创作

【AD】实用组策略/脚本集合 (重大更新20160627)

  [复制链接]
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://xifanliang.blog.51cto.com/5068287/1793576<br />
<br />
<br />
此贴长期更新,各位也可以回复你常用的实用组策略,如你同意我就直接署名后摘录进文章拉。有错误欢迎指出。一起改进哈。<br />
<br />
关于组策略的恢复部分。<br />
非首选项的组策略恢复为未配置即可;<br />
首选项的组策略需勾选“不在应用此项目时删除它”;<br />
脚本必须通过手动反向操作,此次更新会提供所有脚本的反向操作。<br />
<br />
以下组策略测试环境<br />
DC为Win2012R2,客户端为Win7,XPSP3。其他系统未经过充分测试。应用前请自行测试。  <br />
<br />
<br />
Ctrl +F搜索<br />
<br />
<br />
DC组策略强制刷新脚本<br />
登陆/启动脚本-测试用<br />
WMI筛选器<br />
备份与还原GPO<br />
针对性应用与拒绝组策略<br />
<br />
<br />
<br />
<strong>域策略-计算机配置-帐号密码策略</strong><br />
计算机配置/用户配置-强制处理GPO&amp;慢速连接的GPO&amp;配置组策略慢速连接检测<br />
<br />
启动脚本-修改注册表项权限为任何人控制<br />
启动脚本-改变文件夹权限<br />
启动脚本-客户端自动登录<br />
启动脚本-限制访问网页<br />
<br />
登录脚本-IE代理禁止上网<br />
登录脚本-IE通常配置<br />
登录脚本-复制共享文件夹至本地文件夹<br />
登录脚本-磁盘映射<br />
登录脚本-映射共享文件夹到驱动器并改名<br />
登录脚本-添加软件至系统启动项<br />
<br />
计算机策略-开启Windows更新 <br />
计算机策略-关闭防火墙<br />
计算机策略-开启远程桌面<br />
计算机策略-禁止U盘/CD等访问(For Win7+)<br />
计算机策略-首选项-将某个用户帐号加入本地远程管理组<br />
计算机策略-首选项-将普通用户加进客户端管理员组<br />
计算机策略-首选项-客户端只允许特定域用户登录<br />
计算机策略-域内计算机处于非公司网络无法登录<br />
计算机配置-禁止Win7以上系统管理员访问网卡<br />
计算机配置-开机公告<br />
计算机配置-环回处理模式<br />
计算机配置-计算机启动和登录时总是等待网络<br />
计算机配置 用户配置 更改组策略的应用间隔时间<br />
<br />
用户配置-IE浏览器首页<br />
用户配置-禁止XP管理员访问网卡属性<br />
用户配置-默认显示我的电脑、网络、我的文档<br />
用户配置-统一桌面壁纸<br />
用户配置-更改管理GPO的域控制器<br />
用户配置-文件夹重定向<br />
用户配置-禁止程序运行<br />
用户配置-通过路径禁止软件运行<br />
<br />
-----------------------------------<br />
<strong>DC组策略强制刷新脚本</strong><br />
在域控用命令“gpupdate /force”更新组策略后,强制更新组策略<br />
@echo off<br />
title 强制更新组策略<br />
:start<br />
echo.<br />
echo.<br />
echo %time%<br />
gpupdate /force <br />
pause<br />
goto start<br />
常开这个<br />
--------------------------------------------------------<br />
<strong>登陆/启动脚本-测试用</strong><br />
修改注册表需要用管理员权限,所以要设置开机启动脚本,因为普通user没有直接修改注册表的权限。<br />
启动脚本用的是system权限。<br />
登录脚本用的是登录用户名权限。<br />
Logon.bat<br />
@echo off <br />
rem 该脚本会在登陆系统时在C盘创建一个用户名加当前日期的文件夹<br />
set y=%date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%time:~3,2% <br />
md &quot;c:\%y%+%username%&quot; <br />
exit <br />
<br />
Startup.bat<br />
@echo off <br />
rem 该脚本会在启动时在C盘根目录创建一个计算机名称加日期的文件夹<br />
set y=%date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%time:~3,2% <br />
md &quot;c:\%y%+%computername%&quot;<br />
exit <br />
<br />
<br />
<strong>登录脚本-IE代理禁止上网</strong><br />
开启代理屏蔽80端口.bat<br />
@echo off<br />
rem &quot;打开代理&quot; &quot;排除网站+本地&quot; &quot;通用这个代理&quot;<br />
rem 打开代理<br />
echo.<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings&quot; /v ProxyEnable /t REG_Dword /d 1 /f <br />
echo.<br />
rem 排除网站+本地<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings&quot; /v Proxyoverride /t REG_SZ /d &quot;www.baidu.com;www.qq.com;&lt;local&gt;&quot; /f<br />
echo.<br />
rem 通用这个代理<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings&quot; /v Proxyserver /t REG_SZ /d &quot;127.0.0.1:80&quot; /f<br />
<br />
同时打开这个组策略<br />

wKioL1dx_0uSxh9bAAFkz71ZNZ0158.png

wKioL1dx_0uSxh9bAAFkz71ZNZ0158.png
这样配置了仍然可以用脚本控制。<br />
<br />
<br />
策略恢复脚本:<br />
@echo off<br />
rem 关闭代理<br />
echo.<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings&quot; /v ProxyEnable /t REG_Dword /d 0 /f <br />
<br />
<br />
<br />
<strong>登录脚本-IE通常配置</strong><br />
登录脚本-IE通常配置.bat<br />
@echo off<br />
rem IE配置包含&quot;关闭弹出窗口阻止程序&quot; &quot;取消IE安全设置-站点-对该区域中的所有站点要求服务器验证https&quot; 信任站点activex 配置 &quot;添加域名式&quot; &quot;从位于一下位置的其他程序打开链接 1表示当前窗口中的新选项卡&quot; &quot;遇到弹出窗口时,始终在新选项卡中打开弹出窗口 2表示始终在新选项卡中打开弹出窗口&quot; &quot;当创建新选项卡时,始终切换到新选项卡&quot; &quot;打开代理&quot; &quot;排除网站+本地&quot; &quot;通用这个代理&quot;<br />
<br />
rem 关闭弹出窗口阻止程序<br />
reg add &quot;HKCU\Software\Microsoft\Internet Explorer\New Windows&quot; /v PopupMgr /t REG_dword /d 0 /f <br />
<br />
rem 取消IE安全设置-站点-对该区域中的所有站点要求服务器验证https<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2&quot; /v Flags /t Reg_DWORD /d 67 /f<br />
<br />
rem 信任站点activex 配置<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2&quot; /v CurrentLevel /t REG_DWORD /d 0 /f<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2&quot; /v 1001 /t REG_DWORD /d 0 /f<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2&quot; /v 1004 /t REG_DWORD /d 0 /f<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2&quot; /v 1201 /t REG_DWORD /d 0 /f<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2&quot; /v 1209 /t REG_DWORD /d 0 /f<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2&quot; /v 120A /t REG_DWORD /d 0 /f<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2&quot; /v 120B /t REG_DWORD /d 3 /f<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2&quot; /v 2201 /t REG_DWORD /d 0 /f<br />
<br />
echo 添加域名式 http://www.qq.com<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\qq.com\www&quot; /v http /t Reg_DWORD /d 2 /f<br />
<br />
rem 从位于一下位置的其他程序打开链接 1表示当前窗口中的新选项卡<br />
reg add &quot;HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing&quot; /v ShortcutBehavior /t REG_Dword /d 1 /f <br />
<br />
rem 遇到弹出窗口时,始终在新选项卡中打开弹出窗口 2表示始终在新选项卡中打开弹出窗口<br />
reg add &quot;HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing&quot; /v PopupsUseNewWindow /t REG_Dword /d 2 /f<br />
<br />
rem 当创建新选项卡时,始终切换到新选项卡<br />
reg add &quot;HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing&quot; /v Openinforeground /t REG_Dword /d 1 /f<br />
<br />
策略恢复脚本:<br />
@echo off<br />
rem 打开弹出窗口阻止程序<br />
reg add &quot;HKCU\Software\Microsoft\Internet Explorer\New Windows&quot; /v PopupMgr /t REG_dword /d 1 /f <br />
rem 打勾IE安全设置-站点-对该区域中的所有站点要求服务器验证https<br />
reg add &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2&quot; /v Flags /t Reg_DWORD /d 71 /f<br />
<br />
<br />
<br />
<strong>登录脚本-复制共享文件夹至本地文件夹</strong><br />
登录脚本-复制共享文件夹至本地文件夹.bat<br />
@echo off<br />
if exist d:\everything%username% (exit) else (goto xcopy )<br />
:xcopy<br />
md d:\everything%username%<br />
xcopy \\172.168.1.80\ad通用工具 d:\everything%username% /e /y &gt;nul<br />
exit<br />
<br />
<br />
策略恢复脚本:<br />
@echo off<br />
if exist d:\everything%username% (goto xcopy) else (exit)<br />
:xcopy<br />
rd d:\everything%username% /s /q &gt;nul<br />
exit<br />
<br />
<strong>计算机策略-开启Windows更新</strong><br />

wKioL1dyAHDRvazzAAEpVIJ0qs8864.png

wKioL1dyAHDRvazzAAEpVIJ0qs8864.png
<br />

wKiom1dyAHDTlkK6AAEG71jzoxY168.png

wKiom1dyAHDTlkK6AAEG71jzoxY168.png
<br />
<br />
<br />
<strong>计算机策略-关闭防火墙</strong><br />

wKiom1dyAIqDJFeCAAF0pjTkIyI462.png

wKiom1dyAIqDJFeCAAF0pjTkIyI462.png
<br />

wKioL1dyAIuTU1xfAABXbXwoFgY749.png

wKioL1dyAIuTU1xfAABXbXwoFgY749.png
<br />
<br />
<br />
<strong>计算机策略-开启远程桌面</strong><br />

wKiom1dyALuS-fHZAAG12fj3oY4998.png

wKiom1dyALuS-fHZAAG12fj3oY4998.png
<br />

wKioL1dyALuT6ZCcAAFsBVSZrjI883.png

wKioL1dyALuT6ZCcAAFsBVSZrjI883.png
<br />
<br />
<strong>计算机策略-禁止U盘/CD等访问(For Win7+)</strong><br />

wKioL1dyANqAxmQkAAG-8qdBtXo998.png

wKioL1dyANqAxmQkAAG-8qdBtXo998.png
<br />
<br />
<br />
<br />
<br />
<strong>计算机策略-首选项-将某个用户帐号加入本地远程管理组</strong><br />

wKioL1dyAPWSppLBAAD8nFq_tnc046.png

wKioL1dyAPWSppLBAAD8nFq_tnc046.png
<br />

wKiom1dyAPWw7Y42AABjEUlMdjQ642.png

wKiom1dyAPWw7Y42AABjEUlMdjQ642.png
<br />
<br />
<strong>计算机策略-首选项-将普通用户加进客户端管理员组</strong><br />

wKiom1dyAQjASBH6AAD3Hm190TE140.png

wKiom1dyAQjASBH6AAD3Hm190TE140.png
<br />

wKioL1dyAQiRkgeaAABaBWfgZEY323.png

wKioL1dyAQiRkgeaAABaBWfgZEY323.png
<br />
<br />
<br />
策略恢复:<br />

wKiom1dyARihnS98AABtJxqsWjU520.png

wKiom1dyARihnS98AABtJxqsWjU520.png
<br />
<br />
<br />
<br />
<br />
<strong>登录脚本-映射共享文件夹到驱动器并改名</strong><br />
登录脚本-映射共享文件夹到驱动器并改名.bat<br />
@echo off<br />
net use x: \\192.168.1.160\share2016<br />
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.160#share2016 /v _LabelFromReg /t reg_sz /d &quot;文件服务器&quot; /f <br />
exit<br />
<br />
策略恢复脚本:<br />
@echo off<br />
net use x: /del <br />
exit<br />
<br />
<strong>登录脚本-添加软件至系统启动项</strong><br />
此脚本会回写完成结果。<br />
登录脚本-添加软件至系统启动项.bat<br />
@echo off <br />
echo 将你需要的目标程序路径写在下面(reg add中的内容仍需修改部分,具体请用reg /?查看修改。)<br />
@echo off <br />
color f5 <br />
title 注册表导入脚本<br />
<br />
ver | find &quot;4.0.&quot; &gt; NUL &amp;&amp;goto win95  <br />
ver | find &quot;4.10.&quot; &gt; NUL &amp;&amp;goto win98 <br />
ver | find &quot;4.90.&quot; &gt; NUL &amp;&amp;goto win_me <br />
ver | find &quot;3.51.&quot; &gt; NUL &amp;&amp;goto win_Nt_3_5 <br />
ver | find &quot;5.0.&quot; &gt; NUL &amp;&amp;goto win2000  <br />
ver | find &quot;5.1.&quot; &gt; NUL &amp;&amp;goto win_xp  <br />
ver | find &quot;5.2.&quot; &gt; NUL &amp;&amp;goto win2003  <br />
ver | find &quot;6.0.&quot; &gt; NUL &amp;&amp;goto vista <br />
ver | find &quot;6.1.&quot; &gt; NUL &amp;&amp;goto win7  <br />
ver | find &quot;6.2.&quot; &gt; NUL &amp;&amp;goto win8  <br />
<br />
:win7<br />
rem 判断操作系统是32位还是64位<br />
if /i &quot;%PROCESSOR_IDENTIFIER:~0,3%&quot;==&quot;X86&quot; (goto win7x86 ) ELSE (goto win7x64) <br />
<br />
:win7x64<br />
set name=fuck<br />
set type=reg_sz<br />
set router=C:\Program Files (x86)\abc.exe<br />
set reg=HKCU\software\microsoft\windows\currentversion\run<br />
set y=%date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%time:~3,2%<br />
if exist &quot;%router%&quot; (goto script) else (goto wrong)<br />
<br />
:script<br />
reg add &quot;%reg%&quot; /v &quot;%name%&quot; /t &quot;%type%&quot; /d &quot;%router%&quot; /f<br />
if %errorlevel% equ 0 (echo OK+%y%&gt;&gt;\\172.168.1.80\组策略结果回收\登录脚本-增加ABC启动项目\成功\&quot;%computername%&quot;.txt&amp;goto exit)<br />
if %errorlevel% equ 1 (echo 注册表未导入成功or可能是权限不足+%y% &gt;&gt;\\172.168.1.80\组策略结果回收\登录脚本-增加ABC启动项目\失败\&quot;%computername%&quot;.txt&amp;goto exit)<br />
<br />
<br />
:wrong<br />
echo 错误,不存在该路径或该文件 &gt;&gt;\\172.168.1.80\组策略结果回收\登录脚本-增加ABC启动项目\失败\&quot;%computername%&quot;.txt<br />
goto exit<br />
<br />
:exit<br />
exit<br />
<br />
<br />
策略恢复脚本:<br />
@echo off <br />
set name=<br />
reg delete &quot;HKCU\Software\Microsoft\Windows\CurrentVersion\Run&quot; /v %name% /f<br />
exit<br />
<br />
<br />
<br />
<br />
<strong>计算机策略-首选项-客户端只允许特定域用户登录</strong><br />

wKioL1dyAY2BdSwrAAFBTjyxUOk618.png

wKioL1dyAY2BdSwrAAFBTjyxUOk618.png
<br />

wKioL1dyAY3C0ps0AABsm68yEJ8272.png

wKioL1dyAY3C0ps0AABsm68yEJ8272.png
<br />

wKiom1dyAY7C_MuOAAA1QYHv5UI497.png

wKiom1dyAY7C_MuOAAA1QYHv5UI497.png
<br />

wKiom1dyAY7CfIrLAAAx_OTZPrA712.png

wKiom1dyAY7CfIrLAAAx_OTZPrA712.png
<br />
<br />
<br />
<strong>计算机策略-域内计算机处于非公司网络无法登录</strong><br />
注:域控服务器无法联系时也会无法登陆(谨慎操作)<br />

wKiom1dyAbWRZnJvAAJrvfI_H80428.png

wKiom1dyAbWRZnJvAAJrvfI_H80428.png
<br />
<br />
<strong>计算机配置-禁止Win7以上系统管理员访问网卡</strong><br />

wKioL1dyAdbBs-_iAAHgFV2swfU824.png

wKioL1dyAdbBs-_iAAHgFV2swfU824.png
<br />

wKiom1dyAdfwzgHvAABSbn985fw040.png

wKiom1dyAdfwzgHvAABSbn985fw040.png
<br />
<img src="wKioL1dyAdfSTTHFAABvWRQlQXs808.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<br />
计算机配置-开机公告<br />
<img src="wKiom1dyAeqhjdRoAABVXj_S28g079.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1dyAeqjmQRkAAIZioiZr58313.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<br />
<strong>启动脚本-修改注册表项权限为任何人控制</strong><br />
@echo off<br />
echo必须有一个7,把注册表直接设置成任何人可修改<br />
echo &quot;HKEY_CURRENT_USER\Software\Adobe&quot;[1 7 17] &gt;%temp%\regini.ini<br />
regini %temp%\regini.ini<br />
del %temp%\regini.ini /q<br />
pause<br />
<br />
<br />
<br />
策略恢复脚本:<br />
@echo off<br />
echo必须有一个8,把注册表直接设置成任何人只读权限<br />
echo &quot;HKEY_CURRENT_USER\Software\Adobe&quot;[1 8 17] &gt;%temp%\regini.ini<br />
regini %temp%\regini.ini<br />
del %temp%\regini.ini /q<br />
pause<br />
<br />
<br />
<br />
<strong>用户配置-IE浏览器首页</strong><br />
<img src="wKioL1dyAjHwr_a8AAJisfscXTM079.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<br />
<br />
<strong>启动脚本-改变文件夹权限</strong><br />
启动脚本-改变文件夹权限.bat<br />
@echo off<br />
rem 不改变原来c:\test文件夹的权限,增加users的完全控制权限,包括子文件夹。<br />
rem 输入文件夹路径<br />
set x=d:\123<br />
echo yes|cacls %x% /t /e /g &quot;domain users&quot;:f &gt;nul <br />
pause<br />
exit<br />
<br />
rem 直接替换原权限为<br />
set y=<br />
echo yes|cacls %y%/t /p user:f &gt;nul<br />
pause<br />
exit<br />
<br />
夺取文件夹权限为管理员组所有.bat<br />
@echo off<br />
rem 将夺取文件夹权限为管理员所有<br />
takeown /f d:\123 /r /d y /a<br />
exit<br />
<br />
撤销权限脚本<br />
rem 撤销制定用户权限<br />
set z=d:\123<br />
echo yes|cacls %x% /t /e /r &quot;domain users&quot;&gt;nul <br />
pause<br />
exit<br />
<br />
<strong>启动脚本-客户端自动登录</strong><br />
启动脚本-客户端自动登录.bat<br />
@echo off <br />
set username=test<br />
set password=abc123,<br />
set domainname=xifan.com<br />
reg add &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon&quot; /v autoadminlogon /t Reg_sz /d 1 /f <br />
reg add &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon&quot; /v DefaultUserName /t reg_sz /d %username% /f<br />
reg add &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon&quot; /v DefaultDomainName /t reg_sz /d %domainname% /f<br />
reg add &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon&quot; /vDefaultPassword /t reg_sz /d %password% /f<br />
pause<br />
exit<br />
<br />
策略恢复脚本:<br />
@echo off <br />
reg add &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon&quot; /v autoadminlogon /t Reg_sz /d 0 /f <br />
exit<br />
<br />
<strong>用户配置-禁止XP管理员访问网卡属性</strong><br />
<br />
<img src="wKioL1dyAlviMBP6AAGHiGRpFEw814.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<br />
<br />
<strong>用户配置-默认显示我的电脑、网络、我的文档</strong><br />
<img src="wKiom1dyAmyxpyNzAAJbk44o06Y644.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<br />
<strong>启动脚本-限制访问网页</strong><br />
启动脚本-限制访问网页.bat<br />
@echo off<br />
echo 127.0.0.1 www.baidu.com&gt;&gt;%systemroot%\system32\drivers\etc\hosts <br />
exit<br />
<br />
DNS区域方法<br />
<img src="wKiom1dyAq-Q0sY3AABBdl_BWSI513.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<br />
策略恢复脚本:<br />
@echo off<br />
echoa&gt;%systemroot%\system32\drivers\etc\hosts <br />
exit<br />
<br />
<br />
<strong>用户配置-统一桌面壁纸</strong><br />
先在文件服务器设置一个共享文件夹<br />
<img src="wKiom1dyAw-ghTLqAAETVU1SZSE797.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1dyAxCwM2kPAAHaS-TXKjU356.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1dyBLmjUB5SAAEuMPLhjWk042.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1dyAxKTLVdtAAVreBmFHG8477.jpg" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<br />
<strong>域策略-计算机配置-帐号密码策略</strong><br />
此配置建议直接修改Default Domain Policy (我认为,DDP默认只用来做帐号密码策略,其他全部再都单独链接)<br />
<img src="wKiom1dyIzywF7BNAAFFTvvsFdE818.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><img src="wKiom1dyIzzhC5DEAAEkQOAiwhQ010.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<br />
<strong>计算机配置 用户配置-强制处理GPO&amp;慢速连接的GPO&amp;配置组策略慢速连接检测</strong><br />
<br />
<img src="wKiom1d4c43zT-zSAAHO90eud9A905.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4c46iRZFpAAEjYpeyf1g084.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4c46yeL6QAAEvZkhhjhY514.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4c4_Q0VFPAAJxxbNb-lo232.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
客户端计算机在处理组策略的设置时,会将不同类型的策略交给不同的DLL来负责处理与应用,这些DLL被称为CSE。CSE处理其所负责的策略时,只会处理上次处理过的最新变动策略。当你在GPo内对用户做了某项限制,在用户因为这个策略而收到限制之后,若用户自行将此限制删除,则当下一次用户计算机应用策略时,客户端的CSE会因为GPO内的策略设置值并没有变动而不处理此策略,因而无法自动将用户自行修改的设置改回来。<br />
解决方法:强制处理GPO,无法该策略的设置值是否发生变化。<br />
<br />
<strong>用户配置-更改管理GPO的域控制器</strong><br />
<strong>方法1.</strong><br />
<br />
<img src="wKioL1d4c8aAXe3jAACWYfcuHRU825.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4c8ey1E7vAABR8E6o5Yo830.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
方法2.<br />
<img src="wKiom1d4c8eQWjfQAAIFX1094Yk619.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4c8iwgtjAAAEH0T6RsRo690.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<strong>计算机配置-环回处理模式</strong><br />
<br />
<br />
<img src="wKioL1d4dFTDC2XxAAFfGZpFrNQ055.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4dFWiEIDIAAKIEEcZ6EE754.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4dFazdPEXAAEmWudXzo0565.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
注:用于跨OU登录计算机时用户配置如何生效。此条一般未配置即可,除非特别情况需要更改。<br />
<br />
<strong>用户配置-文件夹重定向</strong><br />
<br />
<img src="wKiom1d4dOXjLIa8AAEdQWk5iOo001.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4dOXxshELAABmwiARIqw294.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4dOXwDSDLAAB9wuoCxeg465.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
注:建议只配置收藏夹,其他一律通过共享方式备份<br />
客户端那边可能要注销两次才看得到结果。<br />
除非做下面的配置。<br />
<br />
<strong>计算机配置-计算机启动和登录时总是等待网络</strong><br />
<img src="wKiom1d4dW-C8KLAAAKGLEkiHk8459.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
注:<br />
用户登录时,系统默认并不会等待网络启动完成后再通过域用户来验证用户,而是直接读取本地缓存区的账号数据来验证用户,以便让用户快速登陆。之后等网络启动完成,系统就会自动在后台应用策略。不过因为文件夹重定向策略与软件安装策略需要在登陆时候才有作用,所以这些策略应用可能要登陆两次。<br />
若用户账号内被指定使用漫游用户配置文件、主目录或登录脚本,则该用户登录时,系统会等网络启动完成才让用户登录。<br />
若用户第一次在此计算机登陆,因缓存区没有该用户的账号数据,故必须等网络启动完成,此时就可以取得最新的组策略设置值。<br />
<br />
启用计算机配置,可以让用户在本地有缓存的情况下先等待网络启动完成再登录,从而只需要登陆一次就直接生效<br />
<br />
<br />
<strong>用户配置-禁止程序运行</strong><br />
<br />
<br />
<img src="wKioL1d4deTjj_iyAAH75e4S-Ac129.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4deSgDcxwAACngQCwDFA994.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4deSAKFC7AAAsf_riXYc345.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<strong>计算机配置 用户配置 更改组策略的应用间隔时间</strong><br />
<br />
<br />
<img src="wKioL1d4dlWhkUisAAHI13M7kqE524.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4dlaDNOm3AAGWhp5L3p8948.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4dlaze4-PAAH5zILLvGg930.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4dleTl-75AAGROpWCLcY042.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
注:这个配置只是测试用,生产环境不建议如此配置。<br />
<br />
<strong>用户配置-通过路径禁止软件运行</strong><br />
<br />
<img src="wKioL1d4dq3CBpi7AAEIrtYd18o377.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4dq3T1UOQAABBTjynZ6U625.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4dq7xM6F6AACs5MhgLCg291.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
<br />
WMI筛选器<br />
<br />
<br />
<img src="wKiom1d4dz3jmzFLAAFxKQdaI8k878.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4dz6AIN5zAAHZEu7kA-g582.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4dz6A0PR7AAC42EV3nOU349.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4d0jB4t_OABM8y7N29D8464.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
备份与还原GPO<br />
<img src="wKiom1d4d5_DYCzqAAChDH7zf-Q037.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4d5-ByZkRAAFJ7XcBS6s645.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
注:如果还原时提示已存在,请先去Sysvol目录下删除对应的组策略<br />
<br />
还原默认域GPO和域DC GPO<br />
<img src="wKiom1d4d5-yWEFzAABQKSCY8lE365.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<br />
备份还原组策略的另一种方法<br />
1.通过创建备份计划备份c:\windows\sysvol\sysvol目录下的所有组策略和脚本;<br />
2.如果mmc中的链接不小心删除,但你大概知道其GUID,或者即使不知道也没关系,我们只要在mmc中新建一个组策略,然后将备份文件夹中的组策略文件复制到新的中,就可以直接使用了。<br />
<br />
<strong>针对性应用与拒绝组策略</strong><br />
<strong>应用篇</strong><br />
<strong>  首选项</strong><br />
<img src="wKioL1d4d-3whvMUAABRmMsjE_w917.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4d-2i0EKoAACETqgjdcc674.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4d-2RhoajAABfR0vRia8402.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
组策略<br />
<img src="wKiom1d4d-7SwZJtAAHesit9SuM179.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4d-6RPf2LAADJcvclGKs736.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKiom1d4d-6CUijcAACrjNyYCv8563.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
也可以链接到用户或计算机所在的ou<br />
<br />
WMI筛选器见上文<br />
<br />
拒绝篇<br />
<img src="wKioL1d4eF_BuBBkAABVjHy1iaA163.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4eGDTCmbhAAIhEHyEilQ717.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
<img src="wKioL1d4eGCw78WDAAB8lbaIB4k444.png" border="0" onclick="zoom(this, this.src)" onload="attachimg(this, 'load')" alt="" /><br />
---------------------------------------------------------------------------------------------------------------<br />
下面图片是帖子问题导致,非本文内容<br />
<br />
回复

使用道具 举报

已有(79)人评论

跳转到指定楼层
我舞影凌乱 发表于 2016-12-8 09:13
图貌似看不了
回复

使用道具 举报

蛋疼的岁月 发表于 2016-12-8 09:14
好东西 支持一个
回复

使用道具 举报

悲欢离合 发表于 2016-12-8 09:15
挺不错的。。。
回复

使用道具 举报

旧事重提 发表于 2016-12-8 09:16
非常实用的策略。<img src="zan.gif" smilieid="120" border="0" alt="" />
回复

使用道具 举报

帘外雨潺潺 发表于 2016-12-8 09:17
不错,组策略是域管理的非常重要的方式。
回复

使用道具 举报

暂引樱桃破 发表于 2016-12-8 09:17
支持一个!·················
回复

使用道具 举报

乱试佳人 发表于 2016-12-8 09:18
先xian make
回复

使用道具 举报

感性的世界 发表于 2016-12-8 09:19
很实用,网管收藏了<img src="zan.gif" smilieid="120" border="0" alt="" />
回复

使用道具 举报

负面情绪 发表于 2016-12-8 09:20
非常实用,支持一下
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2019 Comsenz Inc.  Powered by Discuz! X3.4  渝ICP备17007481号-6