組策略知識

2021-07-11 11:58:13 字數 2356 閱讀 7350

**:

1、組策略中包含兩部分:

1 計算機配置:針對計算機的配置,只在計算機上生效。計算機啟動的時候應用,在出現登入界面前。

2 使用者配置:針對使用者的配置,只在所有使用者帳戶上生效。使用者登入後應用。

2、根據應用範圍將組策略分為三類:

1 域的組策略:設定對於整個域都生效。在「ad使用者和計算機」中,右擊網域名稱-〉屬性-〉組策略。

2 ou的組策略:設定對於這個的ou生效。在「ad使用者和計算機」中,右擊ou名-〉屬性-〉組策略。

3 站點的組策略:設定對於這個站點生效。在「ad站點和服務」中,右擊站點名-〉屬性-〉組策略。

注意:「執行」中鍵入gpedit.msc,啟動的是本地組策略,我們要的是「域組策略」!所以必須右擊「ad使用者和計算機」中才能進入。

3、組策略的執行順序:

1 站點-〉域-〉組織單元(ou)

2 計算機配置-〉使用者配置

4、組策略的衝突:

1 在不同組策略中的同一專案的設定相反,就是組策略衝突。如:在站點組策略中,「隱藏桌面上的網路上的芳鄰圖示」設定為「啟用」,而域的組策略上設定的是「禁用」。再如:在域的組策略中「密碼長度」設定為「7」,而ou的組策略中設定的是「6」。

2 衝突的結果:後執行的是結果。

5、組策略中的設定內容:

1 軟體安裝:自動安裝應用軟體。計算機配置和使用者配置下都有。準備工作:軟體的源安裝檔案,在安裝檔案中要有.msi為字尾的可執行檔案。將軟體的源安裝檔案放到乙個共享資料夾中。(網路路徑)

a、已發行:由使用者決定是否安裝。如果軟體包是已發行方式,使用者登入後,系統會在新增/刪除程式-〉新增新程式中顯示已發行的軟體包。在計算機配置中不能實現。

b、已指派:強制性安裝,自動安裝。

2 windows設定:

a、計算機配置:指令碼(啟動和關機),安全設定。

b、使用者配置:ie維護,指令碼(登入和登出),安全設定(金鑰),遠端安裝服務(為客戶機安裝win2000 pro),資料夾重定向(把使用者的一些重要資料夾重定向到檔案伺服器中)。

3 管理模板:

a、計算機配置:windows元件、系統、網路、印表機。

b、使用者配置:windows元件、系統、網路、工作列和開始選單、桌面、控制面板。

6、「組策略」選項卡下的操作:

1  刪除:刪除組策略物件。

注意:a 非永久刪除:「從列表中移除連線」。只是在列表中刪除,還可以在系統中找到,並新增回來或新增到其他容器上。

b 永久性刪除:「移除連線並將組策略永久刪除」。徹底的刪除掉,在系統中無法找到了。

2  新建:新建乙個組策略。

4  新增:將系統中已有的組策略應用到指定容器(域、ou、站點)中。

5  選項:

a 禁止替代:禁止後執行的組策略中的專案更改這個組策略的專案。如:在域的組策略中「密碼長度」設定為「7」,而ou的組策略中設定的是「6」,並且在域的組策略中選擇了「禁止替代」。那麼最終結果為「密碼長度」是「7」。

b 被禁用:指定組策略不在容器上應用。

6  屬性:

a 禁止計算機配置:指定組策略的計算機配置在容器上不生效。

b 禁止使用者配置:指定組策略的使用者配置在容器上不生效。

c 「安全」選項卡:對於指定組策略的控制許可權的設定。

7  如果在乙個容器上有多個組策略,在組策略列表中上端的先執行,依次向下執行。

a 「向上」/「向下」按鈕:修改容器上的組策略在列表中的位置,從而修改了容器上組策略的執行順序。

8  「阻止策略繼承」選項:從更高階站點、域或組織單位繼承的策略可以在該站點、域或組織單位級別被拒絕。禁止更高階別的組策略在該容器上執行。

a 「阻止策略繼承」如果已啟用「禁止替代」,則不會阻止「組策略」物件。

b 「阻止策略繼承」只能在站點、域和組織單位上設定,而不能在單個「組策略」物件上設定。

7、最佳操作

1  組策略:

a 禁用組策略物件的未使用部分。

b 使用阻止策略繼承和禁止替代部分功能。

c 最小化與域中或組織單位中的使用者關聯的組策略物件的數量。應用於使用者的組策略越多,它登入的時間越長。

d 避免交叉域組策略物件分配。如果從其他域獲得組策略,那麼組策略物件的處理將減慢登入和啟動。

2  軟體安裝和管理

a 在 windows 安裝程式包發行或指派之前確定它們已正確轉換。.msi或 .mst檔案。

b 每個組策略物件只指派或發行一次:例如,如果將 microsoft office 指派給受組策略物件影響的計算機,則不能再將它指派或發行給受組策略物件影響的使用者。

c 重新打包現有軟體。

d 使用dfs。

e 在 active directory 層次結構中的高層指派或發行。

3  資料夾重定向

a 讓「my picture」資料夾始終跟隨「我的文件」資料夾。

組策略更新命令

對於windows 2000域來說,如果你想讓新修改的計算機策略立即生效的話,可以依次單擊 開始 執行 命令,開啟系統執行對話方塊,並在其中輸入字串命令 cmd 單擊 確定 按鈕後,將windows系統切換到ms dos工作模式下 接著在dos命令提示符下,輸入字串命令 secedit refres...

關於組策略配置

一 rsop自動檢測法 要想恢復組策略的設定,最簡單的方法無非是逐一檢視策略專案。在預設情況下,策略專案的 狀態 顯示應為 未被配置 如圖1 如果被他人進行了更改,則會顯示 已啟用 或 已禁用 的提示。不過組策略中的設定項 多如牛毛 想要在眾多項中找到被修改的位置,顯然太過費時費力,這時不妨試試簡單...

組策略USB解鎖

公司將usb介面封了,留段指令碼備用。其實公司封鎖usb的原理很簡單,利用組策略限制兩個驅動檔案usbstor.inf以及usbstor.pnf,和登錄檔hkey local machine system currentcontrolset services usbstor,start 4表示禁用,...