組策略
組策略(Group Policy)是管理員爲用戶和計算機定義並控制程序、網絡資源及操作系統行爲的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略。
目錄
展開
基本概況
組策略界面圖
用戶來設置多種配置,包括桌面配置和安全配置。譬如,可以爲特定用戶或用戶組定製可用的程序、桌面上的內容,以及“開始”菜單選項等,也可以在整個計算機範圍內創建特殊的桌面配置。簡而言之,組策略是Windows中的一套系統更改和配置管理工具的集合。
註冊表是Windows系統中保存系統軟件和應用軟件配置的數據庫,而隨着Windows功能越來越豐富,註冊表裏的配置項目也越來越多,很多配置都可以自定義設置,但這些配置分佈在註冊表的各個角落,如果是手工配置,可以想像是多麼困難和煩雜。而組策略則將系統重要的配置功能彙集成各種配置模塊,供用戶直接使用,從而達到方便管理計算機的目的。
其實簡單地說,組策略設置就是在修改註冊表中的配置。當然,組策略使用了更完善的管理組織方法,可以對各種對象中的設置進行管理和配置,遠比手工修改註冊表方便、靈活,功能也更加強大。
主要版本
對於Windows 9X/NT用戶來說,都知道“系統策略”的概念,其實組策略就是系統策略的高級擴展,它是自Windows 9X/NT的“系統策略”發展而來的,具有更多的管理模板、更靈活的設置對象及更多的功能,主要應用於Windows 2000/XP/2003/7/2008操作系統中。
早期系統策略的運行機制是通過策略管理模板,定義特定的POL(通常是Config.pol)文件。當用戶登錄時,它會重寫註冊表中的設置值。當然,系統策略編輯器也支持對當前註冊表的修改,另外也支持連接網絡計算機並對其註冊表進行設置。
而組策略及其工具,則是對當前註冊表進行直接修改。顯然,Windows 2000/XP/2003系統的網絡功能是其最大的特色之處,所以其網絡功能自然是不可少的,因此組策略工具還可以打開網絡上的計算機進行配置,甚至可以打開某個Active
Directory(活動目錄對象(即站點、域或組織單位)並對其進行設置。這是以前“系統策略編輯器”工具無法做到的。 )
當然,無論是“系統策略”還是“組策略”,它們的基本原理都是修改註冊表中相應的配置項目,從而達到配置計算機的目的,只是它們的一些運行機制發生了變化和擴展而已。
運行方式
一般運行
在Windows 2000/XP/2003系統中,系統默認已經安裝了組策略程序,在“開始”菜單中,單擊“運行”選項,輸入“gpedit.msc並確定,即可運行組策略。 ”
(2)單擊“文件→添加/刪除管理單元”菜單命令,在打開的對話框中單擊“添加”按鈕。
(3)在“可用的獨立管理單元”對話框中,單擊“組策略”選項,然後單擊“添加”按鈕。
(4)在“選擇組策略對象”對話框中,單擊“本地計算機”選項編輯本地計算機對象,或通過單擊“瀏覽”查找所需的組策略對象。
(5)單擊“完成”按鈕,組策略管理單元即打開要編輯的組策略對象。
(6)在左窗格中定位需要更改的選項的位置,在右窗格中右鍵單擊需要更改的具體選項,單擊“屬性”命令,即可打開其屬性對話框,從中選擇“已啓用”、“未配置”、“已禁用”選項即可對計算機策略進行管理。
將組策略作爲獨立的MMC管理單元打開
若要在MMC控制檯中通過選擇GPE插件來打開組策略編輯器,具體方法如下:[1]
(1)單擊選擇“開始”→“運行”命令,在彈出的對話框中鍵入“mmc”,然後單擊“確定”按扭。打開Microsoft管理控制檯窗口。
(2)選擇“文件”菜單下的“添加/刪除管理單元”命令。
(3)在“添加/刪除管理單元”窗口的“獨立”選項卡中,單擊“添加”按扭。
(4)彈出“添加獨立管理單元”對話框,並在“可用的獨立管理單元”列表中選擇“組策略”選項,單擊“添加”按鈕。
(5)由於是將組策略應用到本地計算機中,故在“選擇組策略對象”對話框中,單擊“本地計算機”,編輯本地計算機對象,或通過單擊“瀏覽”按扭查找所需的組策略對象。
(6)單擊“完成”→“關閉”→“確定”按扭,組策略管理單元即可打開要編輯的組策略對象。
軟件限制策略
Windows 7 組策略安全使用全攻略
組策略是管理員爲用戶和計算機定義並控制程序、網絡資源及操作系統行爲的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略。考慮到安全方面的原因,Windows 7已經開發了許多新的和增強的組策略功能和服務,幫助您更好地保護計算機上駐留的數據、功能和服務。這些功能的配置取決於您的具體要求和使用環境,本文將主要介紹Windows 7組策略的安全使用技巧,介紹如何配置組策略功能和服務來更好地滿足您的系統安全、網絡安全、數據保護及個性化需求。
一、 系統設置安全篇
1. 禁止運行指定程序
系統啓動時一些程序會在後臺啓動,這些程序通過“系統配置實用程序”(msconfig)的啓動項無法阻止,操作起來非常不便,通過組策略則非常方便,這對減少系統資源佔用非常有效。通過啓用該策略並添加相應的應用程序,就可以限制用戶運行這些應用程序。具體步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在左邊的窗格依次單擊“用戶配置→管理模板→系統”,然後在右邊的窗格雙擊“不要運行指定的Windows應用程序”(如圖1所示)。
圖1 雙擊“不要運行指定的Windows應用程序”
(3)選中“已啓用”,單擊“顯示”按鈕(如圖2所示),添加要阻止的程序如“Wgatray.exe”即可。
圖2 添加要阻止的程序
當用戶試圖運行包含在不允許運行程序列表中的應用程序時,系統會提示警告信息。把不允許運行的應用程序複製到其他的目錄和分區中,仍然是不能運行的。要恢復指定的受限程序的運行能力,可以將“不要運行指定的Windows應用程序”策略設置爲“未配置”或“已禁用”,或者將指定的應用程序從不允許運行列表中刪除(這要求刪除後列表不會成爲空白的)。
這種方式只阻止用戶運行從Windows資源管理器中啓動的程序,對於由系統過程或其他過程啓動的程序並不能禁止其運行。該方式禁止應用程序的運行,其用戶對象的作用範圍是所有的用戶,不僅僅是受限用戶,Administrators組中的賬戶甚至是內建的administrator帳戶都將受到限制,因此給管理員帶來了一定的不便。當管理員需要執行一個包含在不允許運行列表中的應用程序時,需要先通過組策略編輯器將該應用程序從不運行運行列表中刪除,在程序運行完成後,再將該程序添加到不允許運行程序列表中。需要注意的是,不要將組策略編輯器(gpedit.msc)添加到禁止運行程序列表中,否則會造成組策略的自鎖,任何用戶都將不能啓動組策略編輯器,也就不能對設置的策略進行更改。
提示:如果沒有禁止運行“命令提示符”程序的話,用戶可以通過cmd命令,從“命令提示符”運行被禁止的程序,例如,將記事本程序(notepad.exe添加不運行列表中,通過桌面和菜單運行該程序是被限制的,但是在“命令提示符”下運行notepad命令,可以順利的啓動記事本程序。因此,要徹底的禁止某個程序的運行,首先要將cmd.exe添加到不允許運行列表中。 )
如果禁止程序後組策略無法使用可以通過以下方法來恢復設置:重新啓動計算機,在啓動菜單出現時按F8鍵,在Windows高級選項菜單中選擇“帶命令行提示的安全模式”選項,然後在命令提示符下運行mmc.exe。
在打開的“控制檯”窗口中,依次點擊“文件→添加/刪除管理單元→添加→組策略→添加→完成→關閉→確定”,添加一個組策略控制檯,接下來把原來的設置改回來,然後重新進入Windows即可。
2. 鎖定註冊表編輯器
註冊表編輯器是系統設置的重要工具,爲了保證系統安全,防止非法用戶利用註冊表編輯器來篡改系統設置,首先必須將註冊表編輯器予以禁用。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)依次展開“用戶配置→管理模板→系統”。
(3)在右側窗格中雙擊“阻止訪問註冊表編輯工具”策略(如圖3所示)。
圖3 阻止訪問註冊表編輯工具
(4)在彈出的對話框中,選擇“啓用”,將“是否禁用無提示regedit?”選擇“是”(如圖4所示),按“確定”即可。
圖4 雙擊“阻止訪問註冊表編輯工具”
此策略被啓用後,用戶試圖啓動註冊表編輯器(Regedit.exe 及 Regedt32.exe)的時候,系統會禁止這類操作並彈出警告消息。
若要防止用戶使用其他管理工具,請使用“只運行指定的 Windows 應用程序”設置。
提示:解除註冊表鎖定與禁用註冊表編輯器方法步驟相同,雙擊右側窗格中的“阻止訪問註冊表編輯器”,在彈出的窗口中選擇“已禁用”或“未配置”,點擊“確定”按鈕後退出組策略編輯器,即可爲註冊表解鎖。
這項設置是一把雙刃劍:如果設爲“已禁用”,則有一些正常軟件(大部分軟件需要與註冊表打交道)有可能不能使用,甚至無法安裝;如果設置爲“已啓用”,則在殺毒軟件的監護之外,爲惡意程序留下隱患。
3. 阻止訪問命令提示符
命令提示符下有許多危險的操作,要阻止非法用戶使用命令提示符窗口(Cmd.exe),遠離各種不可預料的風險,具體步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→系統”,在右側窗格中雙擊“阻止訪問命令提示符”(如圖5所示),打開目標策略屬性設置對話框。
圖5 雙擊“阻止訪問命令提示符”
(3)在“阻止訪問命令提示符”屬性對話框中勾選已啓用(如圖6所示),按“確定”即可。
圖6 “阻止訪問命令提示符”屬性對話框
如果啓用這個設置,用戶試圖打開命令窗口,系統會顯示一個消息,解釋設置阻止這種操作。這個設置還決定批處理文件(.cmd和.bat)是否可以在計算機上運行。
提示:如果計算機使用登錄、註銷、啓動或關閉批文件腳本,不能防止計算機運行批處理文件;也不能防止使用終端服務的用戶運行批處理文件。
4. 禁止修改系統還原配置
“系統還原”是Windows 7的一項很重要的功能,如果您對計算機的安全性要求很高,或是計算機是一臺公用的計算機,有很多人會去使用,那麼爲了保證系統的可操作性,將“系統還原”所佔用的磁盤空間設置得大一些很有必要。但是如果這個設置被人更改,就會造成以前創建的還原點中信息的丟失。
您可以在“組策略”中禁止對“系統還原”的配置進行修改。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模板→系統→系統還原”,在右側窗格中雙擊“關閉配置”(如圖7所示),打開目標策略屬性設置對話框。
圖7 雙擊“關閉配置”
(3)在“關閉配置”屬性對話框中勾選“已啓用”,按“確定”。“系統還原”配置界面上配置系統還原的選項就會消失。如果選擇“已禁用”(如圖8所示),則仍可看見配置界面,但是,所有系統還原配置默認值都有效。
圖8 “關閉配置”屬性對話框
注意:該配置必須重新啓動計算機纔會生效。
5. 保護虛擬內存頁面文件中的祕密
對於重要文件,您可以通過加密和設置權限以禁止其他無關人員訪問,不過您可知道,如果真的有必要,他人完全可以通過其他途徑獲得您的機密信息,那就是虛擬內存頁面文件。虛擬內存頁面文件作爲物理內存的補充,用途是在硬盤和內存之間交換數據,而虛擬內存頁面文件本身就是硬盤上的一個文件,它位於系統所在硬盤分區的根目錄中,文件名爲pagefile.sys。一般情況下,當您運行程序時,這些程序的一部分內容可能會被臨時保存到分頁文件上,而如果您編輯完這個文件後立刻就關閉了系統,那麼文件的一些內容仍然有可能被保存在虛擬內存頁面文件中。在這種情況下,如果有人得到了這臺電腦的硬盤,那麼只要把硬盤拆出來,利用特殊的軟件,就可以將虛擬內存頁面文件中的機密信息讀取出來。通過配置組策略,您可以避免這種潛在的危險。
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→Windows設置→安全設置→本地策略→安全選項”,在右側窗格中雙擊“關機:清除虛擬內存頁面文件” (如圖9所示),打開目標策略屬性設置對話框。
圖9 雙擊“關機:清除虛擬內存頁面文件”
(3)在“關機:清除虛擬內存頁面文件”屬性對話框中勾選“已啓用”(如圖10所示),按“確定”即可。
圖10 “關機:清除虛擬內存頁面文件”屬性對話框
啓用這個策略後,關機的時候系統會將分頁文件中的所有內容都用“0”或者“1”寫滿,這樣所有的信息自然也都會消失。
提示:這樣做會減慢系統的關閉速度,如果不是非常必要,不建議您啓用這個策略。
6. 防止菜單泄漏隱私
在「開始」菜單中有一個“我最近的文檔”菜單項,可以記錄您曾經訪問過的文件。這個功能可以方便用戶再次打開該文件,但別人也可通過此菜單訪問您最近打開的文檔,爲安全起見,可屏蔽此項功能。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→「開始」菜單和任務欄”,分別在右側窗格中雙擊“不要保留最近打開文檔的歷史”和“退出時清除最近打開的文檔的歷史”(如圖11所示),打開目標策略屬性設置對話框。
圖11 雙擊“退出時清除最近打開的文檔的歷史”
(3)分別在“不要保留最近打開文檔的歷史”和“退出時清除最近打開的文檔的歷史”屬性對話框中勾選“已啓用”,按“確定”即可。
如果啓用“退出時清除最近打開的文檔的歷史”設置,系統就會在用戶註銷時刪除最近使用的文檔文件的快捷方式。因此,用戶登錄時,「開始」菜單上的“最近的項目”菜單總是空的。如果禁用或不配置此設置,系統就會保留文檔快捷方式,這樣用戶登錄時,“最近的項目”菜單中的內容與用戶註銷時一樣。
提示:系統在“系統驅動器\Documents and Settings\用戶名\我最近的文檔”文件夾中的用戶配置文件中保存文檔快捷方式。
當沒有選擇“從開始菜單刪除最近的項目菜單”和“不要保留最近打開的文檔的歷史”策略任何一個相關設置時,此項設置才能使用。
7. 別讓搜索泄露隱私
快捷搜索框是Windows 7的一大特色,尤其在執行文件夾搜索時非常方便。不過這一功能有時也特別令人尷尬,那就是會自動保存下所有歷史搜索,而且並沒有提供清除功能,其中一些隱私內容就會揮之不去。
使用組策略隨時清空搜索歷史是一個很好的補救措施,具體步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,在右側窗格中雙擊“在Windows資源管理器搜索框中關閉最近搜索條目的顯示”(如圖12所示),打開目標策略屬性設置對話框。
圖12 雙擊“在Windows資源管理器搜索框”
(3)選擇“已啓用”(如圖13所示),按“確定”之後搜索歷史即被清空,當然以後也就不會自動保存了。
圖13選擇“已啓用”
8. 拒絕使用沒有簽證的桌面小工具
現在的病毒和***真是十分的狡猾,竟然能夠利用桌面小工具(Windows Vista中稱邊欄小工具)***系統,雖然系統能夠檢測到如:“天氣與生活”這款小工具沒有得到微軟認可的有效數字簽名,但用戶只要單擊“安裝”按鈕,即可順利完成安裝進程。如何防止這些沒有簽證的桌面小工具給系統可能帶來的潛在危險呢?通過組策略可以拒絕使用沒有簽證的桌面小工具,具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模塊→windows組件→桌面小工具”,在右側窗格中雙擊“限制未經數字簽名的小工具的解包和安裝”(如圖14所示),打開目標策略屬性設置對話框。
圖14 雙擊“限制未經數字簽名的小工具的解包和安裝”
(3)在“限制未經數字簽名的小工具的解包和安裝”屬性對話框中勾選“已啓用”(如圖15所示),按“確定”,則 Windows 桌面小工具不會提取未經數字簽名的任何小工具。
圖15 “限制未經數字簽名的小工具的解包和安裝”
提示:默認情況下,Windows 桌面小工具是可以安裝未簽名的工具軟件,但是如果啓用上述設置,Windows桌面小工具將不會再允許用戶安裝未經簽名的軟件,包括一些壓縮文件。這將給用戶的系統帶來一定的安全保障。
9. 完全禁止使用U盤
現在U盤已經相當普及,電腦裏面的資料很容易被複制,這對電腦中的資料無疑是一種威脅。如果您的電腦中有一些重要的資料,那就要小心了。難道要把USB端口給拆下來嗎?當然不是。其實運用Windows 7系統本身的禁止使用USB設備的功能,就能徹底解決這一問題。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模板→系統→可移動存儲訪問”,在右側窗格中雙擊“所有可移動存儲類:拒絕所有權限”,打開目標策略屬性設置對話框(如圖16所示)。
圖16 打開“所有可移動存儲類:拒絕所有權限”
(3)在“所有可移動存儲類:拒絕所有權限”屬性對話框中勾選“已啓用”(如圖17所示),按“確定”按鈕就可以完全禁止USB存儲類設備了。
圖17 “所有可移動存儲類:拒絕所有權限”屬性框
10. 禁止數據寫入U盤
如果您不準備完全禁止USB設備,希望能讀取U盤的內容,只是禁止數據寫入U盤。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模板→系統→可移動存儲訪問”,在右側窗格中雙擊“可移動磁盤:拒絕寫入權限”(如圖18所示),打開目標策略屬性設置對話框。
圖18 雙擊“可移動磁盤:拒絕寫入權限”
(3)在“可移動磁盤:拒絕讀取權限”屬性對話框中勾選“已啓用”(如圖19所示),按“確定”按鈕即可。
圖19 “可移動磁盤:拒絕讀取權限”屬性對話框
提示:以上對U盤進行了禁止寫入設置。如果要U盤禁止讀取,而允許寫入數據,那可以啓用“可移動磁盤:拒絕讀取權限”來實現。
11. 允許識別指定U盤
以上“禁止使用U盤”和 “禁止數據寫入U盤”兩項設置,在保護自己電腦資料的同時也給自己帶來了很大的不便,如何讓系統只能使用指定的U盤或者移動硬盤呢?通過組策略“允許識別指定U盤”可能解決這一問題。操作步驟如下:
(1)把U盤插入到Windows 7系統的USB接口中,讓系統可以正常使用U盤,接着進入“控制面板”,雙擊“硬件和聲音”、“設備管理器如圖20所示)。 ”(
圖20 雙擊“硬件和聲音”、“設備管理器”
(2)展開“便攜設備”,可以看見裏面有您剛剛插入的U盤,在上面點擊鼠標右鍵來選擇“屬性”(如圖21所示)。
圖21 展開“便攜設備”
(3)在彈出的“屬性”窗口中點擊“詳細信息”標籤,然後在設備“屬性”下拉框中選擇“硬件 ID”,下面的“值”中會出現字符串,這個就是您的U盤的硬件ID,把它複製出來保存好。
(4)複製“通用串行總線控制器”中“USB大容量存儲設備”的硬件ID,在“設備管理器”中展開“通用串行總線控制器”列表,找到“USB大容量存儲設備”(如圖22所示)。
圖22 找到“USB大容量存儲設備”
(5)在它的“屬性”窗口中點擊“詳細信息”標籤,複製出它的硬件ID(如圖23所示)。
圖23 複製出U盤硬件ID
(6)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。依次展開“計算機配置→管理模板→系統→設備安裝→設備安裝限制”(如圖24所示)。
圖24 雙擊“禁止安裝未由其他策略設置描述的設備”
(7)雙擊右側的“禁止安裝未由其他策略設置描述的設備”,在彈出的窗口中選擇“已啓用”,再點擊“確定”按鈕,設置它可以來禁止策略沒描述的USB設備(如圖25所示)。
圖25 禁止安裝未由其他策略設置描述的設備
(8)雙擊右側的“允許安裝與下列設備ID相匹配的設備”(如圖26所示),在彈出的窗口中選擇“已啓用”,單擊“顯示”按鈕,將允許安裝的U盤的硬件ID粘貼到其中,再點擊“確定”按鈕。
圖26 允許安裝與下列設備ID相匹配的設備
12. 禁止光盤自動播放
光盤自動播放雖然能給您帶來了許多便利,但有些時候也會帶來不少麻煩。默認狀態下,當您將光盤插入光驅時,系統就會自動讀取光驅,並啓動autorun.inf指定的應用程序。這一默認狀態對系統來說是極不安全的,說不定自動運行的是一個***程序。有時插入光盤僅僅是想查看一下光盤中的內容,自動播放功能會使您這一簡單想法的實現變得複雜。關閉光盤自動播放實屬明智之舉。用組策略可以關閉光盤自動播放功能,具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→windows組件→自動播放策略”,在右側窗格中雙擊“關閉自動播放”(如圖27所示),打開目標策略屬性設置對話框。
圖27 雙擊“關閉自動播放”
(3)在“關閉自動播放”屬性對話框中勾選“已啓用”(如圖28所示),在“關閉自動播放”框中選擇“CD-ROM啓動器”或“所有驅動器”項按“確定”即可。
圖28 “關閉自動播放”對話框
注意:插入光盤時按住shift鍵可禁止光盤自動播放。這種方式最好能成爲使用陌生光盤時的一種操作習慣。此設置不阻止自動播放音樂CD。
13. 禁止安裝移動設備
如果不希望其他人在您的電腦上隨便使用移動設備,則可以通過組策略禁止安裝可移動設備。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模塊→系統→設備安裝→設備安裝限制”,在右側窗格中雙擊“禁止安裝可移動設備”(如圖29所示),打開目標策略屬性設置對話框。
圖29 雙擊“禁止安裝可移動設備”
(3)在屬性對話框中勾選“已啓用”並按“確定”。如果啓用了此設置,則不會安裝可移動設備,而且無法更新現有可移動設備的驅動程序。
如果未配置或禁用了此設置,那麼,只要其他策略設置允許安裝設備,就可以安裝可移動設備和更新現有的可移動設備。
提示:此策略設置比允許安裝設備的任何其他策略設置的優先級都高。如果此策略設置禁止安裝某個設備,那麼,即使該設備與允許安裝它的其他策略設置相匹配,也將無法安裝或更新該設備。
對於此策略,當設備所連接到的設備驅動程序該設備可移動時,設備被認爲是可移動設備。例如,設備連接到的 USB 集線器的驅動程序報告某個通用串行總線(USB)設備是可移動設備。
如果此計算機是一臺終端服務器,則啓用此策略還會影響指定的設備從終端服務客戶端重定向到此計算機。
注意:禁止安裝可移動設備對提高系統安裝性能非常有效,使用此設置可防止可移動設備如U盤的使用。
14. 防止用戶訪問所選驅動器
若要防止用戶使用“我的電腦訪問所選驅動器的內容,可按以下步驟操作: ”
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,在右側窗格中雙擊“防止用戶使用‘我的電腦’訪問所選驅動器的內容”,打開目標策略屬性設置對話框。
(3)在“防止用戶使用‘我的電腦’訪問所選驅動器的內容”屬性對話框中勾選“已啓用”,並在下面列表框中選擇一個驅動器或幾個驅動器,按“確定”即可。
如果啓用此設置,則用戶可以瀏覽“我的電腦”或 Windows 資源管理器中所選驅動器的目錄結構,但是無法打開文件夾或訪問其中的內容。此外,他們也無法使用“運行”對話框或“映射網絡驅動器對話框來查看這些驅動器上的目錄。 ”
若要使用此設置,請從下拉列表中選擇一個驅動器或多個驅動器的組合。若要允許訪問所有驅動器目錄,請禁用此設置或從下拉列表中選擇“不限制驅動器”選項。
注意: 代表指定驅動器的圖標仍會出現在“我的電腦”中,但是如果用戶雙擊這些圖標,則會出現一條消息來解釋設置防止這一操作。
右側窗格中“隱藏‘我的電腦’中的這些指定的驅動器”可配合使用,此組策略可以從“我的電腦”和“Windows 資源管理器”上刪除代表所選硬件驅動器的圖標。並且驅動器號代表的所有驅動器不出現在標準的打開對話框上。這項策略只刪除驅動器圖標。用戶仍可通過使用其它方式繼續訪問驅動器的內容。同時這項策略不會防止用戶使用程序訪問這些驅動器或其內容。並且也不會防止用戶使用磁盤管理即插即用來查看並更改驅動器特性。
15. 我的桌面你別改
若要禁止別人改動桌面某些設置,防止用戶保存對桌面進行的某些更改。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)依次展開“用戶配置→管理模板→桌面”,然後在右側對話框中選中並雙擊“退出時不保存設置”。
(3)在彈出的對話框中點選“已啓用”,按確定,用戶將不能保存對桌面的更改。
如果啓用了此設置,那麼,用戶可以更改桌面,但是某些更改(如已打開窗口的位置、任務欄的大小及位置)在用戶註銷後不會保存。但是,桌面上的快捷方式始終得以保存。
時,許多黃色或是暴力的內容會進入我們的視野,雖然有第三方軟件和利用分級審查功能可以阻止這些內容,但只要擁有管理員權限,分級審查是可以更改的。利用組策略,可以禁止更改分級審查。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→Windows組件→Internet Explorer”,在右側窗格中雙擊“禁用更改分級設置”,打開目標策略屬性設置對話框。
(3)在“禁用更改分級設置”屬性對話框中勾選“已啓用”,按“確定”即可禁止更改分級審查。
提示:禁用更改分級審查的前提是分級審查的設置已經完成。“禁用分級頁”策略(位於“\用戶配置\管理模板\Windows 組件\Internet Explorer\Internet 控制面板”中)可以在“控制面板”中,將“分級”選項卡從“Internet Explorer”刪除,它優先於此策略。如果已啓用,則會忽略此策略。
管理模板
在Windows 2000/XP/2003中包含幾個ADM文件。這些文件是文本文件,被稱爲“管理模板”,它們爲組策略管理單元的控制樹中“管理模板”文件夾下的項目提供策略信息。
在Windows 2000/XP/2003中,默認的Admin.adm管理模板位於系統文件夾的INF文件夾中,包含了默認安裝下的4個模板文件,分別爲:
(1)System.adm:默認安裝在“組策略”中,用於系統設置。
(2)Inetres.adm:默認安裝在“組策略”中,用於Internet
Explorer(IE)策略設置。
(3)Wmplayer.adm:用於Windows Media
Player設置。
(4)Conf.adm:用於NetMeeting設置。
在策略管理控制檯中,可以多次添加“策略模板”,下面讓我們來看看具體操作:
首先運行“組策略”程序,然後選擇“計算機配置”或者“用戶配置”下的“管理模板”,單擊鼠標右鍵,選擇“添加/刪除模板”命令,然後在打開的對話框中單擊“添加”按鈕,在打開的對話框中選擇相應的ADM文件。單擊“打開”按鈕,則在系統策略編輯器中打開選定的腳本文件,並等待用戶執行。
GPO是一種與域、地址或組織單元相聯繫的物理策略。在NT 4.0系統中,一個單一的系統策略文件(例如ntconfig.pol)包括所有的可以執行的策略功能,但它依賴於用戶計算機中的系統註冊表的設置。在Win2K中,GPO包括文件和AD對象。通過組策略,可以指定基於註冊表的設置、使用NT 4.0格式.adm模板文件的運行Win2K的本地計算機、域的安全設置和使用Windows安裝程序的網絡軟件安裝,這樣在安裝軟件時就可以對文件夾進行重定向。微軟管理控制檯(MMC)中的組策略編輯器(GPE)插件與NT 4.0中的系統策略編輯器poledit.exe相當。在GPE中的每個功能節點(例如軟件設置、Windows 設置、管理模塊等)都是MMC插件擴展,在MMC插件中擴展是可選的管理工具,如果你是應用程序開發者,可以通過定製的擴展拓展GPO的功能,從而針對你的應用程序提供附加的策略控制。只有運行Win2K的系統可以執行組策略,運行NT 4.0和Windows 9x的客戶機則無法識別到或運行具有AD架構的GPO。[2]
其他相關
操作系統限制
組策略僅用於NT核心的系統。不支持Windows XP Home Edition、Starter Edition及Windows Vista Home Basic Edition、Starter Edition。
在Windows Vista中,組策略文件的擴展名改爲admx。繼續使用adm文件會引起一些奇怪的故障。這裏的x應該指extension(擴展),像aspx及那些Office 2007文件一樣。
操作相關技巧一
暫時隱藏不用的策略
如果你是初學使用組策略,肯定被組策略編輯器里名目繁多的策略弄了個頭暈眼花,由於不熟悉每個策略的具體位置,有時候爲了配置一個策略您可能要在組策略編輯器裏翻找大半天,這時候我們就可以使用組策略編輯器的“篩選”功能。
在“開始”菜單的“運行”中輸入“gpedit.msc”打開組策略編輯器,在左側窗格中選擇一個目錄,單擊右鍵,在彈出的快捷菜單中選擇“查看→篩選”命令打開“篩選”對話框,在該對話框上,我們可以選擇組策略編輯器只顯示配置了的策略,也可以選擇組策略編輯器只顯示針對特定軟件的策略,我們可以選擇只顯示Windows XP Professional以上的操作系統才能管理的策略。
操作相關技巧二
禁用“用戶配置”或“計算機配置”策略
組策略編輯器中的策略分爲兩類:計算機配置和用戶配置。如果你想知道當前系統中這兩類策略分別有多少項被配置過,或者你想隱藏其中一類配置,則可以使用這樣的方法:
打開組策略編輯器,右鍵單擊左窗格目錄樹的根目錄“本地計算機策略”,然後在彈出的快捷菜單上選擇“屬性”打開“本地計算機策略屬性”對話框,在該對話框上“創建”一欄顯示了該組策略管理單元生成的時間,一般情況下它就是操作系統的安裝時間;而“修改”中則顯示的是最後一次設置組策略的時間;“修訂”一欄顯示了這兩個分類中各自有多少策略被配置過;如果你希望在這裏隱藏其中的一類策略,則可以在該對話框下方勾選相應的複選框。
操作相關技巧三
編輯遠程計算機的組策略
組策略不僅可以本地編輯,而且還可以遠程編輯。在“開始”菜單上單擊“運行”,輸入“mmc”打開MMC控制檯(Microsoft Management Console),在默認情況下,MMC控制檯新建並打開了一個“控制檯1”的文件,在MMC控制檯的菜單欄選擇“文件→添加/刪除管理單元”命令,打開“添加/刪除管理單元”對話框,在該對話框上單擊“添加”,在彈出的獨立管理單元列表對話框上選擇“組策略”並單擊“添加”,在接下來的對話框上我們就可以選擇是編輯本地計算機的組策略,還是編輯遠程計算機的組策略,系統默認的選擇是編輯本地計算機的組策略,單擊“瀏覽”,在選擇另一臺計算機的對話框中輸入計算機在域中的路徑,或者單擊“高級”選擇工作組中的另外一臺計算機。
選擇以後單擊“確定”就會在“控制檯1”中打開該遠程計算機的組策略。現在好了,利用這個控制檯文件我們就可以編輯遠程計算機的組策略了,編輯完成後您還可以把“控制檯1”保存爲一個“??.msc”的文件,這樣,當有需要時,您還可以雙擊該文件繼續遠程編輯該計算機的組策略。[3]