探讨Windows XP 神奇的组策略

2015-02-23  来源:本站原创  分类:WindowsXP  人气:3 

系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了。

  但是笔者一直认为,只要我们足够细心、用心,就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新“境界”!

  巧限程序,谨防“自锁”

  Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论你是否在“只允许运行程序列表”中,添加了gpedit.msc命令,只要“只允许运行Windows应用程序”的组策略项目生效,系统的组策略就会自动“自锁”,即使你在超级管理员帐号下使用“gpedit.msc”命令,也不能打开系统的组策略编辑窗口!那么有没有一种办法,既能限制应用程序的运行,又能防止系统组策略出现“自锁”现象呢?答案是肯定的,你可以按照如下步骤来操作:   

  首先依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;

  依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目,在对应“系统”项目右边的子窗口中,双击“只运行许可的Windows应用程序”选项,在其后弹出的界面中,将“已启用”选项选中。随后,你将在对应的窗口中看到“显示”按钮被自动激活,再单击“显示”按钮,然后继续单击其后窗口中的“添加”按钮,再将需要运行的应用程序名称输入在添加设置框中,最后单击“确定”按钮;  

  下面,请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框,并在其中执行“gpedit.msc”命令,此时你将发现系统组策略编辑程序已经无法运行了!不过,幸亏前面没有将组策略编辑窗口关闭,现在你可以继续在组策略编辑窗口中,双击刚才设置的“只允许运行Windows应用程序”项目,然后在弹出的策略设置窗口中,选中“未配置”选项,最后单击一下“确定”按钮,这样就能实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。

  小提示:要是你将指定的应用程序名称添加到“只允许运行Windows应用程序”列表中后,直接把组策略编辑窗口关闭的话,可以通过下面的步骤来进行恢复:

  重新将服务器系统启动一下,在启动的过程中不停地按下F8功能键,直到出现系统的启动菜单,然后执行其中的“带命令行提示的安全模式”命令,将服务器系统切换到命令行提示符状态; 

  接下来在命令提示符下直接执行mmc.exe字符串命令,在弹出的系统控制台界面中,单击“文件”菜单项,并从弹出的下拉菜单中单击“添加/删除管理单元”选项,再单击其后窗口中的“独立”标签,然后在如图1所示的标签页面中,单击“添加”按钮;  
  下面,再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮,这样就能成功添加一个新的组策略控制台;以后,你就能重新打开组策略编辑窗口,然后按照上面的设置,实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。

  随心所欲,解除“自锁”  

  除了通过限制应用程序运行的策略外,还有许多操作都能使组策略在不经意间就会发生“自锁”现象。如果是其他因素造成组策略发生“自锁”现象的话,我们该如何轻松解除呢?其实,所有对组策略的设置,都是基于系统注册表>的,因此对组策略任意分支的设置,都会在注册表的对应分支中有所体现;为此我们只要从修改注册表出发,就能轻松破解组策略的“自锁”现象:

  依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“regedit”,单击“确定”按钮后,打开系统的注册表编辑窗口;

  在该窗口中,依次展开注册表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3},在随后弹出的如图2所示的窗口右侧区域中,你将看到一个“Restrict_Run”键值;  

   用鼠标双击该键值,打开一个数值设置窗口,在其中输入数字“0”,最后单击“确定”按钮;此后,当你再次打开系统运行对话框,并在其中执行“gpedit.msc”命令时,你会发现自锁的组策略编辑窗口,现在可以被轻松打开了。 

  策略更改,即时生效   

   无论是对于Windows 2003域还是Windows 2000域来说,一旦修改了域的默认安全策略后,新的安全策略还不能立即生效,一般情况下需要过5到15分钟左右的时间,Windows系统才会自动更新系统组策略中的设置。那么有没有办法让修改后的安全策略,能够对用户或客户机立即生效呢?答案是肯定的,你可以按照下面的步骤来实现:  

   对于Windows 2000域来说,如果你想让新修改的计算机策略立即生效的话,可以依次单击“开始”/“运行”命令,打开系统运行对话框,并在其中输入字符串命令“cmd ”,单击“确定”按钮后,将Windows系统切换到Ms-DOS工作模式下;

   接着在DOS命令提示符下,输入字符串命令“secedit /refreshpolicy machine_policy /enforce”,单击回车键后,新修改的安全策略将会立即生效;  

   如果你想让新修改的用户策略立即生效的话,只要在DOS命令提示符下,执行字符串命令“secedit /refreshpolicy user_policy /enforce”就可以了。

   对于Windows 2003域来说,如果你想让新修改的计算机策略立即生效的话,可以依次单击“开始”/“运行”命令,打开系统运行对话框,并在其中输入字符串命令“cmd ”,单击“确定”按钮后,将Windows系统切换到Ms-DOS工作模式下;  

   接着在DOS命令提示符下,输入字符串命令“gpupdate /target:computer”,单击回车键后,新修改的安全策略将会立即生效;

   如果你想让新修改的用户策略立即生效的话,只要在DOS命令提示符下,执行字符串命令“gpupdate /target:user”就可以了。如果你想对计算机策略和用户策略同时进行更新的话,那你可以直接执行字符串命令“gpupdate”就行了。  

   不同用户,不同权限

   也许你的服务器中包含有许多用户,但为了保护服务器的安全,你希望这些用户对服务器的访问控制权限各不相同,以便日后服务器遇到意外时,你能根据权限高低的不同,就能快速地找到“从中作乱”的用户。要想对不同的用户,分配不同的访问控制权限,只需要对服务器组策略进行一下设置就可以了,下面就是具体的设置步骤:  

   依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;

   在该窗口中,依次展开其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”项目;  

   在对应“用户权利指派”项目的右侧窗口区域中,你将看到有多种权利可供指派,如图3所示。例如,要是你只想让aaa用户通过网络连接方式来远程访问服务器中的内容,而不允许其在本地登录服务器写入内容或执行其中的应用程序时,你可以先双击“拒绝本地登录”权限;


   在其后打开的设置窗口中,单击一下“添加”,然后选中aaa用户所对应的帐号名称,再单击一下“添加”,这样aaa用户日后就只能通过远程网络来访问服务器中的内容了。

   同样地你可以将本地登录控制权限分配给bbb用户,将文件或其他对象的所有权分配给ccc用户等;一旦为不同用户分配好了不同控制权限后,你日后就能根据权限级别的不同,来有针对性地管理和控制用户了。例如,要是你发现服务器在没有接入到网络的时间内,有人随意向服务器中上传非法信息而需要追究时,你可以很轻松地将aaa用户排除在外,毕竟aaa用户没有这样的“作案能力”!

  保护设置,避免冲突   

   在局域网中常常会出现工作站IP地址被随意修改,造成IP冲突现象的发生,从而影响局域网的运行效率。尽管目前有许多方法可以避免IP地址发生冲突,但仔细推敲一下,你不难发现其中的一些方法对于一些菜鸟用户来说,操作起来有点难度;其实借助组策略功能,你可以很轻松地限制局域网工作站的网络配置参数被随意修改,从而有效避免网络中的IP地址发生冲突:  

   依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;

   依次展开该窗口中的“用户配置”/“管理模板”/“网络”/“网络和拨号连接”策略项目,在对应“网络和拨号连接”策略的右侧窗口区域中,双击一下“允许TCP/IP高级设置”项目;  

   在弹出的如图4所示的设置窗口中,将“禁用”选项选中,并单击一下“确定”按钮,这样的话,任何一个工作站用户日后打开TCP/IP属性设置窗口时,将会发现无法进入“高级”设置窗口,来修改工作站的IP地址或其他网络参数,如此一来局域网中的IP地址就不大容易发生冲突了。

相关文章
  • 探讨Windows XP 神奇的组策略 2015-02-23

    系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了. 但是笔者一直认为,只要我们足够细心.用心,就一定会从系统组策略中不断挖掘出新的应用技巧来.不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新"境界"! 巧限程序,谨防"自锁" Windows服务器中有一个名为"只允许运行Windows应用程序"的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论

  • Windows 7组策略应用技巧:向组策略设置要效率 2014-06-03

    Windows 7系统的正式版面世已经有一段时间了,这个迄今为止功能最强悍.性能最稳定的微软操作系统已经来到了我们身边.由于该系统的功能越来越多,对应组策略中的配置选项也越来越丰富,我们可以巧妙地对这些选项进行合适设置,以便提高Windows 7系统的操作效率! 1.让媒体播放更畅快 为了让用户更加充分享受娱乐功能,Windows 7系统内置的Windows Media Player应用程序已经升级到最新的9.0版本,利用该版本的播放程序我们可以随心播放各种在线流媒体内容.只是在默认状态下,Wi

  • 组策略中的审核策略提示 Windows无法读取模板信息的解决方法 2014-06-25

    今天在帮客户配置2003的时候,进入组策略提示Windows无法读取模板信息,原来是因为安装设置过程中删除了guest账号,下面脚本之家小编为大家分享下解决方法吧 组策略出现"windows无法读取模板信息"是因为删除了Win2000/XP/2003中的guest账号.解决办法: 1.注册表有备份.很简单,恢复备份就是了. 组策略出现"windows无法读取模板信息"是因为删除了Win2000/XP/2003中的guest账号.解决办法: 1.注册表有备份.很简单,

  • Windows 2003组策略和安全模板的应用 2014-09-25

    组策略用于从一个单独的点对多个Microsoft Active Directory目录服务用户和计算机对象进行配置.在默认情况下,策略不仅影响应用该策略的容器中的对象,还影响子容器中的对象. 组策略包含了"计算机配置.Windows 设置.安全设置"下的安全设置.您可将预先配置的安全模板导入策略,来完成对这些设置的配置. 应用组策略 下列步骤显示了如何应用组策略,以及如何向"用户权限分配"添加安全组. 将组策略应用于组织单位或域 1.依次单击"开始&quo

  • 利用Windows 7组策略关闭搜索记录 2014-04-14

    Windows 7强大的搜索功能相当好用,不过麻烦的是所有的搜索历史记录都会出现在下拉列表框中,如果使用的是公用计算机,安全性就是一个问题了. 其实,我们可以利用组策略解决这一问题,操作如下. 在"开始搜索"框或"运行"框中输入"gpedit.msc",打开"本地组策略编辑器"窗口,依次打开"用户配置→管理模板→Windows组件→Windows资源管理器",在右侧窗格中找到"在Windows资源

  • 利用组策略和注册表 - 禁用Windows 7中的光盘刻录功能 2014-08-06

    Windows 7继承和发扬了Windows Vista中的刻录功能,支持从资源管理器直接刻录ISO和IMG格式镜像.同时,Windows 7也沿用了Vista中的自动弹出光盘设计. 但对于某些已经安装有Nero等专用刻录软件的用户而言,系统自带的刻录功能已经显得不那么重要了.同时,也有少数用户对自动弹出光盘比较反感的,以下一并解决: 1. WIN+R运行gpedit.msc 2. 依次打开Local Group Policy(本地组策略) -> User Configuration(用户配置)

  • 用组策略修改WIN2003 administrator 的用户名的方法 2013-10-08

    因为我的客户机是XP的用户名是 administrator 我的win2003服务器要启用共享文件,这样我的win2003服务器要用账户 administrator 密码是空,客户机才可以浏览我的共享资源,为了安全其间,我想把 administrator 这个用户名该一下权限或是重命名,有知道的兄弟说一下 修改方法: 我知道了打开"组策略",选择"计算机配置→Windows设置→安全设置→本地策略→安全选项",在右边窗格里双击"账户:重命名系统管理员账户&

  • windows XP 的命令大全 2013-10-14

    打开C:\Documents and Settings\XXX(当前登录Windows XP的用户名) .. 打开Windows XP所在的盘符下的Documents and Settings文件夹 ... 打开"我的电脑"选项. accwiz.exe 辅助工具向导 actmovie.exe 直接显示安装工具 append.exe 允许程序打开制定目录中的数据 arp.exe 显示和更改计算机的IP与硬件物理地址的对应列表 at.exe 计划运行任务 atmadm.exe ATM调用管

  • 轻松开启Windows XP管理共享 2013-11-18

    Windows 2000的网络管理员,经常使用默认的管理共享来进行网络管理.他们可以在网络中的任何地方,通过在共享名后加"$",来访问客户端计算机的管理共享文件夹并进行管理工作,如"Admin$"就是"SystemRoot"文件夹,默认情况下即"C:\Winnt"(图1).很多文章讲了如何关闭管理共享,但从来没有讲过开放的方式,这里我们就教大家开启的方法. 图 1 我们知道在Windows 2000中很多设置,尤其安全性的设置

  • Windows XP系统 SP2防火?Ω攀?/h1> 作者: 字体:[增加 减小] 类型:转载     Windows 防火墙是在 Windows XP Service Pack 2 中取代原来的 Internet Connection Firewall 的更新版本.默认状态下防火墙在所有的网卡界面均为开启状态. 无论是Windows XP全新安装还是升级安装,这个选项都可以在默认的情况下给网络连接提供更多的保护.但是,如果某些应用程序不能在这个防火墙过滤状态下工作的话,他们将无法兼容于这个新的操作系统. 2013-12-31

    Windows 防火墙是在 Windows XP Service Pack 2 中取代原来的 Internet Connection Firewall 的更新版本.默认状态下防火墙在所有的网卡界面均为开启状态. 无论是Windows XP全新安装还是升级安装,这个选项都可以在默认的情况下给网络连接提供更多的保护.但是,如果某些应用程序不能在这个防火墙过滤状态下工作的话,他们将无法兼容于这个新的操作系统. 更新 用户界面和新特性 要配置 Windows 防火墙, 可以从安全中心中打开,安全中心位于

  • 黑客入侵Windows XP系统常用七大招数 2014-12-18

    本文讲述了黑客入侵Windows XP操作系统常用的七种方法,如果大家遇到类似那可要注意了-- 第一招:屏幕保护 在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全. 提示:部分设计不完善的屏幕保护程序没有屏蔽系统的"Ctrl+Alt+Del"

  • Windows XP加速设置之终极技巧篇 2015-02-13

    硬件优化 1.内存性能优化 Windows XP中有几个选项可以优化内存性能,它们全都在注册表下面位置: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management 1)禁用内存页面调度(Paging Executive) 在正常情况下,XP会把内存中的片断写入硬盘,我们可以阻止它这样做,让数据保留在内存中,从而提升系统性能.要注意的是,拥有很多内存的用户(256M以上)才好使用这个设置.这个设

  • 禁止运行组策略的解决方法 2015-04-17

    Windows XP组策略中有一个"只允许运行Windows应用程序"的策略,你只要启用并添加只允许系统运行的程序名称,那么用户将只能运行"允许运行的应用程序列表"中的程序.不过,无论你有没有在"只允许运行程序列表"中添加gpedit.msc(组策略),一旦启用了这项策略,就再也不能运行"gpedit.exe"(组策略)了!不过我们可以使用下面的方法让"鱼与熊掌兼得". ①运行gpedit.msc,依次展开

  • Windows XP的50个经典技巧 2015-01-22

    1. 重装Windows XP不需再激活 如果你需要重装Windows XP,通常必须重新激活.事实上只要在第一次激活时,备份好WindowsSystem32目录中的Wpa.dbl文件,就不用再进行激活的工作了.在重装Windows XP后,只需要复制该文件到上面的目录即可. 2. 如何知道自己的Windows XP是否已激活 打开开始→运行,在弹出的对话框中输入:oobe/msoobe /a,回车后系统会弹出窗口告诉你系统是否已经激活. 3. 关闭zip文件夹功能 你是不是觉得Windows

  • 将Windows XP默认的Administrator帐户改为其他名称 2012-03-09

    将Windows XP默认的Administrator帐户改为其他名称: (1)"开始"→"运行",输入"gpedit.msc",打开组策略编辑器. (2)依次展开"Windows设置"→"安全设置"→"本地策略"→"安全选项". (3)将右边的列表框拉到最下面,双击"重命名系统管理员帐户"即可更名. 更改重新登录后原帐户"桌面"

  • windows xp professional sp3支持远程桌面的多用户登录的步骤 2012-04-11

    1>下载测试版的Windows XP Service Pack 2 Build 2055中的termsrv.dll文件. 2>先把termsrv.dll文件复制到C:\WINDOWS\system32\dllcache下,再复制到C:\WINDOWS\system32下. 注:不要把顺序弄反了,由于microsoft的文件保护功能dllcache下原来的termsrv.dll会把你刚才复制到system32下的termsrv.dll覆盖成原来的termsrv.dll文件.这样等于我们没有覆盖以

  • Win 2003组策略和安全模板的应用 2013-10-29

    组策略用于从一个单独的点对多个Microsoft Active Directory目录服务用户和计算机对象进行配置.在默认情况下,策略不仅影响应用该策略的容器中的对象,还影响子容器中的对象. 组策略包含了"计算机配置.Windows 设置.安全设置"下的安全设置.您可将预先配置的安全模板导入策略,来完成对这些设置的配置. 应用组策略 下列步骤显示了如何应用组策略,以及如何向"用户权限分配"添加安全组. 将组策略应用于组织单位或域 1.依次单击"开始&quo

  • 本地策略提示不能确定应用到此机器的组策略安全性设置的解决方法 2014-10-12

    最近进入客户的服务器本地安全策略,进入哪个选项都会提示不能确定应用到此机器的组策略安全性设置.在尝试从本地安全策略数据库(%windir%\security\database\secedit.sdb)中检索这些设置时返回的错误为: 参数不正确. 错误提示信息: 不能确定应用到此机器的组策略安全性设置.在尝试从本地安全策略数据库(%windir% \security\database\secedit.sdb)中检索这些设置时返回的错误为: 参数不正确.所 有本地安全性设置都将被显示,但是不会指出一

  • Win2003的事件跟踪程序关闭与显示的方法(组策略与注册表) 2014-11-03

    Windows Server 2003 的推出真给我们带来了全新的感受,在设计上更人性化,更体贴.但也给我们个人用户的习惯带来的冲击.每次关闭系统的时候,WIN2003的事件跟踪程序总在问我们为什么关机器,说实话,每次都问真烦 关闭事件跟踪程序的两种方法: 第一种方法:正常的系统版本(组策略) 开始-运行-输入"gpedit.msc",打开组策略编辑器,在右边的计算机配置-管理模板-系统,双击"显示关闭事件跟踪程序",设置为己禁用 第二种方法: 注册表 客户的服务器

  • windows xp 家庭用户内存优化指南 2014-11-21

    好多人的家里只有一台计算机,主要用来上上网和玩游戏,并且配置也不是很高,如果装上了windows xp,你的感觉可以用一个字来形容:慢!这就是我装完windows体验版(windows xp的中文名字)的一个体验.为什么这么慢呢,因为微软为了让你有新的体验,所以往windows xp中加入了大量崭新的功能,比如:帮助中心,远程桌面,系统恢复,自动软件更新,internet时间同步--,对于我而言,这些功能基本用不上,白白的耗了内存.要知道,大多人的机器仍然只有128m(虽然我的机器有384m的内