2023年11月26日发(作者:)

Windows系统组策略应用最新技巧

系统几乎是各位网络管理人员管理网络时的必用利器之一,

有关该利器的常规应用技巧,相信许多人都已经耳熟能详了.

但是笔者一直认为,只要我们足够细心、用心,就一定会从系

统组策略中不断挖掘出新的应用技巧来.不信的话,就来看

看下面的内容吧,相信它们会帮助大家进入一个新的应用新

“境界”

巧限程序,谨防“自锁”

Windows服务器中有一个名为“只允许运行Windows

用程序”的组策略项目,一旦你将该项目启用,同时限制好

指定的程序可以运行外,那么无论你是否在“只允许运行程

序列表”中,添加了命令,只要“只允许运行Windows应用程

序”的组策略项目生效,系统的组策略就会自动“自锁”,

即使你在超级管理员帐号下使用“”命令,也不能打开系统

的组策略编辑窗口那么有没有一种办法,既能限制应用程序

的运行,又能防止系统组策略出现“自锁”现象呢答案是肯

定的,你可以按照如下步骤来操作:

首先依次单击“开始”/“运行”命令,在弹出的系统

运行框中,输入字符串命令“”,单击“确定”按钮后,打开

系统组策略编辑窗口;

依次展开该窗口中的“用户配置”/“管理模

板”/“系统”项目,在对应“系统”项目右边的子窗口中,

双击“只运行许可的Windows应用程序”选项,在其后弹出

的界面中,将“已启用”选项选中.随后,你将在对应的窗口

中看到“显示”按钮被自动激活,再单击“显示”按钮,

后继续单击其后窗口中的“添加”按钮,再将需要运行的应

用程序名称输入在添加设置框中,最后单击“确定”按钮;

下面,请大家千万不要将组策略编辑窗口立即关闭;

后打开系统运行对话框,并在其中执行“”命令,此时你将

发现系统组策略编辑程序已经无法运行了不过,幸亏前面没

有将组策略编辑窗口关闭,现在你可以继续在组策略编辑窗

口中,双击刚才设置的“只允许运行Windows应用程序”项

,然后在弹出的策略设置窗口中,选中“未配置”选项,

后单击一下“确定”按钮,这样就能实现既可以限制运行应

用程序的目的,又能阻止系统组策略出现“自锁”现象.

小提示:要是你将指定的应用程序名称添加到“只允许

运行Windows应用程序”列表中后,直接把组策略编辑窗口

关闭的话,可以通过下面的步骤来进行恢复:

重新将服务器系统启动一下,在启动的过程中不停地按

F8功能键,直到出现系统的启动菜单,然后执行其中的

“带命令行提示的安全模式”命令,将服务器系统切换到命

令行提示符状态;

接下来在命令提示符下直接执行字符串命令,在弹出的

系统控制台界面中,单击“文件”菜单项,并从弹出的下拉

菜单中单击“添加/删除管理单元”选项,再单击其后窗口

中的“独立”标签,然后在如图1所示的标签页面中,单击

“添加”按钮;

下面,再依次单击“组策略”、“添加”、“完成”、

“关闭”、“确定”按钮,这样就能成功添加一个新的组策

略控制台;以后,你就能重新打开组策略编辑窗口,然后按照

上面的设置,实现既可以限制运行应用程序的目的,又能阻

止系统组策略出现“自锁”现象.

随心所欲,解除“自锁”

除了通过限制应用程序运行的策略外,还有许多操作都

能使在不经意间就会发生“自锁”现象.如果是其他因素造

成组策略发生“自锁”现象的话,我们该如何轻松解除呢其

,所有对组策略的设置,都是基于系统注册表>,因此对

组策略任意分支的设置,都会在注册表的对应分支中有所体

;为此我们只要从修改注册表出发,就能轻松破解组策略

的“自锁”现象:

依次单击“开始”/“运行”命令,在弹出的系统运行

对话框中,输入字符串命令“regedit”,单击“确定”按钮

,打开系统的注册表编辑窗口;

,

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMMC{

8FC0B734-A0E1-11D1-A7D3-0000F87571E3},

2,

“Restrict_Run”键值;

用鼠标双击该键值,打开一个数值设置窗口,在其中输

入数字“0”,最后单击“确定”按钮;此后,当你再次打开

系统运行对话框,并在其中执行“”命令时,你会发现自锁

的组策略编辑窗口,现在可以被轻松打开了.

策略更改,即时生效

无论是对于Windows 2003域还是Windows 2000域来说,

一旦修改了域的默认安全策略后,新的安全策略还不能立即

生效,一般情况下需要过515分钟左右的时间,Windows

统才会自动更新系统组策略中的设置.那么有没有办法让修

改后的安全策略,能够对用户或客户机立即生效呢答案是肯

定的,你可以按照下面的步骤来实现: 对于Windows

2000域来说,如果你想让新修改的计算机策略立即生效的话,

可以依次单击“开始”/“运行”命令,打开系统运行对话

,并在其中输入字符串命令“cmd ”,单击“确定”按钮后,

Windows系统切换到Ms-DOS工作模式下; 接着在DOS

命令提示符下,输入字符串命令“secedit /refreshpolicy

machine_policy /enforce”,单击回车键后,新修改的安全

策略将会立即生效; 如果你想让新修改的用户策略立

即生效的话,只要在DOS命令提示符下,执行字符串命令

“secedit /refreshpolicy user_policy /enforce”就可

以了. 对于Windows 2003域来说,如果你想让新修改的

计算机策略立即生效的话,可以依次单击“开始”/“运

行”命令,打开系统运行对话框,并在其中输入字符串命令

“cmd ”,单击“确定”按钮后,Windows系统切换到

Ms-DOS工作模式下; 接着在DOS命令提示符下,输入字

符串命令“gpupdate /target:computer”,单击回车键后,

新修改的安全策略将会立即生效; 如果你想让新修改

的用户策略立即生效的话,只要在DOS命令提示符下,执行字

符串命令“gpupdate /target:user”就可以了.如果你想对

计算机策略和用户策略同时进行更新的话,那你可以直接执

行字符串命令“gpupdate”就行了.

不同用户,不同权限

也许你的服务器中包含有许多用户,但为了保护服务器

的安全,你希望这些用户对服务器的访问控制权限各不相同,

以便日后服务器遇到意外时,你能根据权限高低的不同,

能快速地找到“从中作乱”的用户.要想对不同的用户,

配不同的访问控制权限,只需要对服务器进行一下设置就可

以了,下面就是具体的设置步骤:

依次单击“开始”/“运行”命令,在弹出的系统运行

框中,输入字符串命令“”,单击“确定”按钮后,打开系统

组策略编辑窗口; 在该窗口中,依次展开其中的“计算

机配置”/“Windows设置”/“安全设置”/“本地策

略”/“用户权利指派”项目; 在对应“用户权利指

派”项目的右侧窗口区域中,你将看到有多种权利可供指派,

如图3所示.例如,要是你只想让aaa用户通过网络连接方式

来远程访问服务器中的内容,而不允许其在本地登录服务器

写入内容或执行其中的应用程序时,你可以先双击“拒绝本

地登录”权限;

在其后打开的设置窗口中,单击一下“添加”,然后选

aaa用户所对应的帐号名称,再单击一下“添加”,这样

aaa用户日后就只能通过远程网络来访问服务器中的内容

.

同样地你可以将本地登录控制权限分配给bbb用户,

文件或其他对象的所有权分配给ccc用户等;一旦为不同用

户分配好了不同控制权限后,你日后就能根据权限级别的不

,来有针对性地管理和控制用户了.例如,要是你发现服务

器在没有接入到网络的时间内,有人随意向服务器中上传非

法信息而需要追究时,你可以很轻松地将aaa用户排除在外,

毕竟aaa用户没有这样的“作案能力”

保护设置,避免冲突

在中常常会出现工作站IP地址被随意修改,造成IP

突现象的发生,从而影响局域网的运行效率.尽管目前有许

多方法可以避免IP地址发生冲突,但仔细推敲一下,你不难

发现其中的一些方法对于一些菜鸟用户来说,操作起来有点

难度;其实借助功能,你可以很轻松地限制局域网工作站的

网络配置参数被随意修改,从而有效避免网络中的IP地址发

生冲突:

依次单击“开始”/“运行”命令,在弹出的系统运行

框中,输入字符串命令“”,单击“确定”按钮后,打开系统

;

置”/“管理模板”/“网络”/“网络和拨号连接”策略项

,在对应“网络和拨号连接”策略的右侧窗口区域中,

击一下“允许TCP/IP高级设置”项目; 在弹出的如图4

所示的设置窗口中,将“禁用”选项选中,并单击一下“确

定”按钮,这样的话,任何一个工作站用户日后打开TCP/IP

属性设置窗口时,将会发现无法进入“高级”设置窗口,

修改工作站的IP地址或其他网络参数,如此一来局域网中的

IP地址就不大容易发生冲突了.

保护设置,避免冲突

在中常常会出现工作站IP地址被随意修改,造成IP

突现象的发生,从而影响局域网的运行效率.尽管目前有许

多方法可以避免IP地址发生冲突,但仔细推敲一下,你不难

发现其中的一些方法对于一些菜鸟用户来说,操作起来有点

难度;其实借助功能,你可以很轻松地限制局域网工作站的

网络配置参数被随意修改,从而有效避免网络中的IP地址发

生冲突:

依次单击“开始”/“运行”命令,在弹出的系统运行

框中,输入字符串命令“”,单击“确定”按钮后,打开系统

组策略编辑窗口; 依次展开该窗口中的“用户配

置”/“管理模板”/“网络”/“网络和拨号连接”策略项

,在对应“网络和拨号连接”策略的右侧窗口区域中,

击一下“允许TCP/IP高级设置”项目; 在弹出的如图4

所示的设置窗口中,将“禁用”选项选中,并单击一下“确

定”按钮,这样的话,任何一个工作站用户日后打开TCP/IP

属性设置窗口时,将会发现无法进入“高级”设置窗口,

修改工作站的IP地址或其他网络参数,如此一来局域网中的

IP地址就不大容易发生冲突了.