域策略-计算机配置-帐号密码策略
此配置建议直接修改Default Domain Policy (DDP默认只用来做帐号密码策略,其他全部再都单独链接)
默认界面
不需要重启。
用户配置-首选项-将程序/共享文件夹的快捷方式放到桌面
下面用IE来做测试。
起始位置可不填
删除如此即可
用这个方法还可以删除任意位置的快捷方式。
共享文件夹
删除同理
计算机策略-禁止U盘/CD等访问。
按需勾选。
计算机配置-开机公告
计/用策略-首选项-客户端电脑只允许特定域用户登录
方法1:
点进用户账号设置。
如果登录其他电脑会提示。
方法二:
用用户配置也是可以的,不一定要计算机配置。
这个是演示,实际你可以指定某个部门的用户组。
计/用策略-首选项-用户帐号/组加入/删除客户端远程管理组
右击本地用户与组-新建本地组-Remotedesktopusers
添加
删除
计/用策略-首选项-用户帐号/组加入/删除客户端管理员组
右击-本地用户与组-新建组-选择Administrators
添加组或者用户
删除:
如果用用户策略的首选项的话。
可以这样操作。
这里的添加当前用户和删除当前用户可以直接在用户登录的时候实现。
计算机策略-脚本-添加用户账号并加紧管理员组
@echo off
net user adminfxxk Suzhou123 /add
net localgroup administrators adminfxxk /add
Pause
一般来说,企业里比如默认有一个账号,jica。
就脚本里禁用。
net user administrator /active:no
net user jica /active:yes
net user jica abcd#202208
net localgroup administrators jica /add
计算机策略-Powershell开启脚本运行
计算机配置-策略-管理模板-Windows Powershell >策略脚本执行>启用脚本执行。
已启用
用户配置-首选项-默认显示我的电脑、网络、我的文档图标
效果如图。
回收站默认就有,所以没弄,也可以弄,然后再把回收站默认图标移除。
原生图标
路径的话参考下面的脚本里的,支持win10和win7两种系统。
快捷方式
其他差不多,只有用户文件稍微有点不一样。
用户配置-登录脚本-默认显示我的电脑、网络、我的文档图标
@echo off
ver | find "5.1." > NUL && goto xp
ver | find "6.1." > NUL && goto win7&win10
ver | find "10.0." > NUL && goto win7&win10
:win7&win10
echo off
echo 显示用户的文件
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {59031a47-3f72-44a7-89c5-5595fe6b30ee} /t REG_DWORD /d 0 /f
echo 显示计算机
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 0 /f
echo 显示网络
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {F02C1A0D-BE21-4350-88B0-7367FC96EF3C} /t REG_DWORD /d 0 /f
echo 显示控制面板
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} /t REG_DWORD /d 0 /f
echo 显示回收站
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {645FF040-5081-101B-9F08-00AA002F954E} /t REG_DWORD /d 0 /f
:xp
rem 默认显示我的电脑、网络、我的文档图标
rem 我的电脑
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_Dword /d 0 /f
rem 网上邻居
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v {208D2C60-3AEA-1069-A2D7-08002B30309D} /t REG_Dword /d 0 /f
rem 我的文档
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v {450D8FBA-AD25-11D0-98A8-0800361B1103} /t REG_Dword /d 0 /f
rem IE
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v {871C5380-42A0-1069-A2EA-08002B30309D} /t REG_Dword /d 0 /f
最终效果对比:
下面除了回收站,其他都是用用户配置的注册表显示出来的。
用户配置-首选项-添加应用程序或脚本进启动项
用户配置-通过路径禁止软件运行
平时用到基本就是哈希或路径,后者更常用。
用户配置-首选项-驱动器映射
用户配置-统一桌面壁纸
先在文件服务器设置一个共享文件夹
用户配置-禁止程序运行
修改程序名就能跑了。这个没办法。
用户配置-首选项-更改电源计划
用户配置-开启自动锁屏
用户配置 -管理模板 -控制面板 -个性化
启用三个
启动脚本-客户端自动登录
启动脚本-客户端自动登录.bat
@echo off
set username=test
set password=abc123,
set domainname=xifan.com
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v autoadminlogon /t Reg_sz /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t reg_sz /d %username% /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t reg_sz /d %domainname% /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t reg_sz /d %password% /f
pause
exit
策略恢复脚本:
@echo off
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v autoadminlogon /t Reg_sz /d 0 /f
exit
启动脚本-改变文件夹权限
启动脚本-改变文件夹权限.bat
@echo off
rem 不改变原来c:\test文件夹的权限,增加users的完全控制权限,包括子文件夹。
rem 输入文件夹路径
set x=d:\123
echo yes|cacls %x% /t /e /g "domain users":f >nul
pause
exit
rem 直接替换原权限为
set y=
echo yes|cacls %y% /t /p user:f >nul
pause
exit
夺取文件夹权限为管理员组所有.bat
@echo off
rem 将夺取文件夹权限为管理员所有
takeown /f d:\123 /r /d y /a
exit
撤销权限脚本
rem 撤销制定用户权限
set z=d:\123
echo yes|cacls %x% /t /e /r "domain users" >nul
pause
exit
启动脚本-修改某项注册表项权限为任何人控制
@echo off
echo 必须有一个7,把注册表直接设置成任何人可修改
echo "HKEY_CURRENT_USER\Software\Adobe" [1 7 17] >%temp%\regini.ini
regini %temp%\regini.ini
del %temp%\regini.ini /q
pause
策略恢复脚本:
@echo off
echo 必须有一个8,把注册表直接设置成任何人只读权限
echo "HKEY_CURRENT_USER\Software\Adobe" [1 8 17] >%temp%\regini.ini
regini %temp%\regini.ini
del %temp%\regini.ini /q
Pause
启动脚本-Win7/Win10开启Telnet
dism /online /Enable-Feature /FeatureName:TelnetClient
关闭:
dism /online /disable-Feature /FeatureName:TelnetClient
登录脚本-复制共享文件夹至本地文件夹
注意脚本名字不要设置成xcopy,不然会无限循环。
@echo off
if exist d:\everything%username% (exit) else (goto xcopy )
:xcopy
md d:\everything%username%
xcopy \\172.168.1.80\ad通用工具 d:\everything%username% /e /y >nul
exit
策略恢复脚本:
@echo off
if exist d:\everything%username% (goto xcopy) else (exit)
:xcopy
rd d:\everything%username% /s /q >nul
exit
登录脚本-IE通常配置
登录脚本-IE通常配置.bat
@echo off
rem IE配置包含"关闭弹出窗口阻止程序" "取消IE安全设置-站点-对该区域中的所有站点要求服务器验证https" 信任站点activex 配置 "添加域名式" "从位于一下位置的其他程序打开链接 1表示当前窗口中的新选项卡" "遇到弹出窗口时,始终在新选项卡中打开弹出窗口 2表示始终在新选项卡中打开弹出窗口" "当创建新选项卡时,始终切换到新选项卡" "打开代理" "排除网站+本地" "通用这个代理"
rem 关闭弹出窗口阻止程序
reg add "HKCU\Software\Microsoft\Internet Explorer\New Windows" /v PopupMgr /t REG_dword /d 0 /f
rem 取消IE安全设置-站点-对该区域中的所有站点要求服务器验证https
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v Flags /t Reg_DWORD /d 67 /f
rem 信任站点activex 配置
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v CurrentLevel /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1001 /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1004 /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1201 /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1209 /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 120A /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 120B /t REG_DWORD /d 3 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 2201 /t REG_DWORD /d 0 /f
echo 添加域名式 http://www.qq.com
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\qq.com\www" /v http /t Reg_DWORD /d 2 /f
rem 从位于一下位置的其他程序打开链接 1表示当前窗口中的新选项卡
reg add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v ShortcutBehavior /t REG_Dword /d 1 /f
rem 遇到弹出窗口时,始终在新选项卡中打开弹出窗口 2表示始终在新选项卡中打开弹出窗口
reg add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v PopupsUseNewWindow /t REG_Dword /d 2 /f
rem 当创建新选项卡时,始终切换到新选项卡
reg add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v Openinforeground /t REG_Dword /d 1 /f
策略恢复脚本:
@echo off
rem 打开弹出窗口阻止程序
reg add "HKCU\Software\Microsoft\Internet Explorer\New Windows" /v PopupMgr /t REG_dword /d 1 /f
rem 打勾IE安全设置-站点-对该区域中的所有站点要求服务器验证https
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v Flags /t Reg_DWORD /d 71 /f
登录脚本-IE代理禁止上网
开启代理屏蔽80端口.bat
@echo off
rem "打开代理" "排除网站+本地" "通用这个代理"
rem 打开代理
echo.
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_Dword /d 1 /f
echo.
rem 排除网站+本地
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v Proxyoverride /t REG_SZ /d "www.baidu.com;www.qq.com;<local>" /f
echo.
rem 通用这个代理
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v Proxyserver /t REG_SZ /d "127.0.0.1:80" /f
同时打开这个组策略
策略恢复脚本:
@echo off
rem 关闭代理
echo.
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_Dword /d 0 /f
用户配置-文件夹重定向
注:建议只配置收藏夹,其他一律通过共享方式备份
客户端那边可能要注销两次才看得到结果。
除非做下面的配置。
计算机策略-域内计算机处于非公司网络无法登录
注:域控服务器无法联系时也会无法登陆(谨慎操作)
设置为0即无法操作。
此操作为禁止缓存。
默认数值是10,指可以缓存10个账号,不是一个账号登录10次。
综上所述,要想让员工长期出差,不但能正常通过域账号登陆电脑外,回来公司后还不脱离域,需要做如下2点即可:
A、域账号设置为“密码永不过期”即可。
B、因密码缓存为180天,所以出差人员必须在6个月内回来总部一次,一般出差也不会超过6个月,超过6个月就可以考虑脱域了。(2003的墓碑时间为60天,2008以后都改为了180天)
计算机策略-开启关闭防火墙
客户端:
域组策略,计算机配置”—>“策略”—>”管理模板“—>“网络”-->“网络连接”—>“Windows防火墙”—>“域配置文件”。
此处也可以对防火墙做一定的设置。
计算机策略-开启远程桌面
再
防火墙策略允许远程桌面连接。域组策略,计算机配置”—>“策略”—>”管理模板“—>“网络”-->“网络连接”—>“Windows防火墙”—>“域配置文件”,“windows防火墙:允许入站远程桌面例外,状态改为“已启用”,在选项中的“允许来自这些IP地址的未经请求的传入消息:中填写“*”,意为允许所有IP连接
计算机策略-开启远程协助
新建一条组策略。
计算机策略 >策略 >管理模板 >系统 >远程协助
右侧全部启用。
这条根据实际情况选择。
添加一个允许远程协助的账号。
可以而看到 Remote Assistance Helpers里已经有刚才添加的账号了。
最好是设置一个组,把账号添加进去就可以了。
计算机配置-禁止Win7以上系统管理员访问网卡
计算机配置用户配置-强制处理GPO&慢速连接的GPO&配置组策略慢速连接检测
客户端计算机在处理组策略的设置时,会将不同类型的策略交给不同的DLL来负责处理与应用,这些DLL被称为CSE。CSE处理其所负责的策略时,只会处理上次处理过的最新变动策略。当你在GPo内对用户做了某项限制,在用户因为这个策略而收到限制之后,若用户自行将此限制删除,则当下一次用户计算机应用策略时,客户端的CSE会因为GPO内的策略设置值并没有变动而不处理此策略,因而无法自动将用户自行修改的设置改回来。
解决方法:强制处理GPO,无法该策略的设置值是否发生变化。
计算机配置-计算机启动和登录时总是等待网络
注:
用户登录时,系统默认并不会等待网络启动完成后再通过域用户来验证用户,而是直接读取本地缓存区的账号数据来验证用户,以便让用户快速登陆。之后等网络启动完成,系统就会自动在后台应用策略。不过因为文件夹重定向策略与软件安装策略需要在登陆时候才有作用,所以这些策略应用可能要登陆两次。
若用户账号内被指定使用漫游用户配置文件、主目录或登录脚本,则该用户登录时,系统会等网络启动完成才让用户登录。
若用户第一次在此计算机登陆,因缓存区没有该用户的账号数据,故必须等网络启动完成,此时就可以取得最新的组策略设置值。
启用计算机配置,可以让用户在本地有缓存的情况下先等待网络启动完成再登录,从而只需要登陆一次就直接生效
计算机配置-环回处理模式
注:用于跨OU登录计算机时用户配置如何生效。此条一般未配置即可,除非特别情况需要更改。
计算机配置-添加IE安全站点&ActiveX配置
用户配置-更改管理GPO的域控制器
方法1.
方法2.
用户配置-IE浏览器首页
登录脚本-映射共享文件夹到驱动器并改名
登录脚本-映射共享文件夹到驱动器并改名.bat
@echo off
net use x: \\192.168.1.160\share2016
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.160#share2016 /v _LabelFromReg /t reg_sz /d "文件服务器" /f
exit
策略恢复脚本:
@echo off
net use x: /del
exit