通过组策略集中管理管理用户桌面和开始菜单

管理用户桌面和开始菜单 通过管理用户桌面环境和开始菜单,可以限制用户访问计算机的某些资源,比如不允许用户访问通过桌面上“网络“图标浏览网络资源。也可以控制用户使用开始菜单的行为,比如不允许出现最近打开的文件,让用户开始菜单出现运行命令。 4.6.1示例:管理用户桌面和开始菜单 本示例演示通过组策略限制培训部用户桌面上的图标,管理用户开始菜单。 任务: u 查看现有用户桌面和开始菜单设置

原创 点赞0 阅读1593 收藏0 评论1 2013-02-16

使用组策略管理域用户IE浏览器设置

管理用户IE浏览器设置 商业企业越来越依赖Internet,并将Internet作为日常运作的重要组成部分。Internet提供了快捷的信息获取渠道和与外界24×7的不间断联络。尽管Internet具有不可抗拒的优势,但是它也同时将企业置于一些安全威胁之中。随着使用率的增加,对Web的简单使用也会使公司承受来自互联网更高的风险威胁。。 以下示例就演示如何使用组策略控制用户的IE浏览器的设置,实

原创 点赞0 阅读9038 收藏0 评论0 2013-02-16

使用组策略为域用户配置IE使用代理服务器

配置IE使用代理服务器 配置企业用户使用代理服务器访问Internet,可以有更多的访问控制,比如基于时间,MAC地址和IP地址,用户名和密码,进行上网控制。 以下步骤将会演示使用组策略配置域用户的IE使用指定的代理服务器且不允许更改。 任务: u 指定培训部用户使用代理服务器 u 禁用IE自动检测设置 u 禁止用户更改代理服务器设置 步骤: 1. 如图4-108所示,在DCSer

原创 点赞0 阅读10000+ 收藏0 评论0 2013-02-16

在组策略中使用脚本管理域中用户和计算机

使用脚本管理用户和计算机 可以利用组策略设置自动运行脚本。包括组策略中计算机配置和用户配置的脚本设置。在计算机启动、关闭,用户登录、退出的时候,可以使用组策略运行脚本。与所有组策略设置一样,设置只要配置一次,Windows Server 2008就会在整个网络上不断地实现设置。 4.3.1组策略脚本设置 利用组策略脚本设置,可以把脚本设置成在指定的时间里自动运行。 组策略脚本设置可以集中配

原创 点赞0 阅读4716 收藏1 评论0 2013-02-16

在组策略中使用脚本为域用户添加网络打印机

使用脚本为用户添加网络打印机 如果你想让培训部门的用户登录后就能添加网络打印机,就可以使用登录脚本来实现。其中DCServer是域控制,MarketPC1是市场部门的计算机,韩立辉用户是培训部门的用户。下面就验证使用组策略为培训部门的用户添加网络打印机。 任务: u 在DCServer添加并共享打印机 u 设置组策略为用户添加登录脚本 u 培训部门的用户登录检查添加的网络打印机 步骤:

原创 点赞0 阅读4784 收藏1 评论1 2013-02-16

使用组策略映射网络驱动器

使用组策略映射网络驱动器 在公司的另外一个文件服务器10.7.1.103上共享了培训所使用的文件,该服务器不是域中的成员,访问时需要输入帐户和密码,为了方便参加培训的学员访问,你现在需要在用户登录时自动映射一个网络驱动器。 任务: u 使用组策略首选项为培训用户创建驱动器映射 u 验证配置 步骤: 1. 在DCServer上,打开组策略管理工具。 2. 如图4-41所示,右击链接在培

原创 点赞0 阅读7890 收藏0 评论0 2013-02-16

使用组策略实现文件复制

使用组策略实现文件复制 组策略包括文件首选项扩展。对于计算机或用户,使用此扩展可以: u 将文件(或一个文件夹中的多个文件)复制到新位置,然后配置这些文件的属性。会根据需要创建新的子文件夹。 u 删除文件(或一个文件夹中的多个文件)并用源文件夹中的文件副本替换该文件。 u 修改文件(或一个文件夹中的多个文件)的属性。 u 删除文件(或一个文件夹中的多个文件)。 u 修改一个文件夹中具有

原创 点赞1 阅读6391 收藏0 评论2 2013-02-16

使用组策略为用户创建快捷方式

使用组策略为用户创建快捷方式 组策略包括快捷方式首选扩展。对于计算机或用户,使用此扩展可以: u 创建快捷方式。 u 修改快捷方式的属性。 u 删除快捷方式。 创建资源的快捷方式,可以方便用户访问资源。 以下示例将会演示为域用户在桌面上创建访问网络共享资源“\\dcserver\培训资料”的快捷方式,以及访问公司网站“http://www.edu2act.org”的快捷方式。 为了让

原创 点赞0 阅读7296 收藏0 评论0 2013-02-16

使用组策略为域中计算机配置受信任证书颁发机构

配置受信任证书颁发机构 如果网站的安全要求高,可以配置Web站点使用HTTPS协议访问,HTTPS协议可以实现Web站点和客户端之间进行安全通信(SSL),同时也可以向客户端出示Web站点证书,这样也可以确保该网站不可被冒充。 为了防止证书被假冒,Web站点出示的证书必须是证书颁发机构颁发,客户端必须信任证书颁发机构,如果Web站点出示的证书客由不信任的证书颁发机构颁发的,则出示安全警告。

原创 点赞0 阅读4541 收藏0 评论0 2013-02-16

使用组策略管理用户临时文件

使用组策略管理用户临时文件 组策略包括环境首选项扩展。对于计算机或用户,使用此扩展可以: u 创建永久性用户或系统环境变量。 u 修改环境变量。例如:修改命令提示符(方法是修改 PROMPT 系统变量)。修改 TEMP 文件夹的位置(方法是修改 TEMP 系统变量)。替换整个 PATH 变量的值。将分号分隔的段添加到 PATH 变量。将分号分隔的段从 PATH 变量中删除。更改 PATH 变

原创 点赞0 阅读940 收藏0 评论0 2013-02-16

使用组策略中的首选项更改域中计算机注册表

使用首选项更改注册表 使用组策略的首选项可以更改计算机的注册表键值,通过更改可以控制计算机的行为。以下示例就通过组策略的首选项配置域中计算机启用远程桌面,且更改远程桌面使用的端口。默认远程桌面的远程桌面使用的端口为TCP的3389,现改为TCP的4000。 任务: u 通过首选项更改注册表将eduPC1的计算机启用远程桌面 u 通过首选项更改远程桌面使用端口 u 验证设置 步骤: 1

原创 点赞0 阅读10000+ 收藏0 评论0 2013-02-16

使用组策略禁用已安装的设备

禁用已安装的设备 如果你想完全锁定并阻止某个特定设备被安装和使用,可以将策略设置和首选项配合起来使用:用首选项来禁用已安装的设备,并通过策略设置阻止该设备驱动程序的安装。 补充一句,如果首选项禁用了一种设备,本地管理员可以使用设备管理工具启用设备,不过组策略一刷新,设备又被禁用。 最后要指出的是,这里提到的策略设置仅对Windows Vista或更高版本生效,而首选项则可以对安装了组策略首选

原创 点赞1 阅读1901 收藏0 评论1 2013-02-16

使用组策略配置域中计算机系统更新

使用组策略配置系统更新 配置Windows系统更新,能够为发现的系统漏洞下载和安装补丁,系统更新也可以更新硬件驱动和增强系统的一些功能,比如Windows XP打了最新补丁之后有些组件有了Vista的某些功能。 以下示例将会演示如何使用组策略配置Windows更新。 3.16.1示例:使用组策略配置Windows更新 使用组策略配置培训部门计算机自动从微软站点自动下载更新。DCServer

原创 点赞0 阅读4265 收藏0 评论0 2013-02-15

使用组策略控制可移动存储访问

使用组策略控制可移动存储访问 为了保护公司的重要信息,微软河北技术支持中心定义了安全策略不允许把公司文档带出公司。实现这一措施的一种方法就是限制在公司计算机上使用可移动的存储设备。目前公司雇员是被允许在他们的计算机上使用可移动存储设备,例如USB设备。微软动手实验室认为这是一个安全风险。因此决定使用Windows Server 2008的设备安装限制策略来限制这些设备的使用。 任务: u 拒

原创 点赞0 阅读3055 收藏1 评论0 2013-02-15

使用组策略对移动设备管理

使用组策略对移动设备管理 通过管理可移动设备,可以实现公司的安全策略。比如禁止安装可移动设备或禁止访问访问可移动存储设备。 禁止安装可移动设备 如果启用禁止安装可移动设备设置,则不会安装可移动设备,而且无法更新现有可移动设备的驱动程序。 如果未配置或禁用了此设置,那么,只要其他策略设置允许安装设备,就可以安装可移动设备和更新现有的可移动设备。 注意: 此策略设置比允许安装设备的任何其他策

原创 点赞0 阅读1457 收藏0 评论0 2013-02-15

使用组策略禁止域中计算机安装特定设备

禁止安装特定设备 你可以使用组策略限制域中的计算机安装特定的设备驱动,设备都有一个硬件ID。这样可以基于硬件ID进行控制。 以下步骤将会在域控制器上链接两个移动硬盘,查看两个移动硬盘的硬件ID。然后使用组策略基于硬件的ID禁止一个,在eduPC1上链接这两个移动硬盘,你将会发现只能安装一个移动硬盘的驱动,另外一个被禁止安装驱动。 任务: u 查看硬件ID u 设置组策略禁止域中计算机安装

原创 点赞0 阅读2168 收藏0 评论0 2013-02-15

使用组策略配置Windows 7的高级防火墙

示例:使用组策略配置Windows 7的高级防火墙 微软河北技术支持中心的培训部门的员工不允许访问FTP站点,其他出站的流量允许。现在你需要使用组策略中配置培训部门的计算机的高级防火墙,实现出站流量的控制。访问FTP站点目标端口是TCP协议的21端口。因此禁止TCP协议的目标端口是21的数据包出站就能禁止计算机访问FTP站点 培训部门的计算机允许需要为其他计算机共享文件夹,因此Windows高

原创 点赞0 阅读5757 收藏1 评论0 2013-02-15

使用高级安全Windows防火墙控制应用程序流量

使用高级安全Windows防火墙控制应用程序流量 高级安全Windows防火墙可以基于应用程序控制出站的流量,对于有些软件使用多种协议通信,比如QQ聊天软件可以使用tcp登录和udp登录 。 如图3-294所示,打开QQ程序,点击“设置”,如图3-295所示,在出现的设置对话框,QQ可以使用TCP的443端口登录。 图 3-294 设置QQ 图 3-295 选择登录类型 使用http

原创 点赞0 阅读2202 收藏0 评论0 2013-02-15

使用组策略配置域中计算机注册表安全

  使用组策略配置注册表安全 开启远程桌面后,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections值修改为0,允许远程链接。禁用远程桌面后该值修改为1,禁止远程链接。 因此,通过该注册表安全,可以控制哪些用户能够启用远程桌面或禁用远程桌面。 你打算只允许域管理员

原创 点赞0 阅读1867 收藏0 评论0 2013-02-15

使用组策略集中配置域中计算机特定文件夹安全

使用组策略配置文件夹安全 如果域中的某个部门计算机有相同的文件夹目录,且安全性要求一致时,可以使用组策略统一设置NTFS权限。如果某个计算机的本地管理员修改了该文件夹的NTFS权限,则组策略一刷新,其NTFS权限又回到组策略的设置。 以下示例演示使用组策略控制市场部门计算机”c:\销售资料”文件的权限。 3.12.1示例:使用组策略设置文件夹安全 在市场部的计算机c盘根目录下都有一个“销售

原创 点赞0 阅读4241 收藏0 评论0 2013-02-15

使用组策略禁用或启用域中计算机运行的服务

使用组策略管理系统服务 使用组策略可以集中管理域中计算机的服务的启动模式和管理服务的权限。 系统服务设置安全性,执行系统服务方面的安全措施时,您可以控制谁能够在工作站、成员服务器或域控制器上管理服务。目前,更改系统服务的唯一方法是通过使用”组策略”计算机设置。 如果将”组策略”作为”默认域策略”实施,该策略就会应用到域内的所有计算机。如果将”组策略”作为”默认域控制器策略”实施,该策略将只应

原创 点赞0 阅读10000+ 收藏0 评论0 2013-02-15

使用组策略向域中计算机的组添加或删除成员

配置受限制的组 使用组策略中“受限制的组”可以控制组的成员或组所属的组。这样可以集中控制域中计算机或服务器的特定组的成员和特定组的所属的组。以下示例将会说明受限组的作用。 示例:配置受限制的组 李文斌域用户需要使用远程桌面管理公司服务器,为了能够将授权该用户能够管理服务器,你需要将该用户添加到服务器的本地组“Remote Desktop Users”。 在“服务器组”组织单元,使用组策略将

原创 点赞0 阅读2173 收藏0 评论0 2013-02-15

组策略设置服务器俺去----设置登录提示

设置登录提示 设置登录提示,可以在用户登录时为提示用户一些信息,比如告诉参见培训的学员培训资料所在的位置,或者提示用户今天必须为操作系统安装某个系统补丁,或告诉用户登录后查看公司邮箱。 以下示例将会为培训部计算机设置登录提示。 1. 如图3-196所示,在DCServer上,打开组策略管理工具。右击培训部组织单元链接的组策略“eduGPO”,点击“编辑”。 2. 如图3-197所示,在出现

原创 点赞0 阅读1607 收藏0 评论0 2013-02-15

组策略设置服务器安-----禁用来宾用户

禁用来宾用户 guest是来宾帐号,别人要访问你的电脑,必须要有你的电脑的帐号和密码,如果对方不知道你的账号和密码,仍然可以通过来宾帐号guest来访问,这就为病毒传播创造了条件,对于我们普通用户来说,如果不进行局域网相互访问,最好将guest帐号禁用。 从安全考虑,禁用市场部计算机上的guest帐户。以下步骤将会使用组策略将市场部的计算机上的Guest帐户禁用。 1. 在DCServer上

原创 点赞0 阅读4899 收藏0 评论0 2013-02-15

组策略设置服务器安全-----不显示最后的用户名

不显示最后的用户名 按下Ctrl+Alt+Del后,出现的登录对话框,默认上一次登录的用户名,这样不安全。下面就使用组策略配置“服务器组”组织单元中的服务器,在登录时不显示上一次登录名。 任务: u 查看默认显示最后的用户名 u 配置组策略不显示最后的用户名 u 验证不显示最后的用户名设置 步骤: 1. 如图3-181所示,在FileServer上,按下Ctrl+Alt+Del登录,

原创 点赞0 阅读1973 收藏0 评论0 2013-02-15

通过组策略设置---允许普通用户能够关闭服务器

允许普通用户能够关闭服务器 Windows Server 2003 和Windows Server 2008 的默认安全策略不允许普通用户关闭或重启服务器。如果有这方面需要,则可以通过组策略设置服务器安全策略。 1. 如图3-173所示,以普通域用户刘国瑞登录域控制器,点击“开始”à“关机”。 2. 如图3-173所示,在出现的关闭Windows对话框,在希望计算机做什么下,点击下拉菜单,可

原创 点赞0 阅读2314 收藏0 评论0 2013-02-15

使用组策略控制本地登录和访问网络资源

示例:控制本地登录和访问网络资源 公司服务器FileServer是ess.com域的成员,为这些服务器单独创建了组织单元“服务器组”。从安全考虑不允许普通域用户登录到这些服务器,即不允许交互式登录。 服务器组的共享资源不允许“G_水环所学员”从网络访问共享资源。允许“G_卫生监督局学员”从网络访问共享文件夹。 任务: u 修改链接在“服务器组”组织单元上的组策略 u 验证不允许登录 u

原创 点赞0 阅读1771 收藏0 评论0 2013-02-15

允许普通域用户登录域控制器

允许普通域用户登录域控制器 域控制器默认不允许普通域用户登录,如果你想修改此默认设置,需要编辑链接在“Domain Controllers”组织单元上的“Default Domain Controllers Policy”。 1. 如图3-163所示,在DCServer上,切换用户,点击“其他用户”。 2. 如图3-164所示,输入刘国瑞域用户和密码,点击“”登录。 图 3-163 切

原创 点赞0 阅读5949 收藏0 评论0 2013-02-15

为域用户设置多元密码策略

针对Domain Admins创建帐户策略 多元密码策略部署要求有以下几点: u 所有域控制器都必须是Windows Server 2008 u 域功能级别为2008 Domain Functional Mode u 客户端无需任何变更; u 如果一个用户和组有多个密码设置对象(PSO,可以把PSO理解为和组策略对象GPO类似,通俗的理解为就是一条条的密码策略),那么优先级最小的PSO将

原创 点赞0 阅读1652 收藏0 评论0 2013-02-15

删除密码设置对象(PSO)

删除密码设置对象(PSO) 下面将会介绍查看用户或组应用的密码设置对象(PSO),以及如何删除密码设置对象。 u 查看用户或全局安全组的结果 PSO u 使用dsget查看用户结果PSO PSO链接到用户或安全组上后,密码策略是立即生效的。如何来检验呢?使用如下命令可以看到用户目前生效的密码策略 域管理员Administrator默认在活动目录中users文件夹下,users不是组织单元

原创 点赞0 阅读559 收藏0 评论0 2013-02-15
写文章