组策略和安全模板
组策略和安全模板装好系统后,大家第一个要干的事情可能就是对系统进行各种优化,所用的软件也五花八门,这些一般都是共享软件,虽然可以使用,不过试用版在时间或者功能上或多或少会有一些限制。你可知道,操作系统自己的组策略就是个很好的优化工具,利用组策略我们可以对很多隐藏设置进行修改,使系统更个性化,也能极大的提高系统安全性。本文将会就组策略的设置以及安全模板的使用进行一些讨论,而所包括的操作系统则限于Windows 2000、Windows XP Professional(下文中出现的Windows XP均不包括Home版),还有Windows Server 2003。
什么是组策略
组策略是从Windows 2000中开始使用的管理技术,管理员可以使用组策略对一台或多台计算机的各种选项进行设置。组策略的使用非常灵活,其中包括了基于注册表的策略设置、安全设置、软件安装、脚本运行、计算机启动和关闭、用户登录和注销等各种方面。
怎样配制组策略
组策略的配制和应用非常灵活,而且在不同的环境有不同的方法。对于单机或工作组环境下,我们可以使用组策略编辑器对组策略进行设置和修改。而在域环境下的功能则更加强大,只要管理员在域控制器上部署了相应的策略,所有登录到这个域控制器上的客户端计算机都将被自动应用这些策略,真正实现了一次设置处处执行。
单机和工作组环境下的组策略设置
在运行中输入gpedit.msc并回车可打开组策略编辑器(图一)。组策略编辑器的窗口主要分了左右两个部分,这个和注册表编辑器的界面类似,左侧用树形图的形式显示了所有可用的策略类别,而右侧面板则详细显示了每种类别中可以配制的策略,只要双击这些策略便可以对其进行配制。为了让你更明白组策略的使用,我们会举几个例子来说明(以下内容主要以Windows XP操作系统为例,不过大部分内容同样适用于Windows 2000和Windows Server 2003,只不过细节方面可能略微不同)。
窍门:暂时隐藏不用的策略。
如果你是初学使用组策略,肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花,由于不熟悉每个策略的具体位置,有时候为了配置一个策略可能要在编辑器里翻找大半天,这时候我们便可以使用组策略编辑器的筛选功能。在左侧的树形图列表中选中一个类别,然后在“查看”菜单下点击“筛选”,以打开筛选对话框,在这里我们能够设置只显示针对特定软件的策略。例如我们可以选择只显示IE6以及更高版本IE才可以使用的策略,或者隐藏所有不能用于Windows 2000的策略。
窍门:禁用“用户配置”或“计算机配置”策略。
到这里你应该对组策略编辑器中显示的策略结构有所了解,主要结构分为两部分:计算机配置以及用户配置。如果你想知道当前系统中这两类策略分别有多少被配置过,或者如果你想隐藏其中一种配置,则可以使用这样的方法:用鼠标右键点击组策略编辑器窗口左侧的树形图列表顶端的“本地计算机策略”字样,然后选择属性,接着会打开一个本地计算机策略属性对话框。其中“创建”一栏显示了该策略生成的时间,一般情况下都是指操作系统的安装时间;而“修改”中显示的是最后一次设置组策略的时间;“修订”一栏则显示了这两个分类中各自有多少策略被配置。如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方钩选相应的复选框。
隐藏回收站图标
为了美观,全新安装的Windows XP桌面上仅有一个回收站图标。你可能不希望自己的漂亮墙纸被图标挡住,那么怎样把仅有的回收站图标也删除?选中后按Delete键自然是不行的,不过有组策略就简单多了。打开组策略编辑器,在左侧的树形图中定位到“用户配制-管理模板-桌面”,然后在右侧面板中找到并双击“从桌面删除回收站”这一策略,你将能看到类似图二的对话框,选中“已启用”,然后点击确定关闭该对话框。注销后重新登录看看,是不是仅有的一个图标也消失了。
保护分页文件中的秘密
对于重要文件,我们都知道通过加密和设置权限以禁止其他无关人员访问,不过你可知道,如果真的有必要,他人完全可以通过其他途径获得你的机密信息,那就是分页文件。我们都知道分页文件作为物理内存的补充,用途是在硬盘和内存之间交换数据,而分页文件本身就是硬盘上的一个文件,它位于系统所在硬盘分区的根目录中,文件名为pagefile.sys。一般情况下,当我们运行程序时,这些程序的一部分内容可能会被临时保存到分页文件上,而如果我们编辑完这个文件后立刻就关闭了系统,那么文件的一些内容仍然有可能被保存在分页文件中。在这种情况下,如果有人得到了这台电脑的硬盘,那么只要把硬盘拆出来,利用特殊的软件,就可以将分页文件中的机密信息读取出来。通过配置组策略,我们可以避免这种潜在的危险。打开组策略编辑器,在“计算机配置-Windows设置-本地策略-安全选项”下启用“关机:清除虚拟内存页面文件”这个策略。启用这个策略后,关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满,这样所有的信息自然也都会消失。不过要注意一点,这样做会减慢系统的关闭速度,因此如果不是非常必要,不建议你启用这个策略。
控制台下的安全保证
系统故障后我们可能需要到故障恢复控制台中进行修复工作。不过如果你只是打算到控制台下把硬盘上的重要文件复制到软盘之后重新安装系统,那么你可能会失望了。因为为了保证文件的安全,默认情况下,在系统故障恢复控制台中,我们仅能有限制地访问几个系统目录,不能完全访问所有硬盘分区。不仅如此,我们还只能把光盘或软盘中的文件复制到硬盘上,但是不能把硬盘中的文件复制到软盘上。如果你并不需要这种安全措施,完全可以通过配置组策略禁用,同样是在“计算机配置-Windows设置-本地策略-安全选项”下,启用“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”这一策略。再次进入控制台后你会发现,以往的限制都没有了。
禁用气球通知
在Windows XP中,如果系统有什么消息,例如网络的联通或断开等信息,将会在系统提示区(就是屏幕右下角那个显示时间和很多软件图标的地方)以气球图标的形式显示出来。虽然初次使用可能感到新鲜,不过时间一长你肯定也会感到厌烦。用组策略可以把这些气球提示永远隐藏。同样是在组策略编辑器中,从左侧的树形图中定位到“用户配制-管理模板-任务栏和开始菜单”,然后在右侧找到并双击打开“删除开始菜单项目上的气球提示”,然后点击“已启用”并确定退出。
自定义IE浏览器
每天用Internet Explorer上网,如果老是面对这一样的IE窗口那肯定会感到厌倦。如果想要美化一下IE窗口,那就可以用组策略。在组策略编辑器左侧的树形图中展开“用户配置-Windows设置-Internet Explorer维护-浏览器用户界面”。在这里,我们可以自定义浏览器的窗口标题栏,右上角的动态徽标,还有工具栏的图标,只要双击每个策略,然后按照弹出窗口中的说明进行操作后就可以生效。
如果我们希望IE在点击“搜索”后使用Google作为默认搜索引擎,那么也可以在这里设置实现。在“Internet Explorer维护”下点击“URL”,然后双击“重要URL”这一策略,在其中选中“自定义搜索栏URL”前的复选框,然后在下面输入http://www.google.com,确定后退出。这样再次启动IE后点击“搜索”就可以用Google作为默认搜索引擎了。
登录注销脚本的应用
利用组策略,我们可以设置让系统在用户登录和注销的时候自动执行脚本文件。而在脚本文件中我们可以做很多事情。例如整理磁盘碎片、清空临时文件夹等。我们这里会以在计算机启动时自动创建一个系统还原点为例说明该策略的用法。
要做到这一点首先需要编写一个创建系统还原点的脚本,然后设置组策略让计算机启动的时候自动执行这个脚本文件。脚本的编写不是很难,因为这不是本文的讨论范围,因此大家请自己查看相关资料(建议你访问这里:http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx )。
打开记事本,输入以下内容:
Set sr = getobject("winmgmts:\\.\root\default:Systemrestore"
msg = "New Restore Point successfully created." & vbCR
msg = msg & "It is listed as: " & vbCR
msg = msg & "Automatic Restore Point " & Date & " " & Time
If (sr.createrestorepoint("Automatic Restore Point", 0, 100)) = 0 Then
MsgBox msg
Else
MsgBox "Restore Point creation Failed!"
End If
Set sr = Nothing
然后保存这个文件为systemrestore.vbs,注意,保存的时候要在“文件类型”下拉菜单中选择“所有文件”,然后在“文件名”中输入包括后缀名在内完整的文件名。接着打开组策略编辑器,定位到“计算机配置-Windows设置-脚本(启动/关机)”,双击其中的“启动”策略打开启动属性对话框。然后点击“添加”按钮,并点击浏览按钮找到systemrestore.vbs文件,接着点击确定退出这个选项卡。设置之后每次系统启动后都会自动创建还原点。
这里还有很多其它策略可以设置,因为每选中一个策略后编辑器中都会显示相关的解释和说明,相信那些可以帮助你理解每条策略的用途以及使用方法,因此这里就不再多说。
窍门:怎样直接编辑其他计算机的组策略。
如果你只是临时因为某些需要而要修改局域网中另一台计算机的组策略设置,那么最佳的做法是什么?在MSN Messenger上指挥对方操作?自己亲自跑到对方电脑前操作?还是直接远程操作吧。在你的电脑中运行“MMC”打开控制台,然后在“文件”菜单下点击“添加/删除管理单元”,接着点击“添加”按钮,在可用的独立管理单元列表中选中“组策略”控制台组件,然后点击“添加”。随后会出现一个对话框,要你选择组策略对象,如果你希望编辑本机的组策略,则直接使用默认设置既可;否则,可以点击“浏览”按钮,并选择“另一台计算机”,然后再次点击“浏览”按钮,从随后出现的选择计算机对话框中选择一台本地局域网上的计算机(注意,需要你在对方计算机上具有管理员权限)。选择好后会打开一个类似一般组策略编辑器的窗口,不过你可以仔细看一下,以往显示的“本地计算机策略”已经显示为“2k3策略”(其中2k3是远程计算机的机器名)。不过这里要注意一下,使用这种方法远程连接其他计算机,需要其他计算机上一些默认的系统服务处于启动状态,如果你为了优化系统而禁用了某些服务,可能会造成连接的失败。
软件限制策略的应用
单位的网络管理员肯定都遇到过这种困扰,老板不希望员工在工作的时间聊QQ或者玩游戏,而总有员工会私下里安装被禁止的软件。怎样避免这种情况?虽然有监控软件可以用,不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况,现在越来越多的病毒通过电子邮件传播,很多人都是无意中运行了电子邮件的附件而中毒的,有没有什么好的手段可以避免员工运行来历不明的文件?现在好了,如果你的客户端是Windows XP Professional,那么就可以使用其中的软件限制策略。
简单来说,软件限制策略是一种技术,通过这种技术,管理员可以决定哪些程序(虽然这里用了“程序”这个字眼,不过不单指exe文件,我们可以通过该技术限制任何类型扩展名的文件被执行)是可信赖的,而哪些是不可信赖的,对于不可信赖的程序,则系统会拒绝执行。通常,管理员可以让系统使用以下几种方式鉴别软件是否可信赖:文件的路径、文件的哈希(Hash)值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件,以及其他强制属性。
限制策略不仅可以在单机的Windows XP操作系统中设置,可以设置仅影响当前用户或用户组,或者影响所有本地登录到这台计算机上的所有用户;也可以通过域对所有加入该域的客户端计算机进行设置,同样可以设置影响某个特定的用户或用户组,或者所有用户。我们这里会以单机的形式进行说明,并设置影响所有用户。单机和工作组环境下的设置和这个是类似的。另一方面,有时我们可能因为错误的设置而导致某些系统组件无法运行(例如禁止运行所有msc后缀的文件而无法打开组策略编辑器),这种情况下我们只要重新启动系统到安全模式,然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。
在本例中,我们假设了这样的应用:员工的计算机仅可运行操作系统自带的所有程序(C盘),以及工作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员工电脑的操作系统为Windows XP Professional。
运行Gpedit.msc打开组策略编辑器,仔细看就可以发现,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目,到底使用哪个?如果你希望这个策略仅对某个特定用户或用户组生效,则使用“用户配置”下的策略;如果你希望对本地登录到计算机的所有用户生效,则使用“计算机配置”下的策略。这里我们需要对所有用户生效,因此选择使用“计算机配置”下的策略。
在开始配置之前我们还需要考虑一个问题,我们所允许的软件都有哪些特征,而禁用的软件又有哪些特征,我们要想出一种最佳的策略,能使所有需要的软件正确运行,而所有不必要的软件一个都无法运行。在本例中,我们允许的大部分程序都位于系统盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序,也可任意通过路径或者文件哈希的方法来决定。
点击打开“计算机配置”下的软件限制策略条目,接着在“操作”菜单下点击“创建新的策略”(目前在安装SP1的XP上,这里默认是没有任何策略的,但是对于安装SP2的系统,这里已经有了建好的默认策略),系统将会创建两个新的条目:“安全级别”和“其它规则”。其中在安全级别条目下有两条规则,“不允许的”和“不受限的”,其中前者的意思是,默认情况下,所有软件都不允许运行,只有特别配置过的少数软件才可以运行;而后者的意思是,默认情况下,所有软件都可以运行,只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了,因此我们需要使用“不允许的”作为默认规则。双击这条规则,然后点击“设为默认”按钮,并在同意警告信息后继续。
接着打开“其他规则”条目,可以看到,默认情况下这里已经有四个规则,都是根据注册表路径设置的,而且默认都设置为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运行将会遇到很大麻烦,因为这四个路径都涉及到了重要系统程序及文件所在的位置。同时,我们前面说过的,位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的,而这四条默认的规则已经包含了这个路径,因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键,选择“新建哈希规则”,然后可以看到下图的界面。在这里点击“浏览”按钮,然后定位所有允许使用的Office程序的可执行文件(还记得分别是什么吗?winword.exe、excel.exe、powerpnt.exe、outlook.exe),并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执行文件都添加进来,并设置为不受限的。
到这里大家可以考虑一个问题,为什么我们选择为每个程序的可执行文件建立哈希规则?统一为Office应用程序建立一个路径规则不是更简单?其实这样才可以避免可执行文件被替换,或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则,那么所有保存在允许目录下的文件都将可以被执行,包括允许程序本身的文件,也包括用户复制进来的任何其他文件。而哈希规则就不同了,一个特定文件的哈希值是固定的,只要文件内容不发生变化,那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题,虽然文件的哈希值可以不变化,但是文件本身可能会需要某些改变。例如你安装了一个Word的补丁程序,那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
除此之外,这里还有几条策略可以被我们利用:强制,可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户;指派的文件类型,用于指定具有哪些扩展名的文件可以被系统认为是可执行文件,我们可以添加或删除某种类型扩展名的文件;收信任的出版商,则可以用来决定哪些用户可以选择收信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实际情况作出选择。
当软件显示策略设置好之后,一旦被限制的用户试图运行被禁止的程序,那么系统将会立刻发出警告并拒绝执行。
域环境下策略的应用
这部分的内容比较复杂,因此我们通过两个简单些的实例来说明,我们要学习怎样通过网络部署软件,以及安全模板的使用。下面的例子中作为域控制器的是Windows Server 2003,而客户端是Windows XP Professional。
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一种分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,而因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力。
什么是域?活动目录是由组织单元、域、域树、森林构成的层次结构。域作为最基本的管理单元,同时也是最基层的容器,它可以对用户、计算机等基本数据进行存储。
域控制器是安装了活动目录的Windows Server计算机。域控制器存储着目录数据,并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索。一个域可有一个或多个域控制器。组织单元也是逻辑单位,同域一样,目的是为了管理的方便。可以包含用户和用户组,以及计算机,不过组织单元仍属于域的一部分。怎样安装域控制器?在已经安装好的Windows 2000 Server和Windows Server 2003计算机上运行dcpromo.exe后会启动活动目录安装向导,按照向导的提示输入相应的信息后就可以将服务器配置为域控制器。客户端怎样加入域?除了Windows XP Home,其余版本的主流Windows操作系统都可以加入域。以Windows XP Professional为例,在系统属性对话框的计算机名选项卡下点击“网络ID”按钮后可以选择加入一个域。对于加入域的计算机,我们既可以使用本机账户登录系统,也可以使用域账户登录系统。使用域账户登录后可以使用域中所有具有权限的资源。
希望可以帮到你了,(谢谢。。。嘻嘻)
组策略和安全模板装好系统后,大家第一个要干的事情可能就是对系统进行各种优化,所用的软件也五花八门,这些一般都是共享软件,虽然可以使用,不过试用版在时间或者功能上或多或少会有一些限制。你可知道,操作系统自己的组策略就是个很好的优化工具,利用组策略我们可以对很多隐藏设置进行修改,使系统更个性化,也能极大的提高系统安全性。本文将会就组策略的设置以及安全模板的使用进行一些讨论,而所包括的操作系统则限于Windows 2000、Windows XP Professional(下文中出现的Windows XP均不包括Home版),还有Windows Server 2003。
什么是组策略
组策略是从Windows 2000中开始使用的管理技术,管理员可以使用组策略对一台或多台计算机的各种选项进行设置。组策略的使用非常灵活,其中包括了基于注册表的策略设置、安全设置、软件安装、脚本运行、计算机启动和关闭、用户登录和注销等各种方面。
怎样配制组策略
组策略的配制和应用非常灵活,而且在不同的环境有不同的方法。对于单机或工作组环境下,我们可以使用组策略编辑器对组策略进行设置和修改。而在域环境下的功能则更加强大,只要管理员在域控制器上部署了相应的策略,所有登录到这个域控制器上的客户端计算机都将被自动应用这些策略,真正实现了一次设置处处执行。
单机和工作组环境下的组策略设置
在运行中输入gpedit.msc并回车可打开组策略编辑器(图一)。组策略编辑器的窗口主要分了左右两个部分,这个和注册表编辑器的界面类似,左侧用树形图的形式显示了所有可用的策略类别,而右侧面板则详细显示了每种类别中可以配制的策略,只要双击这些策略便可以对其进行配制。为了让你更明白组策略的使用,我们会举几个例子来说明(以下内容主要以Windows XP操作系统为例,不过大部分内容同样适用于Windows 2000和Windows Server 2003,只不过细节方面可能略微不同)。
窍门:暂时隐藏不用的策略。
如果你是初学使用组策略,肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花,由于不熟悉每个策略的具体位置,有时候为了配置一个策略可能要在编辑器里翻找大半天,这时候我们便可以使用组策略编辑器的筛选功能。在左侧的树形图列表中选中一个类别,然后在“查看”菜单下点击“筛选”,以打开筛选对话框,在这里我们能够设置只显示针对特定软件的策略。例如我们可以选择只显示IE6以及更高版本IE才可以使用的策略,或者隐藏所有不能用于Windows 2000的策略。
窍门:禁用“用户配置”或“计算机配置”策略。
到这里你应该对组策略编辑器中显示的策略结构有所了解,主要结构分为两部分:计算机配置以及用户配置。如果你想知道当前系统中这两类策略分别有多少被配置过,或者如果你想隐藏其中一种配置,则可以使用这样的方法:用鼠标右键点击组策略编辑器窗口左侧的树形图列表顶端的“本地计算机策略”字样,然后选择属性,接着会打开一个本地计算机策略属性对话框。其中“创建”一栏显示了该策略生成的时间,一般情况下都是指操作系统的安装时间;而“修改”中显示的是最后一次设置组策略的时间;“修订”一栏则显示了这两个分类中各自有多少策略被配置。如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方钩选相应的复选框。
隐藏回收站图标
为了美观,全新安装的Windows XP桌面上仅有一个回收站图标。你可能不希望自己的漂亮墙纸被图标挡住,那么怎样把仅有的回收站图标也删除?选中后按Delete键自然是不行的,不过有组策略就简单多了。打开组策略编辑器,在左侧的树形图中定位到“用户配制-管理模板-桌面”,然后在右侧面板中找到并双击“从桌面删除回收站”这一策略,你将能看到类似图二的对话框,选中“已启用”,然后点击确定关闭该对话框。注销后重新登录看看,是不是仅有的一个图标也消失了。
保护分页文件中的秘密
对于重要文件,我们都知道通过加密和设置权限以禁止其他无关人员访问,不过你可知道,如果真的有必要,他人完全可以通过其他途径获得你的机密信息,那就是分页文件。我们都知道分页文件作为物理内存的补充,用途是在硬盘和内存之间交换数据,而分页文件本身就是硬盘上的一个文件,它位于系统所在硬盘分区的根目录中,文件名为pagefile.sys。一般情况下,当我们运行程序时,这些程序的一部分内容可能会被临时保存到分页文件上,而如果我们编辑完这个文件后立刻就关闭了系统,那么文件的一些内容仍然有可能被保存在分页文件中。在这种情况下,如果有人得到了这台电脑的硬盘,那么只要把硬盘拆出来,利用特殊的软件,就可以将分页文件中的机密信息读取出来。通过配置组策略,我们可以避免这种潜在的危险。打开组策略编辑器,在“计算机配置-Windows设置-本地策略-安全选项”下启用“关机:清除虚拟内存页面文件”这个策略。启用这个策略后,关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满,这样所有的信息自然也都会消失。不过要注意一点,这样做会减慢系统的关闭速度,因此如果不是非常必要,不建议你启用这个策略。
控制台下的安全保证
系统故障后我们可能需要到故障恢复控制台中进行修复工作。不过如果你只是打算到控制台下把硬盘上的重要文件复制到软盘之后重新安装系统,那么你可能会失望了。因为为了保证文件的安全,默认情况下,在系统故障恢复控制台中,我们仅能有限制地访问几个系统目录,不能完全访问所有硬盘分区。不仅如此,我们还只能把光盘或软盘中的文件复制到硬盘上,但是不能把硬盘中的文件复制到软盘上。如果你并不需要这种安全措施,完全可以通过配置组策略禁用,同样是在“计算机配置-Windows设置-本地策略-安全选项”下,启用“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”这一策略。再次进入控制台后你会发现,以往的限制都没有了。
禁用气球通知
在Windows XP中,如果系统有什么消息,例如网络的联通或断开等信息,将会在系统提示区(就是屏幕右下角那个显示时间和很多软件图标的地方)以气球图标的形式显示出来。虽然初次使用可能感到新鲜,不过时间一长你肯定也会感到厌烦。用组策略可以把这些气球提示永远隐藏。同样是在组策略编辑器中,从左侧的树形图中定位到“用户配制-管理模板-任务栏和开始菜单”,然后在右侧找到并双击打开“删除开始菜单项目上的气球提示”,然后点击“已启用”并确定退出。
自定义IE浏览器
每天用Internet Explorer上网,如果老是面对这一样的IE窗口那肯定会感到厌倦。如果想要美化一下IE窗口,那就可以用组策略。在组策略编辑器左侧的树形图中展开“用户配置-Windows设置-Internet Explorer维护-浏览器用户界面”。在这里,我们可以自定义浏览器的窗口标题栏,右上角的动态徽标,还有工具栏的图标,只要双击每个策略,然后按照弹出窗口中的说明进行操作后就可以生效。
如果我们希望IE在点击“搜索”后使用Google作为默认搜索引擎,那么也可以在这里设置实现。在“Internet Explorer维护”下点击“URL”,然后双击“重要URL”这一策略,在其中选中“自定义搜索栏URL”前的复选框,然后在下面输入http://www.google.com,确定后退出。这样再次启动IE后点击“搜索”就可以用Google作为默认搜索引擎了。
登录注销脚本的应用
利用组策略,我们可以设置让系统在用户登录和注销的时候自动执行脚本文件。而在脚本文件中我们可以做很多事情。例如整理磁盘碎片、清空临时文件夹等。我们这里会以在计算机启动时自动创建一个系统还原点为例说明该策略的用法。
要做到这一点首先需要编写一个创建系统还原点的脚本,然后设置组策略让计算机启动的时候自动执行这个脚本文件。脚本的编写不是很难,因为这不是本文的讨论范围,因此大家请自己查看相关资料(建议你访问这里:http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx )。
打开记事本,输入以下内容:
Set sr = getobject("winmgmts:\\.\root\default:Systemrestore"
msg = "New Restore Point successfully created." & vbCR
msg = msg & "It is listed as: " & vbCR
msg = msg & "Automatic Restore Point " & Date & " " & Time
If (sr.createrestorepoint("Automatic Restore Point", 0, 100)) = 0 Then
MsgBox msg
Else
MsgBox "Restore Point creation Failed!"
End If
Set sr = Nothing
然后保存这个文件为systemrestore.vbs,注意,保存的时候要在“文件类型”下拉菜单中选择“所有文件”,然后在“文件名”中输入包括后缀名在内完整的文件名。接着打开组策略编辑器,定位到“计算机配置-Windows设置-脚本(启动/关机)”,双击其中的“启动”策略打开启动属性对话框。然后点击“添加”按钮,并点击浏览按钮找到systemrestore.vbs文件,接着点击确定退出这个选项卡。设置之后每次系统启动后都会自动创建还原点。
这里还有很多其它策略可以设置,因为每选中一个策略后编辑器中都会显示相关的解释和说明,相信那些可以帮助你理解每条策略的用途以及使用方法,因此这里就不再多说。
窍门:怎样直接编辑其他计算机的组策略。
如果你只是临时因为某些需要而要修改局域网中另一台计算机的组策略设置,那么最佳的做法是什么?在MSN Messenger上指挥对方操作?自己亲自跑到对方电脑前操作?还是直接远程操作吧。在你的电脑中运行“MMC”打开控制台,然后在“文件”菜单下点击“添加/删除管理单元”,接着点击“添加”按钮,在可用的独立管理单元列表中选中“组策略”控制台组件,然后点击“添加”。随后会出现一个对话框,要你选择组策略对象,如果你希望编辑本机的组策略,则直接使用默认设置既可;否则,可以点击“浏览”按钮,并选择“另一台计算机”,然后再次点击“浏览”按钮,从随后出现的选择计算机对话框中选择一台本地局域网上的计算机(注意,需要你在对方计算机上具有管理员权限)。选择好后会打开一个类似一般组策略编辑器的窗口,不过你可以仔细看一下,以往显示的“本地计算机策略”已经显示为“2k3策略”(其中2k3是远程计算机的机器名)。不过这里要注意一下,使用这种方法远程连接其他计算机,需要其他计算机上一些默认的系统服务处于启动状态,如果你为了优化系统而禁用了某些服务,可能会造成连接的失败。
软件限制策略的应用
单位的网络管理员肯定都遇到过这种困扰,老板不希望员工在工作的时间聊QQ或者玩游戏,而总有员工会私下里安装被禁止的软件。怎样避免这种情况?虽然有监控软件可以用,不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况,现在越来越多的病毒通过电子邮件传播,很多人都是无意中运行了电子邮件的附件而中毒的,有没有什么好的手段可以避免员工运行来历不明的文件?现在好了,如果你的客户端是Windows XP Professional,那么就可以使用其中的软件限制策略。
简单来说,软件限制策略是一种技术,通过这种技术,管理员可以决定哪些程序(虽然这里用了“程序”这个字眼,不过不单指exe文件,我们可以通过该技术限制任何类型扩展名的文件被执行)是可信赖的,而哪些是不可信赖的,对于不可信赖的程序,则系统会拒绝执行。通常,管理员可以让系统使用以下几种方式鉴别软件是否可信赖:文件的路径、文件的哈希(Hash)值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件,以及其他强制属性。
限制策略不仅可以在单机的Windows XP操作系统中设置,可以设置仅影响当前用户或用户组,或者影响所有本地登录到这台计算机上的所有用户;也可以通过域对所有加入该域的客户端计算机进行设置,同样可以设置影响某个特定的用户或用户组,或者所有用户。我们这里会以单机的形式进行说明,并设置影响所有用户。单机和工作组环境下的设置和这个是类似的。另一方面,有时我们可能因为错误的设置而导致某些系统组件无法运行(例如禁止运行所有msc后缀的文件而无法打开组策略编辑器),这种情况下我们只要重新启动系统到安全模式,然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。
在本例中,我们假设了这样的应用:员工的计算机仅可运行操作系统自带的所有程序(C盘),以及工作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员工电脑的操作系统为Windows XP Professional。
运行Gpedit.msc打开组策略编辑器,仔细看就可以发现,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目,到底使用哪个?如果你希望这个策略仅对某个特定用户或用户组生效,则使用“用户配置”下的策略;如果你希望对本地登录到计算机的所有用户生效,则使用“计算机配置”下的策略。这里我们需要对所有用户生效,因此选择使用“计算机配置”下的策略。
在开始配置之前我们还需要考虑一个问题,我们所允许的软件都有哪些特征,而禁用的软件又有哪些特征,我们要想出一种最佳的策略,能使所有需要的软件正确运行,而所有不必要的软件一个都无法运行。在本例中,我们允许的大部分程序都位于系统盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序,也可任意通过路径或者文件哈希的方法来决定。
点击打开“计算机配置”下的软件限制策略条目,接着在“操作”菜单下点击“创建新的策略”(目前在安装SP1的XP上,这里默认是没有任何策略的,但是对于安装SP2的系统,这里已经有了建好的默认策略),系统将会创建两个新的条目:“安全级别”和“其它规则”。其中在安全级别条目下有两条规则,“不允许的”和“不受限的”,其中前者的意思是,默认情况下,所有软件都不允许运行,只有特别配置过的少数软件才可以运行;而后者的意思是,默认情况下,所有软件都可以运行,只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了,因此我们需要使用“不允许的”作为默认规则。双击这条规则,然后点击“设为默认”按钮,并在同意警告信息后继续。
接着打开“其他规则”条目,可以看到,默认情况下这里已经有四个规则,都是根据注册表路径设置的,而且默认都设置为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运行将会遇到很大麻烦,因为这四个路径都涉及到了重要系统程序及文件所在的位置。同时,我们前面说过的,位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的,而这四条默认的规则已经包含了这个路径,因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键,选择“新建哈希规则”,然后可以看到下图的界面。在这里点击“浏览”按钮,然后定位所有允许使用的Office程序的可执行文件(还记得分别是什么吗?winword.exe、excel.exe、powerpnt.exe、outlook.exe),并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执行文件都添加进来,并设置为不受限的。
到这里大家可以考虑一个问题,为什么我们选择为每个程序的可执行文件建立哈希规则?统一为Office应用程序建立一个路径规则不是更简单?其实这样才可以避免可执行文件被替换,或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则,那么所有保存在允许目录下的文件都将可以被执行,包括允许程序本身的文件,也包括用户复制进来的任何其他文件。而哈希规则就不同了,一个特定文件的哈希值是固定的,只要文件内容不发生变化,那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题,虽然文件的哈希值可以不变化,但是文件本身可能会需要某些改变。例如你安装了一个Word的补丁程序,那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
除此之外,这里还有几条策略可以被我们利用:强制,可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户;指派的文件类型,用于指定具有哪些扩展名的文件可以被系统认为是可执行文件,我们可以添加或删除某种类型扩展名的文件;收信任的出版商,则可以用来决定哪些用户可以选择收信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实际情况作出选择。
当软件显示策略设置好之后,一旦被限制的用户试图运行被禁止的程序,那么系统将会立刻发出警告并拒绝执行。
域环境下策略的应用
这部分的内容比较复杂,因此我们通过两个简单些的实例来说明,我们要学习怎样通过网络部署软件,以及安全模板的使用。下面的例子中作为域控制器的是Windows Server 2003,而客户端是Windows XP Professional。
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一种分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,而因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力。
什么是域?活动目录是由组织单元、域、域树、森林构成的层次结构。域作为最基本的管理单元,同时也是最基层的容器,它可以对用户、计算机等基本数据进行存储。
域控制器是安装了活动目录的Windows Server计算机。域控制器存储着目录数据,并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索。一个域可有一个或多个域控制器。组织单元也是逻辑单位,同域一样,目的是为了管理的方便。可以包含用户和用户组,以及计算机,不过组织单元仍属于域的一部分。怎样安装域控制器?在已经安装好的Windows 2000 Server和Windows Server 2003计算机上运行dcpromo.exe后会启动活动目录安装向导,按照向导的提示输入相应的信息后就可以将服务器配置为域控制器。客户端怎样加入域?除了Windows XP Home,其余版本的主流Windows操作系统都可以加入域。以Windows XP Professional为例,在系统属性对话框的计算机名选项卡下点击“网络ID”按钮后可以选择加入一个域。对于加入域的计算机,我们既可以使用本机账户登录系统,也可以使用域账户登录系统。使用域账户登录后可以使用域中所有具有权限的资源。
希望可以帮到你了,(谢谢。。。嘻嘻)
温馨提示:答案为网友推荐,仅供参考
第1个回答 2011-11-12
开始 运行 输入 gpedit.msc
相似回答