组策略应用大全专题先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行组策略。先看看组策略的全貌,如图。安全设置包括:帐户策略,本地策略,公钥策略,软件限制策略,IP安全策略。账户策略:在WindowsServer2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。本地策略:倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢?原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢?其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访问WinXP工作站的共享资源;下面就是让WinXP被随意共享的具体实现步骤:首先在WinXP工作站中,依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令,在弹出的计算机管理界面中,再逐步展开“系统工具”、“本地用户和组”、“用户”分支,在对应“用户”分支的右边子窗口中,再双击“guest”选项,在弹出的帐号属性设置界面中,取消“帐号已停用”选项,再单击“确定”按钮,“guest”帐号就能被重新启用了;接着打开系统的组策略编辑窗口,再用鼠标逐步展开其中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”分支,在弹出的图2界面中,双击右侧子窗口中的“拒绝从网络访问这台计算机”项目,在接着出现的界面中,将guest帐号选中并删除掉,然后再单击一下“确定”按钮,那么WinXP工作站中的共享资源就能被随意访问了。在WindowsXP/2003中实现远程关机(WindowsXP/2003)在WindowsXP/2003中,新增了一条命令行工具“shutdown”,它可以关闭或重新启动本地或远程计算机。利用它,我们不但可以注销用户、关闭或重新启动计算机,还可以实现定时关机、远程关机。该命令的语法格式如下:shutdown[-i|-l|-s|-r|-a][-f][-m[\\ComputerName]][-txx][-c″message″][-d[u][p]:xx:yy]该命令具体的使用参数和技巧请参考Windows的帮助系统,帮助系统里面有全面的资料。我们现在简单地看一下该命令的一些基本用法:1)注销当前用户shutdown-l该命令只能注销本机用户,对远程计算机不适用。2)关闭本地计算机shutdown-s3)重启本地计算机shutdown-r4)定时关机shutdown-s-t30指定在30秒之后自动关闭计算机。5)中止计算机的关闭。有时我们设定了计算机定时关机后,如果出于某种原因又想取消这次关机操作,就可以用shutdown-a来中止。在该命令的格式中,有一个参数[-m[\\ComputerName],用它可以指定将要关闭或重启的计算机名称,若省略的话则默认为对本机操作。你可以用以下命令来试一下:shutdown-s-m\\Anyes-solon-t30在30秒内关闭计算机名为Anyes-solon(Anyes-solon为局域网内一台同样装有WindowsXP/2003)的电脑。该命令执行后,计算机Anyes-solon一点反应都没有,屏幕上却提示“Accessisdenied(拒绝访问)”。出现这种情况是因为WindowsXP默认的安全策略中,只有管理员组的用户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑访问该计算机时,则只有guest用户权限,所以当我们执行上述命令时,便会出现“拒绝访问”的情况。而我们利用组策略即可赋予guest用户远程关机的权限。打开“组策略控制台→计算机配置→Windows设置→安全设置→本地策略→用户权利指派中的从远端系统强制关机”,在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机;单击对话框下方的“添加用户或组”按钮,然后在新弹出的对话框中输入“guest”,再单击“确定”按钮。通过上述操作后,我们便给计算机Anyes-solon的guest用户授予了远程关机的权限。以后,倘若你要远程关闭计算机Anyes-solon,只要在网络中其他装有WindowsXP/2003的计算机中输入以下命令shutdown-s-m\\Anyes-solon-t60即可。这时,在Anyes-solon计算机的屏幕上将显示一个“系统关机”的对话框,在对话框下方还有一个计时器,显示离关机还有多少时间。在等待关机的时间里,用户还可以执行其他的任务,如关闭程序、打开文件等,但无法关闭该对话框,除非你用shutdown-a命令来中止关机任务.公钥策略:加密文件系统(EFS)是Windows2000、WindowsXPProfessional和WindowsServer2003的NTFS文件系统的一个组件。(WindowsXPHome不包含EFS。)EFS采用高级的标准加密算法实现透明的文件加密和解密。任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理拥有驻留加密文件的计算机,加密文件仍然受到保护。甚至是有权访问计算机及其文件系统的用户,也无法读取这些数据。还应该采取其他防御策略,加密这种解决方法不是解决每种威胁的恰当对策,加密只是其他防御策略之外的又一种有力措施。EFS是Windows文件系统的内置文件加密工具。EFS加密文件夹无法打开怎么办Windows系统EFS加密出了问题怎么办?重要文件的铠甲:EFS加密|__软件限制策略:在WindowsXP里的软件限制策略提供了一种透明的方式来隔离和使用不可靠的,有潜在危险的代码,这在某种程度上保护你的计算机免受各种通过电子邮件或网页传播的病毒、木马程序和蠕虫等。这些策略荣允许你选择如何管理你系统里的软件。软件可以被严格管理,你可以决定:如何、什么时间、什么地点执行;或者软件可以被设置为不予管理、禁止指定代码运行等。通过在一个隔离区执行不可靠的代码和脚本,你可以获得那些被证明是良性的不可靠代码和脚本的功能,而那些受感染的代码是不能对你的系统造成任何危害的。例如,不可靠的代码在未被证明是安全代码之前,是被阻止发送电子邮件,访问文件,或是做其它的正常计算功能的。软件限制策略保护你免受感染的电子邮件附件的攻击,包括存储在临时文件夹的文件,对象,和脚本。同时,也可以保护你的系统免受嵌入式不可靠脚本的URL/UNC连接、网上下载的ActiveX的危害。IP安全策略,在本地计算机:IP安全性(InternetProtocolSecurity)是Windows2000/2003中提供的一种安全技术,它是一种基于点到点的安全模型,可以实现更高层次局域网数据的安全性。|__用户配置||__Windows设置自定义IE工具栏(Windows2000/XP/2003)通过组策略我们还可以自定义IE工具栏,打造属于我们自己的IE。方法如下:打开“组策略控制台→用户配置→Windows设置→InternetExplorer维护→浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目,在这里,我们可以自定义浏览器工具栏的背景图片,点击“浏览”选择一个BMP的位图文件即可。另外我们还可以在IE的工具栏上添加自己的快捷方式,比如添加“我的QQ”,在这里也可以很轻松地完成。,打开组策略的“用户配置→Windows设置→InternetExplorer维护→浏览器工具栏自定义”对话框,点击“添加”按钮,弹出“浏览器工具栏按钮信息”对话框,在这里就可对QQ按钮进行详细设置了,输入按钮的标题,找到QQ安装执行程序路径,并将制作好的QQ两个明暗头像,分别输入到颜色图标栏和灰色图标栏中,点击“确定”,再次打开IE后就可以看到修改的效果了。清除上网的痕迹每次冲浪过后,系统都会“自做主张”地记录下上网的痕迹,其他人很容易通过这些痕迹,偷窥到自己的上网隐私。为了避免自己的隐私不被外人非法偷窥到,你或许会在每次冲浪结束后,用手工清除的方法将各种上网痕迹逐一抹除掉,很显然这种方法不但烦琐,而且也不大容易记住。其实,你可以通过下面的方法,让系统在注销的那一刻自动抹除所有的上网痕迹:首先创建一个批处理文件,确保在执行完该文件后,能自动将所有的上网痕迹全部清除掉。在创建这样的批处理文件时,可以先打开记事本之类的文本编辑工具,然后在编辑界面中输入下面的命令代码:@echooffcdc:\windows\localsettings\temporaryinternetfilesc:\windows\command\deltree.\*.*/y之后,依次执行文本编辑界面中的“文件”/“保存”命令,将前面的命令代码保存成扩展名为“bat”的批处理文件,例如这里笔者将它保存为“autodel.bat”文件,当然该文件只对Win98或WinMe系统有效,如果要想自动清除Win2000以上版本系统中的上网痕迹时,就必须在文本编辑界面中输入下面的命令代码:@echooffcdc:\documentsadsettings\administrator\localsettings\temporaryinternetfilesc:\winnt\system32\deltree.\*.*/y而且要想让上面的批处理文件执行成功的话,还需要事先将Win98系统下的“Deltree.exe”命令,直接复制到Win2000以上版本系统的“c:\winnt\system32”目录下;当然如果Windows系统并没有按照默认设置来安装时,还需要将批处理文件中的系统安装路径,设置成实际的安装路径。其次,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“Gpedit.msc”,单击“确定”按钮后,再依次展开组策略编辑窗口中的“用户配置”、“Windows设置”、“脚本(登录/注销)”分支;然后在弹出的图1界面中,双击“注销”选项,在接着打开的注销属性设置窗口中,单击一下“添加”按钮,在弹出的文件选择对话框中导入“autodel.bat”文件,最后单击“确定”按钮,这样的话你以后每次在退出计算机系统时,“autodel.bat”文件就会被自动执行,以便让冲浪痕迹自动抹除。|__管理模板|__任务栏和[开始]菜单1、给“开始”菜单减肥(Windows2000/XP/2003)如果觉得Windows的“开始”菜单项太多,可以通过组策略将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到‘WindowsUpdate’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。2、禁止随意修改任务栏和“开始”菜单(Windows2000/XP/2003)为保护自己好不容易设置好的任务栏和“开始”菜单,你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可