实验介绍：

这篇随笔的四个配置都是作用于域用户和计算机，
所以需要两台虚拟机
一台dns1，一台虚拟机登录域用户验证配置

gpmc=Group Policy Manager console 组策略管理控制台，msc可执行文件后缀
输入gpmc.msc进入组策略管理

一：创建财务部GPO

进入组策略管理，右键财务部，点击新建GPO

这里用财务部示范，可以是其他组织单位

输入财务部GPO，点击确定即可

二：禁止财务部用户访问控制面板和PC设置

右键财务部GPO点击编辑

找到控制面板，双击禁止访问“控制面板”和PC设置

选择启用，确定

打开另一台虚拟机，登录域用户user1

尝试打开控制面板发现失败

注意记得改回来

三：禁止财务部用户修改IE浏览器默认主页

在财务部GPO编辑里面找到禁用更改主页设置，双击

修改成启用，输入你的主页，点击确定

重启进入域用户user1的虚拟机，在浏览器输入这个主页，点击internet选项

发现某些设置由管理员管理了

注意！如果进入不了主页，可以检查防火墙和vmnet

四：禁止“财务处”用户运行“计算机程序”

进入财务部GPO编辑，右键创建软件规则设置

新建路径规则

添加注册表的路径，点击确定

返回user1重新登陆发现regedit打不开了

五：隐藏财务部用户的c盘

打开财务部编辑，找到文件资源管理器

再找到隐藏“我的电脑”中的这些指定的驱动器

选择启用，选仅限制驱动器C

重启user1发现c盘被隐藏了