组策略编辑器的使用组策略编辑器的使用
使用组策略
在 Microsoft Windows XP 中,可以使用组策略为用户和计算机组定义用户和计算机配置。通过使用组策略 Microsoft Management Console (MMC) 管理单元,您可以为特定的用户和计算机组创建特定的桌面配置。您创建的组策略设置包含在组策略对象中,后者进而与选定的 Active Directory 容器(如站点、域或组织单位 (OU))关联。 使用组策略管理单元,
• 基于注册表的策略。 您可以为以下各项指定策略设置:
包括针对 Windows XP 操...
组策略编辑器的使用
使用组策略
在 Microsoft Windows XP 中,可以使用组策略为用户和计算机组定义用户和计算机配置。通过使用组策略 Microsoft Management Console (MMC) 管理单元,您可以为特定的用户和计算机组创建特定的桌面配置。您创建的组策略设置包含在组策略对象中,后者进而与选定的 Active Directory 容器(如站点、域或组织单位 (OU))关联。 使用组策略管理单元,
• 基于注册表的策略。 您可以为以下各项指定策略设置:
包括针对 Windows XP 操作系统及其组件以及针对所有程序的组策略。为管理这些设置,请使用组策略管理单元的“管理
”节点。
• 安全选项。
包括本地计算机、域和网络安全设置的选项。
• 软件安装和维护选项。
用来集中管理程序的安装、更新和删除。
• 脚本选项。
包括用于计算机启动和关闭以及用户登录和注销的脚本。
• 文件夹重定向选项。
这些选项允许管理员将用户的特殊文件夹重定向到网络上。
使用组策略,您可以一次性地定义用户工作环境的状态,以后就可以靠系统来实施您定义的策略。
为了使用组策略编辑器,您必须使用一个有管理员权限的帐户登录到计算机。 1. 单备注:
击开始,然后单击运行。
2. 在打开框中,键入 mmc,然后单击确定。
3. 在文件菜单上,单击添加/删除管理单元。
4. 单击添加。
5. 在 Available Stand-alone Snap-ins(可用的独立管理单元)菜单上,单击组策略,然后单击添加。
6. 如果您不希望编辑“本地计算机”策略,请单击浏览以找到您希望的组策略。如果提示您输入用户名和密码,请输入,然后在返回“选择组策略对象”对话框后单击完成。
备注:您可以使用浏览按钮来找到链接到站点、域、组织单位 (OU) 或计算机的组策略对象。使用默认的组策略对象 (GPO)(本地计算机)编辑本地计算机的设置。 7. 单击关闭,然后在添加/删除管理单元对话框中,单击确定。
选定的 GPO 即显示在控制台根节点下。
回到顶端
如何使用组策略编辑器
组策略管理单元包含以下主要分支: • 计算机配置
管理员可以使用“计算机配置”来设置应用到计算机的策略,而不管谁登录到了计算机。“计算机配置”通常包含软件设置、Windows 设置以及管理模板的子项。 • 用户配置
管理员可以使用“用户配置”来设置应用到用户的策略,而不管他们登录到哪台计算机。“用
户配置”通常包含软件设置、Windows 设置以及管理模板的子项。
若要使用组策略编辑器,请按照下列步骤操作: 1. 展开所需的 GPO。例如,本地计算机策略。
2. 展开所需的配置项。例如,计算机配置。
3. 展开所需的子项。例如,Windows 设置。
4. 导航到包含您希望的策略设置的文件夹。策略项显示在“组策略编辑器”管理单元的右窗格中。
备注:如果选定的项未定义策略,请右键单击您希望的文件夹,在出现的快捷菜单中,指向所有任务,然后单击所需的命令。在所有任务子菜单中出现的命令是上下文相关的。只有那些适用于所选策略文件夹的命令才出现在菜单中。
5. 在设置列表中,双击您希望的策略项。
备注:当您在管理模板文件夹中处理策略项时,如果您希望查看有关选定策略项的更多信息,请在 MMC 的右窗格中单击扩展选项卡。
6. 编辑出现的对话框中的设置,然后单击确定。
7. 完成之后,退出 MMC。
回到顶端
示例
下面的示例演示了如何使用“组策略编辑器”自定义 Windows XP 用户界面。在此示例中,我们将使用“组策略编辑器”来暂时从开始菜单中删除关闭计算机按钮。为此,请按照下列
通过使用本文如何启动组策略编辑器 一节中提供的步骤启动“组策略编辑步骤操作: 1.
器”并打开“本地计算机”策略。
备注:可以从命令行启动“组策略编辑器”管理单元。这将自动加载本地计算机 GPO。为此,请按照下列步骤操作: a. 单击开始,然后单击运行。
b. 在打开框中,键入 Gpedit.msc,然后单击确定。
2. 展开用户配置(如果它尚未展开)。
3. 在用户配置下,展开管理模板。
4. 单击“开始菜单和任务栏”。
5. 在右窗格中,双击“删除和禁用“关闭计算机”按钮”。
6. 单击启用,然后单击应用。
7. 单击开始。
您会注意到关闭计算机按钮已不再显示。
8. 选择“删除和禁用“关闭计算机”按钮”对话框。
9. 单击未配置,然后单击应用,然后单击确定。
10. 单击开始。
您会注意到关闭计算机按钮又显示在开始中。
11. 退出“组策略编辑器”管理单元。
Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。
一、给我们的IP添加安全策略
在“计算机配置”?“Windows设置”?“安全设置”?“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。
小提示 :由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
二、隐藏驱动器
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置?管理模板?Windows组件?Windows资源管理器”。
三、禁用指定的文件类型
在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:
1. 打开组策略,点击“计算机配置?Windows设置?安全设置?软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。
2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
3. 双击“安全级别?不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。
4.要取消此软件限制策略的话,双击“安全级别?不受限的”,打开“不受限的 属性”窗口,按“设为默认值”即可。
如果你鼠标右键点击“计算机配置?Windows设置?安全设置?软件限制策略?其他规则”,你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。
提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
四、未经许可,不得在本机登录
使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置?Windows设置?安全设置?本地策略?用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现。
如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。
五、给“休眠”和“待机”加个密码
只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置?管理模板?系统?电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”(图5),那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。
六、自动给操作做个
在“计算机配置?Windows设置?安全设置?本地策略?审核策略”上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。
我们应该养成经常在“控制面板?管理工具?事件查看器”里查看事件的好习惯。比如,当你修改过“组策略”后,系统就发生了问题,此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核,只要双击相应的项目,选中“成功”和“失败”两个选项即可。
注意:Windows XP Home Edition没有“组策略”,只有Windows XP Professional版本才有“组策略”,这一点注意。
七、限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”?“管理模板”?“Windows组件”?“Internet Explorer”
?“浏览器菜单”分支。双击右侧窗格中的“„文件?菜单:禁用„另存为…?菜单项”,在打开的设置窗口中选中“已启用”单选按钮(如图7)。
提示 : 我们还可以对“„文件?菜单:禁用另存为网页菜单项”、“„查看?菜单:禁用„源文件?菜单项”和“禁用上下文菜单”等策略项目进行修改,这样我们的IE将会安全一些。
八、禁止修改IE浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”?“管理模板”?“Windows 组件”?“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可。
(1)在图8,还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
(2)如果设置了位于“用户配置”?“管理模板”?“Windows 组件”?“Internet Explorer”?“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
(3)逐级展开“用户设置”?“管理模板”?“Windows组件”?“Internet Explorer”分支,我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。
九、把Administrator藏起来
Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击“开始?运行”,输入gpedit.msc,打开“组策略”,如图9所示,选择“计算机配置?Windows设置?安全设置?本地策略?安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。
提示:为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击“交互式登录:不显示上次的用户名”子项,选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。
十.禁用IE组件自动安装
选择“计算机配置”?“管理模板”?“Windows组件”?“Internet Explorer”项目,双击右边窗口中“禁用Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮(如图10),将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!
小提示
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。
注册表是Windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
恶意网站往往通过修改注册表来破坏我们的系统,甚至禁用注册表,也就是通过修改注册表来给注册表自身加锁,当注册表被锁定以后,我们也可以在系统中解除锁定。
一、单击“开始”-“运行”,输入“gpedit.msc”,打开组策略编辑器。
二、在“组策略编辑器”对话框中,选择“„本地计算机?策略”-“用户配置”-“管理模块”-“系统”。
三、在“系统”右边对应的选项列表中,选择“阻止访问注册表编辑工具”。
四、右键单击“阻止访问注册表编辑工具”,选择“属性”。
五、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已启用”,单击“确定”按钮。锁定注册表编辑器。
六、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已禁用”,单击“确定”按钮。解除锁定注册表编辑器。
默认安装WINDOWS系统的情况下,所有的硬盘都是隐藏共享,据说是为了管理方便,把系统安装分区自动进行共享,这样可以在网络中访问你的资源,不过这些默认共享的目录是只有系统管理员才能够在网络中查看的,因为在在共享名后边加上了美元号($),除非别人知道这个共享,否则他是找不着的。虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
本文档为【组策略编辑器的使用】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。