组策略编辑器的使用

组策略编辑器的使用 使用组策略 在 Microsoft Windows XP 中，可以使用组策略为用户和计算机组定义用户和计算机配置。通过使用组策略 Microsoft Management Console (MMC) 管理单元，您可以为特定的用户和计算机组创建特定的桌面配置。您创建的组策略设置包含在组策略对象中，后者进而与选定的 Active Directory 容器(如站点、域或组织单位 (OU))关联。 使用组策略管理单元， • 基于注册表的策略。 您可以为以下各项指定策略设置: 包括针对 Windows XP 操作系统及其组件以及针对所有程序的组策略。为管理这些设置，请使用组策略管理单元的“管理”节点。 • 安全选项。 包括本地计算机、域和网络安全设置的选项。 • 软件安装和维护选项。 用来集中管理程序的安装、更新和删除。 • 脚本选项。 包括用于计算机启动和关闭以及用户登录和注销的脚本。 • 文件夹重定向选项。 这些选项允许管理员将用户的特殊文件夹重定向到网络上。 使用组策略，您可以一次性地定义用户工作环境的状态，以后就可以靠系统来实施您定义的策略。 为了使用组策略编辑器，您必须使用一个有管理员权限的帐户登录到计算机。 1. 单备注: 击开始，然后单击运行。 2. 在打开框中，键入 mmc，然后单击确定。 3. 在文件菜单上，单击添加/删除管理单元。 4. 单击添加。 5. 在 Available Stand-alone Snap-ins(可用的独立管理单元)菜单上，单击组策略，然后单击添加。 6. 如果您不希望编辑“本地计算机”策略，请单击浏览以找到您希望的组策略。如果提示您输入用户名和密码，请输入，然后在返回“选择组策略对象”对话框后单击完成。 备注:您可以使用浏览按钮来找到链接到站点、域、组织单位 (OU) 或计算机的组策略对象。使用默认的组策略对象 (GPO)(本地计算机)编辑本地计算机的设置。 7. 单击关闭，然后在添加/删除管理单元对话框中，单击确定。 选定的 GPO 即显示在控制台根节点下。 回到顶端 如何使用组策略编辑器 组策略管理单元包含以下主要分支: • 计算机配置 管理员可以使用“计算机配置”来设置应用到计算机的策略，而不管谁登录到了计算机。“计算机配置”通常包含软件设置、Windows 设置以及管理模板的子项。 • 用户配置 管理员可以使用“用户配置”来设置应用到用户的策略，而不管他们登录到哪台计算机。“用 户配置”通常包含软件设置、Windows 设置以及管理模板的子项。 若要使用组策略编辑器，请按照下列步骤操作: 1. 展开所需的 GPO。例如，本地计算机策略。 2. 展开所需的配置项。例如，计算机配置。 3. 展开所需的子项。例如，Windows 设置。 4. 导航到包含您希望的策略设置的文件夹。策略项显示在“组策略编辑器”管理单元的右窗格中。 备注:如果选定的项未定义策略，请右键单击您希望的文件夹，在出现的快捷菜单中，指向所有任务，然后单击所需的命令。在所有任务子菜单中出现的命令是上下文相关的。只有那些适用于所选策略文件夹的命令才出现在菜单中。 5. 在设置列表中，双击您希望的策略项。 备注:当您在管理模板文件夹中处理策略项时，如果您希望查看有关选定策略项的更多信息，请在 MMC 的右窗格中单击扩展选项卡。 6. 编辑出现的对话框中的设置，然后单击确定。 7. 完成之后，退出 MMC。 回到顶端 示例 下面的示例演示了如何使用“组策略编辑器”自定义 Windows XP 用户界面。在此示例中，我们将使用“组策略编辑器”来暂时从开始菜单中删除关闭计算机按钮。为此，请按照下列 通过使用本文如何启动组策略编辑器 一节中提供的步骤启动“组策略编辑步骤操作: 1. 器”并打开“本地计算机”策略。 备注:可以从命令行启动“组策略编辑器”管理单元。这将自动加载本地计算机 GPO。为此，请按照下列步骤操作: a. 单击开始，然后单击运行。 b. 在打开框中，键入 Gpedit.msc，然后单击确定。 2. 展开用户配置(如果它尚未展开)。 3. 在用户配置下，展开管理模板。 4. 单击“开始菜单和任务栏”。 5. 在右窗格中，双击“删除和禁用“关闭计算机”按钮”。 6. 单击启用，然后单击应用。 7. 单击开始。 您会注意到关闭计算机按钮已不再显示。 8. 选择“删除和禁用“关闭计算机”按钮”对话框。 9. 单击未配置，然后单击应用，然后单击确定。 10. 单击开始。 您会注意到关闭计算机按钮又显示在开始中。 11. 退出“组策略编辑器”管理单元。 Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。 一、给我们的IP添加安全策略 在“计算机配置”?“Windows设置”?“安全设置”?“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。 小提示 :由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。 二、隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项:选择“用户配置?管理模板?Windows组件?Windows资源管理器”。 三、禁用指定的文件类型 在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如下: 1. 打开组策略，点击“计算机配置?Windows设置?安全设置?软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。 2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。 3. 双击“安全级别?不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows无法打开此程序”。 4.要取消此软件限制策略的话，双击“安全级别?不受限的”，打开“不受限的 属性”窗口，按“设为默认值”即可。 如果你鼠标右键点击“计算机配置?Windows设置?安全设置?软件限制策略?其他规则”，你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则，并将安全级别设置为“不允许的”，以防止电子邮件病毒。 提示:为了避免“软件限制策略”将系统管理员也限制，我们可以双击“强制”，选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略，此选项可以确保管理员有权运行被限制的文件类型，而其他用户无权运行。 四、未经许可，不得在本机登录 使用电脑时，我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户登录到别的账户，那就麻烦了。既然我们不能删除或禁用这些账户，那么我们可以通过“组策略”来禁止一些账户在本机上登录，让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置?Windows设置?安全设置?本地策略?用户权限分配”，然后双击右侧窗格的“拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现。 如果我们想反其道而行之，禁止用户从网络登录，只能从本地登录，可以双击“拒绝从网络访问这台计算机”项将用户加上去。 五、给“休眠”和“待机”加个密码 只有“屏幕保护”有密码是远远不够安全的，我们还要给“休眠”和“待机”加上密码，这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置?管理模板?系统?电源管理”，在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”(图5)，那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。 六、自动给操作做个 在“计算机配置?Windows设置?安全设置?本地策略?审核策略”上，我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。 我们应该养成经常在“控制面板?管理工具?事件查看器”里查看事件的好习惯。比如，当你修改过“组策略”后，系统就发生了问题，此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里，你可以查看到详细的登录事件，知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核，只要双击相应的项目，选中“成功”和“失败”两个选项即可。 注意:Windows XP Home Edition没有“组策略”，只有Windows XP Professional版本才有“组策略”，这一点注意。 七、限制IE浏览器的保存功能 当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢?具体方法为:选择“用户设置”?“管理模板”?“Windows组件”?“Internet Explorer” ?“浏览器菜单”分支。双击右侧窗格中的“„文件?菜单:禁用„另存为…?菜单项”，在打开的设置窗口中选中“已启用”单选按钮(如图7)。 提示 : 我们还可以对“„文件?菜单:禁用另存为网页菜单项”、“„查看?菜单:禁用„源文件?菜单项”和“禁用上下文菜单”等策略项目进行修改，这样我们的IE将会安全一些。 八、禁止修改IE浏览器的主页 如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话，我们可以选择“用户配置”?“管理模板”?“Windows 组件”?“Internet Explorer”分支，然后在右侧窗格中，双击“禁用更改主页设置”策略启用即可。 (1)在图8，还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰。 (2)如果设置了位于“用户配置”?“管理模板”?“Windows 组件”?“Internet Explorer”?“Internet 控制面板”中的“禁用常规页”策略，则无需设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。 (3)逐级展开“用户设置”?“管理模板”?“Windows组件”?“Internet Explorer”分支，我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。 九、把Administrator藏起来 Windows系统默认的系统管理员账户名是Administrator。因此，为了避免有人恶意破解系统管理员Administrator账户的密码，我们可以将Administrator改为其他名字以加强安全。点击“开始?运行”，输入gpedit.msc，打开“组策略”，如图9所示，选择“计算机配置?Windows设置?安全设置?本地策略?安全选项”，在右边窗格里双击“账户:重命名系统管理员账户”项，在上面输入你想要的用户名。重新启动计算机后，输入的新用户名即刻生效。如果再新建一个Guest用户，用户名为Administrator，然后再加上十分复杂的密码就更安全。 提示:为了避免让人在Windows的登录框中看到曾经登录过的用户名，就要双击“交互式登录:不显示上次的用户名”子项，选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。 十.禁用IE组件自动安装 选择“计算机配置”?“管理模板”?“Windows组件”?“Internet Explorer”项目，双击右边窗口中“禁用Internet Explorer组件的自动安装”项目，在打开的窗口中选择“已启用”单选按钮(如图10)，将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件，篡改IE的行为也会得到遏制!相对来说IE也会安全许多! 小提示 如果禁用该策略或不对其进行配置，则用户在访问需要某个组件的网站时，将会收到一则消息，提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。 注册表是Windows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行，从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息，比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等，联网计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件部件的描述、状态和属性，性能记录和其他底层的系统状态信息，以及其他数据等。 恶意网站往往通过修改注册表来破坏我们的系统，甚至禁用注册表，也就是通过修改注册表来给注册表自身加锁，当注册表被锁定以后，我们也可以在系统中解除锁定。 一、单击“开始”-“运行”，输入“gpedit.msc”，打开组策略编辑器。 二、在“组策略编辑器”对话框中，选择“„本地计算机?策略”-“用户配置”-“管理模块”-“系统”。 三、在“系统”右边对应的选项列表中，选择“阻止访问注册表编辑工具”。 四、右键单击“阻止访问注册表编辑工具”，选择“属性”。 五、在弹出的“阻止访问注册表编辑工具属性”对话框中，将默认设置“未配置”改为“已启用”，单击“确定”按钮。锁定注册表编辑器。 六、在弹出的“阻止访问注册表编辑工具属性”对话框中，将默认设置“未配置”改为“已禁用”，单击“确定”按钮。解除锁定注册表编辑器。 默认安装WINDOWS系统的情况下，所有的硬盘都是隐藏共享，据说是为了管理方便，把系统安装分区自动进行共享，这样可以在网络中访问你的资源，不过这些默认共享的目录是只有系统管理员才能够在网络中查看的，因为在在共享名后边加上了美元号($)，除非别人知道这个共享，否则他是找不着的。虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。