组策略

我的程序你别用──用组策略为程序加个使用限制 作者：马宪廷 来源《电脑报》 　　　　　　　　作者：马宪廷 有时候出于某种原因，我们不希望别人在自己的电脑中运行某些特定的程序。借助组策略，我们可以轻松实现这个目的。组策略是WinXP中一个非常优秀的系统配置程序，点击“开始→运行”，在“运行”对话框中输入“gpedit.msc”命令，单击“确定”按钮即可打开组策略编辑器窗口。 一、让他人只能运行你指定的软件 倘若你的孩子整日沉溺于电脑游戏当中，而你只是希望孩子通过电脑来学习一些软件(例如“Word”和“Excel”)。那么怎样才能让孩子只能运行你指定的学习软件，而禁止他运行其他游戏程序呢？ 1.在组策略编辑器窗口的左侧窗格中逐级展开“‘本地计算机’策略→用户配置→管理模板→系统”分支图1，然后在右侧窗格中用鼠标双击“只运行许可的Windows应用程序”策略项，弹出“只运行许可的Windows应用程序属性”窗口。 2.在“设置”选项卡中选择“已启用”选项图2，然后单击下面的“显示”按钮，弹出“显示内容”窗口。 3.单击“添加”按钮，弹出“添加项目”对话框，在文本框内输入“E:\Program Files\Microsoft Office\Office\Winword.exe”图3，单击“确定”按钮即可将它添加到列表中。 采用同样的方法，将其他的程序也添加到列表中图4。然后连续两次单击

本文适用于希望在其组织的计算机上配置Firefox的IT管理员。 在Windows上，使用组策略来实现策略支持。Firefox支持通过Active Directory以及使用本地组策略来设置策略。 Firefox的ADMX模板可在此处下载： https://github.com/mozilla/policy-templates/releases ADMX模板应添加到 X:\Windows\PolicyDefinitions 目录中。 有关我们政策的最新信息以及有关特定政策的更多详细信息，请访问我们的GitHub存储库上的README： https://github.com/mozilla/policy-templates/blob/master/README.md 来源： CSDN 作者： allway2 链接： https://blog.csdn.net/allway2/article/details/104101026

组策略环回处理 概要 组策略以某种方式应用于用户或计算机，而这种方式取决于用户和计算机对象位于 Active Directory 中的什么位置。 但在某些情况下，用户可能需要仅根据计算机对象的位置来应用策略。 要想仅根据用户登录到哪个计算机来应用组策略对象 (GPO)，可以使用组策略环回功能。 更多信息 要设置每台计算机的用户配置： 在“组策略”Microsoft 管理控制台 (MMC) 中，单击计算机配置。 找到管理模板，然后单击系统，再单击组策略，然后启用环回策略选项。 该策略将指示系统把该计算机的 GPO 集合应用于登录到受该策略影响的计算机的所有用户。 该策略特别适用于特殊用途的计算机，在这些地方，必须根据使用的计算机来修改用户策略，例如，位于公共场合、实验室和教室中的计算机。 备注： 只有纯粹基于 Windows 2000 的环境下才支持环回功能。 计算机帐户和用户帐户都必须位于 Active Directory 中。 如果其中某个帐户是由 Microsoft Windows NT 4.0 域控制器管理的，那么，环回将无效。 客户端计算机必须是 Windows 2000 计算机。 当用户在自己的工作站上工作时，可能希望根据用户对象的位置来应用组策略设置。 因此，建议您以用户帐户所在的组织单元 (OU) 为单位来配置策略设置。 但是，有可能出现这样的情况

如果您曾经阅读过我的 《组策略最佳实践》 博客文章，那么您会知道，我建议您谨慎编辑默认域 GPO 。我对此规则唯一的例外是，当您想修改默认域密码策略时，即使如此，您仍可以创建一个在域级别链接的新密码策略 GPO （请参阅 教程：如何设置默认和细粒度密码策略 ） 即使您不想相信我的话，这里还是 TechNet 网站上的参考，说的差不多。 TechNet ：建立组策略操作准则 除非必要，否则不要修改默认域策略或默认域控制器策略。而是在域级别创建一个新的 GPO ，并将其设置为覆盖默认策略中的默认设置。 因此，假设您做错了所有事情，并且默认域和 / 或默认域控制器组策略对象已被修改，并且您想将它们重置回去。当然，您有一份很好的 GPO 备份，您只需还原它们即可。 但是 ... 您从未备份默认 GPO ，而需要重置设置 ... 。允许您执行此操作的工具称为 DCGPOFIX ，可以在任何 Windows Server 2003 或更高版本的 Windows 服务器上找到它。 注意： 即使我们将默认域 GPO 恢复到默认设置，这样做仍可能导致更多问题。因此，请确保您拥有默认域的最新版本，以便在需要时可以轻松撤消此更改（请参见下文）。 提示： 即使您不打算运行此命令，我现在也仍然会使用这些默认域 GPO 。继续 …… 它不会受到伤害，如果您将来需要的话，这至少会给您一些回滚的余地。 将 GPO

内容一览 简介 xxv 第1章 组策略要点 1 第2章 使用GPMC和通过PowerShell管理组策略 67 第3章 组策略处理行为要点 169 第4章 高级组策略处理 223 第5章 组策略首选项 249 第6章 使用组策略管理应用程序和设置 335 第7章 对组策略进行故障排除 379 第8章 使用组策略实施安全性 465 第9章 配置文件：本地，漫游和强制性 579 第10章 托管桌面，第1部分：重定向文件夹， 脱机文件和同步管理器 643 第11章 托管桌面，第2部分：软件部署 通过组策略 723 第12章 完成组策略的操作：脚本，Internet Explorer，硬件控制，打印机部署，本地 管理员密码控制797 附录A 脚本编写组策略操作 Windows PowerShell 839 附录B 组策略和VDI 885 附录C 高级组策略管理 897 附录D 安全合规管理器 969 附录E Microsoft Intune和PolicyPak Cloud 991 索引 1005 内容 简介 xxv 第1章 组策略要点 1 准备使用本书 2 组策略入门 7 组策略实体和策略设置 7 Active Directory和本地组策略9 了解本地组策略 10 组策略和Active Directory 13 链接组策略对象 15 关于本地GPO的最终思考20 组策略应用示例 21

在Windows 7首次发布期间，有必要将一些特定的注册表设置应用于新的Windows 7计算机，而又不影响旧版Windows XP客户端。通过在组策略管理控制台中创建WMI筛选器并将其应用于相关的GPO，可以轻松完成此操作。 为此，只需启动 gpmc.msc 并单击要在其中创建组策略对象（GPO）的域下的“ WMI筛选器”部分。 GPMC中的“ WMI筛选器”部分 右键单击“ WMI筛选器”部分，然后选择“新建”。给过滤器起一个名字。单击“添加”，然后键入以下内容为Windows 7创建过滤器： select * from Win32_OperatingSystem where Version like “6.1%” and ProductType=”1″ 为Windows 7添加WMI筛选器 最后，您需要将此过滤器应用于要使用的GPO。在此示例中，创建了一个名为“ Windows 7 GPO”的GPO。在组策略管理控制台中突出显示GPO，然后在“范围”选项卡下，通过从“ WMI筛选”部分的下拉列表中选择它，应用您创建的WMI筛选器，如下所示： 将WMI筛选器应用于GPO 您可以通过在WMI筛选器中调整查询来以此方式筛选以下操作系统。操作系统可以定义如下： Windows XP： select * from Win32_OperatingSystem where (Version

这是有关网络上组策略最佳实践的最全面指南。 我明白： 当您在整个域中应用了多个 GPO 时，组策略可能会变得复杂，复杂，并且可能很难进行故障排除。 但这是踢球者： 实施组策略实际上非常简单。 在本指南中，您将学习有关组策略设计和实施最佳实践所需的所有知识。这些是我本人和许多其他 IT 专业人员使用的可靠技巧和技术。 警告： 组策略并非一刀切。每个 Active Directory 环境都是不同的，并且没有针对组策略的 cookie 裁剪器解决方案。这些最佳做法在我管理的环境中效果很好，但可能不适用于您的环境。最好计划和测试对组策略的任何更改。一个小的更改可能会导致重大问题并影响关键的业务服务。 我建议您阅读所有内容，因为有些内容如果不进一步阅读可能没有意义。 下载本指南的 PDF 版本（包括两个提示） 下载 1. 不要修改默认域策略 此 GPO 仅应用于帐户策略设置，密码策略，帐户锁定策略和 Kerberos 策略。其他任何设置都应放在单独的 GPO 中。默认域策略是在域级别设置的，因此所有用户和计算机都可以使用此策略。 2. 不要修改默认域控制器策略 该 GPO 应该仅包含用户权限分配策略和审核策略。域控制器的任何其他设置都应在单独的 GPO 中进行设置。 3. 良好的 OU 结构将使您的工作轻松 10 倍 良好的 OU 结构可简化组策略的应用和故障排除

使用组策略更改本地管理员密码 2012 年9月26日通过 CHRISADMIN 如何使用组策略 GPO / GPP 一次重置整个企业范围内的本地管理员密码。 作为系统管理员，您希望限制实际走动到每台计算机的时间，以便在执行其他任务时可以提高工作效率。 通过使用组策略首选项，可以非常快速，轻松地重置本地管理员密码。 本文和视频教程将引导您逐步完成整个过程。 创建组策略以重置本地管理员密码 情境 这个学区在环境中有几百台计算机和一台 Windows 2008 R2 服务器。 我注意到客户端计算机上的本地管理员密码不同。有些实际上正在使用空白密码。 此处的目标是立即一次在所有客户端计算机上快速重置本地管理员密码。 让我们开始吧 启动 组策略管理 （或通过 服务器管理器 访问它）。 右键单击要应用此策略的 OU ，然后选择 “ 在此域中创建 GPO ，并在此处链接 ” 。 给新策略命名。我将其命名为 “ 本地管理员密码重置 ” 。 接下来，我们需要编辑策略。 右键单击新策略，然后选择 编辑 。 展开： 计算机配置 | 首选项 | 控制面板设置 右键单击 本地用户和组 。选择 新建， 然后选择 本地用户 。 填写以下内容： 用户名： 管理员 密码：（ 无论您希望使用什么密码） 确认密码：（ 与上面相同） 选择： 用户无法更改密码 选择： 帐户永不过期 然后选择 确定 以接受设置。

一、系统远程桌面设置 　　win7右键我的电脑-属性，在弹出对话框里，系统属性-远程：只有"远程协助"标签，没有"远程桌面"标签。家庭版本的win7或简易版本的win7都没有这个功能。 　　家庭基础版win7的远程控制没有远程桌面的选项。家庭基础版是不能被远程的，只能远程别的电脑，只能换系统。 　　但无法使用远程桌面连接来连接到运行 Windows 7 简易版、Windows 7 家庭普通版或 Windows 7 家庭高级版的计算机上。但这些系统可以使用远程桌面连接到运行 Windows 7 专业版、Windows 7 旗舰版或 Windows 7 企业版的计算机上。　　 　　win7旗舰版电脑本地的用户和远程桌面连接同时运行是有冲突的.难道服务器操作系统是可以的? 　　windows 远程终端服务是单用户的，也就是说通过远程登录到服务器时，服务器本地将黑屏。如何做到不管用本地登录还是远程登录，同一时刻容许多个用户操作服务器计算机 　　win7远程桌面连接怎么实现多用户登录(已验证!) 　　1、首先到网上去百度下载“补丁UniversalTermsrvPatch”，这个补丁主要目的是在于去除“单用户登陆的限制”，允许多人多用户同时并行访问登录;(主要是破解termsrv.dll) 　　2、然后根据自己的系统运行对应的程序： 　　系统是32位，则运行

window2003远程桌面“已达最大连接数” 用远程桌面管理windows2003服务器,出现"已达最大连接数"提示,无法登入远程桌面。产生此提示的原因是以前使用远程桌面时直接关闭了窗口，而不是“注销”用户，导致远程桌面窗口虽已关闭，但用户使用的资源并未释放，达到系统允许最多连接数限制。 解决方法： 1. 强制远程连接到服务器 在“运行”窗口输入“mstsc /v:xxx.xxx.xxx.xxx(此处为服务器IP) /console”。可强制登录到远程服务器。 2.注销掉已断开的用户。 进入控制台： 输入query user 命令记录下已登录用户的ID 用logoff Id 命令注销已登录用户 3.解决此问题的办法 用注销来退出远程桌面而不是直接关闭窗口 限制已断开链接的会话存在时间，方法为：运行－Tscc.msc－连接－双击RDP-Tcp或右击－属性－会话－选中第一个的替代用户设置(O)－结束已断开的会话〔将默认值“从不”改为一个适当的时间，比如30分钟〕 法一：用“注销”方式退出远程桌面而不是直接关闭窗口 法二：踢出已经断开连接的用户 1、首先telnet到此主机上(不管你用什么方法)，当然如果能直接操作机器更好，不过直接操作就不必用命令行了，用控制台更直观(略过)。 2、Telnet上去后,先看登陆的用户： 输入命令：query user 系统返回： 用户名Username