组策略

　　注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

　　其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

主要版本

　　对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，主要应用于Windows 2000/XP/2003/7/2008操作系统中。

　　早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

　　而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。

　　当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

　　命令位置:C:\WINDOWS\system32 或者C:\WINNT\system32

运行方式

一般运行

　　在Windows 2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，输入“gpedit.msc”并确定，即可运行组策略。

　　使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开：

　　(1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。

　　(2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。

　　(3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。

　　(4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

　　(5)单击“完成”按钮，组策略管理单元即打开要编辑的组策略对象。

　　(6)在左窗格中定位需要更改的选项的位置，在右窗格中右键单击需要更改的具体选项，单击“属性”命令，即可打开其属性对话框，从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。

MMC管理单元

　　若要在MMC控制台中通过选择GPE插件来打开组策略编辑器，具体方法如下：^[2]

　　（1）单击选择“开始”→“运行”命令，在弹出的对话框中键入“mmc”，然后单击“确定”按扭。打开Microsoft管理控制台窗口。

　　（2）选择“文件”菜单下的“添加/删除管理单元”命令。

　　（3）在“添加/删除管理单元”窗口的“独立”选项卡中，单击“添加”按扭。

　　（4）弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”选项，单击“添加”按钮。

　　（5）由于是将组策略应用到本地计算机中，故在“选择组策略对象”对话框中，单击“本地计算机”，编辑本地计算机对象，或通过单击“浏览”按扭查找所需的组策略对象。

　　（6）单击“完成”→“关闭”→“确定”按扭，组策略管理单元即可打开要编辑的组策略对象。

软件限制策略

　　软件限制策略是 Microsoft Windows XP 和 Microsoft Windows Server 2003 中的一项新功能。它们提供了一套策略驱动机制，用于指定允许执行哪些程序以及不允许执行哪些程序。软件限制策略可以帮助组织免遭恶意代码的攻击。也就是说，软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护。

安全使用全攻略

　　组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。考虑到安全方面的原因，Windows 7已经开发了许多新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。这些功能的配置取决于您的具体要求和使用环境，本文将主要介绍Windows 7组策略的安全使用技巧，介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。

一、系统设置安全篇

1. 禁止运行指定程序

　　系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。具体步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在左边的窗格依次单击“用户配置→管理模板→系统”，然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。

　　图1　双击“不要运行指定的Windows应用程序”

　　(3)选中“已启用”，单击“显示”按钮(如图2所示)，添加要阻止的程序如“Wgatray.exe”即可。

　　图2　添加要阻止的程序

　　当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。

　　这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要注意的是，不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。

　　提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序(notepad.exe)添加不运行列表中，通过桌面和菜单运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。

　　如果禁止程序后组策略无法使用可以通过以下方法来恢复设置：重新启动计算机，在启动菜单出现时按F8键，在Windows高级选项菜单中选择“带命令行提示的安全模式”选项，然后在命令提示符下运行mmc.exe。

　　在打开的“控制台”窗口中，依次点击“文件→添加/删除管理单元→添加→组策略→添加→完成→关闭→确定”，添加一个组策略控制台，接下来把原来的设置改回来，然后重新进入Windows即可。

2. 锁定注册表编辑器

　　注册表编辑器是系统设置的重要工具，为了保证系统安全，防止非法用户利用注册表编辑器来篡改系统设置，首先必须将注册表编辑器予以禁用。具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)依次展开“用户配置→管理模板→系统”。

　　(3)在右侧窗格中双击“阻止访问注册表编辑工具”策略(如图3所示)。

　　图3　阻止访问注册表编辑工具

　　(4)在弹出的对话框中，选择“启用”，将“是否禁用无提示regedit?”选择“是”(如图4所示)，按“确定”即可。

　　图4　双击“阻止访问注册表编辑工具”

　　此策略被启用后，用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候，系统会禁止这类操作并弹出警告消息。

　　若要防止用户使用其他管理工具，请使用“只运行指定的 Windows 应用程序”设置。

　　提示：解除注册表锁定与禁用注册表编辑器方法步骤相同，双击右侧窗格中的“阻止访问注册表编辑器”，在弹出的窗口中选择“已禁用”或“未配置”，点击“确定”按钮后退出组策略编辑器，即可为注册表解锁。

　　这项设置是一把双刃剑：如果设为“已禁用”，则有一些正常软件（大部分软件需要与注册表打交道）有可能不能使用，甚至无法安装；如果设置为“已启用”，则在杀毒软件的监护之外，为恶意程序留下隐患。

3. 阻止访问命令提示符

　　命令提示符下有许多危险的操作，要阻止非法用户使用命令提示符窗口(Cmd.exe)，远离各种不可预料的风险，具体步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→系统”，在右侧窗格中双击“阻止访问命令提示符”(如图5所示)，打开目标策略属性设置对话框。

　　图5　双击“阻止访问命令提示符”

　　(3)在“阻止访问命令提示符”属性对话框中勾选已启用(如图6所示)，按“确定”即可。

　　图6　“阻止访问命令提示符”属性对话框

　　如果启用这个设置，用户试图打开命令窗口，系统会显示一个消息，解释设置阻止这种操作。这个设置还决定批处理文件(.cmd和.bat)是否可以在计算机上运行。

　　提示：如果计算机使用登录、注销、启动或关闭批文件脚本，不能防止计算机运行批处理文件；也不能防止使用终端服务的用户运行批处理文件。

4. 禁止修改系统还原

　　“系统还原”是Windows 7的一项很重要的功能，如果您对计算机的安全性要求很高，或是计算机是一台公用的计算机，有很多人会去使用，那么为了保证系统的可操作性，将“系统还原”所占用的磁盘空间设置得大一些很有必要。但是如果这个设置被人更改，就会造成以前创建的还原点中信息的丢失。

　　您可以在“组策略”中禁止对“系统还原”的配置进行修改。具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模板→系统→系统还原”，在右侧窗格中双击“关闭配置”(如图7所示)，打开目标策略属性设置对话框。

　　图7　双击“关闭配置”

　　(3)在“关闭配置”属性对话框中勾选“已启用”，按“确定”。“系统还原”配置界面上配置系统还原的选项就会消失。如果选择“已禁用”(如图8所示)，则仍可看见配置界面，但是，所有系统还原配置默认值都有效。

　　图8　“关闭配置”属性对话框

　　注意：该配置必须重新启动计算机才会生效。

5. 设置虚拟内存页面

　　对于重要文件，您可以通过加密和设置权限以禁止其他无关人员访问，不过您可知道，如果真的有必要，他人完全可以通过其他途径获得您的机密信息，那就是虚拟内存页面文件。虚拟内存页面文件作为物理内存的补充，用途是在硬盘和内存之间交换数据，而虚拟内存页面文件本身就是硬盘上的一个文件，它位于系统所在硬盘分区的根目录中，文件名为pagefile.sys。一般情况下，当您运行程序时，这些程序的一部分内容可能会被临时保存到分页文件上，而如果您编辑完这个文件后立刻就关闭了系统，那么文件的一些内容仍然有可能被保存在虚拟内存页面文件中。在这种情况下，如果有人得到了这台电脑的硬盘，那么只要把硬盘拆出来，利用特殊的软件，就可以将虚拟内存页面文件中的机密信息读取出来。通过配置组策略，您可以避免这种潜在的危险。

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”，在右侧窗格中双击“关机：清除虚拟内存页面文件” (如图9所示)，打开目标策略属性设置对话框。

　　图9　双击“关机：清除虚拟内存页面文件”

　　(3)在“关机：清除虚拟内存页面文件”属性对话框中勾选“已启用”(如图10所示)，按“确定”即可。

　　图10　“关机：清除虚拟内存页面文件”属性对话框

　　启用这个策略后，关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满，这样所有的信息自然也都会消失。

　　提示：这样做会减慢系统的关闭速度，如果不是非常必要，不建议您启用这个策略。

6. 防止菜单泄漏隐私

　　在「开始」菜单中有一个“我最近的文档”菜单项，可以记录您曾经访问过的文件。这个功能可以方便用户再次打开该文件，但别人也可通过此菜单访问您最近打开的文档，为安全起见，可屏蔽此项功能。具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→「开始」菜单和任务栏”，分别在右侧窗格中双击“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”(如图11所示)，打开目标策略属性设置对话框。

　　图11　双击“退出时清除最近打开的文档的历史”

　　(3)分别在“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”属性对话框中勾选“已启用”，按“确定”即可。

　　如果启用“退出时清除最近打开的文档的历史”设置，系统就会在用户注销时删除最近使用的文档文件的快捷方式。因此，用户登录时，「开始」菜单上的“最近的项目”菜单总是空的。如果禁用或不配置此设置，系统就会保留文档快捷方式，这样用户登录时，“最近的项目”菜单中的内容与用户注销时一样。

　　提示：系统在“系统驱动器\Documents and Settings\用户名\我最近的文档”文件夹中的用户配置文件中保存文档快捷方式。

　　当没有选择“从开始菜单删除最近的项目菜单”和“不要保留最近打开的文档的历史”策略任何一个相关设置时，此项设置才能使用。

7. 别让搜索泄露隐私

　　快捷搜索框是Windows 7的一大特色，尤其在执行文件夹搜索时非常方便。不过这一功能有时也特别令人尴尬，那就是会自动保存下所有历史搜索，而且并没有提供清除功能，其中一些隐私内容就会挥之不去。

　　使用组策略随时清空搜索历史是一个很好的补救措施，具体步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右侧窗格中双击“在Windows资源管理器搜索框中关闭最近搜索条目的显示”(如图12所示)，打开目标策略属性设置对话框。

　　图12　双击“在Windows资源管理器搜索框”

　　(3)选择“已启用”(如图13所示)，按“确定”之后搜索历史即被清空，当然以后也就不会自动保存了。

　　图13选择“已启用”

8. 设置桌面小工具

　　现在的病毒和木马真是十分的狡猾，竟然能够利用桌面小工具（Windows Vista中称边栏小工具）入侵系统，虽然系统能够检测到如：“天气与生活”这款小工具没有得到微软认可的有效数字签名，但用户只要单击“安装”按钮，即可顺利完成安装进程。如何防止这些没有签证的桌面小工具给系统可能带来的潜在危险呢？通过组策略可以拒绝使用没有签证的桌面小工具，具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模块→windows组件→桌面小工具”，在右侧窗格中双击“限制未经数字签名的小工具的解包和安装”(如图14所示)，打开目标策略属性设置对话框。

　　图14　双击“限制未经数字签名的小工具的解包和安装”

　　(3)在“限制未经数字签名的小工具的解包和安装”属性对话框中勾选“已启用”(如图15所示)，按“确定”，则 Windows 桌面小工具不会提取未经数字签名的任何小工具。

　　图15　“限制未经数字签名的小工具的解包和安装”

　　提示：默认情况下，Windows 桌面小工具是可以安装未签名的工具软件，但是如果启用上述设置，Windows桌面小工具将不会再允许用户安装未经签名的软件，包括一些压缩文件。这将给用户的系统带来一定的安全保障。

9. 完全禁止使用U盘

　　现在U盘已经相当普及，电脑里面的资料很容易被复制，这对电脑中的资料无疑是一种威胁。如果您的电脑中有一些重要的资料，那就要小心了。难道要把USB端口给拆下来吗？当然不是。其实运用Windows 7系统本身的禁止使用USB设备的功能，就能彻底解决这一问题。具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模板→系统→可移动存储访问”，在右侧窗格中双击“所有可移动存储类：拒绝所有权限”，打开目标策略属性设置对话框（如图16所示）。

　　图16　打开“所有可移动存储类：拒绝所有权限”

　　(3)在“所有可移动存储类：拒绝所有权限”属性对话框中勾选“已启用”(如图17所示)，按“确定”按钮就可以完全禁止USB存储类设备了。

　　图17　“所有可移动存储类：拒绝所有权限”属性框

10. 禁止数据写入U盘

　　如果您不准备完全禁止USB设备，希望能读取U盘的内容，只是禁止数据写入U盘。具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模板→系统→可移动存储访问”，在右侧窗格中双击“可移动磁盘：拒绝写入权限”(如图18所示)，打开目标策略属性设置对话框。

　　图18　双击“可移动磁盘：拒绝写入权限”

　　(3)在“可移动磁盘：拒绝读取权限”属性对话框中勾选“已启用”(如图19所示)，按“确定”按钮即可。

　　图19　“可移动磁盘：拒绝读取权限”属性对话框

　　提示：以上对U盘进行了禁止写入设置。如果要U盘禁止读取，而允许写入数据，那可以启用“可移动磁盘：拒绝读取权限”来实现。

11. 允许识别指定U盘

　　以上“禁止使用U盘”和 “禁止数据写入U盘”两项设置，在保护自己电脑资料的同时也给自己带来了很大的不便，如何让系统只能使用指定的U盘或者移动硬盘呢？通过组策略“允许识别指定U盘”可能解决这一问题。操作步骤如下：

　　(1)把U盘插入到Windows 7系统的USB接口中，让系统可以正常使用U盘，接着进入“控制面板”，双击“硬件和声音”、“设备管理器”(如图20所示)。

　　图20　双击“硬件和声音”、“设备管理器”

　　(2)展开“便携设备”，可以看见里面有您刚刚插入的U盘，在上面点击鼠标右键来选择“属性”(如图21所示)。

　　图21　展开“便携设备”

　　(3)在弹出的“属性”窗口中点击“详细信息”标签，然后在设备“属性”下拉框中选择“硬件 ID”，下面的“值”中会出现字符串，这个就是您的U盘的硬件ID，把它复制出来保存好。

　　(4)复制“通用串行总线控制器”中“USB大容量存储设备”的硬件ID，在“设备管理器”中展开“通用串行总线控制器”列表，找到“USB大容量存储设备”(如图22所示)。

　　图22　找到“USB大容量存储设备”

　　(5)在它的“属性”窗口中点击“详细信息”标签，复制出它的硬件ID(如图23所示)。

　　图23　复制出U盘硬件ID

　　(6)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”(如图24所示)。

　　图24　双击“禁止安装未由其他策略设置描述的设备”

　　(7)双击右侧的“禁止安装未由其他策略设置描述的设备”，在弹出的窗口中选择“已启用”，再点击“确定”按钮，设置它可以来禁止策略没描述的USB设备(如图25所示)。

　　图25　禁止安装未由其他策略设置描述的设备

　　(8)双击右侧的“允许安装与下列设备ID相匹配的设备”(如图26所示)，在弹出的窗口中选择“已启用”，单击“显示”按钮，将允许安装的U盘的硬件ID粘贴到其中，再点击“确定”按钮。

　　图26　允许安装与下列设备ID相匹配的设备

12. 禁止光盘自动播放

　　光盘自动播放虽然能给您带来了许多便利，但有些时候也会带来不少麻烦。默认状态下，当您将光盘插入光驱时，系统就会自动读取光驱，并启动autorun.inf指定的应用程序。这一默认状态对系统来说是极不安全的，说不定自动运行的是一个木马程序。有时插入光盘仅仅是想查看一下光盘中的内容，自动播放功能会使您这一简单想法的实现变得复杂。关闭光盘自动播放实属明智之举。用组策略可以关闭光盘自动播放功能，具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→windows组件→自动播放策略”，在右侧窗格中双击“关闭自动播放”(如图27所示)，打开目标策略属性设置对话框。

　　图27　双击“关闭自动播放”

　　(3)在“关闭自动播放”属性对话框中勾选“已启用”(如图28所示)，在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项按“确定”即可。

　　图28　“关闭自动播放”对话框

　　注意：插入光盘时按住shift键可禁止光盘自动播放。这种方式最好能成为使用陌生光盘时的一种操作习惯。此设置不阻止自动播放音乐CD。

13. 禁止安装移动设备

　　如果不希望其他人在您的电脑上随便使用移动设备，则可以通过组策略禁止安装可移动设备。具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“计算机配置→管理模块→系统→设备安装→设备安装限制”，在右侧窗格中双击“禁止安装可移动设备”(如图29所示)，打开目标策略属性设置对话框。

　　图29　双击“禁止安装可移动设备”

　　(3)在属性对话框中勾选“已启用”并按“确定”。如果启用了此设置，则不会安装可移动设备，而且无法更新现有可移动设备的驱动程序。

　　如果未配置或禁用了此设置，那么，只要其他策略设置允许安装设备，就可以安装可移动设备和更新现有的可移动设备。

　　提示：此策略设置比允许安装设备的任何其他策略设置的优先级都高。如果此策略设置禁止安装某个设备，那么，即使该设备与允许安装它的其他策略设置相匹配，也将无法安装或更新该设备。

　　对于此策略，当设备所连接到的设备驱动程序该设备可移动时，设备被认为是可移动设备。例如，设备连接到的 USB 集线器的驱动程序报告某个通用串行总线(USB)设备是可移动设备。

　　如果此计算机是一台终端服务器，则启用此策略还会影响指定的设备从终端服务客户端重定向到此计算机。

　　注意：禁止安装可移动设备对提高系统安装性能非常有效，使用此设置可防止可移动设备如U盘的使用。

14. 限制使用驱动器

　　若要防止用户使用“我的电脑”访问所选驱动器的内容，可按以下步骤操作：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右侧窗格中双击“防止用户使用‘我的电脑’访问所选驱动器的内容”，打开目标策略属性设置对话框。

　　(3)在“防止用户使用‘我的电脑’访问所选驱动器的内容”属性对话框中勾选“已启用”，并在下面列表框中选择一个驱动器或几个驱动器，按“确定”即可。

　　如果启用此设置，则用户可以浏览“我的电脑”或 Windows 资源管理器中所选驱动器的目录结构，但是无法打开文件夹或访问其中的内容。此外，他们也无法使用“运行”对话框或“映射网络驱动器”对话框来查看这些驱动器上的目录。

　　若要使用此设置，请从下拉列表中选择一个驱动器或多个驱动器的组合。若要允许访问所有驱动器目录，请禁用此设置或从下拉列表中选择“不限制驱动器”选项。

　　注意: 代表指定驱动器的图标仍会出现在“我的电脑”中，但是如果用户双击这些图标，则会出现一条消息来解释设置防止这一操作。

　　右侧窗格中“隐藏‘我的电脑’中的这些指定的驱动器”可配合使用，此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。

15. 我的桌面你别改

　　若要禁止别人改动桌面某些设置，防止用户保存对桌面进行的某些更改。具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)依次展开“用户配置→管理模板→桌面”，然后在右侧对话框中选中并双击“退出时不保存设置”。

　　(3)在弹出的对话框中点选“已启用”,按确定，用户将不能保存对桌面的更改。

　　如果启用了此设置，那么，用户可以更改桌面，但是某些更改(如已打开窗口的位置、任务栏的大小及位置)在用户注销后不会保存。但是，桌面上的快捷方式始终得以保存。

　　时，许多黄色或是暴力的内容会进入我们的视野，虽然有第三方软件和利用分级审查功能可以阻止这些内容，但只要拥有管理员权限，分级审查是可以更改的。利用组策略，可以禁止更改分级审查。具体操作步骤如下：

　　(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

　　(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→Windows组件→Internet Explorer”，在右侧窗格中双击“禁用更改分级设置”，打开目标策略属性设置对话框。

　　(3)在“禁用更改分级设置”属性对话框中勾选“已启用”，按“确定”即可禁止更改分级审查。

　　提示：禁用更改分级审查的前提是分级审查的设置已经完成。“禁用分级页”策略(位于“\用户配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板”中)可以在“控制面板”中，将“分级”选项卡从“Internet Explorer”删除，它优先于此策略。如果已启用，则会忽略此策略。

管理模板

　　在Windows 2000/XP/2003中包含几个ADM文件。这些文件是文本文件，被称为“管理模板”，它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。

　　在Windows 2000/XP/2003中，默认的Admin.adm管理模板位于系统文件夹的INF文件夹中，包含了默认安装下的4个模板文件，分别为：

　　(1)System.adm：默认安装在“组策略”中，用于系统设置。

　　(2)Inetres.adm：默认安装在“组策略”中，用于Internet

　　Explorer(IE)策略设置。

　　(3)Wmplayer.adm：用于Windows Media

　　Player设置。

　　(4)Conf.adm：用于NetMeeting设置。

　　在策略管理控制台中，可以多次添加“策略模板”，下面让我们来看看具体操作：

　　首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，单击鼠标右键，选择“添加/删除模板”命令，然后在打开的对话框中单击“添加”按钮，在打开的对话框中选择相应的ADM文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

　　GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中，一个单一的系统策略文件（例如ntconfig.pol）包括所有的可以执行的策略功能，但它依赖于用户计算机中的系统注册表的设置。在Win2K中，GPO包括文件和AD对象。通过组策略，可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装，这样在安装软件时就可以对文件夹进行重定向。微软管理控制台（MMC）中的组策略编辑器（GPE）插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点（例如软件设置、Windows 设置、管理模块等）都是MMC插件扩展，在MMC插件中扩展是可选的管理工具，如果你是应用程序开发者，可以通过定制的扩展拓展GPO的功能，从而针对你的应用程序提供附加的策略控制。只有运行Win2K的系统可以执行组策略，运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。^[3]

其他相关

　　操作系统限制　组策略仅用于NT核心的系统。不支持Windows XP Home Edition、Starter Edition及Windows Vista Home Basic Edition、Starter Edition。

　　在Windows Vista中，组策略文件的扩展名改为admx。继续使用adm文件会引起一些奇怪的故障。这里的x应该指extension（扩展），像aspx及那些Office 2007文件一样。

操作相关技巧一

　　暂时隐藏不用的策略

　　如果你是初学使用组策略，肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花，由于不熟悉每个策略的具体位置，有时候为了配置一个策略您可能要在组策略编辑器里翻找大半天，这时候我们就可以使用组策略编辑器的“筛选”功能。

　　在“开始”菜单的“运行”中输入“gpedit.msc”打开组策略编辑器，在左侧窗格中选择一个目录，单击右键，在弹出的快捷菜单中选择“查看→筛选”命令打开“筛选”对话框，在该对话框上，我们可以选择组策略编辑器只显示配置了的策略，也可以选择组策略编辑器只显示针对特定软件的策略，我们可以选择只显示Windows XP Professional以上的操作系统才能管理的策略。

操作相关技巧二

　　禁用“用户配置”或“计算机配置”策略

　　组策略编辑器中的策略分为两类：计算机配置和用户配置。如果你想知道当前系统中这两类策略分别有多少项被配置过，或者你想隐藏其中一类配置，则可以使用这样的方法：

　　打开组策略编辑器，右键单击左窗格目录树的根目录“本地计算机策略”，然后在弹出的快捷菜单上选择“属性”打开“本地计算机策略属性”对话框，在该对话框上“创建”一栏显示了该组策略管理单元生成的时间，一般情况下它就是操作系统的安装时间；而“修改”中则显示的是最后一次设置组策略的时间；“修订”一栏显示了这两个分类中各自有多少策略被配置过；如果你希望在这里隐藏其中的一类策略，则可以在该对话框下方勾选相应的复选框。

操作相关技巧三

　　编辑远程计算机的组策略

　　组策略不仅可以本地编辑，而且还可以远程编辑。在“开始”菜单上单击“运行”，输入“mmc”打开MMC控制台（Microsoft Management Console），在默认情况下，MMC控制台新建并打开了一个“控制台1”的文件，在MMC控制台的菜单栏选择“文件→添加/删除管理单元”命令，打开“添加/删除管理单元”对话框，在该对话框上单击“添加”，在弹出的独立管理单元列表对话框上选择“组策略”并单击“添加”，在接下来的对话框上我们就可以选择是编辑本地计算机的组策略，还是编辑远程计算机的组策略，系统默认的选择是编辑本地计算机的组策略，单击“浏览”，在选择另一台计算机的对话框中输入计算机在域中的路径，或者单击“高级”选择工作组中的另外一台计算机。

　　选择以后单击“确定”就会在“控制台1”中打开该远程计算机的组策略。现在好了，利用这个控制台文件我们就可以编辑远程计算机的组策略了，编辑完成后您还可以把“控制台1”保存为一个“??.msc”的文件，这样，当有需要时，您还可以双击该文件继续远程编辑该计算机的组策略。^[4]

操作相关技巧四

　　在组策略编辑器中禁止从“我的电脑”窗口访问驱动器

　　一般的用户会习惯在“我的电脑”或“Windows 资源管理器”窗口中访问磁盘驱动器，为保证服务器数据安全，可以通过编辑组策略禁止从以上位置访问驱动器。

　　在“组策略编辑器”窗口中依次展开“用户配置”→“管理模板”→“Windows组件”目录，并选中“Windows资源管理器”选项。在右窗格中将“防止从‘我的电脑’访问驱动器”策略设置为“已启用”状态，并在驱动器列表框中选择一个或几个驱动器。通过这样的设置，不仅可以禁止用户从“我的电脑”或“资源管理器”窗口中访问驱动器，还可以禁止使用“运行”对话框、镜像网络驱动器对话框或在“命令提示符”窗中使用Dir命令查看驱动器上的目录。

操作相关技巧五

　　在组策略编辑器中禁用“注册表编辑器”

　　“注册表编辑器”是Windows系统中的敏感部位，为防止非法用户登录服务器后修改注册表，可以通过编辑组策略来禁止对注册表的访问。

　　在“组策略编辑器”窗口中依次展开“用户配置”→“管理模板”目录，并选中“系统”选项。然后在右窗格中将“阻止访问注册表编辑工具”策略设置为“已启用”状态，这样当用户试图打开“注册表编辑器”的时候，系统会禁止用户的操作并弹出提示消息。^[5]

组策略错误解决方法

方法1

　　将Framedyn.dll文件从windowssystem32wbem目录下拷贝到windowssystem32目录下，再重新注册一下gpedit.dll。方法是点击开始找到运行然后输入regsvr32空格gpedit.dll后回车看看提示是否注册成功。

方法2

　　1、在“开始--运行”中依次运行以下命令：“regsvr32 fde.dll”、“regsvr32 gpedit.dll”、“regsvr32 gptext.dll”、 “regsvr32 wsecedit.dll”分别注册这4个动态数据库。

　　2、最后单击“开始--运行”，输入“gpedit.msc”便可以启动组策略了。^[6]

常用命令

　　Get-GPO

　　Get-GPO命令可以检索到每一个组策略对象（GPO）的所有信息。而且可以根据GPO的名称，GPO的GUID来检索组策略信息，也可以使用-all选项来检索域中的所有组策略。虽然通过GPMC也能获取这些信息，但是命令的输出还能列出一些通常会错过的信息，如GPO的所有者，创建时间，最后的修改时间以及启用还是禁用的信息。在网络中对于组策略问题进行排错时，这些信息将至关重要。

　　Backup/Restore-GPO

　　虽然可以通过系统状态的备份来对GPO进行备份，但是通过一个专门的任务对组策略进行单独备份也是一个不错的主意，毕竟这会让GPO的恢复变得更加容易。幸运的是，使用PowerShell命令backup-GPO就可以做到。与Get-GPO协作，可以根据GPO的名称，GUID或者使用-all选项来指定备份的GPO。这个命令最有用的部分是可以使用PowerShell脚本来定时进行备份：

　　Backup-Gpo -Name CompanyGPO -Path C:\GPO-Backup -Comment "Monthly Backup"

　　Restore-GPO命令可以将GPO还原到指定的域。然而，如果使用backup-GPO和restore-GPO命令来迁移组策略对象，需要保证Windows Server2008操作系统版本的一致性。也就是说，Windows Server 2008 R2的GPO将只能由Windows Server 2008 R2进行恢复。

　　Get-ResultantSetOfPolicy

　　很久以前，GPMC就都可以提供组策略的结果报告，这对于组策略的规划和记录来说都是一个非常有用的工具。如果你使用PowerShell命令get-ResultantSetOfPolicy，也可以迅速得到组策略的结果，而且报告可以是HTML的格式。例如，如果你想检查一个特定的用户在特定的计算机上组策略设置的结果，可以运行以下的命令，命令的结果会产生一个所有信息的HTML文档：

　　Get-GPResultantSetofPolicy -user domain\domain.user -reporttype html -path c:\GPO-Reports\UserGPOReport.html

　　使用所有提到的cmdlet，PowerShell还能够提供一种额外的管理能力，那就是将这些命令脚本化，并按照计划执行，这样就可以更有效的监控组策略基础架构的运行状况。

　　Set/Remove – GPLink

　　GPLink的cmdlet可以创建和删除GPO与OU之间的关联关系。虽然在GPMC中执行这项任务也非常容易，但是cmdlet还可以提供另一个方便的管理工具。假如需要一个GPO只是在每个月的某一天运行，其它时间禁止运行。可以在这一天计划运行GP link命令将GPO和需要的OU关联起来，并在这一天结束前将GPO的关联删除，整个过程系统自动处理，无需手工运行。还可以使用其它GPO命令与GPLink的cmdlet进行组合，通过使用管道命令执行remote-GPLink，以下示例就是如何指定一条组策略或继承组策略，然后删除其链接：

　　(Get-GPInheritance -Target "ou=CompanyOU,dc=domain,dc=com").GpoLinks | Remove-GPLink

　　Get-GPPermissions

　　组策略有时会应用失败的原因之一是因为在GPO上不正确的权限设置。Get-GPPermissions cmdlet会生成详细的报告，报告中会显示GPO的访问控制列表（ACL）以及应用的权限。所以，如果想准确的了解谁对某个GPO有权限，可以使用下列命令：

　　Get-GPPermissions -Name CompanyGPO -TargetName "Company" - TargetType Group

　　命令会给出以下的输出：

　　Trustee: Domain Users

　　TrusteeType: Group

　　PermissionLevel: GpoRead

　　Inherited: False　^[7]

参考资料

1．组策略命令大全．
2．将组策略作为独立的MMC管理单元打开．
3．组策略使用完整篇．
4．Windows组策略高级应用三技巧．
5．在组策略编辑器中禁用“注册表编辑器” ．
6．组策略无法使用的解决方法．
7．组策略命令指南．TT服务器．2012-6-29 [引用日期2012-09-13] ．

扩展阅读：

1
官方主页（微软视频教材）：http://www.microsoft.com/china/technet/webcasts/class/security_2008.mspx

分享到：

组策略命令大全 | Digital Roots(c递归求解)

2012-12-08 10:17
浏览 842
评论(0)
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

组策略

启动方式

基本概况

主要版本

运行方式

一般运行

MMC管理单元

软件限制策略

安全使用全攻略

一、 系统设置安全篇

1. 禁止运行指定程序

2. 锁定注册表编辑器

3. 阻止访问命令提示符

4. 禁止修改系统还原

5. 设置虚拟内存页面

6. 防止菜单泄漏隐私

7. 别让搜索泄露隐私

8. 设置桌面小工具

9. 完全禁止使用U盘

10. 禁止数据写入U盘

11. 允许识别指定U盘

12. 禁止光盘自动播放

13. 禁止安装移动设备

14. 限制使用驱动器

15. 我的桌面你别改

管理模板

其他相关

操作相关技巧一

操作相关技巧二

操作相关技巧三

操作相关技巧四

操作相关技巧五

组策略错误解决方法

方法1

方法2

常用命令

评论

发表评论

相关推荐

最近访客更多访客>>

一、系统设置安全篇