組策略

組策略

GPO是一種與域、地址或組織單元相聯系的物理策略。組策略(Group Policy)是管理員為使用者和電腦定義並控製程式、網路資源及作業系統行為的主要工具。通過使用組策略可以設定各種軟體、電腦和使用者策略,可以指定基于註冊表的設定、域的安全設定和使用Windows安裝程式網路軟體安裝,這樣在安裝軟體時就可以對資料夾進行重定向等。

  • 中文名稱
    組策略
  • 外文名稱
    Group Policy
  • 作    用
    設定各種軟體、電腦和使用者策略
  • 領    域
    電腦

基本簡介

組策略

所謂組策略,就是基于組的策略。它以Windows中的一個MMC管理單元的形式存在,可以幫助系統管理員針對整個電腦或是特定使用者來設定多種配置,包括桌面配置和安全配置。譬如,可以為特定使用者或使用者組定製可用的程式、桌面上的內容,以及“開始”選單選項等,也可以在整個電腦範圍內建立特殊的桌面配置。簡而言之,組策略是Windows中的一套系統變更和配置管理工具的集合。

註冊表是Windows系統中儲存系統軟體套用軟體配置的資料庫,而隨著Windows功能越來越豐富,註冊表裏的配置項目也越來越多,很多配置都可以自定義設定,但這些配置分布在註冊表的各個角落,如果是手工配置,可以想像是多麽困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模組,供使用者直接使用,從而達到方便管理電腦的目的。

其實簡單地說,組策略設定就是在修改註冊表中的配置。當然,組策略使用了更完善的管理組織方法,可以對各種對象中的設定進行管理和配置,遠比手工修改註冊表方便、靈活,功能也更加強大。

運行方式

一般運行

在Windows 2000/XP/2003系統中,系統默認已經安裝了組策略程式,在“開始”選單中,單擊“運行”選項,輸入“gpedit.msc”並確定,即可運行組策略。

使用上面的方法,開啟的組策略對象是當前的電腦,而如果需要配置其他的電腦組策略對象,則需要將組策略作為獨立的MMC管理單元開啟:

(1)開啟Microsoft管理控製台(可在“開始”選單的“運行”對話框中直接輸入“MMC”並確定)。

(2)單擊“檔案→增加/移除管理單元”選單命令,在開啟的對話框中單擊“增加”按鈕。

(3)在“可用的獨立管理單元”對話框中,單擊“組策略”選項,然後單擊“增加”按鈕。

(4)在“選擇組策略對象”對話框中,單擊“在地電腦”選項編輯在地電腦對象,或通過單擊“流覽”查找所需的組策略對象。

(5)單擊“完成”按鈕,組策略管理單元即開啟要編輯的組策略對象。

(6)在左窗格中定位需要變更的選項的位置,在右窗格中右鍵單擊需要變更的具體選項,單擊“屬性”命令,即可開啟其屬性對話框,從中選擇“已啓用”、“未配置”、“已禁用”選項即可對電腦策略進行管理。

MMC管理單元

若要在MMC控製台中通過選擇GPE外掛程式來開啟組策略編輯器,具體方法如下:

(1)單擊選擇“開始”→“運行”命令,在彈出的對話框中鍵入“mmc”,然後單擊“確定”按扭。開啟Microsoft管理控製台視窗。

(2)選擇“檔案”選單下的“增加/移除管理單元”命令。

(3)在“增加/移除管理單元”視窗的“獨立”選項卡中,單擊“增加”按扭。

(4)彈出“增加獨立管理單元”對話框,並在“可用的獨立管理單元”列表中選擇“組策略”選項,單擊“增加”按鈕。

(5)由于是將組策略套用到在地電腦中,故在“選擇組策略對象”對話框中,單擊“在地電腦”,編輯在地電腦對象,或通過單擊“流覽”按扭查找所需的組策略對象。

(6)單擊“完成”→“關閉”→“確定”按扭,組策略管理單元即可開啟要編輯的組策略對象。

軟體限製策略

軟體限製策略是 Microsoft Windows XP 和 Microsoft Windows Server 2003 中的一項新功能。它們提供了一套策略驅動機製,用于指定允許執行哪些程式以及不允許執行哪些程式。軟體限製策略可以幫助組織免遭惡意代碼的攻擊。也就是說,軟體限製策略針對病毒、特洛伊木馬和其他類型的惡意代碼提供了另一層防護。

主要版本

對于Windows 9X/NT使用者來說,都知道“系統策略”的概念,其實組策略就是系統策略的高級擴展,它是自Windows 9X/NT的“系統策略”發展而來的,具有更多的管理模板、更靈活的設定對象及更多的功能,主要套用于Windows 2000/XP/2003/7/2008作業系統中。

早期系統策略的運行機製是通過策略管理模板,定義特定的POL(通常是Config.pol)檔案。當使用者登錄時,它會重寫註冊表中的設定值。當然,系統策略編輯器也支持對當前註冊表的修改,另外也支持連線網路電腦並對其註冊表進行設定。

而組策略及其工具,則是對當前註冊表進行直接修改。顯然,Windows 2000/XP/2003系統的網路功能是其最大的特色之處,所以其網路功能自然是不可少的,因此組策略工具還可以開啟網路上的電腦進行配置,甚至可以開啟某個Active Directory(活動目錄)對象(即站點、域或組織單位)並對其進行設定。這是以前“系統策略編輯器”工具無法做到的。

當然,無論是“系統策略”還是“組策略”,它們的基本原理都是修改註冊表中相應的配置項目,從而達到配置電腦的目的,隻是它們的一些運行機製發生了變化和擴展而已。

命令位置:C:\WINDOWS\system32 或者C:\WINNT\system32

系統設定

1禁止運行指定程式

系統啓動時一些程式會在後台啓動,這些程式通過“系統配置實用程式”(msconfig)的啓動項無法阻止,操作起來非常不便,通過組策略則非常方便,這對減少系統資源佔用非常有效。通過啓用該策略並增加相應的應用程式,就可以限製使用者運行這些應用程式。具體步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在左邊的窗格依次單擊“使用者配置→管理模板→系統”,然後在右邊的窗格雙擊“不要運行指定的Windows應用程式”(如圖1所示)。

圖1 雙擊“不要運行指定的Windows應用程式”

(3)選中“已啓用”,單擊“顯示”按鈕(如圖2所示),增加要阻止的程式如“Wgatray.exe”即可。

圖2 增加要阻止的程式

當使用者嘗試運行包含在不允許運行程式列表中的應用程式時,系統會提示警告信息。把不允許運行的應用程式復製到其他的目錄和分區中,仍然是不能運行的。要恢復指定的受限程式的運行能力,可以將“不要運行指定的Windows應用程式”策略設定為“未配置”或“已禁用”,或者將指定的應用程式從不允許運行列表中移除(這要求移除後列表不會成為空白的)。

這種方式隻阻止使用者運行從Windows資源管理器中啓動的程式,對于由系統過程或其他過程啓動的程式並不能禁止其運行。該方式禁止應用程式的運行,其使用者對象的作用範圍是所有的使用者,不僅僅是受限使用者,Administrators組中的賬戶甚至是內建的administrator帳戶都將受到限製,因此給管理員帶來了一定的不便。當管理員需要執行一個包含在不允許運行列表中的應用程式時,需要先通過組策略編輯器將該應用程式從不運行運行列表中移除,在程式運行完成後,再將該程式增加到不允許運行程式列表中。需要註意的是,不要將組策略編輯器(gpedit.msc)增加到禁止運行程式列表中,否則會造成組策略的自鎖,任何使用者都將不能啓動組策略編輯器,也就不能對設定的策略進行變更。

提示:如果沒有禁止運行“命令提示符”程式的話,使用者可以通過cmd命令,從“命令提示符”運行被禁止的程式,例如,將記事本程式(notepad.exe)增加不運行列表中,通過桌面和選單運行該程式是被限製的,但是在“命令提示符”下運行notepad命令,可以順利的啓動記事本程式。因此,要徹底的禁止某個程式的運行,首先要將cmd.exe增加到不允許運行列表中。

如果禁止程式後組策略無法使用可以通過以下方法來恢復設定:重新啓動電腦,在啓動選單出現時按F8鍵,在Windows高級選項選單中選擇“帶命令行提示的安全模式”選項,然後在命令提示符下運行mmc.exe。

在開啟的“控製台”視窗中,依次點擊“檔案→增加/移除管理單元→增加→組策略→增加→完成→關閉→確定”,增加一個組策略控製台,接下來把原來的設定改回來,然後重新進入Windows即可。

2鎖定註冊表編輯器

註冊表編輯器是系統設定的重要工具,為了保證系統安全,防止非法使用者利用註冊表編輯器來篡改系統設定,首先必須將註冊表編輯器予以禁用。具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)依次展開“使用者配置→管理模板→系統”。

(3)在右側窗格中雙擊“阻止訪問註冊表編輯工具”策略(如圖3所示)。

圖3 阻止訪問註冊表編輯工具

(4)在彈出的對話框中,選擇“啓用”,將“是否禁用無提示regedit?”選擇“是”(如圖4所示),按“確定”即可。

圖4 雙擊“阻止訪問註冊表編輯工具”

此策略被啓用後,使用者嘗試啓動註冊表編輯器(Regedit.exe 及 Regedt32.exe)的時候,系統會禁止這類操作並彈出警告訊息。

若要防止使用者使用其他管理工具,請使用“隻運行指定的 Windows 套用程式”設定。

提示:解除註冊表鎖定與禁用註冊表編輯器方法步驟相同,雙擊右側窗格中的“阻止訪問註冊表編輯器”,在彈出的視窗中選擇“已禁用”或“未配置”,點擊“確定”按鈕後退出組策略編輯器,即可為註冊表解鎖。

這項設定是一把雙刃劍:如果設為“已禁用”,則有一些正常軟體(大部分軟體需要與註冊表打交道)有可能不能使用,甚至無法安裝;如果設定為“已啓用”,則在防毒軟體的監護之外,為惡意程式留下隱患。

3阻止訪問命令提示符

命令提示符下有許多危險的操作,要阻止非法使用者使用命令提示符視窗(Cmd.exe),遠離各種不可預料的風險,具體步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“使用者配置→管理模板→系統”,在右側窗格中雙擊“阻止訪問命令提示符”(如圖5所示),開啟目標策略屬性設定對話框。

圖5 雙擊“阻止訪問命令提示符”

(3)在“阻止訪問命令提示符”屬性對話框中勾選已啓用(如圖6所示),按“確定”即可。

圖6 “阻止訪問命令提示符”屬性對話框

如果啓用這個設定,使用者嘗試開啟命令視窗,系統會顯示一個訊息,解釋設定阻止這種操作。這個設定還決定批處理檔案(.cmd和.bat)是否可以在電腦上運行。

提示:如果電腦使用登錄、登出、啓動或關閉批檔案腳本,不能防止電腦運行批處理檔案;也不能防止使用終端服務的使用者運行批處理檔案。

4禁止修改系統還原

“系統還原”是Windows 7的一項很重要的功能,如果您對電腦的安全性要求很高,或是電腦是一台公用的電腦,有很多人會去使用,那麽為了保證系統的可操作性,將“系統還原”所佔用的磁碟空間設定得大一些很有必要。但是如果這個設定被人變更,就會造成以前建立的還原點中信息的丟失。

您可以在“組策略”中禁止對“系統還原”的配置進行修改。具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“電腦配置→管理模板→系統→系統還原”,在右側窗格中雙擊“關閉配置”(如圖7所示),開啟目標策略屬性設定對話框。

圖7 雙擊“關閉配置”

(3)在“關閉配置”屬性對話框中勾選“已啓用”,按“確定”。“系統還原”配置介面上配置系統還原的選項就會消失。如果選擇“已禁用”(如圖8所示),則仍可看見配置介面,但是,所有系統還原配置默認值都有效。

圖8 “關閉配置”屬性對話框

註意:該配置必須重新啓動電腦才會生效。

5設定虛擬記憶體頁面

對于重要檔案,您可以通過加密和設定許可權以禁止其他無關人員訪問,不過您可知道,如果真的有必要,他人完全可以通過其他途徑獲得您的機密信息,那就是虛擬記憶體頁面檔案。虛擬記憶體頁面檔案作為物理記憶體的補充,用途是在硬碟和記憶體之間交換資料,而虛擬記憶體頁面檔案本身就是硬碟上的一個檔案,它位于系統所在硬碟分區根目錄中,檔案名稱為pagefile.sys。一般情況下,當您運行程式時,這些程式的一部分內容可能會被臨時儲存到分頁檔案上,而如果您編輯完這個檔案後立刻就關閉了系統,那麽檔案的一些內容仍然有可能被儲存在虛擬記憶體頁面檔案中。在這種情況下,如果有人得到了這台電腦的硬碟,那麽隻要把硬碟拆出來,利用特殊的軟體,就可以將虛擬記憶體頁面檔案中的機密信息讀取出來。通過配置組策略,您可以避免這種潛在的危險。

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“電腦配置→Windows設定→安全設定→在地策略→安全選項”,在右側窗格中雙擊“關機:清除虛擬記憶體頁面檔案” (如圖9所示),開啟目標策略屬性設定對話框。

圖9 雙擊“關機:清除虛擬記憶體頁面檔案”

(3)在“關機:清除虛擬記憶體頁面檔案”屬性對話框中勾選“已啓用”(如圖10所示),按“確定”即可。

圖10 “關機:清除虛擬記憶體頁面檔案”屬性對話框

啓用這個策略後,關機的時候系統會將分頁檔案中的所有內容都用“0”或者“1”寫滿,這樣所有的信息自然也都會消失。

提示:這樣做會減慢系統的關閉速度,如果不是非常必要,不建議您啓用這個策略。

6防止選單泄漏隱私

在「開始」選單中有一個“我最近的文檔”選單項,可以記錄您曾經訪問過的檔案。這個功能可以方便使用者再次開啟該檔案,但別人也可通過此選單訪問您最近開啟的文檔,為安全起見,可禁止此項功能。具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“使用者配置→管理模板→「開始」選單和系統列”,分別在右側窗格中雙擊“不要保留最近開啟文檔的歷史”和“退出時清除最近開啟的文檔的歷史”(如圖11所示),開啟目標策略屬性設定對話框。

圖11 雙擊“退出時清除最近開啟的文檔的歷史”

(3)分別在“不要保留最近開啟文檔的歷史”和“退出時清除最近開啟的文檔的歷史”屬性對話框中勾選“已啓用”,按“確定”即可。

如果啓用“退出時清除最近開啟的文檔的歷史”設定,系統就會在使用者登出時移除最近使用的文檔檔案的捷徑。因此,使用者登錄時,「開始」選單上的“最近的項目”選單總是空的。如果禁用或不配置此設定,系統就會保留文檔捷徑,這樣使用者登錄時,“最近的項目”選單中的內容與使用者登出時一樣。

提示:系統在“系統驅動器\Documents and Settings\使用者名稱\我最近的文檔”資料夾中的使用者配置檔案中儲存文檔捷徑。

當沒有選擇“從開始選單移除最近的項目選單”和“不要保留最近開啟的文檔的歷史”策略任何一個相關設定時,此項設定才能使用。

7別讓搜尋泄露隱私

快捷搜尋框是Windows 7的一大特色,尤其在執行資料夾搜尋時非常方便。不過這一功能有時也特別令人尷尬,那就是會自動儲存下所有歷史搜尋,而且並沒有提供清除功能,其中一些隱私內容就會揮之不去。

使用組策略隨時清空搜尋歷史是一個很好的補救措施,具體步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“使用者配置→管理模板→Windows組件→Windows資源管理器”,在右側窗格中雙擊“在Windows資源管理器搜尋框中關閉最近搜尋條目的顯示”(如圖12所示),開啟目標策略屬性設定對話框。

圖12 雙擊“在Windows資源管理器搜尋框”

(3)選擇“已啓用”(如圖13所示),按“確定”之後搜尋歷史即被清空,當然以後也就不會自動儲存了。

圖13選擇“已啓用”

8 設定桌面小工具

現在的病毒和木馬真是十分的狡猾,竟然能夠利用桌面小工具(Windows Vista中稱邊欄小工具)入侵系統,雖然系統能夠檢測到如:“天氣與生活”這款小工具沒有得到微軟認可的有效數位簽名,但使用者隻要單擊“安裝”按鈕,即可順利完成安裝進程。如何防止這些沒有簽證的桌面小工具給系統可能帶來的潛在危險呢?通過組策略可以拒絕使用沒有簽證的桌面小工具,具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“電腦配置→管理模組→windows組件→桌面小工具”,在右側窗格中雙擊“限製未經數位簽名的小工具的解包和安裝”(如圖14所示),開啟目標策略屬性設定對話框。

圖14 雙擊“限製未經數位簽名的小工具的解包和安裝”

(3)在“限製未經數位簽名的小工具的解包和安裝”屬性對話框中勾選“已啓用”(如圖15所示),按“確定”,則 Windows 桌面小工具不會提取未經數位簽名的任何小工具。

圖15 “限製未經數位簽名的小工具的解包和安裝”

提示:默認情況下,Windows 桌面小工具是可以安裝未簽名的工具軟體,但是如果啓用上述設定,Windows桌面小工具將不會再允許使用者安裝未經簽名的軟體,包括一些壓縮檔案。這將給使用者的系統帶來一定的安全保障。

9完全禁止使用隨身碟

現在隨身碟已經相當普及,電腦裏面的資料很容易被復製,這對電腦中的資料無疑是一種威脅。如果您的電腦中有一些重要的資料,那就要小心了。難道要把USB連線埠給拆下來嗎?當然不是。其實運用Windows 7系統本身的禁止使用USB設備的功能,就能徹底解決這一問題。具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“電腦配置→管理模板→系統→可移動存儲訪問”,在右側窗格中雙擊“所有可移動存儲類:拒絕所有許可權”,開啟目標策略屬性設定對話框(如圖16所示)。

圖16 開啟“所有可移動存儲類:拒絕所有許可權”

(3)在“所有可移動存儲類:拒絕所有許可權”屬性對話框中勾選“已啓用”(如圖17所示),按“確定”按鈕就可以完全禁止USB存儲類設備了。

圖17 “所有可移動存儲類:拒絕所有許可權”屬性框

10禁止資料寫入隨身碟

如果您不準備完全禁止USB設備,希望能讀取隨身碟的內容,隻是禁止資料寫入隨身碟。具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“電腦配置→管理模板→系統→可移動存儲訪問”,在右側窗格中雙擊“可移動磁碟:拒絕寫入許可權”(如圖18所示),開啟目標策略屬性設定對話框。

圖18 雙擊“可移動磁碟:拒絕寫入許可權”

(3)在“可移動磁碟:拒絕讀取許可權”屬性對話框中勾選“已啓用”(如圖19所示),按“確定”按鈕即可。

圖19 “可移動磁碟:拒絕讀取許可權”屬性對話框

提示:以上對隨身碟進行了禁止寫入設定。如果要隨身碟禁止讀取,而允許寫入資料,那可以啓用“可移動磁碟:拒絕讀取許可權”來實現。

11 允許識別指定隨身碟

以上“禁止使用隨身碟”和 “禁止資料寫入隨身碟”兩項設定,在保護自己電腦資料的同時也給自己帶來了很大的不便,如何讓系統隻能使用指定的隨身碟或者移動硬碟呢?通過組策略“允許識別指定隨身碟”可能解決這一問題。操作步驟如下:

(1)把隨身碟插入到Windows 7系統的USB接口中,讓系統可以正常使用隨身碟,接著進入“控制臺”,雙擊“硬體和聲音”、“設備管理器”(如圖20所示)。

圖20 雙擊“硬體和聲音”、“設備管理器”

(2)展開“便攜設備”,可以看見裏面有您剛剛插入的隨身碟,在上面點擊滑鼠右鍵來選擇“屬性”(如圖21所示)。

圖21 展開“便攜設備”

(3)在彈出的“屬性”視窗中點擊“詳細信息”標簽,然後在設備“屬性”下拉框中選擇“硬體 ID”,下面的“值”中會出現字元串,這個就是您的隨身碟的硬體ID,把它復製出來儲存好。

(4)復製“通用串列匯流排控製器”中“USB大容量存儲設備”的硬體ID,在“設備管理器”中展開“通用串列匯流排控製器”列表,找到“USB大容量存儲設備”(如圖22所示)。

圖22 找到“USB大容量存儲設備”

(5)在它的“屬性”視窗中點擊“詳細信息”標簽,復製出它的硬體ID(如圖23所示)。

圖23 復製出隨身碟硬體ID

(6)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。依次展開“電腦配置→管理模板→系統→設備安裝→設備安裝限製”(如圖24所示)。

圖24 雙擊“禁止安裝未由其他策略設定描述的設備”

(7)雙擊右側的“禁止安裝未由其他策略設定描述的設備”,在彈出的視窗中選擇“已啓用”,再點擊“確定”按鈕,設定它可以來禁止策略沒描述的USB設備(如圖25所示)。

圖25 禁止安裝未由其他策略設定描述的設備

(8)雙擊右側的“允許安裝與下列設備ID相匹配的設備”(如圖26所示),在彈出的視窗中選擇“已啓用”,單擊“顯示”按鈕,將允許安裝的隨身碟的硬體ID貼上到其中,再點擊“確定”按鈕。

圖26 允許安裝與下列設備ID相匹配的設備

12 禁止光碟自動播放

光碟自動播放雖然能給您帶來了許多便利,但有些時候也會帶來不少麻煩。默認狀態下,當您將光碟插入光碟機時,系統就會自動讀取光碟機,並啓動autorun.inf指定的應用程式。這一默認狀態對系統來說是極不安全的,說不定自動運行的是一個木馬程式。有時插入光碟僅僅是想查看一下光碟中的內容,自動播放功能會使您這一簡單想法的實現變得復雜。關閉光碟自動播放實屬明智之舉。用組策略可以關閉光碟自動播放功能,具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“使用者配置→管理模板→windows組件→自動播放策略”,在右側窗格中雙擊“關閉自動播放”(如圖27所示),開啟目標策略屬性設定對話框。

圖27 雙擊“關閉自動播放”

(3)在“關閉自動播放”屬性對話框中勾選“已啓用”(如圖28所示),在“關閉自動播放”框中選擇“CD-ROM啓動器”或“所有驅動器”項按“確定”即可。

圖28 “關閉自動播放”對話框

註意:插入光碟時按住shift鍵可禁止光碟自動播放。這種方式最好能成為使用陌生光碟時的一種操作習慣。此設定不阻止自動播放音樂CD。

13 禁止安裝移動設備

如果不希望其他人在您的電腦上隨便使用移動設備,則可以通過組策略禁止安裝可移動設備。具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“電腦配置→管理模組→系統→設備安裝→設備安裝限製”,在右側窗格中雙擊“禁止安裝可移動設備”(如圖29所示),開啟目標策略屬性設定對話框。

圖29 雙擊“禁止安裝可移動設備”

(3)在屬性對話框中勾選“已啓用”並按“確定”。如果啓用了此設定,則不會安裝可移動設備,而且無法更新現有可移動設備的驅動程式

如果未配置或禁用了此設定,那麽,隻要其他策略設定允許安裝設備,就可以安裝可移動設備和更新現有的可移動設備。

提示:此策略設定比允許安裝設備的任何其他策略設定的優先權都高。如果此策略設定禁止安裝某個設備,那麽,即使該設備與允許安裝它的其他策略設定相匹配,也將無法安裝或更新該設備。

對于此策略,當設備所連線到的設備驅動程式該設備可移動時,設備被認為是可移動設備。例如,設備連線到的 USB 集線器的驅動程式報告某個通用串列匯流排(USB)設備是可移動設備。

如果此電腦是一台終端伺服器,則啓用此策略還會影響指定的設備從終端服務客戶端重定向到此電腦。

註意:禁止安裝可移動設備對提高系統安裝性能非常有效,使用此設定可防止可移動設備如隨身碟的使用。

14限製使用驅動器

若要防止使用者使用“我的電腦”訪問所選驅動器的內容,可按以下步驟操作:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“使用者配置→管理模板→Windows組件→Windows資源管理器”,在右側窗格中雙擊“防止使用者使用‘我的電腦’訪問所選驅動器的內容”,開啟目標策略屬性設定對話框。

(3)在“防止使用者使用‘我的電腦’訪問所選驅動器的內容”屬性對話框中勾選“已啓用”,並在下面列表框中選擇一個驅動器或幾個驅動器,按“確定”即可。

如果啓用此設定,則使用者可以流覽“我的電腦”或 Windows 資源管理器中所選驅動器的目錄結構,但是無法開啟資料夾或訪問其中的內容。此外,他們也無法使用“運行”對話框或“對應網路驅動器”對話框來查看這些驅動器上的目錄。

若要使用此設定,請從下拉列表中選擇一個驅動器或多個驅動器的組合。若要允許訪問所有驅動器目錄,請禁用此設定或從下拉列表中選擇“不限製驅動器”選項。

註意: 代表指定驅動器的圖示仍會出現在“我的電腦”中,但是如果使用者雙擊這些圖示,則會出現一條訊息來解釋設定防止這一操作。

右側窗格中“隱藏‘我的電腦’中的這些指定的驅動器”可配合使用,此組策略可以從“我的電腦”和“Windows 資源管理器”上移除代表所選硬體驅動器的圖示。並且驅動器號代表的所有驅動器不出現在標準的開啟對話框上。這項策略隻移除驅動器圖示。使用者仍可通過使用其它方式繼續訪問驅動器的內容。同時這項策略不會防止使用者使用程式訪問這些驅動器或其內容。並且也不會防止使用者使用磁碟管理即插即用來查看並變更驅動器特徵。

15 我的桌面你別改

若要禁止別人改動桌面某些設定,防止使用者儲存對桌面進行的某些變更。具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)依次展開“使用者配置→管理模板→桌面”,然後在右側對話框中選中並雙擊“退出時不儲存設定”。

(3)在彈出的對話框中點選“已啓用”,按確定,使用者將不能儲存對桌面的變更。

如果啓用了此設定,那麽,使用者可以變更桌面,但是某些變更(如已開啟視窗的位置、系統列的大小及位置)在使用者登出後不會儲存。但是,桌面上的捷徑始終得以儲存。

時,許多黃色或是暴力的內容會進入我們的視野,雖然有第三方軟體和利用分級審查功能可以阻止這些內容,但隻要擁有管理員許可權,分級審查是可以變更的。利用組策略,可以禁止變更分級審查。具體操作步驟如下:

(1)開啟「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,開啟組策略對象編輯器。

(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“使用者配置→管理模板→Windows組件→Internet Explorer”,在右側窗格中雙擊“禁用變更分級設定”,開啟目標策略屬性設定對話框。

(3)在“禁用變更分級設定”屬性對話框中勾選“已啓用”,按“確定”即可禁止變更分級審查。

提示:禁用變更分級審查的前提是分級審查的設定已經完成。“禁用分級頁”策略(位于“\使用者配置\管理模板\Windows 組件\Internet Explorer\Internet 控制臺”中)可以在“控制臺”中,將“分級”選項卡從“Internet Explorer”移除,它優先于此策略。如果已啓用,則會忽略此策略。

其他相關

作業系統限製 組策略僅用于NT核心的系統。不支持Windows XP Home Edition、Starter Edition及Windows Vista Home Basic Edition、Starter Edition。

在Windows Vista中,組策略檔案的擴展名改為admx。繼續使用adm檔案會引起一些奇怪的故障。這裏的x應該指extension(擴展),像aspx及那些Office 2007檔案一樣。

操作相關技巧一

暫時隱藏不用的策略

如果你是初學使用組策略,肯定被組策略編輯器裏名目繁多的策略弄了個頭暈眼花,由于不熟悉每個策略的具體位置,有時候為了配置一個策略您可能要在組策略編輯器裏翻找大半天,這時候我們就可以使用組策略編輯器的“篩選”功能。

在“開始”選單的“運行”中輸入“gpedit.msc”開啟組策略編輯器,在左側窗格中選擇一個目錄,單擊右鍵,在彈出的快捷選單中選擇“查看→篩選”命令開啟“篩選”對話框,在該對話框上,我們可以選擇組策略編輯器隻顯示配置了的策略,也可以選擇組策略編輯器隻顯示針對特定軟體的策略,我們可以選擇隻顯示Windows XP Professional以上的作業系統才能管理的策略。

操作相關技巧二

禁用“使用者配置”或“電腦配置”策略

組策略編輯器中的策略分為兩類:電腦配置和使用者配置。如果你想知道當前系統中這兩類策略分別有多少項被配置過,或者你想隱藏其中一類配置,則可以使用這樣的方法:

開啟組策略編輯器,右鍵單擊左窗格目錄樹的根目錄“在地電腦策略”,然後在彈出的快捷選單上選擇“屬性”開啟“在地電腦策略屬性”對話框,在該對話框上“建立”一欄顯示了該組策略管理單元生成的時間,一般情況下它就是作業系統的安裝時間;而“修改”中則顯示的是最後一次設定組策略的時間;“修訂”一欄顯示了這兩個分類中各自有多少策略被配置過;如果你希望在這裏隱藏其中的一類策略,則可以在該對話框下方勾選相應的復選框

操作相關技巧三

編輯遠程電腦的組策略

組策略不僅可以在地編輯,而且還可以遠程編輯。在“開始”選單上單擊“運行”,輸入“mmc”開啟MMC控製台(Microsoft Management Console),在默認情況下,MMC控製台新增並開啟了一個“控製台1”的檔案,在MMC控製台的選單欄選擇“檔案→增加/移除管理單元”命令,開啟“增加/移除管理單元”對話框,在該對話框上單擊“增加”,在彈出的獨立管理單元列表對話框上選擇“組策略”並單擊“增加”,在接下來的對話框上我們就可以選擇是編輯在地電腦的組策略,還是編輯遠程電腦的組策略,系統默認的選擇是編輯在地電腦的組策略,單擊“流覽”,在選擇另一台電腦的對話框中輸入電腦在域中的路徑,或者單擊“高級”選擇工作組中的另外一台電腦。

選擇以後單擊“確定”就會在“控製台1”中開啟該遠程電腦的組策略。現在好了,利用這個控製台檔案我們就可以編輯遠程電腦的組策略了,編輯完成後您還可以把“控製台1”儲存為一個“??.msc”的檔案,這樣,當有需要時,您還可以雙擊該檔案繼續遠程編輯該電腦的組策略。

操作相關技巧四

在組策略編輯器中禁止從“我的電腦”視窗訪問驅動器

一般的使用者會習慣在“我的電腦”或“Windows 資源管理器”視窗中訪問磁碟驅動器,為保證伺服器資料安全,可以通過編輯組策略禁止從以上位置訪問驅動器。

在“組策略編輯器”視窗中依次展開“使用者配置”→“管理模板”→“Windows組件”目錄,並選中“Windows資源管理器”選項。在右窗格中將“防止從‘我的電腦’訪問驅動器”策略設定為“已啓用”狀態,並在驅動器列表框中選擇一個或幾個驅動器。通過這樣的設定,不僅可以禁止使用者從“我的電腦”或“資源管理器”視窗中訪問驅動器,還可以禁止使用“運行”對話框、鏡像網路驅動器對話框或在“命令提示符”窗中使用Dir命令查看驅動器上的目錄。

操作相關技巧五

在組策略編輯器中禁用“註冊表編輯器”

註冊表編輯器”是Windows系統中的敏感部位,為防止非法使用者登錄伺服器後修改註冊表,可以通過編輯組策略來禁止對註冊表的訪問。

在“組策略編輯器”視窗中依次展開“使用者配置”→“管理模板”目錄,並選中“系統”選項。然後在右窗格中將“阻止訪問註冊表編輯工具”策略設定為“已啓用”狀態,這樣當使用者嘗試開啟“註冊表編輯器”的時候,系統會禁止使用者的操作並彈出提示訊息。

管理模板

在Windows 2000/XP/2003中包含幾個ADM檔案。這些檔案是文本檔案,被稱為“管理模板”,它們為組策略管理單元的控製樹中“管理模板”資料夾下的項目提供策略信息。

在Windows 2000/XP/2003中,默認的Admin.adm管理模板位于系統資料夾的INF資料夾中,包含了默認安裝下的4個模板檔案,分別為:

(1)System.adm:默認安裝在“組策略”中,用于系統設定。

(2)Inetres.adm:默認安裝在“組策略”中,用于Internet

Explorer(IE)策略設定。

(3)Wmplayer.adm:用于Windows Media

Player設定。

(4)Conf.adm:用于NetMeeting設定。

在策略管理控製台中,可以多次增加“策略模板”,下面讓我們來看看具體操作:

首先運行“組策略”程式,然後選擇“電腦配置”或者“使用者配置”下的“管理模板”,單擊滑鼠右鍵,選擇“增加/移除模板”命令,然後在開啟的對話框中單擊“增加”按鈕,在開啟的對話框中選擇相應的ADM檔案。單擊“開啟”按鈕,則在系統策略編輯器中開啟選定的腳本檔案,並等待使用者執行。

GPO是一種與域、地址或組織單元相聯系的物理策略。在NT 4.0系統中,一個單一的系統策略檔案(例如ntconfig.pol)包括所有的可以執行的策略功能,但它依賴于使用者電腦中的系統註冊表的設定。在Win2K中,GPO包括檔案和AD對象。通過組策略,可以指定基于註冊表的設定、使用NT 4.0格式.adm模板檔案的運行Win2K的在地電腦、域的安全設定和使用Windows安裝程式的網路軟體安裝,這樣在安裝軟體時就可以對資料夾進行重定向。微軟管理控製台(MMC)中的組策略編輯器(GPE)外掛程式與NT 4.0中的系統策略編輯器poledit.exe相當。在GPE中的每個功能節點(例如軟體設定、Windows 設定、管理模組等)都是MMC外掛程式擴展,在MMC外掛程式中擴展是可選的管理工具,如果你是應用程式開發者,可以通過定製的擴展拓展GPO的功能,從而針對你的應用程式提供附加的策略控製。隻有運行Win2K的系統可以執行組策略,運行NT 4.0和Windows 9x的客戶機則無法識別到或運行具有AD架構的GPO。

解決方法

方法1

將Framedyn.dll檔案從windowssystem32wbem目錄下拷貝到windowssystem32目錄下,再重新註冊一下gpedit.dll。方法是點擊開始找到運行然後輸入regsvr32空格gpedit.dll後回車看看提示是否註冊成功。

方法2

1、在“開始--運行”中依次運行以下命令:“regsvr32 fde.dll”、“regsvr32 gpedit.dll”、“regsvr32 gptext.dll”、 “regsvr32 wsecedit.dll”分別註冊這4個動態資料庫。

2、最後單擊“開始--運行”,輸入“gpedit.msc”便可以啓動組策略了。    

相關詞條

相關搜尋

其它詞條