Windows系统篇组策略

1、windows系统篇：windows系统组策略应用最新技巧添加时间：2005-9-6 21:04:28作者：网络收集 阅读次数:456 來系统组策略儿乎是各位网络管理人员管理网络时的必用利器之一，有关该利器的 常规应用技巧，相信许多人都已经耳熟能详了。但是笔者一直认为，只要我们足够细心、用 心，就一定会从系统组策略中不断挖掘出新的应用技巧來。不信的话，就來看看下而的内容 吧，相信它们会帮助大家进入一个新的应用新“境界”！巧限程序，谨防“自锁”windows服务器中有一个名为“只允许运行windows应用程序”的组策略项h, 旦 你将该项目启用，同吋限制好指定的程序可以运行外，那么无论你是否在“

2、只允许运行程序 列表”中，添加了 gpedit.msc命令，只要“只允许运行windows应用程序”的组策略项目 牛效，系统的组策略就会口动“口锁”，即使你在超级管理员帐号下使用“gpedit.msc”命令, 也不能打开系统的组策略编输窗口!那么有没有一种办法，既能限制应川程序的运行，乂能 防止系统组策略出现“自锁”现象呢？答案是肯定的，你可以按照如下步骤来操作：首先依次单击“开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令 “gpedit.msc”，单击“确定”按钮后,打开系统组策略编辑窗口；依次展开该窗口中的“用户配置”/“管理模板”/“系统”项忖，在对应“系统”项忖右边的子 窗

3、口中，双击“只运行许可的windows应用程序”选项，在其后弹出的界面中，将“已启用” 选项选中。随后，你将在对应的窗口中看到“显示”按钮被自动激活，再单击“显示”按钮，然 后继续单击其后窗口中的“添加”按钮，再将需要运行的应用程序名称输入在添加设置框中， 最后单击“确定”按钮；下而，请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框，并在其 小执行“gpedit.msc”命令，此时你将发现系统组策略编辑程序已经无法运行了！不过，幸亏 前而没有将组策略编辑窗口关闭，现在你可以继续在组策略编辑窗口中，双击刚才设置的“只 允许运行windows应川程序”项目，然后在弹出的策略设置窗口屮

4、，选屮“未配置”选项， 最后单击一下“确定”按钮，这样就能实现既可以限制运行应用程序的忖的，又能阻止系统组 策略出现“自锁”现彖。小提示:要是你将指定的应川程序名称添加到“只允许运行windows应川程序”列表中 后，直接把组策略编辑窗口关闭的话，可以通过下血的步骤来进行恢复：重新将服务器系统丿i动一下，在丿i动的过程中不停地按下f8功能键，直到出现系统的 启动菜单，然后执行其中的“带命令行提示的安全模式”命令，将服务器系统切换到命令行捉 示符状态；接下來在命令提示符下直接执行mmc.exe字符串命令，在弹;1|的系统控制台界面中, 单击“文件”菜单项，并从弹出的下拉菜单中单击“添加/删除管理

5、单元”选项，再单击其后窗 口中的“独立”标签，然后在如图1所示的标签页血中，单击“添加”按钮；ee下而，再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮，这样就能成功 添加一个新的组策略控制台；以后，你就能重新打开组策略编辑窗口，然后按照上而的设 置，实现既可以限制运行应用程序的目的，乂能阻止系统组策略出现“向锁”现象。随心所欲，解除“自锁”除了通过限制应用程序运行的策略外，还有许多操作都能使组策略在不经意间就会发 生“自锁”现象。如果是其他因素造成组策略发生沖锁”现象的话，我们该如何轻松解除呢? 其实，所有对组策略的设置，都是基于系统注册表 的，因此对组策略任意分支的设置，

6、都会在注册表的对应分支屮有所体现;为此我们只要从修改注册表出发，就能轻松破解组 策略的“自锁”现象依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令 “regedit”，单击“确定”按钮后，打开系统的注册表编辑窗口；在该窗口中，依次展开注册表分支hkey current usersoftwarepoliciesmicrosoftmmc 8fc0b734-a0e 1d1-a7d3-0000f87571 e3,在随后弹出的如图2所示的窗口右侧区域屮，你将看到 一个 “restrict_run” 键值;川鼠标双击该键值，打开一个数值设置窗口，在其屮输入数字“0”，最后单击“确定

7、” 按钮;此后，当你再次打开系统运彳了对话框，并在其屮执行“gpedit.msc”命令时，你会发 现自锁的组策略编辑窗口，现在可以被轻松打开了。策略更改，即时生效无论是对于windows 2003域还是windows 2000域来说，一旦修改了域的默认 安全策略后，新的安全策略还不能立即生效，一般情况下需要过5到1 5分钟左右的时间, windows系统才会自动更新系统组策略屮的设置。那么有没有办法让修改后的安全策略, 能够对用八或客八机立即生效呢？答案是肯定的，你可以按照下而的步骤來实现：对于windows 2000域来说，如果你想让新修改的计算机策略立即生效的话,可以 依次单击“开始”/“

8、运行”命令，打开系统运行对话框，并在其屮输入字符串命令“cmd”， 单击“确定”按钮后，将windows系统切换到msdos工作模式下；接着在dos命令提示符下，输入字符串命令“secedit /refreshpolicymachine_policy/enforce”，单击回车键后，新修改的安全策略将会立即生效；如果你想让新修改的用户策略立即生效的话，只要在dos命令提示符下，执行字符 串命令“secedit /refreshpolicy user_policy /enforce”就可以了。对于windows 2003域来说，如杲你想让新修改的计算机策略立即生效的话，可以 依次单击“开始”/“

9、运行”命令，打开系统运行对话框，并在其中输入字符串命令“cmd ”， 单击“确定”按钮后，将windows系统切换到msdos工作模式下；接着在dos命令提示符下，输入字符串命令ugpupdate /target:computern,单 击冋车键后，新修改的安全策略将会立即生效；如杲你想让新修改的用户策略立即生效的话，只要在dos命令提示符下，执行字符 串命令"gpupdate/target:user”就可以了。如果你想对计算机策略和用八策略同吋进行 更新的话,那你可以直接执行字符串命令“g pu pd at e”就行了。不同用户，不同权限也许你的服务器中包含有许多用户，但为了保护服

10、务器的安全，你希望这些用户对服 务器的访问控制权限各不相同，以便口后服务器遇到意外时，你能根据权限高低的不同， 就能快速地找到“从中作乱”的川户。要想对不同的川户，分配不同的访问控制权限，只需 要对服务器组策略进行一下设置就可以了，下面就是具体的设置步骤：依次单击“开始”/“运行”命令，在弹岀的系统运行框中，输入字符串命令 “gpedit.msc”，单击“确定”按钮后，打开系统组策略编辑窗口；在该窗口中，依次展开其中的“计算机配置”/“windows设置”/“安全设置”/“本地策 略” / “用户权利指派”项目;在对应“川户权利指派”项口的右侧窗口区域中，你将看到有多种权利可供指派，如图 3所

11、示。例如，要是你只想让aaajij户通过网络连接方式来远程访问服务器中的内容，而 不允许其在木地登录服务器写入内容或执行其中的应川程序时，你可以先双击“拒绝本地 登录”权限；曲组策略-ln|x|操作（m查看（刃u *包厨x农树i扌计負机7策略 十算机配置软件设置windows设置f脚本（启动/关闭）安全设置£0帐户策略 日色本地策略e ij审核策略卫用户权利指派1由总安全选项宙口公钥策略'±囲| ip安全策略 > 在：管鹼板冃户配置软件设置1 winrlnw 褂罟lil 策略f本地设置爾拒绝作为批作业登录蹈内存中锁定页蹈配置单一进程power usersjad

12、mini.蹈配置系统性能administrators鋤取得文件或苴它对象的所有权administrators動身份验证后模拟客户端administrators 丿 5er.闕替换进程级记号屬添加配额administrators囲跳过遍历检查everyoneuserspo.囲同步目录服务数据1陵修改固件环境值administrators囲域中添加工作站動允许计算机和用pp被信任一ho在本地登录接收机'gue丸user.囲増加进度忧先级administrators 11t1“i在其后打开的设置窗口中，单击一下“添加”，然后选中aaa用户所对应的帐号名称， 再单击一下“添加”，这样aaa用户

13、日后就只能通过远程网络來访问服务器中的内容了。同样地你可以将本地登录控制权限分配给bbb用户，将文件或其他对象的所有权分 配给ccc jij户等;一旦为不同用户分配好了不同控制权限厉，你日片就能根据权限级别的 不同，來有针对性地管理和控制用八了。例如，耍是你发现服务器在没有接入到网络的时 间内，有人随意向服务器中上传非法信息而需要追究时，你可以很轻松地将aaa jij户排除 在外，毕竟aaa用户没有这样的“作案能力”。在局域网屮常常会出现工作站ip地址被随意修改，造成ip冲突现象的发生，从而影 响局域网的运行效率。尽管目前有许多方法可以避免ip地址发生冲突，但仔细推敲一下, 你不难发现其屮的一

14、些方法对于一些菜鸟川户来说，操作起来有点难度;其实借助组策略 功能，你可以很轻松地限制局域网工作站的网络配置参数被随意修改，从而有效避免网络 中的ip地址发主冲突：依次单击“开始”/ “运行”命令，在弹出的系统运行框屮，输入字符串命令 “gpedit.msc”，单击“确定”按钮后，打开系统组策略编辑窗口；依次展开该窗口中的“用户配置”/ “管理模板”/“网络”/ “网络和拨号连接”策略项目，在 对应“网络和拨号连接”策略的右侧窗口区域中，双击一下“允许tcp/i p高级设置”项忖;在弹出的如图4所示的设置窗口中，将“禁川”选项选中，并单击一下“确定”按钮，这 样的话，任何一个工作站用户口后打开

15、tcp/ip属性设置窗口时，将会发现无法进入“高 级”设置窗口，来修改工作站的ip地址或其他网络参数，如此一来局域网中的ip地址就 不大容易发生冲突了。强化审核，远离攻击在缺省条件下，windows 2003服务器没有启用任何一种安全审核手段，来保护服务 器的安全，显然这会给服务器带來很大的安全隐患。为了避免服务器遭受攻击，你只要对服 务器中的组策略“动动手脚”，就能启用好安全审核策略，保护好服务器的安全：依次单击“开始” / “运行”命令，在弹出的系统运行框中，输入字符串命令“gpedit.msc”， 单击“确定”按钮后，打开系统组策略编辑窗口；将鼠标定位于其中的“计算机配置”/“windo

16、ws设置” / “安全设置” / “木地策略” / “审核策 略”组策略分支上，在“审核策略”分支下面，你将看到有多种审核事件需要你指定，如图5 所示；蛆策略-|n|x|j操作（&）查看仞厨| x树1策略71本地设置戲專矗在算和策略鉤审核策略更改无审核日國计算机配置冏审核登录爭件无审核田软件设置鋤审核对象访问无审核白0 windows设置闕审核过程追踪无审核討蜀1脚本（启动/关闭）躅审核目录服务访问无审核i曰够安全设置破审核特权使用无审核i国国帐户策略踽审核系统事件无审核曰;卫本地董壁踱审核帐户登录事件无审核目可审核帐:户管程无审核i由©用户权利指派i1矗©安全选项!宙公钥策略由码ip安全策略 > 在本地机b-u管理模板田l-1系统田口网络,zj±l1 ±1"i±1双击其中的“策略更改”项目，在弹出的设置窗口中，如杲选中“成功”选项的话，那么服 务器日后将会对所有事件的成功操作进行审核，要是选中“失败”选项的话，那么服务器id后 将会对所有事件的失败操作进行审核；为了能够及早知道服务器存在的安全隐患，我们通常需要对“系统事件”、“登录事件”、 “帐户登录事件”、“帐户管理事件”的成功操