一、编辑组策略
   1、允许用户登陆本计算机
        在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。用gpupdate /force 命令刷新。
   2、拒绝用户访问运行、CMD、以及批处理文件。
        1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。用gpupdate /force 命令刷新。
        2、在要设定的域控制器点击右键→属性→组策略→编辑策略→用户配置→管理摸板→系统→阻止用户访问命令提示符→继续点击下面的的选项→是否拒绝使用批处理文件处理→选择“是”。用gpupdate /force 命令刷新。

二、拒绝继承权限
   1、在下一级的OU上→属性→组策略→禁止策略的继承。用gpupdate /force 命令刷新。三、强制继承
   1、在上一级的OU上→属性→组策略→选项→禁止替代钩上。用gpupdate /force 命令刷新。四、过滤用户(特定的人群)
   1、在要设定的OU上→属性→组策略→属性→安全→添加用户→给予权限→拒绝组策略。用gpupdate /force 命令刷新。五、桌面管理
   1、在要设定的OU上→属性→组策略→编辑组策略→用户配置→管理模板→桌面→Active desktop→启用Active desktop→启用Active desktop墙纸→输入对应的主机的地址和共享文件。
   2、用户配置→管理模板→系统→CTRL+ALR+DEL选项。六、密码策略
   1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→(1、密码策略 2、帐户锁定策略)七、组策略脚本
   1、当用户启动时→启动脚本→登陆脚本
   2、当用户注销时→注销脚本→关机脚本
   3、wscript.echo"内容"  后缀改为“VBS”
      1、建立脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→用户配置(计算机配置)→WINDOWS设置→脚本→双击登陆→显示文件→把脚本文件拖进去→3、在点击添加→写入文件名就可以了。8、文件重定向
   1、漫游文件→用户→右健属性→配置文件→输入文件夹路径→在指定的计算机上→创建文件夹→共享→以及共享权限→安全权限→在计算机上注销。
   2、文件夹重定向→1、不管从哪一台机器登陆,都可以访问所需的数据。2、数据集中存储     创建帐号→在指定OU上→右键属性→组策略→编辑组策略→用户配置→WINDOWS设置→文件重定向→我的文档→配置
9、强制漫游
   找到指定文件→NTUSER.DAT改MAN10、权限委派
   1、 在OU上→右键委派→添加帐号(MARY)→删除、创建
    在指定OU上→右键控制委派→添加帐号(TOM)→删除、创建→策略管理
   2、删除委派→ 查看→高级→在OU上→属性→安全→高级→删除权限11、软件分发(SMS) (后缀名为MSI)
   1、软件分发的好处:1、自动安装   2、自动修复    3、自动升级     4、远程删除
   2、软件分发的方式:1、发布给用户 2、指派给用户  3、指派给计算机
   3、软件发布的过程:1、在指定OU上新建帐号→建立共享(软件)→建立组策略→编辑→用户配置→软件设置→软件安装→右键属性→UNC                         路径→右键新建程序包→发布(添加程序里面)→指派(在开始菜单)→部署下面(登陆安装)
                         升级软件→右建软件→高级→升级→客户端验证
   4、非MSI后缀的软件安装:先在服务器上安装软件→在安装高级安装程序→
         1、程序包封装不完整  解决1、把下载注册表监视器  2、给于权限
   5、让特殊的人有特殊的权限:在指定的OU上→组策略→计算机配置→WINDOWS设置→安全设置→文件系统→右键添加→用户
                             注册表→DOMAIN USERS
   6、软件限制
       1、建立哈希规则→组策略→用户配置→WINDOWS设置→安全设置→软件限制策略→其他规则→本文出自 “ 夕阳≮沧海” 博客,请务必保留此出处 http://yeyao.blog.51cto.com/1157197/263800本文出自 51CTO.COM技术博客