浅析组策略的应用技巧
作者:马玉磊 字数:2788 点击:
摘 要:随着人们对计算机数据安全访问性要求的提高,越来越多的计算机用户开始关注一个名叫组策略的计算机专业术语。那么到底什么是组策略呢?怎么应用呢?今天我们就探讨一个组策略的应用技巧。
关键词:组策略;数据安全;编辑器
组策略(Group Policy)是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。其实组策略,就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置,包括桌面配置和安全配置。譬如,可以为特定用户或用户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个计算机范围内创建特殊的桌面配置。简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。
1 组策略应用技巧一:暂时隐藏不用的策略
如果你是初学使用组策略,肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花,由于不熟悉每个策略的具体位置,有时候为了配置一个策略您可能要在组策略编辑器里翻找大半天,这时候我们就可以使用组策略编辑器的“筛选”功能。
在“开始”菜单的“运行”中输入“gpedit.msc”打开组策略编辑器,,在左侧窗格中选择一个目录,单击右键,在弹出的快捷菜单中选择“查看→筛选”命令打开“筛选”对话框,在该对话框上,我们可以选择组策略编辑器只显示配置了的策略,也可以选择组策略编辑器只显示针对特定软件的策略,我们可以选择只显示Windows XP Professional以上的操作系统才能管理的策略。
2 组策略应用技巧二:禁用“用户配置”或“计算机配置”策略
组策略编辑器中的策略分为两类:计算机配置和用户配置。如果你想知道当前系统中这两类策略分别有多少项被配置过,或者你想隐藏其中一类配置,则可以使用这样的方法:
打开组策略编辑器,右键单击左窗格目录树的根目录“本地计算机策略”,然后在弹出的快捷菜单上选择“属性”打开“本地计算机策略属性”对话框,在该对话框上“创建”一栏显示了该组策略管理单元生成的时间,一般情况下它就是操作系统的安装时间;而“修改”中则显示的是最后一次设置组策略的时间;“修订”一栏显示了这两个分类中各自有多少策略被配置过;如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方勾选相应的复选框。
3 组策略应用技巧三:编辑远程计算机的组策略
组策略不仅可以本地编辑,而且还可以远程编辑。在“开始”菜单上单击“运行”,输入“mmc”打开MMC控制台(Microsoft Management Console),在默认情况下,MMC控制台新建并打开了一个“控制台1”的文件,在MMC控制台的菜单栏选择“文件→添加/删除管理单元”命令,打开“添加/删除管理单元”对话框,在该对话框上单击“添加”,在弹出的独立管理单元列表对话框上选择“组策略”并单击“添加”,在接下来的对话框上我们就可以选择是编辑本地计算机的组策略,还是编辑远程计算机的组策略,系统默认的选择是编辑本地计算机的组策略,单击“浏览”,在选择另一台计算机的对话框中输入计算机在域中的路径,或者单击“高级”选择工作组中的另外一台计算机。
选择以后单击“确定”就会在“控制台1”中打开该远程计算机的组策略。现在好了,利用这个控制台文件我们就可以编辑远程计算机的组策略了,编辑完成后您还可以把“控制台1”保存为一个“??.msc”的文件,这样,当有需要时,您还可以双击该文件继续远程编辑该计算机的组策略。
4 组策略应用技巧四:在组策略编辑器中禁止从“我的电脑”窗口访问驱动器
一般的用户会习惯在“我的电脑”或“Windows资源管理器”窗口中访问磁盘驱动器,为保证服务器数据安全,可以通过编辑组策略禁止从以上位置访问驱动器。
在“组策略编辑器”窗口中依次展开“用户配置”→“管理模板”→“Windows组件”目录,并选中“Windows资源管理器”选项。在右窗格中将“防止从‘我的电脑’访问驱动器”策略设置为“已启用”状态,并在驱动器列表框中选择一个或几个驱动器。通过这样的设置,不仅可以禁止用户从“我的电脑”或“资源管理器”窗口中访问驱动器,还可以禁止使用“运行”对话框、镜像网络驱动器对话框或在“命令提示符”窗中使用Dir命令查看驱动器上的目录。
5 组策略应用技巧五:在组策略编辑器中禁用“注册表编辑器”
“注册表编辑器”是Windows系统中的敏感部位,为防止非法用户登录服务器后修改注册表,可以通过编辑组策略来禁止对注册表的访问。
在“组策略编辑器”窗口中依次展开“用户配置”→“管理模板”目录,并选中“系统”选项。然后在右窗格中将“阻止访问注册表编辑工具”策略设置为“已启用”状态,这样当用户试图打开“注册表编辑器”的时候,系统会禁止用户的操作并弹出提示消息。
6 如何禁止客户端本地登录,只能使用域环境登录
打开GPMC,在所要设置的GPO中编辑如下:
计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中,单击允许本地登录,
安全选项中,帐户:管理员帐户状态,禁用,可以实现只能登陆到域。
7 计算机如何知道组策略是否更改过?如何获取适合自己的组策略
计算机在登录时首先查看GPlink(adsiedit.msc中域-属性-属性编辑器),查看ID和对应的版本号是否更改过,以便登录的时候实施对应的组策略。计算机和用户如果要应用组策略对象的设定:计算机和用户必须位于GPO有链接的SDOU容器内。必须对GPO要有读取和应用组策略的权限。
8 如何设置域中GPO的链接的权限?(将设置的组策略对象链接到相应的容器中的权限)
在AD用户和计算机上单击域,右击委派控制-添加,将要添加的用户添加进来,然后给予相应的权限即可。
参考文献
[1] 黄镇建,蔡群英. 基于活动目录和组策略的机房智能化管理[J]. 实验科学与技术. 2010(02)
[2] 张燕. 高校机房管理与维护的技术措施[J]. 东南大学学报(哲学社会科学版). 2008(S1)
[3] 叶传秀. 利用组策略个性化微机实验室的上机环境[J]. 高校实验室工作研究. 2008(02)
[4] 王钢. 组策略在企业中的应用[J]. 铁道机车车辆工人. 2008(03)
[5] 张光建. 利用组策略保护计算机系统安全[J]. 中国西部科技. 2006(35)
[6] 金勖. 用组策略在机房中实现对软件的筛选分发[J]. 南京工程学院学报(自然科学版). 2006(03)
[7] 杨上影. Windows 2003活动目录实现校园网信息化管理[J]. 广西师范学院学报(自然科学版). 2005(01)