西安電子工程研究所 韓新軍 白 茹 田玉平
?
Windows系統(tǒng)中如何高效應用組策略
西安電子工程研究所 韓新軍 白 茹 田玉平
【摘要】管理員如果將組策略應用得當,計算機用戶就可以用足策略設置不同的應用策略,使用戶高效、安全使用操作系統(tǒng)以及應用于該系統(tǒng)上的應用軟件。
【關鍵詞】組策略;注冊表;組策略編輯器;MMC;控制面板
本文重點介紹Windows XP professiend的組策略對計算機的設置:
(1)計算機系統(tǒng)配置。
(2)用戶配置。
所有策略的設置都將改變相應系統(tǒng)注冊表的相關項目,如注冊表的HKEY-LOCAL-MACHINE的相關組件,和注冊表的HKEYCVRRENT-VSER相關項目。
組策略即基于組的策略,它以Windows中的一個MMC管理單元的形式存在,在Windows系統(tǒng)中,應用軟件在注冊表中隨著Windows功能的越來越多,配置的項目越來越多,這些項目分布在注冊表中,如果手工配置對用戶而言將是非常困難的,而策略組就是將系統(tǒng)重要的功能匯集成各種配置模塊,使用者能夠安全高效使用和管理計算機。
早期WindowsXP/NT中,組策略以“系統(tǒng)策略”存在,現(xiàn)在組策略也被稱為系統(tǒng)策略的高級擴展,管理模塊更為豐富設置也更為靈活。目前主要應用于Windows2000/xp/2003系統(tǒng)的系統(tǒng)策略編輯器也支持對當前注冊表的修改,同樣也可以通過網(wǎng)絡對計算機注冊表進行設置。組策略對注冊表的直接修改,這是以前“系統(tǒng)策略編輯器”工具無法做到的。
2.1 通用方式
在計算機安裝Windows系統(tǒng)過程中,組策略程序就已經(jīng)安裝了。打開“開始”菜單,選“運行”,輸入“gpendit.msc”并確定,就可以運行組策略了。打開的組策略對象是當前的計算機,而如果需要配置其它的計算機組策略,則需要將組策略作為獨立的MMC管理單元打開。
MicrosoftMMC控制臺可通過“開始”菜單的“運行”對話框直接輸入“MMC”來實現(xiàn)。
單擊“組策略”選項,然后單擊“添加”按鈕。
組策略對象對話框中,單擊“本地計算機”選項編輯本地計算機對象,或通過單擊“瀏覽”查找所需要的組策略對象。
策略管理單元即開打開要編輯的組策略對象。
2.2 MMC管理單元
(1)“開始”→“運行”命令,在對話框中鍵入MMC;(2)“文件”菜單下的“添加/刪除管理單元”;
(3)在“添加/刪除管理單元”對話框,選擇“添加”按鈕。
(4)彈出“添加獨立管理單元”對話框,并在“可用的獨立管理單元”列表中選擇“組策略”選項,單擊“添加”按鈕。
(5)由于是將組策略應用到本地計算機中,故在“選擇組策略對象”對話框中,單擊“本地計算機”,編輯本地極端及對象或通過單擊“瀏覽”按鈕查找所需的組策略對像。
(6)單擊“完成”→“關閉”→“確定”按鈕,組策略管理單元即可打開要編輯的組策略對象。
(1)在IE工具欄添加快捷方式
打開瀏覽器“工具”,選擇“工具欄”,進入“自定義”在“可用工具欄按鈕”中,選擇要添加的工具,按“添加”,進入“當前工具欄按鈕”關閉。
(2)禁止項
如果禁止對瀏覽器主頁進行修改,可啟用“Iternet Explorer”節(jié)點下的禁止更改主頁設置。
(3)密碼策略
可通過組策略設置秘密口令的最小長度。
(4)用戶權利限定
打開“控制面板”→“管理工具”→“本地安全策略”→“用戶權利指派”在此可以合理地指派用戶權利。
(5)用戶鎖定策略
在“安全設置”中打開“賬戶鎖定策略”設置
“復位賬戶鎖定計數(shù)器”→30分鐘以后
“賬戶鎖定時間”→30分鐘
“賬戶鎖定閾值”→5次無效登錄
(6)安全選項
在“安全設置”策略中啟用“關機”,清理虛擬內(nèi)存頁面文件:啟用“交互式登錄,不顯示上次的用戶名”:
(7)組策略配置項目比較繁多,為盡性找到目標策略的具體路徑,可以利用組策略的“篩選”功能,隱藏組策略編輯器中的無效策略,或者根據(jù)自己使用的操作系統(tǒng),讓組策略編輯器窗口只顯示適用于本地計算機系統(tǒng)的策略。
打開組策略編輯窗口,在該窗口中選擇“本地計算機策略”選項,并用鼠標右鍵,從隨后打開的右鍵菜單中選擇“屬性”命令,打開“屬性”設置框。
從“創(chuàng)建”處,可以查看創(chuàng)建本地組策略的時間,同樣也可以從該設置框中的“修改”處,可以查看到最近一次修改設置組策略配置的時間和從設置框中的“修訂”處查看到目前為止一共對多少策略項目進行過配置。
(8)“任務欄”和“開始”菜單相關選項的策略變更。
在“本地計算機”策略中,展開“用戶配置”→“管理模板”→“任務欄”和“開始”菜單分支,在右側窗格中,提供了“任務欄”和“開始菜單”的有關策略。
a.簡化“開始”菜單
b.個人隱私
c.保護好“任務欄”和“開始”菜單的設置
d.禁止“注銷“和關機
(9)桌面相關選項的變更
a.隱藏桌面上的系統(tǒng)圖標。雖然可以通過采用修改注冊表的方法來實現(xiàn),但會對注冊表帶來一定的風險,采用組策略編輯器,就可方便快捷地達到目的。
隱藏桌面上的網(wǎng)上鄰居和“Internet Explorer”圖標,在右側窗格中將“隱藏桌面上”網(wǎng)上鄰居圖標和“隱藏桌面上的Internet Explorer”圖標兩個策略選項啟用即可。
b.禁止對桌面的屬性進行更改
禁止對計算機桌面設置隨意改變,在右側窗格中將“退出時對不保存設置”策略啟用。
d.禁止用戶使用“添加/刪除程序”
在系統(tǒng)“控制面板”中有“添加/刪除程序”項目,通過該項目允許個人對系統(tǒng)功能、組件以及應用軟件的安裝、卸載、修復。如果要禁止用戶使用“添加/刪除程序”,則在“本地計算機策略”→“用戶配置”→“管理模板”→“控制面板”分支的右側窗格將啟用“刪除/添加程序”策略選項。
(10)禁止運行指定程序
在計算機啟動的過程中,也會啟動一些用戶不常使用的程序,這些程序的啟動通過系統(tǒng)MSCONFIG設置項的設置較難,通過組策
略則非常方便,這對高效使用計算機資源非常有用。
(11)鎖定注冊表編輯口
注冊表編輯器為系統(tǒng)設置帶來方便,但也為注冊表帶來為安全隱患,如有必要盡可能將注冊表編輯器予以禁閉。
但要注意:如果設為“已禁止”,則有一些正常軟件有可能不能正常使用,甚至無法安裝;如果設為“已啟用”,則可能為惡意程序留下隱患。
(12)阻止安全提示符窗口(cmd.exe)
組策略編輯器→ 用戶配置→管理模板→系統(tǒng)。
右側窗口中選擇“阻止訪問安全提示符”,打開目標策略,展開設置對話框。雙擊“阻止訪問安全提示符”, “確定”即可。
(13)設置虛擬內(nèi)存頁面
對于重要的文件,可以通過加密和設置權限以禁止他人訪問,但還是不能阻止通過“虛擬內(nèi)存頁面文件”來獲取你的重要文件。
通過配置組策略就可以避免這種潛在的危險,計算機配置→windows設置→安全設置→本地策略→安全選項。
缺點是:減慢系統(tǒng)的關閉速度。
(14)管理模板
在windows系統(tǒng)中包含ADM的文本文件,稱為:“管理模板”,它們?yōu)榻M策略管理單元中“管理模板”的項目提供策略信息。
在windows系統(tǒng)中,默認的Admin.adm管理模板位于系統(tǒng)文件夾得INF文件中,包含了默認安裝下的4個模板文件。
在策略管理控制臺中,可以多次添加“策略模板”。打開“組策略”→選擇“計算機配置”→“管理模板”單擊鼠標右鍵,選擇“添加/刪除模板”命令。在打開的對話框中單擊“添加”按鈕,在打開的對話框中選擇相應的ADM文件,單擊“打開”按鈕,則在系統(tǒng)策略編輯器重打開選定的腳本文件,并等待用戶執(zhí)行。
相對windows注冊表而言,組策略將系統(tǒng)重要的配置功能匯集成各種配置模塊,使用了更有效地設置方法。可以對各種計算機設置對象的設置進行管理,比手工修改注冊表更為有效、簡便。