组策略禁止修改IP及计算机名
禁止修改IP:
在XP中,可以:
1.点击开始,打开“运行”在运行栏中输入“gpedit.msc”(引号内的内容)然后确定,打开了组策略.
2.点击用户配置下的“管理模板”----网络----网络连接.
3.把“禁止访问LAN连接的属性”和“为管理员启用windows2000 网络连接设置”均改成已启用.
4.OK,再看看你的本地连接属性已经成为灰色的了.
但是,这个方法在Windows 7中就失效了!!
在“开始/运行”中输入“Cmd.exe”,确认后打开CMD窗口,在其中分别执行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”命令,就可以将上述控件从系统中卸载。当然,如果以后需要修改IP地址的话,可以上述控件逐一注册即可。注册的方法很简单,只要将上述命令中的“/u”参数去掉,就可以执行注册操作了。例如执行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注册。
禁止修改计算机名称:
在XP中,可以:
1.点击开始,打开“运行”在运行栏中输入“gpedit.msc”(引号内的内容)
然后确定,打开了组策略.
2.点击用户配置下的“管理模板”----桌面.
3.把"从'我的电脑'上下文菜单中移除属性选项"设置为已启用
4.OK,再看看我的电脑属性已经失效了.
运行"—>"gpedit.msc"—>"用户配置"—>"管理摸板"—>"桌面"—>把"从'我的电脑'上下文菜单中移除属性选项"设置为"启用"
另一个版本:
禁止修改IP:
regsvr32 netcfgx.dll /u /s
regsvr32 netshell.dll /u /s
regsvr32 netman.dll /u /s
恢复修改权限:
regsvr32 netcfgx.dll /s
regsvr32 netshell.dll /s
regsvr32 netman.dll /s
2.只要将每台电脑的IP地址和网卡的MAC地址进行绑定即可,操作方法如下:
例如捆绑IP地址“,单击“开始→运行”并在打开的“运行”窗口中敲入“cmd”打开命令行窗口,然后输入以下命令:
捆绑:arp -s 00-50-ff-6c-08-75
解除捆绑:arp -d 另外,如果是在Windows2000的域环境中,可以使用组策略限制用户修改IP地址,并启用DHCP动态分配IP地址。
3.妙招避免IP非法修改
局域网中各工作站的TCP/IP参数,被随意修改后,很容易造成IP地址冲突的现象,这会给局域网管理工作,带来不小的麻烦。那作为网管人员,有没有办法保护好自己的网络,不让别人随意作主――非法修改IP地址呢?其实,很简单,你只要参照下面的步骤,就能轻松避免IP地址被非法修改的麻烦!
注册表设置法
首先,需要将桌面上的“网上邻居”图标隐藏起来,让其他人无法通过“网上邻居”属性窗口,进入到TCP/IP参数设置界面。依次展开注册表编辑窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“PolicIEs”、“Explorer”子键,然后在“Explorer”子键下面,创建一名为“NoNetHood”双字节值,并将它设置为“1”,就可以了。
其次,再将控制面板窗口中的“网络”图标,隐藏起来,那么其他人根本就打不开 TCP/IP参数设置界面了。只要你打开“WindowsSys_tem(去掉
"_")netcpl.cpl”文件,然后在[don"t load]处,输入一行形如
“netcpl.cpl=no”的代码,重新保存后,“网络”图标就从控制面板窗口中消失了。
强大的netsh网络配置命令,可以很方便的用DOS批处理命令来配置本机ip,简单介绍如下: 方法1(简单易操作)、 1、通过netsh -c interface ip dump >c:\ip.txt的方式可以导出本机配置脚本(用来获得各网卡的配置信息,获得初始的配置模板); 2、然后修改配置脚本里的IP修改为需要的IP配置;(可分别留若干个配置文件) 3、然后再netsh -f c:\ip.txt的方式又可以把导出的配置脚本再导回去,实现快速切换IP的目的 方法2(需要了解命令格式)、 示例1将“本地连接”的ip换成192.168.0.107 Netsh int ip set address name="本地连接" source=static addr=192.168.0.107 mask=255.255.255.0 set address name="本地连接" gateway=192.168.0.1 gwmetric=1 解释下 以上设置的addr是IP地址,mask是子网掩码,gateway是网关,gwmetric是默认网关的跃点数 以上实例1命令可以简化成一行dos命令 netsh interface ip set address "本地连接" static 192.168.0.107 255.255.255.0 192.168.0.1 1 示例2 将“本地连接”设为自动获取IP及自动获取DNS Netsh int ip set address name="本地连接" source=dhcp set dns name="本地连接" source=dhcp 以上命令可以简化成两行DOS命令 netsh interface ip set address name="本地连接" source=dhcp netsh interface ip set dns name="本地连接" source=dhcp 示例3 其他例子 Netsh int ip set dns "本地连接" static 192.168.0.1 primary //设置首选DNS为192.168.0.1 set dns "本地连接" static none //清除DNS列表 更多介绍参见下文:
看高手教你如何用命令行更改IP地址 在Windows中,如果你要设置IP地址,一般是进入“本地连接”->“属性”,手动设置要更改的IP地址。其实,在命令行同样可以设置IP地址。如果你的IP需要在几个IP中来回切换,可以使用 netsh 命令更改: 1.进入CMD命令行; 点击“开始”->“运行”,输入“cmd”,回车, 2.设置IP: 设置动态获取IP地址(DHCP) 设置固定IP 参数说明: https://www.doczj.com/doc/dd16185090.html,:网络连接名称,一般为“本地连接”。你可以在“控制面板”->“网络连接”中看到。 2.source:获取IP的途径。动态获取,则为dhcp,手动设置,则为static。 3.addr:要设置的IP地址。 4.mask:子网掩码。 5.gateway:网关地址。 6.gwmetric:网关跃点数,可以设置为整型数值,也可以设置为“自动”:auto。 3.设置DNS: 自动获取DNS
手动设置单个DNS 手动设置多个DNS 参数说明: https://www.doczj.com/doc/dd16185090.html,:网络连接名称,一般为“本地连接”。你可以在“控制面板”->“网络连接”中看到。 2.source:获取IP的途径。动态获取,则为dhcp,手动设置,则为static。 3.addr:要设置的IP地址。 4.register: 5.none: 禁用动态 DNS 注册。 6.primary: 只在主 DNS 后缀下注册。 7.both: 在主 DNS 后缀下注册,也在特定连接后缀下注册。 8.index:设置的DNS的顺序号。 4.编写设置IP/DNS的批处理文件: 知道了如何设置IP和DNS后,你可以自己编写一个BAT文件: 新建一个文本文档,将后缀改为“.bat”; 编辑“.bat”文件的内容为上面的设置命令。例如:
W i n d o w s组策略屏蔽U盘有妙法(图) Windows组策略屏蔽U盘有妙法(图) 笔者在一家区级法院网络中心工作,为确保局域网内的计算机安全,省高院要求全省联网的法院客户端的机器光软驱都要拆除,而且禁止在局域网内使用U 盘。我们知道,现在局域网中使用的操作系统绝大多数都是Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,拆除了光、软驱后,驱动无法安装,U盘也就无法使用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安 装驱动,U盘即插即用。 对于大多数用户来说,这的确很方便,但对于单位有要求的网管来说,就头疼了,现在新买的机器不能总是安装Windows 98吧,毕竟Windows 98就要“下岗”了,但面对U盘,却没有好的办法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不能放过一个”的办法,如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备,那您完全可以采用此方法,不过您以后采购设备的时候要注意了,最好不要采购USB设备,除非咱们网管自己用,哈哈!那有没有简单易行的办法呢?经过一段时间摸索和试验,笔者终于找到了使用修改组策略模板的方法实现此目标。
实现条件 当然这是有前提条件的,首先,您的局域网必须以域为架构(我们知道Windows 2000、Windows XP自己都自带有组策略编辑器,使用组策略编辑器可单独编辑每台机器的策略,而使用域时,只要用户登录到域,就会自动应用策略,在服务器端修改一次,就可以在全域实现管理目标,如果不采用域模式,您需要每台都要设置组策略,失去了效率,也就没有采用的必要了)。 其次,客户端必须以域用户的身份登录网络,且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP,虽然Windows 98也能在域环境下应用组策略,但Windows 2000 Server组策略对Windows 98的支持并不完全,且需要采用两种完全不同的方法分别管理他们,会对您以后的 网络管理带来不便。 特别说明:这里介绍的方法并不适用于Windows 98,只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件,我们就可以利用组策略屏蔽U盘,而对于其他USB设备却无任何影响,笔者在单位实施1年多来,效果很好,现将详细方法介绍出来,希望能给众多网管们提供 一点借鉴。 基本原理
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.doczj.com/doc/dd16185090.html, 这样的目录(如C:\Program Files\https://www.doczj.com/doc/dd16185090.html,\Site Map https://www.doczj.com/doc/dd16185090.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
1.编写DNS设置计算机策略脚本 1)新建文本文档并重命名为computer.bat 2)编辑computer.bat,将以下命令复制进去并保存 netsh interface ip set dns "本地连接" static <首选DNS> netsh interface ip add dns "本地连接" <备选DNS> netsh interface ip add dns "本地连接" addr=<备选DNS 2> index=3 netsh interface ip add dns "本地连接" addr=<备选DNS 3> index=4 2.编写DNS设置用户策略脚本 1)新建文本文档并重命名为user.bat 2)编辑user.bat,将以下命令复制进去并保存 echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip set dns "本地连接" static <首选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" <备选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS2> index=3" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS3> index=4" 3.设置计算机策略 1)依次打开“组策略管理器”—组策略对象—找到对应OU的组策略。 2)右击编辑—“计算机配置”—“策略”—“Windows设置”—“脚 本”—“启动” 3)在弹出的对话框中选择“添加”—“浏览”,将新建的computer.bat复制 进去,选择computer.bat保存确定。 4.设置用户策略
命令行配置IP地址实例! netsh interface ip set address name="本地连接" source=static addr=172.18.14.11 mask=255.255.255.0gateway=172.18.14.254 (注意此处要加空格之后再加1) netsh interface ip set dns "本地连接" static 172.18.1.5 primary // netsh interface ip add dns "本地连接" 只更改网关netsh interface ipset address name="本地连接" gateway=192.168.2.200 gwmetric=1 说明:a.命令中的"本地连接2"的名字不确定,每个人的电脑不同,也就是网络连接的名称; b.本地连接和2 之间有空格; c.引号是在英文状态下的,不是在中文状态下的,请确定在输入引号时的输入法状态为英文方式; b. ip地址子网掩码网关通过网络管理者处可获得; c.网关后面空格,一定要加数字1 通过Netsh里面的dump命令可以直接显示配置脚本。而通过netsh -c interface ip dump >c:\interface.txt的方式可以导出配置脚本。然后再netsh -f c:\interface.txt的方式又可以把导出的配置脚本再导回去。 修改ip,子网掩码,网关,dns。“网络连接名”是你机器上网络属性里看到的连接名,把下面改成自己的连接名。 netsh interface ip set address "网络连接名" static 192.168.0.88 255.255.255.0 192.168.0.1 1 netsh interface ip set dns "网络连接名" static 202.216.224.66 netsh interface ip add dns "网络连接名" 202.216.224.67 如果要改成动态分配ip和自动获得dns使用下面命令。 netsh interface ip set address "网络连接名" dhcp netsh interface ip set dns "网络连接名" dhcp
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
组策略之软件限制策略——完全教程与规则示例 导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘) %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符: Windows里面默认
Linux命令行修改IP、网关、DNS的方法 方式一: ifconfig eth0 192.168.1.18 netmask 255.255.255.0 说明:该种方式可以使改变即时生效,重启后会恢复为原来的IP 方式二: vi /etc/sysconfig/network-scripts/ifcfg-eth0 说明:该方式要重启后生效,且是永久的 如果要立即更改且永久生效,就只能以上两种方式同时使用了。以上是通过linux命令行修改IP的方法。 网卡eth0 IP修改为 102.168.0.1 ifconfig eth0 102.168.0.1 netmask 255.255.255.0 网关修改为 102.168.0.254 route add default gw 102.168.0.254 Linux命令行修改dns echo "nameserver 202.202.202.20 ">> /etc/resolv.conf 重启网络服务 例子:由原来的DHCP改固定IP DEVICE=eth0 HWADDR=00:0C:29:F7:EF:BF ONBOOT=yes TYPE=Ethernet NETMASK=255.255.255.0 IPADDR=192.168.0.68 GATEWAY=192.168.0.1 加上红色即可 重启网卡: /etc/init.d/network restart
ifconfig eth0 新ip 然后编辑/etc/sysconfig/network-scripts/ifcfg-eth0,修改ip [aeolus@db1 network-scripts]$ vi ifcfg-eth0 DEVICE=eth0 ONBOOT=yes BOOTPROTO=static IPADDR=219.136.241.211 NETMASK=255.255.255.128 GATEWAY=219.136.241.254 [aeolus@db1 etc]$ vi resolv.conf nameserver 202.96.128.68 nameserver 219.136.241.206 ----------------------- Linux下修改网卡IP和网关 建议通过终端字符方式下来修改 一修改IP地址 vi /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=none BROADCAST=192.168.1.255 IPADDR=192.168.1.33 NETMASK=255.255.255.0 NETWORK=192.168.1.0 ONBOOT=yes USERCTL=no PEERDNS=no TYPE=Ethernet ~ vi /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1 ONBOOT=yes BOOTPROTO=none IPADDR=192.168.2.34 NETMASK=255.255.255.0 USERCTL=no
Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛,但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生,不过同时也意味着计算机将无法使用其他USB接口的设备,例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前,请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能,则可以按照以下步骤进行操作。 (1)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本 地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安 装—设备安装限制”项,如图1所示。 图1 (3)双击右侧的相应策略,就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略,含义分别如下。 允许管理员忽略设备安装限制策略:这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略,那么不管其他 策略如何设置,都只能影响非管理员账户,而不能影响管理员账户。如 果禁用这条策略,或者保持未被配置的默认状态,那么管理员账户也将 受到其余几条策略的限制。
?允许使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定允许安装的设备类型。简单来说,这条策略等于一个“白名单”,配合其他策略,就可以让Windows 7只安装设备类型在这条策略中批准过的设备,其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定禁止安装的设备类型。简单来说,这条策略等于一个“黑名单”,所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息:这条策略用于决定当有设备被 禁止安装后,在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题:这条策略用于决定当 有设备被禁止安装后,在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备:这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备:这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒 为单位):这条策略用于设置强制重新启动计算机前的倒计时,以便让策略生效。 ?禁止安装可移动设备:这条策略用于决定是否禁止安装任何可移动设备, 而且这条策略的优先级是最高的,只要启用了这条策略,那么不管其他允许策略是如何设置的,可移动设备都将无法被安装。
远程修改组策略 由于管理员的误操作导致了本地策略拒绝所有人登录,如何恢复呢?今天我们就来做这个实验! 首先,我们要做一下的准备工作: 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置,使得任何用户都无法登录。 (1.)在Berlin上,点击开始/运行,输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器,然后点击windows设置/安全设置/本地策略/用户权限分配,如下图所示:
打开以后我们就可以找到拒绝本地登录这一项了,双击打开 打开后点击添加用户和组,把User用户添加进去
点击确定后,注销计算机。 任何的用户都无法登录了,甚至就连大名鼎鼎的管理员也无法登录了! OK!实验正式开始了! 我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务,但计算机默认的telnet服务是关闭的,首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中,右键点击我的电脑,打开计算机管理,然后右键点击:计算机管理(本地)——连接到另一台计算机,如下图:
在选择计算机中输入Berlin的IP地址,然后点击确定。 然后的服务中找到Telnet,
手动启动起来。 OK!我觉得现在的准备工作才算完成了!接下来我们要用Telnet 把Berlin连接过来。 在Florence中,点击开始/运行,输入cmd
键入telnet 192.168.12.103 在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。 完成以后不用着急关闭该提示符。
通过组策略可以实现禁止安装软件,当然通过注册表也是可以实现的,现发2个注册表文件来实现软件的禁止安装与否,有兴趣的可以下载,不需要钱的,放心好了。不想下载的话,也可以自己做一个REG文件。方法如下,新建一个TXT文档,把这些:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头,最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源:自由天空技术论坛,原文链接:https://www.doczj.com/doc/dd16185090.html,/thread-14291-1-1.html 使用方法:将下述代码保存为:*.bat ,*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg
WinXP一键更改IP与MAC地址 前一阵子,因为寝室里要不断更换homeshare主机,改IP和MAC成了一项比较麻烦的工序,因此一直想手动编写一个一键更改IP与MAC的批处理文件,查看一些网上方法,发现并不好用。 如,用netsh interface ip命令,该命令介绍如下: ? -显示命令列表 add -向表中添加一个配置项目 delete -从表中删除一个配置项目 dump -显示一个配置脚本 help -显示命令列表 reset -复位tcp/ip 及相关的组件到到干净的状态 set -设置配置信息 show -显示信息 这里我们只用到set命令 如:netsh interface ip set address "本地连接" static 172.30.40.59 255.255.0.0 172.30.3.21 1 某些机器上名称不是本地连接,而是local address一类的,只要替换上述命令中相关内容即可,IP中三项分别对应IP、掩码、网关,最后的“1”是指默认网关的跃点数,一般为“1”。 这样更改IP工作完成。 注:(该方法仅针对固定IP类型,如非固定IP则将netsh一行用以下命令替换) 1.要将指定适配器的静态地址切换为DHCP 地址,键入以下命令:netsh interface ip set address"本地连接" dhcp 2.更改DNS为192.168.0.1:netsh interface ip set DNS "本地连接" static 192.168.0.1 缺点:该方法虽简单易懂,但执行起来速度并不快,需要看使用者电脑配置而定,其主要原因在于更改IP的命令netsh执行较慢。
Windows 中有了组策略对象后,就有了下面这个让您隐藏指定的驱动器的选项:隐藏“我的电脑”中的这些指定的驱动器。但是,可能只需要隐藏某个驱动器而保留对其他驱动器的访问。 有七个默认的选项可用来限制对驱动器的访问。您可以通过修改默认域策略或任一个自定义组策略对象(GPO) 的System.adm 文件来添加其他限制。七个默认选项是: 仅限制驱动器A、B、C 和D 仅限制驱动器A、B 和C 仅限制驱动器A 和 B 限制所有驱动器 仅限制驱动器C 只限制D 驱动器 不限制驱动器 Microsoft 建议您不要更改System.adm 文件,而要创建一个新的.adm 文件并将此.adm 文件导入到GPO 中。原因是:如果您要对system.adm 文件应用更改,则当Microsoft 在Service Pack 中发布新版本的system.adm 文件时,这些更改可能会被覆盖。 “Implementing Registry-Based Group Policy”(实现基于注册表的组策略)这一白皮书介绍了如何编写自定义.ADM 文件。要查看此白皮书,请访问下面的Microsoft 网站:https://www.doczj.com/doc/dd16185090.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppape r.doc (https://www.doczj.com/doc/dd16185090.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppap er.doc) 默认域策略的System.adm 文件的默认位置是:%SystemRoot%\Sysvol\Sysvol\YourDomainName\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm 这些文件夹的内容会通过文件复制服务(FRS) 复制到整个域中。注意,Adm 文件夹及其内容直到默认域策略首次加载时才填充。 要为七个默认值之一更改此策略,请执行下面的操作步骤: 启动Microsoft 管理控制台。在“控制台”菜单上,单击添加/删除管理单元。 为默认域策略添加组策略管理单元。为此,在屏幕提示您选择组策略对象(GPO) 时,请单击浏览。默认GPO 是本地计算机。您也可以为其他的域分区(具体来说就是组织单位)添加GPO。 打开下面的区域:用户配置、管理模板、Windows 组件和Windows 资源管理器。 单击“隐藏‘我的电脑’中的这些指定的驱动器”。 单击以选中“隐藏‘我的电脑’中的这些指定的驱动器”复选框。 在下拉框中,单击相应的选项。 这些设置会从“我的电脑”、“Windows 资源管理器”和“网上邻居”中删除代表所选硬盘的图标。另外,这些驱动器不会出现在任何程序的打开对话框中。 此策略用于保护某些驱动器(包括软盘驱动器),防止它们被滥用。它也可以用于指引用户
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:
如何修改IP地址 有些地方你的IP被封了,你要怎么才可以改掉IP,然后在去那网站? 第一招:批处理 我们知道在命令行下用netsh命令更改IP的步骤是: 1。在运行栏裡输入cmd打开命令提示符 2。输入netsh 回车 3。输入int ip 回车 4。输入set address name="本地连接" source="static" addr=ip mask=255.255.255.0 Gateway 1 解释一下: set address 是更改IP的命令 name = 你要更改IP的连接名称 source = 设置成静态的IP addr = 要更改成的IP mask=子网掩码 gateway是你的网关IP,后面的1是到达网关的跃点数 等待几秒鐘会出现一个”确定“的信息,表示你的IP已经更改成功了,不信用ipconfig /all 检验一下。 知道了命令的用户我们就可以把它写成批处理如下: @ echo off echo This Programe will change your Ipaddress and Gateway. echo Press any key to continue pause >nul rem 设置变量 set Nic=本地连接 rem //可以根据你的需要更改, set Add=202.96.134.9 rem //可以根据你的需要更改 set Gat=202.96.134.60 netsh interface ip set address name=%Nic% source=static addr=%add% mask=255.255.255.0 %Gat% 1 rem //顺便把DNS也改掉 netsh interface ip set dns name=%Nic% source=static addr=%add% primary echo OK! 注:把上面代码复制到空白的记事本裡,把“Nic=、Add= Gat=”更改成你自己的值然后另存為*.bat即可 第二招利用Dump导出导入配置文件 在命令提示符下输入netsh -c int ip dump >c:\net.txt 然后打开C盘,你将会看到一个net.txt的文本文档打开它会看到下列信息 注:各人电脑上的信息会有所不同 # ---------------------------------- # 介面IP 设定 # ---------------------------------- pushd interface ip # "Local Area Connection" 的介面IP 设定
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。