Windows系统中如何高效应用组策略

西安电子工程研究所 韩新军 白 茹 田玉平



Windows系统中如何高效应用组策略

西安电子工程研究所 韩新军 白 茹 田玉平

【摘要】管理员如果将组策略应用得当，计算机用户就可以用足策略设置不同的应用策略，使用户高效、安全使用操作系统以及应用于该系统上的应用软件。

【关键词】组策略；注册表；组策略编辑器；MMC；控制面板

0 引言

本文重点介绍Windows XP professiend的组策略对计算机的设置：

（1）计算机系统配置。

（2）用户配置。

所有策略的设置都将改变相应系统注册表的相关项目，如注册表的HKEY-LOCAL-MACHINE的相关组件，和注册表的HKEYCVRRENT-VSER相关项目。

1 组策略简述

组策略即基于组的策略，它以Windows中的一个MMC管理单元的形式存在，在Windows系统中，应用软件在注册表中随着Windows功能的越来越多，配置的项目越来越多，这些项目分布在注册表中，如果手工配置对用户而言将是非常困难的，而策略组就是将系统重要的功能汇集成各种配置模块，使用者能够安全高效使用和管理计算机。

早期WindowsXP/NT中，组策略以“系统策略”存在，现在组策略也被称为系统策略的高级扩展，管理模块更为丰富设置也更为灵活。目前主要应用于Windows2000/xp/2003系统的系统策略编辑器也支持对当前注册表的修改，同样也可以通过网络对计算机注册表进行设置。组策略对注册表的直接修改，这是以前“系统策略编辑器”工具无法做到的。

2 组策略方式

2.1 通用方式

在计算机安装Windows系统过程中，组策略程序就已经安装了。打开“开始”菜单，选“运行”，输入“gpendit.msc”并确定，就可以运行组策略了。打开的组策略对象是当前的计算机，而如果需要配置其它的计算机组策略，则需要将组策略作为独立的MMC管理单元打开。

MicrosoftMMC控制台可通过“开始”菜单的“运行”对话框直接输入“MMC”来实现。

单击“组策略”选项，然后单击“添加”按钮。

组策略对象对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需要的组策略对象。

策略管理单元即开打开要编辑的组策略对象。

2.2 MMC管理单元

（1）“开始”→“运行”命令，在对话框中键入MMC；（2）“文件”菜单下的“添加/删除管理单元”；

（3）在“添加/删除管理单元”对话框，选择“添加”按钮。

（4）弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”选项，单击“添加”按钮。

（5）由于是将组策略应用到本地计算机中，故在“选择组策略对象”对话框中，单击“本地计算机”，编辑本地极端及对象或通过单击“浏览”按钮查找所需的组策略对像。

（6）单击“完成”→“关闭”→“确定”按钮，组策略管理单元即可打开要编辑的组策略对象。

3 组策略设置要点

（1）在IE工具栏添加快捷方式

打开浏览器“工具”，选择“工具栏”，进入“自定义”在“可用工具栏按钮”中，选择要添加的工具，按“添加”，进入“当前工具栏按钮”关闭。

（2）禁止项

如果禁止对浏览器主页进行修改，可启用“Iternet Explorer”节点下的禁止更改主页设置。

（3）密码策略

可通过组策略设置秘密口令的最小长度。

（4）用户权利限定

打开“控制面板”→“管理工具”→“本地安全策略”→“用户权利指派”在此可以合理地指派用户权利。

（5）用户锁定策略

在“安全设置”中打开“账户锁定策略”设置

“复位账户锁定计数器”→30分钟以后

“账户锁定时间”→30分钟

“账户锁定阈值”→5次无效登录

（6）安全选项

在“安全设置”策略中启用“关机”，清理虚拟内存页面文件：启用“交互式登录，不显示上次的用户名”：

（7）组策略配置项目比较繁多，为尽性找到目标策略的具体路径，可以利用组策略的“筛选”功能，隐藏组策略编辑器中的无效策略，或者根据自己使用的操作系统，让组策略编辑器窗口只显示适用于本地计算机系统的策略。

打开组策略编辑窗口，在该窗口中选择“本地计算机策略”选项，并用鼠标右键，从随后打开的右键菜单中选择“属性”命令，打开“属性”设置框。

从“创建”处，可以查看创建本地组策略的时间，同样也可以从该设置框中的“修改”处，可以查看到最近一次修改设置组策略配置的时间和从设置框中的“修订”处查看到目前为止一共对多少策略项目进行过配置。

（8）“任务栏”和“开始”菜单相关选项的策略变更。

在“本地计算机”策略中，展开“用户配置”→“管理模板”→“任务栏”和“开始”菜单分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略。

a.简化“开始”菜单

b.个人隐私

c.保护好“任务栏”和“开始”菜单的设置

d.禁止“注销“和关机

（9）桌面相关选项的变更

a.隐藏桌面上的系统图标。虽然可以通过采用修改注册表的方法来实现，但会对注册表带来一定的风险，采用组策略编辑器，就可方便快捷地达到目的。

隐藏桌面上的网上邻居和“Internet Explorer”图标，在右侧窗格中将“隐藏桌面上”网上邻居图标和“隐藏桌面上的Internet Explorer”图标两个策略选项启用即可。

b.禁止对桌面的属性进行更改

禁止对计算机桌面设置随意改变，在右侧窗格中将“退出时对不保存设置”策略启用。

d.禁止用户使用“添加/删除程序”

在系统“控制面板”中有“添加/删除程序”项目，通过该项目允许个人对系统功能、组件以及应用软件的安装、卸载、修复。如果要禁止用户使用“添加/删除程序”，则在“本地计算机策略”→“用户配置”→“管理模板”→“控制面板”分支的右侧窗格将启用“删除/添加程序”策略选项。

（10）禁止运行指定程序

在计算机启动的过程中，也会启动一些用户不常使用的程序，这些程序的启动通过系统MSCONFIG设置项的设置较难，通过组策

略则非常方便，这对高效使用计算机资源非常有用。

（11）锁定注册表编辑口

注册表编辑器为系统设置带来方便，但也为注册表带来为安全隐患，如有必要尽可能将注册表编辑器予以禁闭。

但要注意：如果设为“已禁止”，则有一些正常软件有可能不能正常使用，甚至无法安装；如果设为“已启用”，则可能为恶意程序留下隐患。

（12）阻止安全提示符窗口（cmd.exe）

组策略编辑器→ 用户配置→管理模板→系统。

右侧窗口中选择“阻止访问安全提示符”，打开目标策略，展开设置对话框。双击“阻止访问安全提示符”， “确定”即可。

（13）设置虚拟内存页面

对于重要的文件，可以通过加密和设置权限以禁止他人访问，但还是不能阻止通过“虚拟内存页面文件”来获取你的重要文件。

通过配置组策略就可以避免这种潜在的危险，计算机配置→windows设置→安全设置→本地策略→安全选项。

缺点是：减慢系统的关闭速度。

（14）管理模板

在windows系统中包含ADM的文本文件，称为：“管理模板”，它们为组策略管理单元中“管理模板”的项目提供策略信息。

在windows系统中，默认的Admin.adm管理模板位于系统文件夹得INF文件中，包含了默认安装下的4个模板文件。

在策略管理控制台中，可以多次添加“策略模板”。打开“组策略”→选择“计算机配置”→“管理模板”单击鼠标右键，选择“添加/删除模板”命令。在打开的对话框中单击“添加”按钮，在打开的对话框中选择相应的ADM文件，单击“打开”按钮，则在系统策略编辑器重打开选定的脚本文件，并等待用户执行。

4 结束语

相对windows注册表而言，组策略将系统重要的配置功能汇集成各种配置模块，使用了更有效地设置方法。可以对各种计算机设置对象的设置进行管理，比手工修改注册表更为有效、简便。