“黑客”入门学习之“Windows组策略”

前提：确保网络是可通达，防火墙处于关闭状态，图片格式为.jpg，共享目录应为域控C盘。步骤：(1)在域控C盘建立共享文件夹desk,为可读模式，将共享图片desk.jpg存放在共享目录下。(2)开始菜单→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"壁纸"→右击编辑→用户下配置→策略→管理模板→桌面→Active Desktop→启用Active Desktop、启用不允许更改、启用桌面墙纸(墙纸名称为192.168.200.20deskdesk.jpg)→强制刷新组策略(gpupdate /force)→重新启动客户端生效。

2、发布通告信息

前提：在AD用户与计算机中将Computer中的计算机移动到与其相对应的组织单位中。

步骤：开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"通告"→右击编辑→计算机配置下→策略→windows设置→安全设置→本地策略→安全选项→交互式登陆：试图登陆的用户的消息标题、消息文本→输入要求内容→强制刷新组策略(gpupdate /force)→重新启动客户端生效。

3、禁用命令行

步骤：开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"禁用命令行"→右击编辑→用户配置下→策略→管理模板→"开始"菜单和任务栏→从开始菜单中删除"运行"菜单→强制刷新组策略(gpupdate /force)→重新启动客户端生效。

注意事项：此操作不收computer下计算机是否在用户组织单位下影响。

4、发布办公室软件

步骤：(1)下载office (寻找PRO11.MSI)→cmd→msiexec -a+(拖拽第一步的路径)→Enter→弹出管理员安装→填写产品秘钥→放在C盘下共享文件夹下。(2)开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"禁用命令行"→右击编辑→用户配置下→策略→软件设置→软件安装→右击新建→数据包→网络(此路径必须为网络)→源PC→找到共享文件夹下的.MSI软件→打开→已分配(分配为强制安装，发布时客户端具有自主性)。

5、更改客户端用户密码策略

步骤：开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"禁用命令行"→右击编辑→计算机配置→策略→windows设置→安全设置→账户策略→密码策略、密码长度最小值等，可依据需要定制→在AD用户与计算机→找到相应计算机重置密码。

6、文档共享

步骤：(1)在域控C盘下新建共享文件夹"文档共享"→右击共享→给everyone读写权限→开始→管理工具→AD用户与计算机→选中需要漫游用户→右击属性→配置文件→配置文件路径：192.168.1.10文档共享%username%→应用确定→刷新组策略。(2)进入C盘下→右击"文档共享"文件夹→属性→安全→高级→所有者→编辑→选中Administrator和(替换子容器和对象的所有者)→应用确定，重启客户端。(3)进入"共享文档"→右击用户文件夹→属性→安全→编辑→添加→高级→立即查找→选中对应的客户端→确定一键到底→刷新组策略(guupdate /force),重启客户端，此时，域内添加到漫游中的可以脱离物理机，文件随账号漫游。

7、文件夹重定向

步骤：(1)在域控C盘下新建共享文件夹"文件"→右击共享→给everyone读写权限→开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"文件夹重定向"→右击编辑→用户配置下→策略→windows设置→文件夹重定向→文档→右击属性→目标下设置行：基本--将每个人的文件夹重定向到同一个位置(注意在右面设置选项下含增加兼容性操作)→目标文件夹位置行：在根目录路径下位每一用户创建一个文件夹→根路径行：浏览(注意此处应为网络路径)应用、确定→刷新组策略。(2)进入C盘下→右击"文件"→属性→安全→高级→所有者→编辑→选中administrator和替换子容器和对象的所有者→确定。再次进入"文件"→访问用户文件夹→右击My Documents→右击属性→安全→编辑→添加→高级→立即查找→添加相应的用户→给完整权限→确定到底。

8、禁止所有用户加入域,只允许主管可以将计算机加入域

步骤:(1)开始→管理工具→ADSI编辑器→右击ADSI编辑器→连接到→勾选"选择或键入域服务器(s)"：lv.com(域控的域名)→确定→点击"默认命名上下文"→右击"DC=lv,DC=com"→属性→将"ms-DS-MachineAccountQuota"→"10"修改成"0".(2)AD用户与计算机→右击"市场部"(组织单位)→委派控制(E)→下一步→添加→高级→立即查找→王经理(主管)→确定→下一步→勾选要委派的任务→创建、删除和管理用户账户、重置用户密码并强制在下次登录时更改密码、读取所有用户信息→下一步→完成→强制刷新组策略→重新启动客户端。

9、禁用客户端ip功能

步骤：开始→管理工具→组策略编辑→Default Domain Policy 右击→编辑→计算机配置→策略→windows设置→安全设置→系统服务→Network Connections→改成自动→编辑安全设置→删除所有组或用户名→添加→Domain Admins、Everyone→前者给完整权限，后者给读取权限→应用，确定→刷新全区策略，重启客户端。

10、设置客户端IE主页及其相应权限设置

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!