精华内容
下载资源
问答
  • 组策略导入导出secedit

    千次阅读 2018-09-30 09:54:08
    导出  secedit /export /cfg d:\setup.inf 导入  secedit /configure /db temp.sdb /cfg d:\setup.inf ADM文件 %windir%\Inf 模板  %SYSTEMROOT%\security\templates

    导出 

    secedit /export /cfg d:\setup.inf

    导入 

    secedit /configure /db temp.sdb /cfg d:\setup.inf

    ADM文件

    %windir%\Inf

    模板

     %SYSTEMROOT%\security\templates

    展开全文
  • 目录3.2、通过组策略user_fjnu_GPO统一管理域中的计算机和用户(1)将某目录自动映射为网络驱动器,使user_fjnu中的用户可以访问(2)使user_fjnu中用户使用统一桌面背景(3)为user_fjnu中用户安装统一的软件 ...

    3.2、通过组策略user_fjnu_GPO统一管理域中的计算机和用户

    目的:通过4个子任务实例来验证域管理员可以通过组策略统一管理分配域中资源。

    • 将某目录自动映射为网络驱动器,使user_fjnu中的用户可以访问
    • 使user_fjnu中用户使用统一桌面背景
    • 为user_fjnu中用户安装统一的软件
    (1)将某目录自动映射为网络驱动器,使user_fjnu中的用户可以访问

    首先,在域控制器DNS1上创建一个目录C:\share,在该目录下新建一个文件test.txt用于测试。

    在这里插入图片描述

    然后,将C:\share设置为共享目录。在share目录上单击鼠标右键,在弹出的菜单中选择【属性】,在【share属性】界面选择【共享】选项卡,并点击【共享】

    在这里插入图片描述

    进入【网络访问】界面,点击第一个输入框右边的下拉箭头,在展开的菜单中选择【Everyone】,单击右侧的【添加】按钮。

    在这里插入图片描述

    随后点击【共享】

    在这里插入图片描述

    进入【你的文件夹已共享】界面,显示了名为【share】的共享,共享目录为\DNS1\share,单击【完成】

    在这里插入图片描述

    返回【share属性】的【共享】选项卡,显示该文件夹的网络路径为\\DNS1\share,说明共享目录已经设置完成。

    在这里插入图片描述

    在域控制器DNS1上,编辑【user_fjnu_GPO】,在【组策略管理编辑器】中,依次展开【user_fjnu_GPO】——>【用户配置】——>【首选项】——>【windows设置】——>【驱动器映射】,在【驱动器映射】上单击鼠标右键,在弹击菜单中选择【新建】,在展开的菜单中选择【映射驱动器】

    在这里插入图片描述

    打开【新建驱动器属性】界面,在【位置】中输入共享目录的网络路径\\DNS1\share,勾选【重新连接】标记,即每次登录时均重新连接该网络驱动器,在【驱动器号】中选择右边的【使用】选项,并设置盘符为Z,单击【确定】

    如果驱动器号为D,域中的用户及计算机不能识别,因为D盘默认为DVD Drive。

    在这里插入图片描述

    可以在【驱动器映射】界面中看到该刚才设置的结果。

    在这里插入图片描述

    验证:

    切换到域成员服务器Server1,使用域用户student1重新登录Server1,打开资源管理,在【此电脑】中,可以看到自动映射了网络驱动器,盘符为Z:盘,映射目录为\\DNS1\share

    在这里插入图片描述

    双击打开D:盘,能够看到在域控制器上的共享目录中创建的测试文件test.txt。

    在这里插入图片描述

    (2)使user_fjnu中用户使用统一桌面背景

    首先,在域控制器DNS1上创建一个目录C:\pic,将要使用的背景图片文件bg.jpg复制到目录C:\pic下。

    在这里插入图片描述

    然后,将C:\pic设置为共享目录。在pic目录上单击鼠标右键,在弹出的菜单中选择【属性】,在【pic属性】界面选择【共享】选项卡,并点击【共享】

    在这里插入图片描述

    进入【网络访问】界面,点击第一个输入框右边的下拉箭头,在展开的菜单中选择【Everyone】,单击右侧的【添加】按钮。

    在这里插入图片描述

    随后点击【共享】

    在这里插入图片描述

    进入【你的文件夹已共享】界面,显示了名为【pic】的共享,共享目录为\\DNS1\pic,单击【完成】

    在这里插入图片描述

    返回【pic属性】的【共享】选项卡,显示该文件夹的网络路径为\\DNS1\pic,说明共享目录已经设置完成。

    在这里插入图片描述

    在域控制器DNS1上,编辑【user_fjnu_GPO】,在【组策略管理编辑器】中,依次展开【财务处GPO】——>【用户配置】——>【策略】——>【管理模板】——>【桌面】——>【桌面】,找到【桌面墙纸】配置,双击打开

    在这里插入图片描述

    进入该选项的设置界面,选择【已启用】,并在下面的选项中设置墙纸名称:\\DNS1\pic\bg.jpg,墙纸样式默认为【居中】,单击【确定】

    在这里插入图片描述

    在【组策略管理编辑器】中,依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【管理模板】——>【控制面板】——>【个性化】,找到【阻止更改桌面背景】配置,双击打开

    在这里插入图片描述

    进入该选项的设置界面,选择【已启用】,单击【确定】

    在这里插入图片描述

    验证:

    切换到成员服务器PC1,使用域用户student1重新登录PC1,可以看到桌面背景已设置为统一的图片

    在这里插入图片描述

    在桌面上单击鼠标右键,在弹出的菜单中选择【个性化】,进入个性设置界面,该界面中的背景设置全部为灰色,并提示【某些设置由你的组织来管理】,说明用户自己不能修改桌面背景。

    在这里插入图片描述

    (3)为user_fjnu中用户安装统一的软件

    首先,在域控制器DNS1上创建一个目录C:\packages,将fjnu_user用户需要安装的安装包复制到目录C:\packages下。

    Windows Server只支持.msi格式的安装包

    在这里插入图片描述

    然后,将C:\packages设置为共享目录。在packages目录上单击鼠标右键,在弹出的菜单中选择【属性】,在【packages属性】界面选择【共享】选项卡,并点击【共享】

    在这里插入图片描述

    进入【网络访问】界面,点击第一个输入框右边的下拉箭头,在展开的菜单中选择【Everyone】,单击右侧的【添加】按钮。

    在这里插入图片描述

    随后点击【共享】

    在这里插入图片描述

    进入【你的文件夹已共享】界面,显示了名为【packages】的共享,共享目录为\DNS1\packages,单击【完成】

    在这里插入图片描述

    返回【packages属性】的【共享】选项卡,显示该文件夹的网络路径为\\DNS1\packages,说明共享目录已经设置完成。

    在这里插入图片描述

    在域控制器DNS1上的【组策略管理编辑器】中,依次展开【user_fjnu_GPO】——>【用户配置】——>【策略】——>【软件设置 】——>【软件安装】,在【软件安装】上单击鼠标右键,在弹出的菜单中选择【属性】

    在这里插入图片描述

    在【软件安装 属性】界面中,设置默认程序数据包位置为\\DNS1\packages,其余使用默认设置,单击【确定】

    在这里插入图片描述

    再次在【软件安装】上单机鼠标右键,在弹出的菜单中选择【新建】,选择【数据包】

    在这里插入图片描述

    打开选择数据包界面,找到C:\packages目录下的安装包文件xxxx,单击【打开】

    在这里插入图片描述

    在弹出的【部署软件】对话框中,选择【已发布】选项,单击【确认】

    已发布:域成员需要手动从网络安装程序

    已分配:域成员机登录时会自动安装

    在这里插入图片描述

    等待一段时间后,在【软件安装】中,可以看到刚才发布的软件包信息,选中安装包,点击鼠标右键,选择【属性】

    在这里插入图片描述

    验证:

    切换到成员服务器PC1,使用域用户student1重新登录PC1,打开【控制面板】,单击左下角【程序】下的【获得程序】

    在这里插入图片描述

    打开【获得程序】界面,界面中显示了域控制器通过组策略发布的程序xxxxxx,双击该程序,即可开始安装

    在这里插入图片描述

    在这里插入图片描述

    展开全文
  • 组策略配置BitLocker详解

    千次阅读 2017-08-04 11:48:21
    老板昨天让豆子看看怎么统一配置一下BitLocker。豆子花了一天把网上的资料都翻了翻,中文资料基本太初级没用,英文的资料倒是很多,不过相当的凌乱,大概看了7,8份不同的参考资料,自己小结了一下整个最基本的配置...

    老板昨天让豆子看看怎么统一配置一下BitLocker。豆子花了一天把网上的资料都翻了翻,中文资料基本太初级没用,英文的资料倒是很多,不过相当的凌乱,大概看了7,8份不同的参考资料,自己小结了一下整个最基本的配置流程。BitLocker的各种应用场景很多,有些东西限于水平和时间,可能不够精确,以后会慢慢修正和添加。


    以下解释都是豆子的大白话理解:


    基本定义:首先说说什么是BitLocker, 简单的说就是用来加密硬盘的,这样如果硬盘丢了,在其他的计算机上,如果没有正确的密码,是无法访问的。


    硬件:Bitlocker的使用需要硬件的支持,这个硬件模块叫TPM,一般计算机都有,可以在设备管理器里面查看。但是,Macbook上面没有这个东西,因此苹果电脑上如果装了Windows系统,而且还想使用 Bitlocker这个功能,需要额外使用USB或者单独的密码来验证,这个本文不做讨论~  


    操作系统:  OSX和Linux是不支持的。操作系统 win7 pro之前的是不支持的,win7支持的版本也只限于Ultimate和Enterprise版本,Win8之后的各种版本都支持。


    怎么玩


    BitLocker把硬盘分为OS,Data和removable 3大类,都可以进行加密,加密之后会看见盘符上面多了一把锁;如果可以访问的状态锁是打开的,如果不能访问的话锁会扣上;解锁一般有3种方式:password或者叫做PIN,recovery key以及 data recovery agent(其实就是证书解锁)。锁上之后任何一种方式都能解锁姿势~。 


    PIN一般可以有用户自己设定,他会同时生成一个Recovery Key,如果忘记了密码,可以通过这个Key来解锁,这个Key可以保存在文件,网络或者AD中; data recovery agent则是一个签发的证书,只要在对应的电脑上导入了对应的certificate和private key,就可以通过这个证书的Thumprint来解锁。这个东西比较麻烦和混淆,后面会做具体说明。


    额外还有很多具体的设置,比如你可以设定某台电脑上连接的硬盘都自动解锁,网络解锁,用户设置PIN,操作系统的硬盘开机前额外验证PIN等等。



    具体操作:

    下面来看看具体怎么配置的步骤:

    1. 添加Scheme

    2. 配置权限,允许保存Recovery key到AD

    3. DC安装BitLocker的feature

    4. 配置CA和签署证书

    5. 配置GPO组策略

    6. 推送已有的BitLocker的计算机到AD

    7. 使用manage-bde工具来测试



    1. 首先看看Scheme

      一般说来,Server 2008 R2以后的DC是不需要手动添加的了,可以通过这个Powershell命令查看,如果返回值有下面5个对象,那么恭喜,第一步就可以略过了。

    PS C:\WINDOWS\system32> Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like "*ms-FVE*"}
    DistinguishedName                                                                Name                       ObjectClass     ObjectGUID                          
    -----------------                                                                ----                       -----------     ----------                          
    CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-RecoveryInformation classSchema     6dc4c79b-f090-4930-abb3-05b6a0c6db49
    CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au        ms-FVE-RecoveryGuid        attributeSchema 6e84277d-64df-4147-85af-4cf84fd3620f
    CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au          ms-FVE-VolumeGuid          attributeSchema c6cb202b-59b3-485f-b063-fd85319c57d9
    CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au    ms-FVE-RecoveryPassword    attributeSchema 6370af52-3375-4961-8f67-50f9dbc6d9b2
    CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au          ms-FVE-KeyPackage          attributeSchema 2b3a4e41-35ca-4c41-b09f-0286bb80086


    2. 给AD添加权限


    首先需要从官网下载几个VBS的脚本。现在都Powershell的时代了,微软也没改进一下10年前的方法~~

     

    https://technet.microsoft.com/en-us/library/dn466534.aspx#Sample scripts


    复制粘贴脚本然后保存到DC的C:\Bitlocker目录下


    wKioL1mD2D6DbUKsAABS8Q_jXVs593.jpg


    执行

    wKiom1mD1WDgcgCDAACrHoVw3t0058.jpg


    然后就可以添加权限了。

    打开ADUC , 对应存放计算机对象的OU上,然后Delegate Control

    wKiom1mD2fXSR7O6AACZixSOhwU247.jpg

    打开向导

    wKiom1mD2fXgTKLhAAB3rHbdxtc629.jpg

    添加用户

    wKioL1mD2faTz7-LAABL4Nf_-rk283.jpg

    添加Self

    wKiom1mD2fawfZHMAABj625UZUg974.jpg


    选择自定义

    wKioL1mD2ffArZmyAACAN_9DdDU951.jpg


    选择对象Computer

    wKiom1mD2fij46oZAACzzEmD-F4029.jpg


    选择权限,写入TPM的信息

    wKioL1mD2fmAJWWuAAChAZlzI5Q295.jpg

    结束

    wKioL1mD2fqC8ulfAAC3Z5cdRMg616.jpg


    这样计算机就有权限把TPM的信息写入AD了


    3. DC上安装BitLocker的feature,这个没啥好说的,点开Server Manager,安装BitLocker,重启DC。DC会自动安装Bitlocker Viewer。


    4. 配置CA和证书。 data recovery agent的配置是所有过程里面最让人混淆的一步。CA的配置这里不赘述了,主要是关于证书的签发。有些文档说需要复制一份Key Recovery 的证书模板,然后手动添加Application Extension,签发给用户,最后再配置证书和私钥到对应的计算机上。豆子自己的测试结果并不好使。


    实际测试的结果显示,不需要这么麻烦,我可以直接签发basic EFS的证书,然后成功利用这个证书在多台计算机上解锁U盘。

    MMC里面打开Certificate的SnapIn,Personal -> Certificate -> Request New Certificate


    wKioL1mD41rC_duAAAChJtBW_Sk828.jpg


    一路Next下去


    wKiom1mD4-GiwSeFAACAvtSsTJQ245.jpg

    wKioL1mD4-GDtcSkAAB1aFRb3o0531.jpg


    选择Basic EFS~

    wKiom1mD4-LChuAlAACYn5MEiWE545.jpg


    成功Enrol之后找到这个签发的证书,双击,选择‘Copy to File’


    wKioL1mD5JLx5lXaAACE4P7RtaI176.jpg


    wKioL1mD5JTjsmFiAAB8uPZACqI577.jpg


    注意要导出私钥

    wKiom1mD5JWgdrv3AABzY3Dbspw761.jpg


    把导出的PFX文件保存好,稍后需要安装到需要测试的计算机上。


    5. 重头戏来了,配置GPO,官方推荐的配置如下,当然可以根据自己的需要进行修改

    https://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx


    不过上面的内容仅仅是BitLocker的一部分,还需要修改下面的组策略

    Computer Configuration -> Administrative Template -> System -> Trusted Platform Module Service


    wKioL1mD5fuhdxmMAAFGiAl8iT4918.jpg


    Enable 这个服务。 豆子的DC是windows 2008 R2,据说 Windows 2012里面这个选项就已经没有了

    wKiom1mD5fyQMCqwAADn5QG7B94311.jpg


    除此以为,我们还需要配置Data Recovery Agent的GPO


    1. Computer Configuration -> Policies ->Windows Settings-> Security Settings->Public Key Policies, 然后右击 BitLocker Drive Encryption 选择 Add Data Recovery Agent…

    wKioL1mD5tCQEI-1AACqTLGvulM431.jpg

    点击Next


    wKioL1mD57ijunxmAACA6d1cUtM051.jpg



    这里我直接选择Browse Directory, 然后选择我自己的账户(因为之前我签发的EFS证书是用自己的账户)


    wKiom1mD57ngcrexAAB-l_RjbUY777.jpg


    他会提示我选择绑定哪一个证书,因为我做测试在自己的账户上签发了N个不同的证书,选择前面我们生成的那个EFS 的就可以了

    wKiom1mD57rjbygNAABZerBXyhU914.jpg


    这里可以绑定任意多个,理论上任何一个都是可以用来解锁的


    到这一步,基本上配置就都完成了。剩下的就是推送GPO到计算机了。


    6. 如果已经有计算机打开BitLocker了,那么我们还需要推送已有的Recovery Key到AD上。


    执行下面命令,获取对应磁盘的ID和密码

    PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get c:
    BitLocker Drive Encryption: Configuration Tool version 10.0.15063
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    Volume C: [Windows]
    All Key Protectors
        Numerical Password:
          ID: {5AE32687-8E48-46D9-8096-9394B996323A}
          Password:
            003135-453508-448393-555390-091179-159577-396374-379665
        TPM:
          ID: {D25D3302-CC81-4FA5-BA41-F84F64D4246F}
          PCR Validation Profile:
            7, 11
            (Uses Secure Boot for integrity validation)
        Data Recovery Agent (Certificate Based):
          ID: {7184E029-D82C-47D8-AEA1-507E1EB8FAC6}
          Certificate Thumbprint:
            482bda8296519fbdb95e3228ff021d1cf2c62ab2


    推送到AD

    PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -adbackup c: -id '{5AE32687-8E48-46D9-8096-9394B996323A}'
    BitLocker Drive Encryption: Configuration Tool version 10.0.15063
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    Recovery information was successfully backed up to Active Directory.
    PS C:\WINDOWS\system32>


    登陆ADUC,查看一下已经成功保持到AD了


    wKioL1mD6avDXbiGAAB13l7XURM124.jpg



    7. 测试


    我电脑上弄了3种类型的盘符,一个是操作系统C盘,一个是放数据的E盘,还有一个U盘 D。

    wKioL1mD6qHiFHueAABNJihdBUM115.jpg

    看看状态


    PS C:\WINDOWS\system32> 
    PS C:\WINDOWS\system32> .\manage-bde.exe -status
    BitLocker Drive Encryption: Configuration Tool version 10.0.15063
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    Disk volumes that can be protected with
    BitLocker Drive Encryption:
    Volume C: [Windows]
    [OS Volume]
        Size:                 231.29 GB
        BitLocker Version:    2.0
        Conversion Status:    Used Space Only Encrypted
        Percentage Encrypted: 100.0%
        Encryption Method:    AES 128
        Protection Status:    Protection On
        Lock Status:          Unlocked
        Identification Field: omnicom
        Key Protectors:
            Numerical Password
            TPM
            Data Recovery Agent (Certificate Based)
    Volume E: [Data]
    [Data Volume]
        Size:                 0.49 GB
        BitLocker Version:    2.0
        Conversion Status:    Used Space Only Encrypted
        Percentage Encrypted: 100.0%
        Encryption Method:    XTS-AES 128
        Protection Status:    Protection On
        Lock Status:          Unlocked
        Identification Field: omnicom
        Automatic Unlock:     Disabled
        Key Protectors:
            Numerical Password
            Password
            Data Recovery Agent (Certificate Based)
    Volume D: [Label Unknown]
    [Data Volume]
        Size:                 Unknown GB
        BitLocker Version:    2.0
        Conversion Status:    Unknown
        Percentage Encrypted: Unknown%
        Encryption Method:    AES 128
        Protection Status:    Unknown
        Lock Status:          Locked
        Identification Field: Unknown
        Automatic Unlock:     Disabled
        Key Protectors:
            Numerical Password
            Password
            Data Recovery Agent (Certificate Based)


    D盘和E盘我可以在图像界面设置密码或者修改密码 , D盘目前木有显示是因为我故意把他锁住了。事实上,U盘一旦拔出来,再插回去,不管是不是同一台电脑,只要之前在他上面打开了Bitlocker,他的状态都是锁住的,需要使用任意三种方式之一来解锁才能访问。

    wKioL1mD6-vxpztoAAB-KMZgUeU689.jpg


    下面演示一下如何解锁,双击D盘,他会弹出下面的对话框,我们可以输入自己设置的密码解锁,或者recovery key解锁,recovery key可以在ADUC上查看,或者在解锁状态下通过manage-bde -protectors -get d: 查看


    wKiom1mD7KfRElHfAABwGs4gTac640.jpg



    解锁之后就可以访问了

    wKiom1mD7S_AHJK-AAAxYiRAUS0102.jpg


    最后看看如何通过证书解锁


    首先手动锁上D盘

    PS C:\WINDOWS\system32> .\manage-bde.exe -lock d:
    BitLocker Drive Encryption: Configuration Tool version 10.0.15063
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    Volume D: is now locked


    查看一下对应的证书是否配置,指纹是什么

    PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get d:
    BitLocker Drive Encryption: Configuration Tool version 10.0.15063
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    Volume D: [Label Unknown]
    All Key Protectors
        Numerical Password:
          ID: {92319191-E7DC-4393-875A-663926AC47D7}
        Password:
          ID: {DCF42582-F2C3-44A7-81E2-6FC26685060E}
        Data Recovery Agent (Certificate Based):
          ID: {AD39876C-3D7C-4444-91BA-EFE6C11ACE34}
          Certificate Thumbprint:
            482bda8296519fbdb95e3228ff021d1cf2c62ab2


    在当前计算机上,导入这个证书指纹对应的证书和私钥(第4步导出的那个证书文件)到personal,然后执行下面的命令,同样可以解锁。

    PS C:\WINDOWS\system32> manage-bde -unlock d: -certificate -ct 482bda8296519fbdb95e3228ff021d1cf2c62ab2
    BitLocker Drive Encryption: Configuration Tool version 10.0.15063
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.
    The certificate successfully unlocked volume D:.


    综述,上面演示了一个基本的流程来在AD环境里面配置和使用BitLocker,有些细节限于篇幅没有详细解释。

    展开全文
  • 于是我在组策略进行了修改。修改后如何用dos 导出 然后又如何导入呢? 导出 secedit /export /cfg d:\setup.inf 导入 secedit /configure /db secedit.sdb /cfg d:\setup.in

    最近弄了win2008服务器,发现很多3366端口被攻击,而我也没有修改3366端口。

    于是我在组策略进行了修改。修改后如何用dos 导出 然后又如何导入呢?


    导出

    secedit /export /cfg d:\setup.inf


    导入


    secedit /configure /db secedit.sdb /cfg d:\setup.inf

    导入之后应该要重载一下。我直接重启了电脑。

    参考文章:
    http://www.cnblogs.com/ahuo/archive/2011/12/15/2289204.html
    此文章导入不了
    http://renpeng.blog.51cto.com/623897/156467
    此文章没有导出



    展开全文
  • 一:WINDOWS资源管理器设置 删除“映射网络驱动器”和...只要第一次修改好了组策略 然后把c:\windows\system32\GroupPolicy复制出来 保存起来 下次再做母盘的时候 再复制进c:\windows\system32\里 就可以了。!   ...
  • Windows XP 组策略修改系统配置

    千次阅读 2007-02-23 23:18:00
    组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自Windows NT 4.0开始便采用了组策略这一机制...
  • 导出 secedit /export /cfg d:\setup.inf
  • Win2008组策略ADMX文件配置攻略

    千次阅读 2007-12-07 12:18:02
    管理模板文件里包含了标记语言,它用来描述基于注册表的组策略。然而,对于喜欢直接面对模板文件内容,并按照自己需要进行修改的 windows管理员来说,adm模板文件虽然为修改注册表提供了必要的方法,但是也带来了...
  • 组策略】3.组策略类型和组件

    千次阅读 2019-10-02 19:06:41
    组策略类型和组件 3个组策略类型 Local(LGPO)本地GPO 本地组策略对象 non-local GPOs 本质上是存在在active directory中并进行部署的组策略到域中的计算机 ...管理员访问每一台机器,配置组策略配置好以后...
  • 管理服务器上面的组策略管理器,可能大家都会改,所以最好先导出组策略配置导出列表,修改之前记住你改了什么这是个好习惯。 进入正题:网上很多重置动作都很重,但是如果我能打开组策略,这种情况下的重置就非常...
  • 批处理修改组策略

    千次阅读 2019-10-09 06:22:12
    导出组策略配置:secedit /export /CFG d:\1.inf 这一步是为了防止误操作,先备份下 比如我要设置密码尝试次数为8次 [version] signature="$CHICAGO$" #这个必须要有,不然无法成功 [System Access] ...
  • 最常用的组策略

    千次阅读 2012-12-05 23:26:02
    一、访问组策略  有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口...组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别
  • 组策略设置大全

    千次阅读 2009-10-20 17:13:00
    如何打开组策略编辑器? 运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 1:看是不是注册表中锁住了组策略“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer”,把...
  • 有赞订单导出业务隶属于有赞交易订单管理,主要职能是将有赞商家的订单数据通过报表的形式导出并提供下载给商家使用。目前承接了有赞所有的订单导出业务,报表的字段覆盖交易、支付、会员、优惠、发货、退款、特定...
  • 自动修改Windows组策略

    千次阅读 2019-03-26 13:08:52
    在工作中遇到了批量配置Windows策略组的问题,网上流传的一般方法是修改注册表,据说不是总能有效。于是摸索和学习,了解到使用LGPO的方法比较靠谱,遂记录以备忘。
  • 组策略命令行工具之组策略结果检测工具GpResult Windows Resource Kit Tools工具软件。组策略结果(gpresult.exe)命令行工具可以用于面向特定用户或计算机验证各种策略设置的有效性。管理员在控制台上运行任意一...
  • 域中的组策略(Group Policy)

    千次阅读 2020-10-13 10:36:37
    组策略 组策略是Windows环境下用户管理对象的一种手段。组策略分为本地组策略和组策略。本地组策略适合于管理独立的未加入域的工作组的机器。而组策略则是用于管理域...组策略配置分为两部分,分别是计算机配置和...
  • 如何配置服务器安全策略

    千次阅读 2019-04-11 13:52:06
    如何配置服务器安全策略? 内容摘要:如何配置服务器安全策略?服务器安全策略的核心价值在于保障数据中心服务器的安全性。数据中心是应用虚拟化的基础平台,保证了这个平台的稳定和安全,各种操作才会流畅无阻。...
  • 有时候管理多个林,在一个林中配置了GPO之后,想复制出来用到其它林里。
  • 组策略命令大全

    千次阅读 2012-12-08 10:26:59
    功能:用来管理Windows系统里面的用户配置,如果域管理组策略可以通过他管理整个域的所有电脑登录用户配置 命令位置: C:\WINDOWS\system32 或者 C:\WINNT\system32 如何打开组策略编辑器? 答:运行里输入gpedit....
  • 当我使用Powershell将AD中所有计算机信息导出,并排序检查时,发现有部分机器命名不符合规则,且操作系统为Win7旗舰版或Win10系统。对于这些机器的操作系统公司并未购买许可,会存在法律风险。作为IT人员,应当及时...
  • 强制刷新组策略

    千次阅读 2008-10-14 09:32:29
    GP组策略组策略是一种管理员限制用户和限制计算机使用界面,使用功能的一种工具,可以简单的理解为注册表的简化。注策略可以应用在四个位置,并且应用顺序为: 本地计算机---站点---域---组织单元,在本地计算机...
  • 二、导入证书新建一个组策略,在计算机配置-策略-windows设置-安全设置-公钥策略中选中“受信任的根证书颁发机构”并新建导入。 三、测试在客户端更新组策略后发现登陆邮箱地址不再提示不受信任。 转载于:...
  • 策略的对象可以是计算机、用户或策略是的存放位置不是在文件夹中就是放在数据库中,针对域的策略是放在SYSVOL的一个文件夹中而本地策略是放在数据库中而本地策略是放在数据库中,放在文件夹中的比较容易修改,...
  • 组策略设置屏保

    千次阅读 2020-06-30 17:14:07
    这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的...,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入...
  • 今天在帮客户配置2003的时候,进入组策略提示Windows无法读取模板信息,原来是因为安装设置过程中删除了guest账号,下面脚本之家小编为大家分享下解决方法吧若组策略出现"windows无法读取模板信息"是因为...
  • 本地组策略与安全策略的自动导入

    万次阅读 2010-07-22 11:51:00
    本地组策略与安全策略的自动导入

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 28,237
精华内容 11,294
关键字:

导出组策略所有配置