馬玉磊

摘 要：隨著人們對(duì)計(jì)算機(jī)數(shù)據(jù)安全訪問(wèn)性要求的提高，越來(lái)越多的計(jì)算機(jī)用戶開(kāi)始關(guān)注一個(gè)名叫組策略的計(jì)算機(jī)專業(yè)術(shù)語(yǔ)。那么到底什么是組策略呢？怎么應(yīng)用呢？今天我們就探討一個(gè)組策略的應(yīng)用技巧。

關(guān)鍵詞：組策略；數(shù)據(jù)安全；編輯器

組策略（Group Policy）是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過(guò)使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。其實(shí)組策略，就是基于組的策略。它以Windows中的一個(gè)MMC管理單元的形式存在，可以幫助系統(tǒng)管理員針對(duì)整個(gè)計(jì)算機(jī)或是特定用戶來(lái)設(shè)置多種配置，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容，以及“開(kāi)始”菜單選項(xiàng)等，也可以在整個(gè)計(jì)算機(jī)范圍內(nèi)創(chuàng)建特殊的桌面配置。簡(jiǎn)而言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。

1 組策略應(yīng)用技巧一：暫時(shí)隱藏不用的策略

如果你是初學(xué)使用組策略，肯定被組策略編輯器里名目繁多的策略弄了個(gè)頭暈眼花，由于不熟悉每個(gè)策略的具體位置，有時(shí)候?yàn)榱伺渲靡粋€(gè)策略您可能要在組策略編輯器里翻找大半天，這時(shí)候我們就可以使用組策略編輯器的“篩選”功能。

在“開(kāi)始”菜單的“運(yùn)行”中輸入“gpedit.msc”打開(kāi)組策略編輯器，在左側(cè)窗格中選擇一個(gè)目錄，單擊右鍵，在彈出的快捷菜單中選擇“查看→篩選”命令打開(kāi)“篩選”對(duì)話框，在該對(duì)話框上，我們可以選擇組策略編輯器只顯示配置了的策略，也可以選擇組策略編輯器只顯示針對(duì)特定軟件的策略，我們可以選擇只顯示W(wǎng)indows XP Professional以上的操作系統(tǒng)才能管理的策略。

2 組策略應(yīng)用技巧二：禁用“用戶配置”或“計(jì)算機(jī)配置”策略

組策略編輯器中的策略分為兩類：計(jì)算機(jī)配置和用戶配置。如果你想知道當(dāng)前系統(tǒng)中這兩類策略分別有多少項(xiàng)被配置過(guò)，或者你想隱藏其中一類配置，則可以使用這樣的方法：

打開(kāi)組策略編輯器，右鍵單擊左窗格目錄樹(shù)的根目錄“本地計(jì)算機(jī)策略”，然后在彈出的快捷菜單上選擇“屬性”打開(kāi)“本地計(jì)算機(jī)策略屬性”對(duì)話框，在該對(duì)話框上“創(chuàng)建”一欄顯示了該組策略管理單元生成的時(shí)間，一般情況下它就是操作系統(tǒng)的安裝時(shí)間；而“修改”中則顯示的是最后一次設(shè)置組策略的時(shí)間；“修訂”一欄顯示了這兩個(gè)分類中各自有多少策略被配置過(guò)；如果你希望在這里隱藏其中的一類策略，則可以在該對(duì)話框下方勾選相應(yīng)的復(fù)選框。

3 組策略應(yīng)用技巧三：編輯遠(yuǎn)程計(jì)算機(jī)的組策略

組策略不僅可以本地編輯，而且還可以遠(yuǎn)程編輯。在“開(kāi)始”菜單上單擊“運(yùn)行”，輸入“mmc”打開(kāi)MMC控制臺(tái)（Microsoft Management Console），在默認(rèn)情況下，MMC控制臺(tái)新建并打開(kāi)了一個(gè)“控制臺(tái)1”的文件，在MMC控制臺(tái)的菜單欄選擇“文件→添加/刪除管理單元”命令，打開(kāi)“添加/刪除管理單元”對(duì)話框，在該對(duì)話框上單擊“添加”，在彈出的獨(dú)立管理單元列表對(duì)話框上選擇“組策略”并單擊“添加”，在接下來(lái)的對(duì)話框上我們就可以選擇是編輯本地計(jì)算機(jī)的組策略，還是編輯遠(yuǎn)程計(jì)算機(jī)的組策略，系統(tǒng)默認(rèn)的選擇是編輯本地計(jì)算機(jī)的組策略，單擊“瀏覽”，在選擇另一臺(tái)計(jì)算機(jī)的對(duì)話框中輸入計(jì)算機(jī)在域中的路徑，或者單擊“高級(jí)”選擇工作組中的另外一臺(tái)計(jì)算機(jī)。

選擇以后單擊“確定”就會(huì)在“控制臺(tái)1”中打開(kāi)該遠(yuǎn)程計(jì)算機(jī)的組策略。現(xiàn)在好了，利用這個(gè)控制臺(tái)文件我們就可以編輯遠(yuǎn)程計(jì)算機(jī)的組策略了，編輯完成后您還可以把“控制臺(tái)1”保存為一個(gè)“？？.msc”的文件，這樣，當(dāng)有需要時(shí)，您還可以雙擊該文件繼續(xù)遠(yuǎn)程編輯該計(jì)算機(jī)的組策略。

4 組策略應(yīng)用技巧四：在組策略編輯器中禁止從“我的電腦”窗口訪問(wèn)驅(qū)動(dòng)器

一般的用戶會(huì)習(xí)慣在“我的電腦”或“Windows資源管理器”窗口中訪問(wèn)磁盤(pán)驅(qū)動(dòng)器，為保證服務(wù)器數(shù)據(jù)安全，可以通過(guò)編輯組策略禁止從以上位置訪問(wèn)驅(qū)動(dòng)器。

在“組策略編輯器”窗口中依次展開(kāi)“用戶配置”→“管理模板”→“Windows組件”目錄，并選中“Windows資源管理器”選項(xiàng)。在右窗格中將“防止從‘我的電腦訪問(wèn)驅(qū)動(dòng)器”策略設(shè)置為“已啟用”狀態(tài)，并在驅(qū)動(dòng)器列表框中選擇一個(gè)或幾個(gè)驅(qū)動(dòng)器。通過(guò)這樣的設(shè)置，不僅可以禁止用戶從“我的電腦”或“資源管理器”窗口中訪問(wèn)驅(qū)動(dòng)器，還可以禁止使用“運(yùn)行”對(duì)話框、鏡像網(wǎng)絡(luò)驅(qū)動(dòng)器對(duì)話框或在“命令提示符”窗中使用Dir命令查看驅(qū)動(dòng)器上的目錄。

5 組策略應(yīng)用技巧五：在組策略編輯器中禁用“注冊(cè)表編輯器”

“注冊(cè)表編輯器”是Windows系統(tǒng)中的敏感部位，為防止非法用戶登錄服務(wù)器后修改注冊(cè)表，可以通過(guò)編輯組策略來(lái)禁止對(duì)注冊(cè)表的訪問(wèn)。

在“組策略編輯器”窗口中依次展開(kāi)“用戶配置”→“管理模板”目錄，并選中“系統(tǒng)”選項(xiàng)。然后在右窗格中將“阻止訪問(wèn)注冊(cè)表編輯工具”策略設(shè)置為“已啟用”狀態(tài)，這樣當(dāng)用戶試圖打開(kāi)“注冊(cè)表編輯器”的時(shí)候，系統(tǒng)會(huì)禁止用戶的操作并彈出提示消息。

6 如何禁止客戶端本地登錄，只能使用域環(huán)境登錄

打開(kāi)GPMC，在所要設(shè)置的GPO中編輯如下：

計(jì)算機(jī)設(shè)置-策略-windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)限分配中，單擊允許本地登錄，

安全選項(xiàng)中，帳戶：管理員帳戶狀態(tài)，禁用，可以實(shí)現(xiàn)只能登陸到域。

7 計(jì)算機(jī)如何知道組策略是否更改過(guò)？如何獲取適合自己的組策略

計(jì)算機(jī)在登錄時(shí)首先查看GPlink（adsiedit.msc中域-屬性-屬性編輯器），查看ID和對(duì)應(yīng)的版本號(hào)是否更改過(guò)，以便登錄的時(shí)候?qū)嵤?duì)應(yīng)的組策略。計(jì)算機(jī)和用戶如果要應(yīng)用組策略對(duì)象的設(shè)定：計(jì)算機(jī)和用戶必須位于GPO有鏈接的SDOU容器內(nèi)。必須對(duì)GPO要有讀取和應(yīng)用組策略的權(quán)限。

8 如何設(shè)置域中GPO的鏈接的權(quán)限？（將設(shè)置的組策略對(duì)象鏈接到相應(yīng)的容器中的權(quán)限）

在AD用戶和計(jì)算機(jī)上單擊域，右擊委派控制-添加，將要添加的用戶添加進(jìn)來(lái)，然后給予相應(yīng)的權(quán)限即可。

參考文獻(xiàn)

[1] 黃鎮(zhèn)建，蔡群英. 基于活動(dòng)目錄和組策略的機(jī)房智能化管理[J]. 實(shí)驗(yàn)科學(xué)與技術(shù). 2010（02）

[2] 張燕. 高校機(jī)房管理與維護(hù)的技術(shù)措施[J]. 東南大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）. 2008（S1）

[3] 葉傳秀. 利用組策略個(gè)性化微機(jī)實(shí)驗(yàn)室的上機(jī)環(huán)境[J]. 高校實(shí)驗(yàn)室工作研究. 2008（02）

[4] 王鋼. 組策略在企業(yè)中的應(yīng)用[J]. 鐵道機(jī)車車輛工人. 2008（03）

[5] 張光建. 利用組策略保護(hù)計(jì)算機(jī)系統(tǒng)安全[J]. 中國(guó)西部科技. 2006（35）

[6] 金勖. 用組策略在機(jī)房中實(shí)現(xiàn)對(duì)軟件的篩選分發(fā)[J]. 南京工程學(xué)院學(xué)報(bào)（自然科學(xué)版）. 2006（03）

[7] 楊上影. Windows 2003活動(dòng)目錄實(shí)現(xiàn)校園網(wǎng)信息化管理[J]. 廣西師范學(xué)院學(xué)報(bào)（自然科學(xué)版）. 2005（01）