Ｗｉｎｄｏｗｓ組策略的應(yīng)用

[摘要]根據(jù)實(shí)際工作經(jīng)驗(yàn),詳細(xì)講解Windows組策略的基本知識(shí)及各個(gè)部分的作用,并利用組策略的特點(diǎn),適當(dāng)?shù)剡M(jìn)行設(shè)置,使其能更有效地提高系統(tǒng)的安全性及實(shí)用性,并用實(shí)例說明組策略的設(shè)置方法。

[關(guān)鍵詞]組策略 管理 系統(tǒng)安全 權(quán)限設(shè)置

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0810047-02

一、組策略的基本知識(shí)

組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。例如,可使用“組策略”從桌面刪除圖標(biāo)、自定義“開始”菜單并簡化“控制面板”。此外,還可添加在計(jì)算機(jī)上(在計(jì)算機(jī)啟動(dòng)或停止時(shí),以及用戶登錄或注銷時(shí))運(yùn)行的腳本,甚至可配置Internet Explorer。下面以Windows 2000為基礎(chǔ),其余操作系統(tǒng)可參照執(zhí)行。

(一)組策略的組件

組策略由幾個(gè)可以配置的組件組成。第一個(gè)是管理模塊,這是一個(gè)基于注冊表的策略。Windows 2000包含五個(gè)管理模板,其中兩個(gè)是默認(rèn)安裝的:

System.adm:Windows 2000客戶端的系統(tǒng)策略。

Inetres.adm:Windows 2000客戶端的Internet Exploer策略。

此外三個(gè)附加的管理模板(Common.adm、Windows.adm和Winnt.adm)是為設(shè)置Windows NT、Windows 95和Windows 98策略時(shí)使用的。它們使用在本地客戶端上的System Policy Editor(Poledit.exe),并且不能被載入組策略[1]。

(二)組策略對象

組策略的設(shè)置存儲(chǔ)在一個(gè)組策略對象(GPO)中。一個(gè)或多個(gè)GPO可應(yīng)用于站點(diǎn)、域或組織單元(OU)。GPO在兩個(gè)位置上存儲(chǔ)信息:一個(gè)是稱為組策略模板(GPT)的文件夾結(jié)構(gòu),另一個(gè)是活動(dòng)目錄中的組策略容器(GPC)。

(三)組策略模板

當(dāng)您創(chuàng)建一個(gè)GPO時(shí),相應(yīng)的GPT文件夾結(jié)構(gòu)會(huì)自動(dòng)創(chuàng)建。該GPT文件夾的真實(shí)名稱將是GPO全局唯一標(biāo)識(shí)符,該標(biāo)識(shí)符對本計(jì)算機(jī)有用而對其他計(jì)算機(jī)來說是一個(gè)無法理解的數(shù)字。

(四)組策略容器

非本地的組策略對象也會(huì)有一個(gè)稱為GPC的活動(dòng)目錄部分,它包括了若干包含了版本信息、狀態(tài)信息和GPO中使用的組策略擴(kuò)展名的列表等的子容器。GPC與管理沒有直接關(guān)系。

二、創(chuàng)建組策略對象

打開“Active Directory用戶和計(jì)算機(jī)”窗口(對于域或OU GPO)或者“Active Directory站點(diǎn)和服務(wù)器”窗口(對于站點(diǎn)GPO)。

1.右擊你要為其創(chuàng)建GPO的對象,然后從快捷菜單中選“屬性”命令。

2.選擇“組策略”選項(xiàng)卡,然后單擊“新建”按鈕。

3.輸入新的GPO的名稱。

4.完成后單擊“確定”按鈕。

三、訪問組策略的方法

訪問組策略的方法有兩種:第一種方法是命令行方式;第二種方法是通過在MMC控制臺(tái)中選擇GPE插件來實(shí)現(xiàn)的。

(一)組策略編輯器的命令行啟動(dòng)

您只需單擊選擇“開始”→“運(yùn)行”命令,在“運(yùn)行”對話框的“打開”欄中輸入“gpedit.msc”,然后單擊“確定”按鈕即可啟動(dòng)組策略編輯器。

(二)將組策略作為獨(dú)立的MMC管理單元打開

若要在MMC控制臺(tái)中通過選擇GPE插件來打開組策略編輯器,具體方法如下:

1.單擊選擇“開始”→“運(yùn)行”命令,在彈出的對話框中鍵入“mmc”,然后單擊“確定”按鈕。打開Microsoft管理控制臺(tái)窗口。如圖2所示。

2.選擇“文件”菜單下的“添加/刪除管理單元”命令。

3.在“添加/刪除管理單元”窗口的“獨(dú)立”選項(xiàng)卡中,單擊“添加”按鈕。

4.彈出“添加獨(dú)立管理單元”對話框,并在“可用的獨(dú)立管理單元”列表中選擇“組策略”選項(xiàng),單擊“添加”按鈕。

5.由于是將組策略應(yīng)用到本地計(jì)算機(jī)中,故在“選擇組策略對象”對話框中,單擊“本地計(jì)算機(jī)”,編輯本地計(jì)算機(jī)對象,或通過單擊“瀏覽”按鈕查找所需的組策略對象。

6.單擊“完成”→“關(guān)閉”→“確定”按鈕,組策略管理單元即可打開要編輯的組策略對象。

四、組策略的實(shí)際應(yīng)用

(一)桌面項(xiàng)目設(shè)置

在“組策略”的左窗口依次展開“用戶配置”→“管理模板”→“桌面”節(jié)點(diǎn),便能看到有關(guān)桌面的所有設(shè)置。

1.隱藏不必要的桌面圖標(biāo)。桌面上的一些快捷方式我們可以輕而易舉地刪除,但要?jiǎng)h除“我的電腦”、“回收站”、“網(wǎng)上鄰居”等默認(rèn)圖標(biāo),就需要依靠“組策略”了。例如要?jiǎng)h除“我的文檔”,只需在“刪除桌面上的‘我的文檔圖標(biāo)”一項(xiàng)中設(shè)置即可。

2.禁止對桌面的改動(dòng)。利用組策略可達(dá)到禁止別人改動(dòng)桌面某些設(shè)置的目的。如“禁止用戶更改‘我的文檔路徑”項(xiàng)可防止用戶更改“我的文檔”文件夾的路徑。“禁止添加、拖、放和關(guān)閉任務(wù)欄的工具欄”項(xiàng)可阻止用戶從桌面上添加或刪除任務(wù)欄。

(二)隱藏或禁止控制面板項(xiàng)目

在組策略左邊窗口依次展開“用戶配置”→“管理模板”→“控制面板”項(xiàng),便可看到“控制面板”節(jié)點(diǎn)下面的所有設(shè)置和子節(jié)點(diǎn)。

1.禁止訪問“控制面板”。如果您不希望其他用戶訪問計(jì)算機(jī)的“控制面板”,您只要運(yùn)行組策略編輯器(gpedit.msc),在左側(cè)窗格中逐級(jí)展開“‘本地計(jì)算機(jī)策略”→“用戶配置”→“管理模板”→“控制面板”分支,然后將右側(cè)窗格的“禁止訪問控制面板”策略啟用即可[2]。

2.隱藏或禁止“添加/刪除程序”項(xiàng)。展開“添加/刪除程序”項(xiàng):雙擊啟用“刪除‘添加/刪除程序程序”設(shè)置項(xiàng)后,控制面板中的“添加/刪除程序”項(xiàng)將被刪除。

3.隱藏或禁止“顯示”項(xiàng)。展開“顯示”項(xiàng),發(fā)現(xiàn)這一項(xiàng)和上一項(xiàng)一樣,可隱藏“顯示屬性”對話框中的選項(xiàng)卡。

(三)系統(tǒng)項(xiàng)目設(shè)置

這一項(xiàng)在“用戶配置”→“管理模板”→“系統(tǒng)”中設(shè)置。

1.登錄時(shí)不顯示歡迎屏幕界面。Windows系統(tǒng)登錄時(shí)默認(rèn)情況下都有歡迎屏幕,雖然漂亮但也麻煩且延長登錄時(shí)間,通過組策略便可將其除去。雙擊啟用“系統(tǒng)”節(jié)點(diǎn)下的“登錄時(shí)不顯示歡迎屏幕”,則每次用戶登錄時(shí)歡迎屏幕將隱藏。

2.禁用注冊表編輯器。為防止他人修改注冊表,可在組策略中禁止訪問注冊表編輯器。雙擊啟用“系統(tǒng)”節(jié)點(diǎn)下的“阻止訪問注冊表編輯器”項(xiàng)后,用戶試圖啟動(dòng)注冊表編輯器時(shí),系統(tǒng)將提示:注冊編輯已被管理員停用。

3.刪除任務(wù)管理器。找到“系統(tǒng)”下的“Ctrl+Alt+Del選項(xiàng)”,雙擊啟用“刪除任務(wù)管理器”、“刪除‘鎖定計(jì)算機(jī)”、“刪除改變密碼”、“刪除注銷”項(xiàng)便能屏蔽掉“Windows安全”對話框的“任務(wù)管理器”、“鎖定計(jì)算機(jī)”、“更改密碼”、“取消”4個(gè)功能按鈕[3]。

注意:“注銷”、“關(guān)機(jī)”兩個(gè)菜單項(xiàng)的屏蔽,在“用戶配置”→“管理模板”→“任務(wù)欄和‘開始菜單”節(jié)點(diǎn)下。

(四)系統(tǒng)安全/權(quán)限設(shè)置

在組策略中,系統(tǒng)安全配置一般在“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”中進(jìn)行。

1.密碼策略。這一策略在“賬戶策略”→“密碼策略”節(jié)點(diǎn)中配置。口令是系統(tǒng)安全的一大隱患,可通過組策略設(shè)置密碼(口令)的最小長度:雙擊啟用“密碼必須符合復(fù)雜性要求”設(shè)置項(xiàng),確定后雙擊“密碼長度最小值”設(shè)置項(xiàng),在彈出來的對話框中將密碼長度最小值設(shè)為8或更大,這樣以后設(shè)置賬戶密碼時(shí)就必須輸入8位以上,安全性就高多了。

2.用戶權(quán)利指派。展開“本地策略”→“用戶權(quán)利指派”節(jié)點(diǎn),在右邊窗口中便能看到“用戶權(quán)利指派”節(jié)點(diǎn)下的所有設(shè)置。

3.文件和文件夾設(shè)置審核。Windows 2000可以使用審核跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統(tǒng)關(guān)閉或重新啟動(dòng)以及類似的事件。審核文件、文件夾(只適用于NTFS文件系統(tǒng))可以保證文件和文件夾的安全。在審核發(fā)生之前,您必須使用“組策略”指定要審核的事件類型。為文件和文件夾設(shè)置審核。其位置在“組策略”窗口中,逐級(jí)展開右側(cè)窗格中的“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”分支,然后在該分支下選擇“審核策略”選項(xiàng)。

4.阻止訪問命令提示符。防止用戶運(yùn)行命令提示符窗口(Cmd.exe)。這個(gè)設(shè)置還決定批文件(.cmd和.bat)是否可以在計(jì)算機(jī)上運(yùn)行。位置:用戶配置管理模板系統(tǒng)如果啟用這個(gè)設(shè)置,用戶試圖打開命令窗口,系統(tǒng)會(huì)顯示一個(gè)消息,解釋設(shè)置阻止這種操作。

五、結(jié)論

對于Windows組策略的應(yīng)用,通過組策略來控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為以及設(shè)置各種軟件的目的,另外通過修改組策略還可防止和限制別人對計(jì)算機(jī)的惡意修改,起到保護(hù)操作系統(tǒng)的作用。

Windows組策略的功能非常強(qiáng)大,還有很多需要我們?nèi)グl(fā)掘,本文是作者多年計(jì)算機(jī)機(jī)房管理經(jīng)驗(yàn)的總結(jié),希望能起到拋磚引玉的作用。

參考文獻(xiàn):

[1]劉明銘,《Windows 2000 server管理員手冊》[M].科學(xué)出版社,2002年4月第1版.

[2]劉嘵輝,《Windows 2000/XP/2003組策略實(shí)戰(zhàn)指南》[M].人民郵電出版社,2006年7月第1版.

[3]朱青亮,《組策略應(yīng)用技巧》,家庭電腦世界雜志社,2004年6月第1版.

作者簡介:

林陽軍,成都電子高專機(jī)械工程系,助教。