如何打开组策略编辑器 Prepared on 22 November 2020
如何打开组策略编辑器答:运行里输入
系统里提示没有打开组策略这条命令
答:1:看是不是注册表中锁住了组策略
“HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer”,把“RestrictRun”的键值改为0即可。
2:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加,后面的你应该会了。看你要开哪个策略,就添加哪个策略。
一、桌面项目设置
1、隐藏不必要的桌面图标
2、禁止对桌面的改动
3、启用或禁止活动桌面
4、给“开始”菜单减肥
5、保护好“任务栏”和“开始”菜单的设置
二、隐藏或禁止控制面板项目
1. 禁止访问“控制面板”
2、隐藏或禁止“添加/删除程序”项
3、隐藏或禁止“显示”项
三、系统项目设置
1、登录时不显示欢迎屏幕界面
2、禁用注册表编辑器
3、关闭系统自动播放功能
4、关闭Windows自动更新
5、删除任务管理器
四、隐藏或删除Windows XP资源管理器中的项目
1、删除“文件夹选项”
2、隐藏“管理”菜单项
五、IE浏览器项目设置
1、限制IE浏览器的保存功能
2、给工具栏减肥
3、在IE工具栏添加快捷方式
4、让IE插件不再骚扰你
5、保护好你的个人隐私
6、禁止修改IE浏览器的主页
7、禁用导入和导出收藏夹
六、系统安全/共享/权限设置
1、密码策略
2、用户权利指派
3、文件和文件夹设置审核
4、Windows 98访问Windows XP共享目录被拒绝的问题解决
5、阻止访问命令提示符
6、阻止访问注册表编辑工具
一、桌面项目设置
在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到
有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、隐藏不必要的桌面图标
桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在
“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“
隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的
文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我
的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2、禁止对桌面的改动
利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径
”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工
具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单
都将被禁止。
3、启用或禁止活动桌面
利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面
上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。
4、给“开始”菜单减肥
Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除
“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收
藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的
音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启
用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。
5、保护好“任务栏”和“开始”菜单的设置
倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止
更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启
用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。
二、隐藏或禁止控制面板项目
这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止控制面板项目。在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项,便可看到“控制面板”节点下面的所有设置和子节点。
1. 禁止访问“控制面板”
如果您不希望其他用户访问计算机的“控制面板”,您只要运行组策略编辑器(),在左侧窗格中逐极展开“‘本地计算机’策略”→“用户配置”→“管理模板”→
“控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可。此项设置可以防止“控制面板”程序文件()的启动。其结果是,他人将无法启动“控制
面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从 Windows 资源管理器中删除“控制面板”文件夹。
3、隐藏或禁止“添加/删除程序”项
展开“添加/删除程序”项:双击启用“删除‘添加/删除程序’程序”设置项后,控制面板中的“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3个页面
:“更改或删除程序”、“添加新程序”以及“添加/删除Windows组件”;而当你进入“添加新程序”页面时,会发现有3个选项:“从CD-ROM或软盘添加程序”、“从 Microsof
t添加程序”以及“从网络中添加程序”,如果你想这些具体页面或选项隐藏,可直接在组策略“添加/删除程序”项中将相应隐藏功能启用。
3、隐藏或禁止“显示”项
展开“显示”项,发现这一项和上一项一样,可隐藏“显示属性”对话框中的选项卡。这
里就不细讲了,例如双击启用“隐藏‘桌面’选项卡”后,“显示窗口”中将不再出现“
桌面”项。此外,在这里用户还可启用“删除控制面板中的‘显示’”,这样在控制面板
中双击打开“显示”项时,就会弹出一个对话框提示你:系统管理员禁止使用“显示”控
制面板。
4、其他
自定义控制面板程序:“隐藏指定的控制面板程序”或“只显示指定的控制面板程序”,根据提示提示操作,隐藏或显示控制面板项目.
依次展开“显示”→“桌面主题”项,双击启用“删除主题选项”、“阻止选择窗口和按
钮式样”、“禁止选择字体大小”项后,可阻止他人更改主题、窗口和按钮式样、字体。
展开“打印机”项,双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户
添加或删除打印机。最后,直接在“控制面板”一项下启用“禁止访问控制面板”,控制
面板将无法启动。
三、系统项目设置
这一项在“用户配置”→“管理模板”→“系统”中设置(图15)。组策略中对系统的设
置涉及到登录、电源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理
出来分类列举如下:
1、登录时不显示欢迎屏幕界面
Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦且延
长登录时间,通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示欢迎
屏幕”,则每次用户登录时欢迎屏幕将隐藏。
2、禁用注册表编辑器
为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。双击启用“系统”节点下的“阻止访问注册表编辑器”项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用(图16)。另外,如果你的注册表编辑器被锁死,也可双击此设置,在
弹出对话框的“设置”标签中点选“未被配置”项,这样你的注册表便解锁了。如果要防
止用户使用其他注册表编辑工具打开注册表,请双击启用“只运行许可的Windows应用程序
3、关闭系统自动播放功能
一旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用程序。这样
虽然给我们的工作带来了便利,在某些时候也带来了不少麻烦。在“系统”节点下有一项为“关闭自动播放”设置项,双击其并在弹出对话框的“设置”标签中点选“已启用”,
在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。
注意:此设置不阻止自动播放音乐CD。
4、关闭Windows自动更新
每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根据配置的具
体情况,在下载的组件准备好安装时或在下载之前,给用户以提示。如果你不喜欢比尔老
大这种自作主张的态度,可通过组策略关闭这一功能。只须双击“系统”节点下的“Windows自动更新”设置项,在弹出来的对话框中点选“已禁用”并确定即可。
5、删除任务管理器
若Windows XP用户已取消“使用欢迎屏幕”项,若同时按下“Ctrl+Alt+Del”键,便会弹
出一个“Windows安全”对话框,此对话框中有“锁定计算机”、“注销”、“关机”、“
更改密码”、“任务管理器”、“取消”6个功能按钮。大家都知道这里的每个按钮对系统
都起着关键的作用。为了阻止别人操作,可通过组策略屏蔽这些按钮。
找到“系统”下的“Ctrl+Alt+Del选项”,双击启用“删除任务管理器”、“删除‘锁定
计算机’”、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“
任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。
注意:“注销”、“关机”两个菜单项的屏蔽,在“用户配置”→“管理模板”→“任务
栏和‘开始’菜单”节点下。
四、隐藏或删除Windows XP资源管理器中的项目
一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源也一直是电脑用户的不懈追求。依次展开“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”项,可以看到“Windows资源管理器”节点下的所有设置。下面就来
看看怎样通过组策略实现资源管理器个性化
1、删除“文件夹选项”
“文件夹选项”是资源管理器中一个重要的菜单项,通过它可修改文件的查看方式,编辑文件类型的打开方式。我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删
除,你只须双击启用“从‘工具’菜单删除‘文件夹选项’菜单”便能完成这一设置。
2、隐藏“管理”菜单项
在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项,通过此
菜单项,可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁
盘管理”等众多工具的“计算机管理”窗口。为了保障你的计算机免受他人无意破坏,可通过双击启用“隐藏Windows资源管理器上下文菜单上的‘管理’项目”项来屏蔽此菜单项。
3、其他项目的隐藏
此外通过启用“隐藏‘我的电脑’中的这些指定的驱动器”可隐藏你指定的驱动器。还可
通过启用“‘网上邻居’中不含‘整个网络’”屏蔽掉“整个网络”项。双击启用“删除
CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的文件移到
‘回收站’”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有
讲到,大家可根据需要自行探讨,进行适当的配置。
五、IE浏览器项目设置
在组策略左边窗口中依次展开“用户配置”→“管理模板”→“Windows组件”→“Internet Explorer”项,在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子
节点。IE是Windows XP自带的网页浏览器,也是大多数用户采用的浏览器,但其安全性也
为人所诟病,下面就通过组策略来对其进行“改造”。
1、限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用
,那么如何才能实现呢具体方法为:选择“用户设置”→“管理模板”→“Windows组件
”→“Internet Explorer”→“浏览器菜单”分支,然后将右侧窗格中的“‘文件’菜单
:禁用‘另存为…’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’
菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目启用即可。
另外,倘若您不希望别人对IE浏览器的设置进行随意更改,您只要将“‘工具’菜单:禁用‘Internet选项…’”策略启用即可。另外,根据您个人的需要,在该窗格中还可以对
其他项目进行禁用。
2、给工具栏减肥
倘若您要隐藏工具栏中的工具按扭,具体方法是:选择“用户设置”→“管理模板”→“
Windows组件”→“Internet Explorer”→“工具栏”分支,然后在右侧窗格中双击“配
置工具栏按扭”策略,弹出“配置工具栏按扭属性”窗口,在“设置”选项卡中选择“已
启用”单选按扭,将列表中将要显示按扭名称前面的复选框打上勾选标记,若要隐藏某些
按扭,则不要将其前面的复选框进行勾选。然后单击“确定”按扭即可
3、在IE工具栏添加快捷方式
不知道大家注意到了没有,不少软件在安装完之后都会在IE工具栏上添加图标,单击其便
能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式,这里举例说
明如何添加一个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器用户界面”,双击“浏览器工具栏自定义”设置项,在弹出来的对话框中单击“添加”按钮,在“
浏览器工具栏按钮信息”对话框的“工具栏标题”中输入:ICQ,在“工具栏操作”中输入D:,然后再随便选择一个“颜色图标”和“灰度图标”,当然
你也可以用ExeScope等来提取ICQ的图标)。单击“确定”后IE工具栏中便多了一个ICQ图标!
4、让IE插件不再骚扰你
我们平常上网浏览网页时,总会弹出一些诸如“是否安装Flash插件”、“是否安装3721网络实名”的提示,就像广告窗口一样烦人。实际上我们可在组策略中通过启用“Internet Explorer”节点下的“禁用Internet Explorer组件的自动安装”来禁止这种提示的出现
。不过有时这一功能也是很用的,所以在禁止此功能之前请稍加考虑。
5、保护好你的个人隐私
一般通过单击IE工具栏上的“历史”按钮,便可了解以前浏览过的网页和文件。为保密起见,你可以通过双击启用“Internet Explorer”节点下的“不要保留最近打开文档的记录
”和“退出时清除最近打开的文档记录”两个设置项,这样再单击IE工具栏上的“历史”
按钮,你访问过的历史网页记录将全部消失。
6、禁止修改IE浏览器的主页
如果不希望他人对你的主页进行修改,可启用“Internet Explorer”节点下的“禁用更改
主页设置”设置项禁止别人更改你的主页。你也可通过访问“浏览器菜单”,启用其中的设置项对IE浏览器的若干菜单项进行屏蔽。最后,在“Internet控制面板”节点下,你还可对“Internet选项”对话框中的部分选项卡进行隐藏。
倘若启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
特别提示:如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
7、禁用导入和导出收藏夹
禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。用户配置管理模板Windows组件Internet Explorer。
如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上的“导入和导出”菜
单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹。
注意:如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完成”按
钮时,将出现说明该功能已被禁用的提示信息。
六、系统安全/共享/权限设置
自有计算机以来,安全一直就是人们关注的焦点问题,Windows XP也不例外。在组策略中
,系统安全配置一般在“计算机配置”→“Windows设置”→“安全设置”中进行。
1、密码策略
这一策略在“账户策略”→“密码策略”节点中配置。口令是系统安全的一大隐患,可通
过组策略设置密码(口令)的最小长度:双击启用“密码必须符合复杂性要求”设置项,确定后双击“密码长度最小值”设置项,在弹出来的对话框中将密码长度最小值设为8或更
大,这样以后设置账户密码时就必须输入8位以上,安全性就高多了。
2、用户权利指派
展开“本地策略”→“用户权利指派”节点,在右边窗口中便能看到“用户权利指派”节
点下的所有设置。合适地指派用户权利可以解决一些奇怪的问题,例如在局域网中使用Wi
ndows XP系统的朋友一般会发现一个奇怪的现象,那就是即使你启用guest用户并给予权限
,局域网中的其他Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个
问题可在组策略中通过修改有关设置解决:双击“用户权利指派”节点下的“拒绝从网络访问这台计算机”设置项,在弹出对话框中点选“guest”,然后单击“删除”,最后确定
即可。在“用户权利指派”节点下还可给用户添加许多权限,例如给guest添加远程关机权
限、给一般用户添加更改系统时间的权限。
3、文件和文件夹设置审核
Windows XP Professional可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝
试、系统关闭或重新启动以及类似的事件。审核文件、文件夹(只适用于 NTFS文件系统)
可以保证文件和文件夹的安全。在审核发生之前,您必须使用“组策略”指定要审核的事件类型。为文件和文件夹设置审核的步骤如下。
a.单击选择“开始”→“运行”命令,在弹出的“运行”对话框中键入“”命
令,然后单击“确定”按扭即可;当然你也可以在桌面上创建一个相应的快捷方式。
b.在弹出的“组策略”窗口中,逐级展开右侧窗格中的“计算机配置”→“Windows设置”
→“安全设置”→“本地策略”分支,然后在该分支下选择“审核策略”选项。
c.在右侧窗格中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中,将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记。如图12所示
。然后单击“确定”按扭
d.用鼠标右键单击想要审核的文件(或文件夹)。选择快捷菜单的“属性”命令,然后在弹出的窗口中选择“安全”选项卡。
e.单击“高级”按扭,然后选择“审核”选项卡。
f.根据具体情况选择您的操作:
(1)倘若对一个新组(或用户)设置审核, 请单击“添加”按扭,在“名称”框中键入新用
户名,然后单击“确定”按扭,将打开“审核项目”对话框。
(2)要查看(或更改)原有的组(或用户)审核, 选择用户名,然后单击“查看/编辑”按扭。
(3)要删除原有的组(或用户)审核, 选择用户名,然后单击“删除”按扭即可。
g.如有必要的话,在“审核项目”对话框中的“应用到”列表中选取您希望审核的地方(“应用到”列表仅对文件夹有效)。
h.如果您想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。
如果在“审核项目”对话框中的“访问”之下的复选框变暗,或在“访问控制设置”对话
框中“删除”按钮不可用,那么说明已经继承了来自父文件夹的审核。
需要注意的是:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,您必须启用“组策
略”中“审核策略”的“审核对象访问”。否则,当您设置完文件、文件夹审核时会返回
一个错误消息,并且文件、文件夹都没有被审核。通过事件查看器(Event Viewer)可以
检查那些访问审核过的文件和文件夹的成功或失败的尝试。
4、Windows 98访问Windows XP共享目录被拒绝的问题解决
在局域网内,经常可以遇到装有Windows 2000的电脑开了共享目录,而装有Windows 98的
电脑却无法访问的问题。这个在微软的官方网页上可以找到答案,提示开启Windows 2000
的GUEST用户就行了。可是Windows XP出来以后,同样的又面临这个问题,结果有些人发现
这个方法不灵了,从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在这
个问题本也困扰过我好几天,后来在无意中发现了问题的答案,也许这是Windows XP 的一
个BUG
在开启了系统Guest用户的情况下,运行组策略编辑器程序,在“本地计算机策略”→“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”→“拒
绝从网络访问这台计算机”中赫然可以看到有Guest用户!如果在这里删除Guest用户,那
么其他电脑就可以从网上邻居中查看这台电脑的共享目录了
5、阻止访问命令提示符
防止用户运行命令提示符窗口。这个设置还决定批文件(.cmd和.bat)是否可以在
计算机上运行。位置:用户配置管理模板系统如果启用这个设置,用户试图打开命
令窗口,系统会显示一个消息,解释设置阻止这种操作。
注意:如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件;
也不防止使用终端服务的用户运行批文件。
6、阻止访问注册表编辑工具
该策略将禁用,以禁用Windows注册表编辑器。这样可以很大程度防止网页上
的恶意代码篡改IE。位置:用户配置管理模板系统如果这个设置被启用,并且用户试图启动注册表编辑器,解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管
理工具,请使用“只运行许可的Windows应用程序”策略设置。
补充
1.禁止程序后组策略无法使用
可以通过以下方法来恢复设置:重新启动计算机,在启动菜单出现时按F8键,在Windows高
级选项菜单中选择“带命令行提示的安全模式”选项,然后在命令提示符下运行。
在打开的“控制台”窗口中,依次点击“文件→添加/删除管理单元→添加→组策略→添加→完成→关闭→确定”,现在已经添加了一个组策略控制台,接下来把原来的设置改回来
,然后重新进入Windows即可。
2、从“我的电脑”中删除共享文档
当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管理器的Web视图
出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置,你可选择不
显示这些项目。
本地计算机策略——>用户配置——>管理模板——>Windows组件——>Windows资源管理器
如果启用此设置,“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会
以Web视图方式显示或在“我的电脑”中出现。
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
(完整)域组策略--+域控中组策略基本设置 编辑整理: 尊敬的读者朋友们: 这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)域组策略--+域控中组策略基本设置)的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。 本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)域组策略--+域控中组策略基本设置的全部内容。
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!—-—-—gpmc.msi (工具) 使用:运行---〉gpmc。msc 如下键面: 文件夹重定向: 1。在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!)
2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组
3.用本地用户登录机器查看! 禁止卸载: 1。权限domain user + 管理模板(相当于改动注册表!!)
2.再把控制面板里的“添加删除程序"禁用
禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb。adm 2. 3。 4。
使用组策略统一修改客户端本地管理员密码 版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明 https://www.doczj.com/doc/f94909158.html,/logs/4657183.html 您可以通过开机/关机脚本来现实统一修改域中本地管理员的密码。 有关如何创建启动脚本您可以参考下面的链接: https://www.doczj.com/doc/f94909158.html,/technet/archive/community/columns/tips/2kscr ipt.mspx?mfr=true 具体的操作方法如下: 1. 点击“开始->运行”并输入“DSA.MSC”?->打开Active Directory用户和计算机 2. 然后右键点击https://www.doczj.com/doc/f94909158.html,(您的域名)->属性->组策略。 3. 然后编辑该策略->计算机配置-> Windows设置-脚本(开机/关机脚本) 4. 双击启动,点击添加,点击浏览,然后将.vbs文件拷贝到弹出的对话中,然后选中该文件,点击打开,点击确定。最后点击应用和确定。下面是.vbs的具体内容: strComputer = "." Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user") objUser.SetPassword "testtest01!" objUser.SetInfo testtest01!为您指定的新的管理员密码。 5、在DC上刷新组策略,然后重新启动一台客户端,测试管理员密码有没有被更改。 请注意:如果您在域策略上启用密码必须满足复杂性的话,那么您设的新密码一定要满足该条件,否则本地管理员密码不会被更改。 时间同步 通常情况下,Windows 2000/xp/2003域成员有个w32time时间服务, 它会自动与域DC进行时间同步,无需人为干涉, 保持域内时间的同步是kerberos认证协议的一个基本要求, 也是为了防止重放攻击的一种手段,如果域成员客户机与DC的时间相差太大的话, 它的登录将不能成功,这时你可以手动调整系统时间,通常情况下,只要通讯无阻碍, 域成员将自动与DC保持时间同步 还可以在命令行下实现:
常用AD组策略设置 利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。 根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。 下面是实际操作演示: ?AD域控制器:Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序 打开“https://www.doczj.com/doc/f94909158.html,”域下组织单位“北京”的属性(如下图): 可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.doczj.com/doc/f94909158.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是: copy bssec.scr c:\windows\system32 即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。打开“https://www.doczj.com/doc/f94909158.html,”域的属性(如下图): 可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重
一、组策略的基本知识 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。 本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置:本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。 访问本地组策略的方法有两种:第一种方法是命令行方式;第二种方法是通过在MMC 控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动 您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。) 在打开的组策略窗口中,可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。 2、将组策略作为独立的MMC管理单元打开 若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下: (1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。 (2)选择“文件”菜单下的“添加/删除管理单元”命令。 (3)在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。 (4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。 (5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按扭查找所需的组策略对象(6)单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的组策略对象。 特别提示:倘若您希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。 二、“任务栏”和“开始”菜单相关选项的删除和禁用 在“…本地计算机?策略”中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略。 1、给“开始”菜单瘦瘦身 如果您觉得Windows XP的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。 第1种方法的步骤很简单: .在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图 第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下: 为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: https://www.doczj.com/doc/f94909158.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组
win7组策略怎么打开? 首先,在开始-运行中输入“gpedit.msc”,然后回车,打开组策略编辑器。依次点击“用户配置”→“管理模板”→“Windows 组件”即可 win7组策略编辑器设置 从Windows 2000开始,组策略就是配置Windows的有效工具。其实严格说起来,组策略编辑器中的大部分配置都可以直接修改注册表实现,不过很明显,通过组策略编辑器进行修改,更加直观,而且也不容易出错。因此很多Windows用户都已经习惯了使用组策略对Windows的一些高级设置进行配置。 Windows 7中新增了大量新的功能,同时组策略编辑器中也包含了更多内容。想知道这些新增的内容对我们有什么用吗?一起来看看吧。 提示:下文是以测试版的Windows 7RC2 Ultimate为基础撰写的,因此和正式版中可能会有所不同。另外,win7的家庭版没有组策略编辑器功能。 控制硬件设备的安装 这是一个很吸引人的功能。现在很多公司都不希望员工使用闪存盘或者MP3随身听之类可以通过计算机的USB接口传输文件的设备,因为这很容易导致公司的机密数据丢失。传统的预防办法最常见就是将计算机上的USB接口堵死,但这种“硬”方法也造成了一些问题,导致其他使用USB接口的设备,例如键盘和鼠标都无法使用。那么有没有不那么“强硬”的方法?这时候可以考虑使用Windows 7的组策略了。 通过组策略实现的目标 通过Windows 7的组策略,对硬件设备的安装将可以达到下列限制: ● 只有指定类型的设备可以安装,其他未指定设备一律无法安装。 ● 只有指定的具体硬件可以安装,其他未指定的硬件一律无法安装。 ● 所有可移动设备都无法安装。
系统无法打开组策略进行配置怎么解决 组策略可以对计算机进行各种配置。最近有XP用户反馈,电脑的组策略遇到不能启动的情况,这是怎么回事呢?可能是某些功能被禁用了,下面请看具体的解决方法。 步骤如下: 1、在启动计算机时按F8键,在“Windows高级选项菜单”操作界面中选择“带命令行提示的安全模式”,进入系统,然后单击“开始→运行”,输入“cmd”,在“命令提示符”对话框中输入“mmc.exe”并回车打开“控制台”,依次单击“文件→添加/删除管理单元→添加”按钮,选中“组策略对象编辑器→添加”按钮,然后单击“完成”按钮。 2、接下来在“控制台”对话框里选择“‘本地计算机’策略”并单击“添加”按钮,然后进去把“只运行许可的Windows运用程序”策略禁用。
3、另外一种情况就是连安全模式也进不去了,这时我们可以进入“故障恢复控制台”,用CD命令依次进入“C:\WINDOWS\system32\GroupPolicy”目录,运行“del/f/q gpt.ini”命令,将组策略的配置文件gpt.ini删除,然后重新启动计算机即可恢复。 相关阅读:电脑无法开机、黑屏的故障排解 很多时候我们会遇到按动计算机POWER键后,计算机无法启动,没有任何开机自检或进入操作系统的现象,常常使用户无法处理和影响正常使用。在此我们对常见的故障现象、分析和解决方法做简单分析,希望对遇到此类问题的用户有所帮助。 按动POWER键后无任何反映 故障现象:开机后屏幕没有任何显示,没有听到主板喇叭的“滴”声。 故障分析:主板COMS芯片内部BIOS数据被CIH病毒或静电等问题损坏损坏,无法读取,系统启动无法完成自检,所以无法
组策略(gpedit.msc)学习 习背景:组策略就是修改注册表中的配置。当然,组策略使自己更完善计算机的管理组织方法,可以对 各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大. 学习目的:熟悉组策略的使用,完善计算机的管理与设置 学习步骤:组策略的启动,组策略的实际例子操作讲解,安全防范,组策略的保护! 地计算机配置对应注册表 HKEY_LOCAL_MACHINE 本地用户配置对应注册表 HKEY_CURRENT_USER 访问本地组策略的方法有两种: 第一种方法是命令行方式:“开始”→“运行”→“gpedit.msc”→“确定”刚才我们演示的 (gpedit.msc我们可以在系统盘中找到“C:\WINNT\SYSTEM32\gpedit.msc”) 第二种方法是通过在MMC控制台中选择GPE插件来实现: “开始”→“运行”→“mmc”→“确定”→“文件”→“添加/删除管理单元”→“独立”→“添加”→“添加独立管理单元”→"组策略对象编辑器" 大家看到了吧!这样也是可以的,只是麻烦了点!继续讲解啊! “本地计算机策略” | |——“计算机配置” 对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运 | | 行环境都起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块” | | |——“用户配置”对当前用户的系统配置进行设置的,它仅对当前用户起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块”
下面我们就用实际的例子来学习组策略这个超级工具!(因为组策略的功能太多,太强大!所以我就选择 其中有代表性的例子进行讲解!一一讲解的话,你可以与我QQ联系,我一一讲解,这里不耽误大家时间) (任何事情都是有起因的,呵呵) 事件一.起因:我们想不让别人使用我们的CMD(命令)与REGEDIT(注册表),所以我想删除“运行” 因为我们运行CMD与REGEDIT多是在运行菜单下进行的操作如下(涉及2个知识点) 我们在实验之前看看我们的运行菜单他还好好的在那里!! 知识点1.“任务栏”和“开始”菜单相关选项的删除和禁用 (1)在“本地计算机”策略中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略 !我们现在看看他没了运行菜单没了 删除“运行”那么操作如下: 用户配置”→“管理模板”→“任务栏和「开始」菜单”→从开始菜单中删除运行→已启用→确定 那么我们想禁止使用CMD与REGEDIT的话是不是就已经成功了呢!带着疑问我们看看! 没有运行菜单了是不是就是我的实验成功了呢????是不是就是不可以运行CMD与REGEDIT了呢?? 我们接着看看大家可以看得懂我的操作是什么吧就是运用BAT文件运行CMD与REGEDIT 我们的命令提示符出来了说明我们没有成功! 没有成功!继续深入! 知识点2.禁止使用CMD与REGEDIT (2)在“本地计算机”策略中,逐级展开“用户配置”→“管理模板”→“系统”分支。 在右侧我们可以看到“阻止访问命令提示符”和“阻止访问注册表编辑工具”双击“已启用”确定 检验结果!
组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录:不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置,不显示上次成功登录的用户的名称。如果禁用此策略设置,则显示上次登录的用户的名称。 “交互式登录:不显示上次的用户名”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。 对策:将“不显示上次的用户名”设置配置为“已启用”。 潜在影响:用户在登录服务器时,必须始终键入其用户名。 交互式登录:不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置,用户登录时无需按此组合键。如果禁用此策略设置,用户在登录到Windows 之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录:不需要按CTRL+ALT+DEL”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策:将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
远程修改组策略 由于管理员的误操作导致了本地策略拒绝所有人登录,如何恢复呢?今天我们就来做这个实验! 首先,我们要做一下的准备工作: 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置,使得任何用户都无法登录。 (1.)在Berlin上,点击开始/运行,输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器,然后点击windows设置/安全设置/本地策略/用户权限分配,如下图所示:
打开以后我们就可以找到拒绝本地登录这一项了,双击打开 打开后点击添加用户和组,把User用户添加进去
点击确定后,注销计算机。 任何的用户都无法登录了,甚至就连大名鼎鼎的管理员也无法登录了! OK!实验正式开始了! 我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务,但计算机默认的telnet服务是关闭的,首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中,右键点击我的电脑,打开计算机管理,然后右键点击:计算机管理(本地)——连接到另一台计算机,如下图:
在选择计算机中输入Berlin的IP地址,然后点击确定。 然后的服务中找到Telnet,
手动启动起来。 OK!我觉得现在的准备工作才算完成了!接下来我们要用Telnet 把Berlin连接过来。 在Florence中,点击开始/运行,输入cmd
键入telnet 192.168.12.103 在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。 完成以后不用着急关闭该提示符。
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:
广东XXXX职业学院 计算机工程技术学院(软件学院) 实验报告 专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节 一、实验目的与要求(此栏实验前由老师填写) ◆创建和验证多重本地组策略的设置; ◆配置本地安全策略设置。 二、实验环境及方案(此栏实验前由老师填写) 实验环境: 主机硬件配置至少1G内存,15G以上的空余硬盘空间,然后要求在主机上安装Oracle VM VirtualBox 4.1.8,利用它配置至少一台虚拟机,安装windows 7企业版客户机,并准备好相应的windows 7安装盘或对应ISO文件。 实验说明: 1.计算机启动时所启动的操作系统称为主机,在虚拟机上安装的操作系统称 为客户机; 2.启动客户机后,如果想操作客户机,只需用鼠标点击客户机桌面就可以; 如果要回到主机操作,可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码:P@ssw0rd 5.实验所需的各种资料在共享文件夹中找
6.请把实验过程的关键操作屏幕的图片剪切下来,贴在相应实验内容后面, 以备检查。(截屏方法:如果要截全屏,直接按屏幕打印键;如果只截当前屏幕,请按Alt+屏幕打印键) 7.完成后,请将实验结果文件命名为:“班内序号_姓名_第几次实验”,如张 三班内序号为18号、实验一的结果文件可命名为:“18_张三_1.doc” ;再如李四班内序号为8号、实验六的结果文件可命名为:“08_李四_6.doc” 三、实验内容(将每项实验内容的具体操作步骤及相关截图存放于实验结果 栏中) (一)创建和验证多重本地组策略的设置 1、以administrator登录计算机,创建自定义管理控制台,分别选择本地计算机、Administrators和非管理员为组策略对象,保存到桌面并命名为Multiple Local Group Policy Editor; 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本,添加一个登录脚本文件, 脚本文件名称为computerscript.vbs,脚本内容为msgbox “Default Computer Policy”; 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本,添加一个 登录脚本文件,脚本文件名称为administratorscript.vbs,脚本内容为msgbox “Default Administrator’s Policy”; 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本,添加一个登录
什么是组策略:所谓组策略就是配置计算机中某一些用户组策略的程序,由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具,在组策略中管理员可以管控诸如:禁止运行指定程序、锁定注册表编辑器、阻止访问命令提示符、禁止修改系统还原配置、修改用户组密码等等; 组策略编辑器命令是什么,组策略怎么打开: 点击“开始”菜单——>选择“运行”——>输入“gpedit.msc”(不含引号)——>点击确定即可打开组策略; 假如您在网吧或局域网中权限受限,导致无法打开组策略,您还可以这样操作,在桌面新建一个文本文档TXT——>打开文本文档,输入“gpedit.msc”(不含引号)——>点击左上角“文件”——>选择“另存为”——>将“保存类型”设置为“所有文件”——>将“文件名”设置为“组策略.bat”——>点击“保存”——>在桌面上双击“组策略.b at” 程序,弹出cmd命令提示符后即可自动启动“组策略”; 假如您在运行中输入“gpedit.msc”后,系统提示“Windows找不到文件xxxxx。请确定文件名是否正确后....”;您可以这样操作,首先点击“开始”菜单——>选择“运行”——>输入“mmc”——>点击确定,打开“控制台1”窗口——>点击“文件”—— >选择“添加\删除管理单元”——>点击下方的“添加”按钮——>在“可用的独立管理单元”中找到并选中“组策略对象编辑器”—— >点击“添加”——>点击“完成”即可——>再通过在运行中输入“gpedit.msc”打开组策略;
组策略怎么打开——>通过在运行窗口中输入“gpedit.msc”;组策略编辑器命令——>gpedit.msc;假如组策略运行异常,请使用上述方法尝试打开组策略。
组策略完全使用手册 对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。如图1所示。 使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开: (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
通过组策略禁用本地管理员用户修改计算机 场景1 (1) 场景2 (2) 背景知识 (2) 解决方法1:通过组策略来禁用修改计算机名 (4) 解决方法2:通过修改netid.dll禁用修改计算机名 (6) 总结 (8) 场景1 某单位为了加强管理,指定某些用户只能在某些计算机上登录,如下图所示: 由于某种原因,这些域用户属于本机administratos组的成员。 为了防止这些用户自行修改计算机名,所以需要通过组策略来防止他们修改计算机名。 1电话:(0371)65706336 65706337 65706339 传真:(0371)65706367
场景2 防止域成员计算机退出域,从而脱离域策略的控制 背景知识 通过注册表或组策略可以防止用户在图形界面环境在可以将“属性”选项从“我的电脑”右击菜单移除,如下图所示: 或者,当用户双击“控制面板”中“系统”的时没有反应,如下图所示: 2电话:(0371)65706336 65706337 65706339 传真:(0371)65706367
注:系统属性是SYSDM.CPL 比如,通过修改注册表中的值来达到此目录(未验证) 1.打开注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 2.右键单击NoPropertiesMyComputer的键值修改为1 3.如果没有NoPropertiesMyComputer可以新建一个DWORD值并命名为 NoPropertiesMyComputer然后把键值修改为1 参考:https://www.doczj.com/doc/f94909158.html,/en-us/library/cc779895(WS.10).aspx 以上方法仅仅是“愚民政策”。从本质上讲,一个具有管理权限的用户可以做任何事情。 永远不要以为您单位不会这些事情,呵呵 比如,可以通过以下netdom或脚本修改计算机名称: strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colComputers = objWMIService.ExecQuery _ ("Select * from Win32_ComputerSystem") For Each objComputer in colComputers err = ObjComputer.Rename("新计算机名") Wscript.Echo err 3电话:(0371)65706336 65706337 65706339 传真:(0371)65706367
如何打开组策略编辑器 开始-->运行:gpedit.msc 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 方法一、怎么打不开EXE文件了?是不是中病毒了?对于程序打不开菜鸟的第一反应就是认为中病毒了,其实是通过设置把EXE文件运行禁止了。这和哪里的设置有关系?你想要的答案就是组策略。组策略可是博大精深,里面包含了系统,软件还有网络安全的有关设置,之前说的那个状况就是禁止了EXE文件的运行配置。 开始讲太深奥菜鸟可能吃不消,先说简单的,怎么打开组策略。在开始菜单运行那里输入gpedit.msc,然后确定,
就可以进入到组策略的操作界面。组策略包括计算机陪孩子,软件配置,用户配置三大配置,其中三大配置里面又包含许多的小配置。该文先让菜鸟弄懂怎么进入组策略的,高手可以回避。 运行输入gpedit.msc 进入组策略界面
方法二、除了上面这种进入组策略的方法,还有一种就是通过控制台进入组策略。同样在运行那里输入mmc命令,进入控制台界面。在控制台文件那下拉菜单选中添加删除/管理单元,点击进去,来到添加/删除管理界面,点击添加按钮,添加独立管理单元。