Windows系統(tǒng)組策略應(yīng)用最新技巧

Windows系統(tǒng)組策略應(yīng)用最新技巧系統(tǒng)組策略幾乎是各位網(wǎng)絡(luò)管理人員管理網(wǎng)絡(luò)時(shí)的必用利器之一，有關(guān)該利器的常規(guī)應(yīng)用技巧，相信許多人都已經(jīng)耳熟能詳了。但是筆者一直認(rèn)為，只要我們足夠細(xì)心、用心，就一定會(huì)從系統(tǒng)組策略中不斷挖掘出新的應(yīng)用技巧來(lái)。不信的話，就來(lái)看看下面的內(nèi)容吧，相信它們會(huì)幫助大家進(jìn)入一個(gè)新的應(yīng)用新“境界”!

巧限程序，謹(jǐn)防“自鎖”

Windows服務(wù)器中有一個(gè)名為“只允許運(yùn)行Windows應(yīng)用程序”的組策略項(xiàng)目，一旦你將該項(xiàng)目啟用，同時(shí)限制好指定的程序可以運(yùn)行外，那么無(wú)論你是否在“只允許運(yùn)行程序列表”中，添加了gpedit.msc命令，只要“只允許運(yùn)行Windows應(yīng)用程序”的組策略項(xiàng)目生效，系統(tǒng)的組策略就會(huì)自動(dòng)“自鎖”，即使你在超級(jí)管理員帳號(hào)下使用“gpedit.msc”命令，也不能打開(kāi)系統(tǒng)的組策略編輯窗口!那么有沒(méi)有一種辦法，既能限制應(yīng)用程序的運(yùn)行，又能防止系統(tǒng)組策略出現(xiàn)“自鎖”現(xiàn)象呢?答案是肯定的，你可以按照如下步驟來(lái)操作:

首先依次單擊“開(kāi)始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開(kāi)系統(tǒng)組策略編輯窗口;

依次展開(kāi)該窗口中的“用戶配置”/“管理模板”/“系統(tǒng)”項(xiàng)目，在對(duì)應(yīng)“系統(tǒng)”項(xiàng)目右邊的子窗口中，雙擊“只運(yùn)行許可的Windows應(yīng)用程序”選項(xiàng)，在其后彈出的界面中，將“已啟用”選項(xiàng)選中。隨后，你將在對(duì)應(yīng)的窗口中看到“顯示”按鈕被自動(dòng)激活，再單擊“顯示”按鈕，然后繼續(xù)單擊其后窗口中的“添加”按鈕，再將需要運(yùn)行的應(yīng)用程序名稱輸入在添加設(shè)置框中，最后單擊“確定”按鈕;

下面，請(qǐng)大家千萬(wàn)不要將組策略編輯窗口立即關(guān)閉;然后打開(kāi)系統(tǒng)運(yùn)行對(duì)話框，并在其中執(zhí)行“gpedit.msc”命令，此時(shí)你將發(fā)現(xiàn)系統(tǒng)組策略編輯程序已經(jīng)無(wú)法運(yùn)行了!不過(guò)，幸虧前面沒(méi)有將組策略編輯窗口關(guān)閉，現(xiàn)在你可以繼續(xù)在組策略編輯窗口中，雙擊剛才設(shè)置的“只允許運(yùn)行Windows應(yīng)用程序”項(xiàng)目，然后在彈出的策略設(shè)置窗口中，選中“未配置”選項(xiàng)，最后單擊一下“確定”按鈕，這樣就能實(shí)現(xiàn)既可以限制運(yùn)行應(yīng)用程序的目的，又能阻止系統(tǒng)組策略出現(xiàn)“自鎖”現(xiàn)象。

小提示:要是你將指定的應(yīng)用程序名稱添加到“只允許運(yùn)行Windows應(yīng)用程序”列表中后，直接把組策略編輯窗口關(guān)閉的話，可以通過(guò)下面的步驟來(lái)進(jìn)行恢復(fù):

重新將服務(wù)器系統(tǒng)啟動(dòng)一下，在啟動(dòng)的過(guò)程中不停地按下F8功能鍵，直到出現(xiàn)系統(tǒng)的啟動(dòng)菜單，然后執(zhí)行其中的“帶命令行提示的安全模式”命令，將服務(wù)器系統(tǒng)切換到命令行提示符狀態(tài);

接下來(lái)在命令提示符下直接執(zhí)行mmc.exe字符串命令，在彈出的系統(tǒng)控制臺(tái)界面中，單擊“文件”菜單項(xiàng)，并從彈出的下拉菜單中單擊“添加/刪除管理單元”選項(xiàng)，再單擊其后窗口中的“獨(dú)立”標(biāo)簽，然后在如圖1所示的標(biāo)簽頁(yè)面中，單擊“添加”按鈕;

下面，再再依次單單擊“組組策略”、“添添加”、“完完成”、“關(guān)關(guān)閉”、“確確定”按按鈕，這這樣就能能成功添添加一個(gè)個(gè)新的組組策略控控制臺(tái);;以后，你你就能重重新打開(kāi)開(kāi)組策略略編輯窗窗口，然然后按照照上面的的設(shè)置，實(shí)實(shí)現(xiàn)既可可以限制制運(yùn)行應(yīng)應(yīng)用程序序的目的的，又能能阻止系系統(tǒng)組策策略出現(xiàn)現(xiàn)“自鎖鎖”現(xiàn)象象。

隨隨心所欲欲，解除除“自鎖鎖”

除除了通過(guò)過(guò)限制應(yīng)應(yīng)用程序序運(yùn)行的的策略外外，還有有許多操操作都能能使組策策略在不不經(jīng)意間間就會(huì)發(fā)發(fā)生“自自鎖”現(xiàn)現(xiàn)象。如如果是其其他因素素造成組組策略發(fā)發(fā)生“自自鎖”現(xiàn)現(xiàn)象的話話，我們們?cè)撊绾魏屋p松解解除呢??其實(shí)，所所有對(duì)組組策略的的設(shè)置，都都是基于于系統(tǒng)注注冊(cè)表>>的，因因此對(duì)組組策略任任意分支支的設(shè)置置，都會(huì)會(huì)在注冊(cè)冊(cè)表的對(duì)對(duì)應(yīng)分支支中有所所體現(xiàn);;為此我我們只要要從修改改注冊(cè)表表出發(fā)，就就能輕松松破解組組策略的的“自鎖鎖”現(xiàn)象象:

依次次單擊“開(kāi)開(kāi)始”//“運(yùn)行行”命令令，在彈彈出的系系統(tǒng)運(yùn)行行對(duì)話框框中，輸輸入字符符串命令令“reegeddit”，單單擊“確確定”按按鈕后，打打開(kāi)系統(tǒng)統(tǒng)的注冊(cè)冊(cè)表編輯輯窗口;;

在該窗窗口中，依依次展開(kāi)開(kāi)注冊(cè)表表分支HHKEYY_CUURREENT__USEER\SSofttwarre\PPoliiciees\MMicrrosooft\\MMCC\{88FC00B7334-AA0E11-111D1--A7DD3-000000F8775711E3}}，在隨隨后彈出出的如圖圖2所示示的窗口口右側(cè)區(qū)區(qū)域中，你你將看到到一個(gè)“RResttricct_RRun”鍵鍵值;

用鼠標(biāo)標(biāo)雙擊該該鍵值，打打開(kāi)一個(gè)個(gè)數(shù)值設(shè)設(shè)置窗口口，在其其中輸入入數(shù)字“0”，最后單擊“確定”按鈕;此后，當(dāng)你再次打開(kāi)系統(tǒng)運(yùn)行對(duì)話框，并在其中執(zhí)行“gpedit.msc”命令時(shí)，你會(huì)發(fā)現(xiàn)自鎖的組策略編輯窗口，現(xiàn)在可以被輕松打開(kāi)了。

策略更改，即時(shí)生效

無(wú)論是對(duì)于Windows2003域還是Windows2000域來(lái)說(shuō)，一旦修改了域的默認(rèn)安全策略后，新的安全策略還不能立即生效，一般情況下需要過(guò)5到15分鐘左右的時(shí)間，Windows系統(tǒng)才會(huì)自動(dòng)更新系統(tǒng)組策略中的設(shè)置。那么有沒(méi)有辦法讓修改后的安全策略，能夠?qū)τ脩艋蚩蛻魴C(jī)立即生效呢?答案是肯定的，你可以按照下面的步驟來(lái)實(shí)現(xiàn):

對(duì)于Windows2000域來(lái)說(shuō)，如果你想讓新修改的計(jì)算機(jī)策略立即生效的話，可以依次單擊“開(kāi)始”/“運(yùn)行”命令，打開(kāi)系統(tǒng)運(yùn)行對(duì)話框，并在其中輸入字符串命令“cmd”，單擊“確定”按鈕后，將Windows系統(tǒng)切換到Ms-DOS工作模式下;

接著在DOS命令提示符下，輸入字符串命令“secedit/refreshpolicymachine_policy/enforce”，單擊回車鍵后，新修改的安全策略將會(huì)立即生效;

如果你想讓新修改的用戶策略立即生效的話，只要在DOS命令提示符下，執(zhí)行字符串命令“secedit/refreshpolicyuser_policy/enforce”就可以了。

對(duì)于Windows2003域來(lái)說(shuō)，如果你想讓新修改的計(jì)算機(jī)策略立即生效的話，可以依次單擊“開(kāi)始”/“運(yùn)行”命令，打開(kāi)系統(tǒng)運(yùn)行對(duì)話框，并在其中輸入字符串命令“cmd”，單擊“確定”按鈕后，將Windows系統(tǒng)切換到Ms-DOS工作模式下;

接著在DOS命令提示符下，輸入字符串命令“gpupdate/target:computer”，單擊回車鍵后，新修改的安全策略將會(huì)立即生效;

如果你想讓新修改的用戶策略立即生效的話，只要在DOS命令提示符下，執(zhí)行字符串命令“gpupdate/target:user”就可以了。如果你想對(duì)計(jì)算機(jī)策略和用戶策略同時(shí)進(jìn)行更新的話，那你可以直接執(zhí)行字符串命令“gpupdate”就行了。

不同用戶，不不同權(quán)限限

也也許你的的服務(wù)器器中包含含有許多多用戶，但但為了保保護(hù)服務(wù)務(wù)器的安安全，你你希望這這些用戶戶對(duì)服務(wù)務(wù)器的訪訪問(wèn)控制制權(quán)限各各不相同同，以便便日后服服務(wù)器遇遇到意外外時(shí)，你你能根據(jù)據(jù)權(quán)限高高低的不不同，就就能快速速地找到到“從中中作亂”的的用戶。要要想對(duì)不不同的用用戶，分分配不同同的訪問(wèn)問(wèn)控制權(quán)權(quán)限，只只需要對(duì)對(duì)服務(wù)器器組策略略進(jìn)行一一下設(shè)置置就可以以了，下下面就是是具體的的設(shè)置步步驟:

依依次單擊擊“開(kāi)始始”/“運(yùn)運(yùn)行”命命令，在在彈出的的系統(tǒng)運(yùn)運(yùn)行框中中，輸入入字符串串命令“ggpeddit..mscc”，單單擊“確確定”按按鈕后，打打開(kāi)系統(tǒng)統(tǒng)組策略略編輯窗窗口;

在在該窗口口中，依依次展開(kāi)開(kāi)其中的的“計(jì)算算機(jī)配置置”/“WWinddowss設(shè)置”//“安全全設(shè)置”//“本地地策略”//“用戶戶權(quán)利指指派”項(xiàng)項(xiàng)目;

在在對(duì)應(yīng)“用用戶權(quán)利利指派”項(xiàng)項(xiàng)目的右右側(cè)窗口口區(qū)域中中，你將將看到有有多種權(quán)權(quán)利可供供指派，如如圖3所所示。例例如，要要是你只只想讓aaaa用用戶通過(guò)過(guò)網(wǎng)絡(luò)連連接方式式來(lái)遠(yuǎn)程程訪問(wèn)服服務(wù)器中中的內(nèi)容容，而不不允許其其在本地地登錄服服務(wù)器寫(xiě)寫(xiě)入內(nèi)容容或執(zhí)行行其中的的應(yīng)用程程序時(shí)，你你可以先先雙擊“拒拒絕本地地登錄”權(quán)權(quán)限;

在其后后打開(kāi)的的設(shè)置窗窗口中，單單擊一下下“添加加”，然然后選中中aaaa用戶所所對(duì)應(yīng)的的帳號(hào)名名稱，再再單擊一一下“添添加”，這這樣aaaa用戶戶日后就就只能通通過(guò)遠(yuǎn)程程網(wǎng)絡(luò)來(lái)來(lái)訪問(wèn)服服務(wù)器中中的內(nèi)容容了。

同同樣地你你可以將將本地登登錄控制制權(quán)限分分配給bbbb用用戶，將將文件或或其他對(duì)對(duì)象的所所有權(quán)分分配給cccc用用戶等;;一旦為為不同用用戶分配配好了不不同控制制權(quán)限后后，你日日后就能能根據(jù)權(quán)權(quán)限級(jí)別別的不同同，來(lái)有有針對(duì)性性地管理理和控制制用戶了了。例如如，要是是你發(fā)現(xiàn)現(xiàn)服務(wù)器器在沒(méi)有有接入到到網(wǎng)絡(luò)的的時(shí)間內(nèi)內(nèi)，有人人隨意向向服務(wù)器器中上傳傳非法信信息而需需要追究究時(shí)，你你可以很很輕松地地將aaaa用戶戶排除在在外，畢畢竟aaaa用戶戶沒(méi)有這這樣的“作作案能力力”!

保護(hù)設(shè)設(shè)置，避避免沖突突

在在局域網(wǎng)網(wǎng)中常常常會(huì)出現(xiàn)現(xiàn)工作站站IP地地址被隨隨意修改改，造成成IP沖沖突現(xiàn)象象的發(fā)生生，從而而影響局局域網(wǎng)的的運(yùn)行效效率。盡盡管目前前有許多多方法可可以避免免IP地地址發(fā)生生沖突，但但仔細(xì)推推敲一下下，你不不難發(fā)現(xiàn)現(xiàn)其中的的一些方方法對(duì)于于一些菜菜鳥(niǎo)用戶戶來(lái)說(shuō)，操操作起來(lái)來(lái)有點(diǎn)難難度;其其實(shí)借助助組策略略功能，你你可以很很輕松地地限制局局域網(wǎng)工工作站的的網(wǎng)絡(luò)配配置參數(shù)數(shù)被隨意意修改，從從而有效效避免網(wǎng)網(wǎng)絡(luò)中的的IP地地址發(fā)生生沖突::

依次單單擊“開(kāi)開(kāi)始”//“運(yùn)行行”命令令，在彈彈出的系系統(tǒng)運(yùn)行行框中，輸輸入字符符串命令令“gppediit.mmsc”，單單擊“確確定”按按鈕后，打打開(kāi)系統(tǒng)統(tǒng)組策略略編輯窗窗口;

依依次展開(kāi)開(kāi)該窗口口中的“用用戶配置置”/“管管理模板板”/“網(wǎng)網(wǎng)絡(luò)”//“網(wǎng)絡(luò)絡(luò)和撥號(hào)號(hào)連接”策策略項(xiàng)目目，在對(duì)對(duì)應(yīng)“網(wǎng)網(wǎng)絡(luò)和撥撥號(hào)連接接”策略略的右側(cè)側(cè)窗口區(qū)區(qū)域中，雙雙擊一下下“允許許TCPP/IPP高級(jí)設(shè)設(shè)置”項(xiàng)項(xiàng)目;

在在彈出的的如圖44所示的的設(shè)置窗窗口中，將將“禁用用”選項(xiàng)項(xiàng)選中，并并單擊一一下“確確定”按按鈕，這這樣的話話，任何何一個(gè)工工作站用用戶日后后打開(kāi)TTCP//IP屬屬性設(shè)置置窗口時(shí)時(shí)，將會(huì)會(huì)發(fā)現(xiàn)無(wú)無(wú)法進(jìn)入入“高級(jí)級(jí)”設(shè)置置窗口，來(lái)來(lái)修改工工作站的的IP地地址或其其他網(wǎng)絡(luò)絡(luò)參數(shù)，如如此一來(lái)來(lái)局域網(wǎng)網(wǎng)中的IIP地址址就不大大容易發(fā)發(fā)生沖突突了。

保護(hù)設(shè)置，避避免沖突突

在在局域網(wǎng)網(wǎng)中常常常會(huì)出現(xiàn)現(xiàn)工作站站IP地地址被隨隨意修改改，造成成IP沖沖突現(xiàn)象象的發(fā)生生，從而而影響局局域網(wǎng)的的運(yùn)行效效率。盡盡管目前前有許多多方法可可以避免免IP地地址發(fā)生生沖突，但但仔細(xì)推推敲一下下，你不不難發(fā)現(xiàn)現(xiàn)其中的的一些方方法對(duì)于于一些菜菜鳥(niǎo)用戶戶來(lái)說(shuō)，操操作起來(lái)來(lái)有點(diǎn)難難度;其其實(shí)借助助組策略略功能，你你可以很很輕松地地限制局局域網(wǎng)工工作站的的網(wǎng)絡(luò)配配置參數(shù)數(shù)被隨意意修改，從從而有效效避免網(wǎng)網(wǎng)絡(luò)中的的IP地地址發(fā)生生沖突::

依次單單擊“開(kāi)開(kāi)始”//“運(yùn)行行”命令令，在彈彈出的系系統(tǒng)運(yùn)行行框中，輸輸入字符符串命令令“gppediit.mmsc”，單單擊“確確定”按按鈕后，打打開(kāi)系統(tǒng)統(tǒng)組策略略編輯窗窗口;

依依次展開(kāi)開(kāi)該窗口口中的“用用戶配置置”/“管管理模板