|
作为一个系统管理员常常要为管理系统的事操心要保障系统的安全又要使某些操作更加简便又要在网络(WAN/LAN)中为某些用户分配相应的权利……还常常要与注册表打交道却要提心吊胆生怕出错毁了整个系统毁了自己长期努力的结果那是多么不值的事啊! 组策略是Windows XP Professional版提供的一个不可多得的好工具它涉及的管理范围广可以代替绝大部分的编辑注册表的操作这样一来就省去了在茫茫注册表里翻个不停也不用害怕弄错注册表酿成大错 本文主要对组策略做一个初步的认识和了解要一下子完全掌握它不太现实我也只是懂得一些比较基本的操作也正在不停地摸索和前进我会尽我所能使本文更加完善分类讨论各个方面的设置 由于组策略不是常用程序所以它不会出现在开始菜单或者程序栏里它位于%systemroot%/system/文件夹下全名为gpeditmsc双击其即可运行或者直接运行gpeditmsc也可需要注意的是只有以系统管理员身份的用户登录才有权访问组策略 打开组策略让我们来熟悉一下它的界面如图一 图一组策略基本界面是不是很熟悉?像Windows的资源管理器一样很容易上手吧?左边的控制台树用来定位我们想要查看和修改的类别(就像资源管理器里定位到硬盘分区下的某个文件夹一样)右边的细节窗口显示该类别下的各个策略点击相应的策略即可在中间的描述窗口看到对应策略的描述信息和实现该策略所需要的软硬件要求 现在回到控制台树可以看到整个组策略就分为两大类计算机配置和用户配置计算机配置对应的注册表子树键是HKEY_LOCAL_MACHINE该设置对本地计算机上的所有用户都生效用户配置则对应HKEY_CURRENT_USER子树键设置只对当前用户生效 安全设置请定位到 计算机配置|Windows设置|安全设置如图二 图二安全设置分支(部分)先来看看帐户策略默认情况下Windows XP允许用户在输入错误密码的情况下无限数次地输入密码这样的话如果密码过于简单的话加上有足够的时间很可能就被破解了这样我们必须把密码设得复杂一点那就启用密码策略里的密码必须符合复杂性要求吧(密码复杂性的定义是指密码由混合大小写字母数字及特殊符号组成)另外想想到银行自动取款机取款如果输入三次密码错误的话你的帐户就会被锁定一段时间这样的话你就拿不到钱了同样我们也可以在帐户锁定策略里设置在输入几次无效密码后自动锁定帐户以及锁定时间的长短 接下来定位到本地策略下的用户权利指派我们可以在这里为受限分配特殊的权限也可删除用户某些原有的权限比如关闭计算机(你可以设置只有你管理员才有权关闭计算机)远程关闭计算机(设置允许用户在局域网中别的机器上将本机关闭)更改系统时间等等几十个策略大家慢慢看我喝杯水再继续^_^ 大多数管理员出于安全的原因会对系统的内置帐户Administartor和Guest改名这样别人就很难知道用户名从而无从猜测密码要实现这个设置请点击本地策略下的安全选项分支更改帐户重命名系统管理员帐户/来宾帐户两个策略如果这样设置并且是通过Windows登录框登录系统的话上次登录系统时的用户名就会轻易暴露在登录框上这样也会被别人知道了所以最好同时也启用交互式登录不显示上次的用户名策略 看到交互式登录用户试图登录时消息标题/文字两个策略了吗?这可以在用户登录系统前显示相关的信息想到了什么?恶作剧?——对以前听朋友说看到别人在启动时添加的警告信息就是这个!就是一些人以前常修改的注册表中HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon下的LegalNoticeCaption和LegalNoticeText的键值 再来看看管理模板里的内容如图三 图三管理模板分支(部分)管理模板提供了对Windows组件系统网络及打印机方面的设置写到这里我才发现我只写了这么一点而看到壮观的目录树脚都软了!这个就有待大家慢慢研究吧可以根据自己需求看着描述设置让我也偷偷懒 至此我们的计算机配置部分就告一个段落进入用户配置部分 用户配置总体与计算机配置大同小异我们可以禁用IENetMeeting等组件的一些功能锁定开始菜单桌面控制面板共享文件夹和其它软件的界面以防被更改还可精简开始菜单删除其中的一些按钮以达到屏蔽某些功能的目的具体请定位到用户配置|管理模板进行相关设置 值得一讲的是组策略不仅可以使我们的计算机更加安全更方便管理还可以使IE更加个性化!如图四 图四Internet Explored维护用Internet Explorer维护可定义IE的界面收藏夹和连接设置等定位到浏览器用户界面定义IE的标题栏徽标工具栏如图五 图五定义IE界面设置——定义徽标设置重要URL如IE主页搜索主页帮助与支持页面定位到URL如图六 图六定义URL设置——定义重要URL看过这些内容对于组策略的强大功能是不是已经为之汗颜了?而即将推出的Windows XP Professional SP的组策略还会改进功能将会更强大!不禁感歎学海无涯我们拭目以待吧! 渐渐熟悉后你可能会发现计算机配置|Windows设置|安全设置中的公钥策略和软件限制策略等某些策略是空策略在日后我们可根据实际情况的需要自己尝试添加策略 无奈由于时间水平等众多因素仅介绍了组策略中微不足道的一小部分内容当然根据不同的情况所要求的也会不同菜鸟我不能一一叙述但愿我所写到的能够给大家一丝丝的帮助和启示更多的组策略设置只能靠各位去挖掘去发现也欢迎大家与我共同探讨! |
