当前位置：文档库 › 破解Windows XP组策略的锁死难题

破解Windows XP组策略的锁死难题

计划任务法、安全模式法

为保证Windows XP系统安全，很多朋友都在公共电脑上设置了组策略的“只运行许可的Windows应用程序”项，以此来防范外来程序对系统的破坏。而疏忽大意或为了防范他人修改组策略，一些朋友干脆连“gpedit.msc”文件也一并排除在允许运行程序之外，结果造成系统被锁死，导致无法运行所有程序，无奈之下只得重装系统。其实有因必有果，对此问题还是有解决方法的。

1.计划任务法

打开“控制面板”→“任务计划”，启动向导建立一个名为MMC的任务计划，执行的程序是“C:\Windows\System32\mmc.exe”。完成后，在任务计划窗口右击新建的MMC选择“运行”，在打开的控制台程序窗口，单击菜单栏的“文件”→“打开”，定位到“C:\Windows\System32\gpedit.msc”程序，打开组策略编辑窗口，依次展开“本地计算机策略”→“用户配置”→“管理模板”→“系统”，双击右侧窗格的“只运行许可的Windows应用程序”，在弹出的窗口将其设置为“未配置”。单击“确定”退出并关闭组策略编辑窗口，当系统弹出“是否将更改保存到gpedit.msc”询问窗口时，单击“是”确定保存，即可解锁。

2.安全模式法

其实组策略的这个限制是通过加载注册表特定键值来实现的，而在安全模式下并不会加载这个限制。重启开机后按住F8键，在打开的多重启动菜单窗口，选择“带命令提示符的安全模式”。进入桌面后，在启动的命令提示符下输入“C:\Windows\System32\mmc.exe”，启动控制台，再按照如上操作即可解除限制，最后重启正常登录系统即可解锁。此外，组策略的很多限制在安全模式下都无法生效，如果碰到无法解除的限制，不妨进入下寻找解决办法。

重命名程序法、重命名程序法

3.重命名程序法

设置“只运行许可的windows应用程序”策略时，需要添加允许程序到列表中，如果记住了当初设置的许可运行程序名称，并且在允许列表添加的是.com、.bat、.exe之中任意一种类型文件，比如只允许“qq.exe”运行，那么就可以打开“C:\Windows\System32”文件夹，将其中的mmc.exe程序重命名为qq.exe，再运行即可。同样如果希望保持限制，可将需要运行的程序改名为qq.exe运行，但其他人使用电脑时就只能运行QQ了。如果允许运行的程序列表中包含有regedit.exe，还可打开注册表，依次展开“HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon”分支，双击右侧窗口的Userinit子键。在打开的窗口中，将其值更改为“C:\Windows\System32\userinit.exe,mmc.exe”，来实现mmc.exe开机启动。这样修改并重启后，下次开机时即会自动运行控制台，来打开组策略编辑器进行解锁了。

4.重命名程序法

组策略的这个设置只能防止用户从Windows 资源管理器启动程序，其实系统中的很多程序都是可以独立运行的。如开机就加载的桌面进程、系统服务、系统屏幕保护等，它都没有进行阻止，因此只要将mmc.exe替换为上述文件即可。以替换屏幕保护logon.scr为例，先打开“C:\Windows\System32\dllcache”文件夹，找到logon.scr文件将它复制到D:\盘下，然后在“C:\windows\System32\dllcache”文件夹中删除这个屏保文件，来防止系统的文件保护功能阻止我们更改和删除系统文件，这时系统会弹出“系统文件已被更改为无法识别版本，请插入WinXP SP2光盘修复”的询问窗口，单击“取消”。接着打开“C:\Windows\System32”文件夹，找到logon.scr文件将其删除，并将mmc.exe重命名为logon.scr。

回到桌面，在空白处右击选择“属性”，在弹出窗口中，单击“屏幕保护程序”标签，接着在屏幕保护列表中选择“logon”，单击“预览”，此时虽然系统会提示找不到所选文件，但在后台却启动了控制台程序“mmc.exe”，对其设置解除限制即可。注意在完成操作后，最好将d:\logon.scr文件复制回原文件夹。

5.组合键启动法

虽然系统所有程序都被锁死，但按下Ctrl+Alt+Del组合键却可以启动任务管理器。既然通过组合键可以启动taskmgr.exe程序。那么只要使用mmcexe替换taskmgr.exe，即可启动组策略进行解锁。同上，先进入“C:\Windows \System32\dllcache”文件夹，找到taskmgr.exe 程序将其重命名为taskmgr1.exe，再进入“C:\Windows\System32”文件夹，找到并将taskmgr.exe 文件重命名为taskmgr1.exe。现在将mmc.exe文件重命名为taskmgr.exe，这时再按下Ctrl+Alt+Del组合键后，便会发现启动了控制台程序。设置组策略后，将任务管理器恢复回原名称即可。

组策略应用案例探析

组策略应用案例实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置１所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒１0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的１所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放１0 管理员可以使用本地连接-属性,任何域用户帐号不可使用．实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置编辑整理：尊敬的读者朋友们：这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置计算机配置：要重启生效用户配置：注销生效策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具）使用：运行---〉gpmc。msc 如下键面：文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！域用户添加Power user组

3.用本地用户登录机器查看！禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

(2)组策略的配置及使用

一、实验名称组策略的配置及使用二、实验类型验证性实验三、实验目的通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。四、实验内容（1）通过控制台访问组策略（2）对用户设置密码策略（3）对用户设置登录策略（4）退出系统时清除最近打开的文件的历史五、相关知识 1、组策略对象的类型组策略对象有两种类型：本地和非本地。本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

组策略的基本知识

一、组策略的基本知识组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。访问本地组策略的方法有两种：第一种方法是命令行方式；第二种方法是通过在MMC 控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动您只需单击选择“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。（注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。）在打开的组策略窗口中，可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。另外，您或许已经注意到，左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成，并且这两者中的部分项目是重复的，如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢？这里的“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。例如，二者都提供了“停用自动播放”功能的设置，如果是在“计算机配置”中选择了该功能，那么所有用户的光盘自动运行功能都会失效；如果是在“用户配置”中选择了此项功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。设置时需注意这一点。 2、将组策略作为独立的MMC管理单元打开若要在MMC控制台中通过选择GPE插件来打开组策略编辑器，具体方法如下：（1）单击选择“开始”→“运行”命令，在弹出的对话框中键入“mmc”，然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。（2）选择“文件”菜单下的“添加/删除管理单元”命令。（3）在“添加/删除管理单元”窗口的“独立”选项卡中，单击“添加”按扭。（4）弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”选项，单击“添加”按钮。（5）由于是将组策略应用到本地计算机中，故在“选择组策略对象”对话框中，单击“本地计算机”，编辑本地计算机对象，或通过单击“浏览”按扭查找所需的组策略对象（6）单击“完成”→“关闭”→“确定”按扭，组策略管理单元即可打开要编辑的组策略对象。特别提示：倘若您希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。二、“任务栏”和“开始”菜单相关选项的删除和禁用在“…本地计算机?策略”中，逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略。 1、给“开始”菜单瘦瘦身如果您觉得Windows XP的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜

使用组策略修改客户端DNS设置

1.编写DNS设置计算机策略脚本 1)新建文本文档并重命名为computer.bat 2)编辑computer.bat，将以下命令复制进去并保存 netsh interface ip set dns "本地连接" static <首选DNS> netsh interface ip add dns "本地连接" <备选DNS> netsh interface ip add dns "本地连接" addr=<备选DNS 2> index=3 netsh interface ip add dns "本地连接" addr=<备选DNS 3> index=4 2.编写DNS设置用户策略脚本 1)新建文本文档并重命名为user.bat 2)编辑user.bat，将以下命令复制进去并保存 echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip set dns "本地连接" static <首选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" <备选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS2> index=3" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS3> index=4" 3.设置计算机策略 1)依次打开“组策略管理器”—组策略对象—找到对应OU的组策略。 2)右击编辑—“计算机配置”—“策略”—“Windows设置”—“脚本”—“启动” 3)在弹出的对话框中选择“添加”—“浏览”，将新建的computer.bat复制进去，选择computer.bat保存确定。 4.设置用户策略

常用AD组策略设置

常用AD组策略设置利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。下面是实际操作演示： ?AD域控制器：Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序打开“https://www.wendangku.net/doc/ca13606926.html,”域下组织单位“北京”的属性(如下图)：可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.wendangku.net/doc/ca13606926.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是： copy bssec.scr c:\windows\system32 即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。打开“https://www.wendangku.net/doc/ca13606926.html,”域的属性(如下图)：可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。安全设置包括：，，，，。：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。：倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

组策略设置系列篇之“安全选项”2

组策略设置系列篇之“安全选项”-2 选项, 设置交互式登录：不显示上次的用户名此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。 “交互式登录：不显示上次的用户名”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。对策：将“不显示上次的用户名”设置配置为“已启用”。潜在影响：用户在登录服务器时，必须始终键入其用户名。交互式登录：不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

域组策略应用详解

Win2003域之组策略应用目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用因为只须设置一次，相应的用户或计算机即可全部使用规定的设置减少用户不正确配置环境的可能性 c)推行公司使用计算机规范桌面环境规范安全策略总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构组策略的具体设置数据保存在GPO中创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

如何设置常用组策略

如何设置常用组策略故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具解决方案: 一、桌面项目设置在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

管理员操作手册-AD域控及组策略管理_51CTO下载

AD域控及组策略管理目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控（DC）基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位（OU） (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位：(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象（dsmod） (14) 6、其他命令（dsquery、dsmove、dsrm） (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)

一、Active Directory(AD)活动目录简介 1、工作组与域的区别域管理与工作组管理的主要区别在于： 1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。 2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略一、什么是组策略 (一)组策略有什么用说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。二、组策略中的管理模板在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

远程修改组策略

远程修改组策略由于管理员的误操作导致了本地策略拒绝所有人登录，如何恢复呢？今天我们就来做这个实验！首先，我们要做一下的准备工作： 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置，使得任何用户都无法登录。（1.）在Berlin上，点击开始/运行，输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器，然后点击windows设置/安全设置/本地策略/用户权限分配，如下图所示：

打开以后我们就可以找到拒绝本地登录这一项了，双击打开打开后点击添加用户和组，把User用户添加进去

点击确定后，注销计算机。任何的用户都无法登录了，甚至就连大名鼎鼎的管理员也无法登录了！ OK！实验正式开始了！我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务，但计算机默认的telnet服务是关闭的，首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中，右键点击我的电脑，打开计算机管理，然后右键点击：计算机管理（本地）——连接到另一台计算机，如下图：

在选择计算机中输入Berlin的IP地址，然后点击确定。然后的服务中找到Telnet，

手动启动起来。 OK！我觉得现在的准备工作才算完成了！接下来我们要用Telnet 把Berlin连接过来。在Florence中，点击开始/运行，输入cmd

键入telnet 192.168.12.103 在C:\>提示符下，键入secedit /export /cfg c:\sectmp.inf，导出它的当前安全设置。完成以后不用着急关闭该提示符。

window实验手册组策略规划

w i n d o w实验手册组策略规划 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】

教学时间第五周2008-3-18 教学课时 3 教案序号 12-14 教学目标1、掌握如何建立和管理OU 2、学会在win2003中应用组策略教学过程：一、OU（组织单元）的管理 1、OU的概念域是最小的管理单位，在活动目录中，域一般对应公司，而OU则对应于公司中的部门。OU是活动目录中的容器，可以在OU中建立用户、组等其他对象，也可以在OU中建立OU。 2、建立OU及子对象（1）注意图标。（2）建立步骤：在需要创建的空白处右击，选择“新建”——“组织单元”，在对话框内输入OU名称即可。（3）在OU中可以放用户、组、打印机、共享文件夹、子OU等。实验一：OU的管理 1、在下中新建“教师”和“学生”两个OU，再在“教师”OU下新建“普通教师”OU。 2、“教师”OU中包括t1，t2账户，“学生”OU中包括s1，s2账户，“普通教师”OU中包括c1，c2账户。

二、组策略概述 1、组策略的概念（1）组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略可以给同组的计算机或者用户强加一套统一的标准，包括管理模板设置、Windows设置、软件设置。（2）组策略配置包含在一个组策略对象（GPO）中，该对象又与选定的活动目录服务容器（如站点、域、组织单元OU等）相关联，不会影响没有加入域的计算机和用户。（3）组策略配置类型有：计算机配置和用户配置。（4）组策略分为：本地安全策略和活动目录的组策略。本地安全策略适用于本地用户和组，我们所讲的是活动目录的组策略，活动目录安装好以后就自动建立了两个组策略（域控制器安全策略和域安全策略）。 2、组策略的应用顺序（1）本地组策略（2）域组策略（3）域控制器组策略（4）组织单元组策略三、组策略对象的管理我们可以通过Active Directory用户和计算机建立链接到域和OU的策略，Active Directory站点和服务建立链接到站点的策略。 1、创建组策略步骤：右击-属性-“组策略”选项卡-“新建”按钮 2、设置组策略步骤：右击-属性-“组策略”选项卡-“编辑”按钮

Windows组策略应用大全

Windows组策略应用大全.txt9母爱是一滴甘露，亲吻干涸的泥土，它用细雨的温情，用钻石的坚毅，期待着闪着碎光的泥土的肥沃；母爱不是人生中的一个凝固点，而是一条流动的河，这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全一、什么是组策略? （一）组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。（二）组策略的版本大部分Windows?9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows?9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows?2000/XP/2003系统。早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows?2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active?Directory?对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。二、组策略中的管理模板在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。在Windows?9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1）System.adm：默认情况下安装在“组策略”中，用于系统设置。 2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet?Explorer策略设置。 3）Wmplayer.adm：用于Windows?Media?Player?设置。 4）Conf.adm：用于NetMeeting?设置。在Windows?2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows?9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

2003系统域的组策略应用详解_

域网络构建教程（4）组策略古人云：运筹帷幄之中，决胜千里之外。这大概就是用兵的最高境界了吧！作为一个生于和平年代的网络管理人员，这辈子带兵是没戏了。不过在域环境的帮助下，这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的XP系统上一直存在，通过在运行栏中输入gpedit.msc就可以启动本地计算机的组策略编辑器。截图如下：马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器，所见即所得一直都是微软的看家本领啊。有了域环境之后，通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中，我感觉这种管理与控制几乎覆盖了使用中的方方面面，反正现在我只要在域控制器上动动手指头，就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的，有兴趣的可以在看完本文后自己实践一下（后果自负哈）。

闲话少说，书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器，注意这里不能使用gpedit.msc（那是编辑本机策略的），而要打开“开始——程序——管理工具——Active Directory用户和计算机”。截图如下：在打开的窗口中选择你的域名，并在其上右击选择属性，然后在弹出的属性对话框中选择组

策略。现在你就会看到默认域策略——Default Domain Policy，截图如下：单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy，这样便于我们随时恢复到系统默认的设置。呵呵，留条出迷宫的路，是所有操作前的必修课。默认的不让动，那我们怎么编辑组策略呢？答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机，注意组织单位将是一个我们经常使用的划分方式，组策略可以按层次模式很好的在其上运行，这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式，组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了，出了问题还便于排查错误。为了演示这种层次模式，我新建一个名为“用户和计算机”的组织单位，并将原来的两个组

组策略以及来宾用户权限的设置

组策略以及来宾用户权限的设置我都是用组策略来实现这个目的的具体用法如下（简单的）Windows 2000/XP/2003 组策略控制台如果是Windows 2000/XP/2003 系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc 并确定，即可运行程序。使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下： 1）打开Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC

并回车，运行控制台程序）。 2）在“文件”菜单上，单击“添加/删除管理单元”。 3）在“独立”选项卡上，单击“添加”。4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。 5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。 6）单击“完成”，单击“关闭”，然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。对于不包含域的计算机系统来说，在上面第5 步的界面中，只有“计算机”标签，而没有其他标签项目。

通过上面的方法，我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003 组策略管理控制台同样也有三种状态，只不过名字变了。它们分别是：已启用、未配置、已禁用。四、“桌面”设置 Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例：位置：“组策略控制台→用户配置→管理模板→桌面”

Windows操作系统组策略应用全攻略

Windows操作系统组策略应用全攻略一、什么是组策略 (一)组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是Config.pol)文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。二、组策略中的管理模板在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。在Windows 9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)System.adm：默认情况下安装在“组策略”中，用于系统设置。 2)Inetres.adm：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。

通过组策略修改客户端登录的方式

电话：(0371)65706336 65706337 65706339 传真：（0371）65706367 地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002 1 通过组策略修改客户端登录的方式场景某企业的管理员为了方便用户的登录及只允许登录到域，希望能够达到以下目的： z不使用安全键序列Ctrl+Alt+Del，直接输入用户名及密码 z在登录时，登录对话框中只显示域，而不显示本机，从而达到只能登录到域的目的z个别的计算机（如展厅的PC）开机就自动登录到域，而且使用的是有密码的权限受限的账户原理在Windows NT开始，在登录的时候就需要Ctrl-Alt-Delete组合键才能出现登录对话框，这三个键叫Secure Attention Sequence(SAS)。微软之所以这样设计，是因为CTRL+ALT+DEL 三键直接调出的程序只有任务管理器和登录窗口，而其它的一些骗取密码的木马类程序是无法通过的，从而提高了安全性。一般建议用户使用这个安全键序列。但是有些不了解的用户却认为这样不方便。 SAS热键的注册使得Winlogon成为第一个处理CTRL+ALT+DEL的进程，所以保证了没有其他应用程序能够处理这个热键。在Windows NT/Windows 2000/Windows XP中， WinSta0 是表示物理屏幕、鼠标和键盘的Windows系统对象的名字。Winlogon在WinSta0 Windows系统中创建了SAS窗口（窗口标题是"SAS Window"）和如下三个桌面。 z Winlogon 桌面 z应用程序桌面 z屏幕保护桌面当用户按下Ctrl-Alt-Delete组合键时，Winlogon桌面上的SAS窗口收到它注册的系统热键消息(WM_HOTKEY) SAS Window窗口处理这个消息调用Graphical Identification and Authentication(GINA)动态连接库中的相关函数。