window2023年实验手册-组策略

window2023试验手册—组策略刻时号标

第五周2023-3-18312-141、把握如何建立和治理OU2、学会在win2023教学过程：一、OU〔组织单元〕的治理1、OU域是最小的治理单位，在活动名目中，域一样对应公司，而OU那么对应于公司中的部门。OU是活动名目中的容器，能够在OUOU中建立OU。2OU〔1〕留意图标。〔2〕建立步骤：在需要创立的空白处右击，选择〝建〞——〝组织单元〞，在对话框内输入OU名称即可。〔3〕在OUOU试验一：OU1、在test 下中建〝教师〞和〝学生〞两个OU，再在〝教师〞OU下建〝一般教师〞OU。2、〝教师〞OU中包括t1，t2OU中包括s1，s2OU中包括c1，c2户。二、组策略概述1、组策略的概念〔1〕组策略是一种在用户或运算机集合上强制使用一些配置的方法，使用组策略能够给同组的运算机或者用户强加一套统一的标准，包括治理模板设置、Windows设置、软件设置。〔2〕组策略配置包含在一个组策略对象〔GPO〕中，该对象又与选定的活动名目效劳容器〔如站点、域、OU等〕相关联，可不能阻碍没有参与域的运算机和用户。〔3〕组策略配置类型有：运算机配置和用户配置。〔4〕组策略分为：本地安全策略和活动名目的组策略。本地安全策略适用于本地用户和组，我们所讲的是活动名目的组策略，活动名目安装好以后就自动建立了两个组策略〔域操纵器安全策略和域安全策略〕。2、组策略的应用挨次〔1〕本地组策略〔2〕域组策略〔3〕域操纵器组策略〔4〕组织单元组策略三、组策略对象的治理我们能够通过ActiveDirectoryOUActiveDirectory和效劳建立链接到站点的策略。1、创立组策略步骤：右击-属性-〝组策略〞选项卡-〝建〞按钮2、设置组策略步骤：右击-属性-〝组策略〞选项卡-〝编辑〞按钮3、用组策略治理用户工作环境试验二：1OU的全部用户的IE192.168.0.18080。2、学生OU4、用组策略公布软件在网络中能够利用组策略为客户端自动安装一种应用软件。满足两个条件：〔1〕安装软件的安装文件必需是扩展名为MSIZAP〔2〕安装的软件必需贮存在网络用户能访问到的地点〔比方某个共享文件夹〕。软件分发的过程：〔1〕创立一个软件分发点，即共享文件夹，把被安装的软件复制到该共享文件夹〔2〕使用组策略对象分发软件：用户配置-软件设置-右击〝软件安装〞-建-软件包-选择网上邻居中共享文件夹内的MSI试验三：为学生OU的全部用户安装任意一个软件，留意网络路径的选择。〔\\win2023\……〕软件下载四、组策略设置实例◆运行组策略Windows2023/XP/2023gpedit.msc并确定，即可运行程序。使用上面的方法，翻开的组策略对象确实是当前的运算机。◆〝桌面〞设置Windows让桌面治理工作变得易如反掌。下面就让我们来看看几个有用的配置实例：位置：〝组策略操纵台→用户配置→治理模板→桌面〞1、隐蔽桌面的系统图标〔Windows2023/XP/2023〕尽管通过修改注册表的方式能够实现隐蔽桌面上的系统图标的功能，但如此比较苦恼，也有确定的风险。而承受组策略配置的方法，能够便利快捷地到达此目的。比方要隐蔽桌面上的〝网上邻居〞和〝InternetExplorer〞图标，只要在右侧窗格中将〝隐蔽桌面上‘网上邻居’图标〞和〝隐蔽桌面上的InternetExplorer桌面上的全部图标，只要将〝隐蔽和禁用桌面上的全部工程〞启用即可；当启用了〝删除桌面上的‘我的文档’图标〞和〝删除桌面上的‘我的电脑’图标〞两个选项以后，〝我的电脑〞和〝我的文档〞图标将从你的电脑桌面上消逝；同样假设要让〝回收站〞图标消逝，只须将〝从桌面删除回收站〞策略项启用即可。2、退出时不储存桌面设置〔Windows2023/XP/2023〕此策略能够防止用户储存对桌面的某些更换。假设你启用那个策略，用户照旧能够对桌面做更换，但有些更换，如图标的位置、任务栏的位置及大小，在用户注销后都无法储存，只是任务栏上的快捷方式总能够被储存。在右侧窗格中将〝退出时不储存设置〞那个策略选项启用即可。3、屏蔽〝清理桌面对导〞功能〔WindowsXP/2023〕〝清理桌面对导〞会每隔60天自动在用户的电脑上运行，以去除那些用户不常常使用或者从不使用的桌面图标。假设启用此策略设置，那么能够屏蔽〝清理桌面对导〞，假设你禁用或不配置此设置，60天运行一次。翻开右侧窗格中的〝删除清理桌面对导〞，依照需要设置策略选项即可。4、启用/禁用〝活动桌面〞〔Windows2023/XP/2023〕〝活动桌面〞是Windows98〔及以后版本〕或安装了IE4.0是能够设置各种图片格式的墙纸，甚至能够将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能〔同时制止用户启用它〕，通过策略设置能够轻松到达这一要求。具体操作方法：翻开右侧窗格中的〝禁用活动桌面〞并启用此策略。提示：假设同时启用〝启用ActiveDesktop〞设置和〝禁用ActiveDesktop〞设置，那么〝禁用ActiveDesktop〞设置会被无视。假设〝禁用ActiveDesktop和Web视图〞设置〔在〝用户配置→治理模板→Windows→WindowsActiveDesktop就会被禁用，同时这两个策略都会被无视。◆共性化〝任务栏〞和〝开头〞菜单显示了〝任务栏〞和〝开头〞菜单的有关组策略配置工程。下面我们来看具体的实例：位置：〝组策略操纵台→用户配置→治理模板→任务栏和开头菜单〞1、给〝开头〞菜单减肥〔Windows2023/XP/2023〕假设觉得Windows的〝开头〞菜单太臃肿的话，能够将不需要的菜单项从〝开头〞菜单中删除。在组策略右侧窗格中，供给了〝从开头菜单删除用户文件夹〞、〝删除到‘WindowsUpdate’的访问和链接〞、〝从开头菜单删除公用程序组〞、〝从开头菜单中删除‘我的文档’图标〞等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。2、疼惜好〝任务栏〞和〝开头〞菜单〔Windows2023/XP/2023〕假设你不想任凭让他人更换〝任务栏〞和〝开头〞菜单的设置，你只要将组策略操纵台右侧窗格中的〝阻挡更换‘任务栏和开头菜单’设置〞和〝阻挡访问任务栏的上下文菜单〞两个策略项启用即可。如此，当你用鼠标右键单击任务栏并单击〝属性〞时，系统会显现一个错误消息，且当鼠标右键单击任务栏及任务栏上的工程时，例如〝开头〞按钮、时钟和〝任务栏〞按钮，弹出菜单会隐蔽。3、制止〝注销〞和〝关机〞〔Windows2023/XP/2023〕当运算机启动以后，假设你不期望那个用户再进展〝关机〞和〝注销〞操作，那么可将组策略操纵台右侧窗格中的〝删除开头菜单上的‘注销’〞和〝删除和阻挡访问‘关机’命令〞两个策略启用。那个设置会从开头菜单删除〝关机〞选项，并禁用〝Windows任务治理器〞对话框按〝Ctrl+Alt+Del〞会显现那个对话框中的〝关机〞选项。另外需要留意的是，此设置尽管可防止用户用WindowsWindows关闭。提示：假设启用了〝删除开头菜单上的‘注销’〞，那么会从〝开头菜单项选择项〞删除〝显示注销〞工程。用户无法将〝注销<用户名>〞工程复原到开头菜单〔只能通过手工修改注册表的方法〕。那个设置只阻碍开头菜单，它不阻碍〝Windows任务治理器〞对话框上的〝注销〞工程〔因此需要同时启用〝删除和阻挡访问‘关机’命令〞〕，而且不阻碍用户用其它方法注销。4、利用组策略疼惜个人文档隐私〔Windows2023/XP/2023〕Windows有个高级智能功能，即能够记录你曾经访问过的文件。尽管那个功能能够便利用户再次翻开该文件，但出于安全和性能的考虑〔例如不想让人明白自己扫瞄过哪些网页和翻开过哪些文件〕，有时需要屏蔽此功能。利用组策略，只要在右侧窗格中将〝不要保存最近翻开文档的记录〞和〝退出时清除最近翻开的文档的记录〞两个策略启用即可。另外需要留意的是，假设启用此策略设置但不启用〝从开头菜单中删除文档菜单〞策略设置，〝文档〞菜单还会显现在〝开头〞菜单上，然而该菜单为空菜单。假设启用此策略设置，后来又禁用它并将它设置为〝未配置〞，那么启用策略设置之前储存的文档快捷方式会重显现在〝文档〞菜单和应用程序的〝文件〞菜单中。◆IE微软的InternetExplorerInternetExplorer，IE扫瞄器的〝Internet页〞、〝临时文件夹〞、〝安全级别〞和〝分级审查〞等工程〕，但局部高级功能没有供给，而通过组策略即可轻松实现这些功能。下面来看具体实例：位置：〝组策略操纵台→用户配置→治理模板→Windows组件→InternetExplorer〔需添加inetres.adm1、禁用〝在窗口中翻开〞菜单项〔Windows2023/XP/2023〕出于对安全的考虑，有时候我们有必要屏蔽IE的一些功能菜单，组策略供给了丰富的设置工程，比方禁用〝另存为...〞、〝文件〞、〝建〞等。下面以〝禁用‘在窗口中翻开’菜单项〞为例介绍具体的设置方法。翻开〝组策略操纵台→用户配置→治理模板→Windows组件→InternetExplorer→扫瞄器菜单〞，然后翻开〝禁用‘在窗口中翻开’菜单项〞并设置为〝启用〞。启用该策略后，用户在某个链接上单建’菜单项〞一起使用，后者制止用户通过单击〝文件〞菜单，指向〝建〞，然后单击〝窗口〞在窗口中翻开扫瞄器。提示：启用该策略后，单击〝在窗口中翻开〞命令，将无法在窗口中翻开链接，系统会提示用户该命令无效，网页自动翻开的窗口也全部被制止，事实上如此也可到达屏蔽弹出广告窗口的成效。2IEWindows2023/XP/2023〕在使用IE扫瞄网页过程中，当遇到好的图片、文章等资源时能够使用〝另存为〞功能将它储存到本地硬盘中，当多人共用一台运算机时，为了保持硬盘的干净，需要对扫瞄器的储存功能进展限制。那么如何才能实现呢?能够如此操作：翻开〝组策略操纵台→用户配置→治理模板→Windows→InternetExplorer→扫瞄器菜单〞，然后将右侧窗格中的〝‘文件’菜单：禁用‘另存为...’菜单项〞、〝‘文件’菜单：禁用另存为网页菜单项〞、〝‘查看’菜单：禁用‘源文件’菜单项〞和〝禁用上下文菜单〞等策略工程全部启用即可。假设不期望别人对IE‘Internet策略启用。另外，依照个人的需要，在该窗格中还能够禁用其他工程。3、禁用〝Internet选项〞操纵面板〔Windows2023/XP/2023〕上面提到了〝禁用Internet选项〞的功能，使用该功能能够到达阻挡别人对IE任凭设置的目的。而这种方法无法具体禁用Internet选项中的操纵模板工程，因此给具体应用带来苦恼。通过下面的组策略设置方法，那么能够实现这一要求：翻开〝组策略操纵台→用户配置→治理模板→Windows→InternetExplorer→Internet操纵面板〞，在右边窗格中我们能够看到〝禁用常规页〞、〝禁用安全页〞等组策略工程。下面以〝禁用常规页〞为例进展说明：翻开右边窗格中的〝禁用常规页〞并设置为〝启用〞。然后我们再翻开Internet选项操纵面板，会觉察〝常规〞工程差不多没有了，如此一来用户将无法看到和更换主页、缓存、历史记录、网页外观以及关心功能的设置，由于该策略将删除界面上的〝常规〞选项卡，因此假设设置了该策略，那么无须设置位于〝用户配置→治理模板→Windows组件→InternetExplorer〞中的诸如〝禁用更换主页设置〞、〝禁用更换颜色设置〞等策略。4IEWindows2023/XP/2023〕假设不期望他人对自己设定的IE扫瞄器主页进展任凭更换的话，能够翻开〝组策略操纵台→用户配置→治理模板→Windows→InternetExplorer→工具栏〞，然后选择〝禁用更换主页设置〞组策略Internet临时文件设置〞等工程的禁用功能。启用此策略后，在IE扫瞄器的〝Internet选项〞对话框中，其〝常规〞选项卡的〝主页〞区域的设置将变灰。提示：假设设置了位于〝组策略操纵台→用户配置→治理模板→Windows→InternetExplorer→InternetExplorer操纵面板〞中的〝禁用常规页〞策略，那么无须设置该策略，由于〝禁用常规页〞策略将删除界面上的〝常规〞选项卡。5IEWindows2023/XP/2023〕IE工具栏的背景和上面的按钮差不多上能够自定义的，寻常我们大多使用手动修改注册表的方法，只是并不直观，现在我们用〝组策略〞能够更便利地到达成效，打造属于我们自己的IE。翻开〝组策略操纵台→用户配置→Windows→InternetExplorer〝扫瞄器工具栏按钮自定义〞策略配置工程，在那个地点，能够自定义扫瞄器工具栏的背景图片，点击〝扫瞄〞选择一个BMP的位图文件即可〔留意：工具栏背景应当与工具栏大小一样，而亮度应当足以显示黑色文字，否那么实际成效并不抱负〕。接下来，我们要在IE的工具栏上添加自己的快捷方式，比方添加〝我的QQ〞，在那个地点也能够特地轻松地完成。点击〝添加〞，在〝工具栏标题〞中输人〝我的QQ〞，在〝工具栏操作〞中选择QQ程序的路径，EXeScope那个软件来帮助，在各大站点都能够下载〕。设置完成后点〝确定〞，再次翻开IE后就能够看到修改的成效了。Windows1WindowsMediaPlayerWindows2023/XP/2023〕WindowsMediaPlayer观的话，利用组策略能够轻松实现。翻开〝组策略操纵台→用户配置→治理模板→Windows组件→WindowsMediaPlayer→用户界面中的设置并锁定外观〞启用此策略。启用此策略后，将使WindowsMediaPlayer只以指定的外观模式显示，具体能够使用在〝策略〞选项卡上的〝外观〞框中指定的外观。你必需为外观使用完整的文件名例如miniplayer.wmz。假设外观文件在用户的运算机上没有安装，播放器将以WindowsMediaPlayer提示：本策略设置软件版本至少为WindowsMediaPlayerv8.00，ADM文件为wmplayer.adm。2WindowsMediaPlayerWindows2023/XP/2023〕屏幕疼惜程序能够有效地疼惜我们的显示器，然而当我们使用播放器观看精彩影片时，常常会显现WindowsMediaPlayer→Windows→WindowsMediaPlayer→播放中的承诺运行屏幕疼惜程序〞并将它设置为〝已禁用〞状态。3WindowsMediaPlayerWindows2023/XP/2023〕当我们使用WindowsMediaPlayer以便能够流畅地进展播放。在实际应用中，依照网络带宽和效劳器的连接速度，缓存的时刻长短并不一WindowsMediaPlayer→Windows→WindowsMediaPlayer→网络中的配置网络缓冲〞并设置为启用状态，在显现的缓冲时刻〔秒数〕配60秒〕。WindowsMediaPlayer〝性能〞选项卡上的缓存选项将不能再配置。4、屏蔽使用全部WindowsUpdate功能的访问〔Windows2023/XP/2023〕WindowsUpdate能够自动连接Microsoft但关于不需要更或者带宽紧急的电脑用户来说，此功能就显得余外了，而且常常传闻WindowsUpdate会将运算机用户信息〝隐秘〞发往Microsoft，因此也能够屏蔽这一〝智能〞高级功能。翻开〝组策略操纵台→用户配置→治理模板→Windows组件→WindowsUpdate〞中的〝删除使用全部WindowsUpdate功能的访问〞组策略并启用此策略。WindowsUpdateWindowsUpdate//windowsupdate.microsoft、开头菜单上的WindowsUpdate的超链接和InternetWindowsWindowsUpdate的重要更。此设置还会阻挡设备治理器自动从WindowsUpdate◆用组策略打造系统铜墙铁壁级功能1、隐蔽〝我的电脑〞中指定的驱动器〔WindowsXP/2023〕此组策略能够从〝我的电脑〞和〝Windows资源治理器〞上删除代表所选硬件驱动器的图标。同时驱动器号代表的全部驱动器不显现在标准的翻开对话框上。翻开〝组策略操纵台→用户配置→治理模板→Windows组件→Windows资源治理器〞中的〝隐蔽‘我的电脑’中的这些指定的驱动器〞并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。提示：这项策略只删除驱动器图标。用户仍可通过使用其它方式连续访问驱动器的内容。同时这项策略可不能防止用户使用程序访问这些驱动器或其内容。同时也可不能防止用户使用磁盘治理即插即用来查看并更换驱动器特性。2、防止从〝我的电脑〞访问驱动器〔Windows2023/XP/2023〕此策略让用户无法查看在〝我的电脑〞或〝Windows资源治理器〞中所选驱动器的内容。同时它也制止使用运行对话框、镜像网络驱动器对话框或Dir翻开〝组策略操纵台→用户配置→治理模板→Windows组件→Windows资源治理器〞中的〝防止从‘我的电脑’访问驱动器〞并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。提示：这些代表指定驱动器的图标照旧会显现在〝我的电脑〞中，然而假设用户双击图标，会显现一条消息说明设置防止这一操作。同时这些设置可不能防止用户使用其它程序访问本地和网络驱动器。同时不防止他们使用磁盘治理即插即用查看和更换驱动器特性。3、制止使用命令提示符〔Windows2023/XP/2023〕在Windows2023/XP/2023下，我们能够运行cmd.exeDOS翻开〝组策略操纵台→用户配置→治理模板→系统〞中的〝阻挡访问命令提示符〞并启用此策略，d.bat是否能够在运算机上运行。假设启用那个设置，在用户试图翻开命令窗口时，系统会显示一条消息，说明设置阻挡这一操作。4、制止更换显示属性〔Windows2023/XP/2023〕选择〝操纵面板〞中的〝显示〞或在Windows桌面的空白处单击右键选择〝属性〞，可进入〝显示设置〞对话框，能够对桌面主题、桌面背景、屏保程序、显示设置等各项进展设置，假设你不想让别人任凭更换各项设置，能够通过组策略将它隐蔽起来。翻开〝组策略操纵台→用户配置→治理模板→操纵面板→显示〞，然后能够看到隐蔽桌面选项卡、隐蔽主题选项卡、隐蔽疼惜程序选项卡、隐蔽设置选项卡等策略配置，可依照需要对这些工程进展配置。比方启用了〝隐蔽‘桌面’选项卡〞策略后，再翻开〝显示属性〞对话框，就看不到〝桌面〞标签了，如此自然就无法再对桌面属性进展更换了。5、禁用注册表编辑器〔Windows2023/XP/2023〕为了防止他人进入电脑后对注册表文件进展修改，能够在组策略中对注册表编辑器做制止访问设置。具体操作方法：翻开〝组策略操纵台→用户配置→系统〞中的〝阻挡访问注册表编辑工具〞并启用此策略。此策略被启用后，用户试图启动注册表编辑器〔Regedit.exe及Regedt32.exe〕的时候，系统会制止这类操作并弹出警告消息。6、完全制止访问〝操纵面板〞〔Windows2023/XP/2023〕假设不期望其他用户访问运算机的〝操纵面板〞，同样能够使用组策略来实现。翻开〝组策略操纵台→用户配置→治理模板→扩展面板〞中的〝制止访问操纵面板〞并启用此策略。此策略启用后能够防止〝操纵面板〞程序文件〔Control.exe〕的启动。他人将无法启动〝操纵面板〞〔或运行任何〝操纵面板〞工程〕。另外，那个设置将从〝开头〞菜单中删除〝操纵面板〞。同时那个设置还从〝Windows7、制止建立的拨