windows组策略教学课件

大青旦

技巧

Version2.0LIVES

V20

总目录

*了解组策略

■组策略的基本概念

■组策略应用规则

■组策略的历史

■组策略与注册表的关系

♦:♦组策略应用举例

■WindowsXP组策略

■Windowsserver2003组策略

♦:♦组策略常见问题

Page2/31

V20

组策略是什么

*组策略是管理员为用户和计算机定义并控制程序、

网络资源及操作系统行为的主要工具

♦:♦通过使用组策略可以设置各种软件、计算机和用

户策略

■使用“组策略”从桌面删除图标、自定义“开始”菜

单并简化“控制面板”

■可添加在计算机上（在计算机启动或停止时，以及用

户登录或注销时）运行的脚本

■酉己置InternetExplorer

Page3/31

、^北大青旦聒4

APTWUIvzoI

一访问组策略2・1

♦:♦访问组策略的方法有两种

■第一种方法是命令行方式

■第二种方法是通过在MMC控制台中选择GPE插件来实

现的。

♦：♦组策略编辑器的命令行启动

■选择“开始”一“运行”命令，在“运行”对话框的

“打开”栏中输入“gpedit.msc”,然后单击“确定”

按扭即可启动WindowsXP组策略编辑器。（注：这

个“组策略”程序位于“C:\WINNT\SYSTEM32”中，

文件名为“gpedit.msc"。）

WP

VVL

CTTAXT/^H

Page4/31

旗北大青旦曜总

vzo|

J访问组策略2・2

。将组策略作为独立的MMC管理单元打开若要在MMC控制

台中通过选择GPE插件来打开组策略编辑器，具体方法如

下

■单击选择“开始”一“运行”命令，在弹出的对话框中键入

“mmc”，然后单击“确定”按扭。

■选择“文件”菜单下的“添加/删除管理单元”命令

■在“添加/删除管理单元”窗口的“独立”选项卡中，单击“添加”

按扭。弹出“添加独立管理单元”对话框，并在“可用的独立管

理单元”列表中选择“组策略”选项，单击“添加”按钮。

■由于是将组策略应用到本地计算机中，故在“选择组策略对象”

对话框中，单击“本地计算机”，编辑本地计算机对象，或通过

单击“浏览”按扭查找所需的组策略对象。单击“完成”一“关

闭，，—“确定”按扭，组策略管理单元即可打开要编辑的组策略

Page5/31

演北大青鸟

BENET

it,

vz.(r

石。:jTJEXTT!

组策略生效规则

♦:♦继承和阻止继承

■默认情况下，下层容器继承来自上层容器的GPO

■子容器可以阻止上层容器的组策略

♦累加

■如果容器的多个组策略设置不冲突，最终的有效策略

是所有组策略的总和

♦：♦应用顺序

■LSDOU

-子容器的策略优先生效

Page6/31LIVES

大青鸟

V20

组策略的历史3・1

♦：♦大部分Windows9X/NT用户可能听过“系

统策略”的概念，而我们现在大部分听到

的则是“组策略”这个名字。其实组策略

是系统策略的更高级扩展，它是由

Windows9X/NT的“系统策略”发展而来

的，具有更多的管理模板和更灵活的设置

对象及更多的功能，目前主要应用于

Windows2000/XP/2003系统。

Page7/31

BENET

V2.0”

组策略的历史3・2

。早期系统策略的运行机制是通过策略管理模板，定义特定

的.POL（通常是Config.pol）文件。当用户登录的时候，

它会重写注册表中的设置值。当然，系统策略编辑器也支

持对当前注册表的修改，另外也支持连接网络计算机并对

其注册表进行设置。而组策略及其工具，则是对当前注册

表进行直接修改。显然，Windows2000/XP/2003系统的

网络功能是其最大的特色之处，其网络功能自然是不可少

的，因此组策略工具还可以打开网络上的计算机进行配置,

甚至可以打开某个ActiveDirectory对象（即站点、域或

组织单位）并对它进行设置。这是以前“系统策略编辑器”

工具无法做到的。WTT：

Page8/31

IZJQ

组策略的历史3・3

♦:♦所以，无论是系统策略还是组策略，它们的基本

原理都是修改注册表中相应的配置项目，从而达

到配置计算机的目的，只是它们的一些运行机制

发生了变化和扩展而已。

Page9/31LIVES

V北大青鸟

石。7r

组策略和注册表的关系3」

♦:♦说到组策略，就不得不提注册表。注册表是

Windows系统中保存系统、应用软件配置的数据

库，随着Windows功能的越来越丰富，注册表里

的配置项目也越来越多。很多配置都是可以自定

义设置的，但这些配置发布在注册表的各个角落,

如果是手工配置，可想是多么困难和烦杂。而组

策略则将系统重要的配置功能汇集成各种配置模

块，供管理人员直接使用，从而达到方便管理计

算机的目的。

Page10/31

北大青鸟

VV20

组策略和注册表的关系3・2

♦:♦简单点说，组策略就是修改注册表中的配置。

♦:♦当然，组策略使用自己更完善的管理组织方法，

可以对各种对象中的设置进行管理和配置，远比

手工修改注册表方便、灵活，功能也更加强大

Page11/31

北大青鸟

VV20

组策略和注册表的关系3・3

♦:♦组策略对本地计算机可以进行两个方面的设置：

计算机配置和用户配置。所有策略的设置都I寻保

存到注册表的相关项目中。

对计算机策略的设置保存到注册表的

HKEY_LOCAL_MACHINE的相关项中。

♦:♦对用户的策略设置将保存到

HKEY_CURRENT_USER相关项中。

Page12/31

BENET

V2.(r^

案例

<*[..MACHINE\Software\Microsoft\Windows\Cur

rentVersion\Policies\System]

■值名dontDisplayLastUserName

■含义:登录屏幕上不要显示上次登录的用户名

■类型:REG_DWORD

■数据:0=停用1=启用

Page13/31LIVES

本地组策略的备份

♦:♦注册表还原了，就是组策略还原了。两者其实没

什么区别的。

♦:♦所以备份、还原本地组策略可以间接的通过本地

计算机注册袤的备份和还原来实现。

CHANGE

Page14/31LIVES

北大青鸟

VV20

组策略的应用10・1

♦：♦限制IE浏览器的保存功能(Windows

2000/XP/2003)

。在使用IE浏览网页过程中，当遇到好的图片、文

章等资源时可以使用“另存为”功能臀它保存到

本地硬盘中，当多人共用一台计算机时，为了保

持硬盘的整洁，需要对浏览器的保存功能进行限

制。

■打开“组策略控制台一用户配置一管理模板

一Windows组件一InternetExplorer一浏览器菜单”

CZ-^HTTA\NXTT1雕H

Page15/31

、^北大青旦些总

一组策略的应用10・2

♦:♦利用组策略保护个人文档隐私(Windows

2000/XP/2003)

♦:♦Windows有个高级智能功能，即可以记录你曾经

访问过的文件。虽然这个功能可以方便用户再次

打开该文件，但出于安全和性能的考虑(例如不想

让人知道自己浏览过哪些网页和打开过哪些文件)，

有时需要屏蔽此功能。

■“不要保留最近打开文档的记录”和“退出时清除最

近打开的文档的记录”两个策略启用即可

\\H

TVAVT1/S>T1

H

Page16/31

、^北大青旦些总

一组策略的应用10・3

♦:♦保护好“任务栏”和“开始”菜单(Windows

2000/XP/2003)

♦:♦如果你不想随意让他人更改“任务栏”和“开始”

菜单的设置，你只要将组策略控制台右侧窗格中

的“阻止更改，任务栏和开始菜单，设置”和

“阻止访问任务栏的上下文菜单”两个策略项启

用即可。

Page17/31

、^北大青旦聒4

AP丁EUIV2°\

一组策略的应用10・4

♦:♦屏蔽“清理桌面向导”功能(WindowsXP/2003)

■“清理桌面向导”会每隔60天自动在用户的电脑上运

行，以清除那些用户不经常使用或者从不使用的桌面

图标。如果启用此策略设置，则可以屏蔽“清理桌面

向导”，如果你禁用或不配置此设置，“清理桌面向

导”会按照默认设置每隔60天运行一次。

Page18/31

BENET

V2.0”

组策略的应用10・5

孝禁止WindowsMediaPlayer播放时运行屏保(Windows

2000/XP/2003)

屏幕保护程序可以有效地保护我们的显示器，但是当我们

使用播放器观看精彩影片时，经常会出现屏幕保护程序突

然运行而中断观看的尴尬局面。现在我们可以通过组策略

来解决屏幕保护程序使WindowsMediaPlayer播放中断

的麻烦问题了。打开“组策略控制台一用户配置一管理模

板一Windows组件一WindowsMediaPlayer一播放中的

允许运行屏幕保护程序”并将它设置为“已禁用”状态

Page19/31

演北大青鸟

V20

组策略的应用10・6

♦:♦自定义IE工具栏(Windows2000/XP/2003)IE工

具栏的背景和上面的按钮都是可以自定义的，以

前我们大多使用手动修改注册表的方法，不过并

不直观，现在我们用“组策略”可以更方便地达

到效果，打造属于我们自己的IE

♦“组策略控制台->用户配置—Windows设置

—>lnternetExplorer维护—浏览器用户界面”下

的“浏览器工具栏按钮自定义”

WF

VVL

CTTAXH

Page20/31

演北大青鸟

V20

组策略的应用10・7

♦：♦禁止更改显示属性(Windows2000/XP/2003)

选择“控制面板”中的“显示”或在Windows桌

面的空白处单击右键选择“属性”,可进入“显

示设置”对话框，可以对桌面主题、桌面背景、

屏保程序、显示设置等各项进行设置，如果你不

想让别人随意更改各项设置，可以通过组策略将

它隐藏起来。打开“组策略控制台一用户配置一

管理模板一控制面板一显示”

Page21/31

北大青鸟

VV20

组策略的应用10・8

♦:♦禁用注册表编辑器(Windows2000/XP/2003)

♦:♦为了防止他人进入电脑后对注册表文件进行修改，

可以在组策略中对注册表编辑器做禁止访问设置。

具体操作方法：打开“组策略控制台一用户配置

一管理模版一系统”中的“阻止访问注册表编辑

工具”并启用此策略

Page22/31

、^北大青旦些总

一组策略的应用10・9

♦:♦彻底禁止访问"控制面板”(Windows

2000/XP/2003)如果不希望其他用户访问计算机

的“控制面板”，同样可以使用组策略来实现

♦:♦打开“组策略控制台一用户配置—管理模板一控

制面板”中的“禁止访问控制面板”并启用此策

略。此策略启用后可以防止“控制面板”程序文

件(Control.exe)的启动

Page23/31

演北大青鸟

AP丁EUTV2.0"

组策略的应用10・10

♦:♦禁用“添加/删除程序(Windows2000/XP/2003)

♦：♦“控制面板”中"添加或删除程序”项目允许你

安装、卸载、修复并添加和删除Windows的功能

和组件以及种类很多的Windows程序。如果你想

阻止其他用户安装或卸载程序，可利用组策略来

实现。打开“组策略控制台一用户配置一管理模

板一控制面板一添加一删除程序”中的“删除

，添加/删除程序，程序”并启用此策略，当我们

再打开控制面板”中“添加/删除程序”模块的时

候，会自动弹出警告窗口，而“添加/删除程序

则无法运行"^TTX\I爆I

Page24/31

、^北大青旦些总

AP丁EUIV20I

itwindowsserver2003更安全3・1

♦:♦确定一个缺省的口令策略，使你的机构设置位于

“计算机配置/Windows设置/安全设置/账户策略/

密码策略”之下。

♦:♦为了防止自动口令破解，在“计算机配置

/Windows设置/安全设置/账户策略/账户锁定策略》

中进行如下设置：

■账号关闭持续时间（确定至少5・10分钟）

■账号关闭极限（确定最多允许5至10次非法登录）

■随后重新启动关闭的账号（确定至少10」5分钟以后）

CH>E

Page25/31LIVES

旗北大青旦曜总

vzo|

ikwindowsserver2003更安全3・2

♦：♦在“计算机配置/Windows设置/安全设置/本地策略/检查

策略”中启用如下功能：

■检查账号管理

■检查登录事件

■检查策略改变

■检查权限使用

■检查系统事件

。理想的情况是，你要启用记录成功和失败的登录。但是，

这取决于你要保留什么类型的记录以及你是否能够管理这

些记录。RobertaBragg在这里介绍了一些普通的检查记

录设置。要记住，启用每一种类型的记录都需要你的系统

处理器和硬盘提供更多的资源

TA\T/\

H

Page26/31

旗北大青旦曜总

XKPTECMvzoI

itwindowsserver2003更安全3・3

♦：♦作为增强Windows安全的最佳做法和为攻击者设置更多

黛腐勰舞端勰解滑

?即辇蕃林t管“翱髓聚重慧攫射口均量羡

（漏定一个新名字）T

■嬲爨要曜将牌晒载网管瞠费戾于下一个口令变

■和瞬黯利最要糜置最后晦理尹的名字（设置为启用）

•美瓢鸿雷甲献灌段有神韵筋磬覆痹叫殳置为

■窕晕舔录：为企图登录的用户提供一个消息文本（确定为让用户

瞿糕㈱臂箭）贡馥滑馥整“后力

Page27/31

BENET

V2.0”

组策略排障

♦：♦Windows98访问WindowsXP共享目录被拒绝的问题解

决

■在局域网内，经常可以遇到装有Windows2000的电脑开了共享

目录，而装有Windows98的电脑却无法访问的问题。提示开启

Windows2000的GUEST用户就行了。可是WindowsXP出来以

后，同样的又面临这个问题，结果有些人发现这个方法不灵了，

从网上邻居访问WindowsXP的共享目录不一定能被允许。在开

启了系统Guest用户的情况下，运行组策略编辑器程序，在“本

地计算机策略”—“计算机配置”一"Windows设置”一“安全

设置”一“本地策略”一“用户权利指派”一“拒绝从网络访问

这台计算机”中赫然可以看到有Guest用户！如果在这里删除

Guest用户，那么其他电脑就可以从网上邻居中查看这台电脑的

共享目录了。

Page28/31

演北大青旦一些股

AP丁EUIvzoI

♦:♦即使没有通过WMI过滤器测试，策略还是被应用

至［Windows2000计算机上

■这是一个容易解决的问题。WMI过滤器仅在Windows