域控中组策略基本设置计算机配置：要重启生效 用户配置：注销生效策略配置后要刷新：gpupdate /force组策略编辑工具！ -gpmc.msi （工具）使用：运行-gpmc.msc 如下键面： 文件夹重定向：1.在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患！）2域账户用户登录任一台机器都能看到我的文档里的自己的东西！禁止用户安装软件：1. 给域用户基本权限（Domain user） ，但有时基本应用软件也不能运行！2. 把域用户加入到本地 power user 组可以运行软件！域用户添加 Power user 组3. 用本地用户登录机器查看！禁止卸载：1.权限 domain user + 管理模板（相当于改动注册表！）2.再把控制面板里的“添加删除程序”禁用禁止使用 USB:1. 工具（程序模板 usb.adm）,拷到 C:WINDOWSinfusb.adm2.3.4.5.6.7.客户端机器重启生效禁止绿色软件安装，如：迅雷，QQ 等-建立哈希规则：建立了哈希规则后不论此软件放在机器的任何路径，都将被禁止！GPO 软件分发：1. 工具：Advanced Installer 制作 MSI 格式文件2. 在 DC 上建立一共享文件夹。把*.MSI 格式文件放入，附 Authenticated 可读，Admini 完全控制3. 编辑组策略-用户配置- 软件安装- 右击 (DC 的 IP共享名)4. 软件安装 右击程序包-*.MSI 已发布 已指派停止域客户端的防火墙：右击，域计算机- Windows-设置安全设置-系统服务 windows firewall漫游：1.账号在客户机上登录2.在 server 上建议账号空间3.server 在客户机上登4.server 上设主文件