怎样使用组策略部署软件的操作步骤
在WIN2000以上,除了用户工作环境与计算机环境的设置外,组策略还提供了很强大的功能。
列举组策略中的部分功能。
A、帐户策略的设置B、本地策略的设置C、脚本设置D、用户工作环境的设置E、软件的安装与删除。
F、文件夹的重定向。
□组策略概述组策略可以针对站点、域和组织单位设置组策略。
这些组策略存储在 x:\WINNT\SYSVOL\sysvol\abc.com\Policies目录下。
组策略分“计算机配置”与“用户配置”两部分。
A、计算机配置:当计算机启动时,就会根据“计算机配置”的内容来设置计算机的环境。
B、用户配置:当用户登录时,就会根据“用户配置”的内容来设置用户的工作环境注:本地组策略:存储在X:\WINNT\system32\GroupPolicy目录内。
一、组策略的应用顺序与规则:不同组策略的应用顺序与规则:1、本地组策略:2、站点组策略:3、域组策略:4、组织单位的组策略:默认,后应用的策略将覆盖以前的应用的策略。
具体说明如下:1、如果在高层容器内建立了一个组策略,但是并未在低层容器建立组策略,则低层容器会继承在高层容器内所建立的组策略。
2、如果另外在低层容器内建立了组策略,则低的组策略则要取代高层的组策略。
3、如果父容器未被设置组策略,则低层组策略则不会继承父层组策略。
4、如果父容器设置组策略,但是子容器内的组策略并未为设置。
则会继承父组策略二、阻止策略的继承可以在子容器组策略内,通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置,也就是直接以子容顺的组策略为其设置。
三、强迫继承策略。
可以在父容器的组策略内,通过:“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置。
□组策略的对象设置组策略设置的途径:根据不同的计算机,可以在以下几位置的。
“域安全策略”或“活动目录用户和计算机”“域控制安全策略”、“本地安全策略”。
(均在“管理工具”内)。
以下利用“活动目录用户和计算机”来设置组策略。
开始——程序——管理工具——活动目录用户和计算机——选中“domain controllers”单击鼠标右键——属性——组策略(GPO)一、更改组策略让DOMAIN USERS组内的所有成员都具备“本地登录”的权限。
设置步骤:1、开始——程序——管理工具——活动目录用户和计算机——选中“DOMAIN CONTROLLERS”单击鼠标右键——属性——组策略。
2、请选定“default domain controllers policy”,然后单击“编辑”。
3、出现“组策略”窗口——计算机配置——WIN设置——安全设置——本地策略——用户权利指派——双击右则的“在本地登录”。
4、出现“安全策略设置”对话框——单击增加——将DOMAIN USERS增加到组内。
二、测试“在本地登录”设置是否正常。
由于改建立的组策略不能马上生效,必须利用以下三种之一来达到目的。
1、在“在命令提示符”下。
输入secedit refreshpolicy machine_policy。
让计算机配置生效,或是用户配置文件:则将machine_policy改为user_policy.即可。
2、将此计算机重启。
3、等待此策略应用到计算机内。
三、新建一个用户,测试一下,能否在本地登录。
□管理模板策略的设置通过以下范例来设置管理模策略1、 隐藏用户桌面的“网上邻居”图标。
2、将“开始”菜单中的“运行”“帮助”等命令删除。
3、 在“开始”菜单中添加“注销”的功能。
一、建立练习时所需的组织单位与用户帐户。
1、建立一个组织单位taiwan.。
2、在TAIWAN组织单位内新建一用户帐户TONY。
3、在TAIWAN组织单位内新建一个组织单位SALES。
4、在SALES组织单位内新建一个用户帐户SCOTT。
二、设置与测试组策略的功能。
在TAIWAN组织单位内建立一GPO,然后利用TAIWAN组织单位的用户TONY登录,测试 GPO是否有效。
然后再利用下一层的SALES组织单位内的用户SCOTT测试,是否继承 TAIWAN的GPO设置。
A、在TAIWAN组织单位内建立一个GPO,名称为taiwan policy.。
1、利用ADMINISTRATOR帐户登录。
2、开始——程序——管理工具——活动目录用户和计算机——双击域名—— TAIWAN组织单位——属性——组策略——新建GP0,命名taiwan policy。
B、更改TAIWAN POLICY设置1、选中“TAIWAN POLICY”——单选“编辑”。
2、用户配置——管理模板——任务栏和‘开始’菜单。
3、双击右则“从‘开始’菜单删除‘帮助‘命令。
”4、出现属性对话框——启用。
5、确定,完成设置。
C、测试TONY帐户,以及SCOTT帐户是否继承了TAIWAN POLICY组策略。
三、测试组策略的替代功能在TAIWAN组织单位的下一层组织单位建立一个GPO,然后设置如下:将将从“‘开始’菜单删除‘帮助‘命令。
”命令禁用。
A、在SALES组织单位内建立一个新GPO1、利用ADMINISTRATOR帐户登录。
2、开始——程序——管理工具——活动目录用户和计算机——双击域名——在 TAIWAN下的SALES组织单位单鼠标右键——属性——组策略——新建(命名: tainwan-sale policy)——编辑。
3、 出现“组策略”窗口——用户配置——管理模板——任务栏和‘开始’菜单4、 双击右则的“从‘开...
如何用组策略发布.exe程序
组策略和安全模板装好系统后,大家第一个要干的事情可能就是对系统进行各种优化,所用的软件也五花八门,这些一般都是共享软件,虽然可以使用,不过试用版在时间或者功能上或多或少会有一些限制。
你可知道,操作系统自己的组策略就是个很好的优化工具,利用组策略我们可以对很多隐藏设置进行修改,使系统更个性化,也能极大的提高系统安全性。
本文将会就组策略的设置以及安全模板的使用进行一些讨论,而所包括的操作系统则限于Windows 2000、Windows XP Professional(下文中出现的Windows XP均不包括Home版),还有Windows Server 2003。
什么是组策略 组策略是从Windows 2000中开始使用的管理技术,管理员可以使用组策略对一台或多台计算机的各种选项进行设置。
组策略的使用非常灵活,其中包括了基于注册表的策略设置、安全设置、软件安装、脚本运行、计算机启动和关闭、用户登录和注销等各种方面。
怎样配制组策略 组策略的配制和应用非常灵活,而且在不同的环境有不同的方法。
对于单机或工作组环境下,我们可以使用组策略编辑器对组策略进行设置和修改。
而在域环境下的功能则更加强大,只要管理员在域控制器上部署了相应的策略,所有登录到这个域控制器上的客户端计算机都将被自动应用这些策略,真正实现了一次设置处处执行。
单机和工作组环境下的组策略设置 在运行中输入gpedit.msc并回车可打开组策略编辑器(图一)。
组策略编辑器的窗口主要分了左右两个部分,这个和注册表编辑器的界面类似,左侧用树形图的形式显示了所有可用的策略类别,而右侧面板则详细显示了每种类别中可以配制的策略,只要双击这些策略便可以对其进行配制。
为了让你更明白组策略的使用,我们会举几个例子来说明(以下内容主要以Windows XP操作系统为例,不过大部分内容同样适用于Windows 2000和Windows Server 2003,只不过细节方面可能略微不同)。
窍门:暂时隐藏不用的策略。
如果你是初学使用组策略,肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花,由于不熟悉每个策略的具体位置,有时候为了配置一个策略可能要在编辑器里翻找大半天,这时候我们便可以使用组策略编辑器的筛选功能。
在左侧的树形图列表中选中一个类别,然后在“查看”菜单下点击“筛选”,以打开筛选对话框,在这里我们能够设置只显示针对特定软件的策略。
例如我们可以选择只显示IE6以及更高版本IE才可以使用的策略,或者隐藏所有不能用于Windows 2000的策略。
窍门:禁用“用户配置”或“计算机配置”策略。
到这里你应该对组策略编辑器中显示的策略结构有所了解,主要结构分为两部分:计算机配置以及用户配置。
如果你想知道当前系统中这两类策略分别有多少被配置过,或者如果你想隐藏其中一种配置,则可以使用这样的方法:用鼠标右键点击组策略编辑器窗口左侧的树形图列表顶端的“本地计算机策略”字样,然后选择属性,接着会打开一个本地计算机策略属性对话框。
其中“创建”一栏显示了该策略生成的时间,一般情况下都是指操作系统的安装时间;而“修改”中显示的是最后一次设置组策略的时间;“修订”一栏则显示了这两个分类中各自有多少策略被配置。
如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方钩选相应的复选框。
隐藏回收站图标 为了美观,全新安装的Windows XP桌面上仅有一个回收站图标。
你可能不希望自己的漂亮墙纸被图标挡住,那么怎样把仅有的回收站图标也删除?选中后按Delete键自然是不行的,不过有组策略就简单多了。
打开组策略编辑器,在左侧的树形图中定位到“用户配制-管理模板-桌面”,然后在右侧面板中找到并双击“从桌面删除回收站”这一策略,你将能看到类似图二的对话框,选中“已启用”,然后点击确定关闭该对话框。
注销后重新登录看看,是不是仅有的一个图标也消失了。
保护分页文件中的秘密 对于重要文件,我们都知道通过加密和设置权限以禁止其他无关人员访问,不过你可知道,如果真的有必要,他人完全可以通过其他途径获得你的机密信息,那就是分页文件。
我们都知道分页文件作为物理内存的补充,用途是在硬盘和内存之间交换数据,而分页文件本身就是硬盘上的一个文件,它位于系统所在硬盘分区的根目录中,文件名为pagefile.sys。
一般情况下,当我们运行程序时,这些程序的一部分内容可能会被临时保存到分页文件上,而如果我们编辑完这个文件后立刻就关闭了系统,那么文件的一些内容仍然有可能被保存在分页文件中。
在这种情况下,如果有人得到了这台电脑的硬盘,那么只要把硬盘拆出来,利用特殊的软件,就可以将分页文件中的机密信息读取出来。
通过配置组策略,我们可以避免这种潜在的危险。
打开组策略编辑器,在“计算机配置-Windows设置-本地策略-安全选项”下启用“关机:清除虚拟内存页面文件”这个策略。
启用这个策略后,关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满,这样所有的信息自然也都会消失。
不过要注意一点,这样做会减慢系统的关闭速度,因此如果不是非常必要,不...
怎样在XP用“组策略”完全禁止安装软件?
1. 执行开始—运行—gpedit.msc命令(快捷键为win+r)。
2. 打开组策略,依次展开计算机配置—Windows设置—安全设置—软件限制策略。
3. 创建新的策略。
4. 选择其他规则—新建路径规则。
5. 选择浏览,指定文件夹为目标,安全级别为不允许确定保存即可。
如何利用组策略限制程序运行
如何用组策略禁用指定程序?Win+R组合键打开运行对话框,输入gpedit.msc回车,打开组策略编辑器Win键就是键盘上很明显的那个Windows徽标然后依次在左边的树视图中依次展开:计算机配置Windows设置安全设置软件限制策略在右边的列表视图中鼠标右键点击“其他规则”,在弹出的快捷菜单中选择“新路径规则”这时我们打开了“新路径规则”对话框我们选择“浏览”按钮,选择我们要禁用的程序(快捷方式也可以选)然后把“安全级别”设为不允许,点击确定按钮即可首先打开组策略编辑器就是在运行框中输入“gpedit.msc”,找到“用户配置-〉管理模板-〉系统”下的“不要运行指定的Windows应用程序”,设置其属性为“已启用”,然点击“显示...”,出来一个“不允许的应用程序的列表”,再点击“添加”,然后输入程序的路径,程序名是要带扩展名的全称,例如“C:\Program Files\...\QQ.exe”,然后点三个“确定”就可以了。
运行gpedit.msc,打开组策略:依次打开:计算机配置--Windows设置--安全设置--软件限制策略,然后在软件限制策略上点右键,创建新的策略。
在软件限制策略里出现安全级别和其他规则,在其他规则里点击新路径规则:在出现新路径规则的路径里点浏览找到要设置程序的可执行文件,安全级别设置为不受限的,确定,问题解决:同理:如果不想让某个程序运行,在路径里找到,然后设置为不允许的即可:
请问如何利用组策略来阻止计算机连接到网络?
对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。
其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2.组策略的版本 对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。
当用户登录时,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。
这是以前“系统策略编辑器”工具无法做到的。
当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。
如图1所示。
使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开: (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。
(2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。
(3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。
(4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
(5)单击“完成”按钮,组策略管理单元即打开要编辑的组策略对象。
(6)在左窗格中定位需要更改的选项的位置,在右窗格中右键单击需要更改的具体选项,单击“属性”命令,即可打开其属性对话框,从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。
4.组策略中的管理模板 在Windows 2000/XP/2003中包含几个ADM文件。
这些文件是文本文件,被称为“管理模板”,它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。
在Windows 2000/XP/2003中,默认的Admin.adm管理模板位于系统文件夹的INF文件夹中,包含了默认安装下的4个模板文件,分别为: (1)System.adm:默认安装在“组策略”中,用于系统设置。
(2)Inetres.adm:默认安装在“组策略”中,用于Internet Explorer(IE)策略设置。
(3)Wmplayer.adm:用于Windows Media Player设置。
(4)Conf.adm:用于NetMeeting设置。
在策略管理控制台中,可以多次添加“策略模板”,下面让我们来看看具体操作: 首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,单击鼠标右键,选择“添加/删除模板”命令,然后在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM文件。
单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”选项,再单击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了。
注意:下面的操作均在Windows XP中进行。
二、个性化我的电脑 1.删除“开始”菜单中的“文档”菜单项 在多人使用的计算机中,有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息。
因此,为了删除用于记录历史文档的“文档”菜单项,我们可以通过修改组策略来实现。
位置:\用户配置\管理模板\任务栏和“开始”菜单\ 启用此设置,则系统保存“文档”快捷方式,但不在“文档”菜单中显示它们。
如果以后禁用此设置或把它设置为未配置,则启用设置之...
在域环境下利用Windows Server 2008进行组策略部署的优势
Windows Server 2008确实强大。
基于Server 2008D的AD功能更强劲,管理更加细化,特别是在组策略方面有了不少改进。
比如,笔者将要和大家分享的这两例应用,在实践中就能帮你解决很多难题。
1、实现客户端移动设备权限的统一管理 使用过Vista的用户应该知道,通过组策略可以在本地主机实现对移动磁盘(USB存储设备\光驱\移动硬盘)的权限管理。
如果要统一实现对所有客户端(Vista或非Vista)的移动设备的权限管理,该怎么办呢?在Windows Server 2008的域环境下,这一切轻松实现。
首先将Server 2008配置成AC(域控制器),并将所有的客户端加入该域,然后只需在Server 2008上进行如下部署即可。
依次执行“开始→管理工具→组策略管理”打开组策略管理器;找到需要部署该策略的域(本例为 fr.zhongtian.com),展开后定位到Default Domain Policy(默认策略);右键点击该策略选择“编辑”打开“组策略管理编辑器”,依次展开“计算机配置→管理模板→系统→可移动存储访问”;在右侧找到 “可移动磁盘:拒绝读取权限”和“可移动磁盘:拒绝写入权限”两项,双击启用策略。
最后打开命令行工具(cmd),输入命令“gpupdate /force”更新组策略,使刚才的策略生效,这样默认情况下只有域管理员有权限读写移动磁盘。
(图1)图1 更改默认域策略 为了验证效果我让某客户端登录fr域,然后插入移动设备(比如U盘),进行文件的读写操作。
如图所示,弹出拒绝窗口该操作被拒绝提示只有管理员才有权限执行操作。
点击“跳过”按钮,输入有权限的用户才可实现操作。
(图2)图2 拒绝访问 2、自由定制针对用户或者用户组的密码策略和帐户锁定策略 密码是系统安全一道关键屏障,大家知道在在Windows2000/2003上,密码策略只能指派到域(Site)上,不能单独应用于活动目录中的具体对象。
这在实际应用中带来了诸多不便,更多情况下我们需要为不同组的用户部署不同的密码策略和帐户策略。
在Win2008中引入了多元密码策略的技术,使得我们的上述需求得到实现。
还是在AC中(以fr.zhongtian.com域为例),“开始→运行”输入ADSIEdit打开ADSI编辑器。
依次展开“默认命名上下文 [WIN-13VNNRJ6FIP.fr.zhongtian.com] →DC=fr,DC=zhongtian,DC=com→CN=System”定位到CN=Password Settings Container;然后在该节点上单击右键选择“新建→对象”在弹出的对话框中选中“msDS-PasswordSettings”类别,单击“下一步”在cn属性对话框中输入“值”为“fr-pso”(任意)。
然后一路“下一步”依据向导进行密码策略的定制。
其具体的设置项、含义和值分别为: (1).msDS-PasswordSettingsPrecedence,设置密码策略的优先级,数值越小优先级越高,设置为“10”; (2).msDS-PasswordReversibleEncryptionEnabled,设置是否启用“用可还原的加密来存储密码”策略,其值是个布尔值,可选择FALSE或者TRUE,在此我们设置为“FALSE”; (3).msDS-PasswordHistoryLength,对应组策略中的“强制密码历史”,可选范围是0-1024,我们设置为12;(图3)图3 密码历史 (4).msDS-PasswordComplexityEnabled,对应组策略中的“密码必须符合复杂性要求”,也是一个布尔值,我们设置为“TRUE”; (5).msDS-MinimumPasswordLength,设置密码长度最小值为10; (6).msDS-MinimumPasswordAge,设置密码最短使期限为1:00:00:00(1天); (7).msDS-MaximumPasswordAge,设置密码最常使用期限为20:00:00:00(20天); (8).msDS-LockoutThreshold,设置帐户锁定阀值为3(可以范围0-65535); (9).msDS-LockoutObservationWindow,设置复位帐户锁定计数器为0:00:30:00(30分钟);(图4)图4 帐户锁定计数器 (10).msDS-LockoutDuration,设置帐户锁定时间为0:00:30:00(30分钟)。
这样,一个自定义的密码和帐户锁定就创建完成了,那么如何应用在具体的某些帐户上呢?还需要进行如下操作。
退回到ADSI编辑器窗口找到刚才创建的fr-pso帐户密码策略对象并双击打开,拖动滑竿找到并选中msDS-PSOAppliesTo属性,点击下面的“编辑”按钮在弹出的对话框中点击“添加Windows帐户”按钮,通过向导将frs全局用户组添加进来,最后“确定”即可。
这样,就将刚才创建的名为fr-pso帐户密码策略赋予frs组中的用户了。
当然,还可以通过添加更多的用户或者用户组。
在实际应用中大家可以根据需要,定制不同的密码策略然后将其赋予特定的用户或者组。
(图5)图5 添加特定用户 为了验证效果,我们可以做个策略,首先打开“组策略管理编辑”将Default Domain Policy(默认策略)下的“帐户策略”中的“密码策略”进行修改:警用“密码必须符合复杂性要求”,密码长度最小值更改“3个字符”,接着在命令下输入gpupdate /force更新组策略。
下面将ctocio的帐户的密码更改为123,可以看到命令成功完成。
然后我们将ctocio加入frs组,输入同样的命令修改其密码为123,可以看到提示“密码不满足密码策略的要求。
检查最小密码长度、密码复杂性和密码历史的要求。
”,说明我们创建的帐户及其密码策略生效...
组策略的使用攻略
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
考虑到安全方面的原因,Windows 7已经开发了许多新的和增强的组策略功能和服务,帮助您更好地保护计算机上驻留的数据、功能和服务。
这些功能的配置取决于您的具体要求和使用环境,本文将主要介绍Windows 7组策略的安全使用技巧,介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。
组策略与注册表哪个好使
注册表是Windows9X/Me/NT/2000/XP操作系统硬件设备及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统.它记录了用户安装在电脑上的软件和每个程序的相互关联信息,包含了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性及各种状态信息和数据. 有了这个数据库系统做基础,我们就可以调整软件的运行性能,检测和恢复系统错误,定制桌面等.用户在修改配置时,只需通过注册表编辑器,单击鼠标即可轻松完成.系统管理员还可以通过注册表来完成系统远程管理.组策略是管理员为用户或者计算机定义,控制程序,网络资源或者操作系统行为的一种集中工具.可以定义桌面,开始菜单,控制面板中的显示项目,可以定义计算机用户运行的程序.注册表中的很多设置其实都可以通过组策略来完成,而且使用起来更简单.组策略是操作系统的配置管理特性的核心组件。
组策略指定组里的用户和计算机,包括基于注册表的策略设置、安全性设置、软件安装、脚本(计算机启动和关闭,登录和退出),以及文件夹的重定向。
注册表则是管理理配置系统运行参数的一个全新的核心数据库。
在这个数据库里整合集成了全部系统和应用程序的初始化信息;其中包含了硬件设备的说明、相互关联的应用程序与文档文件、窗口显示方式、网络连接参数、甚至有关系到计算机安全的网络享设置 。
可以说组策略中基于注册表的策略。