主域策略常用配置
一、屏保推送
首先先准备一个scr屏保文件
1、打开域控组策略管理
2、点击组策略对象→右击新建→名称(填写:屏幕保护策略)
3、右击编辑→配置组策略
4、打开用户配置→策略→管理模板→控制面板→个性化
5、启用屏幕保护程序→已启用
6、阻止更改屏幕保护程序→已启用
7、屏幕保护程序超时→180
8、强制使用特定的屏幕保护程序→scr屏保文件共享盘地址
#共享盘
\\192.168.1.2\file\xx.scr
#本地
C:\Users\Public\Documents\xx.scr
ps:屏保文件在电脑本地,需要从共享盘将屏保文件拷贝到每台电脑本地,这里是通过开机登录&注销脚本实现复制
9、脚本实现屏保文件复制:打开用户配置→策略→Windows设置→脚本(登录/注销)→双击 登录
@echo off
:: 定义源路径与目标路径
set "src=\\192.168.1.2\file\xx.scr"
set "dst=%userprofile%\Documents\xx.scr"
:: 判断文件是否存在,不存在则复制
if not exist "%dst%" (
copy /y "%src%" "%dst%" >nul
)
exit
二、电源配置策略
脚本实现电源方案:
打开用户配置→策略→Windows设置→脚本(登录/注销)→双击 登录
@echo off
powercfg -setactive 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c
powercfg -change -monitor-timeout-dc 0
powercfg -change -monitor-timeout-ac 0
powercfg -change -standby-timeout-dc 0
powercfg -change -standby-timeout-ac 0
powercfg -setdcvalueindex scheme_current sub_buttons pbuttonaction 3
powercfg -setacvalueindex scheme_current sub_buttons pbuttonaction 3
powercfg -setdcvalueindex scheme_current sub_buttons lidaction 0
powercfg -setacvalueindex scheme_current sub_buttons lidaction 0
powercfg -setactive scheme_current
你会看到所有配置完全符合要求:
✅ 电池 / 通电:关闭显示器 = 从不
✅ 电池 / 通电:睡眠 = 从不
✅ 电源按钮 = 关机
✅ 合上盖子 = 不采取任何操作
高性能:8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c
平衡:381b4222-f694-41f0-9685-ff5bb260df2e
节能:a1841308-3541-4fab-bc81-f71556f20b4a
也可以组策略设置:
计算机配置→策略→管理模板→系统→电源管理
三、挂载共享盘
脚本实现挂载映射盘:
打开用户配置→策略→Windows设置→脚本(登录/注销)→双击 登录
@echo off
net use * /delete /y
net use Z: \\xxx.com\xx /persistent:yes
exit
四、指定软件安装
脚本实现xx软件是否运行,没有运行就去安装:(如桌管)
打开用户配置→策略→Windows设置→脚本(登录/注销)→双击 登录
@echo off
tasklist | findstr /i "UniAccessAgent.exe" >nul 2>&1
if %errorlevel% equ 0 (
exit
) else (
\\xx.com\xx\nacc.exe
)
检查电脑里有没有运行 UniAccessAgent.exe
- 如果正在运行 → 什么都不做,直接退出
- 如果没运行 → 自动从网络共享启动
nacc.exe
五、时间NTP同步
1、组策略管理→ xxx.com → 打开域控组策略管理
2、点击组策略对象→右击新建→名称(填写:屏幕保护策略)
3、右击编辑GPO
4、计算机配置 → 策略 → 管理模板:从本地计算机中检索的策略 → 系统 → Windows时间服务 → 时间提供程序
5、右视图选择 启用 windows NTP 客户端 勾选 已启用
6、右视图选择 配置 windows NTP 客户端 勾选 已启用
NtpServer 输入 10.10.10.1,0x9
类型: 选择 NTP
SpecialPollinterval 输入 1024
六、登陆前显示标题
登陆前显示标题以及文本
1、打开域控组策略管理
2、点击组策略对象→右击新建→名称(填写:终端电脑使用规范)
3、右击编辑→配置组策略
4、计算机配置→策略→Windows 设置→安全设置→安全选项
5、交互式登录:试图登录的用户的消息标题→【 xxx公司终端使用规范 】
6、交互式登录:试图登录的用户的消息文本→↓↓
中华人民共和国主席令(2016年)第53号
1、根据国家《网络安全法》和《个人信息保护法》,在终端电脑使用过程中需对终端、网络和数据使用行为负责。存有危害网络安全行为的,违规获取、使用、存储、传播、贩卖公司信息资产的(包含公司核心资产、公民个人信息等),最高处七年有期徒刑并处100万元罚金;
2、根据公司有关规定,存有制作、传播或者使用病毒程序破坏公司网络或信息系统行为的,违规获取、泄露、贩卖公司信息资产行为的,最高予以解除劳动合同并移交公安机关依法追究法律责任。
七、WSUS补丁服务器
指定WSUS补丁服务器策略:
1、打开域控组策略管理
2、点击组策略对象→右击新建→名称(填写:WSUS补丁服务器)
3、右击编辑→配置组策略
4、计算机配置→策略→管理模板→Windows组件→Windows更新
配置自动更新→启用
配置自动更新:根据23457情况选择
2、通知下载和自动安装
3、自动下载并通知安装
4、自动下载并计划安装 (选择4、才需要设置界面下计划配置)
5、允许本地管理员选择设置
7、自动下载,通知安装,通知重启(仅限Windows Server服务器)
指定 Intranet Microsoft 更新服务位置→启用
设置检测更新的Intranet 更新服务:http://10.201.216.103:8530
设置Intranet 统计服务器:http://10.201.216.103:8530
自动更新检测频率→启用
间隔(小时):22
允许客户端目标设置→启用
此计算机的目标组名称:Office组
目标组名称和WSUS服务器配置上组别名称一致自动适配
客户端的补丁更新组策略创建类似,补丁更新方式为自动下载自动安装、更新时间统一设置为中午12点,对应的计算机存放在wsus的Office组计算机组中,便于审批补丁的分类与计算机补丁更新状态的管理。
可以根据不同策略分别设置不同设备打补丁方式
八、禁用USB存储
禁用USB存储策略:
1、打开域控组策略管理
2、点击组策略对象→右击新建→名称(填写:USB存储禁用)
3、右击编辑→配置组策略
4、计算机配置→策略→管理模板→系统→可移动存储访问
可移动磁盘: 拒绝执行权限→启用
可移动磁盘: 拒绝读取权限→启用
可移动磁盘:拒绝写入权限→启用