windows2008R2-AD域控组策略设置与其它相关设置
防火墙设置
修改>计算机配置>策略>安全设置>高级安全windows防火墙>高级安全windows防火墙
修改入站规则
1.组名-文件和打印机共享(SMB-In)>允许
2.组名-文件和打印机共享(回显请求-ICMP4)>允许
修改连接安全规则
名称 内网连接 终点1任何IP 终点2 下列IP---如:192.168.19.0/24
协议类型任何 身份验证 不进行身份验证
解决远程桌面反应慢
修改>计算机配置>管理模板>Windows组件>远程桌面服务>远程桌面会话主机>安全
- 远程(RDP)连接要求使用指定的安全层,改为启用,安全层选择RDP。
- 要求使用网络级别的身份验证对远程连接的用户进行身份验证,改为禁用。
桌面与我的文档移动至D盘并建立隐藏的outlook目录
@echo off
for /f "tokens=1,2,* " %%i in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Desktop" ^| find /i "Desktop"') do set "useDesktop=%%k"
echo 注册表值为%useDesktop%
if exist D:\ (if "%useDesktop%"=="D:\我的文档\Desktop" (goto createurl2 )else (goto nofile)) else (goto createurl1)
echo test
goto startend
:nofile
md D:\我的文档
md D:\我的文档\Documents
md D:\我的文档\Desktop
md D:\我的文档\Music
md D:\我的文档\Downloads
md D:\我的文档\Pictures
md D:\我的文档\Videos
md D:\我的文档\Favorites
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Desktop" /t REG_EXPAND_SZ /d D:\我的文档\Desktop /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Favorites" /t REG_EXPAND_SZ /d D:\我的文档\Favorites /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "My Music" /t REG_EXPAND_SZ /d D:\我的文档\Music /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "My Video" /t REG_EXPAND_SZ /d D:\我的文档\Videos /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "My Pictures" /t REG_EXPAND_SZ /d D:\我的文档\Pictures /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Personal" /t REG_EXPAND_SZ /d D:\我的文档\Documents /f
taskkill /im explorer.exe /f
ping -n 2 127.0.0.1 > nul
start c:\windows\explorer.exe
goto createurl2
::无D盘时创建url
:createurl1
echo 创建C盘url
set path=file://xinlong-server/
set name=艾酷奇文件共享
set m2="%USERPROFILE%\Desktop\%name%.url"
echo %m2%
echo [InternetShortcut] >%m2%
echo URL="%path%" >>%m2%
echo IconIndex=0 >>%m2%
echo IconFile=C:\Windows\ikrusher\Server_cloud.ico >>%m2%
echo IDList= >>%m2%
echo HotKey=0 >>%m2%
goto startend
::存在D盘时创建url
:createurl2
echo 创建D盘url
set path=file://xinlong-server/
set name=艾酷奇文件共享
set m2=%useDesktop%\%name%.url
echo [InternetShortcut] >%m2%
echo URL="%path%" >>%m2%
echo IconIndex=0 >>%m2%
echo IconFile=C:\Windows\ikrusher\Server_cloud.ico >>%m2%
echo IDList= >>%m2%
echo HotKey=0 >>%m2%
goto startend
:startend
)
创建桌面快捷方式
复制域ICO到本地,解决多次从服务取文件的资源浪费
@echo off
if not exist C:\Windows\ico\Server_cloud.ico goto nofile
goto startend
:nofile
md C:\Windows\ico\
copy \\bangtuo.com\SysVol\bangtuo.com\Policies\Server_cloud.ico C:\Windows\ico\Server_cloud.ico
copy \\bangtuo.com\SysVol\bangtuo.com\Policies\Server_plan.ico C:\Windows\ico\Server_plan.ico
:startend
创建桌面快捷方式
@echo off
for /f "tokens=1,2,* " %%i in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Desktop" ^| find /i "Desktop"') do set "useDesktop=%%k"
echo 注册表值为%useDesktop%
set "path=file://192.168.1.252/"
set "name=252共享"
set m="%useDesktop%\%name%.url"
echo [InternetShortcut] >%m%
echo URL="%path%" >>%m%
echo IconIndex=0 >>%m%
echo IconFile=C:\Windows\ico\Server_cloud.ico >>%m%
echo IDList= >>%m%
echo HotKey=0 >>%m%
for /f "tokens=1,2,* " %%i in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Desktop" ^| find /i "Desktop"') do set "useDesktop=%%k"
echo 注册表值为%useDesktop%
set "path=file://192.168.1.152/"
set "name=152共享"
set m="%useDesktop%\%name%.url"
echo [InternetShortcut] >%m%
echo URL="%path%" >>%m%
echo IconIndex=0 >>%m%
echo IconFile=C:\Windows\ico\Server_plan.ico >>%m%
echo IDList= >>%m%
echo HotKey=0 >>%m%
2008域控服务器筛选器操作代码
关于查询语法问题
- 开始-运行-输入:wbemtest 回车
- 单击"连接", 输入:root\cimv2 回车; 或者ROOT\SecurityCenter
- 单击"查询", 输入:SELECT * FROM Win32_OperatingSystem 注:(如果出现错误则说明语法错误)
win7_32
select * from Win32_OperatingSystem where Version Like "6.1%" and OSArchitecture = "32-bit" and productType = "1"
win7_64
select * from Win32_OperatingSystem where Version Like "6.1%" and OSArchitecture = "64-bit" and productType = "1"
win7andXPand繁体
select * from Win32_OperatingSystem where (Version like "6.1%" or Version like "5.1%") and ProductType="1" and Codeset="950"
命令行添加DHCP保留
netsh dhcp server 172.10.10.4 scope 192.168.19.0 add reservedip 192.168.19.44 1c872c562d13 xfit.yingjucn.com 兴发机房-李淦威 BOTH
参数说明
172.10.10.4 服务器地址
192.168.19.0 作用域
BOTH 双向 可选参数:{DHCP | BOOTP | BOTH}指定该作用域和 IP 范围所服务的客户端类型。默认值为 DHCP。
时间服务器设置
相关的时间服务器地址:cn.ntp.org.cn 时间同步服务器 time.asia.apple.com苹果的时间服务器
注Nt5DS表示用域服务器时间
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters]
"Type"="NTP"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config]
"AnnounceFlags"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
关于墙纸的设置(当前墙纸地址)
[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\\Users\\liganwei\\AppData\\Roaming\\Microsoft\\Windows\\Themes\\TranscodedWallpaper.jpg"
关于AD域重定向加域的默认容器
redircmp ou=所有计算机,dc=bangtuo,dc=com
设置时间服务器
在gpedit.msc,启动NTP服务与客户端,并配置NTP时间地址,时间类型NTP,完成后在可以执行w32tm /resync进行测试
其它相关的设置
计算机配置
Windows 组件/Internet Explorer/Internet 控制面板/安全页/Internet 区域显示
对可能不安全的文件显示安全警告 已启用
启动程序和不安全的文件 提示
允许文件下载 已启用
允许文件下载 启用
在 IFRAME 中启动应用程序和文件 已启用
在 IFRAME 中启动应用程序和文件 提示
Windows 组件/Internet Explorer/Internet 控制面板/安全页/Intranet 区域显示
对可能不安全的文件显示安全警告 已启用
启动程序和不安全的文件 提示
允许文件下载 已启用
允许文件下载 启用
Windows 组件/Internet Explorer/Internet 控制面板/安全页/本地计算机区域显示
策略 设置 注释 在 IFRAME 中启动应用程序和文件 已启用
在 IFRAME 中启动应用程序和文件 提示
Windows 组件/Internet Explorer/兼容性视图显示
使用 Internet Explorer 7 站点的“策略列表” 已启用
站点列表
172.10.10.7
172.10.20.8
文件系统的审核日志筛选设置
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[
(
Data[@Name='ObjectType']='File'
and
Data[@Name='ObjectServer']='Security'
) ]]</Select>
</Query>
</QueryList>
用户配置
Windows 设置 注册表 创建 属性配置单元 HKEY_CURRENT_USER
注册表项路径 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range8
值名称 :Range 值类型 REG_SZ 数值数据 172.10.10.7
创建 属性配置单元 HKEY_CURRENT_USER
注册表项路径 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range8
值名称 https 值类型 REG_DWORD 数值数据 0x2 (2)
创建 属性配置单元 HKEY_CURRENT_USER
注册表项路径 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range9
值名称 :Range 值类型 REG_SZ 数值数据 172.10.20.8
创建 属性配置单元 HKEY_CURRENT_USER
注册表项路径 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range9
值名称 https 值类型 REG_DWORD 数值数据 0x2 (2)
快捷方式
计算机策略
@echo off
if not exist C:\Windows\ico\Server_cloud.ico goto nofile
goto startend
:nofile
md C:\Windows\ico\
copy \\bangtuo.com\SysVol\bangtuo.com\Policies\Server_cloud.ico C:\Windows\ico\Server_cloud.ico
copy \\bangtuo.com\SysVol\bangtuo.com\Policies\Server_plan.ico C:\Windows\ico\Server_plan.ico
:startend
用户策略
@echo off
for /f "tokens=1,2,* " %%i in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Desktop" ^| find /i "Desktop"') do set "useDesktop=%%k"
echo 注册表值为%useDesktop%
set "path=file://192.168.1.252/"
set "name=252共享"
set m="%useDesktop%\%name%.url"
echo [InternetShortcut] >%m%
echo URL="%path%" >>%m%
echo IconIndex=0 >>%m%
echo IconFile=C:\Windows\ico\Server_cloud.ico >>%m%
echo IDList= >>%m%
echo HotKey=0 >>%m%
for /f "tokens=1,2,* " %%i in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Desktop" ^| find /i "Desktop"') do set "useDesktop=%%k"
echo 注册表值为%useDesktop%
set "path=file://192.168.1.152/"
set "name=152共享"
set m="%useDesktop%\%name%.url"
echo [InternetShortcut] >%m%
echo URL="%path%" >>%m%
echo IconIndex=0 >>%m%
echo IconFile=C:\Windows\ico\Server_plan.ico >>%m%
echo IDList= >>%m%
echo HotKey=0 >>%m%
在内网无禁上网的设备时 (注:部分上网的微信软件等会用到http的80)
禁用网页ip安全策略(只能一个生效)
策略-windows设置-安全设置-ip安全策略(IP安全策略只能一个生效)
Client-添加规则-(注意先后顺序)
添加筛选器-名:阻止http-镜像否-协议TCP 到此端口80-筛选操作阻止
添加筛选器-名:允许内网的http-镜像否-源地址:我的IP-目标准地址:一个特定与子网:192.168.0.0/20 协议TCP 到此端口80-筛选操作允许
修改用户的目录权限
icacls D:\我的文档\%username%\Contacts /grant "Domain Admins":(OI)(CI)F
icacls D:\我的文档\%username%\Desktop /grant "Domain Admins":(OI)(CI)F
icacls D:\我的文档\%username%\Documents /grant "Domain Admins":(OI)(CI)F
icacls D:\我的文档\%username%\Downloads /grant "Domain Admins":(OI)(CI)F
icacls D:\我的文档\%username%\Favorites /grant "Domain Admins":(OI)(CI)F
icacls D:\我的文档\%username%\Links /grant "Domain Admins":(OI)(CI)F
icacls D:\我的文档\%username%\Music /grant "Domain Admins":(OI)(CI)F
icacls D:\我的文档\%username%\Pictures /grant "Domain Admins":(OI)(CI)F
icacls D:\我的文档\%username%\Searches /grant "Domain Admins":(OI)(CI)F
icacls D:\我的文档\%username%\Videos /grant "Domain Admins":(OI)(CI)F
