[新工具确保活动目录策略符合安全规格]你对自己的系统遵守公司安全策略有几成把握？是不是很有把握、以至于觉得没有必要审计呢？事实上，在2008年战略安全调查当中，63%的调查对象表示，他们所在的公司受到政府或行业法规...+阅读

组策略完全使用手册！~ 推荐一下 对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。

一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板，定义特定的POL（通常是Config.pol）文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory（活动目录）对象（即站点、域或组织单位）并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。 使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开：

（1）打开Microsoft管理控制台（可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定）。

（2）单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。

（3）在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。

（4）在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

（5）单击“完成”按钮，组策略管理单元即打开要编辑的组策略对象。

（6）在左窗格中定位需要更改的选项的位置，在右窗格中右键单击需要更改的具体选项，单击“属性”命令，即可打开其属性对话框，从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。 4.组策略中的管理模板 在Windows 2000/XP/2003中包含几个ADM文件。这些文件是文本文件，被称为“管理模板”，它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。 在Windows 2000/XP/2003中，默认的Admin.adm管理模板位于系统文件夹的INF文件夹中，包含了默认安装下的4个模板文件，分别为：

（1）System.adm：默认安装在“组策略”中，用于系统设置。

（2）Inetres.adm：默认安装在“组策略”中，用于Internet Explorer(IE)策略设置。

（3）Wmplayer.adm：用于Windows Media Player设置。

（4）Conf.adm：用于NetMeeting设置。 在策略管理控制台中，可以多次添加“策略模板”，下面让我们来看看具体操作： 首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，单击鼠标右键，选择“添加/删除模板”命令，然后在打开的对话框中单击“添加”按钮，在打开的对话框中选择相应的ADM文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。 返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”选项，再单击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了。 注意：下面的操作均在Windows XP中进行。

二、个性化我的电脑 1.删除“开始”菜单中的“文档”菜单项 在多人使用的计算机中，有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息。因此，为了删除用于记录历史文档的“文档”菜单项，我们可以通过修改组策略来实现。 位置：\用户配置\管理模板\任务栏和“开始”菜单\ 启用此设置，则系统保存“文档”快捷方式，但不在“文档”菜单中显示它们。如果以后禁用此设置或...

如何打开Windows Server 2008 R2的域安全策略

当用户打开本地安全策略时，会发现无论是账户策略还是本地策略，里面的项目都是灰色不可修改。

解决方法是，用户需将Windows Server 2008 R2系统升级为域控制器，那么域会自动把本地安全策略的某些功能锁定。现在，Windows Server 2008 R2的域安全策略应如何启动和打开呢？

一、方法步骤如下：

1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。

2、在打开的组策略管理，一次展开“林”-“域”-“sayms.com（域名）”-“组策略对象”-右击“Default Domain Policy”，选择“编辑”。

3、在打开的“组策略管理编辑器”，依次展开“计算机配置”-“策略”，这个策略里面包含的就是Windows Server 2008的域安全策略啦。

注：如用户需修改账户密码的复杂度，应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。

当一台服务器被提升为域控制器后，本地策略不再有效，取而代之的是默认域策略。

二、本地组策略

本地组策略是指应用于本机，且设定后只会在本机起作用的策略，运行的方法为点‘开始’-‘运行’-然后键入'gpedit.msc'，在弹出本地组策略编辑器中即可进行设置。

三、域组策略

域组策略是指应用于站点，域或者组织单元（OUs）的策略，它的最终作用对象通常是多个用户或者计算机，可以在DC上点开始 ？ 运行 ？ 然后键入gpmc.msc来运行。

密码策略是属于域级别的策略，必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略，但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域，所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级，在域密码策略应用并生效后，所有已经加入域的电脑（包括DC）的本地策略中，密码相关设置都会变成灰色不可修改状态。

在本地策略中的，密码策略就应该是灰色的，无法编辑。当点击开始-运行， 然后键入gpedit.msc回车后，本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级，所有在域组策略中已经设定过的策略都将变为灰色不可修改状态（比如密码策略）。

如果您要修改密码策略，可以使用以下方法：

1、点击‘开始’-‘运行’-然后键入'gpmc.msc'，回车后打开“组策略管理”控制台。

2、展开到 “域-Domain.com-组策略对象（Domain.com是指您的域名）”。

3、右键点击Default Domain Policy然后选择“编辑”。

4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。

5、您可以在右边的窗口中定义密码相关的策略，此策略会应用于整个域中的所有账户。

活动目录的策略特性

组策略的管理Microsoft组策略管理控制台（GPMC） 是针对组策略管理的最新解决方案，它能够帮助您更具成本效益地管理企业。该控制台由一个新的Microsoft 管理控制台（MMC）管理单元和一组编写脚本的组策略管理接口组成。在Windows Server 2003发布之前，GPMC将作为一个单独的组件提供给用户。GPMC的目的GPMC的设计目标在于：· 通过为组策略的核心要素提供一个单一的管理位置，简化组策略的管理过程。您可以将GPMC 视作管理组策略的一个“一站式的购物场所”。· 满足客户就组策略部署提出的主要要求，这主要通过以下手段得以实现：· 一个能够让组策略变得更易于使用的用户界面。·组策略对象（GPO）的备份/恢复· GPO的导入/导出和复制/粘贴，以及Windows管理规范（WMI）过滤器。· 基于组策略实现的、更简单的安全性管理· GPO设置的HTML报告·组策略结果和组策略建模数据（以前被称作策略结果集）的HTML报告· 围绕该工具内部所暴露的GPO操作编写脚本——而不是围绕GPO设置编写脚本在GPMC出现之前，管理员需要使用数个Microsoft工具来管理组策略。

GPMC将这些工具所拥有的现有组策略功能以及上面所介绍的新增功能结合到了一个单一、统一的控制台中。管理Windows 2000 和 Windows Server 2003 域GPMC可以使用Active Directory 服务管理基于Windows 2000 和 Windows Server 2003的域。在这两种域之中，用来运行工具并且用作管理目的的计算机必须安装以下操作系统和组件之一：· Windows Server 2003· Windows XP Professional with Service Pack 1(SP1);SP1后的其它热修补程序；以及Microsoft .NET Framework。其它组策略特性和改进特性 描述重新定向默认的用户和计算机容器 Windows Server 2003 提供的工具能够自动将新的用户和计算机对象重新定向到应用了组策略的指定组织单位中。这种做法可以帮助管理员避免出现新添用户和计算机对象出现在域的根级别的默认容器中这种情况。

类似这样的容器并不是为保存组策略链接而设计的，而且客户端也不能从这些容器上读取或应用组策略。本特性可以强迫使用这些容器的许多客户引入域级别的组策略，而在很多情况下，这种策略是难于使用的。实际上，Microsoft建议用户创建一个富有逻辑层次的组织单位，并且使用它保存新近创建的用户和计算机对象。管理员可以使用两个新的资源工具包工具——RedirUsr 和 ReDirComp——为三个遗留的API(NetUserAdd（)、NetGroupAdd（)、NetJoinDomain（) ）指定一个备用的默认位置。这允许管理员重新将默认位置定向到更为适合的组织单位，然后直接在这些新的组织单位上应用组策略。组策略结果 组策略结果（Group Policy Results）允许管理员确定并分析当前应用在某个特殊目标上的策略集合。

通过组策略结果，管理员能够查看目标计算机上现有的策略设置。组策略结果以前被称作日志模式的策略结果集（Resultant Set of Policy）。组策略建模 组策略建模（Group Policy Modeling）意在帮助管理员规划系统的增长和重新组织。它允许管理员挨个查看现有的策略设置、应用程序以及某个假设情境的安全性。在管理员决定必须对现有设置进行修改之后，他们可以进行一系列的测试，以查看在用户或用户组被移动到另一个位置、另一个安全组或者另一台计算机后，究竟会发生何种情况。这包括了在所做的修改生效之后，应该应用哪些策略设置或者自动加载哪些策略设置。组策略建模为管理员带来了极大的便利，因为在网络中真正实施修改之前，管理员能够通过组策略建模对策略进行全面测试。

新的策略设置Windows Server 2003 包括了超过150个的新的策略设置。这些策略设置为用户定制和控制操作系统针对特定用户组的行为提供了手段。这些新的策略设置可以影响到诸如错误报告、终端服务器、网络和拨号连接、DNS、网络登录请求、组策略以及漫游配置文件这样的功能。Web 视图管理模板 该特性加强了“组策略管理模板”扩展管理单元，用户可以通过它查看与不同策略设置有关的详细信息。在选择了某个策略设置之后，有关该设置的行为的详细信息以及该项设置应用在何处的附加信息便显示在“管理”模板用户界面的“Web”视图中。此外，这些信息也可以通过每个设置的“属性”页面上的“解释”选项卡进行查看。管理DNS客户端管理员可以在Windows Server 2003上使用组策略配置DNS客户端设置。

在调整DNS客户端设置时——例如启用和禁用客户端的DNS记录的动态注册，在名称解析时使用主DNS后缀以及填充DNS后缀列表等，这种做法可以大大简化域成员的配置过程。“我的文档” 文件夹的重定向管理员可以使用本特性将用户从一个主目录形式的旧有部署过渡到“我的文档”模式，同时和现有的主目录环境保持兼容性。在登录时完全安装指派给用户的应用程序应用程序部署编辑器（Application Deployment Editor）包含了一个新的选项，它允许一个指派给用户的程序在用户登录时进行完全的安装，而不是根据需要进行安装。这样，管理员便可以确保相应的应用程序能够自动安装在用...

windows server 2008怎么安装域控制器活动目录

安装活动目录

1

打开Active Directoty 域服务安装向导

运行dcpromo命令，打开“Active Directoty域服务安装向导”

2

阅读操作系统兼容性说明，单击“下一步”按钮

3

在“选择某已部署配置”页面中，选择“在新林中新建域”

在“命名林根域”页面中输入目录林根域的域名。

在“设置林功能级别”页面中选择林功能级别。

在“设置域功能级别”页面中选择域功能级别

在“其他域控制器选项”页面中选择“DNS服务器”

步骤阅读

在“数据库、日志文件和SYSVOL的位置”页面中，接受默认的设置，单击“下一步”按钮，

在“目录服务还原魔石的amdinistrator密码”页面中，输入一个强密码，单击“下一步”按钮

在“摘要”页面中，检查所有的选择，如果有某一项不正确，可以单击“上一步”返回，如果没有问题。单击“下一步”按钮

步骤阅读

开始安装和配置活动目录服务

当安装完成后单击“完成”按钮，之后服务器会重启。

步骤阅读

然后点击重启就可以了

以下为关联文档：

组策略之受限组理解于应用Using Restricted GroupsDo you he users of Windows 2000 and XP Professional puters removing the Domain Administrators group from the local Administrators group...

设置组策略软件限制策略避开恶意网页陷阱本文介绍如何设置组策略中的软件限制策略，来躲过一些暗藏病毒的恶意网页陷阱。如果我们中了网页病毒，那木马总有一个执行的环境吧，如果我们把它的执行路径封掉，是不是就可以解...

组策略能干什么组策略 GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中，一个单一的系统策略文件（例如ntconfig.pol）包括所有的可以执行的策略功能，但它依赖于用户计算机中的系...

windows defender被组策略关闭可是win10家庭版没有组策略1、鼠标右键点击开始按钮，在弹出的菜单中选择“命令提示符（管理员）”； 2、打开命令提示符窗口，执行这个命令，可复制粘贴，按回车执行； reg add ＂HKEY_LOCAL_MACHINE\SOFTWARE\Policies...

组策略自锁除IE外的其他所有程序都被组策略禁止试一下以下办法。 重命名MMC解决组策略锁死的问题 设置“只运行许可的windows应用程序”策略时，需要添加允许程序到列表中，如果记住了当初设置的许可运行程序名称，并且在允许列...

如何自动把域帐户加到本地管理员组|ad活动目录域组策略登录脚本---洛洛根据我的研究，在Windows系统中暂时不提供工具直接实现这种功能。您可以先将需要加入到本地管理员组的域用户放入一个OU中，然后通过组策略执行脚本来完成。 下面我提供...

组策略怎么配置组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自Wind...

组策略怎样设置如果是Windows 2000/XP/2003系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序（界面如图4所示）。 使用上面的方法，打...

名词解释：目录服务活动目录域 ou安全组通信组本地目录服务： 网络上，特别是互联网中有各型各类的主机，有各种各样的资源， 这些东西杂散在网络中， 需要有一定的机制来访问这些资源， 得到相关的服务， 于是就有了目录服务.早期的目录服...