西安电子工程研究所 韩新军 白 茹 田玉平
Windows系统中如何高效应用组策略
西安电子工程研究所 韩新军 白 茹 田玉平
【摘要】管理员如果将组策略应用得当,计算机用户就可以用足策略设置不同的应用策略,使用户高效、安全使用操作系统以及应用于该系统上的应用软件。
【关键词】组策略;注册表;组策略编辑器;MMC;控制面板
本文重点介绍Windows XP professiend的组策略对计算机的设置:
(1)计算机系统配置。
(2)用户配置。
所有策略的设置都将改变相应系统注册表的相关项目,如注册表的HKEY-LOCAL-MACHINE的相关组件,和注册表的HKEYCVRRENT-VSER相关项目。
组策略即基于组的策略,它以Windows中的一个MMC管理单元的形式存在,在Windows系统中,应用软件在注册表中随着Windows功能的越来越多,配置的项目越来越多,这些项目分布在注册表中,如果手工配置对用户而言将是非常困难的,而策略组就是将系统重要的功能汇集成各种配置模块,使用者能够安全高效使用和管理计算机。
早期WindowsXP/NT中,组策略以“系统策略”存在,现在组策略也被称为系统策略的高级扩展,管理模块更为丰富设置也更为灵活。目前主要应用于Windows2000/xp/2003系统的系统策略编辑器也支持对当前注册表的修改,同样也可以通过网络对计算机注册表进行设置。组策略对注册表的直接修改,这是以前“系统策略编辑器”工具无法做到的。
2.1 通用方式
在计算机安装Windows系统过程中,组策略程序就已经安装了。打开“开始”菜单,选“运行”,输入“gpendit.msc”并确定,就可以运行组策略了。打开的组策略对象是当前的计算机,而如果需要配置其它的计算机组策略,则需要将组策略作为独立的MMC管理单元打开。
MicrosoftMMC控制台可通过“开始”菜单的“运行”对话框直接输入“MMC”来实现。
单击“组策略”选项,然后单击“添加”按钮。
组策略对象对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需要的组策略对象。
策略管理单元即开打开要编辑的组策略对象。
2.2 MMC管理单元
(1)“开始”→“运行”命令,在对话框中键入MMC;(2)“文件”菜单下的“添加/删除管理单元”;
(3)在“添加/删除管理单元”对话框,选择“添加”按钮。
(4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。
(5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地极端及对象或通过单击“浏览”按钮查找所需的组策略对像。
(6)单击“完成”→“关闭”→“确定”按钮,组策略管理单元即可打开要编辑的组策略对象。
(1)在IE工具栏添加快捷方式
打开浏览器“工具”,选择“工具栏”,进入“自定义”在“可用工具栏按钮”中,选择要添加的工具,按“添加”,进入“当前工具栏按钮”关闭。
(2)禁止项
如果禁止对浏览器主页进行修改,可启用“Iternet Explorer”节点下的禁止更改主页设置。
(3)密码策略
可通过组策略设置秘密口令的最小长度。
(4)用户权利限定
打开“控制面板”→“管理工具”→“本地安全策略”→“用户权利指派”在此可以合理地指派用户权利。
(5)用户锁定策略
在“安全设置”中打开“账户锁定策略”设置
“复位账户锁定计数器”→30分钟以后
“账户锁定时间”→30分钟
“账户锁定阈值”→5次无效登录
(6)安全选项
在“安全设置”策略中启用“关机”,清理虚拟内存页面文件:启用“交互式登录,不显示上次的用户名”:
(7)组策略配置项目比较繁多,为尽性找到目标策略的具体路径,可以利用组策略的“筛选”功能,隐藏组策略编辑器中的无效策略,或者根据自己使用的操作系统,让组策略编辑器窗口只显示适用于本地计算机系统的策略。
打开组策略编辑窗口,在该窗口中选择“本地计算机策略”选项,并用鼠标右键,从随后打开的右键菜单中选择“属性”命令,打开“属性”设置框。
从“创建”处,可以查看创建本地组策略的时间,同样也可以从该设置框中的“修改”处,可以查看到最近一次修改设置组策略配置的时间和从设置框中的“修订”处查看到目前为止一共对多少策略项目进行过配置。
(8)“任务栏”和“开始”菜单相关选项的策略变更。
在“本地计算机”策略中,展开“用户配置”→“管理模板”→“任务栏”和“开始”菜单分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略。
a.简化“开始”菜单
b.个人隐私
c.保护好“任务栏”和“开始”菜单的设置
d.禁止“注销“和关机
(9)桌面相关选项的变更
a.隐藏桌面上的系统图标。虽然可以通过采用修改注册表的方法来实现,但会对注册表带来一定的风险,采用组策略编辑器,就可方便快捷地达到目的。
隐藏桌面上的网上邻居和“Internet Explorer”图标,在右侧窗格中将“隐藏桌面上”网上邻居图标和“隐藏桌面上的Internet Explorer”图标两个策略选项启用即可。
b.禁止对桌面的属性进行更改
禁止对计算机桌面设置随意改变,在右侧窗格中将“退出时对不保存设置”策略启用。
d.禁止用户使用“添加/删除程序”
在系统“控制面板”中有“添加/删除程序”项目,通过该项目允许个人对系统功能、组件以及应用软件的安装、卸载、修复。如果要禁止用户使用“添加/删除程序”,则在“本地计算机策略”→“用户配置”→“管理模板”→“控制面板”分支的右侧窗格将启用“删除/添加程序”策略选项。
(10)禁止运行指定程序
在计算机启动的过程中,也会启动一些用户不常使用的程序,这些程序的启动通过系统MSCONFIG设置项的设置较难,通过组策
略则非常方便,这对高效使用计算机资源非常有用。
(11)锁定注册表编辑口
注册表编辑器为系统设置带来方便,但也为注册表带来为安全隐患,如有必要尽可能将注册表编辑器予以禁闭。
但要注意:如果设为“已禁止”,则有一些正常软件有可能不能正常使用,甚至无法安装;如果设为“已启用”,则可能为恶意程序留下隐患。
(12)阻止安全提示符窗口(cmd.exe)
组策略编辑器→ 用户配置→管理模板→系统。
右侧窗口中选择“阻止访问安全提示符”,打开目标策略,展开设置对话框。双击“阻止访问安全提示符”, “确定”即可。
(13)设置虚拟内存页面
对于重要的文件,可以通过加密和设置权限以禁止他人访问,但还是不能阻止通过“虚拟内存页面文件”来获取你的重要文件。
通过配置组策略就可以避免这种潜在的危险,计算机配置→windows设置→安全设置→本地策略→安全选项。
缺点是:减慢系统的关闭速度。
(14)管理模板
在windows系统中包含ADM的文本文件,称为:“管理模板”,它们为组策略管理单元中“管理模板”的项目提供策略信息。
在windows系统中,默认的Admin.adm管理模板位于系统文件夹得INF文件中,包含了默认安装下的4个模板文件。
在策略管理控制台中,可以多次添加“策略模板”。打开“组策略”→选择“计算机配置”→“管理模板”单击鼠标右键,选择“添加/删除模板”命令。在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM文件,单击“打开”按钮,则在系统策略编辑器重打开选定的脚本文件,并等待用户执行。
相对windows注册表而言,组策略将系统重要的配置功能汇集成各种配置模块,使用了更有效地设置方法。可以对各种计算机设置对象的设置进行管理,比手工修改注册表更为有效、简便。