域策略

导航

一、设置客户端壁纸

  1. 在客户端创建文件夹

    1. 点击策略组管理
      image-20240530103249139

    2. 在组策略里面选择编辑,在用户配置-首选项-windows设置-文件夹,然后新建,操作那里选择 创建并输入好对应的信息,应用并确定
      image-20240530103815043

    3. 此时,在客户端 win+r调出运行窗口,输入cmd并回车。打开cmd窗口后, 输入 gpupdate /force刷新一下就可以看到我们的文件夹了
      image-20240530153801796

  2. 在新创文件夹里把背景图片散发

    1. 创建一个文件夹,将背景图片放进去,然后右击 属性,点击共享这一选项卡里的共享这一选项,然后把everyone添加进来,应用并确定
      image-20240530155046827

    2. 复制自己共享文件的网络路径,网络位置可以右击此文件,选择属性,然后在共享这一选项栏里查看比方说我的是 \\DC01\image,然后在组策略里用户配置-首选项-windows设置-文件,右键选择新建->文件,在操作里选择创建,然后填入对应信息,应用并确定
      image-20240530160556266

    3. 在客户端打开cmd窗口输入 gpupdate /force,即可看到照片
      image-20240530160836154

  3. 将这个图片作为客户端的背景

    1. 点击桌面这一选项卡,再双击 桌面墙纸,选择 已启用,填好壁纸文件,样式选择 填充,最后应用并确定
      image-20240530161420804
    2. 回到客户端重新注销登录即可生效

二、重定向用户配置文件路径

  1. 以重定向桌面为例子
  2. 打开我们的策略组管理,右击编辑进入到策略组编辑器,选择用户配置->windows 设置->文件重定向,右击 桌面,选择 属性,在设置里选择 基本-将每个人的文件夹重定向到同一个位置,并填写好你想要桌面想要存放的位置,应用并确定即可
    image-20240531102441452
    那么用户登录之后,就不会在C盘生成它的一个用户根目录
  3. image-20240531102701524
    image-20240531102841262
    全部选择是即可;
  4. 域服务器的更新策略默认是5分钟,客户端的更新策略默认是90分钟,想要立刻见效就需要打开cmd窗口输入 gpupdate /force
    image-20240531103428722
    这时候会跳出一个确认提示,输入y并回车即可

三、部署网络打印机

  1. 直接在左下搜索框搜索 打印管理,就回来到我们的打印界面image-20240531160415825
    安装好的驱动程序,它会默认出现在这个打印管理服务器上
  2. 右键选择 使用组策略部署
    image-20240531160610442
  3. 点击 浏览选择我们这个默认策略,再勾选 应用此 GPO 的计算机(每台计算机)(P),选择添加,点击应用,会弹出成功的提示框,确定即可
    image-20240531161043049
    image-20240531161151661
  4. 确定完之后,打开cmd窗口输入gpupdate /force 强制刷新一下
    image-20240531165048335
    按y确定

四、部署共享文件夹为网络驱动器

简单来说就是把共享文件夹映射成一个磁盘

  1. 右击需要共享的文件夹,选择 属性,在 共享选项卡里选择 高级共享,勾上 共享此文件夹,最后应用并确定
    image-20240601100223209
  2. 进入策略组管理,右击并选择编辑进入策略组管理编辑器,在用户配置-首选项-windows设置-驱动器管理,右击选择新建-映射驱动器。在该窗口,操作选择 新建,位置填我们共享文件夹的网络位置,驱动器号自己可以预设.,最后应用并确定
    image-20240601103513497
  3. 接下来去客户端打开cmd窗口,输入 gpupdate /force 强制刷新一下就能看到新的磁盘了
    • 右击该文件夹,选择属性,在共享这一选项栏里选择共享,添加对应用户并设置对应的权限,最后应用并确定即可
      image-20240601105246353

五、通过域策略推送软件安装

不推荐通过域策略推送软件

理由:

  1. 只能推送msi格式,无法推送exe
  2. 存在人为输入,会安装失败(例如需要输入服务地址

推送软件的方式

  1. 通过推送安装包到客户端,然后开机运行脚本,让用户自行安装
  2. 通过微软的SCCM程序,或者其他第三方产品(功能类似SCCM)

六、通过域策略限制软件的使用

限制使用方法:

  1. 一个是通过路径来限制使用
  2. 一个是通过进程来限制使用

通过路径进行限制

  1. 进入策略组管理,编辑默认策略,进入用户配置-策略-windows设置-安全设置-软件限制策略-安全级别

    • 不允许 无论用户的访问权如何,软件都不会运行。
      基本用户 允许程序访问一般用户可以访问的资源,但没有管理员的访问权,
      不受限 软件访问权由用户的访问权来决定。
  2. 接着右击选择路径限制即可,这里不过多赘述

通过进程限制

  1. 进入策略组管理,编辑默认策略,进入用户配置-策略-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-双击系统-选择下面的 不运行指定的windows应用程序。在弹出的窗口里选择已启动,点击显示,填入对应的完整进程名(可以先运行一下该程序,然后打开任务管理器查看该进程名称),比如WeChat.exe
    image-20240602111130303
  2. 接下来去客户端打开cmd窗口,输入 gpupdate /force 强制刷新一下就可以了

七、通过域策略将文件添加白名单

避免一些脚本被杀毒中心删除/隔离

通过路径排除

  1. 打开·策略组管理,编辑默认设置,,进入计算机配置-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-windows组件-windows Defender 防病毒程序-排除项,选择路径排除,配置选择已启用,点击显示,把脚本所在的位置填入值名称
    image-20240604095114016

八、通过域策略添加可信任站点

开启禁止用户添加或删除站点

打开·策略组管理,编辑默认设置,,进入计算机配置-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-windows组件-点击internet explorer-安全区域:禁止用户添加或删除站点,在配置里选择已启用,最后确认便可以开启image-20240604101843497

  • 若是用户没有受到此限制的时候,win+r并回车调出运行窗口,输入 inetcpl.tpl查看internet属性,在安全选项栏可以看到站点并自行添加/删除

管理员添加站点

打开·策略组管理,编辑默认设置,,进入计算机配置-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-windows组件-Internet Explorer-Internet控制面板-点击安全页-站点到区域分配列表,配置选择已启用,点击显示,将对应的网站地址填入到值名称,值填2(代表本地可信用站点)
image-20240604103035302

九、通过域策略禁止用户修改IP地址

十、通过域策略禁止移动存储设备

打开·策略组管理,编辑默认设置,,进入计算机配置-管理模板:从本地计算机中检索的策略定义(ADMX 文件)。-系统-可移动存储访问-所有可移动存储类:拒绝所有权限,在选项里面选择已启用,最后应用并确定就好了
image-20240613091718487

接下来去客户端打开cmd窗口,输入 gpupdate /force 强制刷新一下就可以了