Windows系统组策略高级技巧(共7篇)由网友“ValarLucifer”投稿提供,下面是小编收集整理的Windows系统组策略高级技巧,供大家参考借鉴,希望可以帮助到有需要的朋友。
篇1:Windows系统组策略高级技巧
系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了,
但是笔者一直认为,只要我们足够细心、用心,就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新“境界”!
不同用户,不同权限
也许你的服务器中包含有许多用户,但为了保护服务器的安全,你希望这些用户对服务器的访问控制权限各不相同,以便日后服务器遇到意外时,你能根据权限高低的不同,就能快速地找到“从中作乱”的用户。要想对不同的用户,分配不同的访问控制权限,只需要对服务器组策略进行一下设置就可以了,下面就是具体的设置步骤:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
在该窗口中,依次展开其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”项目;
在对应“用户权利指派”项目的右侧窗口区域中,你将看到有多种权利可供指派,如图3所示。例如,要是你只想让aaa用户通过网络连接方式来远程访问服务器中的内容,而不允许其在本地登录服务器写入内容或执行其中的应用程序时,你可以先双击“拒绝本地登录”权限;
在其后打开的设置窗口中,单击一下“添加”,然后选中aaa用户所对应的帐号名称,再单击一下“添加”,这样aaa用户日后就只能通过远程网络来访问服务器中的内容了。
同样地你可以将本地登录控制权限分配给bbb用户,将文件或其他对象的所有权分配给ccc用户等;一旦为不同用户分配好了不同控制权限后,你日后就能根据权限级别的不同,来有针对性地管理和控制用户了。例如,要是你发现服务器在没有接入到网络的时间内,有人随意向服务器中上传非法信息而需要追究时,你可以很轻松地将aaa用户排除在外,毕竟aaa用户没有这样的“作案能力”!
保护设置,避免冲突
在局域网中常常会出现工作站IP地址被随意修改,造成IP冲突现象的发生,从而影响局域网的运行效率。尽管目前有许多方法可以避免IP地址发生冲突,但仔细推敲一下,你不难发现其中的一些方法对于一些菜鸟用户来说,操作起来有点难度;其实借助组策略功能,你可以很轻松地限制局域网工作站的网络配置参数被随意修改,从而有效避免网络中的IP地址发生冲突:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
依次展开该窗口中的“用户配置”/“管理模板”/“网络”/“网络和拨号连接”策略项目,在对应“网络和拨号连接”策略的右侧窗口区域中,双击一下“允许TCP/IP高级设置”项目;
在弹出的如图4所示的设置窗口中,将“禁用”选项选中,并单击一下“确定”按钮,这样的话,任何一个工作站用户日后打开TCP/IP属性设置窗口时,将会发现无法进入“高级”设置窗口,来修改工作站的IP地址或其他网络参数,如此一来局域网中的IP地址就不大容易发生冲突了,
强化审核,远离攻击
在缺省条件下,Windows 服务器没有启用任何一种安全审核手段,来保护服务器的安全,显然这会给服务器带来很大的安全隐患。为了避免服务器遭受攻击,你只要对服务器中的组策略“动动手脚”,就能启用好安全审核策略,保护好服务器的安全:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
将鼠标定位于其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“审核策略”组策略分支上,在“审核策略”分支下面,你将看到有多种审核事件需要你指定,如图5所示;
双击其中的“策略更改”项目,在弹出的设置窗口中,如果选中“成功”选项的话,那么服务器日后将会对所有事件的成功操作进行审核,要是选中“失败”选项的话,那么服务器日后将会对所有事件的失败操作进行审核;
为了能够及早知道服务器存在的安全隐患,我们通常需要对“系统事件”、“登录事件”、“帐户登录事件”、“帐户管理事件”的成功操作与失败操作分别进行审核,如此一来即使一些已经实施攻击、但没有攻击成功的操作记录,也会一一被服务器自动记录下来,以后我们仔细分析记录,就能查找出安全隐患,并及时采取补救措施确保服务器的安全了;对于“对象访问”事件、“目录服务访问”事件、“特权使用”事件等,一般只要审核它们的失败操作,就可以达到捕捉攻击记录的目的了。
一旦通过组策略分别对相关事件启用审核功能后,服务器日后将会把相关事件的审核记录全部保存到系统的“事件查看器”中,以后你只要及时打开日志内容,并对其中记录进行认真分析,就能查清服务器此时有没有受到攻击了。
篇2:必用利器Windows系统组策略高级技巧服务器教程
系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了,
但是笔者一直认为,只要我们足够细心、用心,就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新“境界”!
巧限程序,谨防“自锁”
Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论你是否在“只允许运行程序列表”中,添加了gpedit.msc命令,只要“只允许运行Windows应用程序”的组策略项目生效,系统的组策略就会自动“自锁”,即使你在超级管理员帐号下使用“gpedit.msc”命令,也不能打开系统的组策略编辑窗口!那么有没有一种办法,既能限制应用程序的运行,又能防止系统组策略出现“自锁”现象呢?答案是肯定的,你可以按照如下步骤来操作:
首先依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目,在对应“系统”项目右边的子窗口中,双击“只运行许可的Windows应用程序”选项,在其后弹出的界面中,将“已启用”选项选中,
随后,你将在对应的窗口中看到“显示”按钮被自动激活,再单击“显示”按钮,然后继续单击其后窗口中的“添加”按钮,再将需要运行的应用程序名称输入在添加设置框中,最后单击“确定”按钮;
责编:豆豆技术应用
篇3:Windows 7系统“组策略”的妙用
注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows系统功能越来越丰富,注册表里的配置项目也越来越多,其实很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置是非常困难和复杂的,而“组策略”则是将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。也就是说,修改“组策略”就是修改注册表中的配置。下面我们就在Windows 7系统下利用“组策略”完成一些看似很难完成的任务。
1.让“运行”在开始菜单中现身
熟悉DOS的朋友们经常会调用黑底白字的命令行窗口进行DOS操作,但Windows 7开始菜单中却不见了“运行”项的踪影,虽然“开始”菜单的“搜索”框可以当作“运行”框来用,或者单击“开始→所有程序→附件→运行”,可以打开“运行”窗口,但即使是初试Windows 7系统的“老鸟”也感到不适。这时我们可以单击“开始”→所有程序→附件→运行,在打开的“运行”对话框中输入gpedit.msc后回车,启动“组策略”对话框。在“组策略”对话框的左侧窗格中单击“用户配置→管理模板→开始菜单和任务栏”,然后到右侧窗格中双击“将运行命令添加到[开始]菜单”项,在打开的“将运行命令添加到[开始]菜单属性”对话框中的“设置”选项卡下选择“已启用”,然后点“确定”退出,这样“运行”就会在“开始”菜单中现身了。
2.关闭“气球”通知
有时当你正在工作时突然冒出一段提示语,逼着你必须去点击一下,让人非常讨厌。其实我们在打开的“组策略”对话框中的左侧窗格中依次单击“用户配置→管理模板→开始菜单和任务栏”,然后到右侧窗格中双击“关闭所有气球通知”项,在打开的“关闭所有气球通知属性”对话框中的“设置”选项卡下选择“已启用”,然后点“确定”退出,就能把让人讨厌的“气球通知”关掉了。
3.记录上次登录Windows 7系统的时间
Windows 7系统能记录下我们的登录信息,这样每次登录系统时就可以将前后两次登录的时间作一对比,如果发现时间不一致,就说明有人曾经试图非法登录过你的账户。其实在打开的“组策略”对话框中的左侧窗格中依次单击“计算机配置→管理模板→Windows组件→登录选项”,然后到右侧窗格中双击“在用户登录期间显示有关以前登录的信息”项,在打开的“在用户登录期间显示有关以前登录的信息属性”对话框中的“设置”选项卡下选择“已启用”,然后点“确定”退出。这样下次启动计算机时,Windows 7系统就会在用户进入系统桌面前提示你上次的登录时间了。
4.给Administrator重命名
大家都知道系统管理员账户Administrator拥有最高权限,也正因如此一些病毒和木马程序总是利用这个大家都知道的账户名Administrator制造事端,其实我们也可以给它改一下名,从而让那些局外人无从下手,
在打开“组策略”对话框的左侧窗格中依次单击“计算机配置→Windows设置→安全设置→本地策略→安全选项”,然后到右侧窗格中双击“账户:重命名系统管理员账户”项,在新打开的“账户:重命名系统管理员账户属性”对话框中就可以给系统管理员账户Administrator改一个名了。
5.限制、隐藏磁盘分区
为了使用方便,我们有时也在多人共用的公用电脑中存放一些属于个人隐私级别的数据资料,为了保证这些数据的安全,可以通过对磁盘分区进行限制或隐藏来实现对数据的保护。
在打开的“组策略”对话框的左侧窗格中依次单击“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”,然后到右边的窗格中双击“防止从‘我的电脑’访问驱动器”项,接着在打开的“防止从‘我的电脑’访问驱动器的属性”设置窗口中选择 “已启用”,选择“已启用”后,在下面会出现选择驱动器的下拉列表,选择我们希望限制的驱动器后点“确定”即可。
如果希望关闭所有的驱动器,包括光驱等,可以选中“限制所有驱动器”。在“Windows资源管理器”下还有“隐藏‘我的电脑’中的这些指定的驱动器”项,通过该策略可以隐藏指定的驱动器,但是这个策略可以通过IE浏览器突破,在地址栏中输入C:回车就可以打开隐藏的C盘分区,为此,相比之下我们还是用“限制”更好一些。
6.给“关闭计算机”再加一把“锁”
在单位中有时需要暂时离开电脑,为防止别人偷窥电脑上的资料,我们可以通过“WIN+L”快捷键来锁定计算机,然而在锁定页面上还能执行“关闭计算机”,虽然他人无法乱动机器了,但是却可以关机,为此有必要再给“关闭计算机”再加一把“锁”。在打开的“组策略”对话框中的左侧窗格中依次单击“计算机配置→Windows设置→安全设置→本地策略→安全选项”,然后到右侧的窗格中找到并双击“关机:允许在未登录前关机”项,在弹出的属性对话框中将其属性设置为“已禁用”后,点击“确定”即可。
7.防止密码被猜中
当我们的Windows 7 用户口令设置比较简易时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,其实我们可以限制“猜”的次数。当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该账户锁定,在账户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。在打开的“组策略”对话框的左侧窗格中依次单击“计算机设置→Windows设置→安全设置→账户策略→账户锁定策略”,然后到右侧窗格中的“账户锁定阈值”项,这里可以设置用户账户被锁定的登录尝试失败的次数,该值在0到999之间,默认为0表示登录次数不受限制,我们可以改为3或10。
8.取消开始菜单中的“注销”
在打开的“组策略”对话框中的左侧窗格中依次单击“用户配置→管理模板→开始菜单和任务栏”,然后到右侧窗格中双击“删除[开始]菜单上的‘注销’”项,在打开的“删除[开始]菜单上的‘注销’属性”对话框中的“设置”选项卡下选择“已启用”,然后点“确定”退出。这样“注销”项就会在开始菜单中消失了。但这样设置仅对“开始”菜单起作用,并不影响“Windows 安全性”对话框(可以按 “Ctrl+Alt+Del”组合键打开)上的“注销”项目。
篇4:Windows XP组策略应用及设置Windows系统
“组策略”程序位于“C:\WINNT\SYSTEM32”文件夹中,名为“gpedit.msc”,启动组策略时,首先单击[开始]按钮,选择“运行”命令,在“运行”文本框中输入“gpedit.msc”命令,随后单击[确定],即可启动 Windows 组策略。 下面来看看Windows XP Professio
“组策略”程序位于“C:\WINNT\SYSTEM32”文件夹中,名为“gpedit.msc”。启动组策略时,首先单击[开始]按钮,选择“运行”命令,在“运行”文本框中输入“gpedit.msc”命令,随后单击[确定],即可启动Windows组策略。
下面来看看Windows XP Professional本地组策略的应用例子:
禁止更改显示属性
在Windows的桌面的空白处单击右键,选择“属性”,进入“显示设置”对话框,可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置,如果你不想让别人随意更改各项设置,就可以通过组策略将其隐藏起来。方法是:在组策略控制台中依次展开[用户配置]→[管理模板]→[控制面板]→[显示]分支,启用隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等各项,还可以对桌面主题、屏保程序等进行个性化设置。
禁止更改开始菜单和任务栏
我们可以通过组策略禁止用户在进入电脑后随意更改开始菜单和任务栏各项设置,设置时依次展开[用户配置]→[管理模板]→[任务栏和开始菜单]分支,在右侧窗格中双击“阻止更改‘任务栏和开始菜单’设置”策略,在弹出的“设置”对话框中点选“已启用”选项框即可。以后我们在右键单击开始菜单或任务栏时,系统会出现一个错误消息提示是某个设置禁止了这个操作,
禁用注册表管理器
为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器禁止访问设置。设置时依次展开[用户设置] →[管理模板] →[系统]分支,然后在右侧窗口中双击“阻止访问注册表编辑工具”策略,随后在弹出的对话框中选择“启用”即可。
限制使用应用程序
如果你的电脑设置了多个用户,想要限制用户可以运行的应用程序,也能在组策略中设置。设置时依次展开[用户配置] →[管理模板] →[系统],然后在右侧窗口中双击“只运行许可的Windows应用程序”策略,随后在弹出的对话框中选择“启用”选项,激活下面的“应用程序列表”(如图),在此单击[显示]按钮,弹出一个“显示内容”对话框,在此单击[添加]按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。
禁用“添加/删除程序”
将计算机中的“添加/删除程序”选项隐藏,防止其他用户随意安装、卸载应用程序。设置时在组策略中依次展开[用户配置] →[管理模板] →[控制面板]→[添加/删除程序],双击右侧的“删除添加/删除程序”策略,在弹出“删除添加/删除程序”对话框中点选“启用”选项,随后单击[确定]。此外,在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏,启动了保护计算机中系统文件及应用程序的作用。
禁止建立新的拨号
如果不想让别人在计算机中拨号上网,组策略也可以做到。屏蔽“建立新连接”时,首先在组策略中依次展开[用户配置]→[管理模板]→[网络]→[网络连接]分支;在右边的窗口中双击“禁止访问新建连接向导”,在弹出一个设置对话框,这时在设置对话框“已启用”单选项,单击[OK]即可。通过此项设置,在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。
怎么样,通过以上的设置其他的用户再也不会我们的电脑轻举妄动了!
原文转自:www.ltesting.net
篇5:Win7系统组策略应用技巧
组策略关闭Win7的自动播放功能
习惯了每次在xp下把U盘的自动播放给关闭,但是在Win7下一直没有找到相关项(主要原因是英文水平次,呵呵),今天认真看了下win7下的组策略,突然发现微软把它加强了许多,这可能会是一个趋势,把设置集中到组策略,减少对的不必要操作。
好了,言归正传。win+R快捷键,键入gpedit.msc打开组策略,右侧依次点开:computer configuration, administrative templates, windows components, autoplay policies, turn off autoplay, 关闭自动播放 选择enable即可,然后点OK。
win+R快捷键输入services.msc 打开服务。然后Shell Hardware Detection这个服务右击,属性,设为手动。
利用Windows 7组策略关闭搜索记录
Windows 7强大的搜索功能相当好用,不过麻烦的是所有的搜索历史记录都会出现在下拉列表框中,如果使用的是公用计算机,安全性就是一个问题了。
其实,我们可以利用组策略解决这一问题,操作如下。
在“开始搜索”框或“运行”框中输入“gpedit.msc”,打开“本地组策略编辑器”窗口,依次打开“用户配置→管理模板→Windows组件 →Windows资源管理器”,在右侧窗格中找到“在Windows资源管理器搜索框中关闭最近搜索条目的显示”项目,双击打开属性窗口,在这里选择“已启用”,确认之后即可生效,以后就再也不会自动保存搜索记录了,
提示:关闭搜索记录后将不会在搜索时显示相应的搜索建议。此外,如果需要删除地址栏中的历史记录,只要用右键单击地址栏,从快捷菜单中选择“删除历史记录”命令即可将其清理干净。
组策略让win7媒体播放更畅快
为了让用户更加充分享受娱乐功能,Windows 7内置的Windows Media Player应用程序已经升级到最新的9.0版本,利用该版本的播放程序我们可以随心播放各种在线流媒体内容。只是在默认状态下,Windows 7系统允许Windows Media Player应用程序在工作的过程中,可以自动启用系统指定的屏幕保护程序;如果我们在欣赏视频信息时,那么自动启用的屏幕保护程序不但会影响我们的正常观看,而且还会拖累媒体播放的速度,最终会造成媒体播放效率大大下降。为了让媒体播放更加顺畅,我们可以按照下面的操作设置Windows 7系统组策略,禁止该系统在Windows Media Player应用程序工作过程中自动运行屏幕保护程序:
首先从Windows 7系统的开始菜单中依次点选“所有程序”/“附件”/“运行”命令,弹出对应系统的运行文本框,在其中执行“gpedit.msc”字符串命令,打开Windows 7系统的组策略控制台窗口;
其次选中该窗口左侧位置处的“用户配置”节点选项,并从该节点下面依次展开“管理模板”、“Windows组件”、“Windows Media Player”、“播放”子项,找到目标子项下面的“允许运行屏幕保护程序”组策略选项,用双击该选项,打开如图1所示的选项设置对话框;
接着检查其中的“已禁用”选项是否处于选中状态,如果该选项没有被选中,那就意味着Windows 7系统允许Windows Media Player应用程序在工作的过程中可以自动启用系统指定的屏幕保护程序,此时我们必须及时将该选项重新选中,最后单击“确定”按钮执行上述设置保存操作,如此一来Windows 7系统日后就能很顺畅地播放各种形式的多媒体内容了。
篇6:Windows 组策略简介
对台式机配置更详尽的控制
组策略是Windows 2000中新增加的我最喜欢的功能,它给了我Windows NT从来没有提供过的功能━━对用户计算机集中而详尽的控制,我们可以把组策略看作是NT 4.0中系统策略的改进,组策略对象(GPO)是基于活动目录(AD)的对象,用户可以通过它集中地对Win2K台式机和服务器系统进行配置,它的功能包括从NT 4.0台式机的锁定到安全性配置和软件安装等。
篇文章主要讲述组策略是如何对系统起作用的、系统内部的工作原理以及在Win2K环境中采用这一技术时应该注意的问题,如果了解NT 4.0中系统策略的原理对我们理解组策略有一定的帮助。
组策略是什么?
GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中,一个单一的系统策略文件(例如ntconfig.pol)包括所有的可以执行的策略功能,但它依赖于用户计算机中的系统注册表的设置。在Win2K中,GPO包括文件和AD对象。通过组策略,可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装,这样在安装软件时就可以对文件夹进行重定向。
微软管理控制台(MMC)中的组策略编辑器(GPE)插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点(例如软件设置、Windows 设置、管理模块等)都是MMC插件扩展,在MMC插件中扩展是可选的管理工具,如果你是应用程序开发者,可以通过定制的扩展拓展GPO的功能,从而针对你的应用程序提供附加的策略控制。
只有运行Win2K的系统可以执行组策略,运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。
组策略和AD
要充分发挥GPO的功能,需要有AD域架构的支持,利用AD可以定义一个集中的策略,所有的Win2K服务器和工作站都可以采用它。然而,每台运行Win2K的计算机都有一个本地GPO(驻留在本地计算机文件系统上的GPO),通过本地GPO,可以为每台工作站指定一个策略,它在AD域中不起作用。例如,出于安全原因,你不会在AD域中配置公用的计算机。利用本地GPO,可以通过修改本地策略来得到安全性和对台式机的限制使用而无需利用基于AD域的GPO。访问本地GPO的方法有2种,第1种方法,在需要修改GPO的计算机的“开始”菜单上选择“运行”,然后键入:
gpedit.msc
这个操作的作用与NT 4.0中的poledit.exe相同,可以打开本地策略文件。第2种方法,可以通过在MMC控制台中选择GPE插件,并选择本地或远程计算机来人工地编辑本地GPO。
本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展,因此,只利用本地GPO你不能完成这些工作,如果想充分发挥GPO的功能,还是需要AD的支持。
GPO的多样性和继承
在AD中,可以在域、组织单位(OU)或地址三个不同的层次上定义GPO。OU是AD中的一个容器,可以指派它对用户、组、计算机等对象进行管理,地址是网络上子网的集合,地址形成了AD的复制分界线。GPO的名字空间被划分为计算机配置和用户配置两个大类,只有用户和计算机可以使用GPO,象打印机对象甚至用户组都不能应用GPO。
在一个域或组织单位(OU)中编辑策略的途径有几种。在活动目录用户或计算机MMC插件中,右击一个域或组织单位(OU),在菜单中选择“属性”,然后选择“组策略”标签。在编辑地址中的策略时,需要右击“活动目录地址和服务”插件,然后右击需要的地址得到其GPO。此外,还可以从“开始”菜单,选择“运行”,然后键入:
mmc.exe
启动MMC,选择“控制台”,“增加/删除”插件,然后选择“组策略”插件、“浏览”,在AD域内的GPO就会显示出来,可以选择一个GPO进行编辑。
根据GPO在AD名字空间中的不同位置,可以有几个GPO对用户对象或计算机对象起作用。只有域中的其他对象是通过继承生成时GPO才是通过继承生成的。Win2K通过下面的方式执行GPO,首先,操作系统执行现有的本地系统上的策略,然后,Win2K执行定义的地址级的GPO、域一级的GPO和基于OU的GPO,微软把这一优先顺序取其首个字母缩写为LSDOU(执行的顺序依次是本地、地址、域、OU层次的GPO),用户可以在这个链上的许多层次上定义GPO。我们以pilot域为例说明如何察看一个系统中的GPO,启动“活动目录用户和计算机MMC”工具,右击pilot域名,从菜单中选择“属性”项,然后选择组策略标签。在这个列表顶端的GPO(例如域范围的安全策略)有最高的优先权,因此,Win2K最后才会执行它。除了本地系统外,可以在每个层次上定义几个GPO,因此如果不能严格地管理GPO,就会出现不必要的问题。
GPO的继承模型与Novell公司的Zenworks策略方式截然不同。在Zenworks中,如果在Novell目录服务(NDS)树上的不同点使用多个策略包,只有距离用户对象最近的策略包才起作用。在Win2K中,如果在AD的不同层次上定义四个GPO,操作系统使用“LSDOU”优先顺序来执行这些策略,对计算机或用户的作用是这四个策略执行的“和”。此外,有时在一个GPO中的设置会被其他GPO中的设置抵销,
通过AD级GPO,用户可以拥有更多的策略控制委托,例如,公司的安全部门负责在域一级上设计用于所有系统设备的安全GPO。通过使用GPO,可以让某个OU的系统管理员拥有在OU上安装软件的权利。在Zenworks模型中,必须在希望使用策略的所有层次上复制这些策略,而且策略对用户或计算机对象的作用并非是所有策略的“和”。
为了进一步地控制GPO,微软提供了三种设置来限制GPO继承的复杂性。在地址、域、OU三个层次上用户都可以通过选择一个检查框阻止从更高一个层次上进行继承,同样,在每一个层次上,用户可以选择缺省的域策略选项,方法是打开“活动目录用户和计算机”插件,右击GPO所在的域或OU,从菜单中选择“属性”,然后选择“组策略”标签。让你希望修改的项目变亮,然后选择“选项”按钮,可供选择的选项有“不覆盖”或“禁止”。如果选择了“不覆盖”选项,即使选择了不能继承的检查框,该GPO还是会起作用。如果想在任何一个地方执行一个GPO时,这一功能就很有用处。如果一个OU的管理员试图阻止对安全策略的继承,包含安全策略的GPO仍然会被系统执行。“禁止”检查框可以完全禁止一个GPO执行,这一功能在你对一个GPO进行编辑而不想让其他的用户执行它时特别有效。
GPO的执行和过滤
只有用户和计算机对象才能执行组策略。在计算机的启动和关闭时,Win2K执行在GPO的计算机配置部分定义的策略,在用户登录和注销时,Win2K执行在GPO中用户配置部分定义的策略。事实上,在用户登录时可以通过手动方式执行一些的策略,例如可以在命令行方式下运行secedit.exe程序执行安全策略应用程序。此外,通过管理员模块策略可以定期地对用户和计算机的GPO设置进行刷新,缺省情况下,这种刷新每90分钟进行一次,这种刷新可以使其他用户不容易修改通过组策略定义的策略。但是,软件安装策略是不会刷新的,因为没有人希望周期性地改变策略引起软件的“载”,尤其是有其他用户在使用时,就更是这样了。计算机、用户对象只有在计算机启动或用户登录时才会软件安装策略。
尽管只有AD中的计算机和用户对象才能执行GPO,但我们可以过滤GPO的效果。使用Win2K中的安全组、应用组策略━━这是Win2K中的一项新的安全特性,可以使特定的用户组不能执行某一个GPO。右击MMC中GPO的名字,选择“属性”,然后再选择“安全”,就可以看到GPO目前的安全设置。认证用户组具有应用组策略权利,从而附属这一GPO的所有用户可以执行它。在Win2K中,安全组可以包括用户和计算机对象。因此,利用安全组可以仔细地调整用户、计算机对象如何执行一个GPO。你还可以对个别的应用程序应用安全组,可以指派一个GPO的软件安装部分。例如,假设你在一个GPO中发布10个应用程序,可以指定只让金融用户用户组访问其中的5个,其他用户登录到这个域时,它们也不会发现这5个应用程序。
GPO的内部构成
一个GPO是由两部分组成的:组策略容器(GPC)和组策略模板(GPT)。GPC是GPO在AD中的一个实例,在一个特殊的被称作系统的容器内有一个128位的全球唯一的ID码(GUID)。在“活动用户目录用户和计算机”插件中选择“浏览”,从MMC菜单中选择“高级属性”,就可以看到“系统”容器。GPT是组策略在Win2K文件系统中的表现,与一个GPO有关的所有文件依赖于GPT。(编程入门网)
GPO带来的难题
虽然GPO的功能很强大,但要掌握它可不容易。最难掌握的是如何判断一条有效的策略如何对域中的计算机或用户起作用,由于GPO可以存在于AD链中不同的层次上,这种判断就特别困难。同时,由于可以指派一个GPO的控制,因此不大容易清楚其他的GPO是否会对你没有控制权的容器中的GPO有影响。因此,计算一个计算机或用户对象接收的“策略的结果集”(RSoP)是相当困难的。尽管微软还没有提供计算RSoP的工具,但已经有第三方厂商提供了相应的计算RSoP的工具。
另一个难题是策略的执行。如果在AD链上的许多层次上都存在有GPO,在用户每次登录或系统启动时都会执行所有的GPO。在Win2K系统中,微软推出了一些新的功能来优化系统的性能。首先,GPO的版本信息依赖于工作站和GPO,如果GPO没有变化,系统就不会执行它。另外,在GPE的属性页上,可以禁止用户或计算机对GPO的执行。如果建立一个GPO用来分发关闭系统或启动系统时的脚本,禁用GPO的用户配置部分,这样会使工作站不能解析GPO并判断它是否已经发生了什么变化。
最后的一个难题起源于GPC和GPT是两个单独的实体。GPC是AD中的一个对象,它与GPT中包含的文件的复制不同步,这意味着创建一个GPO时,在GPT开始向域控制器上的Sysvol复制文件之前GPC可能已经开始进行复制了。
所有问题的起源都是由于AD使用了一种多主体的复制模式。理论上,当另一个系统管理员在一个域控制器上编辑一个GPO时,你也可以在某个域上对它进行编辑。因此,当建立一个GPE时,缺省状态下指的是在“操作主体”中充当PDC的域控制器。(“操作主体”是AD基础结构中的一系列托管功能,用作PDC的服务器可以兼容运行NT和Win9x的工作站。)一般情况下,可以通过只向少数的系统管理员授予编辑GPO的权利来避免这种情况的发生,并保证如果有人在编辑GPO时,让其他的人都知道。此外,需要注意的是,在对一个GPO进行编辑时,要“禁止”它,修改结束后重新使能。
GPO的优缺点
GPO的优点是可以让用户灵活地控制Win2K环境,但伴随着灵活性而来的是复杂性。如果能够正确、灵活地运用GPO,就能使Win2K发挥出更加强大的功能。
篇7:Windows 关机技巧Windows系统
电脑关机是一件简单的事情,是我们学习电脑的最基本的一课,虽说简单,但我们若用好了,那关机就变得更惬意了,特别是现在的Win2000,关机有了更多选择,倘若学会其中技巧,别人会把你看成电脑高手,最起码也能在初学者面前炫耀一番吧。 在Win2000里可以一键
电脑关机是一件简单的事情,是我们学习电脑的最基本的一课,虽说简单,但我们若用好了,那关机就变得更惬意了,特别是现在的Win2000,关机有了更多选择。倘若学会其中技巧,别人会把你看成电脑高手,最起码也能在初学者面前炫耀一番吧。
在Win2000里可以一键关机,可以快速休眠。如果你启动Win2000要用一分多钟,而且总是埋怨启动太慢的话,你可以试试Win2000的休眠功能,它能使你快速进入工作状态。怎么才能做到这些呢?跟着我来吧!
让我们进入“控制面板”/“电源”选项,把“休眠”页的“启用休眠支持”勾上,点击“确定”,现在“开始”/“关机”中多了一项“休眠”,如果选中它,Win2000会花十几秒的时间把内存写入硬盘(前提是硬盘要有和内存一样大的一块空间,哈哈,内存大了也有坏处了)。下次开机的时候,启动过程就是直接将硬盘映像读回内存即可,一切和你上次关机的时候一样,相应的程序仍然在运行。不过为了性能稳定着想,你进入休眠前还是将不用的程序关掉为好。据本人经验,如果用休眠关机,下次开机时,按下电源开关到Win2000进入可操作状态,只要20秒左右。怎么样,比Win95 启动的还快呢!心动了吗?接着来吧。 再次进入“电源选项”,在“高级”页“电源按钮”下 “在按下计算机休眠按钮时”,选“休眠”。确定后,当我们按键盘上的“Sleep”键时就可以快速进入休眠了。这样当我们想以休眠方式关机时,只需按一下“Sleep”键就可以了,方便吧!
同样,我们可以进入“电源选项”,把“高级电源管理” 页的“启用高级电源支持”也勾上,确定,
然后再进入“电源选项”时,在“高级”页“电源按钮”下就多了一项,“在按下计算机电源按钮时”下选“关闭电源”,这样我们可以 按“Power”键快速关机了,电脑显示屏闪几下后,就可正常关机了。当然这样关机速度快,但开机时就慢了(仍是正常开机,不同于非法关机),不过却是全新启动了。 做完这些,我们还要注意一下,你的电脑关机是不是变成重新启动了,如果是这样,进入“电源选项”,把“高级电源管理”页的“启用高级电源支持”勾去,确定。这时不用担心,当用“Power”键时照样可以快速关机。只要你的主板支持(现在甚至两年前的主板大都支持),不管你用的是AT电源或是ATX,上面介绍的都能用,我的电源是AT电源,当按下“Power”键或“Sleep”键后,屏幕上显示 “现在可以安全关机了”时,把电源开关一拔就OK了。咱的老电源也可享受快速关机了,哈哈!
那么什么时候用“Sleep”,什么时候用“Power”呢? Win2000是基于NT内核的,稳定性较Win98有很大的提高。当你在用电脑时感觉系统有问题时,注销当前用户(单机用户当然用Administrator了),重新进入,基本都可解决问题。当你修改了系统或是安装了新软件需要重新启动,或者当你觉得该重新启动一下了,那你可以用“Power”键快速关机,那样下次开机就全新启动一回了。
最后我们把“组策略”请出来做一点变动。在运行框键入“gpedit.msc”,确定后,进入组策略窗口。打开“用户配置”/“管理模块”/“桌面”,选中“退出时不保存设置”,鼠标右键“属性”,将“策略”页“启用”勾上,确定退出。这样正常关机、重新启动及注销时就会快那么一点点时间了。 怎么样?现在你知道了吧,把电脑关机用好了,可以节省我们好多的时间呢。试试看,当你在周围人面前说你的电脑可以在20秒内进入工作状态时,他们是不相信,还是羡慕得不得了呢?
原文转自:www.ltesting.net
★ WIN技巧:痛苦的WINDOWSSERVER03安装经历
★ 的网络管理技巧
【Windows系统组策略高级技巧(共7篇)】相关文章:
如何提高宽带网速技巧2023-11-17
浅谈windows 7基本介绍windows7入门教程2022-11-26
WIN技巧:堵住系统自动运行堵住病毒木马2022-05-07
SecureCRT的几个用法设置2023-08-26
windows xp怎样设置自动播放电脑新手办公/数码2023-01-25
Excel中多条件求和sumifs用法详解excel办公/数码2023-09-18
WIN技巧:如何保证文件传输服务器FTP的安全2022-12-12
FTP常用软件servu的安全权限处理WEB安全2022-12-10
电子数字签名2023-08-19
数字签名2023-10-16