Windows 组策略详解

组策略（Group Policy）是用来控制应用程序、系统设置和网络资源，通过组策略设置各种软件、计算机、用户策略。其主要的意义在于对计算机账户以及用户账户在当前计算机上的行为操作管控，组策略可分为“本地组策略”和“域组策略”。

1.本地组策略

本地组策略（Local Group Policy）是组策略的基础版本，它面向独立且非域的计算机，包含计算机配置以及用户配置策略，如图1-1所示。我们可以通过本地组策略编辑器去更改计算机中的组策略设置。例如：管理员可以同通过本地策略编辑器对计算机或者特定的组策略用户来设置多种配置，桌面配置和安全配置等。

图1-1本地组策略

2.本地组策略编辑器

1）通过“Windows键+R”调出运行窗口输入gpedit.msc来运行组策略编辑器，如图1-2所示。

图1-2 运行本地组策略

2）进入到本地组策略编辑器，如图1-3所示。

图1-3 本地组策略编辑器

3）在“计算机配置——windows设置——脚本（启动/关机）”中选择“启动”，如图1-4所示。

图1-4 选择“脚本（启动/关机）页面”的“启动”选项

4）点击“脚本（启动/关机）”页面中的“属性”按钮，如图1-5所示。

图1-5 在“脚本（启动/关机）”页面点击“属性”

5）在这里我们可以设置开机的时候同时启动的脚本，如图1-6所示。

图1-6 设置开机启动脚本

6）我们点击显示文件，如图1-7所示，就会打开一个目录，我们可以向该目录投放后门木马实现权限维持，如图1-8所示。

图1-7 显示目录文件

图1-8 打开目录文件

3.域组策略

域组策略（Domain Policy）是一组策略的集合，可通过设置整个域的组策略来影响域内的用户以及计算机成员的工作环境，以此来减少用户单独配置错误的可能性。

4.域策略实现策略分发

1）在DC中打开组策略管理，如图1-9所示。

图1-9 打开组策略管理

2）新建组策略对象，利用组策略对内网中的用户批量执行文件，如图1-10所示。

图1-10 新建组策略对象

3）右击编辑新建的组策略，如图1-11所示。

图1-11编辑新建的组策略

4）使用组策略管理用户登录配置，如图1-12所示。

图1-12 组策略管理用户登录配置

5）点击登录按钮后，打开显示文件，如图1-13所示。

图1-13 登录属性文件

6）如图1-14所示，在显示的文件夹中，手动创建一个test.bat文件 （主要作用是在启动时自己打开计算器）。

图1-14 创建test.bat批处理文件

7）创建test.bat批处理文件后，并将其添加到登录的脚本中，如图1-15所示。

图1-15 创建并加载test.bat批处理文件到登录脚本中

8）将当前域组策略链接到现有GPO中，如图1-16、图1-17所示。

图1-16将当前域组策略链接到现有GPO中

图1-17 将当前域组策略链接到现有GPO中

9）使用命令gpupdate /force 组策略，强制更新我们刚才创建的策略，如图1-18所示。

图1-18 使用gpupdate /force强制更新组策略

10）登录域账号进行策略的验证，通过验证发现当域账号登录成功时，会自动弹出我们创建的“启动计算器”策略，如图1-19所示。

图1-19 登录域账号验证策略

我正在参与2024腾讯技术创作特训营第五期有奖征文，快来和我瓜分大奖！