组策略(Group Policy)是Microsoft Windows系统管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。
启动方式
开始菜单->运行->输入“gpedit.msc”->确定根目录:C:\Windows\System32\gpedit.msc(如果是Windows2000,那么其目录是C:\WINNT\SYSTEM32\gpedit.msc)
注册表
注册表是Windows系统中保存系统软件和应用软件配置的数据库,而
组策略界面图随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
主要版本
对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,主要应用于Windows 2000/XP/2003/7/2008等操作系统中。早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。根目录:C:\WINDOWS\system32 或者C:\WINNT\system32(Windows 2000下)
运行方式
一般运行在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,输入“gpedit.msc”并确定,即可运行组策略。使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开:
Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。
单元”菜单命令,在打开的对话框中单击“添加”按钮。
单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。
组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
策略管理单元即打开要编辑的组策略对象。
配置”、“已禁用”选项即可对计算机策略进行管理。
MMC管理单元若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下:(1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。打开Microsoft管理控制台窗口。(2)选择“文件”菜单下的“添加/删除管理单元”命令。(3)在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。(4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。(5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按扭查找所需的组策略对象。(6)单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的组策略对象。软件限制策略软件限制策略是 Microsoft Windows XP 和 Microsoft Windows Server 2003 中的一项新功能。它们提供了一套策略驱动机制,用于指定允许执行哪些程序以及不允许执行哪些程序。软件限制策略可以帮助组织免遭恶意代码的攻击。也就是说,软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护。
使用攻略
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。考虑到安全方面的原因,Windows 7已经开发了许多新的和增强的组策略功能和服务,帮助您更好地保护计算机上驻留的数据、功能和服务。这些功能的配置取决于您的具体要求和使用环境,本文将主要介绍Windows 7组策略的安全使用技巧,介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。
系统安全
禁止运行指定程序系统启动时一些程序会在后台启动,这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止,操作起来非常不便,通过组策略则非常方便,这对减少系统资源占用非常有效。通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。具体步骤如下:
「开始」菜单,在“运行”框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
配置→管理模板→系统”,然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。
双击“不要运行指定的Windows应用程序”
程序如“Wgatray.exe”即可。
图2 添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中,仍然是不能运行的。要恢复指定的受限程序的运行能力,可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”,或者将指定的应用程序从不允许运行列表中删除(这要求删除后列表不会成为空白的)。这种方式只阻止用户运行从Windows资源管理器中启动的程序,对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行,其用户对象的作用范围是所有的用户,不仅仅是受限用户,Administrators组中的账户甚至是内建的administrator帐户都将受到限制,因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时,需要先通过组策略编辑器将该应用程序从不运行运行列表中删除,在程序运行完成后,再将该程序添加到不允许运行程序列表中。需要注意的是,不要将组策略编辑器(gpedit.msc)添加到禁止运行程序列表中,否则会造成组策略的自锁,任何用户都将不能启动组策略编辑器,也就不能对设置的策略进行更改。提示:如果没有禁止运行“命令提示符”程序的话,用户可以通过cmd命令,从“命令提示符”运行被禁止的程序,例如,将记事本程序(notepad.exe)添加不运行列表中,通过桌面和菜单运行该程序是被限制的,但是在“命令提示符”下运行notepad命令,可以顺利的启动记事本程序。因此,要彻底的禁止某个程序的运行,首先要将cmd.exe添加到不允许运行列表中。如果禁止程序后组策略无法使用可以通过以下方法来恢复设置:重新启动计算机,在启动菜单出现时按F8键,在Windows高级选项菜单中选择“带命令行提示的安全模式”选项,然后在命令提示符下运行mmc.exe。在打开的“控制台”窗口中,依次点击“文件→添加/删除管理单元→添加→组策略→添加→完成→关闭→确定”,添加一个组策略控制台,接下来把原来的设置改回来,然后重新进入Windows即可。锁定注册表编辑器注册表编辑器是系统设置的重要工具,为了保证系统安全,防止非法用户利用注册表编辑器来篡改系统设置,首先必须将注册表编辑器予以禁用。具体操作步骤如下:
配置→管理模板→系统”。
注册表编辑工具”
阻止访问注册表编辑工具图4 双击“阻止访问注册表编辑工具”此策略被启用后,用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。若要防止用户使用其他管理工具,请使用“只运行指定的 Windows 应用程序”设置。提示:解除注册表锁定与禁用注册表编辑器方法步骤相同,双击右侧窗格中的“阻止访问注册表编辑器”,在弹出的窗口中选择“已禁用”或“未配置”,点击“确定”按钮后退出组策略编辑器,即可为注册表解锁。这项设置是一把双刃剑:如果设为“已禁用”,则有一些正常软件(大部分软件需要与注册表打交道)有可能不能使用,甚至无法安装;如果设置为“已启用”,则在杀毒软件的监护之外,为恶意程序留下隐患。阻止访问命令提示符命令提示符下有许多危险的操作,要阻止非法用户使用命令提示符窗口(Cmd.exe),远离各种不可预料的风险,具体步骤如下:
组策略对象编辑器。
组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→系统”,在右侧窗格中双击“阻止访问命令提示符”(如图5所示),打开目标策略属性设置对话框。
双击“阻止访问命令提示符”
命令提示符”属性对话框中勾选已启用(如图6所示),按“确定”即可。
“阻止访问命令提示符”属性对话框如果启用这个设置,用户试图打开命令窗口,系统会显示一个消息,解释设置阻止这种操作。这个设置还决定批处理文件(.cmd和.bat)是否可以在计算机上运行。提示:如果计算机使用登录、注销、启动或关闭批文件脚本,不能防止计算机运行批处理文件;也不能防止使用终端服务的用户运行批处理文件。禁止修改系统还原“系统还原”是Windows 7的一项很重要的功能,如果您对计算机的安全性要求很高,或是计算机是一台公用的计算机,有很多人会去使用,那么为了保证系统的可操作性,将“系统还原”所占用的磁盘空间设置得大一些很有必要。但是如果这个设置被人更改,就会造成以前创建的还原点中信息的丢失。您可以在“组策略”中禁止对“系统还原”的配置进行修改。具体操作步骤如下:
计算机配置→管理模板→系统→系统还原”,在右侧窗格中双击“关闭配置”(如图7所示),打开目标策略属性设置对话框。
双击“关闭配置”
配置”属性对话框中勾选“已启用”,按“确定”。“系统还原”配置界面上配置系统还原的选项就会消失。如果选择“已禁用”(如图8所示),则仍可看见配置界面,但是,所有系统还原配置默认值都有效。
“关闭配置”属性对话框注意:该配置必须重新启动计算机才会生效。设置虚拟内存页面对于重要文件,您可以通过加密和设置权限以禁止其他无关人员访问,不过您可知道,如果真的有必要,他人完全可以通过其他途径获得您的机密信息,那就是虚拟内存页面文件。虚拟内存页面文件作为物理内存的补充,用途是在硬盘和内存之间交换数据,而虚拟内存页面文件本身就是硬盘上的一个文件,它位于系统所在硬盘分区的根目录中,文件名为pagefile.sys。一般情况下,当您运行程序时,这些程序的一部分内容可能会被临时保存到分页文件上,而如果您编辑完这个文件后立刻就关闭了系统,那么文件的一些内容仍然有可能被保存在虚拟内存页面文件中。在这种情况下,如果有人得到了这台电脑的硬盘,那么只要把硬盘拆出来,利用特殊的软件,就可以将虚拟内存页面文件中的机密信息读取出来。通过配置组策略,您可以避免这种潜在的危险。
计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧窗格中双击“关机:清除虚拟内存页面文件” (如图9所示),打开目标策略属性设置对话框。
双击“关机:清除虚拟内存页面文件”
页面文件”属性对话框中勾选“已启用”(如图10所示),按“确定”即可。
“关机:清除虚拟内存页面文件”属性对话框启用这个策略后,关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满,这样所有的信息自然也都会消失。提示:这样做会减慢系统的关闭速度,如果不是非常必要,不建议您启用这个策略。防止菜单泄漏隐私在「开始」菜单中有一个“我最近的文档”菜单项,可以记录您曾经访问过的文件。这个功能可以方便用户再次打开该文件,但别人也可通过此菜单访问您最近打开的文档,为安全起见,可屏蔽此项功能。具体操作步骤如下:
「开始」菜单和任务栏”,分别在右侧窗格中双击“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”(如图11所示),打开目标策略属性设置对话框。
双击“退出时清除最近打开的文档的历史”如果启用“退出时清除最近打开的文档的历史”设置,系统就会在用户注销时删除最近使用的文档文件的快捷方式。因此,用户登录时,「开始」菜单上的“最近的项目”菜单总是空的。如果禁用或不配置此设置,系统就会保留文档快捷方式,这样用户登录时,“最近的项目”菜单中的内容与用户注销时一样。提示:系统在“系统驱动器\Documents and Settings\用户名\我最近的文档”文件夹中的用户配置文件中保存文档快捷方式。当没有选择“从开始菜单删除最近的项目菜单”和“不要保留最近打开的文档的历史”策略任何一个相关设置时,此项设置才能使用。别让搜索泄露隐私快捷搜索框是Windows 7的一大特色,尤其在执行文件夹搜索时非常方便。不过这一功能有时也特别令人尴尬,那就是会自动保存下所有历史搜索,而且并没有提供清除功能,其中一些隐私内容就会挥之不去。使用组策略随时清空搜索历史是一个很好的补救措施,具体步骤如下: 双击“在Windows资源管理器搜索框”
自动保存了。
选择“已启用”设置桌面小工具现在的病毒和木马真是十分的狡猾,竟然能够利用桌面小工具(Windows Vista中称边栏小工具)入侵系统,虽然系统能够检测到如:“天气与生活”这款小工具没有得到微软认可的有效数字签名,但用户只要单击“安装”按钮,即可顺利完成安装进程。如何防止这些没有签证的桌面小工具给系统可能带来的潜在危险呢?通过组策略可以拒绝使用没有签证的桌面小工具,具体操作步骤如下:
windows组件→桌面小工具”,在右侧窗格中双击“限制未经数字签名的小工具的解包和安装”(如图14所示),打开目标策略属性设置对话框。
双击“限制未经数字签名的小工具的解包和安装”
数字签名的小工具的解包和安装”属性对话框中勾选“已启用”(如图15所示),按“确定”,则 Windows桌面小工具不会提取未经数字签名的任何小工具。
“限制未经数字签名的小工具的解包和安装”提示:默认情况下,Windows桌面小工具是可以安装未签名的工具软件,但是如果启用上述设置,Windows桌面小工具将不会再允许用户安装未经签名的软件,包括一些压缩文件。这将给用户的系统带来一定的安全保障。完全禁止使用U盘现在U盘已经相当普及,电脑里面的资料很容易被复制,这对电脑中的资料无疑是一种威胁。如果您的电脑中有一些重要的资料,那就要小心了。难道要把USB端口给拆下来吗?当然不是。其实运用Windows 7系统本身的禁止使用USB设备的功能,就能彻底解决这一问题。具体操作步骤如下:图16 打开“所有可移动存储类:拒绝所有权限”图17 “所有可移动存储类:拒绝所有权限”属性框禁止数据写入U盘如果您不准备完全禁止USB设备,希望能读取U盘的内容,只是禁止数据写入U盘。具体操作步骤如下:
可移动磁盘:拒绝写入权限”(如图18所示),打开目标策略属性设置对话框。
双击“可移动磁盘:拒绝写入权限”
可移动磁盘:拒绝读取权限”属性对话框中勾选“已启用”(如图19所示),按“确定”按钮即可。
“可移动磁盘:拒绝读取权限”属性对话框提示:以上对U盘进行了禁止写入设置。如果要U盘禁止读取,而允许写入数据,那可以启用“可移动磁盘:拒绝读取权限”来实现。允许识别指定U盘以上“禁止使用U盘”和 “禁止数据写入U盘”两项设置,在保护自己电脑资料的同时也给自己带来了很大的不便,如何让系统只能使用指定的U盘或者移动硬盘呢?通过组策略“允许识别指定U盘”可能解决这一问题。操作步骤如下:
控制面板”,双击“硬件和声音”、“设备管理器”(如图20所示)。
双击“硬件和声音”、“设备管理器”图21 展开“便携设备”
通用串行总线控制器”中“USB大容量存储设备”的硬件ID,在“设备管理器”中展开“通用串行总线控制器”列表,找到“USB大容量存储设备”(如图22所示)。
找到“USB大容量存储设备”图23 复制出U盘硬件ID
「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”(如图24所示)。
双击“禁止安装未由其他策略设置描述的设备”
策略设置描述的设备”,在弹出的窗口中选择“已启用”,再点击“确定”按钮,设置它可以来禁止策略没描述的USB设备(如图25所示)。
禁止安装未由其他策略设置描述的设备图26 允许安装与下列设备ID相匹配的设备禁止光盘自动播放光盘自动播放虽然能给您带来了许多便利,但有些时候也会带来不少麻烦。默认状态下,当您将光盘插入光驱时,系统就会自动读取光驱,并启动autorun.inf指定的应用程序。这一默认状态对系统来说是极不安全的,说不定自动运行的是一个木马程序。有时插入光盘仅仅是想查看一下光盘中的内容,自动播放功能会使您这一简单想法的实现变得复杂。关闭光盘自动播放实属明智之举。用组策略可以关闭光盘自动播放功能,具体操作步骤如下:
windows组件→自动播放策略”,在右侧窗格中双击“关闭自动播放”(如图27所示),打开目标策略属性设置对话框。
双击“关闭自动播放”图28 “关闭自动播放”对话框注意:插入光盘时按住shift键可禁止光盘自动播放。这种方式最好能成为使用陌生光盘时的一种操作习惯。此设置不阻止自动播放音乐CD。禁止安装移动设备如果不希望其他人在您的电脑上随便使用移动设备,则可以通过组策略禁止安装可移动设备。具体操作步骤如下:
计算机配置→管理模块→系统→设备安装→设备安装限制”,在右侧窗格中双击“禁止安装可移动设备”(如图29所示),打开目标策略属性设置对话框。
双击“禁止安装可移动设备”
驱动程序。
如果未配置或禁用了此设置,那么,只要其他策略设置允许安装设备,就可以安装可移动设备和更新现有的可移动设备。提示:此策略设置比允许安装设备的任何其他策略设置的优先级都高。如果此策略设置禁止安装某个设备,那么,即使该设备与允许安装它的其他策略设置相匹配,也将无法安装或更新该设备。对于此策略,当设备所连接到的设备驱动程序该设备可移动时,设备被认为是可移动设备。例如,设备连接到的 USB 集线器的驱动程序报告某个通用串行总线(USB)设备是可移动设备。如果此计算机是一台终端服务器,则启用此策略还会影响指定的设备从终端服务客户端重定向到此计算机。注意:禁止安装可移动设备对提高系统安装性能非常有效,使用此设置可防止可移动设备如U盘的使用。限制使用驱动器若要防止用户使用“我的电脑”访问所选驱动器的内容,可按以下步骤操作:
我的电脑’访问所选驱动器的内容”,打开目标策略属性设置对话框。
我的电脑’访问所选驱动器的内容”属性对话框中勾选“已启用”,并在下面列表框中选择一个驱动器或几个驱动器,按“确定”即可。
如果启用此设置,则用户可以浏览“我的电脑”或 Windows 资源管理器中所选驱动器的目录结构,但是无法打开文件夹或访问其中的内容。此外,他们也无法使用“运行”对话框或“映射网络驱动器”对话框来查看这些驱动器上的目录。若要使用此设置,请从下拉列表中选择一个驱动器或多个驱动器的组合。若要允许访问所有驱动器目录,请禁用此设置或从下拉列表中选择“不限制驱动器”选项。注意: 代表指定驱动器的图标仍会出现在“我的电脑”中,但是如果用户双击这些图标,则会出现一条消息来解释设置防止这一操作。右侧窗格中“隐藏‘我的电脑’中的这些指定的驱动器”可配合使用,此组策略可以从“我的电脑”和“Windows资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。我的桌面你别改若要禁止别人改动桌面某些设置,防止用户保存对桌面进行的某些更改。具体操作步骤如下:
桌面”,然后在右侧对话框中选中并双击“退出时不保存设置”。
桌面的更改。
如果启用了此设置,那么,用户可以更改桌面,但是某些更改(如已打开窗口的位置、任务栏的大小及位置)在用户注销后不会保存。但是,桌面上的快捷方式始终得以保存。时,许多黄色或是暴力的内容会进入我们的视野,虽然有第三方软件和利用分级审查功能可以阻止这些内容,但只要拥有管理员权限,分级审查是可以更改的。利用组策略,可以禁止更改分级审查。具体操作步骤如下:
分级审查。
提示:禁用更改分级审查的前提是分级审查的设置已经完成。“禁用分级页”策略(位于“\用户配置\管理模板\Windows 组件\Internet Explorer\Internet控制面板”中)可以在“控制面板”中,将“分级”选项卡从“Internet Explorer”删除,它优先于此策略。如果已启用,则会忽略此策略。
管理模板编辑在Windows 2000/XP/2003中包含几个ADM文件。这些文件是文本文件,被称为“管理模板”,它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。在Windows 2000/XP/2003中,默认的Admin.adm管理模板位于系统文件夹的INF文件夹中,包含了默认安装下的4个模板文件,分别为:
策略”中,用于系统设置。
策略”中,用于Internet
Explorer(IE)策略设置。Player设置。在策略管理控制台中,可以多次添加“策略模板”,下面让我们来看看具体操作:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,单击鼠标右键,选择“添加/删除模板”命令,然后在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中,一个单一的系统策略文件(例如ntconfig.pol)包括所有的可以执行的策略功能,但它依赖于用户计算机中的系统注册表的设置。在Win2K中,GPO包括文件和AD对象。通过组策略,可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装,这样在安装软件时就可以对文件夹进行重定向。微软管理控制台(MMC)中的组策略编辑器(GPE)插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点(例如软件设置、Windows 设置、管理模块等)都是MMC插件扩展,在MMC插件中扩展是可选的管理工具,如果你是应用程序开发者,可以通过定制的扩展拓展GPO的功能,从而针对你的应用程序提供附加的策略控制。只有运行Win2K的系统可以执行组策略,运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。
相关技巧
操作系统限制 组策略仅用于NT核心的系统。不支持Windows XP Home Edition、Starter Edition及Windows Vista Home Basic Edition、Starter Edition。在Windows Vista中,组策略文件的扩展名改为admx。继续使用adm文件会引起一些奇怪的故障。这里的x应该指extension(扩展),像aspx及那些Office 2007文件一样。操作相关技巧一暂时隐藏不用的策略如果你是初学使用组策略,肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花,由于不熟悉每个策略的具体位置,有时候为了配置一个策略您可能要在组策略编辑器里翻找大半天,这时候我们就可以使用组策略编辑器的“筛选”功能。在“开始”菜单的“运行”中输入“gpedit.msc”打开组策略编辑器,在左侧窗格中选择一个目录,单击右键,在弹出的快捷菜单中选择“查看→筛选”命令打开“筛选”对话框,在该对话框上,我们可以选择组策略编辑器只显示配置了的策略,也可以选择组策略编辑器只显示针对特定软件的策略,我们可以选择只显示Windows XP Professional以上的操作系统才能管理的策略。操作相关技巧二禁用“用户配置”或“计算机配置”策略组策略编辑器中的策略分为两类:计算机配置和用户配置。如果你想知道当前系统中这两类策略分别有多少项被配置过,或者你想隐藏其中一类配置,则可以使用这样的方法:打开组策略编辑器,右键单击左窗格目录树的根目录“本地计算机策略”,然后在弹出的快捷菜单上选择“属性”打开“本地计算机策略属性”对话框,在该对话框上“创建”一栏显示了该组策略管理单元生成的时间,一般情况下它就是操作系统的安装时间;而“修改”中则显示的是最后一次设置组策略的时间;“修订”一栏显示了这两个分类中各自有多少策略被配置过;如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方勾选相应的复选框。操作相关技巧三编辑远程计算机的组策略组策略不仅可以本地编辑,而且还可以远程编辑。在“开始”菜单上单击“运行”,输入“mmc”打开MMC控制台(Microsoft Management Console),在默认情况下,MMC控制台新建并打开了一个“控制台1”的文件,在MMC控制台的菜单栏选择“文件→添加/删除管理单元”命令,打开“添加/删除管理单元”对话框,在该对话框上单击“添加”,在弹出的独立管理单元列表对话框上选择“组策略”并单击“添加”,在接下来的对话框上我们就可以选择是编辑本地计算机的组策略,还是编辑远程计算机的组策略,系统默认的选择是编辑本地计算机的组策略,单击“浏览”,在选择另一台计算机的对话框中输入计算机在域中的路径,或者单击“高级”选择工作组中的另外一台计算机。选择以后单击“确定”就会在“控制台1”中打开该远程计算机的组策略。现在好了,利用这个控制台文件我们就可以编辑远程计算机的组策略了,编辑完成后您还可以把“控制台1”保存为一个“??.msc”的文件,这样,当有需要时,您还可以双击该文件继续远程编辑该计算机的组策略。[1] 操作相关技巧四在组策略编辑器中禁止从“我的电脑”窗口访问驱动器一般的用户会习惯在“我的电脑”或“Windows资源管理器”窗口中访问磁盘驱动器,为保证服务器数据安全,可以通过编辑组策略禁止从以上位置访问驱动器。在“组策略编辑器”窗口中依次展开“用户配置”→“管理模板”→“Windows组件”目录,并选中“Windows资源管理器”选项。在右窗格中将“防止从‘我的电脑’访问驱动器”策略设置为“已启用”状态,并在驱动器列表框中选择一个或几个驱动器。通过这样的设置,不仅可以禁止用户从“我的电脑”或“资源管理器”窗口中访问驱动器,还可以禁止使用“运行”对话框、镜像网络驱动器对话框或在“命令提示符”窗中使用Dir命令查看驱动器上的目录。操作相关技巧五在组策略编辑器中禁用“注册表编辑器”“注册表编辑器”是Windows系统中的敏感部位,为防止非法用户登录服务器后修改注册表,可以通过编辑组策略来禁止对注册表的访问。在“组策略编辑器”窗口中依次展开“用户配置”→“管理模板”目录,并选中“系统”选项。然后在右窗格中将“阻止访问注册表编辑工具”策略设置为“已启用”状态,这样当用户试图打开“注册表编辑器”的时候,系统会禁止用户的操作并弹出提示消息。
解决方法
方法1将Framedyn.dll文件从C:\Windows\System32\drivers目录下拷贝到C:\Windows\System32目录下,再重新注册一下gpedit.dll。方法:是【开始】—>【运行】输入regsvr32空格gpedit.dll后回车看看提示是否注册成功。
方法21、在【开始】—>【运行】中依次运行以下命令:“regsvr32 fde.dll”、“regsvr32gpedit.dll”、“regsvr32 gptext.dll”、 “regsvr32 wsecedit.dll”分别注册这4个动态数据库。2、最后单击【开始】—>【运行】输入“gpedit.msc”便可以启动组策略了。[2]
常用命令
Get-GPOGet-GPO命令可以检索到每一个组策略对象(GPO)的所有信息。而且可以根据GPO的名称,GPO的GUID来检索组策略信息,也可以使用-all选项来检索域中的所有组策略。虽然通过GPMC也能获取这些信息,但是命令的输出还能列出一些通常会错过的信息,如GPO的所有者,创建时间,最后的修改时间以及启用还是禁用的信息。在网络中对于组策略问题进行排错时,这些信息将至关重要。Backup/Restore-GPO虽然可以通过系统状态的备份来对GPO进行备份,但是通过一个专门的任务对组策略进行单独备份也是一个不错的主意,毕竟这会让GPO的恢复变得更加容易。幸运的是,使用PowerShell命令backup-GPO就可以做到。与Get-GPO协作,可以根据GPO的名称,GUID或者使用-all选项来指定备份的GPO。这个命令最有用的部分是可以使用PowerShell脚本来定时进行备份:Backup-Gpo -Name CompanyGPO -Path C:\GPO-Backup -Comment "Monthly Backup"Restore-GPO命令可以将GPO还原到指定的域。然而,如果使用backup-GPO和restore-GPO命令来迁移组策略对象,需要保证Windows Server2008操作系统版本的一致性。也就是说,Windows Server 2008 R2的GPO将只能由Windows Server 2008 R2进行恢复。Get-ResultantSetOfPolicy很久以前,GPMC就都可以提供组策略的结果报告,这对于组策略的规划和记录来说都是一个非常有用的工具。如果你使用PowerShell命令get-ResultantSetOfPolicy,也可以迅速得到组策略的结果,而且报告可以是HTML的格式。例如,如果你想检查一个特定的用户在特定的计算机上组策略设置的结果,可以运行以下的命令,命令的结果会产生一个所有信息的HTML文档:Get-GPResultantSetofPolicy -user domain\domain.user -reporttype html -path c:\GPO-Reports\UserGPOReport.html使用所有提到的cmdlet,PowerShell还能够提供一种额外的管理能力,那就是将这些命令脚本化,并按照计划执行,这样就可以更有效的监控组策略基础架构的运行状况。Set/Remove – GPLinkGPLink的cmdlet可以创建和删除GPO与OU之间的关联关系。虽然在GPMC中执行这项任务也非常容易,但是cmdlet还可以提供另一个方便的管理工具。假如需要一个GPO只是在每个月的某一天运行,其它时间禁止运行。可以在这一天计划运行GP link命令将GPO和需要的OU关联起来,并在这一天结束前将GPO的关联删除,整个过程系统自动处理,无需手工运行。还可以使用其它GPO命令与GPLink的cmdlet进行组合,通过使用管道命令执行remote-GPLink,以下示例就是如何指定一条组策略或继承组策略,然后删除其链接:(Get-GPInheritance -Target "ou=CompanyOU,dc=domain,dc=com").GpoLinks | Remove-GPLinkGet-GPPermissions组策略有时会应用失败的原因之一是因为在GPO上不正确的权限设置。Get-GPPermissions cmdlet会生成详细的报告,报告中会显示GPO的访问控制列表(ACL)以及应用的权限。所以,如果想准确的了解谁对某个GPO有权限,可以使用下列命令:Get-GPPermissions -Name CompanyGPO -TargetName "Company" - TargetType Group命令会给出以下的输出:Trustee: Domain UsersTrusteeType: GroupPermissionLevel: GpoReadInherited: False [3]
组策略基础知识学习编辑组策略的存在时间已经超过了15年。每个Windows Server版本中都会引入新特性,但组策略的基础内容自从Windows 2000引入以来基本上没有发生变化。通过使用组策略,Windows管理员可以为用户和计算机实现特定的配置以及定义安全、用户和网络策略。组策略这些设置集合在一起叫做组策略对象。Windows Server 2016的配置过程作了一些调整,但组策略的设置仍应用在本地、站点、域和组织单元级别。GPO的级别是很重要的,因为新组策略会覆盖先前应用的策略。以防万一,组策略管理员应该在较高的级别进行设置,组策略级别越高影响到的用户就越多。相反,特定的组策略设置应该设置在较低的级别,这样就不容易被遗漏。组策略编辑器是微软管理控制台一个嵌入式的管理单元。PowerShell命令自Windows Server 2008版本开始引入 。组策略在用户和计算机部分,你会发现组策略设置是分等级的,就像一个目录结构。相似的组策略设置集合在一起方便查询。不过这是理想的——不可否认,有时候想要找到某个具体的组策略或配置事实上极具挑战。
