Windows系统组策略应用最新技巧3962.docx

《Windows系统组策略应用最新技巧3962.docx》由会员分享，可在线阅读，更多相关《Windows系统组策略应用最新技巧3962.docx（12页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Windows系统组策略应用最新技巧系统组策略几乎是各位网络管理人员管理网络时的必用利器之一，有关该利器的常规应用技巧，相信许多人都已经耳熟能详了。但是笔者一直认为，只要我们足够细心、用心，就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话，就来看看下面的内容吧，相信它们会帮助大家进入一个新的应用新“境界”! 巧限程序，谨防“自锁” Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目，一旦你将该项目启用，同时限制好指定的程序可以运行外，那么无论你是否在“只允许运行程序列表”中，添加了gpedit.msc命令，只要“只允许运行Windows应用程序”的组策略项

2、目生效，系统的组策略就会自动“自锁”，即使你在超级管理员帐号下使用“gpedit.msc”命令，也不能打开系统的组策略编辑窗口!那么有没有一种办法，既能限制应用程序的运行，又能防止系统组策略出现“自锁”现象呢?答案是肯定的，你可以按照如下步骤来操作: 首先依次单击“开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统组策略编辑窗口; 依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目，在对应“系统”项目右边的子窗口中，双击“只运行许可的Windows应用程序”选项，在其后弹出的界面中，将“已启用”选项选中。随后，你将在对应的窗

3、口中看到“显示”按钮被自动激活，再单击“显示”按钮，然后继续单击其后窗口中的“添加”按钮，再将需要运行的应用程序名称输入在添加设置框中，最后单击“确定”按钮; 下面，请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框，并在其中执行“gpedit.msc”命令，此时你将发现系统组策略编辑程序已经无法运行了!不过，幸亏前面没有将组策略编辑窗口关闭，现在你可以继续在组策略编辑窗口中，双击刚才设置的“只允许运行Windows应用程序”项目，然后在弹出的策略设置窗口中，选中“未配置”选项，最后单击一下“确定”按钮，这样就能实现既可以限制运行应用程序的目的，又能阻止系统组策略出现“自锁”现象。

4、 小提示:要是你将指定的应用程序名称添加到“只允许运行Windows应用程序”列表中后，直接把组策略编辑窗口关闭的话，可以通过下面的步骤来进行恢复: 重新将服务器系统启动一下，在启动的过程中不停地按下F8功能键，直到出现系统的启动菜单，然后执行其中的“带命令行提示的安全模式”命令，将服务器系统切换到命令行提示符状态; 接下来在命令提示符下直接执行mmc.exe字符串命令，在弹出的系统控制台界面中，单击“文件”菜单项，并从弹出的下拉菜单中单击“添加/删除管理单元”选项，再单击其后窗口中的“独立”标签，然后在如图1所示的标签页面中，单击“添加”按钮; 下面，再再依次单单击“组组策略”、“添添加”、

5、“完完成”、“关关闭”、“确确定”按按钮，这这样就能能成功添添加一个个新的组组策略控控制台;以后，你你就能重重新打开开组策略略编辑窗窗口，然然后按照照上面的的设置，实实现既可可以限制制运行应应用程序序的目的的，又能能阻止系系统组策策略出现现“自锁锁”现象象。 随随心所欲欲，解除除“自锁锁” 除除了通过过限制应应用程序序运行的的策略外外，还有有许多操操作都能能使组策策略在不不经意间间就会发发生“自自锁”现现象。如如果是其其他因素素造成组组策略发发生“自自锁”现现象的话话，我们们该如何何轻松解解除呢?其实，所所有对组组策略的的设置，都都是基于于系统注注册表的，因因此对组组策略任任意分支支的设置置，

6、都会会在注册册表的对对应分支支中有所所体现;为此我我们只要要从修改改注册表表出发，就就能轻松松破解组组策略的的“自锁锁”现象象: 依次次单击“开开始”/“运行行”命令令，在弹弹出的系系统运行行对话框框中，输输入字符符串命令令“reegeddit”，单单击“确确定”按按钮后，打打开系统统的注册册表编辑辑窗口; 在该窗窗口中，依依次展开开注册表表分支HHKEYY_CUURREENT_USEERSSofttwarrePPoliicieesMMicrrosooftMMCC88FC00B7334-AA0E11-111D1-A7DD3-000000F8775711E3，在随随后弹出出的如图图2所示示的窗口

7、口右侧区区域中，你你将看到到一个“RResttricct_RRun”键键值; 用鼠标标双击该该键值，打打开一个个数值设设置窗口口，在其其中输入入数字“0”，最后单击“确定”按钮;此后，当你再次打开系统运行对话框，并在其中执行“gpedit.msc”命令时，你会发现自锁的组策略编辑窗口，现在可以被轻松打开了。 策略更改，即时生效 无论是对于Windows 2003域还是Windows 2000域来说，一旦修改了域的默认安全策略后，新的安全策略还不能立即生效，一般情况下需要过5到15分钟左右的时间，Windows系统才会自动更新系统组策略中的设置。那么有没有办法让修改后的安全策略，能够对用户或客户

8、机立即生效呢?答案是肯定的，你可以按照下面的步骤来实现: 对于Windows 2000域来说，如果你想让新修改的计算机策略立即生效的话，可以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符串命令“cmd ”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模式下; 接着在DOS命令提示符下，输入字符串命令“secedit /refreshpolicy machine_policy /enforce”，单击回车键后，新修改的安全策略将会立即生效; 如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字符串命令“secedit /refreshp

9、olicy user_policy /enforce”就可以了。 对于Windows 2003域来说，如果你想让新修改的计算机策略立即生效的话，可以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符串命令“cmd ”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模式下; 接着在DOS命令提示符下，输入字符串命令“gpupdate /target:computer”，单击回车键后，新修改的安全策略将会立即生效; 如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字符串命令“gpupdate /target:user”就可以了。如果你想对计算

10、机策略和用户策略同时进行更新的话，那你可以直接执行字符串命令“gpupdate”就行了。 不同用户，不不同权限限 也也许你的的服务器器中包含含有许多多用户，但但为了保保护服务务器的安安全，你你希望这这些用户户对服务务器的访访问控制制权限各各不相同同，以便便日后服服务器遇遇到意外外时，你你能根据据权限高高低的不不同，就就能快速速地找到到“从中中作乱”的的用户。要要想对不不同的用用户，分分配不同同的访问问控制权权限，只只需要对对服务器器组策略略进行一一下设置置就可以以了，下下面就是是具体的的设置步步骤: 依依次单击击“开始始”/“运运行”命命令，在在弹出的的系统运运行框中中，输入入字符串串命令“g

11、gpeddit.mscc”，单单击“确确定”按按钮后，打打开系统统组策略略编辑窗窗口; 在在该窗口口中，依依次展开开其中的的“计算算机配置置”/“WWinddowss设置”/“安全全设置”/“本地地策略”/“用户户权利指指派”项项目; 在在对应“用用户权利利指派”项项目的右右侧窗口口区域中中，你将将看到有有多种权权利可供供指派，如如图3所所示。例例如，要要是你只只想让aaaa用用户通过过网络连连接方式式来远程程访问服服务器中中的内容容，而不不允许其其在本地地登录服服务器写写入内容容或执行行其中的的应用程程序时，你你可以先先双击“拒拒绝本地地登录”权权限; 在其后后打开的的设置窗窗口中，单单击一

12、下下“添加加”，然然后选中中aaaa用户所所对应的的帐号名名称，再再单击一一下“添添加”，这这样aaaa用户户日后就就只能通通过远程程网络来来访问服服务器中中的内容容了。 同同样地你你可以将将本地登登录控制制权限分分配给bbbb用用户，将将文件或或其他对对象的所所有权分分配给cccc用用户等;一旦为为不同用用户分配配好了不不同控制制权限后后，你日日后就能能根据权权限级别别的不同同，来有有针对性性地管理理和控制制用户了了。例如如，要是是你发现现服务器器在没有有接入到到网络的的时间内内，有人人随意向向服务器器中上传传非法信信息而需需要追究究时，你你可以很很轻松地地将aaaa用户户排除在在外，毕毕竟

13、aaaa用户户没有这这样的“作作案能力力”! 保护设设置，避避免冲突突 在在局域网网中常常常会出现现工作站站IP地地址被随随意修改改，造成成IP冲冲突现象象的发生生，从而而影响局局域网的的运行效效率。尽尽管目前前有许多多方法可可以避免免IP地地址发生生冲突，但但仔细推推敲一下下，你不不难发现现其中的的一些方方法对于于一些菜菜鸟用户户来说，操操作起来来有点难难度;其其实借助助组策略略功能，你你可以很很轻松地地限制局局域网工工作站的的网络配配置参数数被随意意修改，从从而有效效避免网网络中的的IP地地址发生生冲突: 依次单单击“开开始”/“运行行”命令令，在弹弹出的系系统运行行框中，输输入字符符串命

14、令令“gppediit.mmsc”，单单击“确确定”按按钮后，打打开系统统组策略略编辑窗窗口; 依依次展开开该窗口口中的“用用户配置置”/“管管理模板板”/“网网络”/“网络络和拨号号连接”策策略项目目，在对对应“网网络和拨拨号连接接”策略略的右侧侧窗口区区域中，双双击一下下“允许许TCPP/IPP高级设设置”项项目; 在在弹出的的如图44所示的的设置窗窗口中，将将“禁用用”选项项选中，并并单击一一下“确确定”按按钮，这这样的话话，任何何一个工工作站用用户日后后打开TTCP/IP属属性设置置窗口时时，将会会发现无无法进入入“高级级”设置置窗口，来来修改工工作站的的IP地地址或其其他网络络参数，

15、如如此一来来局域网网中的IIP地址址就不大大容易发发生冲突突了。 保护设置，避避免冲突突 在在局域网网中常常常会出现现工作站站IP地地址被随随意修改改，造成成IP冲冲突现象象的发生生，从而而影响局局域网的的运行效效率。尽尽管目前前有许多多方法可可以避免免IP地地址发生生冲突，但但仔细推推敲一下下，你不不难发现现其中的的一些方方法对于于一些菜菜鸟用户户来说，操操作起来来有点难难度;其其实借助助组策略略功能，你你可以很很轻松地地限制局局域网工工作站的的网络配配置参数数被随意意修改，从从而有效效避免网网络中的的IP地地址发生生冲突: 依次单单击“开开始”/“运行行”命令令，在弹弹出的系系统运行行框中

16、，输输入字符符串命令令“gppediit.mmsc”，单单击“确确定”按按钮后，打打开系统统组策略略编辑窗窗口; 依依次展开开该窗口口中的“用用户配置置”/“管管理模板板”/“网网络”/“网络络和拨号号连接”策策略项目目，在对对应“网网络和拨拨号连接接”策略略的右侧侧窗口区区域中，双双击一下下“允许许TCPP/IPP高级设设置”项项目; 在在弹出的的如图44所示的的设置窗窗口中，将将“禁用用”选项项选中，并并单击一一下“确确定”按按钮，这这样的话话，任何何一个工工作站用用户日后后打开TTCP/IP属属性设置置窗口时时，将会会发现无无法进入入“高级级”设置置窗口，来来修改工工作站的的IP地地址或其其他网络络参数，如如此一来来局域网网中的IIP地址址就不大大容易发发生冲突突了。