作为一个系统管理员,常常要为管理系统的事操心,要保障系统的安全,又要使某些操作更加简便,又要在网络(WAN/LAN)中为某些用户分配相应的权利……还常常要与注册表打交道,却要提心吊胆生怕出错毁了整个系统毁了自己长期努力的结果,那是多么不值的事啊!
组策略是Windows XP Professional版提供的一个不可多得的好工具,它涉及的管理范围广,可以代替绝大部分的编辑注册表的操作,这样一来就省去了在茫茫注册表里翻个不停,也不用害怕弄错注册表酿成大错。
本文主要对组策略做一个初步的认识和了解,要一下子完全掌握它不太现实,我也只是懂得一些比较基本的操作,也正在不停地摸索和前进。我会尽我所能使本文更加完善,分类讨论各个方面的设置。
由于组策略不是常用程序,所以它不会出现在开始菜单或者程序栏里,它位于%systemroot%/system32/文件夹下,全名为gpedit.msc.双击其即可运行,或者直接运行gpedit.msc也可。需要注意的是,只有以系统管理员身份的用户登录才有权访问组策略。
打开组策略,让我们来熟悉一下它的界面,如图一:
图一:组策略基本界面
是不是很熟悉?像Windows的资源管理器一样,很容易上手吧?左边的控制台树用来定位我们想要查看和修改的类别(就像资源管理器里定位到硬盘分区下的某个文件夹一样),右边的细节窗口显示该类别下的各个策略,点击相应的策略,即可在中间的描述窗口看到对应策略的描述信息和实现该策略所需要的软硬件要求。
现在回到控制台树,可以看到整个组策略就分为两大类:计算机配置和用户配置。计算机配置对应的注册表子树键是HKEY_LOCAL_MACHINE,该设置对本地计算机上的所有用户都生效;用户配置则对应HKEY_CURRENT_USER子树键,设置只对当前用户生效。
安全设置:请定位到 计算机配置|Windows设置|安全设置,如图二:
图二:安全设置分支(部分)
先来看看帐户策略。默认情况下,Windows XP允许用户在输入错误密码的情况下无限数次地输入密码,这样的话,如果密码过于简单的话,加上有足够的时间,很可能就被破解了。这样,我们必须把密码设得复杂一点,那就启用密码策略里的“密码必须符合复杂性要求”吧(密码复杂性的定义是指密码由混合大小写字母、数字及特殊符号组成)。另外,想想到银行自动取款机取款,如果输入三次密码错误的话,你的帐户就会被锁定一段时间,这样的话你就拿不到钱了。同样,我们也可以在帐户锁定策略里设置在输入几次无效密码后自动锁定帐户,以及锁定时间的长短。
接下来定位到本地策略下的用户权利指派,我们可以在这里为受限分配特殊的权限,也可删除用户某些原有的权限,比如关闭计算机(你可以设置只有你管理员才有权关闭计算机)、远程关闭计算机(设置允许用户在局域网中别的机器上将本机关闭)、更改系统时间等等几十个策略,大家慢慢看,我喝杯水再继续。^_^
大多数管理员出于安全的原因,会对系统的内置帐户Administartor和Guest改名,这样别人就很难知道用户名从而无从猜测密码。要实现这个设置,请点击本地策略下的安全选项分支,更改“帐户:重命名系统管理员帐户/来宾帐户”两个策略。如果这样设置,并且是通过Windows登录框登录系统的话,上次登录系统时的用户名就会轻易暴露在登录框上,这样也会被别人知道了,所以最好同时也启用“交互式登录:不显示上次的用户名”策略。
看到“交互式登录:用户试图登录时消息标题/文字”两个策略了吗?这可以在用户登录系统前显示相关的信息。想到了什么?恶作剧?――对,以前听朋友说看到别人在启动时添加的“警告”信息就是这个!就是一些人以前常修改的注册表中HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon下的LegalNoticeCaption和LegalNoticeText的键值。
再来看看管理模板里的内容,如图三:
图三:管理模板分支(部分)
管理模板提供了对Windows组件、系统、网络及打印机方面的设置。写到这里,我才发现我只写了这么一点。而看到壮观的目录树,脚都软了!这个就有待大家慢慢研究吧,可以根据自己需求看着描述设置,让我也偷偷懒。
至此,我们的“计算机配置”部分就告一个段落,进入“用户配置”部分:
用户配置总体与计算机配置大同小异,我们可以禁用IE、NetMeeting等组件的一些功能,锁定开始菜单、桌面、控制面板、共享文件夹和其它软件的界面以防被更改,还可精简开始菜单,删除其中的一些按钮以达到屏蔽某些功能的目的。具体请定位到用户配置|管理模板进行相关设置。
值得一讲的是,组策略不仅可以使我们的计算机更加安全、更方便管理,还可以使IE更加个性化!如图四:
图四:Internet Explored维护
用Internet Explorer维护可定义IE的界面、收藏夹和连接设置等。定位到浏览器用户界面,定义IE的标题栏、徽标、工具栏,如图五:
图五:定义IE界面设置――定义徽标
设置重要URL,如IE主页、搜索主页、帮助与支持页面,定位到URL,如图六:
图六:定义URL设置――定义重要URL
看过这些内容,对于组策略的强大功能是不是已经为之汗颜了?而即将推出的Windows XP Professional SP2的组策略还会改进,功能将会更强大!不禁感叹“学海无涯”,我们拭目以待吧!
渐渐熟悉后,你可能会发现计算机配置|Windows设置|安全设置中的公钥策略和软件限制策略等某些策略是空策略。在日后,我们可根据实际情况的需要自己尝试添加策略。
无奈由于时间、水平等众多因素。仅介绍了组策略中微不足道的一小部分内容,当然,根据不同的情况,所要求的也会不同。菜鸟我不能一一叙述,但愿我所写到的能够给大家一丝丝的帮助和启示,更多的组策略设置,只能靠各位去挖掘,去发现。也欢迎大家与我共同探讨!
