WINDOWS域策略與內(nèi)網(wǎng)環(huán)境

許暢

摘要：根據(jù)局域網(wǎng)的實(shí)際環(huán)境，利用WINDOWS 2008系統(tǒng)，對(duì)部分常用組策略的設(shè)置進(jìn)行了詳細(xì)介紹，希望讀者對(duì)策略設(shè)置快速入門(mén)，舉一反三，觸類旁通，從而迅速成為組策略應(yīng)用高手。

關(guān)鍵詞：活動(dòng)目錄；組策略；優(yōu)化；安全；設(shè)置

隨著網(wǎng)絡(luò)中計(jì)算機(jī)數(shù)量的不斷增加，軟件的安裝，系統(tǒng)安全，文件夾共享等基礎(chǔ)操作都會(huì)成為計(jì)算機(jī)管理者的負(fù)擔(dān)，組策略是用戶用來(lái)控制計(jì)算機(jī)的系統(tǒng)設(shè)置和網(wǎng)絡(luò)設(shè)置的一種手段。也就是說(shuō)，是對(duì)注冊(cè)表的一種修改。平時(shí)使用計(jì)算機(jī)時(shí)，用戶對(duì)一些常用的桌面、網(wǎng)絡(luò)等設(shè)置，也許不足完善或滿意；稍微有點(diǎn)計(jì)算機(jī)操作水平的用戶可以通過(guò)用修改注冊(cè)表的方法來(lái)修改設(shè)置，但注冊(cè)表涉及內(nèi)容量太大，而且不便修改。組策略正好是注冊(cè)表的可視化工具，它可保證系統(tǒng)和網(wǎng)絡(luò)的安全運(yùn)行。

1使用組策略IE環(huán)境

在【IE屬性】對(duì)話框【組策略】選項(xiàng)卡中，單擊【運(yùn)行】，輸入GPEDIT.MSC打開(kāi)【組策略編輯器】，然后陸續(xù)展開(kāi)用戶配置一管理模板WINDOWS組件-IETERNET EXPLORER，雙擊右側(cè)欄里是策略項(xiàng)，即可顯示其子策略或策略屬性對(duì)話框，實(shí)現(xiàn)對(duì)IE策略的查看和配置，如圖1所示。

1.1禁止更改IE瀏覽器的字體設(shè)置

此設(shè)置一旦啟用，用戶瀏覽網(wǎng)頁(yè)時(shí)無(wú)法更改網(wǎng)頁(yè)的字體。點(diǎn)擊“IE瀏覽器選項(xiàng)”界面中“常規(guī)”選項(xiàng)卡上的“字體”按鈕時(shí)，所有字體設(shè)置將被全部禁用。如果禁用或未配置此策略，則用戶可以更改查看網(wǎng)頁(yè)時(shí)使用的默認(rèn)字體。如果在【In-ternet Explorer＼Internet控制面棚中設(shè)置了“禁用常規(guī)頁(yè)”策略時(shí)，此策略也就無(wú)須設(shè)置，因?yàn)椤敖贸Ｒ?guī)頁(yè)”策略已經(jīng)從界面中刪除了“常規(guī)”選項(xiàng)卡。

1.2禁止更改主頁(yè)設(shè)置

在"Internet選項(xiàng)”對(duì)話框“常規(guī)”選項(xiàng)卡中指定的“主頁(yè)”，當(dāng)打開(kāi)Internet Explorer時(shí)就會(huì)加載的默認(rèn)的主頁(yè)。如果啟用此策略設(shè)置，則用戶將無(wú)法對(duì)自定義默認(rèn)主頁(yè)進(jìn)行設(shè)置。必須指定在用戶計(jì)算機(jī)上應(yīng)該加載哪個(gè)默認(rèn)主頁(yè)。對(duì)于裝有Inter-net Explorer 7及以上版本的計(jì)算機(jī)，可以在此策略中設(shè)置主頁(yè)以覆蓋其他的主頁(yè)策略。如果禁用或未配置此策略設(shè)置，則會(huì)啟用“主頁(yè)”框，用戶可以選擇自己的主頁(yè)。

1.3禁用更改INTERNET臨時(shí)文件設(shè)置

阻止用戶更改瀏覽器緩存設(shè)置，例如Temporary InternetFiles文件夾的位置以及其使用的磁盤(pán)空間量。如果啟用此策略，則瀏覽器緩存設(shè)置將灰顯。當(dāng)用戶單擊“常規(guī)”選項(xiàng)卡，然后選擇點(diǎn)擊界面中的“設(shè)置”按鈕時(shí)，將顯示一個(gè)對(duì)話框，其中會(huì)顯示這些設(shè)置。如果在【Internet Explorer＼Internet控制面板】中設(shè)置了“禁用常規(guī)頁(yè)”策略時(shí)，此策略也就無(wú)須設(shè)置，因?yàn)椤敖贸Ｒ?guī)頁(yè)”策略已經(jīng)從界面中刪除了“常規(guī)”選項(xiàng)卡。

2使用軟件限制增強(qiáng)系統(tǒng)安全性的設(shè)置

軟件限制策略的目的在于滿足控制未知或不信任的軟件要求，也就是限制某些軟件的使用，可以通過(guò)規(guī)則標(biāo)識(shí)并設(shè)置安全級(jí)別來(lái)指定軟件是否運(yùn)行面達(dá)到客戶端計(jì)算機(jī)的可管理性，安全性，是控制不信任和不允許的軟件在網(wǎng)絡(luò)內(nèi)非法使用。

利用組策略依次展開(kāi)左側(cè)控制臺(tái)，【用戶配置】一【管理模板】-【系統(tǒng)】-【只運(yùn)行許可的WINDOWS程序】和【不要運(yùn)行許可的WINDOWS程序1，如圖2所示。

2.1運(yùn)行許可的WINDOWS應(yīng)用程序策略

在Windows 7中可以使用通過(guò)標(biāo)識(shí)并指定允許運(yùn)行的軟件來(lái)保護(hù)計(jì)算機(jī)免受不信任軟件的干擾，可以為組策略對(duì)象定義不受限制和不允許的安全級(jí)別，從而決定是否在默認(rèn)的情況下允許軟件運(yùn)行。

在組策略編輯器界面中依次打開(kāi)【本地計(jì)算機(jī)策略】中的【系統(tǒng)】菜單，然后選擇右側(cè)窗口中“只運(yùn)行許可的Windows應(yīng)用程序”項(xiàng)目，雙擊打開(kāi)“只運(yùn)行許可的Windows應(yīng)用程序?qū)傩浴苯缑?。選擇“啟用”選項(xiàng)，點(diǎn)擊下面的“顯示”按鈕后，彈出“顯示內(nèi)容”界面，在接下來(lái)的在文本框內(nèi)添加要禁用的程序的所在的文件路徑指向，點(diǎn)擊“確定”按鈕后系統(tǒng)除了能夠運(yùn)行列剛才添加的程序外，不能運(yùn)行其他的應(yīng)用程序。

此時(shí)如果用戶還可以通過(guò)“命令提示字符”（Cmd.exel的方法來(lái)運(yùn)行其他程序，不過(guò)可以通過(guò)以下方法來(lái)阻止用戶訪問(wèn)命令提示符。操作步驟如下：

在組策略編輯器界面中依次打開(kāi)【用戶配置】中的【系統(tǒng)】菜單，然后在右側(cè)窗格中選擇并雙擊“停用命令提示符”，并將此策略禁用。

2.2不要運(yùn)行許可的WINDOWS程序策略

在日常使用計(jì)算機(jī)的過(guò)程中，最令用戶擔(dān)心的是有人在計(jì)算機(jī)上隨便安裝程序，造成系統(tǒng)運(yùn)行緩慢甚至病毒的感染.我們完全可以通過(guò)組策略的“禁用Windows安裝服務(wù)”功能解決問(wèn)題。禁用Windows安裝服務(wù)策略，它既可以防止其他用戶在系統(tǒng)里隨意安裝軟件，也可以允許用戶只能安裝由管理員所提供的程序。具體的操作是：在組策略編輯器界面的左側(cè)依次級(jí)打開(kāi)【本地計(jì)算機(jī)策略】直到打開(kāi)【W(wǎng)indows安裝服務(wù)】，雙擊右側(cè)窗格中“禁用Windows安裝服務(wù)”項(xiàng)目，在彈出的界面中的“策略”選項(xiàng)卡中選擇“啟用”后，在禁用Windows安裝服務(wù)的下拉列表框中選擇策略項(xiàng)即可。

3組策略對(duì)遠(yuǎn)程桌面與打印機(jī)共享這兩個(gè)功能實(shí)現(xiàn)的影響遠(yuǎn)程桌面和打印機(jī)

組策略對(duì)遠(yuǎn)程桌面與打印機(jī)共享這兩個(gè)功能實(shí)現(xiàn)的影響遠(yuǎn)程桌面和打印機(jī)共享是經(jīng)常被用到的兩個(gè)功能，但有時(shí)按照常規(guī)設(shè)置完成后，并不能正常工作，會(huì)出現(xiàn)無(wú)法登陸和連接不上的情況，有可能是組策略的設(shè)置問(wèn)題，下面進(jìn)行一下說(shuō)明。

登陸“遠(yuǎn)程桌面”已啟用的計(jì)算機(jī)時(shí)，會(huì)出現(xiàn)Windows的登陸窗口，輸入用戶：administrator，密碼為空，有時(shí)會(huì)提示“由于賬戶限制，您無(wú)法登陸”，這是因?yàn)榈顷憥舻拿艽a為空的原因。可以在組策略中去掉這一限制。操作步驟：【計(jì)算機(jī)配置】一【W(wǎng)indows設(shè)置】—【安全設(shè)置】一【本地策略】一【安全選項(xiàng)】，將右側(cè)的“賬戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄”停用即可。連接共享打印機(jī)時(shí)，通過(guò)“瀏覽打印機(jī)”可以找到被共享的打印機(jī)，但其狀態(tài)是“拒絕訪問(wèn)”，解決辦法是登陸組策略編輯器，展開(kāi)【計(jì)算機(jī)配置】-【W(wǎng)indows設(shè)置】-【安全設(shè)置】一【本地策略】一【安全選項(xiàng)】，雙擊“網(wǎng)絡(luò)訪問(wèn)：本地賬戶的共享和安全模式”.在彈出的對(duì)話框中選中僅來(lái)賓模式就可以了。