淺析組策略的應用技巧

馬玉磊

摘 要：隨著人們對計算機數據安全訪問性要求的提高，越來越多的計算機用戶開始關注一個名叫組策略的計算機專業術語。那么到底什么是組策略呢？怎么應用呢？今天我們就探討一個組策略的應用技巧。

關鍵詞：組策略；數據安全；編輯器

組策略（Group Policy）是管理員為用戶和計算機定義并控制程序、網絡資源及操作系統行為的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略。其實組策略，就是基于組的策略。它以Windows中的一個MMC管理單元的形式存在，可以幫助系統管理員針對整個計算機或是特定用戶來設置多種配置，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內容，以及“開始”菜單選項等，也可以在整個計算機范圍內創建特殊的桌面配置。簡而言之，組策略是Windows中的一套系統更改和配置管理工具的集合。

1 組策略應用技巧一：暫時隱藏不用的策略

如果你是初學使用組策略，肯定被組策略編輯器里名目繁多的策略弄了個頭暈眼花，由于不熟悉每個策略的具體位置，有時候為了配置一個策略您可能要在組策略編輯器里翻找大半天，這時候我們就可以使用組策略編輯器的“篩選”功能。

在“開始”菜單的“運行”中輸入“gpedit.msc”打開組策略編輯器，在左側窗格中選擇一個目錄，單擊右鍵，在彈出的快捷菜單中選擇“查看→篩選”命令打開“篩選”對話框，在該對話框上，我們可以選擇組策略編輯器只顯示配置了的策略，也可以選擇組策略編輯器只顯示針對特定軟件的策略，我們可以選擇只顯示Windows XP Professional以上的操作系統才能管理的策略。

2 組策略應用技巧二：禁用“用戶配置”或“計算機配置”策略

組策略編輯器中的策略分為兩類：計算機配置和用戶配置。如果你想知道當前系統中這兩類策略分別有多少項被配置過，或者你想隱藏其中一類配置，則可以使用這樣的方法：

打開組策略編輯器，右鍵單擊左窗格目錄樹的根目錄“本地計算機策略”，然后在彈出的快捷菜單上選擇“屬性”打開“本地計算機策略屬性”對話框，在該對話框上“創建”一欄顯示了該組策略管理單元生成的時間，一般情況下它就是操作系統的安裝時間；而“修改”中則顯示的是最后一次設置組策略的時間；“修訂”一欄顯示了這兩個分類中各自有多少策略被配置過；如果你希望在這里隱藏其中的一類策略，則可以在該對話框下方勾選相應的復選框。

3 組策略應用技巧三：編輯遠程計算機的組策略

組策略不僅可以本地編輯，而且還可以遠程編輯。在“開始”菜單上單擊“運行”，輸入“mmc”打開MMC控制臺（Microsoft Management Console），在默認情況下，MMC控制臺新建并打開了一個“控制臺1”的文件，在MMC控制臺的菜單欄選擇“文件→添加/刪除管理單元”命令，打開“添加/刪除管理單元”對話框，在該對話框上單擊“添加”，在彈出的獨立管理單元列表對話框上選擇“組策略”并單擊“添加”，在接下來的對話框上我們就可以選擇是編輯本地計算機的組策略，還是編輯遠程計算機的組策略，系統默認的選擇是編輯本地計算機的組策略，單擊“瀏覽”，在選擇另一臺計算機的對話框中輸入計算機在域中的路徑，或者單擊“高級”選擇工作組中的另外一臺計算機。

選擇以后單擊“確定”就會在“控制臺1”中打開該遠程計算機的組策略。現在好了，利用這個控制臺文件我們就可以編輯遠程計算機的組策略了，編輯完成后您還可以把“控制臺1”保存為一個“？？.msc”的文件，這樣，當有需要時，您還可以雙擊該文件繼續遠程編輯該計算機的組策略。

4 組策略應用技巧四：在組策略編輯器中禁止從“我的電腦”窗口訪問驅動器

一般的用戶會習慣在“我的電腦”或“Windows資源管理器”窗口中訪問磁盤驅動器，為保證服務器數據安全，可以通過編輯組策略禁止從以上位置訪問驅動器。

在“組策略編輯器”窗口中依次展開“用戶配置”→“管理模板”→“Windows組件”目錄，并選中“Windows資源管理器”選項。在右窗格中將“防止從‘我的電腦訪問驅動器”策略設置為“已啟用”狀態，并在驅動器列表框中選擇一個或幾個驅動器。通過這樣的設置，不僅可以禁止用戶從“我的電腦”或“資源管理器”窗口中訪問驅動器，還可以禁止使用“運行”對話框、鏡像網絡驅動器對話框或在“命令提示符”窗中使用Dir命令查看驅動器上的目錄。

5 組策略應用技巧五：在組策略編輯器中禁用“注冊表編輯器”

“注冊表編輯器”是Windows系統中的敏感部位，為防止非法用戶登錄服務器后修改注冊表，可以通過編輯組策略來禁止對注冊表的訪問。

在“組策略編輯器”窗口中依次展開“用戶配置”→“管理模板”目錄，并選中“系統”選項。然后在右窗格中將“阻止訪問注冊表編輯工具”策略設置為“已啟用”狀態，這樣當用戶試圖打開“注冊表編輯器”的時候，系統會禁止用戶的操作并彈出提示消息。

6 如何禁止客戶端本地登錄，只能使用域環境登錄

打開GPMC，在所要設置的GPO中編輯如下：

計算機設置-策略-windows設置-安全設置-本地策略-用戶權限分配中，單擊允許本地登錄，

安全選項中，帳戶：管理員帳戶狀態，禁用，可以實現只能登陸到域。

7 計算機如何知道組策略是否更改過？如何獲取適合自己的組策略

計算機在登錄時首先查看GPlink（adsiedit.msc中域-屬性-屬性編輯器），查看ID和對應的版本號是否更改過，以便登錄的時候實施對應的組策略。計算機和用戶如果要應用組策略對象的設定：計算機和用戶必須位于GPO有鏈接的SDOU容器內。必須對GPO要有讀取和應用組策略的權限。

8 如何設置域中GPO的鏈接的權限？（將設置的組策略對象鏈接到相應的容器中的權限）

在AD用戶和計算機上單擊域，右擊委派控制-添加，將要添加的用戶添加進來，然后給予相應的權限即可。

參考文獻

[1] 黃鎮建，蔡群英. 基于活動目錄和組策略的機房智能化管理[J]. 實驗科學與技術. 2010（02）

[2] 張燕. 高校機房管理與維護的技術措施[J]. 東南大學學報（哲學社會科學版）. 2008（S1）

[3] 葉傳秀. 利用組策略個性化微機實驗室的上機環境[J]. 高校實驗室工作研究. 2008（02）

[4] 王鋼. 組策略在企業中的應用[J]. 鐵道機車車輛工人. 2008（03）

[5] 張光建. 利用組策略保護計算機系統安全[J]. 中國西部科技. 2006（35）

[6] 金勖. 用組策略在機房中實現對軟件的篩選分發[J]. 南京工程學院學報（自然科學版）. 2006（03）

[7] 楊上影. Windows 2003活動目錄實現校園網信息化管理[J]. 廣西師范學院學報（自然科學版）. 2005（01）