摘要：怎样使用组策略部署软件的操作步骤 在WIN2000以上，除了用户工作环境与计算机环境的设置外，组策略还提供了很强大的功能。列举组策略中的部分功能。 A、帐户策略的设置 B、本地策略的设置 C、脚本设置...

怎样使用组策略部署软件的操作步骤

在WIN2000以上，除了用户工作环境与计算机环境的设置外，组策略还提供了很强大的功能。

列举组策略中的部分功能。

A、帐户策略的设置 B、本地策略的设置 C、脚本设置 D、用户工作环境的设置 E、软件的安装与删除。

F、文件夹的重定向。

□组策略概述 组策略可以针对站点、域和组织单位设置组策略。

这些组策略存储在 x:\WINNT\SYSVOL\sysvol\abc.com\Policies目录下。

组策略分“计算机配置”与“用户配置”两部分。

A、计算机配置：当计算机启动时，就会根据“计算机配置”的内容来设置计算机的环境。

B、用户配置：当用户登录时，就会根据“用户配置”的内容来设置用户的工作环境 注：本地组策略：存储在X:\WINNT\system32\GroupPolicy目录内。

一、组策略的应用顺序与规则： 不同组策略的应用顺序与规则： 1、本地组策略： 2、站点组策略： 3、域组策略： 4、组织单位的组策略： 默认，后应用的策略将覆盖以前的应用的策略。

具体说明如下： 1、如果在高层容器内建立了一个组策略，但是并未在低层容器建立组策略，则低层容器会继承在高层容器内所建立的组策略。

2、如果另外在低层容器内建立了组策略，则低的组策略则要取代高层的组策略。

3、如果父容器未被设置组策略，则低层组策略则不会继承父层组策略。

4、如果父容器设置组策略，但是子容器内的组策略并未为设置。

则会继承父组策略 二、阻止策略的继承 可以在子容器组策略内，通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置，也就是直接以子容顺的组策略为其设置。

三、强迫继承策略。

可以在父容器的组策略内，通过：“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置。

□组策略的对象 设置组策略设置的途径： 根据不同的计算机，可以在以下几位置的。

“域安全策略”或“活动目录用户和计算机”“域控制安全策略”、“本地安全策略”。

（均在“管理工具”内）。

以下利用“活动目录用户和计算机”来设置组策略。

开始——程序——管理工具——活动目录用户和计算机——选中“domain controllers”单击鼠标右键——属性——组策略（GPO） 一、更改组策略 让DOMAIN USERS组内的所有成员都具备“本地登录”的权限。

设置步骤： 1、开始——程序——管理工具——活动目录用户和计算机——选中“DOMAIN CONTROLLERS”单击鼠标右键——属性——组策略。

2、请选定“default domain controllers policy”，然后单击“编辑”。

3、出现“组策略”窗口——计算机配置——WIN设置——安全设置——本地策略——用户权利指派——双击右则的“在本地登录”。

4、出现“安全策略设置”对话框——单击增加——将DOMAIN USERS增加到组内。

二、测试“在本地登录”设置是否正常。

由于改建立的组策略不能马上生效，必须利用以下三种之一来达到目的。

1、在“在命令提示符”下。

输入secedit refreshpolicy machine_policy。

让计算机配置生效，或是用户配置文件：则将machine_policy改为user_policy.即可。

2、将此计算机重启。

3、等待此策略应用到计算机内。

三、新建一个用户，测试一下，能否在本地登录。

□管理模板策略的设置 通过以下范例来设置管理模策略 1、 隐藏用户桌面的“网上邻居”图标。

2、将“开始”菜单中的“运行”“帮助”等命令删除。

3、 在“开始”菜单中添加“注销”的功能。

一、建立练习时所需的组织单位与用户帐户。

1、建立一个组织单位taiwan.。

2、在TAIWAN组织单位内新建一用户帐户TONY。

3、在TAIWAN组织单位内新建一个组织单位SALES。

4、在SALES组织单位内新建一个用户帐户SCOTT。

二、设置与测试组策略的功能。

在TAIWAN组织单位内建立一GPO，然后利用TAIWAN组织单位的用户TONY登录，测试 GPO是否有效。

然后再利用下一层的SALES组织单位内的用户SCOTT测试，是否继承 TAIWAN的GPO设置。

A、在TAIWAN组织单位内建立一个GPO，名称为taiwan policy.。

1、利用ADMINISTRATOR帐户登录。

2、开始——程序——管理工具——活动目录用户和计算机——双击域名—— TAIWAN组织单位——属性——组策略——新建GP0，命名taiwan policy。

B、更改TAIWAN POLICY设置 1、选中“TAIWAN POLICY”——单选“编辑”。

2、用户配置——管理模板——任务栏和‘开始’菜单。

3、双击右则“从‘开始’菜单删除‘帮助‘命令。

” 4、出现属性对话框——启用。

5、确定，完成设置。

C、测试TONY帐户，以及SCOTT帐户是否继承了TAIWAN POLICY组策略。

三、测试组策略的替代功能 在TAIWAN组织单位的下一层组织单位建立一个GPO，然后设置如下：将 将从“‘开始’菜单删除‘帮助‘命令。

”命令禁用。

A、在SALES组织单位内建立一个新GPO 1、利用ADMINISTRATOR帐户登录。

2、开始——程序——管理工具——活动目录用户和计算机——双击域名——在 TAIWAN下的SALES组织单位单鼠标右键——属性——组策略——新建（命名： tainwan-sale policy）——编辑。

3、 出现“组策略”窗口——用户配置——管理...

系统组策略中的软件限制策略是什么？

对于Windows的组策略，也许大家使用的更多的只是“管理模板”里的各项功能。

对于“软件限制策略”相信用过的筒子们不是很多。

软件限制策略如果用的好的话，相信可以和某些HIPS类软件相类比了。

如果再结合NTFS权限和注册表权限，完全可以实现系统的全方位的安全配置，同时由于这是系统内置的功能，与系统无缝结合，不会占用额外的CPU及内存资源，更不会有不兼容的现象，由于其位于系统的最底层，其拦截能力也是其它软件所无法比拟的，不足之处则是其设置不够灵活和智能，不会询问用户。

下面我们就来全面的了解一下软件限制策略。

本系列文章将从以下几方面为重点来进行讲解： ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们先介绍Windows组策略中的软件限制策略的概述、附加规则和安全级别。

1、概述 使用“软件限制策略”，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。

通过 散列规则、证书规则、路径规则和Intenet 区域规则，就用程序可以在策略中得到标识。

默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允许的”。

在本文中我们主要用到的是路径规则和散列规则，而路径规则呢则是这些规则中使用最为灵活的，所以后文中如果没有特别说明，所有规则指的都是路径规则。

2、附加规则和安全级别 ·附加规则 在使用 软件限制策略 时，使用以下规则来对软件进行标识： ·证书规则 软件限制策略可以通过其签名证书来标识文件。

证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。

它们可以应用到脚本和 Windows 安装程序包。

可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。

·路径规则 路径规则通过程序的文件路径对其进行标识。

由于此规则按路径指定，所以程序发生移动后路径规则将失效。

路径规则中可以使用诸如 %pogamfiles% 或 %systemoot% 之类环境变量。

路径规则也支持通配符，所支持的通配符为 * 和 ？。

·散列规则 散列是唯一标识程序或文件的一系列定长字节。

散列按散列算法算出来。

软件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根据文件的散列对其进行标识。

重命名的文件或移动到其他文件夹的文件将产生同样的散列。

例如，可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。

文件可以被重命名或移到其他位置并且仍然产生相同的散列。

但是，对文件的任何篡改都将更改其散列值并允许其绕过限制。

软件限制策略将只识别那些已用软件限制策略计算过的散列。

·Intenet 区域规则 区域规则只适用于 Windows 安装程序包。

区域规则可以标识那些来自 Intenet Exploe 指定区域的软件。

这些区域是 Intenet、本地计算机、本地 Intanet、受限站点和可信站点。

以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。

系统存在一个由所有规则共享的指定文件类型的列表。

默认情况 下列表中的文件类型包括：ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ，所以对于正常的非可执行的文件，例如TXT JPG GIF这些是不受影响的，如果你认为还有哪些扩展的文件有威胁，也可以将其扩展加入这里，或者你认为哪些扩展无威胁，也可以将其删除。

如何打开组策略控制台？

方法一：1、在开始菜单中打开运行，或者直接按win+r键盘组合键打开。

2、然后，在运行框中输入 gpedit.msc 之后，点击确定或者直接按键盘上的回车键。

3、这时，组策略编辑器就打开了。

可以进行设置了。

4、如果记不住组策略编辑器的命令，可以用下面的方法。

方法二：1、搜索方式。

这种方法是比较简单的。

首先打开开始菜单，在开始菜单的最下文有一个小的搜索框。

点击一下这个搜索框，使其处于输入状态。

2、在这个搜索框中输入 “编辑组” 三个字。

然后搜索结果会在上方显示，或者直接输入完成后按回车键，这样可以即时搜索，加快搜索的速度。

3、搜索结果在上方出现了，即编辑组策略。

这就是组策略编辑器的程序入口。

可以直接用鼠标左键点击它，然后就能进入组策略编辑器了。

提示：第一种方法，最简单，最常用。

建议日常可用此方法。

第二种方法，较简单，较常用，如果忘记了编辑器命令，可以采用此方法打开。

如何访问必须的组策略设置？

要访问必须的组策略设置，你必须打开“组策略对象编辑器”（ Goup Policy Oject Edito）。

因此，请单击“开始”“所有程序”“附件”（ 英文操作系统是Stat All Pogams Accessoies，笔者用得是英文系统）。

下一步，输入MMC命令。

这会使Windows打开一个空的微软管理控制台（Micosoft Management Console）。

在控制台打开后，从“文件（File）”菜单中选择“添加删除管理单元”（ Add Remove Snap-In）。

从管理单元列表中选择组策略对象（Goup Policy Oject）选项，然后单击“添加（Add）”按钮。

默认情况下，这个管理单元会连接到本地计算机策略（Local Compute policy），因此直接单击“确定（ok）”，然后单击“完成（Finish）”即可。

本地计算机策略会被装载到控制台中。

现在，导航到“计算机配置” “管理模板” “系统” “设备安装” “设备安装限制”（英文系统是找到 Compute Configuation Administative Templates System Device Installation Device Installation Restictions）。

在如此操作时，细节窗格会显示几个与安装硬件设备相关的几个限制，如下图所示： 有许多与限制设备安装相关的设置。

这些设置并非必然地、特定地与可移动设备相关联，而是从总体上与硬件设备相关联。

这里的基本思想也就是，如果你限制了用户安装设备，也就阻止了任何你没有专门启用的设备。

我在安装一个软件时 提示要修改组策略才能安装 具体没说修改哪,怎...

我简单说一下吧：1、打开组策略，定位到计算机配置——Windows设置——安全设置——软件限制策略——其他规则（注：如没有，请右键选中软件限制策略从中新建），在右边空白右键新建新散列规则，跟着浏览找到要限制运行的程序确定即可。

这是对文件的散列规则作的限制，文件改名，转移路径也不能运行。

2、组策略定位到用户配置——管理模板——系统，在右边找到“不要运行指定的Windows程序”双击打开属性，选择启用，点击显示，把要限制运行的应用程序的文件名添加进来即可。

此方法惟不足的就是文件改名后不能限制。

希望能给予你帮助

域组策略分发软件,各种设置都按照网上设置来做,但是客户端就是...

系统策略是windows9X/NT的说法，windows2000/XP/2003叫组策略解决方法开始“运行”输入“gpedit.msc”打开组策略，然后计算机配置（用户配置也需要设置）管理模块-->windows组件-->禁用windows installer-->启用-->从不设置详细说明停止或限制 Windows Installer 的使用。

这个设置可以防止用户在系统上安装软件或允许用户只安装系统管理员提供的程序。

如果启用这个设置，您可以使用“禁用 Windows Installer”框中的选项来建立安装设置。

--“从不”选项表示 Windows Installer 处于完全启用状态。

用户可以安装和升级软件。

如果此策略没有配置，这是在 Windows 2000 Professional 和 Windows XP Professional 上的 Windows Installer 的默认行为。

--“只用于非经管理的应用程序”选项允许用户安装系统管理员分配的（在桌面上提供的）或发行的（添加到“添加或删除程序”的）程序。

如果此策略没有配置，这是在 Windows Server 2003 家族上的 Windows Installer 的默认行为。

--“总是”选项表示 Windows Installer 处于停用状态。

这个设置只影响 Windows Installer；并不防止用户使用其它方法来安装和升级程序。

2003域的组策略的软件安装默认是不允许用户安装,怎样才能改为允许...

首先他的这个域策略设计的相当好。

1）限制了普通用户随意安装软件，这样就减少了垃圾软件使电脑中毒的机率。

2）这样便于网管集中管理。

让你更好的监控。

对于你要解决的这个问题，你可以通过把普通用户加入到domain administrator组，让他们具有域管理员的权限，他们就可以随意安装软件了。

不过这可是一件非常危险的事情，不建议这样做。

当有人要安装软件时，得要他们先通知你，然后你再远程用你的管理员帐户帮他们安装软件，这样就好了。

要是可以的话，还请你多多指教。

所以，最直接的办法是将域用户帐号加到客户机的本地管理员组或者是Power Users组，绝大多数用户会这样去做，也是推荐的方法。

如果此方法不符合客户的安全规定，也有相对复杂一些的做法，极少数用户会用到：1.记录安装这些软件之前的注册表和文件夹状态2.管理员安装这些软件4.然后在每个注册表键值和文件夹上赋予普通用户相应的权限……除此之外，对于某些软件：可以将软件使用组策略分发给计算机自动安装，用户不必手动安装，但仅限于某些软件，需要经过测试才能使用此方法。

怎么用组策略修改用户的软件使用和网络访问权限？

设置用户访问权限：要赋予本机用户FireYDC对E:\123目录及其所有子目录中的文件有完全控制权限。

在命令提示符对话框中输入“Cacls E:\123 /t /e /c /g FireYDC:f ”命令即可。

替换用户访问权限：将本机用户FireYDC的完全控制权限替换为只读权限。

在命令提示符对话框中输入“ Cacls E:\123 /t /e /c /p FireYDC:r ”命令即可。

撤销用户访问权限：要想撤销本机用户FireYDC对E:\123目录的完全控制权限也很容易，在命令提示符中运行“Cacls E:\123 /t /e /c /r FireYDC”即可。

拒绝用户访问：要想拒绝用户FireYDC访问E:\123目录及其所有子目录中的文件，运行“Cacls E:\123 /t /e /c /d FireYDC”即可。

在组策略的首选项和策略设置之间应该如何进行选择？

组策略设置和首选项的不同之处就在于强制性。

组策略设置是受管理的、强制实施的。

而组策略首选项则是不受管理的、非强制性的。

对于很多系统设置来说，管理员既可以通过策略设置来实现，也可以通过策略首选项来实现，2者有相当一部分的重叠。

那么什么情况下应该用策略首选项，什么情况下应该用策略设置呢？本文将为你解开这个谜团。

========================================= （下文大多数情况下将“组策略的策略设置”简称为“策略”或“策略设置”，将“组策略的策略首选项”简称为“首选项”） 因为首选项和策略在某些管理区域相互重叠，有时候你可以通过多种方法来实现同一个特定的任务。

比如，你可以通过策略来指定必须使用的登录脚本。

在这些脚本中，你可以映射网络驱动器、配置打印机、创建快捷方式、复制文件和文件夹以及执行其他任务。

使用首选项，你可以不需要通过登录脚本就完成相同的任务。

那么，应该选择哪一种方法呢？嗯，真相是没有一个标准答案，确实是这样，这取决于你想怎么做。

在下面的章节中，我将告诉你一些大致的指导意见。

当在同一个GPO中的策略和首选项发生冲突时，基于注册表的策略通常会获胜。

对于不基于注册表的策略和首选项来说，最后写入的那个值获胜（这取决于策略与首选项的客户端扩展执行的顺序）判断策略设置是否是基于注册表的方法很简单，因为所有基于注册表的策略设置都定义在管理模板（Administative Templates） 中。

设备安装 通过策略设置，你可以通过阻止用户安装驱动程序的方法来限制用户安装某些特定类型的硬件设备。

你可以指定某个经过许可的设备可以被安装（根据设备的硬件ID），也可以阻止特定设备的安装（还是根据设备的硬件ID）。

这些策略设置仅对Windows Vista及更高版本有效，可在Compute Configuation\Policies\Administative Templates\System\Device Installation Restictions下找到。

（注：中文版为“计算机配置\策略\管理模版\系统\设备安装限制”） 虽然这些限制措施能阻止新设备的安装，或阻止一个设备在拔下后并重新插入时的重新安装，但并不能阻止已存在设备的运行。

使用首选项，你可以禁用设备类（Device Classes）、某个设备、端口类（Pot Classes）以及某个端口，但不能阻止驱动程序的载入。

相关的首选项设置可以在Compute|Use Configuation\Pefeences\Contol Panel Settings\Devices下找到。

（注：中文版为“计算机|用户配置\首选项\控制面板设置\设备”） 虽然用首选项可以禁用设备和端口，这并不会阻止设备驱动程序的安装。

它也不会阻止具有相应权限的用户通过设备管理器（Device Manage）启用设备或端口。

然而，因为组策略默认会以同样的时间间隔来刷新策略设置和首选项，首选项设置会在下一次刷新组策略的时候被重新应用。

这样，除非你特别指定该首选项只应用一次且不再重新应用，该设置会每90-120分钟被应用一次。

如果你想完全锁定并阻止某个特定设备被安装和使用，可以将策略设置和首选项配合起来使用：用首选项来禁用已安装的设备，并通过策略设置阻止该设备驱动程序的重新载入。

最后要指出的是，这里提到的策略设置仅对Windows Vista或更高版本生效，而首选项则可以对安装了组策略首选项客户端扩展（Client-side Extension fo Goup Policy Pefeences）的任何计算机生效。

文件和文件夹 通过策略可以为重要的文件和文件夹创建特定的访问控制列表（ACL）。

然而，只有目标文件和文件夹存在情况下，ACL才能被应用。

这种策略设置可以应用于任何支持组策略的计算机上。

你可以在Compute Configuation\Policies\Windows settings\Secuity Settings\File System下找到。

（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\文件系统”） 使用首选项，你可以管理文件和文件夹。

对于文件，你可以通过从源计算机复制的方法来创建、更新、替换或删除一个文件或文件夹。

对于文件夹，还可以指定在创建、更新、替换或删除操作时，是否删除文件夹中现存的文件和子文件夹。

文件和文件夹首选项可以应用于任何安装了组策略首选项客户端扩展的计算机上。

对于文件，你可以在Compute|Use Configuation\Pefences\Windows Settings\Files下找到。

对于文件夹，你可以在Compute|Use Configuation\Pefences\Windows Settings\Foldes下找到。

（注：中文版对应的位置分别是“计算机|用户配置\首选项\Windows设置\文件”和“计算机|用户配置\首选项\Windows设置\文件夹”） 小技巧：组策略还提供了可用于.ini 配置文件和快捷方式的首选项。

用于.ini文件的首选项仅限于修改.ini文件中特定分支的特定属性值。

快捷方式首选项可用于创建文件、文件夹、URL以及在特定Shell对象（例如桌面）的快捷方式。

所以，最佳方案是同时使用文件和文件夹的策略和首选项。

你可以用首选项来创建一个文件或文件夹，并通过策略对刚创建的文件或文件夹设置ACL。

此外，对于文件和文件夹，应该选择“只应用一次而不再重新应用”。

否则，创建、更新、替换或者删除的操作会在下一次组策略刷新时被重新应用...