大青旦

技巧

Version2.0LIVES

V20

總目錄

*了解組策略

■組策略的基本概念

■組策略應(yīng)用規(guī)則

■組策略的歷史

■組策略與注冊(cè)表的關(guān)系

?:?組策略應(yīng)用舉例

■WindowsXP組策略

■Windowsserver2003組策略

?:?組策略常見問(wèn)題

Page2/31

V20

組策略是什么

*組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、

網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具

?:?通過(guò)使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用

戶策略

■使用“組策略”從桌面刪除圖標(biāo)、自定義“開始”菜

單并簡(jiǎn)化“控制面板”

■可添加在計(jì)算機(jī)上（在計(jì)算機(jī)啟動(dòng)或停止時(shí)，以及用

戶登錄或注銷時(shí)）運(yùn)行的腳本

■酉己置InternetExplorer

Page3/31

、^北大青旦聒4

APTWUIvzoI

一訪問(wèn)組策略2?1

?:?訪問(wèn)組策略的方法有兩種

■第一種方法是命令行方式

■第二種方法是通過(guò)在MMC控制臺(tái)中選擇GPE插件來(lái)實(shí)

現(xiàn)的。

?：?組策略編輯器的命令行啟動(dòng)

■選擇“開始”一“運(yùn)行”命令，在“運(yùn)行”對(duì)話框的

“打開”欄中輸入“gpedit.msc”,然后單擊“確定”

按扭即可啟動(dòng)WindowsXP組策略編輯器。（注：這

個(gè)“組策略”程序位于“C:\WINNT\SYSTEM32”中，

文件名為“gpedit.msc"。）

WP

VVL

CTTAXT/^H

Page4/31

旗北大青旦曜總

vzo|

J訪問(wèn)組策略2?2

。將組策略作為獨(dú)立的MMC管理單元打開若要在MMC控制

臺(tái)中通過(guò)選擇GPE插件來(lái)打開組策略編輯器，具體方法如

下

■單擊選擇“開始”一“運(yùn)行”命令，在彈出的對(duì)話框中鍵入

“mmc”，然后單擊“確定”按扭。

■選擇“文件”菜單下的“添加/刪除管理單元”命令

■在“添加/刪除管理單元”窗口的“獨(dú)立”選項(xiàng)卡中，單擊“添加”

按扭。彈出“添加獨(dú)立管理單元”對(duì)話框，并在“可用的獨(dú)立管

理單元”列表中選擇“組策略”選項(xiàng)，單擊“添加”按鈕。

■由于是將組策略應(yīng)用到本地計(jì)算機(jī)中，故在“選擇組策略對(duì)象”

對(duì)話框中，單擊“本地計(jì)算機(jī)”，編輯本地計(jì)算機(jī)對(duì)象，或通過(guò)

單擊“瀏覽”按扭查找所需的組策略對(duì)象。單擊“完成”一“關(guān)

閉，，—“確定”按扭，組策略管理單元即可打開要編輯的組策略

Page5/31

演北大青鳥

BENET

it,

vz.(r

石。:jTJEXTT!

組策略生效規(guī)則

?:?繼承和阻止繼承

■默認(rèn)情況下，下層容器繼承來(lái)自上層容器的GPO

■子容器可以阻止上層容器的組策略

?累加

■如果容器的多個(gè)組策略設(shè)置不沖突，最終的有效策略

是所有組策略的總和

?：?應(yīng)用順序

■LSDOU

-子容器的策略優(yōu)先生效

Page6/31LIVES

大青鳥

V20

組策略的歷史3?1

?：?大部分Windows9X/NT用戶可能聽過(guò)“系

統(tǒng)策略”的概念，而我們現(xiàn)在大部分聽到

的則是“組策略”這個(gè)名字。其實(shí)組策略

是系統(tǒng)策略的更高級(jí)擴(kuò)展，它是由

Windows9X/NT的“系統(tǒng)策略”發(fā)展而來(lái)

的，具有更多的管理模板和更靈活的設(shè)置

對(duì)象及更多的功能，目前主要應(yīng)用于

Windows2000/XP/2003系統(tǒng)。

Page7/31

BENET

V2.0”

組策略的歷史3?2

。早期系統(tǒng)策略的運(yùn)行機(jī)制是通過(guò)策略管理模板，定義特定

的.POL（通常是Config.pol）文件。當(dāng)用戶登錄的時(shí)候，

它會(huì)重寫注冊(cè)表中的設(shè)置值。當(dāng)然，系統(tǒng)策略編輯器也支

持對(duì)當(dāng)前注冊(cè)表的修改，另外也支持連接網(wǎng)絡(luò)計(jì)算機(jī)并對(duì)

其注冊(cè)表進(jìn)行設(shè)置。而組策略及其工具，則是對(duì)當(dāng)前注冊(cè)

表進(jìn)行直接修改。顯然，Windows2000/XP/2003系統(tǒng)的

網(wǎng)絡(luò)功能是其最大的特色之處，其網(wǎng)絡(luò)功能自然是不可少

的，因此組策略工具還可以打開網(wǎng)絡(luò)上的計(jì)算機(jī)進(jìn)行配置,

甚至可以打開某個(gè)ActiveDirectory對(duì)象（即站點(diǎn)、域或

組織單位）并對(duì)它進(jìn)行設(shè)置。這是以前“系統(tǒng)策略編輯器”

工具無(wú)法做到的。WTT：

Page8/31

IZJQ

組策略的歷史3?3

?:?所以，無(wú)論是系統(tǒng)策略還是組策略，它們的基本

原理都是修改注冊(cè)表中相應(yīng)的配置項(xiàng)目，從而達(dá)

到配置計(jì)算機(jī)的目的，只是它們的一些運(yùn)行機(jī)制

發(fā)生了變化和擴(kuò)展而已。

Page9/31LIVES

V北大青鳥

石。7r

組策略和注冊(cè)表的關(guān)系3」

?:?說(shuō)到組策略，就不得不提注冊(cè)表。注冊(cè)表是

Windows系統(tǒng)中保存系統(tǒng)、應(yīng)用軟件配置的數(shù)據(jù)

庫(kù)，隨著Windows功能的越來(lái)越豐富，注冊(cè)表里

的配置項(xiàng)目也越來(lái)越多。很多配置都是可以自定

義設(shè)置的，但這些配置發(fā)布在注冊(cè)表的各個(gè)角落,

如果是手工配置，可想是多么困難和煩雜。而組

策略則將系統(tǒng)重要的配置功能匯集成各種配置模

塊，供管理人員直接使用，從而達(dá)到方便管理計(jì)

算機(jī)的目的。

Page10/31

北大青鳥

VV20

組策略和注冊(cè)表的關(guān)系3?2

?:?簡(jiǎn)單點(diǎn)說(shuō)，組策略就是修改注冊(cè)表中的配置。

?:?當(dāng)然，組策略使用自己更完善的管理組織方法，

可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比

手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大

Page11/31

北大青鳥

VV20

組策略和注冊(cè)表的關(guān)系3?3

?:?組策略對(duì)本地計(jì)算機(jī)可以進(jìn)行兩個(gè)方面的設(shè)置：

計(jì)算機(jī)配置和用戶配置。所有策略的設(shè)置都I尋保

存到注冊(cè)表的相關(guān)項(xiàng)目中。

對(duì)計(jì)算機(jī)策略的設(shè)置保存到注冊(cè)表的

HKEY_LOCAL_MACHINE的相關(guān)項(xiàng)中。

?:?對(duì)用戶的策略設(shè)置將保存到

HKEY_CURRENT_USER相關(guān)項(xiàng)中。

Page12/31

BENET

V2.(r^

案例

<*[..MACHINE\Software\Microsoft\Windows\Cur

rentVersion\Policies\System]

■值名dontDisplayLastUserName

■含義:登錄屏幕上不要顯示上次登錄的用戶名

■類型:REG_DWORD

■數(shù)據(jù):0=停用1=啟用

Page13/31LIVES

本地組策略的備份

?:?注冊(cè)表還原了，就是組策略還原了。兩者其實(shí)沒(méi)

什么區(qū)別的。

?:?所以備份、還原本地組策略可以間接的通過(guò)本地

計(jì)算機(jī)注冊(cè)袤的備份和還原來(lái)實(shí)現(xiàn)。

CHANGE

Page14/31LIVES

北大青鳥

VV20

組策略的應(yīng)用10?1

?：?限制IE瀏覽器的保存功能(Windows

2000/XP/2003)

。在使用IE瀏覽網(wǎng)頁(yè)過(guò)程中，當(dāng)遇到好的圖片、文

章等資源時(shí)可以使用“另存為”功能臀它保存到

本地硬盤中，當(dāng)多人共用一臺(tái)計(jì)算機(jī)時(shí)，為了保

持硬盤的整潔，需要對(duì)瀏覽器的保存功能進(jìn)行限

制。

■打開“組策略控制臺(tái)一用戶配置一管理模板

一Windows組件一InternetExplorer一瀏覽器菜單”

CZ-^HTTA\NXTT1雕H

Page15/31

、^北大青旦些總

一組策略的應(yīng)用10?2

?:?利用組策略保護(hù)個(gè)人文檔隱私(Windows

2000/XP/2003)

?:?Windows有個(gè)高級(jí)智能功能，即可以記錄你曾經(jīng)

訪問(wèn)過(guò)的文件。雖然這個(gè)功能可以方便用戶再次

打開該文件，但出于安全和性能的考慮(例如不想

讓人知道自己瀏覽過(guò)哪些網(wǎng)頁(yè)和打開過(guò)哪些文件)，

有時(shí)需要屏蔽此功能。

■“不要保留最近打開文檔的記錄”和“退出時(shí)清除最

近打開的文檔的記錄”兩個(gè)策略啟用即可

\\H

TVAVT1/S>T1

H

Page16/31

、^北大青旦些總

一組策略的應(yīng)用10?3

?:?保護(hù)好“任務(wù)欄”和“開始”菜單(Windows

2000/XP/2003)

?:?如果你不想隨意讓他人更改“任務(wù)欄”和“開始”

菜單的設(shè)置，你只要將組策略控制臺(tái)右側(cè)窗格中

的“阻止更改，任務(wù)欄和開始菜單，設(shè)置”和

“阻止訪問(wèn)任務(wù)欄的上下文菜單”兩個(gè)策略項(xiàng)啟

用即可。

Page17/31

、^北大青旦聒4

AP丁EUIV2°\

一組策略的應(yīng)用10?4

?:?屏蔽“清理桌面向?qū)А惫δ?WindowsXP/2003)

■“清理桌面向?qū)А睍?huì)每隔60天自動(dòng)在用戶的電腦上運(yùn)

行，以清除那些用戶不經(jīng)常使用或者從不使用的桌面

圖標(biāo)。如果啟用此策略設(shè)置，則可以屏蔽“清理桌面

向?qū)А?，如果你禁用或不配置此設(shè)置，“清理桌面向

導(dǎo)”會(huì)按照默認(rèn)設(shè)置每隔60天運(yùn)行一次。

Page18/31

BENET

V2.0”

組策略的應(yīng)用10?5

孝禁止WindowsMediaPlayer播放時(shí)運(yùn)行屏保(Windows

2000/XP/2003)

屏幕保護(hù)程序可以有效地保護(hù)我們的顯示器，但是當(dāng)我們

使用播放器觀看精彩影片時(shí)，經(jīng)常會(huì)出現(xiàn)屏幕保護(hù)程序突

然運(yùn)行而中斷觀看的尷尬局面?，F(xiàn)在我們可以通過(guò)組策略

來(lái)解決屏幕保護(hù)程序使WindowsMediaPlayer播放中斷

的麻煩問(wèn)題了。打開“組策略控制臺(tái)一用戶配置一管理模

板一Windows組件一WindowsMediaPlayer一播放中的

允許運(yùn)行屏幕保護(hù)程序”并將它設(shè)置為“已禁用”狀態(tài)

Page19/31

演北大青鳥

V20

組策略的應(yīng)用10?6

?:?自定義IE工具欄(Windows2000/XP/2003)IE工

具欄的背景和上面的按鈕都是可以自定義的，以

前我們大多使用手動(dòng)修改注冊(cè)表的方法，不過(guò)并

不直觀，現(xiàn)在我們用“組策略”可以更方便地達(dá)

到效果，打造屬于我們自己的IE

?“組策略控制臺(tái)->用戶配置—Windows設(shè)置

—>lnternetExplorer維護(hù)—瀏覽器用戶界面”下

的“瀏覽器工具欄按鈕自定義”

WF

VVL

CTTAXH

Page20/31

演北大青鳥

V20

組策略的應(yīng)用10?7

?：?禁止更改顯示屬性(Windows2000/XP/2003)

選擇“控制面板”中的“顯示”或在Windows桌

面的空白處單擊右鍵選擇“屬性”,可進(jìn)入“顯

示設(shè)置”對(duì)話框，可以對(duì)桌面主題、桌面背景、

屏保程序、顯示設(shè)置等各項(xiàng)進(jìn)行設(shè)置，如果你不

想讓別人隨意更改各項(xiàng)設(shè)置，可以通過(guò)組策略將

它隱藏起來(lái)。打開“組策略控制臺(tái)一用戶配置一

管理模板一控制面板一顯示”

Page21/31

北大青鳥

VV20

組策略的應(yīng)用10?8

?:?禁用注冊(cè)表編輯器(Windows2000/XP/2003)

?:?為了防止他人進(jìn)入電腦后對(duì)注冊(cè)表文件進(jìn)行修改，

可以在組策略中對(duì)注冊(cè)表編輯器做禁止訪問(wèn)設(shè)置。

具體操作方法：打開“組策略控制臺(tái)一用戶配置

一管理模版一系統(tǒng)”中的“阻止訪問(wèn)注冊(cè)表編輯

工具”并啟用此策略

Page22/31

、^北大青旦些總

一組策略的應(yīng)用10?9

?:?徹底禁止訪問(wèn)"控制面板”(Windows

2000/XP/2003)如果不希望其他用戶訪問(wèn)計(jì)算機(jī)

的“控制面板”，同樣可以使用組策略來(lái)實(shí)現(xiàn)

?:?打開“組策略控制臺(tái)一用戶配置—管理模板一控

制面板”中的“禁止訪問(wèn)控制面板”并啟用此策

略。此策略啟用后可以防止“控制面板”程序文

件(Control.exe)的啟動(dòng)

Page23/31

演北大青鳥

AP丁EUTV2.0"

組策略的應(yīng)用10?10

?:?禁用“添加/刪除程序(Windows2000/XP/2003)

?：?“控制面板”中"添加或刪除程序”項(xiàng)目允許你

安裝、卸載、修復(fù)并添加和刪除Windows的功能

和組件以及種類很多的Windows程序。如果你想

阻止其他用戶安裝或卸載程序，可利用組策略來(lái)

實(shí)現(xiàn)。打開“組策略控制臺(tái)一用戶配置一管理模

板一控制面板一添加一刪除程序”中的“刪除

，添加/刪除程序，程序”并啟用此策略，當(dāng)我們

再打開控制面板”中“添加/刪除程序”模塊的時(shí)

候，會(huì)自動(dòng)彈出警告窗口，而“添加/刪除程序

則無(wú)法運(yùn)行"^TTX\I爆I

Page24/31

、^北大青旦些總

AP丁EUIV20I

itwindowsserver2003更安全3?1

?:?確定一個(gè)缺省的口令策略，使你的機(jī)構(gòu)設(shè)置位于

“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/賬戶策略/

密碼策略”之下。

?:?為了防止自動(dòng)口令破解，在“計(jì)算機(jī)配置

/Windows設(shè)置/安全設(shè)置/賬戶策略/賬戶鎖定策略》

中進(jìn)行如下設(shè)置：

■賬號(hào)關(guān)閉持續(xù)時(shí)間（確定至少5?10分鐘）

■賬號(hào)關(guān)閉極限（確定最多允許5至10次非法登錄）

■隨后重新啟動(dòng)關(guān)閉的賬號(hào)（確定至少10」5分鐘以后）

CH>E

Page25/31LIVES

旗北大青旦曜總

vzo|

ikwindowsserver2003更安全3?2

?：?在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/本地策略/檢查

策略”中啟用如下功能：

■檢查賬號(hào)管理

■檢查登錄事件

■檢查策略改變

■檢查權(quán)限使用

■檢查系統(tǒng)事件

。理想的情況是，你要啟用記錄成功和失敗的登錄。但是，

這取決于你要保留什么類型的記錄以及你是否能夠管理這

些記錄。RobertaBragg在這里介紹了一些普通的檢查記

錄設(shè)置。要記住，啟用每一種類型的記錄都需要你的系統(tǒng)

處理器和硬盤提供更多的資源

TA\T/\

H

Page26/31

旗北大青旦曜總

XKPTECMvzoI

itwindowsserver2003更安全3?3

?：?作為增強(qiáng)Windows安全的最佳做法和為攻擊者設(shè)置更多

黛腐勰舞端勰解滑

?即輦蕃林t管“翱髓聚重慧攫射口均量羨

（漏定一個(gè)新名字）T

■嬲爨要曜將牌曬載網(wǎng)管瞠費(fèi)戾于下一個(gè)口令變

■和瞬黯利最要糜置最后晦理尹的名字（設(shè)置為啟用）

?美瓢鴻雷甲獻(xiàn)灌段有神韻筋磬覆痹叫殳置為

■窕暈舔錄：為企圖登錄的用戶提供一個(gè)消息文本（確定為讓用戶

瞿糕㈱臂箭）貢馥滑馥整“后力

Page27/31

BENET

V2.0”

組策略排障

?：?Windows98訪問(wèn)WindowsXP共享目錄被拒絕的問(wèn)題解

決

■在局域網(wǎng)內(nèi)，經(jīng)常可以遇到裝有Windows2000的電腦開了共享

目錄，而裝有Windows98的電腦卻無(wú)法訪問(wèn)的問(wèn)題。提示開啟

Windows2000的GUEST用戶就行了。可是WindowsXP出來(lái)以

后，同樣的又面臨這個(gè)問(wèn)題，結(jié)果有些人發(fā)現(xiàn)這個(gè)方法不靈了，

從網(wǎng)上鄰居訪問(wèn)WindowsXP的共享目錄不一定能被允許。在開

啟了系統(tǒng)Guest用戶的情況下，運(yùn)行組策略編輯器程序，在“本

地計(jì)算機(jī)策略”—“計(jì)算機(jī)配置”一"Windows設(shè)置”一“安全

設(shè)置”一“本地策略”一“用戶權(quán)利指派”一“拒絕從網(wǎng)絡(luò)訪問(wèn)

這臺(tái)計(jì)算機(jī)”中赫然可以看到有Guest用戶！如果在這里刪除

Guest用戶，那么其他電腦就可以從網(wǎng)上鄰居中查看這臺(tái)電腦的

共享目錄了。

Page28/31

演北大青旦一些股

AP丁EUIvzoI

?:?即使沒(méi)有通過(guò)WMI過(guò)濾器測(cè)試，策略還是被應(yīng)用

至［Windows2000計(jì)算機(jī)上

■這是一個(gè)容易解決的問(wèn)題。WMI過(guò)濾器僅在Windows