許暢

摘要：根據(jù)局域網(wǎng)的實際環(huán)境，利用WINDOWS 2008系統(tǒng)，對部分常用組策略的設(shè)置進行了詳細介紹，希望讀者對策略設(shè)置快速入門，舉一反三，觸類旁通，從而迅速成為組策略應(yīng)用高手。

關(guān)鍵詞：活動目錄；組策略；優(yōu)化；安全；設(shè)置

隨著網(wǎng)絡(luò)中計算機數(shù)量的不斷增加，軟件的安裝，系統(tǒng)安全，文件夾共享等基礎(chǔ)操作都會成為計算機管理者的負擔(dān)，組策略是用戶用來控制計算機的系統(tǒng)設(shè)置和網(wǎng)絡(luò)設(shè)置的一種手段。也就是說，是對注冊表的一種修改。平時使用計算機時，用戶對一些常用的桌面、網(wǎng)絡(luò)等設(shè)置，也許不足完善或滿意；稍微有點計算機操作水平的用戶可以通過用修改注冊表的方法來修改設(shè)置，但注冊表涉及內(nèi)容量太大，而且不便修改。組策略正好是注冊表的可視化工具，它可保證系統(tǒng)和網(wǎng)絡(luò)的安全運行。

1使用組策略IE環(huán)境

在【IE屬性】對話框【組策略】選項卡中，單擊【運行】，輸入GPEDIT.MSC打開【組策略編輯器】，然后陸續(xù)展開用戶配置一管理模板WINDOWS組件-IETERNET EXPLORER，雙擊右側(cè)欄里是策略項，即可顯示其子策略或策略屬性對話框，實現(xiàn)對IE策略的查看和配置，如圖1所示。

1.1禁止更改IE瀏覽器的字體設(shè)置

此設(shè)置一旦啟用，用戶瀏覽網(wǎng)頁時無法更改網(wǎng)頁的字體。點擊“IE瀏覽器選項”界面中“常規(guī)”選項卡上的“字體”按鈕時，所有字體設(shè)置將被全部禁用。如果禁用或未配置此策略，則用戶可以更改查看網(wǎng)頁時使用的默認字體。如果在【In-ternet Explorer＼Internet控制面棚中設(shè)置了“禁用常規(guī)頁”策略時，此策略也就無須設(shè)置，因為“禁用常規(guī)頁”策略已經(jīng)從界面中刪除了“常規(guī)”選項卡。

1.2禁止更改主頁設(shè)置

在"Internet選項”對話框“常規(guī)”選項卡中指定的“主頁”，當(dāng)打開Internet Explorer時就會加載的默認的主頁。如果啟用此策略設(shè)置，則用戶將無法對自定義默認主頁進行設(shè)置。必須指定在用戶計算機上應(yīng)該加載哪個默認主頁。對于裝有Inter-net Explorer 7及以上版本的計算機，可以在此策略中設(shè)置主頁以覆蓋其他的主頁策略。如果禁用或未配置此策略設(shè)置，則會啟用“主頁”框，用戶可以選擇自己的主頁。

1.3禁用更改INTERNET臨時文件設(shè)置

阻止用戶更改瀏覽器緩存設(shè)置，例如Temporary InternetFiles文件夾的位置以及其使用的磁盤空間量。如果啟用此策略，則瀏覽器緩存設(shè)置將灰顯。當(dāng)用戶單擊“常規(guī)”選項卡，然后選擇點擊界面中的“設(shè)置”按鈕時，將顯示一個對話框，其中會顯示這些設(shè)置。如果在【Internet Explorer＼Internet控制面板】中設(shè)置了“禁用常規(guī)頁”策略時，此策略也就無須設(shè)置，因為“禁用常規(guī)頁”策略已經(jīng)從界面中刪除了“常規(guī)”選項卡。

2使用軟件限制增強系統(tǒng)安全性的設(shè)置

軟件限制策略的目的在于滿足控制未知或不信任的軟件要求，也就是限制某些軟件的使用，可以通過規(guī)則標識并設(shè)置安全級別來指定軟件是否運行面達到客戶端計算機的可管理性，安全性，是控制不信任和不允許的軟件在網(wǎng)絡(luò)內(nèi)非法使用。

利用組策略依次展開左側(cè)控制臺，【用戶配置】一【管理模板】-【系統(tǒng)】-【只運行許可的WINDOWS程序】和【不要運行許可的WINDOWS程序1，如圖2所示。

2.1運行許可的WINDOWS應(yīng)用程序策略

在Windows 7中可以使用通過標識并指定允許運行的軟件來保護計算機免受不信任軟件的干擾，可以為組策略對象定義不受限制和不允許的安全級別，從而決定是否在默認的情況下允許軟件運行。

在組策略編輯器界面中依次打開【本地計算機策略】中的【系統(tǒng)】菜單，然后選擇右側(cè)窗口中“只運行許可的Windows應(yīng)用程序”項目，雙擊打開“只運行許可的Windows應(yīng)用程序?qū)傩浴苯缑?。選擇“啟用”選項，點擊下面的“顯示”按鈕后，彈出“顯示內(nèi)容”界面，在接下來的在文本框內(nèi)添加要禁用的程序的所在的文件路徑指向，點擊“確定”按鈕后系統(tǒng)除了能夠運行列剛才添加的程序外，不能運行其他的應(yīng)用程序。

此時如果用戶還可以通過“命令提示字符”（Cmd.exel的方法來運行其他程序，不過可以通過以下方法來阻止用戶訪問命令提示符。操作步驟如下：

在組策略編輯器界面中依次打開【用戶配置】中的【系統(tǒng)】菜單，然后在右側(cè)窗格中選擇并雙擊“停用命令提示符”，并將此策略禁用。

2.2不要運行許可的WINDOWS程序策略

在日常使用計算機的過程中，最令用戶擔(dān)心的是有人在計算機上隨便安裝程序，造成系統(tǒng)運行緩慢甚至病毒的感染.我們完全可以通過組策略的“禁用Windows安裝服務(wù)”功能解決問題。禁用Windows安裝服務(wù)策略，它既可以防止其他用戶在系統(tǒng)里隨意安裝軟件，也可以允許用戶只能安裝由管理員所提供的程序。具體的操作是：在組策略編輯器界面的左側(cè)依次級打開【本地計算機策略】直到打開【W(wǎng)indows安裝服務(wù)】，雙擊右側(cè)窗格中“禁用Windows安裝服務(wù)”項目，在彈出的界面中的“策略”選項卡中選擇“啟用”后，在禁用Windows安裝服務(wù)的下拉列表框中選擇策略項即可。

3組策略對遠程桌面與打印機共享這兩個功能實現(xiàn)的影響遠程桌面和打印機

組策略對遠程桌面與打印機共享這兩個功能實現(xiàn)的影響遠程桌面和打印機共享是經(jīng)常被用到的兩個功能，但有時按照常規(guī)設(shè)置完成后，并不能正常工作，會出現(xiàn)無法登陸和連接不上的情況，有可能是組策略的設(shè)置問題，下面進行一下說明。

登陸“遠程桌面”已啟用的計算機時，會出現(xiàn)Windows的登陸窗口，輸入用戶：administrator，密碼為空，有時會提示“由于賬戶限制，您無法登陸”，這是因為登陸帳戶的密碼為空的原因?？梢栽诮M策略中去掉這一限制。操作步驟：【計算機配置】一【W(wǎng)indows設(shè)置】—【安全設(shè)置】一【本地策略】一【安全選項】，將右側(cè)的“賬戶：使用空白密碼的本地帳戶只允許進行控制臺登錄”停用即可。連接共享打印機時，通過“瀏覽打印機”可以找到被共享的打印機，但其狀態(tài)是“拒絕訪問”，解決辦法是登陸組策略編輯器，展開【計算機配置】-【W(wǎng)indows設(shè)置】-【安全設(shè)置】一【本地策略】一【安全選項】，雙擊“網(wǎng)絡(luò)訪問：本地賬戶的共享和安全模式”.在彈出的對話框中選中僅來賓模式就可以了。