西安電子工程研究所 韓新軍 白 茹 田玉平

?

Windows系統(tǒng)中如何高效應(yīng)用組策略

西安電子工程研究所 韓新軍 白 茹 田玉平

【摘要】管理員如果將組策略應(yīng)用得當(dāng)，計(jì)算機(jī)用戶就可以用足策略設(shè)置不同的應(yīng)用策略，使用戶高效、安全使用操作系統(tǒng)以及應(yīng)用于該系統(tǒng)上的應(yīng)用軟件。

【關(guān)鍵詞】組策略；注冊(cè)表；組策略編輯器；MMC；控制面板

0 引言

本文重點(diǎn)介紹Windows XP professiend的組策略對(duì)計(jì)算機(jī)的設(shè)置：

（1）計(jì)算機(jī)系統(tǒng)配置。

（2）用戶配置。

所有策略的設(shè)置都將改變相應(yīng)系統(tǒng)注冊(cè)表的相關(guān)項(xiàng)目，如注冊(cè)表的HKEY-LOCAL-MACHINE的相關(guān)組件，和注冊(cè)表的HKEYCVRRENT-VSER相關(guān)項(xiàng)目。

1 組策略簡述

組策略即基于組的策略，它以Windows中的一個(gè)MMC管理單元的形式存在，在Windows系統(tǒng)中，應(yīng)用軟件在注冊(cè)表中隨著Windows功能的越來越多，配置的項(xiàng)目越來越多，這些項(xiàng)目分布在注冊(cè)表中，如果手工配置對(duì)用戶而言將是非常困難的，而策略組就是將系統(tǒng)重要的功能匯集成各種配置模塊，使用者能夠安全高效使用和管理計(jì)算機(jī)。

早期WindowsXP/NT中，組策略以“系統(tǒng)策略”存在，現(xiàn)在組策略也被稱為系統(tǒng)策略的高級(jí)擴(kuò)展，管理模塊更為豐富設(shè)置也更為靈活。目前主要應(yīng)用于Windows2000/xp/2003系統(tǒng)的系統(tǒng)策略編輯器也支持對(duì)當(dāng)前注冊(cè)表的修改，同樣也可以通過網(wǎng)絡(luò)對(duì)計(jì)算機(jī)注冊(cè)表進(jìn)行設(shè)置。組策略對(duì)注冊(cè)表的直接修改，這是以前“系統(tǒng)策略編輯器”工具無法做到的。

2 組策略方式

2.1 通用方式

在計(jì)算機(jī)安裝Windows系統(tǒng)過程中，組策略程序就已經(jīng)安裝了。打開“開始”菜單，選“運(yùn)行”，輸入“gpendit.msc”并確定，就可以運(yùn)行組策略了。打開的組策略對(duì)象是當(dāng)前的計(jì)算機(jī)，而如果需要配置其它的計(jì)算機(jī)組策略，則需要將組策略作為獨(dú)立的MMC管理單元打開。

MicrosoftMMC控制臺(tái)可通過“開始”菜單的“運(yùn)行”對(duì)話框直接輸入“MMC”來實(shí)現(xiàn)。

單擊“組策略”選項(xiàng)，然后單擊“添加”按鈕。

組策略對(duì)象對(duì)話框中，單擊“本地計(jì)算機(jī)”選項(xiàng)編輯本地計(jì)算機(jī)對(duì)象，或通過單擊“瀏覽”查找所需要的組策略對(duì)象。

策略管理單元即開打開要編輯的組策略對(duì)象。

2.2 MMC管理單元

（1）“開始”→“運(yùn)行”命令，在對(duì)話框中鍵入MMC；（2）“文件”菜單下的“添加/刪除管理單元”；

（3）在“添加/刪除管理單元”對(duì)話框，選擇“添加”按鈕。

（4）彈出“添加獨(dú)立管理單元”對(duì)話框，并在“可用的獨(dú)立管理單元”列表中選擇“組策略”選項(xiàng)，單擊“添加”按鈕。

（5）由于是將組策略應(yīng)用到本地計(jì)算機(jī)中，故在“選擇組策略對(duì)象”對(duì)話框中，單擊“本地計(jì)算機(jī)”，編輯本地極端及對(duì)象或通過單擊“瀏覽”按鈕查找所需的組策略對(duì)像。

（6）單擊“完成”→“關(guān)閉”→“確定”按鈕，組策略管理單元即可打開要編輯的組策略對(duì)象。

3 組策略設(shè)置要點(diǎn)

（1）在IE工具欄添加快捷方式

打開瀏覽器“工具”，選擇“工具欄”，進(jìn)入“自定義”在“可用工具欄按鈕”中，選擇要添加的工具，按“添加”，進(jìn)入“當(dāng)前工具欄按鈕”關(guān)閉。

（2）禁止項(xiàng)

如果禁止對(duì)瀏覽器主頁進(jìn)行修改，可啟用“Iternet Explorer”節(jié)點(diǎn)下的禁止更改主頁設(shè)置。

（3）密碼策略

可通過組策略設(shè)置秘密口令的最小長度。

（4）用戶權(quán)利限定

打開“控制面板”→“管理工具”→“本地安全策略”→“用戶權(quán)利指派”在此可以合理地指派用戶權(quán)利。

（5）用戶鎖定策略

在“安全設(shè)置”中打開“賬戶鎖定策略”設(shè)置

“復(fù)位賬戶鎖定計(jì)數(shù)器”→30分鐘以后

“賬戶鎖定時(shí)間”→30分鐘

“賬戶鎖定閾值”→5次無效登錄

（6）安全選項(xiàng)

在“安全設(shè)置”策略中啟用“關(guān)機(jī)”，清理虛擬內(nèi)存頁面文件：啟用“交互式登錄，不顯示上次的用戶名”：

（7）組策略配置項(xiàng)目比較繁多，為盡性找到目標(biāo)策略的具體路徑，可以利用組策略的“篩選”功能，隱藏組策略編輯器中的無效策略，或者根據(jù)自己使用的操作系統(tǒng)，讓組策略編輯器窗口只顯示適用于本地計(jì)算機(jī)系統(tǒng)的策略。

打開組策略編輯窗口，在該窗口中選擇“本地計(jì)算機(jī)策略”選項(xiàng)，并用鼠標(biāo)右鍵，從隨后打開的右鍵菜單中選擇“屬性”命令，打開“屬性”設(shè)置框。

從“創(chuàng)建”處，可以查看創(chuàng)建本地組策略的時(shí)間，同樣也可以從該設(shè)置框中的“修改”處，可以查看到最近一次修改設(shè)置組策略配置的時(shí)間和從設(shè)置框中的“修訂”處查看到目前為止一共對(duì)多少策略項(xiàng)目進(jìn)行過配置。

（8）“任務(wù)欄”和“開始”菜單相關(guān)選項(xiàng)的策略變更。

在“本地計(jì)算機(jī)”策略中，展開“用戶配置”→“管理模板”→“任務(wù)欄”和“開始”菜單分支，在右側(cè)窗格中，提供了“任務(wù)欄”和“開始菜單”的有關(guān)策略。

a.簡化“開始”菜單

b.個(gè)人隱私

c.保護(hù)好“任務(wù)欄”和“開始”菜單的設(shè)置

d.禁止“注銷“和關(guān)機(jī)

（9）桌面相關(guān)選項(xiàng)的變更

a.隱藏桌面上的系統(tǒng)圖標(biāo)。雖然可以通過采用修改注冊(cè)表的方法來實(shí)現(xiàn)，但會(huì)對(duì)注冊(cè)表帶來一定的風(fēng)險(xiǎn)，采用組策略編輯器，就可方便快捷地達(dá)到目的。

隱藏桌面上的網(wǎng)上鄰居和“Internet Explorer”圖標(biāo)，在右側(cè)窗格中將“隱藏桌面上”網(wǎng)上鄰居圖標(biāo)和“隱藏桌面上的Internet Explorer”圖標(biāo)兩個(gè)策略選項(xiàng)啟用即可。

b.禁止對(duì)桌面的屬性進(jìn)行更改

禁止對(duì)計(jì)算機(jī)桌面設(shè)置隨意改變，在右側(cè)窗格中將“退出時(shí)對(duì)不保存設(shè)置”策略啟用。

d.禁止用戶使用“添加/刪除程序”

在系統(tǒng)“控制面板”中有“添加/刪除程序”項(xiàng)目，通過該項(xiàng)目允許個(gè)人對(duì)系統(tǒng)功能、組件以及應(yīng)用軟件的安裝、卸載、修復(fù)。如果要禁止用戶使用“添加/刪除程序”，則在“本地計(jì)算機(jī)策略”→“用戶配置”→“管理模板”→“控制面板”分支的右側(cè)窗格將啟用“刪除/添加程序”策略選項(xiàng)。

（10）禁止運(yùn)行指定程序

在計(jì)算機(jī)啟動(dòng)的過程中，也會(huì)啟動(dòng)一些用戶不常使用的程序，這些程序的啟動(dòng)通過系統(tǒng)MSCONFIG設(shè)置項(xiàng)的設(shè)置較難，通過組策

略則非常方便，這對(duì)高效使用計(jì)算機(jī)資源非常有用。

（11）鎖定注冊(cè)表編輯口

注冊(cè)表編輯器為系統(tǒng)設(shè)置帶來方便，但也為注冊(cè)表帶來為安全隱患，如有必要盡可能將注冊(cè)表編輯器予以禁閉。

但要注意：如果設(shè)為“已禁止”，則有一些正常軟件有可能不能正常使用，甚至無法安裝；如果設(shè)為“已啟用”，則可能為惡意程序留下隱患。

（12）阻止安全提示符窗口（cmd.exe）

組策略編輯器→ 用戶配置→管理模板→系統(tǒng)。

右側(cè)窗口中選擇“阻止訪問安全提示符”，打開目標(biāo)策略，展開設(shè)置對(duì)話框。雙擊“阻止訪問安全提示符”， “確定”即可。

（13）設(shè)置虛擬內(nèi)存頁面

對(duì)于重要的文件，可以通過加密和設(shè)置權(quán)限以禁止他人訪問，但還是不能阻止通過“虛擬內(nèi)存頁面文件”來獲取你的重要文件。

通過配置組策略就可以避免這種潛在的危險(xiǎn)，計(jì)算機(jī)配置→windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)。

缺點(diǎn)是：減慢系統(tǒng)的關(guān)閉速度。

（14）管理模板

在windows系統(tǒng)中包含ADM的文本文件，稱為：“管理模板”，它們?yōu)榻M策略管理單元中“管理模板”的項(xiàng)目提供策略信息。

在windows系統(tǒng)中，默認(rèn)的Admin.adm管理模板位于系統(tǒng)文件夾得INF文件中，包含了默認(rèn)安裝下的4個(gè)模板文件。

在策略管理控制臺(tái)中，可以多次添加“策略模板”。打開“組策略”→選擇“計(jì)算機(jī)配置”→“管理模板”單擊鼠標(biāo)右鍵，選擇“添加/刪除模板”命令。在打開的對(duì)話框中單擊“添加”按鈕，在打開的對(duì)話框中選擇相應(yīng)的ADM文件，單擊“打開”按鈕，則在系統(tǒng)策略編輯器重打開選定的腳本文件，并等待用戶執(zhí)行。

4 結(jié)束語

相對(duì)windows注冊(cè)表而言，組策略將系統(tǒng)重要的配置功能匯集成各種配置模塊，使用了更有效地設(shè)置方法?？梢詫?duì)各種計(jì)算機(jī)設(shè)置對(duì)象的設(shè)置進(jìn)行管理，比手工修改注冊(cè)表更為有效、簡便。