淺析組策略的應(yīng)用技巧

馬玉磊

摘 要：隨著人們對計算機數(shù)據(jù)安全訪問性要求的提高，越來越多的計算機用戶開始關(guān)注一個名叫組策略的計算機專業(yè)術(shù)語。那么到底什么是組策略呢？怎么應(yīng)用呢？今天我們就探討一個組策略的應(yīng)用技巧。

關(guān)鍵詞：組策略；數(shù)據(jù)安全；編輯器

組策略（Group Policy）是管理員為用戶和計算機定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計算機和用戶策略。其實組策略，就是基于組的策略。它以Windows中的一個MMC管理單元的形式存在，可以幫助系統(tǒng)管理員針對整個計算機或是特定用戶來設(shè)置多種配置，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容，以及“開始”菜單選項等，也可以在整個計算機范圍內(nèi)創(chuàng)建特殊的桌面配置。簡而言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。

1 組策略應(yīng)用技巧一：暫時隱藏不用的策略

如果你是初學(xué)使用組策略，肯定被組策略編輯器里名目繁多的策略弄了個頭暈眼花，由于不熟悉每個策略的具體位置，有時候為了配置一個策略您可能要在組策略編輯器里翻找大半天，這時候我們就可以使用組策略編輯器的“篩選”功能。

在“開始”菜單的“運行”中輸入“gpedit.msc”打開組策略編輯器，在左側(cè)窗格中選擇一個目錄，單擊右鍵，在彈出的快捷菜單中選擇“查看→篩選”命令打開“篩選”對話框，在該對話框上，我們可以選擇組策略編輯器只顯示配置了的策略，也可以選擇組策略編輯器只顯示針對特定軟件的策略，我們可以選擇只顯示W(wǎng)indows XP Professional以上的操作系統(tǒng)才能管理的策略。

2 組策略應(yīng)用技巧二：禁用“用戶配置”或“計算機配置”策略

組策略編輯器中的策略分為兩類：計算機配置和用戶配置。如果你想知道當(dāng)前系統(tǒng)中這兩類策略分別有多少項被配置過，或者你想隱藏其中一類配置，則可以使用這樣的方法：

打開組策略編輯器，右鍵單擊左窗格目錄樹的根目錄“本地計算機策略”，然后在彈出的快捷菜單上選擇“屬性”打開“本地計算機策略屬性”對話框，在該對話框上“創(chuàng)建”一欄顯示了該組策略管理單元生成的時間，一般情況下它就是操作系統(tǒng)的安裝時間；而“修改”中則顯示的是最后一次設(shè)置組策略的時間；“修訂”一欄顯示了這兩個分類中各自有多少策略被配置過；如果你希望在這里隱藏其中的一類策略，則可以在該對話框下方勾選相應(yīng)的復(fù)選框。

3 組策略應(yīng)用技巧三：編輯遠(yuǎn)程計算機的組策略

組策略不僅可以本地編輯，而且還可以遠(yuǎn)程編輯。在“開始”菜單上單擊“運行”，輸入“mmc”打開MMC控制臺（Microsoft Management Console），在默認(rèn)情況下，MMC控制臺新建并打開了一個“控制臺1”的文件，在MMC控制臺的菜單欄選擇“文件→添加/刪除管理單元”命令，打開“添加/刪除管理單元”對話框，在該對話框上單擊“添加”，在彈出的獨立管理單元列表對話框上選擇“組策略”并單擊“添加”，在接下來的對話框上我們就可以選擇是編輯本地計算機的組策略，還是編輯遠(yuǎn)程計算機的組策略，系統(tǒng)默認(rèn)的選擇是編輯本地計算機的組策略，單擊“瀏覽”，在選擇另一臺計算機的對話框中輸入計算機在域中的路徑，或者單擊“高級”選擇工作組中的另外一臺計算機。

選擇以后單擊“確定”就會在“控制臺1”中打開該遠(yuǎn)程計算機的組策略?，F(xiàn)在好了，利用這個控制臺文件我們就可以編輯遠(yuǎn)程計算機的組策略了，編輯完成后您還可以把“控制臺1”保存為一個“？？.msc”的文件，這樣，當(dāng)有需要時，您還可以雙擊該文件繼續(xù)遠(yuǎn)程編輯該計算機的組策略。

4 組策略應(yīng)用技巧四：在組策略編輯器中禁止從“我的電腦”窗口訪問驅(qū)動器

一般的用戶會習(xí)慣在“我的電腦”或“Windows資源管理器”窗口中訪問磁盤驅(qū)動器，為保證服務(wù)器數(shù)據(jù)安全，可以通過編輯組策略禁止從以上位置訪問驅(qū)動器。

在“組策略編輯器”窗口中依次展開“用戶配置”→“管理模板”→“Windows組件”目錄，并選中“Windows資源管理器”選項。在右窗格中將“防止從‘我的電腦訪問驅(qū)動器”策略設(shè)置為“已啟用”狀態(tài)，并在驅(qū)動器列表框中選擇一個或幾個驅(qū)動器。通過這樣的設(shè)置，不僅可以禁止用戶從“我的電腦”或“資源管理器”窗口中訪問驅(qū)動器，還可以禁止使用“運行”對話框、鏡像網(wǎng)絡(luò)驅(qū)動器對話框或在“命令提示符”窗中使用Dir命令查看驅(qū)動器上的目錄。

5 組策略應(yīng)用技巧五：在組策略編輯器中禁用“注冊表編輯器”

“注冊表編輯器”是Windows系統(tǒng)中的敏感部位，為防止非法用戶登錄服務(wù)器后修改注冊表，可以通過編輯組策略來禁止對注冊表的訪問。

在“組策略編輯器”窗口中依次展開“用戶配置”→“管理模板”目錄，并選中“系統(tǒng)”選項。然后在右窗格中將“阻止訪問注冊表編輯工具”策略設(shè)置為“已啟用”狀態(tài)，這樣當(dāng)用戶試圖打開“注冊表編輯器”的時候，系統(tǒng)會禁止用戶的操作并彈出提示消息。

6 如何禁止客戶端本地登錄，只能使用域環(huán)境登錄

打開GPMC，在所要設(shè)置的GPO中編輯如下：

計算機設(shè)置-策略-windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)限分配中，單擊允許本地登錄，

安全選項中，帳戶：管理員帳戶狀態(tài)，禁用，可以實現(xiàn)只能登陸到域。

7 計算機如何知道組策略是否更改過？如何獲取適合自己的組策略

計算機在登錄時首先查看GPlink（adsiedit.msc中域-屬性-屬性編輯器），查看ID和對應(yīng)的版本號是否更改過，以便登錄的時候?qū)嵤?yīng)的組策略。計算機和用戶如果要應(yīng)用組策略對象的設(shè)定：計算機和用戶必須位于GPO有鏈接的SDOU容器內(nèi)。必須對GPO要有讀取和應(yīng)用組策略的權(quán)限。

8 如何設(shè)置域中GPO的鏈接的權(quán)限？（將設(shè)置的組策略對象鏈接到相應(yīng)的容器中的權(quán)限）

在AD用戶和計算機上單擊域，右擊委派控制-添加，將要添加的用戶添加進(jìn)來，然后給予相應(yīng)的權(quán)限即可。

參考文獻(xiàn)

[1] 黃鎮(zhèn)建，蔡群英. 基于活動目錄和組策略的機房智能化管理[J]. 實驗科學(xué)與技術(shù). 2010（02）

[2] 張燕. 高校機房管理與維護(hù)的技術(shù)措施[J]. 東南大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）. 2008（S1）

[3] 葉傳秀. 利用組策略個性化微機實驗室的上機環(huán)境[J]. 高校實驗室工作研究. 2008（02）

[4] 王鋼. 組策略在企業(yè)中的應(yīng)用[J]. 鐵道機車車輛工人. 2008（03）

[5] 張光建. 利用組策略保護(hù)計算機系統(tǒng)安全[J]. 中國西部科技. 2006（35）

[6] 金勖. 用組策略在機房中實現(xiàn)對軟件的篩選分發(fā)[J]. 南京工程學(xué)院學(xué)報（自然科學(xué)版）. 2006（03）

[7] 楊上影. Windows 2003活動目錄實現(xiàn)校園網(wǎng)信息化管理[J]. 廣西師范學(xué)院學(xué)報（自然科學(xué)版）. 2005（01）