user 登陆的计算机的domain computer账户许可。

网络设置方法win7

Windows Vista / 7糸统怎样设置网络连接及网络连接的一些问题处理办法一、怎样设置固定的IP地址： 1 、如果是采用ADSL宽带接入(WAN微型端口PPPOE含无线接入)，就在Internet协议本4(TCP/IP)属性的常规项里设置勾选"自动获得IP地址(0)"和下面的"自动获得DNS服务器地址(B)，因为ADSL宽带接入(WAN微型端口PPPOE 含无线接入)的IP地址是动态的IP (不断改变的)。 2 、如果是局域网用路由器本地连接就要Internet协议本4(TCP/IP)属性设置固定的IP地址和固定的DNS服务器地址 (E)，因为局域网内的IP地址上是靠接入这个局域网内分配的。 3、假如不是局域网是采用ADSL宽带接入(WAN微型端口PPPOE含无线接入)也设置固定IP地址，就容易被黑客入侵攻击，因为ADSL接入的Modom端口里是没有防火墙的；而局域网用路由器本地连接就可以设置固定的IP地址,因为现在所有的路由器的端口里都设有防火墙的. 二、局域网Internet协议本4(TCP/IPv4)属性适用路由器本地连接设置: 1:在“控制面板→网络连接”里，用鼠标右键单击“本地连接”图标. 2:然后选择属性，在弹出的属性窗口的“此连接使用下列项目(0)”选项卡的列表里选择“Internet协议本4 (TCP/IPv4)属性然后单击“属性”按钮。 3:在弹出的属性窗口中，选择“使用下面的IP地址(S)”选项，填上: IP地址(I) : 192 .168 .1 . X [ IP选择范围为:192.168.1.X（2≤X≤255) ]. 子网掩码(U) : 255.255.255.0 默认网关(D) : 192 .168 . 1 . 1 4:下面一栏中"使用下面的DNS服务器地址(E) " 填上: 首选DNS服务器(P): 202 .96 .128 .166 备用DNS服务器(A): 202 .96 .128 .86 三、ADSL宽带接入(WAN微型端口PPPOE)Internet协议本4(TCP/IPv4)属性设置(包括备用设置): 1:在“控制面板→网络连接”里，用鼠标右键单击“本地连接”图标. 2:然后选择属性，在弹出的属性窗口的“此连接使用下列项目(0)”选项卡的列表里选择“Internet协议本4 (TCP/IPv4)属性然后单击“属性”按钮. 3:在常规项里勾选"自动获得IP地址(0)"和下面的"自动获得DNS服务器地址(B). 4:点击旁边的"备用配置",然后在"用户配置(S)"里分别填上: IP地址(I): 192 .168 .0 .204 子网掩码(U): 255 .255 .255.0 默认网关(D): 198 .168 .0 . 1 使用下面的DNS服务器地址(E) 首选DNS服务器(P) 192 .168 .0 .188 四、网络连接的一些问题处理办法: 【1】、点击宽带连接提示说"netcfg.hlp和windows.hlp"文件不存在的解决方案: 方法一: 将下面的东西复制到一个空白的记事本中，选文件另存为文件类型选全部文件，文件名输入(注意包括引号最好复制) "fixEXE.reg" 放在桌面上.双击这个fixEXE.reg 即可解决. Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"

gpedit组策略命令大全

组策略命令大全如何打开组策略编辑器？答：运行里输入gpedit.msc 系统里提示没有打开组策略这条命令？答：1：看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加，后面的你应该会了。看你要开哪个策略，就添加哪个策略。一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目 1.禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器

3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器四、隐藏或删除WindowsXP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核 4、Windows98访问WindowsXP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具一、桌面项目设置