Windows系统中如何高效应用组策略

2016-03-13 14:36西安电子工程研究所韩新军田玉平
电子世界 2016年9期
关键词:组策略控制面板注册表

西安电子工程研究所 韩新军 白 茹 田玉平



Windows系统中如何高效应用组策略

西安电子工程研究所 韩新军 白 茹 田玉平

【摘要】管理员如果将组策略应用得当,计算机用户就可以用足策略设置不同的应用策略,使用户高效、安全使用操作系统以及应用于该系统上的应用软件。

【关键词】组策略;注册表;组策略编辑器;MMC;控制面板

0 引言

本文重点介绍Windows XP professiend的组策略对计算机的设置:

(1)计算机系统配置。

(2)用户配置。

所有策略的设置都将改变相应系统注册表的相关项目,如注册表的HKEY-LOCAL-MACHINE的相关组件,和注册表的HKEYCVRRENT-VSER相关项目。

1 组策略简述

组策略即基于组的策略,它以Windows中的一个MMC管理单元的形式存在,在Windows系统中,应用软件在注册表中随着Windows功能的越来越多,配置的项目越来越多,这些项目分布在注册表中,如果手工配置对用户而言将是非常困难的,而策略组就是将系统重要的功能汇集成各种配置模块,使用者能够安全高效使用和管理计算机。

早期WindowsXP/NT中,组策略以“系统策略”存在,现在组策略也被称为系统策略的高级扩展,管理模块更为丰富设置也更为灵活。目前主要应用于Windows2000/xp/2003系统的系统策略编辑器也支持对当前注册表的修改,同样也可以通过网络对计算机注册表进行设置。组策略对注册表的直接修改,这是以前“系统策略编辑器”工具无法做到的。

2 组策略方式

2.1 通用方式

在计算机安装Windows系统过程中,组策略程序就已经安装了。打开“开始”菜单,选“运行”,输入“gpendit.msc”并确定,就可以运行组策略了。打开的组策略对象是当前的计算机,而如果需要配置其它的计算机组策略,则需要将组策略作为独立的MMC管理单元打开。

MicrosoftMMC控制台可通过“开始”菜单的“运行”对话框直接输入“MMC”来实现。

单击“组策略”选项,然后单击“添加”按钮。

组策略对象对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需要的组策略对象。

策略管理单元即开打开要编辑的组策略对象。

2.2 MMC管理单元

(1)“开始”→“运行”命令,在对话框中键入MMC;(2)“文件”菜单下的“添加/删除管理单元”;

(3)在“添加/删除管理单元”对话框,选择“添加”按钮。

(4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。

(5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地极端及对象或通过单击“浏览”按钮查找所需的组策略对像。

(6)单击“完成”→“关闭”→“确定”按钮,组策略管理单元即可打开要编辑的组策略对象。

3 组策略设置要点

(1)在IE工具栏添加快捷方式

打开浏览器“工具”,选择“工具栏”,进入“自定义”在“可用工具栏按钮”中,选择要添加的工具,按“添加”,进入“当前工具栏按钮”关闭。

(2)禁止项

如果禁止对浏览器主页进行修改,可启用“Iternet Explorer”节点下的禁止更改主页设置。

(3)密码策略

可通过组策略设置秘密口令的最小长度。

(4)用户权利限定

打开“控制面板”→“管理工具”→“本地安全策略”→“用户权利指派”在此可以合理地指派用户权利。

(5)用户锁定策略

在“安全设置”中打开“账户锁定策略”设置

“复位账户锁定计数器”→30分钟以后

“账户锁定时间”→30分钟

“账户锁定阈值”→5次无效登录

(6)安全选项

在“安全设置”策略中启用“关机”,清理虚拟内存页面文件:启用“交互式登录,不显示上次的用户名”:

(7)组策略配置项目比较繁多,为尽性找到目标策略的具体路径,可以利用组策略的“筛选”功能,隐藏组策略编辑器中的无效策略,或者根据自己使用的操作系统,让组策略编辑器窗口只显示适用于本地计算机系统的策略。

打开组策略编辑窗口,在该窗口中选择“本地计算机策略”选项,并用鼠标右键,从随后打开的右键菜单中选择“属性”命令,打开“属性”设置框。

从“创建”处,可以查看创建本地组策略的时间,同样也可以从该设置框中的“修改”处,可以查看到最近一次修改设置组策略配置的时间和从设置框中的“修订”处查看到目前为止一共对多少策略项目进行过配置。

(8)“任务栏”和“开始”菜单相关选项的策略变更。

在“本地计算机”策略中,展开“用户配置”→“管理模板”→“任务栏”和“开始”菜单分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略。

a.简化“开始”菜单

b.个人隐私

c.保护好“任务栏”和“开始”菜单的设置

d.禁止“注销“和关机

(9)桌面相关选项的变更

a.隐藏桌面上的系统图标。虽然可以通过采用修改注册表的方法来实现,但会对注册表带来一定的风险,采用组策略编辑器,就可方便快捷地达到目的。

隐藏桌面上的网上邻居和“Internet Explorer”图标,在右侧窗格中将“隐藏桌面上”网上邻居图标和“隐藏桌面上的Internet Explorer”图标两个策略选项启用即可。

b.禁止对桌面的属性进行更改

禁止对计算机桌面设置随意改变,在右侧窗格中将“退出时对不保存设置”策略启用。

d.禁止用户使用“添加/删除程序”

在系统“控制面板”中有“添加/删除程序”项目,通过该项目允许个人对系统功能、组件以及应用软件的安装、卸载、修复。如果要禁止用户使用“添加/删除程序”,则在“本地计算机策略”→“用户配置”→“管理模板”→“控制面板”分支的右侧窗格将启用“删除/添加程序”策略选项。

(10)禁止运行指定程序

在计算机启动的过程中,也会启动一些用户不常使用的程序,这些程序的启动通过系统MSCONFIG设置项的设置较难,通过组策

略则非常方便,这对高效使用计算机资源非常有用。

(11)锁定注册表编辑口

注册表编辑器为系统设置带来方便,但也为注册表带来为安全隐患,如有必要尽可能将注册表编辑器予以禁闭。

但要注意:如果设为“已禁止”,则有一些正常软件有可能不能正常使用,甚至无法安装;如果设为“已启用”,则可能为恶意程序留下隐患。

(12)阻止安全提示符窗口(cmd.exe)

组策略编辑器→ 用户配置→管理模板→系统。

右侧窗口中选择“阻止访问安全提示符”,打开目标策略,展开设置对话框。双击“阻止访问安全提示符”, “确定”即可。

(13)设置虚拟内存页面

对于重要的文件,可以通过加密和设置权限以禁止他人访问,但还是不能阻止通过“虚拟内存页面文件”来获取你的重要文件。

通过配置组策略就可以避免这种潜在的危险,计算机配置→windows设置→安全设置→本地策略→安全选项。

缺点是:减慢系统的关闭速度。

(14)管理模板

在windows系统中包含ADM的文本文件,称为:“管理模板”,它们为组策略管理单元中“管理模板”的项目提供策略信息。

在windows系统中,默认的Admin.adm管理模板位于系统文件夹得INF文件中,包含了默认安装下的4个模板文件。

在策略管理控制台中,可以多次添加“策略模板”。打开“组策略”→选择“计算机配置”→“管理模板”单击鼠标右键,选择“添加/删除模板”命令。在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM文件,单击“打开”按钮,则在系统策略编辑器重打开选定的脚本文件,并等待用户执行。

4 结束语

相对windows注册表而言,组策略将系统重要的配置功能汇集成各种配置模块,使用了更有效地设置方法。可以对各种计算机设置对象的设置进行管理,比手工修改注册表更为有效、简便。

猜你喜欢
组策略控制面板注册表
补齐设置短板 用好Microsoft Edge
通过PowerShell获取组策略安全报告
恢复开始按钮右键菜单“控制面板”选项
如何完全卸载OneDrive
更上一层楼 用好注册表编辑器
多种方法找回传统控制面板
注册表的便捷用法
医院手术室电气控制面板的改造设计与应用
基于人机工学的压力机控制面板设计
注册表编辑器也玩“失忆”