【AD】實用組策略/腳本集合 (重大更新20160627)
文章原始出處
http://blog.51cto.com/xifanliang/1793576
http://bbs.51cto.com/thread-1170777-1.html
作者:xifalniang
關於組策略的恢復部分。
非首選項的組策略恢復為未配置即可;
首選項的組策略需勾選“不在應用此項目時刪除它”;
腳本必須通過手動反向操作,此次更新會提供所有腳本的反向操作。
以下組策略測試環境
DC為Win2012R2,客戶端為Win7,XPSP3。其他系統未經過充分測試。應用前請自行測試。
註:大部分配置生效可以直接在客戶端用gpupdate /force 命令 不需要重啟 提高測試效率
Ctrl +F 搜索
DC組策略強制刷新腳本
登陸/啟動腳本-測試用
WMI篩選器
備份與還原GPO
針對性應用與拒絕組策略
域策略-計算機配置-帳號密碼策略
計算機配置/用戶配置-強制處理GPO&慢速連接的GPO&配置組策略慢速連接檢測
啟動腳本-修改註冊表項權限為任何人控制
啟動腳本-改變文件夾權限
啟動腳本-客戶端自動登錄
啟動腳本-限制訪問網頁
登錄腳本-IE代理禁止上網
登錄腳本-IE通常配置
登錄腳本-復制共享文件夾至本地文件夾
登錄腳本-磁盤映射
登錄腳本-映射共享文件夾到驅動器並改名
登錄腳本-添加軟件至系統啟動項
計算機策略-開啟Windows更新
計算機策略-關閉防火墻
計算機策略-開啟遠程桌面
計算機策略-禁止U盤/CD等訪問(For Win7+)
計算機策略-首選項-將某個用戶帳號加入本地遠程管理組
計算機策略-首選項-將普通用戶加進客戶端管理員組
計算機策略-首選項-客戶端只允許特定域用戶登錄
計算機策略-域內計算機處於非公司網絡無法登錄
計算機配置-禁止Win7以上系統管理員訪問網卡
計算機配置-開機公告
計算機配置-環回處理模式
計算機配置-計算機啟動和登錄時總是等待網絡
計算機配置 用戶配置 更改組策略的應用間隔時間
用戶配置-IE瀏覽器首頁
用戶配置-禁止XP管理員訪問網卡屬性
用戶配置-默認顯示我的電腦、網絡、我的文檔
用戶配置-統一桌面壁紙
用戶配置-更改管理GPO的域控制器
用戶配置-文件夾重定向
用戶配置-禁止程序運行
用戶配置-通過路徑禁止軟件運行
-----------------------------------
DC組策略強制刷新腳本
在域控用命令“gpupdate /force”更新組策略後,強制更新組策略
@echo off
title 強制更新組策略
:start
echo.
echo.
echo %time%
gpupdate /force
pause
goto start
常開這個
--------------------------------------------------------
登陸/啟動腳本-測試用
修改註冊表需要用管理員權限,所以要設置開機啟動腳本,因為普通user沒有直接修改註冊表的權限。
啟動腳本用的是system權限。
登錄腳本用的是登錄用戶名權限。
Logon.bat
@echo off
rem 該腳本會在登陸系統時在C盤創建一個用戶名加當前日期的文件夾
set y=%date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%time:~3,2%
md "c:\%y%+%username%"
exit
Startup.bat
@echo off
rem 該腳本會在啟動時在C盤根目錄創建一個計算機名稱加日期的文件夾
set y=%date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%time:~3,2%
md "c:\%y%+%computername%"
exit
登錄腳本-IE代理禁止上網
開啟代理屏蔽80端口.bat
@echo off
rem "打開代理" "排除網站+本地" "通用這個代理"
rem 打開代理
echo.
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_Dword /d 1 /f
echo.
rem 排除網站+本地
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v Proxyoverride /t REG_SZ /d "www.baidu.com;www.qq.com;<local>" /f
echo.
rem 通用這個代理
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v Proxyserver /t REG_SZ /d "127.0.0.1:80" /f
同時打開這個組策略
這樣配置了仍然可以用腳本控制。
策略恢復腳本:
@echo off
rem 關閉代理
echo.
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_Dword /d 0 /f
登錄腳本-IE通常配置
登錄腳本-IE通常配置.bat
@echo off
rem IE配置包含"關閉彈出窗口阻止程序" "取消IE安全設置-站點-對該區域中的所有站點要求服務器驗證https" 信任站點activex 配置 "添加域名式" "從位於一下位置的其他程序打開鏈接 1表示當前窗口中的新選項卡" "遇到彈出窗口時,始終在新選項卡中打開彈出窗口 2表示始終在新選項卡中打開彈出窗口" "當創建新選項卡時,始終切換到新選項卡" "打開代理" "排除網站+本地" "通用這個代理"
rem 關閉彈出窗口阻止程序
reg add "HKCU\Software\Microsoft\Internet Explorer\New Windows" /v PopupMgr /t REG_dword /d 0 /f
rem 取消IE安全設置-站點-對該區域中的所有站點要求服務器驗證https
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v Flags /t Reg_DWORD /d 67 /f
rem 信任站點activex 配置
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v CurrentLevel /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1001 /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1004 /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1201 /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1209 /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 120A /t REG_DWORD /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 120B /t REG_DWORD /d 3 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 2201 /t REG_DWORD /d 0 /f
echo 添加域名式 http://www.qq.com
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\qq.com\www" /v http /t Reg_DWORD /d 2 /f
rem 從位於一下位置的其他程序打開鏈接 1表示當前窗口中的新選項卡
reg add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v ShortcutBehavior /t REG_Dword /d 1 /f
rem 遇到彈出窗口時,始終在新選項卡中打開彈出窗口 2表示始終在新選項卡中打開彈出窗口
reg add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v PopupsUseNewWindow /t REG_Dword /d 2 /f
rem 當創建新選項卡時,始終切換到新選項卡
reg add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v Openinforeground /t REG_Dword /d 1 /f
策略恢復腳本:
@echo off
rem 打開彈出窗口阻止程序
reg add "HKCU\Software\Microsoft\Internet Explorer\New Windows" /v PopupMgr /t REG_dword /d 1 /f
rem 打勾IE安全設置-站點-對該區域中的所有站點要求服務器驗證https
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v Flags /t Reg_DWORD /d 71 /f
登錄腳本-復制共享文件夾至本地文件夾
登錄腳本-復制共享文件夾至本地文件夾.bat
@echo off
if exist d:\everything%username% (exit) else (goto xcopy )
:xcopy
md d:\everything%username%
xcopy \\172.168.1.80\ad通用工具 d:\everything%username% /e /y >nul
exit
策略恢復腳本:
@echo off
if exist d:\everything%username% (goto xcopy) else (exit)
:xcopy
rd d:\everything%username% /s /q >nul
exit
計算機策略-開啟Windows更新
計算機策略-關閉防火墻
計算機策略-開啟遠程桌面
計算機策略-禁止U盤/CD等訪問(For Win7+)
計算機策略-首選項-將某個用戶帳號加入本地遠程管理組
計算機策略-首選項-將普通用戶加進客戶端管理員組
策略恢復:
登錄腳本-映射共享文件夾到驅動器並改名
登錄腳本-映射共享文件夾到驅動器並改名.bat
@echo off
net use x: \\192.168.1.160\share2016
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.160#share2016 /v _LabelFromReg /t reg_sz /d "文件服務器" /f
exit
策略恢復腳本:
@echo off
net use x: /del
exit
登錄腳本-添加軟件至系統啟動項
此腳本會回寫完成結果。
登錄腳本-添加軟件至系統啟動項.bat
@echo off
echo 將你需要的目標程序路徑寫在下面(reg add中的內容仍需修改部分,具體請用reg /?查看修改。)
@echo off
color f5
title 註冊表導入腳本
ver | find "4.0." > NUL && goto win95
ver | find "4.10." > NUL && goto win98
ver | find "4.90." > NUL && goto win_me
ver | find "3.51." > NUL && goto win_Nt_3_5
ver | find "5.0." > NUL && goto win2000
ver | find "5.1." > NUL && goto win_xp
ver | find "5.2." > NUL && goto win2003
ver | find "6.0." > NUL && goto vista
ver | find "6.1." > NUL && goto win7
ver | find "6.2." > NUL && goto win8
:win7
rem 判斷操作系統是32位還是64位
if /i "%PROCESSOR_IDENTIFIER:~0,3%"=="X86" (goto win7x86 ) ELSE (goto win7x64)
:win7x64
set name=fuck
set type=reg_sz
set router=C:\Program Files (x86)\abc.exe
set reg=HKCU\software\microsoft\windows\currentversion\run
set y=%date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%time:~3,2%
if exist "%router%" (goto script) else (goto wrong)
:script
reg add "%reg%" /v "%name%" /t "%type%" /d "%router%" /f
if %errorlevel% equ 0 (echo OK+%y%>>\\172.168.1.80\組策略結果回收\登錄腳本-增加ABC啟動項目\成功\"%computername%".txt&goto exit)
if %errorlevel% equ 1 (echo 註冊表未導入成功or可能是權限不足+%y% >>\\172.168.1.80\組策略結果回收\登錄腳本-增加ABC啟動項目\失敗\"%computername%".txt&goto exit)
:wrong
echo 錯誤,不存在該路徑或該文件 >>\\172.168.1.80\組策略結果回收\登錄腳本-增加ABC啟動項目\失敗\"%computername%".txt
goto exit
:exit
exit
策略恢復腳本:
@echo off
set name=
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v %name% /f
exit
計算機策略-首選項-客戶端只允許特定域用戶登錄
計算機策略-域內計算機處於非公司網絡無法登錄
註:域控服務器無法聯系時也會無法登陸(謹慎操作)
計算機配置-禁止Win7以上系統管理員訪問網卡
計算機配置-開機公告
啟動腳本-修改註冊表項權限為任何人控制
@echo off
echo 必須有一個7,把註冊表直接設置成任何人可修改
echo "HKEY_CURRENT_USER\Software\Adobe" [1 7 17] >%temp%\regini.ini
regini %temp%\regini.ini
del %temp%\regini.ini /q
pause
策略恢復腳本:
@echo off
echo 必須有一個8,把註冊表直接設置成任何人只讀權限
echo "HKEY_CURRENT_USER\Software\Adobe" [1 8 17] >%temp%\regini.ini
regini %temp%\regini.ini
del %temp%\regini.ini /q
pause
用戶配置-IE瀏覽器首頁
啟動腳本-改變文件夾權限
啟動腳本-改變文件夾權限.bat
@echo off
rem 不改變原來c:\test文件夾的權限,增加users的完全控制權限,包括子文件夾。
rem 輸入文件夾路徑
set x=d:\123
echo yes|cacls %x% /t /e /g "domain users":f >nul
pause
exit
rem 直接替換原權限為
set y=
echo yes|cacls %y% /t /p user:f >nul
pause
exit
奪取文件夾權限為管理員組所有.bat
@echo off
rem 將奪取文件夾權限為管理員所有
takeown /f d:\123 /r /d y /a
exit
撤銷權限腳本
rem 撤銷制定用戶權限
set z=d:\123
echo yes|cacls %x% /t /e /r "domain users" >nul
pause
exit
啟動腳本-客戶端自動登錄
啟動腳本-客戶端自動登錄.bat
@echo off
set username=test
set password=abc123,
set domainname=xifan.com
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v autoadminlogon /t Reg_sz /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t reg_sz /d %username% /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t reg_sz /d %domainname% /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t reg_sz /d %password% /f
pause
exit
策略恢復腳本:
@echo off
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v autoadminlogon /t Reg_sz /d 0 /f
exit
用戶配置-禁止XP管理員訪問網卡屬性
用戶配置-默認顯示我的電腦、網絡、我的文檔
啟動腳本-限制訪問網頁
啟動腳本-限制訪問網頁.bat
@echo off
echo 127.0.0.1 www.baidu.com >>%systemroot%\system32\drivers\etc\hosts
exit
DNS區域方法
策略恢復腳本:
@echo off
echo a >%systemroot%\system32\drivers\etc\hosts
exit
用戶配置-統一桌面壁紙
先在文件服務器設置一個共享文件夾
域策略-計算機配置-帳號密碼策略
此配置建議直接修改Default Domain Policy (我認為,DDP默認只用來做帳號密碼策略,其他全部再都單獨鏈接)
計算機配置 用戶配置-強制處理GPO&慢速連接的GPO&配置組策略慢速連接檢測
客戶端計算機在處理組策略的設置時,會將不同類型的策略交給不同的DLL來負責處理與應用,這些DLL被稱為CSE。CSE處理其所負責的策略時,只會處理上次處理過的最新變動策略。當你在GPo內對用戶做了某項限制,在用戶因為這個策略而收到限制之後,若用戶自行將此限制刪除,則當下一次用戶計算機應用策略時,客戶端的CSE會因為GPO內的策略設置值並沒有變動而不處理此策略,因而無法自動將用戶自行修改的設置改回來。
解決方法:強制處理GPO,無法該策略的設置值是否發生變化。
用戶配置-更改管理GPO的域控制器
方法1.
方法2.
計算機配置-環回處理模式
註:用於跨OU登錄計算機時用戶配置如何生效。此條一般未配置即可,除非特別情況需要更改。
用戶配置-文件夾重定向
註:建議只配置收藏夾,其他一律通過共享方式備份
客戶端那邊可能要註銷兩次才看得到結果。
除非做下面的配置。
計算機配置-計算機啟動和登錄時總是等待網絡
註:
用戶登錄時,系統默認並不會等待網絡啟動完成後再通過域用戶來驗證用戶,而是直接讀取本地緩存區的賬號數據來驗證用戶,以便讓用戶快速登陸。之後等網絡啟動完成,系統就會自動在後臺應用策略。不過因為文件夾重定向策略與軟件安裝策略需要在登陸時候才有作用,所以這些策略應用可能要登陸兩次。
若用戶賬號內被指定使用漫遊用戶配置文件、主目錄或登錄腳本,則該用戶登錄時,系統會等網絡啟動完成才讓用戶登錄。
若用戶第一次在此計算機登陸,因緩存區沒有該用戶的賬號數據,故必須等網絡啟動完成,此時就可以取得最新的組策略設置值。
啟用計算機配置,可以讓用戶在本地有緩存的情況下先等待網絡啟動完成再登錄,從而只需要登陸一次就直接生效
用戶配置-禁止程序運行
計算機配置 用戶配置 更改組策略的應用間隔時間
註:這個配置只是測試用,生產環境不建議如此配置。
用戶配置-通過路徑禁止軟件運行
WMI篩選器
備份與還原GPO
註:如果還原時提示已存在,請先去Sysvol目錄下刪除對應的組策略
還原默認域GPO和域DC GPO
備份還原組策略的另一種方法
1.通過創建備份計劃備份c:\windows\sysvol\sysvol目錄下的所有組策略和腳本;
2.如果mmc中的鏈接不小心刪除,但你大概知道其GUID,或者即使不知道也沒關系,我們只要在mmc中新建一個組策略,然後將備份文件夾中的組策略文件復制到新的中,就可以直接使用了。
針對性應用與拒絕組策略
應用篇
首選項
組策略
然後需要做如下步驟:
當你是應用計算機策略,把安全篩選中的authticatied users刪掉後,把計算機名稱添加進去後,無需做其他步驟就能應用。
當你是應用用戶策略,把安全篩選中的authticatied users刪掉後,添加對應的用戶名後,再做如下操作:在委派中添加authticatied users或domain computers 的只讀權限,只讀權限,只讀權限。即可。(https://support.microsoft.com/en-sg/kb/3163622 因為這個補丁的關系)
也可以鏈接到用戶或計算機所在的ou
WMI篩選器見上文
拒絕篇
Gpresult /z
gpresult /h c:\abc\abc.html
rsop.msc
【AD】實用組策略/腳本集合 (重大更新20160627)