摘 要：随着人们对计算机数据安全访问性要求的提高，越来越多的计算机用户开始关注一个名叫组策略的计算机专业术语。那么到底什么是组策略呢？怎么应用呢？今天我们就探讨一个组策略的应用技巧。

关键词：组策略；数据安全；编辑器

组策略（Group Policy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。其实组策略，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。

1 组策略应用技巧一：暂时隐藏不用的策略

如果你是初学使用组策略，肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花，由于不熟悉每个策略的具体位置，有时候为了配置一个策略您可能要在组策略编辑器里翻找大半天，这时候我们就可以使用组策略编辑器的“筛选”功能。

在“开始”菜单的“运行”中输入“gpedit.msc”打开组策略编辑器，，在左侧窗格中选择一个目录，单击右键，在弹出的快捷菜单中选择“查看→筛选”命令打开“筛选”对话框，在该对话框上，我们可以选择组策略编辑器只显示配置了的策略，也可以选择组策略编辑器只显示针对特定软件的策略，我们可以选择只显示Windows XP Professional以上的操作系统才能管理的策略。

2 组策略应用技巧二：禁用“用户配置”或“计算机配置”策略

组策略编辑器中的策略分为两类：计算机配置和用户配置。如果你想知道当前系统中这两类策略分别有多少项被配置过，或者你想隐藏其中一类配置，则可以使用这样的方法：

打开组策略编辑器，右键单击左窗格目录树的根目录“本地计算机策略”，然后在弹出的快捷菜单上选择“属性”打开“本地计算机策略属性”对话框，在该对话框上“创建”一栏显示了该组策略管理单元生成的时间，一般情况下它就是操作系统的安装时间；而“修改”中则显示的是最后一次设置组策略的时间；“修订”一栏显示了这两个分类中各自有多少策略被配置过；如果你希望在这里隐藏其中的一类策略，则可以在该对话框下方勾选相应的复选框。

3 组策略应用技巧三：编辑远程计算机的组策略

组策略不仅可以本地编辑，而且还可以远程编辑。在“开始”菜单上单击“运行”，输入“mmc”打开MMC控制台（Microsoft Management Console），在默认情况下，MMC控制台新建并打开了一个“控制台1”的文件，在MMC控制台的菜单栏选择“文件→添加/删除管理单元”命令，打开“添加/删除管理单元”对话框，在该对话框上单击“添加”，在弹出的独立管理单元列表对话框上选择“组策略”并单击“添加”，在接下来的对话框上我们就可以选择是编辑本地计算机的组策略，还是编辑远程计算机的组策略，系统默认的选择是编辑本地计算机的组策略，单击“浏览”，在选择另一台计算机的对话框中输入计算机在域中的路径，或者单击“高级”选择工作组中的另外一台计算机。

选择以后单击“确定”就会在“控制台1”中打开该远程计算机的组策略。现在好了，利用这个控制台文件我们就可以编辑远程计算机的组策略了，编辑完成后您还可以把“控制台1”保存为一个“？？.msc”的文件，这样，当有需要时，您还可以双击该文件继续远程编辑该计算机的组策略。

4 组策略应用技巧四：在组策略编辑器中禁止从“我的电脑”窗口访问驱动器

一般的用户会习惯在“我的电脑”或“Windows资源管理器”窗口中访问磁盘驱动器，为保证服务器数据安全，可以通过编辑组策略禁止从以上位置访问驱动器。

在“组策略编辑器”窗口中依次展开“用户配置”→“管理模板”→“Windows组件”目录，并选中“Windows资源管理器”选项。在右窗格中将“防止从‘我的电脑’访问驱动器”策略设置为“已启用”状态，并在驱动器列表框中选择一个或几个驱动器。通过这样的设置，不仅可以禁止用户从“我的电脑”或“资源管理器”窗口中访问驱动器，还可以禁止使用“运行”对话框、镜像网络驱动器对话框或在“命令提示符”窗中使用Dir命令查看驱动器上的目录。

5 组策略应用技巧五：在组策略编辑器中禁用“注册表编辑器”

“注册表编辑器”是Windows系统中的敏感部位，为防止非法用户登录服务器后修改注册表，可以通过编辑组策略来禁止对注册表的访问。

在“组策略编辑器”窗口中依次展开“用户配置”→“管理模板”目录，并选中“系统”选项。然后在右窗格中将“阻止访问注册表编辑工具”策略设置为“已启用”状态，这样当用户试图打开“注册表编辑器”的时候，系统会禁止用户的操作并弹出提示消息。

6 如何禁止客户端本地登录，只能使用域环境登录

打开GPMC，在所要设置的GPO中编辑如下：

计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中，单击允许本地登录，

安全选项中，帐户：管理员帐户状态，禁用，可以实现只能登陆到域。

7 计算机如何知道组策略是否更改过？如何获取适合自己的组策略

计算机在登录时首先查看GPlink（adsiedit.msc中域-属性-属性编辑器），查看ID和对应的版本号是否更改过，以便登录的时候实施对应的组策略。计算机和用户如果要应用组策略对象的设定：计算机和用户必须位于GPO有链接的SDOU容器内。必须对GPO要有读取和应用组策略的权限。

8 如何设置域中GPO的链接的权限？（将设置的组策略对象链接到相应的容器中的权限）

在AD用户和计算机上单击域，右击委派控制-添加，将要添加的用户添加进来，然后给予相应的权限即可。

参考文献

[1] 黄镇建，蔡群英. 基于活动目录和组策略的机房智能化管理[J]. 实验科学与技术. 2010（02）

[2] 张燕. 高校机房管理与维护的技术措施[J]. 东南大学学报（哲学社会科学版）. 2008（S1）

[3] 叶传秀. 利用组策略个性化微机实验室的上机环境[J]. 高校实验室工作研究. 2008（02）

[4] 王钢. 组策略在企业中的应用[J]. 铁道机车车辆工人. 2008（03）

[5] 张光建. 利用组策略保护计算机系统安全[J]. 中国西部科技. 2006（35）

[6] 金勖. 用组策略在机房中实现对软件的筛选分发[J]. 南京工程学院学报（自然科学版）. 2006（03）

[7] 杨上影. Windows 2003活动目录实现校园网信息化管理[J]. 广西师范学院学报（自然科学版）. 2005（01）