一、編輯組策略
1、允許用戶登陸本計算機
在OU裏面→右鍵屬性→組策略→新建策略→編輯策略→計算機配置→WINDOWS設置→安全設置→本地策略→用戶權限分配→允許在本地登陸。用gpupdate /force 命令刷新。
2、拒絕用戶訪問運行、CMD、以及批處理文件。
1、在要設定的OU上點擊右鍵→屬性→組策略→編輯策略→用戶配置→管理摸板→任務欄和開始菜單→刪除開始菜單上的運行菜單。用gpupdate /force 命令刷新。
2、在要設定的域控制器點擊右鍵→屬性→組策略→編輯策略→用戶配置→管理摸板→系統→阻止用戶訪問命令提示符→繼續點擊下面的的選項→是否拒絕使用批處理文件處理→選擇“是”。用gpupdate /force 命令刷新。
1、允許用戶登陸本計算機
在OU裏面→右鍵屬性→組策略→新建策略→編輯策略→計算機配置→WINDOWS設置→安全設置→本地策略→用戶權限分配→允許在本地登陸。用gpupdate /force 命令刷新。
2、拒絕用戶訪問運行、CMD、以及批處理文件。
1、在要設定的OU上點擊右鍵→屬性→組策略→編輯策略→用戶配置→管理摸板→任務欄和開始菜單→刪除開始菜單上的運行菜單。用gpupdate /force 命令刷新。
2、在要設定的域控制器點擊右鍵→屬性→組策略→編輯策略→用戶配置→管理摸板→系統→阻止用戶訪問命令提示符→繼續點擊下面的的選項→是否拒絕使用批處理文件處理→選擇“是”。用gpupdate /force 命令刷新。
二、拒絕繼承權限
1、在下一級的OU上→屬性→組策略→禁止策略的繼承。用gpupdate /force 命令刷新。
1、在下一級的OU上→屬性→組策略→禁止策略的繼承。用gpupdate /force 命令刷新。
三、強制繼承
1、在上一級的OU上→屬性→組策略→選項→禁止替代鉤上。用gpupdate /force 命令刷新。
四、過濾用戶(特定的人羣)
1、在要設定的OU上→屬性→組策略→屬性→安全→添加用戶→給予權限→拒絕組策略。用gpupdate /force 命令刷新。
五、桌面管理
1、在要設定的OU上→屬性→組策略→編輯組策略→用戶配置→管理模板→桌面→Active desktop→啓用Active desktop→啓用Active desktop牆紙→輸入對應的主機的地址和共享文件。
2、用戶配置→管理模板→系統→CTRL+ALR+DEL選項。
1、在要設定的OU上→屬性→組策略→編輯組策略→用戶配置→管理模板→桌面→Active desktop→啓用Active desktop→啓用Active desktop牆紙→輸入對應的主機的地址和共享文件。
2、用戶配置→管理模板→系統→CTRL+ALR+DEL選項。
六、密碼策略
1、在域控制器上→屬性→組策略→新建組策略→編輯組策略→計算機配置→安全設置→(1、密碼策略 2、帳戶鎖定策略)
1、在域控制器上→屬性→組策略→新建組策略→編輯組策略→計算機配置→安全設置→(1、密碼策略 2、帳戶鎖定策略)
七、組策略腳本
1、當用戶啓動時→啓動腳本→登陸腳本
2、當用戶註銷時→註銷腳本→關機腳本
3、wscript.echo"內容" 後綴改爲“VBS”
1、建立腳本→2、點開域控制器→屬性→組策略→添加組策略→編輯組策略→用戶配置(計算機配置)→WINDOWS設置→腳本→雙擊登陸→顯示文件→把腳本文件拖進去→3、在點擊添加→寫入文件名就可以了。
1、當用戶啓動時→啓動腳本→登陸腳本
2、當用戶註銷時→註銷腳本→關機腳本
3、wscript.echo"內容" 後綴改爲“VBS”
1、建立腳本→2、點開域控制器→屬性→組策略→添加組策略→編輯組策略→用戶配置(計算機配置)→WINDOWS設置→腳本→雙擊登陸→顯示文件→把腳本文件拖進去→3、在點擊添加→寫入文件名就可以了。
8、文件重定向
1、漫遊文件→用戶→右健屬性→配置文件→輸入文件夾路徑→在指定的計算機上→創建文件夾→共享→以及共享權限→安全權限→在計算機上註銷。
2、文件夾重定向→1、不管從哪一臺機器登陸,都可以訪問所需的數據。2、數據集中存儲
1、漫遊文件→用戶→右健屬性→配置文件→輸入文件夾路徑→在指定的計算機上→創建文件夾→共享→以及共享權限→安全權限→在計算機上註銷。
2、文件夾重定向→1、不管從哪一臺機器登陸,都可以訪問所需的數據。2、數據集中存儲
創建帳號→在指定OU上→右鍵屬性→組策略→編輯組策略→用戶配置→WINDOWS設置→文件重定向→我的文檔→配置
9、強制漫遊
找到指定文件→NTUSER.DAT改MAN
9、強制漫遊
找到指定文件→NTUSER.DAT改MAN
10、權限委派
1、 在OU上→右鍵委派→添加帳號(MARY)→刪除、創建
在指定OU上→右鍵控制委派→添加帳號(TOM)→刪除、創建→策略管理
2、刪除委派→ 查看→高級→在OU上→屬性→安全→高級→刪除權限
1、 在OU上→右鍵委派→添加帳號(MARY)→刪除、創建
在指定OU上→右鍵控制委派→添加帳號(TOM)→刪除、創建→策略管理
2、刪除委派→ 查看→高級→在OU上→屬性→安全→高級→刪除權限
11、軟件分發(SMS) (後綴名爲MSI)
1、軟件分發的好處:1、自動安裝 2、自動修復 3、自動升級 4、遠程刪除
2、軟件分發的方式:1、發佈給用戶 2、指派給用戶 3、指派給計算機
3、軟件發佈的過程:1、在指定OU上新建帳號→建立共享(軟件)→建立組策略→編輯→用戶配置→軟件設置→軟件安裝→右鍵屬性→UNC 路徑→右鍵新建程序包→發佈(添加程序裏面)→指派(在開始菜單)→部署下面(登陸安裝)
升級軟件→右建軟件→高級→升級→客戶端驗證
4、非MSI後綴的軟件安裝:先在服務器上安裝軟件→在安裝高級安裝程序→
1、程序包封裝不完整 解決1、把下載註冊表監視器 2、給於權限
5、讓特殊的人有特殊的權限:在指定的OU上→組策略→計算機配置→WINDOWS設置→安全設置→文件系統→右鍵添加→用戶
註冊表→DOMAIN USERS
6、軟件限制
1、建立哈希規則→組策略→用戶配置→WINDOWS設置→安全設置→軟件限制策略→其他規則→
1、軟件分發的好處:1、自動安裝 2、自動修復 3、自動升級 4、遠程刪除
2、軟件分發的方式:1、發佈給用戶 2、指派給用戶 3、指派給計算機
3、軟件發佈的過程:1、在指定OU上新建帳號→建立共享(軟件)→建立組策略→編輯→用戶配置→軟件設置→軟件安裝→右鍵屬性→UNC 路徑→右鍵新建程序包→發佈(添加程序裏面)→指派(在開始菜單)→部署下面(登陸安裝)
升級軟件→右建軟件→高級→升級→客戶端驗證
4、非MSI後綴的軟件安裝:先在服務器上安裝軟件→在安裝高級安裝程序→
1、程序包封裝不完整 解決1、把下載註冊表監視器 2、給於權限
5、讓特殊的人有特殊的權限:在指定的OU上→組策略→計算機配置→WINDOWS設置→安全設置→文件系統→右鍵添加→用戶
註冊表→DOMAIN USERS
6、軟件限制
1、建立哈希規則→組策略→用戶配置→WINDOWS設置→安全設置→軟件限制策略→其他規則→