[摘要]根据实际工作经验,详细讲解Windows组策略的基本知识及各个部分的作用,并利用组策略的特点,适当地进行设置,使其能更有效地提高系统的安全性及实用性,并用实例说明组策略的设置方法。

[关键词]组策略 管理 系统安全 权限设置

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0810047-02

一、组策略的基本知识

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。下面以Windows 2000为基础,其余操作系统可参照执行。

(一)组策略的组件

组策略由几个可以配置的组件组成。第一个是管理模块,这是一个基于注册表的策略。Windows 2000包含五个管理模板,其中两个是默认安装的:

System.adm:Windows 2000客户端的系统策略。

Inetres.adm:Windows 2000客户端的Internet Exploer策略。

此外三个附加的管理模板(Common.adm、Windows.adm和Winnt.adm)是为设置Windows NT、Windows 95和Windows 98策略时使用的。它们使用在本地客户端上的System Policy Editor(Poledit.exe),并且不能被载入组策略[1]。

(二)组策略对象

组策略的设置存储在一个组策略对象(GPO)中。一个或多个GPO可应用于站点、域或组织单元(OU)。GPO在两个位置上存储信息:一个是称为组策略模板(GPT)的文件夹结构,另一个是活动目录中的组策略容器(GPC)。

(三)组策略模板

当您创建一个GPO时,相应的GPT文件夹结构会自动创建。该GPT文件夹的真实名称将是GPO全局唯一标识符,该标识符对本计算机有用而对其他计算机来说是一个无法理解的数字。

(四)组策略容器

非本地的组策略对象也会有一个称为GPC的活动目录部分,它包括了若干包含了版本信息、状态信息和GPO中使用的组策略扩展名的列表等的子容器。GPC与管理没有直接关系。

二、创建组策略对象

打开“Active Directory用户和计算机”窗口(对于域或OU GPO)或者“Active Directory站点和服务器”窗口(对于站点GPO)。

1.右击你要为其创建GPO的对象,然后从快捷菜单中选“属性”命令。

2.选择“组策略”选项卡,然后单击“新建”按钮。

3.输入新的GPO的名称。

4.完成后单击“确定”按钮。

三、访问组策略的方法

访问组策略的方法有两种:第一种方法是命令行方式;第二种方法是通过在MMC控制台中选择GPE插件来实现的。

(一)组策略编辑器的命令行启动

您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动组策略编辑器。

(二)将组策略作为独立的MMC管理单元打开

若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下:

1.单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按钮。打开Microsoft管理控制台窗口。如图2所示。

2.选择“文件”菜单下的“添加/删除管理单元”命令。

3.在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按钮。

4.弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。

5.由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按钮查找所需的组策略对象。

6.单击“完成”→“关闭”→“确定”按钮,组策略管理单元即可打开要编辑的组策略对象。

四、组策略的实际应用

(一)桌面项目设置

在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。

1.隐藏不必要的桌面图标。桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的‘我的文档图标”一项中设置即可。

2.禁止对桌面的改动。利用组策略可达到禁止别人改动桌面某些设置的目的。如“禁止用户更改‘我的文档路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。

(二)隐藏或禁止控制面板项目

在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项,便可看到“控制面板”节点下面的所有设置和子节点。

1.禁止访问“控制面板”。如果您不希望其他用户访问计算机的“控制面板”,您只要运行组策略编辑器(gpedit.msc),在左侧窗格中逐级展开“‘本地计算机策略”→“用户配置”→“管理模板”→“控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可[2]。

2.隐藏或禁止“添加/删除程序”项。展开“添加/删除程序”项:双击启用“删除‘添加/删除程序程序”设置项后,控制面板中的“添加/删除程序”项将被删除。

3.隐藏或禁止“显示”项。展开“显示”项,发现这一项和上一项一样,可隐藏“显示属性”对话框中的选项卡。

(三)系统项目设置

这一项在“用户配置”→“管理模板”→“系统”中设置。

1.登录时不显示欢迎屏幕界面。Windows系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦且延长登录时间,通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示欢迎屏幕”,则每次用户登录时欢迎屏幕将隐藏。

2.禁用注册表编辑器。为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。双击启用“系统”节点下的“阻止访问注册表编辑器”项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用。

3.删除任务管理器。找到“系统”下的“Ctrl+Alt+Del选项”,双击启用“删除任务管理器”、“删除‘锁定计算机”、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮[3]。

注意:“注销”、“关机”两个菜单项的屏蔽,在“用户配置”→“管理模板”→“任务栏和‘开始菜单”节点下。

(四)系统安全/权限设置

在组策略中,系统安全配置一般在“计算机配置”→“Windows设置”→“安全设置”中进行。

1.密码策略。这一策略在“账户策略”→“密码策略”节点中配置。口令是系统安全的一大隐患,可通过组策略设置密码(口令)的最小长度:双击启用“密码必须符合复杂性要求”设置项,确定后双击“密码长度最小值”设置项,在弹出来的对话框中将密码长度最小值设为8或更大,这样以后设置账户密码时就必须输入8位以上,安全性就高多了。

2.用户权利指派。展开“本地策略”→“用户权利指派”节点,在右边窗口中便能看到“用户权利指派”节点下的所有设置。

3.文件和文件夹设置审核。Windows 2000可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。审核文件、文件夹(只适用于NTFS文件系统)可以保证文件和文件夹的安全。在审核发生之前,您必须使用“组策略”指定要审核的事件类型。为文件和文件夹设置审核。其位置在“组策略”窗口中,逐级展开右侧窗格中的“计算机配置”→“Windows设置”→“安全设置”→“本地策略”分支,然后在该分支下选择“审核策略”选项。

4.阻止访问命令提示符。防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在计算机上运行。位置:用户配置管理模板系统如果启用这个设置,用户试图打开命令窗口,系统会显示一个消息,解释设置阻止这种操作。

五、结论

对于Windows组策略的应用,通过组策略来控制程序、网络资源及操作系统行为以及设置各种软件的目的,另外通过修改组策略还可防止和限制别人对计算机的恶意修改,起到保护操作系统的作用。

Windows组策略的功能非常强大,还有很多需要我们去发掘,本文是作者多年计算机机房管理经验的总结,希望能起到抛砖引玉的作用。

参考文献:

[1]刘明铭,《Windows 2000 server管理员手册》[M].科学出版社,2002年4月第1版.

[2]刘哓辉,《Windows 2000/XP/2003组策略实战指南》[M].人民邮电出版社,2006年7月第1版.

[3]朱青亮,《组策略应用技巧》,家庭电脑世界杂志社,2004年6月第1版.

作者简介:

林阳军,成都电子高专机械工程系,助教。