Windows组策略之管理模板

在Windows 2000/XP/xx目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。

在Windows 9X系统中，默认的admin.adm管理模板即保存在策略器同一个文件夹中。而在Windows 2000/XP/xx的系统文件夹的inf 文件夹中，包含了默认安装下的4个模板文件，分别为：

1）System.adm：默认情况下安装在“组策略”中，用于系统设置。

2）Ires.adm：默认情况下安装在“组策略”中；用于Inter Explorer策略设置。

3）Wmplayer.adm：用于Windows Media Player 设置。

4）Conf.adm：用于NetMeeting 设置。

在Windows 2000/XP/xx的组策略控制台中，可以多次添加“策略模板”，而在Windows 9X下，则只允许当前打开一个策略模板。

下面介绍使用策略模板的方法。首先在Windows 2000/XP/xx组策略控制台中使用如下：

首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.

然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略器中打开选定的脚本文件，并等待用户执行。

返回到“组策略”器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”，再点击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了（为了便于本文后面的实例大家能一起动手操作，建议添加除默认模板文件的其它模板文件）。

再来看Windows 9X下的组策略器。首先在组策略器中的“文件”菜单中选择“关闭”，以便将当前脚本关闭，然后再在“选项”菜单中选择“模板”。

然后单击“打开模板”按钮，在弹出的对话框中选择相应的.adm 文件并单击“打开”按钮，则在器中打开选定的脚本文件并等待用户执行。

计算机软件升级实用技巧

随着计算机和网络技术日益普及，越来越多的家庭都拥有了电

脑并且已经上网，为我们生活带来了无限便利和快乐。但是只要使用电脑――不管你是电脑的高手还是初学者，就离不开各类软件的应用。用最通俗的话来讲――没有软件的电脑根本无法使用。由于软件产品的特殊性又决定了，没有哪个厂家敢保证自己的软件产品是一步到位的，因此系统以及应用软件的升级就是大家在使用软件的过程中必然要遇到的问题。事实上，我们在使用计算机过程中也的确会遇到各种稀奇古怪的问题，这些问题有时并不都是使用操作不当造成，而是软件本身的缺陷所致。如果想让你的计算机运行的更加稳定、更加安全的话，在日常维护的时候可别忘记――软件升级。软件的升级主要包括两个方面：一个是操作系统得升级，另一个是操作系统下应用软件的升级。

一、操作系统打补丁

1、升级就是打补丁

作为微软Windows操作系统家族成员中最先进的一个产品，微软Windows XP自出世以来就在中国市场中获得了广泛好评和客户的认同，它出色的兼容性和移动性也被业界所推崇。但是“金无足赤”、

任何一个软件产品都会有或多或少的毛病，何况是超乎寻常复杂的操作系统。Windows XP也是如此，照样存在着数以万计的系统漏洞。我们经常说的～给系统升级，实际上就是给系统打补丁，而补丁也主要是针对操作系统来量身定制的，如今的网络时代，在Inter 上冲浪、与好友交流的时候，说不定就有人正在利用系统的漏洞让你无法上网，甚至侵入你的计算机盗取------对一些分区进行格式化操作！所以我们给微软打补丁有以下几个目的：

1）增强系统安全性。这是最重要的，面对众多的黑客、病毒，微软公司接二连三地推出各种系统安全补丁，中心目的还是为了增强系统的安全性。而且无论你用计算机欣赏音乐、上网冲浪、运行游戏，还是编写文档都不可避免地需要涉及到补丁程序。

2）提高系统可靠性和兼容性。补丁中有很多可以提高你的硬件性能，还可以使你的系统更加稳定。

3）实现更多的功能。补丁中有很多使用的小软件，这些都是微软所推荐用户添加的，多了它们没有什么坏处。

2、怎样让系统打上补丁

朋友们对Service Pack（简写为SP）一定不会陌生吧！它就是微软每隔一段时间就要推出的补丁包的集合软件。微软的操作系统及软件产品漏洞很多，微软不得不频繁地各种Hotfix（通常称为修补程序）来进行修补，但对一般用户来说，要查看自己的电脑是否安装了某个Hotfix是一件麻烦事，下载安装各种Hotfix也很繁琐，微软为了解决问题，就开始SP补丁包，SP补丁包中包含有SP日期前所的所有Hotfix。也就是说，Hotfix是针对某一个问题的单一补丁，SP包含SP日期前的所有Hotfix补丁。因此，只要你下载并安装了SP补丁包，就不需要再去下载安装SP日期前的Hotfix了。SP补丁包按日期的先后顺序排列，这样便有了SP1、SP2、SP3……等等。

针对Windows操作系统的SP补丁包是可叠加补丁包，也就是说SP2中已包含有SP1中的所有补丁，SP3中已包含有SP2、SP1中的所有补丁，以此类推，如Windows 2000现在就有SP1、SP2、SP3、SP4补丁包。不过，Office产品的SP补丁包是不可叠加补丁包，比如SP2只包含有SP1日期以后到SP2日期前这一段时间内的所有补丁，以此类推。因此，对于Windows产品来说，用户只需下载并安装最新的

SP补丁包即可。而对于Office产品则必须下载并安装所有的SP补丁包，这一点务必要注意。

怎样重新安装Windows

1、执行病毒和恶意软件扫描您的计算机上，然后重新安装Windows。虽然重新安装过程将覆盖任何受感染的系统文件，可以感染其他计算机上的文件。运行扫描，再重新安装，以消除感染或删除受感染的文件，使他们无法再次感染你的系统重新安装后，你已经完成了。当扫描完成后，关闭您的杀毒软件，然后再开始重新安装，并把它关闭，直到过程完成后。

2、通过将数据复制到闪存驱动器，外部硬盘驱动器或内部硬盘驱动器是分开的，从你的Windows分区的分区，让您的文档，图片和其他重要数据的备份副本。如果这些选项不可用，使用可移动介质，如可写DVD光盘，备份您的文件。其他软件，你会重新找到你的Windows产品密钥，产品密钥，应包含安装光盘或Windows键，如果它来连接到您的计算机上安装的Windows。写下详细信息，如您的用户名，计算机名和工作组名称，确保它们输入正确完成重新安装后。

3、确定你希望怎样重新安装Windows。给你两个选项可供选择：一个完整??的重新安装，使用“自定义安装选项或“就地升级重新安

装使用“升级安装选项。一个完整的重新安装，让您选择驱动器分区格式化，再重新安装，虽然是在不需要格式化。在就地重新安装覆盖系统文件，以同样的方式，升级到另一个版本的Windows将不重新格式化驱动器。如果您决定要格式化的驱动器，你会选择之间的全格式安全地删除所有的分区信息，并快速格式化，覆盖以前的数据。全格式可确保所有以前的数据完??全删除，但它需要更长的时间比一个不太安全的快速格式。

4、卸载任何Service;Pack更新您之前已经安装，如果您不打算格式化Windows分区。这是通过点击“查看已安装的更新链接，在“卸载程序窗口，选择你想删除的Service;Pack更新，点击“卸载按钮。Windows可能无法正确??重新开始安装过程之前，因为软件会看到重新安装过程中，未经授权的降级不会被删除，如果服务包更新。

重新安装

5、将Windows安装光盘插入到您的计算机的DVD驱动器。如果你想执行“就地升级重新安装，从光盘运行“setup.exe文件，在Windows运行时。如果您打算进行完全重新安装，重新启动计算机，并出现提示时，按任意键从DVD驱动器中的光盘启动。

Windows xx与Windows 7并存时的故障详解

上周末，我下了很大的决心，对笔记本计算机进行了全面清理，以便安装Windows 7 RTM。经常阅读我文章的读者应该知道，从xx 年底开始，我就一直在使用Windows 7测试版。当Windows 7候选版到来时，我采取的是非常规安装方式，直接从测试版升级到RC版(微软并不支持这样的操作)。但这次，我决定采用全新安装的方式升级到Windows 7 RTM，如同在上周的文章中说的一样。

尽管我努力注意保证小心不出大错，但在Windows 7启动管理器的环节还是出现了问题。下面就描述一下出现问题的情况和我发现的解决方法。

在多启动模式下开始安装

目前，我的笔记本计算机的主要应用于为客户运行产品展示之类的日常工作，偶尔也会运行任教的课程项目。在一个外置的串行ATA硬盘中，我已经安装了采用多启动模式的Windows Server xx。

我相信，在Windows 7 RTM的安装过程中，连接外部驱动器的话，会让安装向会检测到是需要配置多启动模式，并希望它可以自动进行配置，这样的话，我也就不必对整个过程进行过多的干预了。

这样做导致了相当有趣的结果是。在整个安装过程中，并没有出现问题;在重新安装了Office xx和Live在线服务后，我安装了几个软件并对一些设备进行了简单配置，准备导入旧数据。

因为我首先进行的是重新加载备份数据的操作，所以并没有马上发现这个问题。直到我退出安装光盘，才发现找不到启动设备了。

更糟糕的是，我发现即使是拔掉外部驱动器使用启动盘也无法启动系统了。

于是，我首先采用光盘启动模式，并使用F8键。选择对系统和启动菜单进行修复。但系统没有发现任何问题，我又选择利用安装光盘进行处理，但得到的结果也是相同的。我只好进入命令行模式并使用BCDEDIT进行处理，以找出启动模式使用的实际分区。

内容仅供参考

Active+Diretory+全攻略--组策略

组策略与OU中的组没有关系，不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如：用户桌面环境、计算机启动/关机所执行脚本文件，用户登录/注销所执行的脚本文件、文件重定向、软件安装等。一、组策略的基本概念 1、组策略的设置数据保存在AD数据库中，因此必须在域控制器上设置组策略。 2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。 3、组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU） 4、组策略不适用于WINDOWS9X/NT的计算机，所以应用到这些计算机上无效。 5、组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应使用本地安全策略来管理。注意一下：本地安全策略与组策略很相似，但功能较少，仅能管理本机上的计算机设置与用户设置。 GPO的特性：组策略的设置数据都是保存在“组策略对象“（GPO）中，GP O具有以下特性：

1、GPO利用ACL记录权限设置，可以修改个别GPO的A CL，指定哪些人对该GPO拥有何种权限。 2、用户只要有足够的权限，便能够添加或删除GPO，但无法复制GPO。当AD域刚建好时，默认仅有一个GPO--DEFA OLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略，通常会再另行建立GPO，以方便管理。 GPO的内容： GPO有两大类策略：1、计算机设置：包含所有与计算机有关的策略设置，这些策略只会应用到计算机帐户。 2、用户设置：包含所有与用户有关的策略设置，这些策略只会应用到用户帐户。下面来看下

Window 2008 R2组策略之一——组策略管理控制台

组策略管理在windows域管理中占有重要地位，本身也不是新的内容了。但微软在Windows2008中终于集成了一个非常好用的组策略管理工具——组策略管理控制台。并且为原有的组策略添加了新的元素。本文从介绍组策略管理控制台入手，力求通过比较通俗的语言，为组策略新手开启一扇进入Windows域高级管理的大门。由于本人水平所限，如有不妥之处，请方家不吝赐教。在08以前的Windows Server中要想配置组策略，是件麻烦事。后来微软推出了一个小工具——gpmc，才解决了问题，但这个工具需要下载和安装，许多人不知道有这个工具的存在。在Windows 2008中，微软将它集成了进来，大大方便了管理员对于组策略的管理和配置。首先，让我们看看它的庐山真面目吧！点击“开始”，导航到“管理工具”，选择“Group Policy Management”命令，打开组策略管理控制台。（见图一）图一正如各位所见，在此管理控制台的根节点，是一个叫做“https://www.360docs.net/doc/d612452100.html,”的森林根节点。展开后，可见如下几个主要节点：域，默认情况下是与森林同名的域；组策略对象（Group Policy Objects——GPO），是存放所有组策略的节点，包括用户创建的和默认域策略以及默认域控制器策略；Starter GPOS（初级使用者GPO），它衍生自一个GPO，并且具有将一组管理模板策略集成在一个对象中的能力（Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative

管理员操作手册-AD域控及组策略管理_51CTO下载

AD域控及组策略管理目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控（DC）基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位（OU） (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位：(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象（dsmod） (14) 6、其他命令（dsquery、dsmove、dsrm） (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)

一、Active Directory(AD)活动目录简介 1、工作组与域的区别域管理与工作组管理的主要区别在于： 1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。 2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

组策略终极应用技巧

组策略终极应用技巧出处：中国IT实验室责任编辑：ANSON2006-03-17 15:39:34 关闭缩略图的缓存（Windows XP/2003） Windows XP/20003系统系统具有缩略图的功能，为加快那些被频繁浏览的缩略图显示速度，系统还会将这些显示过的图片置于缓存中，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。若你不希望系统进行缓存的话，则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理，反而会大大加快第一次浏览的速度。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示：若你的电脑是一个网络中的共享工作站，为了数据安全，建议你启用该设置以关闭缩略图视图缓存，因为缩略图视图缓存可以被任何人读取。

屏蔽系统自带的CD刻录功能（Windows XP/2003） Windows XP/2003系统自带CD刻录功能，若你有刻录机连接在电脑上，在Windows 资源管理器中可以直接将数据犹如复制一样写到CD－R上。这样虽然方便，但是会影响系统性能和资源管理器的执行速度，再加之大部分用户都习惯了运用专用刻录软件进行刻录，所以我们建议无论电脑上有无刻录机，都可以利用组策略来屏蔽此功。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示：该设置不会阻止用户使用第三方应用程序来刻录或修改CD－R。限制IE浏览器的保存功能（Windows 2000/XP/2003）

当多人共用一台计算机时，为了保持硬盘的整洁，对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢？具体步骤如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”，然后将右侧窗格中的“…文件?菜单：禁用…另存为...?菜单项”、“…文件?菜单：禁用另存为网页菜单项”、“…查看?菜单：禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改，可以将“…工具?菜单：禁用…Internet选项...?”策略启用。此外，如果个人需要的话，还可以在该窗格中禁用其他项目。禁止修改IE浏览器的主页（Windows 2000/XP/2003）在IE浏览器中可以设置默认主页，如果不希望他人对自己设定的IE浏览器主页进

使用组策略修改客户端DNS设置

1.编写DNS设置计算机策略脚本 1)新建文本文档并重命名为computer.bat 2)编辑computer.bat，将以下命令复制进去并保存 netsh interface ip set dns "本地连接" static <首选DNS> netsh interface ip add dns "本地连接" <备选DNS> netsh interface ip add dns "本地连接" addr=<备选DNS 2> index=3 netsh interface ip add dns "本地连接" addr=<备选DNS 3> index=4 2.编写DNS设置用户策略脚本 1)新建文本文档并重命名为user.bat 2)编辑user.bat，将以下命令复制进去并保存 echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip set dns "本地连接" static <首选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" <备选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS2> index=3" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS3> index=4" 3.设置计算机策略 1)依次打开“组策略管理器”—组策略对象—找到对应OU的组策略。 2)右击编辑—“计算机配置”—“策略”—“Windows设置”—“脚本”—“启动” 3)在弹出的对话框中选择“添加”—“浏览”，将新建的computer.bat复制进去，选择computer.bat保存确定。 4.设置用户策略

域组策略应用详解

Win2003域之组策略应用目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用因为只须设置一次，相应的用户或计算机即可全部使用规定的设置减少用户不正确配置环境的可能性 c)推行公司使用计算机规范桌面环境规范安全策略总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构组策略的具体设置数据保存在GPO中创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

Active Directory 环境中使用组策略管理控制台 9468915501

Active Directory 环境中使用组策略管理控制台9468915501 该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。该指南并不提供G PO 实施指导。本页内容简介逐步式指南 Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。本指南第一介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory?；安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。通用网络结构要求完成以下指南。 ? ?

在配置通用网络结构后，能够使用任何其他的逐步式指南。注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。 Microsoft Virtual PC 能够在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术，客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。 Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的，但大多数配置不经修改就能够应用于虚拟环境。将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。重要讲明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。概述 Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具，它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。

window实验手册组策略规划

w i n d o w实验手册组策略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】

教学时间第五周2008-3-18 教学课时 3 教案序号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略教学过程：一、OU（组织单元）的管理 1、OU的概念域是最小的管理单位，在活动目录中，域一般对应公司，而OU则对应于公司中的部门。OU是活动目录中的容器，可以在OU中建立用户、组等其他对象，也可以在OU中建立OU。 2、建立OU及子对象（1）注意图标。（2）建立步骤：在需要创建的空白处右击，选择“新建”——“组织单元”，在对话框内输入OU名称即可。（3）在OU中可以放用户、组、打印机、共享文件夹、子OU等。实验一：OU的管理 1、在下中新建“教师”和“学生”两个OU，再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1，t2账户，“学生”OU中包括s1，s2账户，“普通教师”OU中包括c1，c2账户。

二、组策略概述 1、组策略的概念（1）组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括管理模板设置、Windows设置、软件设置。（2）组策略配置包含在一个组策略对象（GPO）中，该对象又与选定的活动目录服务容器（如站点、域、组织单元OU等）相关联，不会影响没有加入域的计算机和用户。（3）组策略配置类型有：计算机配置和用户配置。（4）组策略分为：本地安全策略和活动目录的组策略。本地安全策略适用于本地用户和组，我们所讲的是活动目录的组策略，活动目录安装好以后就自动建立了两个组策略（域控制器安全策略和域安全策略）。 2、组策略的应用顺序（1）本地组策略（2）域组策略（3）域控制器组策略（4）组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。 1、创建组策略步骤：右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略步骤：右击-属性-“组策略”选项卡-“编辑”按钮

组策略的管理(账户锁定策略)

组策略的管理（账户锁定策略） 2. 账户锁定策略账户锁定策略用于域账户或本地用户账户，用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”，可打开组策略控制台，依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。（1）账户锁定阈值该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户，除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0，则将无法锁定账户。对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上，失败的密码尝试计入失败的登录尝试次数中。在组策略窗口中，双击“账户锁定阈值”选项，显示“账户锁定阈值属性”对话框，选中“定义这个策略设置”复选框，在“账户不锁定”文本框中输入无效登录的次数，例如3，则表示3次无效登录后，锁定登录所使用的账户。建议启用该策略，并设置为至少3次，以避免非法用户登录。（2）账户锁定时间该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0，那么在管理员明确将其解锁前，该账户将被锁定。

如果定义了账户锁定阈值，则账户锁定时间必须大于或等于重置时间。打开“账户锁定时间”的属性对话框，选中“定义这个策略设置”复选框，在“账户锁定时间”文本框中输入账户锁定时间，例如30，则表示账户被锁定的时间为30分钟，30分钟后方可使用再次使用被锁定的账户。默认值为无，因为只有当指定了账户锁定阈值时，该策略设置才有意义。（3）复位账户锁定计数器该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数，有效范围为1~99 999分钟之间。如果定义了账户锁定阈值，则该复位时间必须小于或等于账户锁定时间。打开“复位账户锁定计数器”的属性对话框，选中“定义这个策略设置”复选框，在“复位账户锁定计数器”文本框中输入账户锁定复位的时间，例如30，表示30分钟后复位被锁定的账户。只有当指定了账户锁定阈值时，该策略设置才有意义。

远程修改组策略

远程修改组策略由于管理员的误操作导致了本地策略拒绝所有人登录，如何恢复呢？今天我们就来做这个实验！首先，我们要做一下的准备工作： 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置，使得任何用户都无法登录。（1.）在Berlin上，点击开始/运行，输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器，然后点击windows设置/安全设置/本地策略/用户权限分配，如下图所示：

打开以后我们就可以找到拒绝本地登录这一项了，双击打开打开后点击添加用户和组，把User用户添加进去

点击确定后，注销计算机。任何的用户都无法登录了，甚至就连大名鼎鼎的管理员也无法登录了！ OK！实验正式开始了！我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务，但计算机默认的telnet服务是关闭的，首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中，右键点击我的电脑，打开计算机管理，然后右键点击：计算机管理（本地）——连接到另一台计算机，如下图：

在选择计算机中输入Berlin的IP地址，然后点击确定。然后的服务中找到Telnet，

手动启动起来。 OK！我觉得现在的准备工作才算完成了！接下来我们要用Telnet 把Berlin连接过来。在Florence中，点击开始/运行，输入cmd

键入telnet 192.168.12.103 在C:\>提示符下，键入secedit /export /cfg c:\sectmp.inf，导出它的当前安全设置。完成以后不用着急关闭该提示符。

组策略软件限制策略

组策略软件限制策略文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

组策略——软件限制策略导读实际上，本教程主要为以下内容：理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（难点是NTFS权限），软件限制策略的精髓在于权限，如何部署策略也就是如何设置权限规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。一.环境变量、通配符和优先级关于环境变量（假定系统盘为 C盘） %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名

%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符： Windows里面默认 * ：任意个字符（包括0个），但不包括斜杠：1个或0个字符几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。

如何设置常用组策略

如何设置常用组策略故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具解决方案: 一、桌面项目设置在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。安全设置包括：，，，，。：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。：倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略一、什么是组策略 (一)组策略有什么用说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。二、组策略中的管理模板在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

Windows2003组策略配置、应用与管理

第10章组策略配置、应用与管理

10.1 组策略基础组策略是Active Directory（活动目录）服务中允许管理员针对用户和计算机进行配置的基础架构。它与注册表的功能类似，但其设置组织形式更加直观，更加便于操作、配置与管理。它将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 10.1.1 组策略结构组策略设置主要包括：用户计算机环境（如"开始"菜单、桌面快捷项、控制面板选项、可用程序等）、计算机和用户的本地或网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP安全策略等）。可以用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。创建的组策略设置包含在组策略对象（GPO）中，通过将GPO与所选的Active Directory系统容器--站点、域和组织单位相关联，实现组策略设置的具体应用。还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。组策略可基于活动目录中的用户和计算机账户两种对象分别进行配置，所以在GPO中的组策略设置项中包括"计算机配置"和"用户配置"两大部分（如图10-1所示），这就是组策略的基本结构。而且可以看到，在这两大部分中，有许多设置项是相同的，如都有"软件设置"、"Windows设置"和"管理模板"等这几部分，而且在这些部分中，又有许多相同的子设置选项。我们知道，"计算机配置"是针对计算机对象而言的，"用户配置"是针对用户对象而言的，而用户配置又是通过计算机来应用的，这就存在一个可能两者的相同选项设置不一致、有冲突的问题，这时又该应用哪个设置呢？根据组策略规定，当两者的配置有冲突时，最终以计算机策略为依据。组策略不仅应用于用户和客户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何其他Windows 2000计算机。组策略对象（GPO）的创建的最大容器是域，最小容器是组织单位（OU），当然可以为各级OU创建不同的GPO。不能为特定的计算机或用户创建

通过组策略修改客户端登录的方式

电话：(0371)65706336 65706337 65706339 传真：（0371）65706367 地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002 1 通过组策略修改客户端登录的方式场景某企业的管理员为了方便用户的登录及只允许登录到域，希望能够达到以下目的： z不使用安全键序列Ctrl+Alt+Del，直接输入用户名及密码 z在登录时，登录对话框中只显示域，而不显示本机，从而达到只能登录到域的目的z个别的计算机（如展厅的PC）开机就自动登录到域，而且使用的是有密码的权限受限的账户原理在Windows NT开始，在登录的时候就需要Ctrl-Alt-Delete组合键才能出现登录对话框，这三个键叫Secure Attention Sequence(SAS)。微软之所以这样设计，是因为CTRL+ALT+DEL 三键直接调出的程序只有任务管理器和登录窗口，而其它的一些骗取密码的木马类程序是无法通过的，从而提高了安全性。一般建议用户使用这个安全键序列。但是有些不了解的用户却认为这样不方便。 SAS热键的注册使得Winlogon成为第一个处理CTRL+ALT+DEL的进程，所以保证了没有其他应用程序能够处理这个热键。在Windows NT/Windows 2000/Windows XP中， WinSta0 是表示物理屏幕、鼠标和键盘的Windows系统对象的名字。Winlogon在WinSta0 Windows系统中创建了SAS窗口（窗口标题是"SAS Window"）和如下三个桌面。 z Winlogon 桌面 z应用程序桌面 z屏幕保护桌面当用户按下Ctrl-Alt-Delete组合键时，Winlogon桌面上的SAS窗口收到它注册的系统热键消息(WM_HOTKEY) SAS Window窗口处理这个消息调用Graphical Identification and Authentication(GINA)动态连接库中的相关函数。

组策略应用之域环境内的统一发放补丁

组策略应用之域环境内的统一发放补丁这是平常应用中的一个小案例，说出来和大家分享一下，现在很多公司都是用MS的产品，而且都是用域来管理，大家都知道AD的好处就是能统一资源管理，而在AD中起到关键作用的就是“组策略”。说说本人在日常管理中的应用小窍门，说白了也不是什么小窍门，只是按规章办事就好而已，做足了这些工作之后就能做个轻松的管理员，可以减少很多病毒的困扰和很多麻烦琐事。那就是 1：对所有电脑统一发放最新系统更新补丁，很多病毒蠕虫都是趁着这个来的了2：及时更新杀毒软件病毒库 3：给员工适合的权限也能大大减少中病毒木马的几率，例如一个只有USER权限的员工，中了木马后没有安装的权限所以木马就运行不起来，给相应的权限很重要把，呵呵…这些做足了，很多病毒木马想找你都没门了。好了越扯越远了，接下来就来说说AD环境中统一发放补丁的一个组策略应用把，想要统一发放补丁就必须先搭建一个WSUS服务器，MS免费的哦，难得啊还不好好利用，怎么搭建和应用这里就不讲了，大家百度谷歌吧，当我们搭建好了WSUS服务器之后就开始我们的组策略之旅了。这里我更新域里面的所有计算机新建策略“UPDATE”

小名取好之后就“编辑”吧

打开组策略后依次展开计算机配置>Windows组件>Windows Update

看到右边的配置自动更新了吗？

我们启动它，配置如图,更新计划和时间可以根据自身的情况去定

我们再来配置“指定Internet Microsoft更新服务位置”也就只填进你WSUS服务器的URL路径，指定了端口的还要把端口也加上去

组策略完全使用手册

组策略完全使用手册对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。一、组策略基础 1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 2.组策略的版本对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003操作系统中。早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略在Windows 2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开： (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

管理员操作手册-AD域控及组策略管理 51CTO下载

四川省烟草专卖局（公司）效能协同平台管理员操作手册 AD域控及组策略管理版本号 1.0 日期:2011年6月山东浪潮齐鲁软件产业股份有限公司

文档修订记录

目录一、Active Directory(AD)活动目录简介 (4) 1、工作组与域的区别 (4) 2、公司采用域管理的好处 (4) 3、Active Directory(AD)活动目录的功能 (6) 二、AD域控（DC）基本操作 (6) 1、登陆AD域控 (6) 2、新建组织单位（OU） (8) 3、新建用户 (10) 4、调整用户 (11) 5、调整计算机 (14) 三、AD域控常用命令 (15) 1、创建组织单位：(dsadd) (15) 2、创建域用户帐户(dsadd) (15) 3、创建计算机帐户(dsadd) (15) 4、创建联系人(dsadd) (16) 5、修改活动目录对象（dsmod） (16) 6、其他命令（dsquery、dsmove、dsrm） (17) 四、组策略管理 (19) 1、打开组策略管理器 (19) 2、受信任的根证书办法机构组策略设置 (20) 3、IE安全及隐私组策略设置 (25) 4、注册表项推送 (30) 五、设置DNS转发 (33)