Windows 2000、XP、2003组策略实战指南

管理02

本书涉及了Windows 2000/XP/2003网络中组策略应用的方方面面，内容涉及基础知识、配置策略、安全配置、分析设置、IPSec策略、本地安全策略、软件部署策略、软件限制策略、文件夹重定向实例、启动、关机、登录和注销脚本策略、开始菜单和任务栏策略、控制面版策略、桌面策略、资源管理器策略、IE策略、系统策略、Unix仿真策略、组策略管理控制台、定制模板、命令行工具、综合应用等。本书内容紧贴系统管理和安全管理实际，以实例教学的方式，为读者提供了全面的组策略解决方案，并介绍了多款功能强大的组策略工具软件。本书结构完整清晰、内容深入全面、语言简单明了，相信一定会受到广大系统管理员，尤其是规模较大、计算机用户数量较多的网络中的系统维护、管理人员的青睐。
　　本书适用于专业的系统管理员和网络管理员，并可作为计算机培训学校的教材或者大专院校计算机专业的教学参考书。

第1章　组策略入门　1
1.1　组策略概述　1
1.1.1　本地组策略和域组策略　1
1.1.2　组策略的功能　1
1.1.3　组策略的组件　3
1.1.4　组策略的层次结构　4
1.1.5　组策略的对象　7
1.1.6　组策略的管理模板　8
1.1.7　组策略的权限　9
1.1.8　计算机和用户策略的配置　10
1.2　组策略的继承与委派　11
1.2.1　组策略的继承　11
1.2.2　组策略的委派　12
1.3　组策略的处理过程　19
1.3.1　组策略优先级　19
1.3.2　组策略的启动过程　19
1.3.3　处理组策略设置的顺序　20
1.3.4　默认顺序的例外情况　20
1.3.5　组策略优先级中应用程序的角色　21
1.3.6　本地组策略的访问　21

第2章　计算机和用户配置策略　25
2.1　计算机配置策略　25
2.1.1　计算机配置策略的位置　25
2.1.2　计算机配置策略的设置　25
2.2　用户配置策略　36
2.2.1　用户配置策略的位置　36
2.2.2　用户配置策略的设置　37

第3章　安全配置和分析　42
3.1　安全性分析　42
3.1.1　安全性分析概述　42
3.1.2　预定义的安全模板　42
3.1.3　添加“安全配置和分析”管理单元　44
3.1.4　设置安全数据库　45
3.1.5　导入安全模板　46
3.1.6　分析系统的安全性　47
3.1.7　检查安全性分析结果　48
3.1.8　配置系统安全模板　50
3.1.9　导出安全模板　51
3.2　安全设置　52
3.2.1　账户策略　52
3.2.2　事件日志　57
3.2.3　受限制的组　62
3.2.4　系统服务　65
3.2.5　注册表　66
3.2.6　文件系统　69

第4章　IPSec策略　73
4.1　IPSec策略概述　73
4.1.1　Internet连接的安全问题　73
4.1.2　IPSec简介　74
4.1.3　IP安全策略　75
4.2　创建和编辑IP安全策略　76
4.2.1　创建新的组织单位、策略　76
4.2.2　编辑策略　77
4.3　管理IP安全策略　92
4.3.1　重新启动IPSec服务　92
4.3.2　导出/导入IPSec策略　93
4.3.3　刷新IPSec策略列表　94
4.3.4　删除IPSec策略　94
4.3.5　重命名IPSec策略　94
4.4　监视IP安全策略　94
4.4.1　添加IP安全监视器管理单元　95
4.4.2　将计算机添加到IP安全监视器控制台　96
4.4.3　查看有关活动IPSec策略的详细信息　97
4.4.4　查看主模式详细信息　98
4.4.5　查看快速模式详细信息　99

第5章　本地安全策略　102
5.1　本地安全策略概述　102
5.1.1　策略应用到已连接到某个域的计算机　102
5.1.2　本地策略　102
5.1.3　用户权利　102
5.1.4　特权　103
5.1.5　登录权利　103
5.2　审核策略　104
5.2.1　审核账户登录事件　104
5.2.2　审核账户管理　105
5.2.3　审核目录服务访问　107
5.2.4　审核登录事件　107
5.2.5　审核对象访问　109
5.2.6　审核策略更改　110
5.2.7　审核特权使用　111
5.2.8　审核过程跟踪　112
5.2.9　审核系统事件　113
5.3　用户权限分配　114
5.3.1　从网络访问此计算机　114
5.3.2　以操作系统方式操作　115
5.3.3　域中添加工作站　115
5.3.4　调整进程的内存配额　116
5.3.5　允许在本地登录　117
5.3.6　通过终端服务允许登录　117
5.3.7　备份文件和目录　118
5.3.8　跳过遍历检查　119
5.3.9　更改系统时间　119
5.3.10　创建页面文件　120
5.3.11　创建标记对象　120
5.3.12　创建全局对象　121
5.3.13　创建永久共享对象　121
5.3.14　调试程序　122
5.3.15　拒绝从网络访问这台计算机　123
5.3.16　拒绝作为批处理作业登录　123
5.3.17　拒绝作为服务登录　124
5.3.18　拒绝本地登录　125
5.3.19　通过终端服务拒绝登录　125
5.3.20　允许计算机和用户账户被信任以便用于委任　126
5.3.21　从远程系统强制关机　126
5.3.22　生成安全审核　127
5.3.23　身份验证后模拟客户端　127
5.3.24　增加计划优先级　128
5.3.25　装载和卸载设备驱动程序　128
5.3.26　内存中锁定页面　129
5.3.27　作为批处理作业登录　130
5.3.28　作为服务登录　130
5.3.29　管理审核和安全日志　131
5.3.30　修改固件环境值　131
5.3.31　执行卷维护任务扫描　132
5.3.32　配置单一进程　132
5.3.33　配置系统性能　133
5.3.34　从扩展坞中取出计算机　133
5.3.35　替换进程级别标记　134
5.3.36　还原文件和目录　134
5.3.37　关闭系统　135
5.3.38　同步目录服务数据　136
5.3.39　取得文件或其他对象的所有权　136
5.4　安全选项　137
5.4.1　账户　137
5.4.2　审核　140
5.4.3　设备　142
5.4.4　域控制器　146
5.4.5　域成员　148
5.4.6　交互式登录　152
5.4.7　Microsoft网络服务器　158
5.4.8　网络访问　159
5.4.9　网络安全　165
5.4.10　故障恢复控制台　168
5.4.11　关机　169
5.4.12　系统加密　170
5.4.13　系统对象　172
5.4.14　系统设置　174

第6章　软件部署策略　176
6.1　软件部署策略概述　176
6.1.1　软件部署策略简介　176
6.1.2　组策略软件部署支持的文件格式　176
6.1.3　软件部署方法　177
6.2　实例1：使用MSI文件部署Office 2003　178
6.2.1　部署过程　178
6.2.2　查看程序包的属性　185
6.2.3　应用程序数据包重新部署　189
6.2.4　删除被管理的MSI应用程序数据包　190
6.3　实例2：使用ZAP文件部署HotFix　191
6.3.1　部署环境　192
6.3.2　ZAP软件部署策略　193
6.4　实例3：使用开机、关机脚本部署HotFix　196
6.4.1　准备工作　196
6.4.2　开机、关机软件部署策略　197
6.5　实例4：MSI文件制作　200
6.5.1　系统信息收集　201
6.5.2　系统信息校验　202
6.5.3　创建MSI文件应用关联　203

第7章　软件限制策略　206
7.1　软件限制策略概述　206
7.1.1　软件限制策略简介　206
7.1.2　应用软件限制策略　207
7.1.3　安全级别和其他规则　207
7.1.4　软件限制策略规则的优先权　208
7.1.5　将默认安全级别设置为“不允许的”　208
7.1.6　软件限制策略的系统事件　209
7.2　软件限制策略实施前的准备工作　209
7.2.1　创建新的组织单元　209
7.2.2　构建限制策略对象　210
7.2.3　安全级别设置　211
7.2.4　默认规则　212
7.3　应用实例1——简单的软件限制策略　215
7.3.1　只运行许可的Windows应用程序策略　215
7.3.2　不要运行许可的Windows程序策略　217
7.4　应用实例2——哈希规则配置实例　217
7.4.1　哈希规则简介　218
7.4.2　部署过程　218
7.4.3　客户端测试　219
7.5　应用实例3——证书规则配置实例　219
7.5.1　证书规则简介　219
7.5.2　证书申请　219
7.5.3　证书捆绑　223
7.5.4　证书导出　226
7.5.5　证书限制策略实施　229
7.6　应用实例4——路径规则配置实例　230
7.6.1　应用程序路径规则　230
7.6.2　注册表路径规则　232
7.6.3　路径规则建议　232
7.6.4　应用程序限制实施过程　233
7.6.5　客户端测试　234
7.6.6　注册表路径限制实施过程　234
7.7　应用实例5——Internet区域规则实例　234

第8章　文件夹重定向实例　236
8.1　文件夹重定向概述　236
8.1.1　文件夹重定向简介　236
8.1.2　文件夹重定向选项　238
8.2　应用实例：文件夹重定向　239
8.2.1　部署环境　239
8.2.2　创建组织单位、新的策略　240
8.2.3　编辑策略　241
8.2.4　选择“设置”字段为“基本”　242
8.2.5　“基本”属性设置说明　243
8.2.6　选择“设置”字段为“高级”　246
8.3　客户端策略测试　250
8.3.1　客户端登录检测“我的文档”的位置　250
8.3.2　文件夹和文件测试　251
8.3.3　服务器端检测　251
8.3.4　系统管理员查看文件夹　252

第9章　启动、关机、登录和注销脚本策略　253
9.1　启动、关机、登录和注销脚本策略概述　253
9.2　部署环境　253
9.2.1　创建新的组织单位、新的策略　253
9.2.2　编辑策略　255
9.3　登录脚本策略部署　255
9.3.1　登录脚本部署过程　255
9.3.2　注销脚本策略部署　257
9.3.3　启动脚本策略部署　257
9.3.4　关机脚本策略部署　257
9.4　客户端测试　258

第10章　开始菜单和任务栏策略　259
10.1　开始菜单和任务栏简介　259
10.1.1　任务栏和开始菜单　259
10.1.2　任务栏和开始菜单属性的打开方法　259
10.2　部署环境　260
10.2.1　创建组织单元、移动用户　260
10.2.2　编辑策略　261
10.3　策略设置　261
10.3.1　从“开始”菜单删除用户文件夹　261
10.3.2　删除到“Windows Update”的访问和链接　262
10.3.3　从“开始”菜单删除公用程序组　263
10.3.4　从“开始”菜单中删除“我的文档”图标　263
10.3.5　从“开始”菜单上删除“文档”菜单　264
10.3.6　从设置菜单删除程序　265
10.3.7　从“开始”菜单删除“网络连接”　265
10.3.8　从“开始”菜单中删除“收藏夹”菜单　266
10.3.9　从“开始”菜单中删除“搜索”菜单　267
10.3.10　从“开始”菜单删除“帮助”命令　267
10.3.11　从“开始”菜单中删除“运行”菜单　268
10.3.12　从“开始”菜单中删除“图片收藏”图标　269
10.3.13　从“开始”菜单中删除“我的音乐”图标　269
10.3.14　从“开始”菜单中删除“网上邻居”图标　270
10.3.15　将“注销”添加到“开始”菜单　271
10.3.16　删除“开始”菜单上的“注销”　271
10.3.17　删除和阻止访问“关机”命令　272
10.3.18　删除“开始”菜单上的拖放上下文菜单　273
10.3.19　阻止更改“任务栏和‘开始’菜单”设置　273
10.3.20　阻止访问任务栏的上下文菜单　274
10.3.21　不要保留最近打开文档的记录　274
10.3.22　退出时清除最近打开的文档的记录　275
10.3.23　关闭个性化菜单　276
10.3.24　关闭用户跟踪　276
10.3.25　将“在单独的内存空间运行”复选框添加到“运行”对话框　277
10.3.26　解析外壳程序快捷方式时不要使用搜索方法　278
10.3.27　解析外壳程序快捷方式时不要使用跟踪方法　278
10.3.28　从“开始”菜单禁用不可用的Windows Installer程序的快捷方式　279
10.3.29　阻止在任务栏上对项目分组　280
10.3.30　关闭通知区域清理　280
10.3.31　锁定任务栏　281
10.3.32　强制典型菜单　281
10.3.33　删除“开始”菜单项目上的“气球提示”　281
10.3.34　从“开始”菜单中删除附加的程序列表　282
10.3.35　从“开始”菜单中删除常用程序列表　283
10.3.36　从“开始”菜单中删除所有程序列表　283
10.3.37　从“开始”菜单删除“移除PC”按钮　284
10.3.38　从“开始”菜单中删除用户名　284
10.3.39　从系统通知区域删除时钟　285
10.3.40　隐藏通知区域　285
10.3.41　不在任务栏显示任何自定义工具栏　286
10.3.42　从“开始”菜单中删除“设置程序访问和默认”　286

第11章　控制面板策略　288
11.1　控制面板概述　288
11.1.1　“控制面板”打开方式　288
11.1.2　在“我的电脑”中显示“控制面板”　289
11.2　部署环境　289
11.2.1　创建组织单元、移动用户　289
11.2.2　编辑策略　289
11.3　策略设置　290
11.3.1　禁止访问控制面板　290
11.3.2　隐藏指定的控制面板程序　290
11.3.3　只显示指定的控制面板程序　291
11.3.4　强制为传统的控制面板样式　292
11.3.5　删除“添加或删除程序”　292
11.3.6　隐藏“更改或删除程序”页面　293
11.3.7　隐藏“添加新程序”页面　294
11.3.8　隐藏“添加/删除Windows组件”页面　294
11.3.9　隐藏“设置程序访问和默认”页面　295
11.3.10　隐藏“从CD-ROM或软盘安装程序”选项　295
11.3.11　隐藏“从Microsoft添加程序”选项　296
11.3.12　隐藏“从网络中添加程序”选项　297
11.3.13　直接打开“组件向导”　297
11.3.14　删除支持信息　298
11.3.15　为“添加新程序”指定默认类别　298
11.3.16　删除“控制面板”中的“显示”　298
11.3.17　隐藏“桌面”选项卡　299
11.3.18　阻止更改墙纸　300
11.3.19　隐藏“外观和主题”选项卡　300
11.3.20　隐藏“设置”选项卡　301
11.3.21　隐藏“屏幕保护程序”选项卡　301
11.3.22　屏幕保护程序　302
11.3.23　可执行的屏幕保护程序的名称　302
11.3.24　密码保护屏幕保护程序　303
11.3.25　屏幕保护程序超时　303
11.3.26　删除主题选项　304
11.3.27　阻止选择窗口和按钮式样　305
11.3.28　禁止选择字体大小　305
11.3.29　禁用主题颜色选择　306
11.3.30　加载一个特定的视觉样式文件或强制使用Windows经典　306
11.3.31　浏览共用网站以查找打印机　307
11.3.32　浏览网络以便查找打印机　307
11.3.33　在搜索打印机时使用默认Active Directory路径　308
11.3.34　指向和打印限制　309
11.3.35　阻止添加打印机　309
11.3.36　阻止删除打印机　310
11.3.37　限制Windows菜单和对话框语言的选择　310

第12章　桌面策略　311
12.1　桌面概述　311
12.2　部署环境　311
12.2.1　创建组织单元、移动用户　312
12.2.2　编辑策略　313
12.3　策略设置　313
12.3.1　隐藏和禁用桌面上的所有项目　313
12.3.2　删除桌面上的“我的文档”图标　314
12.3.3　删除桌面上的“我的电脑”图标　315
12.3.4　从桌面删除“回收站”图标　315
12.3.5　从“我的文档”上下文菜单中删除“属性”　316
12.3.6　从“我的电脑”上下文菜单中删除“属性”　316
12.3.7　删除“回收站”上下文菜单的属性　317
12.3.8　隐藏桌面上“网上邻居”图标　318
12.3.9　隐藏桌面上的Internet Explorer图标　318
12.3.10　不要将最近打开的文档的共享添加到“网上邻居”　319
12.3.11　禁止用户更改“我的文档”路径　319
12.3.12　禁止添加、拖、放和关闭任务栏的工具栏　320
12.3.13　禁用调整桌面工具栏　320
12.3.14　退出时不保存设置　321
12.3.15　删除清理桌面向导　322

第13章　资源管理器策略　323
13.1　资源管理器概述　323
13.1.1　文件夹任务　323
13.1.2　文件夹选项　323
13.1.3　个人文件夹　324
13.2　部署环境　324
13.2.1　创建组织单元、移动用户　324
13.2.2　编辑策略　325
13.3　策略设置　325
13.3.1　启用经典外观　325
13.3.2　从“工具”菜单删除“文件夹选项”菜单　326
13.3.3　从Windows资源管理器中删除“文件”菜单　327
13.3.4　删除“映射网络驱动器”和“断开网络驱动器”　327
13.3.5　从Windows资源管理器上删除搜索按钮　328
13.3.6　删除Windows资源管理器的默认上下文菜单　328
13.3.7　隐藏Windows资源管理器上下文菜单上的“管理”项目　329
13.3.8　只允许每用户或允许的外壳扩展　329
13.3.9　漫游时不跟踪外壳程序快捷方式　330
13.3.10　隐藏“我的电脑”中的这些指定的驱动器　330
13.3.11　防止从“我的电脑”访问驱动器　331
13.3.12　删除“硬件”选项卡　332
13.3.13　删除DFS选项卡　332
13.3.14　删除“安全”选项卡　333
13.3.15　删除更改菜单动画设置的UI　333
13.3.16　删除更改键盘浏览指示器设置的UI　334
13.3.17　“网上邻居”中没有“我附近的计算机”　335
13.3.18　“网上邻居”中不含“整个网络”　335
13.3.19　“最近的文档”的最大数目　335
13.3.20　不要申请其他凭据　336
13.3.21　为网络安装申请凭据　337
13.3.22　删除CD刻录功能　337
13.3.23　不要将已删除的文件移动到“回收站”　338
13.3.24　删除文件时显示确认对话框　338
13.3.25　回收站允许的最大大小　339
13.3.26　从“我的电脑”删除共享文档　339
13.3.27　关闭缩略图的缓存　340
13.3.28　关闭Windows+X热键　341
13.3.29　从“文件和文件夹任务”中删除“发布到Web”　341
13.3.30　防止“Web发布”和“在线订购”向导的Internet下载　342
13.3.31　从“图片任务”中删除“订购图片”　342

第14章　Internet Explorer策略　343
14.1　Internet Explorer概述　343
14.1.1　Internet Explorer完成的任务　343
14.1.2　Internet Explorer策略简介　344
14.2　部署环境　344
14.2.1　创建组织单元、移动用户　344
14.2.2　编辑策略　345
14.3　计算机配置策略　345
14.3.1　安全区域：仅使用计算机设置　345
14.3.2　安全区域：禁止用户更改策略　346
14.3.3　安全区域：禁止用户添加或删除站点　347
14.3.4　根据计算机设置代理服务器(不是根据用户)　347
14.3.5　禁用Internet Explorer组件的自动安装　348
14.3.6　禁用定期检查Internet Explorer软件更新　349
14.3.7　禁用程序启动时的软件更新外壳通知　349
14.3.8　禁用显示初始屏幕　350
14.4　用户配置策略——Internet Explorer维护策略　350
14.4.1　浏览器标题　351
14.4.2　自定义徽标　351
14.4.3　浏览器工具栏自定义　352
14.4.4　连接设置　354
14.4.5　自动浏览器配置　355
14.4.6　代理设置　355
14.4.7　用户代理字符串　356
14.4.8　收藏夹和链接　357
14.4.9　重要URL　357
14.4.10　安全区域和内容分级　358
14.4.11　Authenticode设置　359
14.4.12　程序　360
14.5　用户配置策略——Internet Explorer组件策略　361
14.5.1　搜索：禁用自定义搜索　361
14.5.2　搜索：禁用在浏览器中通过按F3查找文件　362
14.5.3　禁用Internet Explorer的外部商标　362
14.5.4　禁用导入和导出收藏夹　363
14.5.5　禁用更改高级页设置　364
14.5.6　禁用更改主页设置　364
14.5.7　对拨号连接使用“自动检测”　365
14.5.8　禁用缓存自动代理脚本　365
14.5.9　显示有关代理脚本下载失败的出错信息　366
14.5.10　禁用更改Internet临时文件设置　367
14.5.11　禁用更改历史记录设置　367
14.5.12　禁用更改颜色设置　368
14.5.13　禁用更改链接颜色设置　368
14.5.14　禁用更改字体设置　369
14.5.15　禁用更改语言设置　369
14.5.16　禁用更改辅助功能设置　370
14.5.17　禁用Internet连接向导　370
14.5.18　禁用更改连接设置　371
14.5.19　禁用更改代理服务器设置　371
14.5.20　禁用更改自动配置的设置　372
14.5.21　禁用更改分级设置　372
14.5.22　禁用更改证书设置　373
14.5.23　禁用更改配置文件助理设置　374
14.5.24　禁用表单的自动完成功能　374
14.5.25　禁止自动完成功能保存密码　375
14.5.26　禁用更改邮件设置　375
14.5.27　禁用更改日历和联系人的设置　375
14.5.28　禁用“重置Web设置”功能　376
14.5.29　禁用更改默认浏览器检查　377
14.5.30　标识管理器：禁止用户使用标识　377
14.5.31　配置Outlook Express　378
14.5.32　配置媒体浏览器栏　379
14.5.33　禁用常规页　379
14.5.34　禁用安全页　379
14.5.35　禁用内容页　380
14.5.36　禁用连接页　381
14.5.37　禁用程序页　381
14.5.38　禁用隐私页　381
14.5.39　禁用高级页　382
14.5.40　禁用添加频道　383
14.5.41　禁用删除频道　383
14.5.42　禁用添加脱机页计划　384
14.5.43　禁用编辑脱机页计划　384
14.5.44　禁用删除脱机页计划　384
14.5.45　禁用脱机页记数　385
14.5.46　禁用所有已计划的脱机页　386
14.5.47　完全禁用频道用户界面　386
14.5.48　禁用下载站点预订内容　387
14.5.49　禁用编辑和创建计划组　387
14.5.50　预订内容限制　387
14.5.51　“文件”菜单：禁用“另存为...”菜单项　388
14.5.52　“文件”菜单：禁用“新建”菜单项　389
14.5.53　“文件”菜单：禁用“打开”菜单项　389
14.5.54　“文件”菜单：禁用另存为“网页，全部”格式　390
14.5.55　“文件”菜单：禁用关闭浏览器和资源管理器窗口　391
14.5.56　“查看”菜单：禁用“源文件”菜单项　391
14.5.57　“查看”菜单：禁用“全屏显示”菜单项　392
14.5.58　隐藏“收藏夹”菜单　392
14.5.59　“工具”菜单：禁用“Internet选项...”菜单项　393
14.5.60　“帮助”菜单：删除“每日提示”菜单项　394
14.5.61　“帮助”菜单：删除“Netscape用户”菜单项　394
14.5.62　“帮助”菜单：删除“漫游”菜单选项　395
14.5.63　“帮助”菜单：删除“发送反馈意见”菜单项　395
14.5.64　禁用上下文菜单　396
14.5.65　禁用“在新窗口中打开”菜单项　396
14.5.66　禁用“将该程序保存到磁盘”选项　397
14.5.67　禁用自定义浏览器工具栏按钮　397
14.5.68　禁用自定义浏览器工具栏　398
14.5.69　配置工具栏按钮　398
14.5.70　本地计算机区域的文件大小限制　399
14.5.71　Intranet区域的文件大小限制　399
14.5.72　受信任的站点区域的文件大小限制　400
14.5.73　Internet区域的文件大小限制　400
14.5.74　受限制的站点区域的文件大小限制　401

第15章　系统策略　402
15.1　部署环境　402
15.1.1　创建组织单元　402
15.1.2　编辑策略　403
15.2　计算机配置系统策略——普通策略　403
15.2.1　对指定的文件夹限制潜在不安全的“HTML帮助”功能　403
15.2.2　在登录时不显示“管理您的服务器”页　404
15.2.3　显示“关闭事件跟踪程序”　405
15.2.4　激活“关闭事件跟踪程序系统状态数据”功能　405
15.2.5　启用永久性时间戳　406
15.2.6　指定Windows安装文件位置　406
15.2.7　指定Windows Service Pack安装文件位置　407
15.2.8　删除启动/关机/登录/注销状态消息　407
15.2.9　详细与正常状态消息　408
15.2.10　限制这些程序从帮助启动　409
15.2.11　关闭自动播放　409
15.2.12　不要自动加密移到加密文件夹中的文件　410
15.2.13　下载丢失的COM组件　411
15.2.14　允许“分布式链接跟踪”客户端使用域资源　411
15.3　计算机配置系统策略——用户配置文件　412
15.3.1　用户配置文件概述　412
15.3.2　不检查“漫游配置文件夹”的用户所有权　413
15.3.3　删除缓存的漫游配置文件副本　414
15.3.4　不要检测慢速网络连接　415
15.3.5　用户配置文件的慢速网络连接超时　416
15.3.6　等候远程用户配置文件　416
15.3.7　检测到慢速链接时提示用户　417
15.3.8　对话框超时　418
15.3.9　漫游配置文件出错时，注销用户　418
15.3.10　卸载和更新用户配置文件的最大重试次数　419
15.3.11　将管理员安全组添加到漫游用户配置文件　419
15.3.12　防止漫游配置文件复制到服务器　420
15.3.13　只允许本地用户配置文件　421
15.4　计算机配置系统策略——脚本　421
15.4.1　脚本概述　421
15.4.2　同步运行登录脚本　422
15.4.3　非同步运行启动脚本　423
15.4.4　显示启动脚本的运行状态　424
15.4.5　显示关机脚本的运行状态　424
15.4.6　组策略脚本的最长等待时间　425
15.5　计算机配置系统策略——登录　426
15.5.1　登录概述　426
15.5.2　登录时不显示欢迎屏幕　427
15.5.3　总是用经典登录　427
15.5.4　在用户登录时运行这些程序　428
15.5.5　不处理只运行一次列表　429
15.5.6　不处理旧的运行列表　429
15.5.7　计算机启动和登录时总是等待网络　430
15.6　计算机配置系统策略——磁盘配额　431
15.6.1　磁盘配额概述　431
15.6.2　启用磁盘配额　432
15.6.3　强制磁盘配额限制　433
15.6.4　默认配额限制和警告级别　434
15.6.5　超出磁盘配额限制时将事件记录到日志中　434
15.6.6　超出磁盘配额警告等级时将事件记录到日志中　435
15.6.7　将策略应用于可移动媒体　436
15.7　计算机配置系统策略——网络登录　437
15.7.1　登录时期望的拨号延迟　437
15.7.2　站点名称　438
15.7.3　负DCDiscovery缓存设置　438
15.7.4　后台调用程序的初始DC Discovery重试设置　439
15.7.5　后台调用程序的最大DC Discovery重试间隔设置　439
15.7.6　后台调用程序的最终DC Discovery重试设置　440
15.7.7　后台调用程序的正定期DC缓存刷新　440
15.7.8　非后台调用程序的正定期DC缓存刷新　441
15.7.9　清除间隔　441
15.7.10　登录失败时联系PDC　442
15.7.11　日志文件调试输出等级　443
15.7.12　最大日志文件大小　443
15.7.13　Sysvol共享兼容性　443
15.7.14　Netlogon共享兼容性　444
15.8　计算机配置系统策略——远程协助　445
15.8.1　远程协助概述　445
15.8.2　请求的远程协助　446
15.8.3　提供远程协助　447
15.9　计算机配置系统策略——系统还原　448
15.9.1　系统还原概述　448
15.9.2　关闭系统还原　449
15.9.3　关闭配置　450
15.10　计算机配置系统策略——错误报告功能　451
15.10.1　错误报告功能概述　451
15.10.2　显示错误通知　451
15.10.3　报告错误　452
15.10.4　默认应用程序报告设置　453
15.10.5　始终为其报告错误的应用程序列表　454
15.10.6　从不为其报告错误的应用程序列表　454
15.10.7　报告操作系统错误　455
15.10.8　报告未计划的关机事件　456
15.11　计算机配置系统策略——Windows文件保护　456
15.11.1　Windows文件保护概述　456
15.11.2　设置Windows文件保护扫描　457
15.11.3　隐藏文件扫描进度窗口　458
15.11.4　限制Windows文件保护缓存大小　459
15.11.5　指定Windows文件保护缓存位置　459
15.12　计算机配置系统策略——远程过程调用　460
15.12.1　RPC疑难解答状态信息　460
15.12.2　传播扩展错误信息　461
15.12.3　忽略委派失败　462
15.12.4　RPC/HTTP连接的最小空闲连接超时　462
15.13　计算机配置系统策略——Windows时间服务　463
15.13.1　Windows时间服务概述　463
15.13.2　全局设置配置　464
15.13.3　启用Windows NTP客户端　465
15.13.4　配置Windows NTP客户端　465
15.13.5　启用Windows NTP服务器　466
15.14　用户配置策略——普通策略　467
15.14.1　登录时不显示欢迎屏幕　467
15.14.2　2000年份转译　468
15.14.3　配置驱动程序查找位置　468
15.14.4　设备驱动程序的代码签名　469
15.14.5　自定义用户界面　470
15.14.6　阻止访问命令提示符　470
15.14.7　阻止访问注册表编辑工具　471
15.14.8　只运行许可的Windows应用程序　472
15.14.9　不要运行指定的Windows应用程序　472
15.14.10　关闭自动播放　473
15.14.11　限制这些程序从帮助启动　474
15.14.12　下载丢失的COM组件　474
15.14.13　Windows自动更新　475
15.15　用户配置策略——用户配置文件　476
15.15.1　将宿主目录连接到共享根目录　476
15.15.2　限制配置文件大小　477
15.15.3　不包括漫游配置文件中的目录　478
15.16　用户配置策略——脚本　478
15.16.1　同步运行登录脚本　479
15.16.2　以隐藏形式运行现用登录脚本　479
15.16.3　以可见形式运行登录脚本　480
15.16.4　显示注销脚本的运行状态　480
15.17　用户配置策略——Ctrl+Alt+Del选项　481
15.17.1　删除“任务管理器”　482
15.17.2　删除“锁定计算机”　482
15.17.3　删除“更改密码”　483
15.17.4　删除注销　484
15.18　用户配置策略——登录　484
15.18.1　在用户登录时运行这些程序　485
15.18.2　不处理只运行一次列表　486
15.18.3　不处理旧的运行列表　486
15.19　用户配置策略——电源管理　487
15.19.1　电源管理概述　487
15.19.2　从休眠/挂起恢复时提示输入密码　488

第16章　UNIX终端仿真策略　489
16.1　UNIX终端仿真概述　489
16.2　部署环境　489
16.3　策略部署　491
16.3.1　隐藏桌面　491
16.3.2　禁止访问“控制面板”　491
16.3.3　禁止访问注册表编辑器　492
16.3.4　资源管理器配置　493
16.3.5　删除“开始”菜单中的“运行”菜单项　499
16.3.6　禁止从“我的电脑”中访问磁盘驱动器　500
16.3.7　禁止使用访问命令提示符　501
16.3.8　关闭自动播放　502
16.3.9　禁止使用任务管理器　503
16.3.10　禁止更改显示属性　504
16.3.11　禁止更改“任务栏”和“开始”菜单　504
16.3.12　禁止Windows自动更新　506
16.3.13　只运行许可的Windows应用程序　506
16.3.14　限制“IEXPLORE.EXE”的使用　508
16.3.15　登录运行关键业务系统程序　509
16.3.16　禁止“开始”菜单栏中“我的电脑”、“我的文档”等显示　509
16.3.17　禁止设置网络连接组件　519

第17章　组策略管理控制台　523
17.1　GPMC概述　523
17.2　GPMC初始安装　523
17.2.1　添加森林　524
17.2.2　启动组策略管理单元　525
17.2.3　策略添加域　525
17.2.4　域添加　525
17.2.5　默认策略　526
17.2.6　更改域控制器　529
17.2.7　建立新策略　531
17.3　管理组策略对象　532
17.3.1　查看域GPO　532
17.3.2　查看与特定域关联的所有GPO　533
17.3.3　搜索GPO　533
17.3.4　GPO的作用域　535
17.3.5　查看GPO应用的策略　536
17.3.6　GPO策略继承和链接顺序　537
17.4　GPO备份、还原、复制以及导入　538
17.4.1　备份策略　538
17.4.2　管理备份　539
17.4.3　还原策略　540
17.4.4　复制GPO　541
17.4.5　导入GPO　542
17.5　组策略建模　544
17.6　策略结果集　546

第18章　定制专用组策略模板　550
18.1　GPO的存储位置　550
18.1.1　组策略模板文件存储位置　550
18.1.2　组策略在注册表中的位置　551
18.2　编写组策略脚本　553
18.2.1　自定义模板的文件内容　553
18.2.2　自定义模板之代码说明　554
18.2.3　自定义代码之参数说明　554
18.2.4　自定义模板之模板使用　557
18.2.5　自定义模板之模板使用　558
18.2.6　自定义模板之客户端测试　558
18.3　自定义组策略模板参数　558
18.3.1　STRING　558
18.3.2　CLASS　559
18.3.3　CATEGORY　559
18.3.4　POLICY　560
18.3.5　VALUENAME　560
18.3.6　CLIENTEXT　561
18.3.7　VALUEOFF/VALUEON　561
18.3.8　使用简单策略和带有VALUEOFF/VALUEON 语句的策略　561
18.3.9　EXPLAIN　562
18.3.10　PART　562
18.3.11　PartTypes　563
18.3.12　TEXT　563
18.3.13　EDITTEXT　563
18.3.14　COMBOBOX　564
18.3.15　CHECKBOX　564
18.3.16　DROPDOWNLIST　565
18.3.17　LISTBOX　565
18.3.18　NUMERIC　566
18.3.19　TEXT　566
18.3.20　EXPANDABLETEXT　567
18.3.21　EDITTEXT　567
18.3.22　REQUIRED　567
18.3.23　MAXLEN　567
18.3.24　DEFAULT　567
18.3.25　MIN/MAX　568
18.3.26　DROPDOWNLIST　568
18.3.27　ACTIONLIST　568

第19章　组策略命令行工具　569
19.1　Windows资源工具包　569
19.1.1　Resource Kit Tools系列工具包的获取　569
19.1.2　Windows Server 2003 Resource Kit Tools的安装　569
19.2　组策略命令行工具使用　572
19.2.1　域组策略对象检查工具——GpoTool　572
19.2.2　组策略结果检测工具——GpResult　574
19.2.3　组策略刷新工具——gpupdate　578
19.2.4　组策略还原工具——dcgpofix　580
19.2.5　组策略监视器——winpolicies　581

第20章　组策略综合应用实例　585
20.1　策略应用环境　585
20.2　部署“桌面”策略　585
20.2.1　“桌面”策略位置　585
20.2.2　隐藏桌面上的“网上邻居”图标　586
20.2.3　隐藏桌面上的所有图标　586
20.2.4　删除桌面上的“我的文档”图标　587
20.2.5　删除桌面上的“我的电脑”图标　588
20.2.6　从桌面删除“回收站”图标　588
20.2.7　退出时不保存设置　589
20.2.8　删除清理桌面向导　589
20.2.9　启用/禁用“活动桌面”　590
20.3　部署“任务栏”和“开始”策略　590
20.3.1　“任务栏”和“开始”策略的位置　591
20.3.2　给“开始”菜单减肥　591
20.3.3　保护好“任务栏”和“开始”菜单　592
20.3.4　禁止“注销”和“关机”　592
20.3.5　利用组策略保护文档隐私　593
20.4　系统性能策略　593
20.4.1　关闭缩略图的缓存　593
20.4.2　屏蔽系统自带的CD刻录功能　594
20.4.3　关闭系统还原功能　595
20.4.4　禁止Windows Messenger自动运行　595
20.4.5　屏蔽Windows Update功能的访问　596
20.5　部署IE策略　597
20.5.1　IE策略的位置　597
20.5.2　禁用“在新窗口中打开”菜单项　598
20.5.3　限制IE浏览器的保存功能　598
20.5.4　禁用“Internet选项”控制面板　599
20.5.5　禁止修改IE浏览器的主页　600
20.5.6　工具栏按钮添加实例　600
20.6　组策略环境优化策略　602
20.6.1　从筛选出发，隐藏无效策略　603
20.6.2　从属性出发，查看策略信息　603
20.7　部署“安全”策略　604
20.7.1　解锁注册表　604
20.7.2　关闭端口　605
20.7.3　交互式登录“不显示上次的用户名”　607
20.7.4　部署系统服务策略　608
20.7.5　域中添加工作站　609
20.7.6　远程关机　611
20.7.7　阻止黑客攻击　613
20.7.8　网络访问权限设置　617
20.7.9　IP地址保护　618
20.7.10　启用审核　619
20.7.11　防止匿名登录　620
20.8　其他策略　621
20.8.1　发送通知　621
20.8.2　文件保护　622

在线阅读下载：http://pan.baidu.com/s/1c0fHdew

EsV

组策略和注册表

菜鸟小羽

支持，看起来不错呢！

borall

还是不错的哦，顶了

a136

感谢楼主的分享~

perble

支持中国红客联盟(ihonker.org)

arctic

wanmznh

ljy07

支持，看起来不错呢！

小龙