组策略编辑器的使用

《组策略编辑器的使用》由会员分享，可在线阅读，更多相关《组策略编辑器的使用（8页珍藏版）》请在金锄头文库上搜索。

1、组策略编辑器的使用使用组策略在中，可以使用组策略为用户和计算机组定义用户和计算机配置。通过使用组策略管理单元，您可以为特定的用户和计算机组创建特定的桌面配置。您创建的组策略设置包含在组策略对象中，后者进而与选定的容器（如站点、域或组织单位）关联。使用组策略管理单元，您可以为以下各项指定策略设置：基于注册表的策略。包括针对操作系统及其组件以及针对所有程序的组策略。为管理这些设置，请使用组策略管理单元的“管理模板”节点。安全选项。包括本地计算机、域和网络安全设置的选项。 软件安装和维护选项。用来集中管理程序的安装、更新和删除。 脚本选项。包括用于计算机启动和关闭以及用户登录和注销的脚本。文件夹重定

2、向选项。这些选项允许管理员将用户的特殊文件夹重定向到网络上。使用组策略，您可以一次性地定义用户工作环境的状态，以后就可以靠系统来实施您定义的策略。备注:为了使用组策略编辑器，您必须使用一个有管理员权限的帐户登录到计算机。1单.击开始，然后单击运行。在打开框中，键入，然后单击确定。3. 在文件菜单上，单击添加/删除管理单元。4. 单击添加。在（可用的独立管理单元）菜单上，单击组策略，然后单击添加。6.如果您不希望编辑“本地计算机”策略，请单击浏览以找到您希望的组策略。如果提示您输入用户名和密码，请输入，然后在返回“选择组策略对象”对话框后单击完成。备注：您可以使用浏览按钮来找到链接到站点、域、组

3、织单位或计算机的组策略对象。使用默认的组策略对象（本地计算机）编辑本地计算机的设置。单击关闭，然后在添加删除管理单元对话框中，单击确定。选定的即显示在控制台根节点下。回到顶端如何使用组策略编辑器组策略管理单元包含以下主要分支：计算机配置管理员可以使用“计算机配置”来设置应用到计算机的策略，而不管谁登录到了计算机。“计算机配置”通常包含软件设置、设置以及管理模板的子项。用户配置管理员可以使用“用户配置”来设置应用到用户的策略，而不管他们登录到哪台计算机。“用户配置”通常包含软件设置、设置以及管理模板的子项。若要使用组策略编辑器，请按照下列步骤操作：展开所需的。例如，本地计算机策略。2. 展开所需

4、的配置项。例如，计算机配置。展开所需的子项。例如，设置。4. 导航到包含您希望的策略设置的文件夹。策略项显示在“组策略编辑器”管理单元的右窗格中。备注：如果选定的项未定义策略，请右键单击您希望的文件夹，在出现的快捷菜单中，指向所有任务，然后单击所需的命令。在所有任务子菜单中出现的命令是上下文相关的。只有那些适用于所选策略文件夹的命令才出现在菜单中。5. 在设置列表中，双击您希望的策略项。备注：当您在管理模板文件夹中处理策略项时，如果您希望查看有关选定策略项的更多信息，请在的右窗格中单击扩展选项卡。编辑出现的对话框中的设置，然后单击确定。完成之后，退出。回到顶端示例下面的示例演示了如何使用“组策

5、略编辑器”自定义用户界面。在此示例中，我们将使用“组策略编辑器”来暂时从开始菜单中删除关闭计算机按钮。为此，请按照下列步骤操作：1.通过使用本文如何启动组策略编辑器一节中提供的步骤启动“组策略编辑器”并打开“本地计算机”策略。备注：可以从命令行启动“组策略编辑器”管理单元。这将自动加载本地计算机。为此，请按照下列步骤操作：单击开始，然后单击运行。在打开框中，键入，然后单击确定。2. 展开用户配置（如果它尚未展开）。3. 在用户配置下，展开管理模板。4. 单击“开始菜单和任务栏”。5. 在右窗格中，双击“删除和禁用“关闭计算机”按钮”。6. 单击启用，然后单击应用。7. 单击开始。您会注意到关闭

6、计算机按钮已不再显示。8. 选择“删除和禁用“关闭计算机”按钮”对话框。9. 单击未配置，然后单击应用，然后单击确定。10. 单击开始。您会注意到关闭计算机按钮又显示在开始中。11. 退出“组策略编辑器”管理单元。Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。一、给我们的IP添加安全策略DQ在计算机配置”一“Windows设置”一“安全设置”一“IP安全策略，在本地计算机下与有与网络有关的几个设置项目（如图1）。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网

7、络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。小提示:由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。二、隐藏驱动器平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择用户配置一管理模板一Windows组件一Windows资源管理器”三、禁用指定的文件类型在组策略中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如

8、下：1. 打开组策略，点击计算机配置一Windows设置一安全设置一软件限制策略”在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。2. 双击指派的文件类型打开指派的文件类型属性窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。3. 双击安全级别一不允许的项，点击设为默认按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示由于一个软件限制策略的阻止，Windows无法打开此程序”4要

9、取消此软件限制策略的话，双击安全级别一不受限的”打开不受限的属性窗口，按设为默认值即可。如果你鼠标右键点击计算机配置一Windows设置一安全设置一软件限制策略一其他规则，你会看到它可以建立哈希规则、Internet区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则，可以为电子邮件程序用来运行附件的文件夹创建路径规则，并将安全级别设置为“不允许的，以防止电子邮件病毒。提示：为了避免“软件限制策略，将系统管理员也限制，我们可以双击“强制，选择“除本地管理员以外的所有用户，。如果用你的是文件类型限制策略，此选项可以确保管理员有权运行被限制的文件类型，而其他用户无权运行

10、。四、未经许可，不得在本机登录使用电脑时，我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户登录到别的账户，那就麻烦了。既然我们不能删除或禁用这些账户，那么我们可以通过“组策略，来禁止一些账户在本机上登录，让对方只能通过网络登录。在组策略窗口中依次打开计算机配置一Windows设置一安全设置一本地策略一用户权限分配，然后双击右侧窗格的拒绝本地登录项，在弹出的窗口中添加要禁止的用户或组即可实现。如果我们想反

11、其道而行之，禁止用户从网络登录，只能从本地登录，可以双击“拒绝从网络访问这台计算机项将用户加上去。五、给“休眠”和“待机”加个密码只有屏幕保护有密码是远远不够安全的，我们还要给休眠和待机加上密码，这样才会更安全。让我们来给休眠和待机加上密码吧。在组策略窗口中展开用户配置一管理模板一系统一电源管理”在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”图(5)，那么当我们从“待机或休眠状态返回时将会要求你输入用户密码。六、自动给操作做个记录在计算机配置一Windows设置一安全设置一本地策略一审核策略上，我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访

12、问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作：几时登录、关闭系统或更改过哪些策略等等。我们应该养成经常在控制面板一管理工具一事件查看器里查看事件的好习惯。比如，当你修改过组策略”后，系统就发生了问题，此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里，你可以查看到详细的登录事件，知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期而要启用哪些审核，只要双击相应的项目，选中成功和失败两个选项即可。注意：WindowsXPHomeEdition没有组策略”只有WindowsXPProfessional版本才有组策略”，这一点注意。DD七、限制试知浏

13、览器的保存功能DD当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢？具体方法为：选择用户设置一“管理模板一Windows组件一“InternetExplorer”f“浏览器菜单分支。双击右侧窗格中的文件菜单：禁用另存为菜单项”在打开的设置窗口中选中已启用单选按钮(如图7)。提示汕D我们还可以对文件菜单：禁用另存为网页菜单项、查看菜单：禁用源文件菜单项和禁用上下文菜单等策略项目进行修改，这样我们的IE将会安全一些。八、禁止修改IE浏览器的主页DD如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话，我们可以选择用户配置

14、”一“管理模板”一“Windows组件”一TnternetExplorer”分支，然后在右侧窗格中，双击“禁用更改主页设置、策略启用即可。DD(1)在图8,还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略，在IE浏览器的Internet选项对话框中，其常规选项卡的主页区域的设置将变灰。DD(2)如果设置了位于用户配置”一“管理模板”一“Windows组件”一“InternetExplorer”一“Internet控制面板、中的“禁用常规页、策略，则无需设置该策略，因为“禁用常规页、策略将删除界面上的“常规、选项卡。DD(3)逐级展开用

15、户设置”一“管理模板一“Windows组件”一TnternetExplorer”分支，我们可以在其下发现Interne腔制面板、脱机页、浏览器菜单、工具栏、持续行为和管理员认可的控件等策略选项。利用它可以充分打造一个极有个性和安全的IE。DD九、把Administrator藏起来Windows系统默认的系统管理员账户名是Administrator。因此，为了避免有人恶意破解系统管理员Administrator账户的密码，我们可以将Administrator改为其他名字以加强安全。点击开始一运行”输入gpedit.msc，打开组策略，如图9所示，选择计算机配置一Windows设置一安全设置一本地策略一安全选项、，在右边窗格里双击“账户：重命名系统管理员账户、项，在上面输入你想要的用户名。重新启动计算机后，输入的新用户名即刻生效。如果再新建一个Guest用户，用户名为Administrator,然后再加上十分复杂的密码就更安全。提示：为了避免让人在Windows的登录框中看到曾经登录过的用户名，就要双击交互式登录：不显示上次的用户名”子项，选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。DD十禁用IE组件自动安装QD选择计算机配置”一“管理模板”一“Windows组件”一“Internet