我应该在 Active Directory 中配置哪些重要的组策略设置？[关闭]

以上通常是起点

计算机政策：

• 查看帐户政策/审计政策
• 查看本地政策/用户权限分配
• 本地策略/安全选项/关机/关机：清除虚拟内存页面文件 = 已启用
• System Services\Messenger\Startup Mode = 禁用
• 公钥策略/加密文件系统/允许用户使用 EFS 加密文件 = 禁用（除非您有 PKI 和允许解密的帐户）

用户政策：

• 查看管理模板\控制面板
• 管理模板\系统\阻止访问注册表编辑工具 = 已启用
• 管理模板\系统\阻止对命令提示符的访问 = 已启用

还有更多有用和重要的，但它们涵盖了 XP/Vista/2003 的大部分问题。这听起来很痛苦，但您唯一能做的就是确保您已将最新的 .adm 文件加载到组策略管理控制台中，并根据业务需求进行决策。

经常被忽视的 Windows 设置/Internet Explorer 维护/URL/收藏夹和链接/ - 带有所有公司链接（他们不能丢失的“帮助台票证”链接对我的理智至关重要）。

服务器 OU - 我的大多数 GPO 都与使我的 RDC 会话更一致、更有用和更简单有关。

管理模板/Windows 组件/终端服务/客户端/服务器数据重定向/不允许 LPT 端口 recirection ... 将驱动程序安装失败垃圾邮件排除在我的事件日志之外。

登录时强制 bginfo（来自 Sysinternals） - 在桌面上绘制服务器/ip/etc 名称。任何可以帮助我避免重新启动/更改错误服务器上的设置的方法（再次）。

管理模板/开始菜单和任务栏 - 删除气球提示，删除...关闭（我希望这保留在命令行中），删除搜索/帮助。

注意：不要侮辱任何人的智慧，但请确保您使用的是组策略管理控制台（如果是 2003，特定于 SP）而不是糟糕的内置界面。

Jeremy Moskowitz的书对我帮助很大。

管理模板/系统/Internet 通信管理 - 里面有很多你可能想要禁用的东西。

管理员模板/桌面/禁止用户更改我的文档路径 - 哦，是的。

否则，我已经从保持一切紧绷到让它相当松散。毕竟，技术应该赋予人们权力，虽然您可以禁用“开始”菜单右键单击等功能，但您真正从中获得了什么？

最后，永远不要忘记：策略不等于安全。