由于帖子编辑问题,此文章将由博客更新后重新发布。


此贴长期更新,各位也可以回复你常用的实用组策略,如你同意我就直接署名后摘录进文章拉。有错误欢迎指出。一起改进哈。  


关于组策略的恢复部分。

非首选项的组策略恢复为未配置即可;

首选项的组策略需勾选“不在应用此项目时删除它”;

脚本必须通过手动反向操作,此次更新会提供所有脚本的反向操作。


以下组策略测试环境

DC为Win2012R2,客户端为Win7,XPSP3。其他系统未经过充分测试。应用前请自行测试。    


注:大部分配置生效可以直接在客户端用gpupdate /force 命令  不需要重启 提高测试效率 


Ctrl +F  搜索


DC组策略强制刷新脚本

登陆/启动脚本-测试用

WMI筛选器

备份与还原GPO

针对性应用与拒绝组策略



域策略-计算机配置-帐号密码策略

计算机配置/用户配置-强制处理GPO&慢速连接的GPO&配置组策略慢速连接检测


启动脚本-修改注册表项权限为任何人控制

启动脚本-改变文件夹权限

启动脚本-客户端自动登录

启动脚本-限制访问网页


登录脚本-IE代理禁止上网  

登录脚本-IE通常配置

登录脚本-复制共享文件夹至本地文件夹

登录脚本-磁盘映射

登录脚本-映射共享文件夹到驱动器并改名

登录脚本-添加软件至系统启动项


计算机策略-开启Windows更新   

计算机策略-关闭防火墙

计算机策略-开启远程桌面

计算机策略-禁止U盘/CD等访问(For Win7+)

计算机策略-首选项-将某个用户帐号加入本地远程管理组

计算机策略-首选项-将普通用户加进客户端管理员组

计算机策略-首选项-将客户端管理员组清空并重新添加新用户

计算机策略-首选项-客户端只允许特定域用户登录

计算机策略-域内计算机处于非公司网络无法登录

计算机配置-禁止Win7以上系统管理员访问网卡

计算机配置-开机公告

计算机配置-环回处理模式

计算机配置-计算机启动和登录时总是等待网络

计算机配置 用户配置 更改组策略的应用间隔时间


用户配置-IE浏览器首页

用户配置-禁止XP管理员访问网卡属性

用户配置-默认显示我的电脑、网络、我的文档

用户配置-统一桌面壁纸

用户配置-更改管理GPO的域控制器

用户配置-文件夹重定向

用户配置-禁止程序运行

用户配置-通过路径禁止软件运行

-----------------------------------

DC组策略强制刷新脚本

在域控用命令“gpupdate /force”更新组策略后,强制更新组策略

@echo off

title 强制更新组策略

:start

echo.

echo.

echo %time%

gpupdate /force 

pause

goto start

常开这个

--------------------------------------------------------

登陆/启动脚本-测试用

修改注册表需要用管理员权限,所以要设置开机启动脚本,因为普通user没有直接修改注册表的权限。

启动脚本用的是system权限。

登录脚本用的是登录用户名权限。

Logon.bat

@echo off 

rem 该脚本会在登陆系统时在C盘创建一个用户名加当前日期的文件夹

set y=%date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%time:~3,2% 

md "c:\%y%+%username%" 

exit 


Startup.bat

@echo off 

rem 该脚本会在启动时在C盘根目录创建一个计算机名称加日期的文件夹

set y=%date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%time:~3,2% 

md "c:\%y%+%computername%"  

exit 



登录脚本-IE代理禁止上网

开启代理屏蔽80端口.bat

@echo off

rem "打开代理" "排除网站+本地" "通用这个代理"

rem 打开代理

echo.

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_Dword /d 1 /f 

echo.

rem 排除网站+本地

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v Proxyoverride /t REG_SZ /d "www.baidu.com;www.qq.com;" /f

echo.

rem 通用这个代理

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v Proxyserver /t REG_SZ /d "127.0.0.1:80" /f


同时打开这个组策略

【AD】实用组策略/脚本集合 (20160627)_第1张图片这样配置了仍然可以用脚本控制。



策略恢复脚本

@echo off

rem 关闭代理

echo.

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_Dword /d 0 /f 




登录脚本-IE通常配置

登录脚本-IE通常配置.bat

@echo off

rem IE配置包含"关闭弹出窗口阻止程序" "取消IE安全设置-站点-对该区域中的所有站点要求服务器验证https" 信任站点activex 配置 "添加域名式" "从位于一下位置的其他程序打开链接 1表示当前窗口中的新选项卡" "遇到弹出窗口时,始终在新选项卡中打开弹出窗口 2表示始终在新选项卡中打开弹出窗口" "当创建新选项卡时,始终切换到新选项卡" "打开代理" "排除网站+本地" "通用这个代理"


rem 关闭弹出窗口阻止程序

reg add "HKCU\Software\Microsoft\Internet Explorer\New Windows" /v PopupMgr /t REG_dword /d 0 /f 


rem 取消IE安全设置-站点-对该区域中的所有站点要求服务器验证https

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v Flags /t Reg_DWORD /d 67 /f


rem 信任站点activex 配置

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v CurrentLevel /t REG_DWORD /d 0 /f

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1001 /t REG_DWORD /d 0 /f

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1004 /t REG_DWORD /d 0 /f

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1201 /t REG_DWORD /d 0 /f

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 1209 /t REG_DWORD /d 0 /f

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 120A /t REG_DWORD /d 0 /f

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 120B /t REG_DWORD /d 3 /f

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zones\2" /v 2201 /t REG_DWORD /d 0 /f


echo 添加域名式 http://www.qq.com

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\qq.com\www" /v http /t Reg_DWORD /d 2 /f


rem 从位于一下位置的其他程序打开链接 1表示当前窗口中的新选项卡

reg add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v ShortcutBehavior /t REG_Dword /d 1 /f 


rem 遇到弹出窗口时,始终在新选项卡中打开弹出窗口 2表示始终在新选项卡中打开弹出窗口

reg add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v PopupsUseNewWindow /t REG_Dword /d 2 /f


rem 当创建新选项卡时,始终切换到新选项卡

reg add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v Openinforeground /t REG_Dword /d 1 /f


策略恢复脚本

@echo off

rem 打开弹出窗口阻止程序

reg add "HKCU\Software\Microsoft\Internet Explorer\New Windows" /v PopupMgr /t REG_dword /d 1 /f 

rem 打勾IE安全设置-站点-对该区域中的所有站点要求服务器验证https

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v Flags /t Reg_DWORD /d 71 /f




登录脚本-复制共享文件夹至本地文件夹

登录脚本-复制共享文件夹至本地文件夹.bat

@echo off

if exist d:\everything%username% (exit) else (goto xcopy )

:xcopy

md d:\everything%username%

xcopy \\172.168.1.80\ad通用工具 d:\everything%username% /e /y >nul

exit



策略恢复脚本

@echo off

if exist d:\everything%username% (goto xcopy) else (exit)

:xcopy

rd d:\everything%username% /s /q >nul

exit


计算机策略-开启Windows更新

【AD】实用组策略/脚本集合 (20160627)_第2张图片

【AD】实用组策略/脚本集合 (20160627)_第3张图片



计算机策略-关闭防火墙

【AD】实用组策略/脚本集合 (20160627)_第4张图片

【AD】实用组策略/脚本集合 (20160627)_第5张图片



计算机策略-开启远程桌面

【AD】实用组策略/脚本集合 (20160627)_第6张图片

【AD】实用组策略/脚本集合 (20160627)_第7张图片


计算机策略-禁止U盘/CD等访问(For Win7+)

【AD】实用组策略/脚本集合 (20160627)_第8张图片





用户策略-首选项-将某个用户帐号加入本地远程管理组

【AD】实用组策略/脚本集合 (20160627)_第9张图片

【AD】实用组策略/脚本集合 (20160627)_第10张图片


用户策略-首选项-将普通用户加进客户端管理员组

【AD】实用组策略/脚本集合 (20160627)_第11张图片

【AD】实用组策略/脚本集合 (20160627)_第12张图片



策略恢复:

【AD】实用组策略/脚本集合 (20160627)_第13张图片

计算机策略-将客户端管理员组清空并重新添加新用户(组)

利用受限制的组

新建Group,计算机本地的组名。添加进需要的用户组,其他的会默认删除。如果要保留原有的,也要写一下。


计算机脚本-将用户重新添加新用户

内容如下

net localgroups administrator "domain [email protected]" /add 

删除用 /del命令即可

用户策略-首选项-将客户端管理员组清空并重新添加新用户

这里演示下清空

正常你需要加一个帐号或者加domain user就这样操作就可以了。



登录脚本-映射共享文件夹到驱动器并改名

登录脚本-映射共享文件夹到驱动器并改名.bat

@echo off

net use x: \\192.168.1.160\share2016

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##192.168.1.160#share2016 /v _LabelFromReg /t reg_sz /d "文件服务器" /f 

exit


策略恢复脚本:

@echo off

net use x: /del 

exit


登录脚本-添加软件至系统启动项

此脚本会回写完成结果。

登录脚本-添加软件至系统启动项.bat

@echo off 

echo 将你需要的目标程序路径写在下面(reg add中的内容仍需修改部分,具体请用reg /?查看修改。)

@echo off 

color f5 

title 注册表导入脚本


ver | find "4.0." > NUL &&  goto win95    

ver | find "4.10." > NUL &&  goto win98   

ver | find "4.90." > NUL &&  goto win_me   

ver | find "3.51." > NUL &&  goto win_Nt_3_5   

ver | find "5.0." > NUL &&  goto win2000    

ver | find "5.1." > NUL &&  goto win_xp    

ver | find "5.2." > NUL &&  goto win2003    

ver | find "6.0." > NUL &&  goto vista   

ver | find "6.1." > NUL &&  goto win7    

ver | find "6.2." > NUL &&  goto win8    


:win7

rem 判断操作系统是32位还是64位

if /i "%PROCESSOR_IDENTIFIER:~0,3%"=="X86" (goto win7x86 ) ELSE (goto win7x64) 


:win7x64

set name=fuck

set type=reg_sz

set router=C:\Program Files (x86)\abc.exe

set reg=HKCU\software\microsoft\windows\currentversion\run

set y=%date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%time:~3,2%

if exist "%router%" (goto script) else (goto wrong)


:script

reg add "%reg%" /v "%name%" /t "%type%" /d "%router%" /f

if %errorlevel% equ 0 (echo OK+%y%>>\\172.168.1.80\组策略结果回收\登录脚本-增加ABC启动项目\成功\"%computername%".txt&goto exit)

if %errorlevel% equ 1 (echo 注册表未导入成功or可能是权限不足+%y% >>\\172.168.1.80\组策略结果回收\登录脚本-增加ABC启动项目\失败\"%computername%".txt&goto exit)



:wrong

echo 错误,不存在该路径或该文件 >>\\172.168.1.80\组策略结果回收\登录脚本-增加ABC启动项目\失败\"%computername%".txt

goto exit


:exit

exit



策略恢复脚本

@echo off 

set name=

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v %name% /f

exit





计算机策略-首选项-客户端只允许特定域用户登录

【AD】实用组策略/脚本集合 (20160627)_第14张图片

【AD】实用组策略/脚本集合 (20160627)_第15张图片



计算机策略-域内计算机处于非公司网络无法登录

注:域控服务器无法联系时也会无法登陆(谨慎操作)


计算机配置-禁止Win7以上系统管理员访问网卡

【AD】实用组策略/脚本集合 (20160627)_第16张图片

【AD】实用组策略/脚本集合 (20160627)_第17张图片

【AD】实用组策略/脚本集合 (20160627)_第18张图片



计算机配置-开机公告

【AD】实用组策略/脚本集合 (20160627)_第19张图片

【AD】实用组策略/脚本集合 (20160627)_第20张图片



启动脚本-修改注册表项权限为任何人控制

@echo off

echo  必须有一个7,把注册表直接设置成任何人可修改

echo "HKEY_CURRENT_USER\Software\Adobe"  [1 7 17] >%temp%\regini.ini

regini %temp%\regini.ini

del %temp%\regini.ini /q

pause




策略恢复脚本

@echo off

echo  必须有一个8,把注册表直接设置成任何人只读权限

echo "HKEY_CURRENT_USER\Software\Adobe"  [1 8 17] >%temp%\regini.ini

regini %temp%\regini.ini

del %temp%\regini.ini /q

pause




用户配置-IE浏览器首页

【AD】实用组策略/脚本集合 (20160627)_第21张图片




启动脚本-改变文件夹权限

启动脚本-改变文件夹权限.bat

@echo off

rem 不改变原来c:\test文件夹的权限,增加users的完全控制权限,包括子文件夹。

rem 输入文件夹路径

set x=d:\123

echo yes|cacls %x% /t /e /g "domain users":f >nul 

pause

exit


rem 直接替换原权限为

set y=

echo yes|cacls %y%  /t /p user:f >nul

pause

exit


夺取文件夹权限为管理员组所有.bat

@echo off

rem 将夺取文件夹权限为管理员所有

takeown /f d:\123 /r /d y /a

exit


撤销权限脚本

rem 撤销制定用户权限

set z=d:\123

echo yes|cacls %x% /t /e /r "domain users"  >nul 

pause

exit


启动脚本-客户端自动登录

启动脚本-客户端自动登录.bat

@echo off 

set username=test

set password=abc123,

set domainname=xifan.com

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v autoadminlogon /t Reg_sz /d 1 /f 

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t reg_sz /d %username% /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t reg_sz /d %domainname% /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v  DefaultPassword /t reg_sz /d %password% /f

pause

exit


策略恢复脚本:

@echo off 

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v autoadminlogon /t Reg_sz /d 0 /f 

exit


用户配置-禁止XP管理员访问网卡属性


【AD】实用组策略/脚本集合 (20160627)_第22张图片




用户配置-默认显示我的电脑、网络、我的文档



启动脚本-限制访问网页

启动脚本-限制访问网页.bat

@echo off

echo 127.0.0.1 www.baidu.com  >>%systemroot%\system32\drivers\etc\hosts 

exit


DNS区域方法

【AD】实用组策略/脚本集合 (20160627)_第23张图片



策略恢复脚本:

@echo off

echo  a  >%systemroot%\system32\drivers\etc\hosts 

exit



用户配置-统一桌面壁纸

先在文件服务器设置一个共享文件夹

【AD】实用组策略/脚本集合 (20160627)_第24张图片

【AD】实用组策略/脚本集合 (20160627)_第25张图片

【AD】实用组策略/脚本集合 (20160627)_第26张图片

【AD】实用组策略/脚本集合 (20160627)_第27张图片




域策略-计算机配置-帐号密码策略

此配置建议直接修改Default Domain Policy (我认为,DDP默认只用来做帐号密码策略,其他全部再都单独链接)

【AD】实用组策略/脚本集合 (20160627)_第28张图片【AD】实用组策略/脚本集合 (20160627)_第29张图片



计算机配置 用户配置-强制处理GPO&慢速连接的GPO&配置组策略慢速连接检测


【AD】实用组策略/脚本集合 (20160627)_第30张图片

【AD】实用组策略/脚本集合 (20160627)_第31张图片

【AD】实用组策略/脚本集合 (20160627)_第32张图片

【AD】实用组策略/脚本集合 (20160627)_第33张图片


客户端计算机在处理组策略的设置时,会将不同类型的策略交给不同的DLL来负责处理与应用,这些DLL被称为CSE。CSE处理其所负责的策略时,只会处理上次处理过的最新变动策略。当你在GPo内对用户做了某项限制,在用户因为这个策略而收到限制之后,若用户自行将此限制删除,则当下一次用户计算机应用策略时,客户端的CSE会因为GPO内的策略设置值并没有变动而不处理此策略,因而无法自动将用户自行修改的设置改回来。

解决方法:强制处理GPO,无法该策略的设置值是否发生变化。


用户配置-更改管理GPO的域控制器

方法1.


【AD】实用组策略/脚本集合 (20160627)_第34张图片

方法2.


计算机配置-环回处理模式


【AD】实用组策略/脚本集合 (20160627)_第35张图片

注:用于跨OU登录计算机时用户配置如何生效。此条一般未配置即可,除非特别情况需要更改。


用户配置-文件夹重定向


【AD】实用组策略/脚本集合 (20160627)_第36张图片

【AD】实用组策略/脚本集合 (20160627)_第37张图片

【AD】实用组策略/脚本集合 (20160627)_第38张图片

注:建议只配置收藏夹,其他一律通过共享方式备份

客户端那边可能要注销两次才看得到结果。

除非做下面的配置。


计算机配置-计算机启动和登录时总是等待网络

【AD】实用组策略/脚本集合 (20160627)_第39张图片

注:

用户登录时,系统默认并不会等待网络启动完成后再通过域用户来验证用户,而是直接读取本地缓存区的账号数据来验证用户,以便让用户快速登陆。之后等网络启动完成,系统就会自动在后台应用策略。不过因为文件夹重定向策略与软件安装策略需要在登陆时候才有作用,所以这些策略应用可能要登陆两次。

若用户账号内被指定使用漫游用户配置文件、主目录或登录脚本,则该用户登录时,系统会等网络启动完成才让用户登录。

若用户第一次在此计算机登陆,因缓存区没有该用户的账号数据,故必须等网络启动完成,此时就可以取得最新的组策略设置值。


启用计算机配置,可以让用户在本地有缓存的情况下先等待网络启动完成再登录,从而只需要登陆一次就直接生效



用户配置-禁止程序运行


【AD】实用组策略/脚本集合 (20160627)_第40张图片

【AD】实用组策略/脚本集合 (20160627)_第41张图片

【AD】实用组策略/脚本集合 (20160627)_第42张图片


计算机配置 用户配置 更改组策略的应用间隔时间


注:这个配置只是测试用,生产环境不建议如此配置。



用户配置-通过路径禁止软件运行


【AD】实用组策略/脚本集合 (20160627)_第43张图片

【AD】实用组策略/脚本集合 (20160627)_第44张图片

【AD】实用组策略/脚本集合 (20160627)_第45张图片




WMI筛选器

【AD】实用组策略/脚本集合 (20160627)_第46张图片

【AD】实用组策略/脚本集合 (20160627)_第47张图片

【AD】实用组策略/脚本集合 (20160627)_第48张图片


备份与还原GPO

注:如果还原时提示已存在,请先去Sysvol目录下删除对应的组策略


还原默认域GPO和域DC GPO


备份还原组策略的另一种方法

1.通过创建备份计划备份c:\windows\sysvol\sysvol目录下的所有组策略和脚本;

2.如果mmc中的链接不小心删除,但你大概知道其GUID,或者即使不知道也没关系,我们只要在mmc中新建一个组策略,然后将备份文件夹中的组策略文件复制到新的中,就可以直接使用了。


针对性应用与拒绝组策略

应用篇

    首选项

【AD】实用组策略/脚本集合 (20160627)_第49张图片

【AD】实用组策略/脚本集合 (20160627)_第50张图片

【AD】实用组策略/脚本集合 (20160627)_第51张图片

     组策略

【AD】实用组策略/脚本集合 (20160627)_第52张图片

然后需要做如下步骤:

当你是应用计算机策略,把安全筛选中的authticatied users删掉后,把计算机名称添加进去后,无需做其他步骤就能应用。
当你是应用用户策略,把安全筛选中的authticatied users删掉后,添加对应的用户名后,再做如下操作:在委派中添加authticatied users或domain computers 的只读权限,只读权限,只读权限。即可。(https://support.microsoft.com/en-sg/kb/3163622 因为这个补丁的关系)


【AD】实用组策略/脚本集合 (20160627)_第53张图片

也可以链接到用户或计算机所在的ou


WMI筛选器见上文


拒绝篇



Gpresult /z 

gpresult /h c:\abc\abc.html 

rsop.msc