Ｗｉｎｄｏｗｓ組策略的應用

[摘要]根據實際工作經驗,詳細講解Windows組策略的基本知識及各個部分的作用,并利用組策略的特點,適當地進行設置,使其能更有效地提高系統的安全性及實用性,并用實例說明組策略的設置方法。

[關鍵詞]組策略 管理 系統安全 權限設置

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0810047-02

一、組策略的基本知識

組策略是管理員為用戶和計算機定義并控制程序、網絡資源及操作系統行為的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略。例如,可使用“組策略”從桌面刪除圖標、自定義“開始”菜單并簡化“控制面板”。此外,還可添加在計算機上(在計算機啟動或停止時,以及用戶登錄或注銷時)運行的腳本,甚至可配置Internet Explorer。下面以Windows 2000為基礎,其余操作系統可參照執行。

(一)組策略的組件

組策略由幾個可以配置的組件組成。第一個是管理模塊,這是一個基于注冊表的策略。Windows 2000包含五個管理模板,其中兩個是默認安裝的:

System.adm:Windows 2000客戶端的系統策略。

Inetres.adm:Windows 2000客戶端的Internet Exploer策略。

此外三個附加的管理模板(Common.adm、Windows.adm和Winnt.adm)是為設置Windows NT、Windows 95和Windows 98策略時使用的。它們使用在本地客戶端上的System Policy Editor(Poledit.exe),并且不能被載入組策略[1]。

(二)組策略對象

組策略的設置存儲在一個組策略對象(GPO)中。一個或多個GPO可應用于站點、域或組織單元(OU)。GPO在兩個位置上存儲信息:一個是稱為組策略模板(GPT)的文件夾結構,另一個是活動目錄中的組策略容器(GPC)。

(三)組策略模板

當您創建一個GPO時,相應的GPT文件夾結構會自動創建。該GPT文件夾的真實名稱將是GPO全局唯一標識符,該標識符對本計算機有用而對其他計算機來說是一個無法理解的數字。

(四)組策略容器

非本地的組策略對象也會有一個稱為GPC的活動目錄部分,它包括了若干包含了版本信息、狀態信息和GPO中使用的組策略擴展名的列表等的子容器。GPC與管理沒有直接關系。

二、創建組策略對象

打開“Active Directory用戶和計算機”窗口(對于域或OU GPO)或者“Active Directory站點和服務器”窗口(對于站點GPO)。

1.右擊你要為其創建GPO的對象,然后從快捷菜單中選“屬性”命令。

2.選擇“組策略”選項卡,然后單擊“新建”按鈕。

3.輸入新的GPO的名稱。

4.完成后單擊“確定”按鈕。

三、訪問組策略的方法

訪問組策略的方法有兩種:第一種方法是命令行方式;第二種方法是通過在MMC控制臺中選擇GPE插件來實現的。

(一)組策略編輯器的命令行啟動

您只需單擊選擇“開始”→“運行”命令,在“運行”對話框的“打開”欄中輸入“gpedit.msc”,然后單擊“確定”按鈕即可啟動組策略編輯器。

(二)將組策略作為獨立的MMC管理單元打開

若要在MMC控制臺中通過選擇GPE插件來打開組策略編輯器,具體方法如下:

1.單擊選擇“開始”→“運行”命令,在彈出的對話框中鍵入“mmc”,然后單擊“確定”按鈕。打開Microsoft管理控制臺窗口。如圖2所示。

2.選擇“文件”菜單下的“添加/刪除管理單元”命令。

3.在“添加/刪除管理單元”窗口的“獨立”選項卡中,單擊“添加”按鈕。

4.彈出“添加獨立管理單元”對話框,并在“可用的獨立管理單元”列表中選擇“組策略”選項,單擊“添加”按鈕。

5.由于是將組策略應用到本地計算機中,故在“選擇組策略對象”對話框中,單擊“本地計算機”,編輯本地計算機對象,或通過單擊“瀏覽”按鈕查找所需的組策略對象。

6.單擊“完成”→“關閉”→“確定”按鈕,組策略管理單元即可打開要編輯的組策略對象。

四、組策略的實際應用

(一)桌面項目設置

在“組策略”的左窗口依次展開“用戶配置”→“管理模板”→“桌面”節點,便能看到有關桌面的所有設置。

1.隱藏不必要的桌面圖標。桌面上的一些快捷方式我們可以輕而易舉地刪除,但要刪除“我的電腦”、“回收站”、“網上鄰居”等默認圖標,就需要依靠“組策略”了。例如要刪除“我的文檔”,只需在“刪除桌面上的‘我的文檔圖標”一項中設置即可。

2.禁止對桌面的改動。利用組策略可達到禁止別人改動桌面某些設置的目的。如“禁止用戶更改‘我的文檔路徑”項可防止用戶更改“我的文檔”文件夾的路徑。“禁止添加、拖、放和關閉任務欄的工具欄”項可阻止用戶從桌面上添加或刪除任務欄。

(二)隱藏或禁止控制面板項目

在組策略左邊窗口依次展開“用戶配置”→“管理模板”→“控制面板”項,便可看到“控制面板”節點下面的所有設置和子節點。

1.禁止訪問“控制面板”。如果您不希望其他用戶訪問計算機的“控制面板”,您只要運行組策略編輯器(gpedit.msc),在左側窗格中逐級展開“‘本地計算機策略”→“用戶配置”→“管理模板”→“控制面板”分支,然后將右側窗格的“禁止訪問控制面板”策略啟用即可[2]。

2.隱藏或禁止“添加/刪除程序”項。展開“添加/刪除程序”項:雙擊啟用“刪除‘添加/刪除程序程序”設置項后,控制面板中的“添加/刪除程序”項將被刪除。

3.隱藏或禁止“顯示”項。展開“顯示”項,發現這一項和上一項一樣,可隱藏“顯示屬性”對話框中的選項卡。

(三)系統項目設置

這一項在“用戶配置”→“管理模板”→“系統”中設置。

1.登錄時不顯示歡迎屏幕界面。Windows系統登錄時默認情況下都有歡迎屏幕,雖然漂亮但也麻煩且延長登錄時間,通過組策略便可將其除去。雙擊啟用“系統”節點下的“登錄時不顯示歡迎屏幕”,則每次用戶登錄時歡迎屏幕將隱藏。

2.禁用注冊表編輯器。為防止他人修改注冊表,可在組策略中禁止訪問注冊表編輯器。雙擊啟用“系統”節點下的“阻止訪問注冊表編輯器”項后,用戶試圖啟動注冊表編輯器時,系統將提示:注冊編輯已被管理員停用。

3.刪除任務管理器。找到“系統”下的“Ctrl+Alt+Del選項”,雙擊啟用“刪除任務管理器”、“刪除‘鎖定計算機”、“刪除改變密碼”、“刪除注銷”項便能屏蔽掉“Windows安全”對話框的“任務管理器”、“鎖定計算機”、“更改密碼”、“取消”4個功能按鈕[3]。

注意:“注銷”、“關機”兩個菜單項的屏蔽,在“用戶配置”→“管理模板”→“任務欄和‘開始菜單”節點下。

(四)系統安全/權限設置

在組策略中,系統安全配置一般在“計算機配置”→“Windows設置”→“安全設置”中進行。

1.密碼策略。這一策略在“賬戶策略”→“密碼策略”節點中配置。口令是系統安全的一大隱患,可通過組策略設置密碼(口令)的最小長度:雙擊啟用“密碼必須符合復雜性要求”設置項,確定后雙擊“密碼長度最小值”設置項,在彈出來的對話框中將密碼長度最小值設為8或更大,這樣以后設置賬戶密碼時就必須輸入8位以上,安全性就高多了。

2.用戶權利指派。展開“本地策略”→“用戶權利指派”節點,在右邊窗口中便能看到“用戶權利指派”節點下的所有設置。

3.文件和文件夾設置審核。Windows 2000可以使用審核跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統關閉或重新啟動以及類似的事件。審核文件、文件夾(只適用于NTFS文件系統)可以保證文件和文件夾的安全。在審核發生之前,您必須使用“組策略”指定要審核的事件類型。為文件和文件夾設置審核。其位置在“組策略”窗口中,逐級展開右側窗格中的“計算機配置”→“Windows設置”→“安全設置”→“本地策略”分支,然后在該分支下選擇“審核策略”選項。

4.阻止訪問命令提示符。防止用戶運行命令提示符窗口(Cmd.exe)。這個設置還決定批文件(.cmd和.bat)是否可以在計算機上運行。位置:用戶配置管理模板系統如果啟用這個設置,用戶試圖打開命令窗口,系統會顯示一個消息,解釋設置阻止這種操作。

五、結論

對于Windows組策略的應用,通過組策略來控制程序、網絡資源及操作系統行為以及設置各種軟件的目的,另外通過修改組策略還可防止和限制別人對計算機的惡意修改,起到保護操作系統的作用。

Windows組策略的功能非常強大,還有很多需要我們去發掘,本文是作者多年計算機機房管理經驗的總結,希望能起到拋磚引玉的作用。

參考文獻:

[1]劉明銘,《Windows 2000 server管理員手冊》[M].科學出版社,2002年4月第1版.

[2]劉嘵輝,《Windows 2000/XP/2003組策略實戰指南》[M].人民郵電出版社,2006年7月第1版.

[3]朱青亮,《組策略應用技巧》,家庭電腦世界雜志社,2004年6月第1版.

作者簡介:

林陽軍,成都電子高專機械工程系,助教。