[摘要]根據(jù)實際工作經(jīng)驗,詳細(xì)講解Windows組策略的基本知識及各個部分的作用,并利用組策略的特點,適當(dāng)?shù)剡M(jìn)行設(shè)置,使其能更有效地提高系統(tǒng)的安全性及實用性,并用實例說明組策略的設(shè)置方法。

[關(guān)鍵詞]組策略 管理 系統(tǒng)安全 權(quán)限設(shè)置

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)0810047-02

一、組策略的基本知識

組策略是管理員為用戶和計算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計算機(jī)和用戶策略。例如,可使用“組策略”從桌面刪除圖標(biāo)、自定義“開始”菜單并簡化“控制面板”。此外,還可添加在計算機(jī)上(在計算機(jī)啟動或停止時,以及用戶登錄或注銷時)運行的腳本,甚至可配置Internet Explorer。下面以Windows 2000為基礎(chǔ),其余操作系統(tǒng)可參照執(zhí)行。

(一)組策略的組件

組策略由幾個可以配置的組件組成。第一個是管理模塊,這是一個基于注冊表的策略。Windows 2000包含五個管理模板,其中兩個是默認(rèn)安裝的:

System.adm:Windows 2000客戶端的系統(tǒng)策略。

Inetres.adm:Windows 2000客戶端的Internet Exploer策略。

此外三個附加的管理模板(Common.adm、Windows.adm和Winnt.adm)是為設(shè)置Windows NT、Windows 95和Windows 98策略時使用的。它們使用在本地客戶端上的System Policy Editor(Poledit.exe),并且不能被載入組策略[1]。

(二)組策略對象

組策略的設(shè)置存儲在一個組策略對象(GPO)中。一個或多個GPO可應(yīng)用于站點、域或組織單元(OU)。GPO在兩個位置上存儲信息:一個是稱為組策略模板(GPT)的文件夾結(jié)構(gòu),另一個是活動目錄中的組策略容器(GPC)。

(三)組策略模板

當(dāng)您創(chuàng)建一個GPO時,相應(yīng)的GPT文件夾結(jié)構(gòu)會自動創(chuàng)建。該GPT文件夾的真實名稱將是GPO全局唯一標(biāo)識符,該標(biāo)識符對本計算機(jī)有用而對其他計算機(jī)來說是一個無法理解的數(shù)字。

(四)組策略容器

非本地的組策略對象也會有一個稱為GPC的活動目錄部分,它包括了若干包含了版本信息、狀態(tài)信息和GPO中使用的組策略擴(kuò)展名的列表等的子容器。GPC與管理沒有直接關(guān)系。

二、創(chuàng)建組策略對象

打開“Active Directory用戶和計算機(jī)”窗口(對于域或OU GPO)或者“Active Directory站點和服務(wù)器”窗口(對于站點GPO)。

1.右擊你要為其創(chuàng)建GPO的對象,然后從快捷菜單中選“屬性”命令。

2.選擇“組策略”選項卡,然后單擊“新建”按鈕。

3.輸入新的GPO的名稱。

4.完成后單擊“確定”按鈕。

三、訪問組策略的方法

訪問組策略的方法有兩種:第一種方法是命令行方式;第二種方法是通過在MMC控制臺中選擇GPE插件來實現(xiàn)的。

(一)組策略編輯器的命令行啟動

您只需單擊選擇“開始”→“運行”命令,在“運行”對話框的“打開”欄中輸入“gpedit.msc”,然后單擊“確定”按鈕即可啟動組策略編輯器。

(二)將組策略作為獨立的MMC管理單元打開

若要在MMC控制臺中通過選擇GPE插件來打開組策略編輯器,具體方法如下:

1.單擊選擇“開始”→“運行”命令,在彈出的對話框中鍵入“mmc”,然后單擊“確定”按鈕。打開Microsoft管理控制臺窗口。如圖2所示。

2.選擇“文件”菜單下的“添加/刪除管理單元”命令。

3.在“添加/刪除管理單元”窗口的“獨立”選項卡中,單擊“添加”按鈕。

4.彈出“添加獨立管理單元”對話框,并在“可用的獨立管理單元”列表中選擇“組策略”選項,單擊“添加”按鈕。

5.由于是將組策略應(yīng)用到本地計算機(jī)中,故在“選擇組策略對象”對話框中,單擊“本地計算機(jī)”,編輯本地計算機(jī)對象,或通過單擊“瀏覽”按鈕查找所需的組策略對象。

6.單擊“完成”→“關(guān)閉”→“確定”按鈕,組策略管理單元即可打開要編輯的組策略對象。

四、組策略的實際應(yīng)用

(一)桌面項目設(shè)置

在“組策略”的左窗口依次展開“用戶配置”→“管理模板”→“桌面”節(jié)點,便能看到有關(guān)桌面的所有設(shè)置。

1.隱藏不必要的桌面圖標(biāo)。桌面上的一些快捷方式我們可以輕而易舉地刪除,但要刪除“我的電腦”、“回收站”、“網(wǎng)上鄰居”等默認(rèn)圖標(biāo),就需要依靠“組策略”了。例如要刪除“我的文檔”,只需在“刪除桌面上的‘我的文檔圖標(biāo)”一項中設(shè)置即可。

2.禁止對桌面的改動。利用組策略可達(dá)到禁止別人改動桌面某些設(shè)置的目的。如“禁止用戶更改‘我的文檔路徑”項可防止用戶更改“我的文檔”文件夾的路徑?！敖固砑?、拖、放和關(guān)閉任務(wù)欄的工具欄”項可阻止用戶從桌面上添加或刪除任務(wù)欄。

(二)隱藏或禁止控制面板項目

在組策略左邊窗口依次展開“用戶配置”→“管理模板”→“控制面板”項,便可看到“控制面板”節(jié)點下面的所有設(shè)置和子節(jié)點。

1.禁止訪問“控制面板”。如果您不希望其他用戶訪問計算機(jī)的“控制面板”,您只要運行組策略編輯器(gpedit.msc),在左側(cè)窗格中逐級展開“‘本地計算機(jī)策略”→“用戶配置”→“管理模板”→“控制面板”分支,然后將右側(cè)窗格的“禁止訪問控制面板”策略啟用即可[2]。

2.隱藏或禁止“添加/刪除程序”項。展開“添加/刪除程序”項:雙擊啟用“刪除‘添加/刪除程序程序”設(shè)置項后,控制面板中的“添加/刪除程序”項將被刪除。

3.隱藏或禁止“顯示”項。展開“顯示”項,發(fā)現(xiàn)這一項和上一項一樣,可隱藏“顯示屬性”對話框中的選項卡。

(三)系統(tǒng)項目設(shè)置

這一項在“用戶配置”→“管理模板”→“系統(tǒng)”中設(shè)置。

1.登錄時不顯示歡迎屏幕界面。Windows系統(tǒng)登錄時默認(rèn)情況下都有歡迎屏幕,雖然漂亮但也麻煩且延長登錄時間,通過組策略便可將其除去。雙擊啟用“系統(tǒng)”節(jié)點下的“登錄時不顯示歡迎屏幕”,則每次用戶登錄時歡迎屏幕將隱藏。

2.禁用注冊表編輯器。為防止他人修改注冊表,可在組策略中禁止訪問注冊表編輯器。雙擊啟用“系統(tǒng)”節(jié)點下的“阻止訪問注冊表編輯器”項后,用戶試圖啟動注冊表編輯器時,系統(tǒng)將提示:注冊編輯已被管理員停用。

3.刪除任務(wù)管理器。找到“系統(tǒng)”下的“Ctrl+Alt+Del選項”,雙擊啟用“刪除任務(wù)管理器”、“刪除‘鎖定計算機(jī)”、“刪除改變密碼”、“刪除注銷”項便能屏蔽掉“Windows安全”對話框的“任務(wù)管理器”、“鎖定計算機(jī)”、“更改密碼”、“取消”4個功能按鈕[3]。

注意:“注銷”、“關(guān)機(jī)”兩個菜單項的屏蔽,在“用戶配置”→“管理模板”→“任務(wù)欄和‘開始菜單”節(jié)點下。

(四)系統(tǒng)安全/權(quán)限設(shè)置

在組策略中,系統(tǒng)安全配置一般在“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”中進(jìn)行。

1.密碼策略。這一策略在“賬戶策略”→“密碼策略”節(jié)點中配置?？诹钍窍到y(tǒng)安全的一大隱患,可通過組策略設(shè)置密碼(口令)的最小長度:雙擊啟用“密碼必須符合復(fù)雜性要求”設(shè)置項,確定后雙擊“密碼長度最小值”設(shè)置項,在彈出來的對話框中將密碼長度最小值設(shè)為8或更大,這樣以后設(shè)置賬戶密碼時就必須輸入8位以上,安全性就高多了。

2.用戶權(quán)利指派。展開“本地策略”→“用戶權(quán)利指派”節(jié)點,在右邊窗口中便能看到“用戶權(quán)利指派”節(jié)點下的所有設(shè)置。

3.文件和文件夾設(shè)置審核。Windows 2000可以使用審核跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統(tǒng)關(guān)閉或重新啟動以及類似的事件。審核文件、文件夾(只適用于NTFS文件系統(tǒng))可以保證文件和文件夾的安全。在審核發(fā)生之前,您必須使用“組策略”指定要審核的事件類型。為文件和文件夾設(shè)置審核。其位置在“組策略”窗口中,逐級展開右側(cè)窗格中的“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”分支,然后在該分支下選擇“審核策略”選項。

4.阻止訪問命令提示符。防止用戶運行命令提示符窗口(Cmd.exe)。這個設(shè)置還決定批文件(.cmd和.bat)是否可以在計算機(jī)上運行。位置:用戶配置管理模板系統(tǒng)如果啟用這個設(shè)置,用戶試圖打開命令窗口,系統(tǒng)會顯示一個消息,解釋設(shè)置阻止這種操作。

五、結(jié)論

對于Windows組策略的應(yīng)用,通過組策略來控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為以及設(shè)置各種軟件的目的,另外通過修改組策略還可防止和限制別人對計算機(jī)的惡意修改,起到保護(hù)操作系統(tǒng)的作用。

Windows組策略的功能非常強(qiáng)大,還有很多需要我們?nèi)グl(fā)掘,本文是作者多年計算機(jī)機(jī)房管理經(jīng)驗的總結(jié),希望能起到拋磚引玉的作用。

參考文獻(xiàn):

[1]劉明銘,《Windows 2000 server管理員手冊》[M].科學(xué)出版社,2002年4月第1版.

[2]劉嘵輝,《Windows 2000/XP/2003組策略實戰(zhàn)指南》[M].人民郵電出版社,2006年7月第1版.

[3]朱青亮,《組策略應(yīng)用技巧》,家庭電腦世界雜志社,2004年6月第1版.

作者簡介:

林陽軍,成都電子高專機(jī)械工程系,助教。