域策略
导航
一、设置客户端壁纸
-
在客户端创建文件夹
-
点击策略组管理
-
在组策略里面选择编辑,在用户配置-首选项-windows设置-文件夹,然后新建,操作那里选择
创建
并输入好对应的信息,应用并确定
-
此时,在客户端
win+r
调出运行窗口,输入cmd并回车。打开cmd窗口后, 输入gpupdate /force
刷新一下就可以看到我们的文件夹了
-
-
在新创文件夹里把背景图片散发
-
创建一个文件夹,将背景图片放进去,然后右击
属性
,点击共享
这一选项卡里的共享
这一选项,然后把everyone添加进来,应用并确定
-
复制自己共享文件的网络路径,网络位置可以右击此文件,选择属性,然后在共享这一选项栏里查看比方说我的是
\\DC01\image
,然后在组策略里用户配置-首选项-windows设置-文件,右键选择新建->文件,在操作里选择创建,然后填入对应信息,应用并确定
-
在客户端打开cmd窗口输入
gpupdate /force
,即可看到照片
-
-
将这个图片作为客户端的背景
- 点击
桌面
这一选项卡,再双击桌面墙纸
,选择已启用
,填好壁纸文件,样式选择填充
,最后应用并确定
- 回到客户端重新注销登录即可生效
- 点击
二、重定向用户配置文件路径
- 以重定向桌面为例子
- 打开我们的策略组管理,右击编辑进入到策略组编辑器,选择用户配置->windows 设置->文件重定向,右击
桌面
,选择属性
,在设置里选择基本-将每个人的文件夹重定向到同一个位置
,并填写好你想要桌面想要存放的位置,应用并确定即可
那么用户登录之后,就不会在C盘生成它的一个用户根目录
全部选择是即可;- 域服务器的更新策略默认是5分钟,客户端的更新策略默认是90分钟,想要立刻见效就需要打开cmd窗口输入
gpupdate /force
这时候会跳出一个确认提示,输入y并回车即可
三、部署网络打印机
- 直接在左下搜索框搜索
打印管理
,就回来到我们的打印界面
安装好的驱动程序,它会默认出现在这个打印管理服务器上 - 右键选择
使用组策略部署
- 点击
浏览
选择我们这个默认策略,再勾选应用此 GPO 的计算机(每台计算机)(P)
,选择添加,点击应用,会弹出成功的提示框,确定即可
- 确定完之后,打开cmd窗口输入
gpupdate /force
强制刷新一下
按y确定
四、部署共享文件夹为网络驱动器
简单来说就是把共享文件夹映射成一个磁盘
- 右击需要共享的文件夹,选择
属性
,在共享
选项卡里选择高级共享
,勾上共享此文件夹
,最后应用并确定
- 进入策略组管理,右击并选择编辑进入策略组管理编辑器,在用户配置-首选项-windows设置-驱动器管理,右击选择新建-映射驱动器。在该窗口,操作选择
新建
,位置填我们共享文件夹的网络位置,驱动器号自己可以预设.,最后应用并确定
- 接下来去客户端打开cmd窗口,输入
gpupdate /force
强制刷新一下就能看到新的磁盘了- 右击该文件夹,选择属性,在共享这一选项栏里选择共享,添加对应用户并设置对应的权限,最后应用并确定即可
- 右击该文件夹,选择属性,在共享这一选项栏里选择共享,添加对应用户并设置对应的权限,最后应用并确定即可
五、通过域策略推送软件安装
不推荐通过域策略推送软件
理由:
- 只能推送msi格式,无法推送exe
- 存在人为输入,会安装失败(例如需要输入服务地址
推送软件的方式
- 通过推送安装包到客户端,然后开机运行脚本,让用户自行安装
- 通过微软的SCCM程序,或者其他第三方产品(功能类似SCCM)
六、通过域策略限制软件的使用
限制使用方法:
- 一个是通过路径来限制使用
- 一个是通过进程来限制使用
通过路径进行限制
-
进入策略组管理,编辑默认策略,进入用户配置-策略-windows设置-安全设置-软件限制策略-安全级别
-
不允许 无论用户的访问权如何,软件都不会运行。 基本用户 允许程序访问一般用户可以访问的资源,但没有管理员的访问权, 不受限 软件访问权由用户的访问权来决定。
-
-
接着右击选择路径限制即可,这里不过多赘述
通过进程限制
- 进入策略组管理,编辑默认策略,进入用户配置-策略-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-双击系统-选择下面的 不运行指定的windows应用程序。在弹出的窗口里选择已启动,点击显示,填入对应的完整进程名(可以先运行一下该程序,然后打开任务管理器查看该进程名称),比如WeChat.exe
- 接下来去客户端打开cmd窗口,输入
gpupdate /force
强制刷新一下就可以了
七、通过域策略将文件添加白名单
避免一些脚本被杀毒中心删除/隔离
通过路径排除
- 打开·策略组管理,编辑默认设置,,进入计算机配置-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-windows组件-windows Defender 防病毒程序-排除项,选择路径排除,配置选择已启用,点击显示,把脚本所在的位置填入值名称
八、通过域策略添加可信任站点
开启禁止用户添加或删除站点
打开·策略组管理,编辑默认设置,,进入计算机配置-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-windows组件-点击internet explorer-安全区域:禁止用户添加或删除站点,在配置里选择已启用,最后确认便可以开启
- 若是用户没有受到此限制的时候,
win+r
并回车调出运行窗口,输入inetcpl.tpl
查看internet属性,在安全选项栏可以看到站点并自行添加/删除
管理员添加站点
打开·策略组管理,编辑默认设置,,进入计算机配置-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-windows组件-Internet Explorer-Internet控制面板-点击安全页-站点到区域分配列表,配置选择已启用,点击显示,将对应的网站地址填入到值名称,值填2
(代表本地可信用站点)
九、通过域策略禁止用户修改IP地址
十、通过域策略禁止移动存储设备
打开·策略组管理,编辑默认设置,,进入计算机配置-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-系统-可移动存储访问-所有可移动存储类:拒绝所有权限,在选项里面选择已启用
,最后应用并确定就好了
接下来去客户端打开cmd窗口,输入 gpupdate /force
强制刷新一下就可以了