当前位置:
文档之家› windows域常用组策略设置
windows域常用组策略设置
请求的远程协助:使用此策略设置可以启用或禁用该计算机上的“请求的远程协助”。
开启
提供的远程协助:使用此策略设置可以打开或关闭该计算机上的“提供远程协助”。
开启
用户策略
软件设置
软件安装:基于用户策略的软件的分发,在用户登录后,会在控制面板中显示程序列表,用户具有安装那些程序的权限。
具体软件列表待定
管理模板
是
阻止更改壁纸:阻止用户添加或更改桌面的背景设计。
是
桌面墙纸:指定在所有用户的桌面上显示的桌面背景(“墙纸”)
是否需要统一
删除桌面清理向导:防止用户使用清理桌面向导
是
禁止用户手动重定向配置文件文件夹:防止用户更改其配置文件文件夹的路径。
是
退出时不保存设置:防止用户保存对桌面进行的某些更改。
是
禁止添加、拖、放和关闭任务栏的工具栏:防止用户操作桌面工具栏。
3次
本地策略-审核策略:审核策略更改、登录时间、对象访问、进程跟踪、目录服务访问、特权使用、系统时间、账户登录和账户管理
按需要开启,不建议开启所有。
本地策略-用户权限分配
由于人员暂时不是很多,将只考虑管理员(分配用户在本地具有管理员权限)
本地策略-安全选项
不显示最后的用户名:该安全设置确定是否在Windows登录屏幕中显示最后登录到计算机的用户的
开启
从开始菜单删除:收藏夹、搜索、常用程序列表、公共程序组、游戏、帮助、所以程序、网络连接、附加的程序列表、运行等等
删除部分
从“设置”菜单删除程序:此设置防止“控制面板”、“打印机”和“网络连接”文件夹在「开始」菜单、“我的电脑”和Windows资源管理器上设置。它还阻止运行这些文件夹所代表的程序(如Control.exe)。
是
是
提示用户在过期之前更改密码:确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告,用户有时间构造足够强大的密码。
10天
无需按Ctrl+Alt+Del:该安全设置决定用户是否需要按Ctrl+Alt+Del才能登录。
无需
可匿名访问的共享:此安全设置确定匿名用户可以访问哪些网络共享。
退出系统给时清除最近打开的文档的历史:如果启用此策略设置,系统就会在用户注销时删除最近使用的文档文件的快捷方式。因此,用户登录时,「开始」菜单上的“最近的项目”菜单总是空的。
开启
删除开始菜单项目上的“气泡提示”:启用此设置,则不会显示某些弹出式文本。此设置影响的弹出式文本包括“开始”按钮上的“单击这里开始”、「开始」菜单上的“所有程序的位置”以及通知区域上的“所有
设置为1,不能连续修改该2次密码相同的
复位账户锁定计数器:此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间。
3分钟
账户锁定时间:此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。
5分钟
账户锁定阈值:此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。
大小写字母,数字和符号4种里面选3种
密码长度最小值:此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于1和14个字符之间,或者将字符数设置为0以确定不需要密码。
8位
密码最长使用期限:此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间为
90天
强制密码历史:此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性
不允许
标准用户的提升提示行为:需要提升权限的操作将提示用户输入管理用户名和密码。如果用户输入有效凭据,则操作将使用适用权限继续进行。
需要
管理员账户状态:此安全设置确定是启用还是禁用本地管理员帐户
禁用
来宾账户状态:此安全设置确定是启用还是禁用来宾帐户
禁用
使用空白密码的本地账户只允许进行控制台登录:此安全设置确定未进行密码保护的本地帐户是否可以用于从物理计算机控制台之外的位置登录。如果启用此设置,则未进行密码保护的本地帐户将仅能够在计算机的键盘上登录。
windows域组策略设置
计算机策略
软件设置
软件设置-软件安装:基于计算机策略的软件安装,即计算机启动时软件的自动安装。
需要用户提供软件列表
脚本
启动脚本:计算机启动时运行的脚本
注册组件
关机脚本:计算机关闭时运行的脚本
卸载组件
安全设置-账户策略
密码复杂性要求:此安全设置确定密码是否必须符合复杂性要求。不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分,至少有六个字符长,包含以下四类字符中的三类字符如英文大写字母,英文小写字母,基本数字,非字母字符
实际测试
开启按部门需求
防止删除打印机:如果用户试图删除打印机,例如使用“控制面板”中“打印机”
是
中的“删除”选项来删除打印机,会显示一条消息,说明该设置组织执行此操作。
隐藏“从CD-ROM或软盘安装程序”选项:从“添加新程序”页面删除“从CD-ROM或软盘安装程序”部分。这样可以防止用户使用“添加或删除程序”从可移动介质安装程序。
不允许
重命名来宾帐户和重命名系统管理员账户
Enterprise Admins组,最高权限,建议只放一个用户,并且常年禁用
事件日志,设置事件日志的相关选项,包括:大小,时间,类型等等
调整
关闭自动播放:启用此设置,则可以禁用CD-ROM和可移动介质驱动器上的自动播放,也可以禁用所有驱动器上的自动播放。
关闭