组策略和一些部署

组策略

1. 禁止研发部使用USB 禁止登录到其他计算机

2. 销售部可移动磁盘加密

3. 财务部的ntfs加密

4. 强制密码策略，经理使用颗粒化密码策略，大于十位以上

5. 杀毒软件

6. 修改所有服务器额的默认端口

7. 部署所有用户工作环境

8. 漫游用户配置文件

禁用研发部USB

1. 在组策略里，创建研发部的gpo并连接

2. 编辑策略

3. 找到可移动磁盘存储访问权限

4. 编辑后如果需要立即实现可以使用强制更新，命令为gpupdate /force

禁止登录到其他计算机

1. 找到研发部的用户然后打开用户属性，其中选择账户里面的登录到

销售部员工使用bitlocker加密

1. 划分一个磁盘专门用来存储机密数据文件，并且启用bitlocher加密

2. 输入密码后下一步便可以完成加密

财务部使用NTFS权限加密自己的文件

对着自己使用的文件夹进行右键属性然后选择常规里的高级，然后选择加密数据

强制密码策略和更改经理级别的使用颗粒化密码策略

1. 强制密码策略，在组策略对象上创建新的GPO并编辑

2. 找到密码更改策略这里进行相应的设置

3. 最后链接GPO

4. 选择刚新建的GPO

使用颗粒化密码策略

1. 打开ADSI编辑器并连接，最后找到密码设置

2. 开始新建密码策略（即对象）

3. 设置密码的

4. 设置密码的历史长度

5. 设置密码复杂度

6. 设置密码最小长度

7. 密码最短使用期限

8. 密码最长使用期限

9. 账户锁定阈值

10. 账户锁定时间

11. 重置账户锁定计数器

12. 完成后打开属性

13. 将其策略应用到经理部门

14. 最后使用强制更新使其立即生效：gpupdate /force

更改端口号

1. 打开注册表找到路径：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]并且修改portnumber的值

2. 然后在修改注册表下[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]中portnumber的值

部署用户工作环境

1. 禁止打开命令提示符，注册表，和运行不必要的程序

2. 部署个性化设置

3. IE浏览器的相关设置

4. IE浏览器高级安全设置

5. 修改开始菜单设置是否可以显示或运行的程序等

6. 设置登录选项以显示是否首次登录

用户漫游配置

1. 首先需要在服务器上创建一个共享文件夹profiles

2. 打开active directory管理中心并找到即将配置的漫游用户

3. 配置文件

4. 然后在域内一台计算机登录此账户

5. 服务器端已经生成漫游用户文件

6. 用户有权限的话可以自己更改配置文件

强制用户漫游配置

1. 使用户如先前那样配置好，然后更改环境并登录，注销

2. 然后再用具有域管理员组权限或者企业管理权限的账户登录

3. 找到用户配置文件

4. 在这之前需使用一个小工具，才可以选择复制到

5. 然后更改，需要更改权限即将账户本身添加进来

6. 然后打开user文件夹并将隐藏的文件显示出来，最后更改ntuser.dat重命名为ntuuser.man，即成功配置完成