WINDOWS域策略与内网环境
2017-07-27许畅
许畅
摘要:根据局域网的实际环境,利用WINDOWS 2008系统,对部分常用组策略的设置进行了详细介绍,希望读者对策略设置快速入门,举一反三,触类旁通,从而迅速成为组策略应用高手。
关键词:活动目录;组策略;优化;安全;设置
随着网络中计算机数量的不断增加,软件的安装,系统安全,文件夹共享等基础操作都会成为计算机管理者的负担,组策略是用户用来控制计算机的系统设置和网络设置的一种手段。也就是说,是对注册表的一种修改。平时使用计算机时,用户对一些常用的桌面、网络等设置,也许不足完善或满意;稍微有点计算机操作水平的用户可以通过用修改注册表的方法来修改设置,但注册表涉及内容量太大,而且不便修改。组策略正好是注册表的可视化工具,它可保证系统和网络的安全运行。
1使用组策略IE环境
在【IE属性】对话框【组策略】选项卡中,单击【运行】,输入GPEDIT.MSC打开【组策略编辑器】,然后陆续展开用户配置一管理模板WINDOWS组件-IETERNET EXPLORER,双击右侧栏里是策略项,即可显示其子策略或策略属性对话框,实现对IE策略的查看和配置,如图1所示。
1.1禁止更改IE浏览器的字体设置
此设置一旦启用,用户浏览网页时无法更改网页的字体。点击“IE浏览器选项”界面中“常规”选项卡上的“字体”按钮时,所有字体设置将被全部禁用。如果禁用或未配置此策略,则用户可以更改查看网页时使用的默认字体。如果在【In-ternet Explorer\Internet控制面棚中设置了“禁用常规页”策略时,此策略也就无须设置,因为“禁用常规页”策略已经从界面中删除了“常规”选项卡。
1.2禁止更改主页设置
在"Internet选项”对话框“常规”选项卡中指定的“主页”,当打开Internet Explorer时就会加载的默认的主页。如果启用此策略设置,则用户将无法对自定义默认主页进行设置。必须指定在用户计算机上应该加载哪个默认主页。对于装有Inter-net Explorer 7及以上版本的计算机,可以在此策略中设置主页以覆盖其他的主页策略。如果禁用或未配置此策略设置,则会启用“主页”框,用户可以选择自己的主页。
1.3禁用更改INTERNET临时文件设置
阻止用户更改浏览器缓存设置,例如Temporary InternetFiles文件夹的位置以及其使用的磁盘空间量。如果启用此策略,则浏览器缓存设置将灰显。当用户单击“常规”选项卡,然后选择点击界面中的“设置”按钮时,将显示一个对话框,其中会显示这些设置。如果在【Internet Explorer\Internet控制面板】中设置了“禁用常规页”策略时,此策略也就无须设置,因为“禁用常规页”策略已经从界面中删除了“常规”选项卡。
2使用软件限制增强系统安全性的设置
软件限制策略的目的在于满足控制未知或不信任的软件要求,也就是限制某些软件的使用,可以通过规则标识并设置安全级别来指定软件是否运行面达到客户端计算机的可管理性,安全性,是控制不信任和不允许的软件在网络内非法使用。
利用组策略依次展开左侧控制台,【用户配置】一【管理模板】-【系统】-【只运行许可的WINDOWS程序】和【不要运行许可的WINDOWS程序1,如图2所示。
2.1运行许可的WINDOWS应用程序策略
在Windows 7中可以使用通过标识并指定允许运行的软件来保护计算机免受不信任软件的干扰,可以为组策略对象定义不受限制和不允许的安全级别,从而决定是否在默认的情况下允许软件运行。
在组策略编辑器界面中依次打开【本地计算机策略】中的【系统】菜单,然后选择右侧窗口中“只运行许可的Windows应用程序”项目,双击打开“只运行许可的Windows应用程序属性”界面。选择“启用”选项,点击下面的“显示”按钮后,弹出“显示内容”界面,在接下来的在文本框内添加要禁用的程序的所在的文件路径指向,点击“确定”按钮后系统除了能够运行列刚才添加的程序外,不能运行其他的应用程序。
此时如果用户还可以通过“命令提示字符”(Cmd.exel的方法来运行其他程序,不过可以通过以下方法来阻止用户访问命令提示符。操作步骤如下:
在组策略编辑器界面中依次打开【用户配置】中的【系统】菜单,然后在右侧窗格中选择并双击“停用命令提示符”,并将此策略禁用。
2.2不要运行许可的WINDOWS程序策略
在日常使用计算机的过程中,最令用户担心的是有人在计算机上随便安装程序,造成系统运行缓慢甚至病毒的感染.我们完全可以通过组策略的“禁用Windows安装服务”功能解决问题。禁用Windows安装服务策略,它既可以防止其他用户在系统里随意安装软件,也可以允许用户只能安装由管理员所提供的程序。具体的操作是:在组策略编辑器界面的左侧依次级打开【本地计算机策略】直到打开【Windows安装服务】,双击右侧窗格中“禁用Windows安装服务”项目,在弹出的界面中的“策略”选项卡中选择“启用”后,在禁用Windows安裝服务的下拉列表框中选择策略项即可。
3组策略对远程桌面与打印机共享这两个功能实现的影响远程桌面和打印机
组策略对远程桌面与打印机共享这两个功能实现的影响远程桌面和打印机共享是经常被用到的两个功能,但有时按照常规设置完成后,并不能正常工作,会出现无法登陆和连接不上的情况,有可能是组策略的设置问题,下面进行一下说明。
登陆“远程桌面”已启用的计算机时,会出现Windows的登陆窗口,输入用户:administrator,密码为空,有时会提示“由于账户限制,您无法登陆”,这是因为登陆帐户的密码为空的原因。可以在组策略中去掉这一限制。操作步骤:【计算机配置】一【Windows设置】—【安全设置】一【本地策略】一【安全选项】,将右侧的“账户:使用空白密码的本地帐户只允许进行控制台登录”停用即可。连接共享打印机时,通过“浏览打印机”可以找到被共享的打印机,但其状态是“拒绝访问”,解决办法是登陆组策略编辑器,展开【计算机配置】-【Windows设置】-【安全设置】一【本地策略】一【安全选项】,双击“网络访问:本地账户的共享和安全模式”.在弹出的对话框中选中仅来宾模式就可以了。