Windows系統(tǒng)中如何高效應用組策略

西安電子工程研究所 韓新軍 白 茹 田玉平

?

Windows系統(tǒng)中如何高效應用組策略

西安電子工程研究所 韓新軍 白 茹 田玉平

【摘要】管理員如果將組策略應用得當，計算機用戶就可以用足策略設置不同的應用策略，使用戶高效、安全使用操作系統(tǒng)以及應用于該系統(tǒng)上的應用軟件。

【關鍵詞】組策略；注冊表；組策略編輯器；MMC；控制面板

0 引言

本文重點介紹Windows XP professiend的組策略對計算機的設置：

（1）計算機系統(tǒng)配置。

（2）用戶配置。

所有策略的設置都將改變相應系統(tǒng)注冊表的相關項目，如注冊表的HKEY-LOCAL-MACHINE的相關組件，和注冊表的HKEYCVRRENT-VSER相關項目。

1 組策略簡述

組策略即基于組的策略，它以Windows中的一個MMC管理單元的形式存在，在Windows系統(tǒng)中，應用軟件在注冊表中隨著Windows功能的越來越多，配置的項目越來越多，這些項目分布在注冊表中，如果手工配置對用戶而言將是非常困難的，而策略組就是將系統(tǒng)重要的功能匯集成各種配置模塊，使用者能夠安全高效使用和管理計算機。

早期WindowsXP/NT中，組策略以“系統(tǒng)策略”存在，現(xiàn)在組策略也被稱為系統(tǒng)策略的高級擴展，管理模塊更為豐富設置也更為靈活。目前主要應用于Windows2000/xp/2003系統(tǒng)的系統(tǒng)策略編輯器也支持對當前注冊表的修改，同樣也可以通過網(wǎng)絡對計算機注冊表進行設置。組策略對注冊表的直接修改，這是以前“系統(tǒng)策略編輯器”工具無法做到的。

2 組策略方式

2.1 通用方式

在計算機安裝Windows系統(tǒng)過程中，組策略程序就已經(jīng)安裝了。打開“開始”菜單，選“運行”，輸入“gpendit.msc”并確定，就可以運行組策略了。打開的組策略對象是當前的計算機，而如果需要配置其它的計算機組策略，則需要將組策略作為獨立的MMC管理單元打開。

MicrosoftMMC控制臺可通過“開始”菜單的“運行”對話框直接輸入“MMC”來實現(xiàn)。

單擊“組策略”選項，然后單擊“添加”按鈕。

組策略對象對話框中，單擊“本地計算機”選項編輯本地計算機對象，或通過單擊“瀏覽”查找所需要的組策略對象。

策略管理單元即開打開要編輯的組策略對象。

2.2 MMC管理單元

（1）“開始”→“運行”命令，在對話框中鍵入MMC；（2）“文件”菜單下的“添加/刪除管理單元”；

（3）在“添加/刪除管理單元”對話框，選擇“添加”按鈕。

（4）彈出“添加獨立管理單元”對話框，并在“可用的獨立管理單元”列表中選擇“組策略”選項，單擊“添加”按鈕。

（5）由于是將組策略應用到本地計算機中，故在“選擇組策略對象”對話框中，單擊“本地計算機”，編輯本地極端及對象或通過單擊“瀏覽”按鈕查找所需的組策略對像。

（6）單擊“完成”→“關閉”→“確定”按鈕，組策略管理單元即可打開要編輯的組策略對象。

3 組策略設置要點

（1）在IE工具欄添加快捷方式

打開瀏覽器“工具”，選擇“工具欄”，進入“自定義”在“可用工具欄按鈕”中，選擇要添加的工具，按“添加”，進入“當前工具欄按鈕”關閉。

（2）禁止項

如果禁止對瀏覽器主頁進行修改，可啟用“Iternet Explorer”節(jié)點下的禁止更改主頁設置。

（3）密碼策略

可通過組策略設置秘密口令的最小長度。

（4）用戶權利限定

打開“控制面板”→“管理工具”→“本地安全策略”→“用戶權利指派”在此可以合理地指派用戶權利。

（5）用戶鎖定策略

在“安全設置”中打開“賬戶鎖定策略”設置

“復位賬戶鎖定計數(shù)器”→30分鐘以后

“賬戶鎖定時間”→30分鐘

“賬戶鎖定閾值”→5次無效登錄

（6）安全選項

在“安全設置”策略中啟用“關機”，清理虛擬內(nèi)存頁面文件：啟用“交互式登錄，不顯示上次的用戶名”：

（7）組策略配置項目比較繁多，為盡性找到目標策略的具體路徑，可以利用組策略的“篩選”功能，隱藏組策略編輯器中的無效策略，或者根據(jù)自己使用的操作系統(tǒng)，讓組策略編輯器窗口只顯示適用于本地計算機系統(tǒng)的策略。

打開組策略編輯窗口，在該窗口中選擇“本地計算機策略”選項，并用鼠標右鍵，從隨后打開的右鍵菜單中選擇“屬性”命令，打開“屬性”設置框。

從“創(chuàng)建”處，可以查看創(chuàng)建本地組策略的時間，同樣也可以從該設置框中的“修改”處，可以查看到最近一次修改設置組策略配置的時間和從設置框中的“修訂”處查看到目前為止一共對多少策略項目進行過配置。

（8）“任務欄”和“開始”菜單相關選項的策略變更。

在“本地計算機”策略中，展開“用戶配置”→“管理模板”→“任務欄”和“開始”菜單分支，在右側窗格中，提供了“任務欄”和“開始菜單”的有關策略。

a.簡化“開始”菜單

b.個人隱私

c.保護好“任務欄”和“開始”菜單的設置

d.禁止“注銷“和關機

（9）桌面相關選項的變更

a.隱藏桌面上的系統(tǒng)圖標。雖然可以通過采用修改注冊表的方法來實現(xiàn)，但會對注冊表帶來一定的風險，采用組策略編輯器，就可方便快捷地達到目的。

隱藏桌面上的網(wǎng)上鄰居和“Internet Explorer”圖標，在右側窗格中將“隱藏桌面上”網(wǎng)上鄰居圖標和“隱藏桌面上的Internet Explorer”圖標兩個策略選項啟用即可。

b.禁止對桌面的屬性進行更改

禁止對計算機桌面設置隨意改變，在右側窗格中將“退出時對不保存設置”策略啟用。

d.禁止用戶使用“添加/刪除程序”

在系統(tǒng)“控制面板”中有“添加/刪除程序”項目，通過該項目允許個人對系統(tǒng)功能、組件以及應用軟件的安裝、卸載、修復。如果要禁止用戶使用“添加/刪除程序”，則在“本地計算機策略”→“用戶配置”→“管理模板”→“控制面板”分支的右側窗格將啟用“刪除/添加程序”策略選項。

（10）禁止運行指定程序

在計算機啟動的過程中，也會啟動一些用戶不常使用的程序，這些程序的啟動通過系統(tǒng)MSCONFIG設置項的設置較難，通過組策

略則非常方便，這對高效使用計算機資源非常有用。

（11）鎖定注冊表編輯口

注冊表編輯器為系統(tǒng)設置帶來方便，但也為注冊表帶來為安全隱患，如有必要盡可能將注冊表編輯器予以禁閉。

但要注意：如果設為“已禁止”，則有一些正常軟件有可能不能正常使用，甚至無法安裝；如果設為“已啟用”，則可能為惡意程序留下隱患。

（12）阻止安全提示符窗口（cmd.exe）

組策略編輯器→ 用戶配置→管理模板→系統(tǒng)。

右側窗口中選擇“阻止訪問安全提示符”，打開目標策略，展開設置對話框。雙擊“阻止訪問安全提示符”， “確定”即可。

（13）設置虛擬內(nèi)存頁面

對于重要的文件，可以通過加密和設置權限以禁止他人訪問，但還是不能阻止通過“虛擬內(nèi)存頁面文件”來獲取你的重要文件。

通過配置組策略就可以避免這種潛在的危險，計算機配置→windows設置→安全設置→本地策略→安全選項。

缺點是：減慢系統(tǒng)的關閉速度。

（14）管理模板

在windows系統(tǒng)中包含ADM的文本文件，稱為：“管理模板”，它們?yōu)榻M策略管理單元中“管理模板”的項目提供策略信息。

在windows系統(tǒng)中，默認的Admin.adm管理模板位于系統(tǒng)文件夾得INF文件中，包含了默認安裝下的4個模板文件。

在策略管理控制臺中，可以多次添加“策略模板”。打開“組策略”→選擇“計算機配置”→“管理模板”單擊鼠標右鍵，選擇“添加/刪除模板”命令。在打開的對話框中單擊“添加”按鈕，在打開的對話框中選擇相應的ADM文件，單擊“打開”按鈕，則在系統(tǒng)策略編輯器重打開選定的腳本文件，并等待用戶執(zhí)行。

4 結束語

相對windows注冊表而言，組策略將系統(tǒng)重要的配置功能匯集成各種配置模塊，使用了更有效地設置方法。可以對各種計算機設置對象的設置進行管理，比手工修改注冊表更為有效、簡便。