windows的组策略

运行：gpedit.msc

简介：

　所谓组策略，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。 　　注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 　　其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大

你妈。。。原来这里可以删除回收站啊

在网吧里运行不能用的话。。可以在组策略里调

还有啥用这玩意啊。。。貌似这个脚本登录吊。。重启后。。可执行任意脚本

===========================================================

管理员组策略的安全配置

1.设置用户权限

　　当多人共用一台计算机时，设置用户权限，可以按照以下步骤进行： 在“组策略”窗口依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限指派”

2.禁止访问注册表编辑器

　　为了防止他人修改你的注册表，我们可以在组策略中禁止访问注册表编辑器，具体步骤如下：

　　依次展开“用户配置”→“管理模板”→“系统”，然后在右边窗口中找到并双击“阻止访问注册表编辑器”项，并将其设置为“已启用”，这样用户在试图启动注册表编辑器时，系统将提示：注册编辑已被管理员停用。

　 另外，如果你的注册表编辑器被锁死，也可以双击此设置，在弹出对话框的“设置”标签中点选“未被设置”项，这样你的注册表就可以解锁了。如果要防止用户使用其他注册表编辑工具打开注册表，请双击启用“只运行许可的Windows应用程序”，这样用户只能运行您所指定的程序了。

3.隐藏或删除资源管理器中的项目

一直以来，资源管理器就是Windows系统中最重要的工具，如何高效、安全地管理资源也一直是电脑用户的不懈追求。依次展开“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”项，可以看到“Windows资源管理器”节点下的所有设置。比如“文件夹选项”是资源管理器中一个重要的菜单项，通过它可修改文件的查看方式，编辑文件类型的打开方式，为了防止他人随意更改，可将此菜单项删除，我们找到并双击启用“从‘工具’菜单删除‘文件夹选项’菜单”便能完成这一设置；此外，双击启用“隐藏Windows资源管理器上下文菜单上的‘管理’项目”项则可以屏蔽电脑中的“管理”菜单；我们还可以通过启用“隐藏‘我的电脑’中的这些指定的驱动器”来隐藏你指定的驱动器；双击启用“不要将已删除的文件移到‘回收站’”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有讲到，大家可根据需要自行探讨，进行适当的配置]

 4.我们可以从“控制面板”中的“添加或删除程序”项目中安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序，可利用组策略来实现。

　　依次展开“用户配置”→“管理模板”→“控制面板”→“添加/删除程序”

5.如果不希望别人对IE浏览器的设置随意更改，可以将“‘工具’菜单：禁用‘Internet选项...’”策略启用。具体设置步骤如下：

　　依次展开“用户配置”→“管理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”，然后在右边窗口中启用“‘工具’菜单：禁用‘Internet选项...’”菜单项即可

　　另外，根据个人的需要，在该窗格中还可以禁用其他项目（例如隐藏IE收藏夹，在文件菜单中禁用另存为、新建、打开等）。


==========================================

1.重命名管理账户

    “计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”，在右侧分别双击“重命名系统管理员帐户”、“重命名来宾帐户”策略，在弹出的对话框上重新输入一个帐户名即可重命名Administrator和Guest帐号。

2.用账户锁定策略

　　 有些黑客会利用帐户词典和密码词典远程破解Windows帐户以便通过IPC$或终端服务远程登录到Windows，启用帐户锁定策略可以有效防止黑客通过这种方法远程破解Windows帐户。打开组策略编辑器，依次展开“计算机配置”|“Windows设置”|“安全设置”|“帐户策略”|“帐户锁定策略”，在右侧双击“帐户锁定阈值”，在弹出的对话框上输入“5”（登录失败5次被猜测的帐户将被锁定），接着，再双击“账户锁定时间”，在弹出的对话框输入“30”（30分钟之后锁定将被解除），这样，就可有效地防止黑客利用软件采用穷举法远程破解Windows帐户。

3.启用密码策略

　　 从上面的介绍可以看出Windows帐户和密码的重要性，但是大多数Windows用户的帐户使用的却是“弱口令”（密码极易被破解的口令），甚至有些用户的Administrator帐户是空口令。为了防止帐户和密码设置上的“轻率”，使你的Windows帐户有一个复杂的密码，建议按以下方法启用密码策略：打开组策略编辑器，依次展开“计算机配置”|“Windows设置”|“安全设置”|“帐户策略”|“密码策略”，双击相应的策略，在弹出的对话框上启用“密码必须符合复杂性要求”策略，并设置密码长度的最小值为8个字符，强制密码历史为3个，密码最长存留期为30天。