Chrome - 美国国安局设置 - 组策略 - Policy - 江3
关于Firefox的技巧的文档:侧边栏视图、缩略图视图,by江3如此多娇
为啥用Chrome?
如何快速配置Chrome?
如何更新组策略模板?
如何在Chrome中查看插件信息?
插件黑名单:
扩展:
扩展黑白名单:
数据和缓存目录:
默认搜索服务提供商:
安全浏览,即钓鱼和恶意Sites拦截:
协议权限:
3D绘图:
Cookie和JS
如下部分不翻译了,普通用户一般用户到,有兴趣的自己查阅PDF
//组策略管理模板:https://www.360docs.net/doc/c96590937.html,/administrators/policy-list-3,
//设置方法参考这个帖子:
为啥用Chrome?
●沙盒,
●Safe Browsing,即Phishing and Malware Protecton,
●CRLset,可离线验证证书,并自动更新数据
●内置插件,带沙盒
如何快速配置Chrome?
//如何快速部署Chrome-江3,
组策略对应的注册表项为: HKLM\Software\Policies\Google\Chrome\
Google Chrome与Google Chrome默认设置有何区别?
后者是前者子集,仅当前者为配置的参数后者的对应参数才能生效,所以推荐使用前者Google Chrome,
而计算机和用户这2个组策略的区别就是优先级,计算机的更高,所以在计算机组队Google Chrome中设置的策略级别最高,无法更改;其次是计算机组中的Google Chrome默认设置,再其次是用户组的Google Chrome,最后是用户组的Google Chrome默认设置;
不过,普通用户配置自己的电脑,我推荐使用优先级最高的计算机组Google Chrome策略,这样一个电脑上的所有Chrome族浏览器都使用相同的策略
如何更新组策略模板?
在Chrome族浏览器中打开chrome:policy查看组策略配置,失效的策略在“状态”列中显示“该策略已失效”
Chrome会依然显示相差在4个主版本内的失效策略,超过4个版本的失效策略将被删除
在应用更新的组策略前必须先重置失效的策略,这样应用更新后才会自动删除已失效的策略
//别说我没告诉你啊,最好先在组策略中把用户配置文件目录、缓存目录、媒体缓存大小等等所有都设置好,再安装Chrome,
//否则就等着Chrome默认配置日你吧,在组策略中可以设置2个主要项目
//组策略的设置可以实时生效,所以你可以把组策略的mmc放到桌面,随时修改,修改项目会把Chrome中对应项目变灰色,并显示感叹号
==============================
如何添加组策略条目?
插件查找器:参考Firefox的搜索插件路径参数,
下表为Chrome内置的插件
下表为常用但非Chrome内置的插件
如果插件使用网景插件API,即NPAPI就不入沙;
如果插件使用Pepper插件API,即PPAPI,就入沙;
大部分常用的插件不入沙盒,Ch8加入入沙版PDF viewer,Ch21加入入沙版Adobe Flash
注意:只有沙盒版允许运行Windows Store App,即之前的Metro或叫Modern UI,所以Win8上的Chrome不能使用NPAPI插件;
如何在Chrome中查看插件信息?
在omnibox中输入:chrome:plugins,点击右上角详细信息:
类型:是NPAPI还是PPAPI
名字:可以用来在组策略中加入白名单的
插件白名单是区分大小写的,并且可以精确到版本号,但是可以使用通配符*和?,比如QuickTime Plugin*或者QuickTime Plugin ?.?.?来表示允许所有版本的QuickTime插件,再比如,用*Microsoft Office*表示所有的MS Office插件版本。还可以使用Mime@URLs类型白名单,也就是精确到插件的使用Sites。注意Chrome黑白名单的格式,*.外面有【】
Chrome会自动升级内置插件,但是不会自动升级非内置插件,这样插件需要用户使用插件产品的安装包安装,除此,自动升级插件不依赖Google Update服务。
插件黑名单:
建议开启插件黑名单,因为大部分主流插件都不入沙盒;可以通过插件信息页面chrome:plugins中的插件名右侧附近的“下系统关键安全更新”来更新过期插件
扩展:
大部分扩展通过Chrome商店安装,但是商店的扩展有相当一部分不是Google编写的。不过使用扩展比使用插件危险小得多,因为扩展到权限往往受限制,不能像插件那样完全获得完全的接触操作系统的权利。使用扩展要时刻警惕其可解除的数据数量和类型,以及扩展可能发送哪些数据
危险等级权限
高!可以访问文件系统和所有你访问的Web Sites恩可以使用摄像头和读写文件中!可以访问所有你访问的Sites(不=所有Web Sites,否则扩展就可以访问任何Sites了)
低!可以访问书签、历史、剪贴板数据、物理位置、打开的标签、扩展列表Google Chrome对扩展到安全权限分级外,在运行/允许扩展时还应该考虑到扩展对网络的需求的安全问题,比如Chrome把基于Geolocation Info的物理位置定位视为低危险,但扩展的物理位置定位在具体操作时对某个网络有需求时其安全级别可能被视为高危险(这里有点不解~)
扩展权限可以通过2个方法查看:扩展到详细信息、安装时警告!
扩展黑白名单:
如下图,在组策略中可以配置黑白名单,使用*表示所有扩展强制安装的扩展优先级高于白名单扩展,所以即使白名单中没有加入某个扩展到ID,强制安装的扩展也属于白名单,这是默许的,但是还是建议把强制安装的扩展名单也加到白名单里,这样能方便的从一个名单中查看所有允许的扩展下面的表格是一些常用的扩展,你可以发现,Google Chrome的很多扩展都是中级危险等级
常用扩展举例:
以ScriptSafe和HTTPS Everywhere为例,如何强制安装扩展:
●扩展ID:获取扩展ID的2个方法,
●更新URL:应用商店中的扩展到更新URL是同一的https://https://www.360docs.net/doc/c96590937.html,/service/update2/crx;不在商店中的扩展的更新URL可以通过一个指向
XML文件来获取升级信息,可以通过解压CRX扩展中的manifest.json文件的update_url字段来获取,如果找不到该字段表示该扩展无法自动更新
Chrome使用内部自动更新机制,无须Google Update更新服务支持,一旦有新版本扩展时Chrome会自动更新;来自商店的扩展始终是自动更新,而来自其他来源的扩展要自动更新必须如上面所说的扩展自己必须先支持。此外,Chrome21开始,来自非商店的扩展可能需要在“配置扩展程序、应用和用户脚本安装来源“策略中填入扩展到网站URL。
Chrome程序自动更新是在一个基本的方式上-Google Update服务(该服务属于一个开源项目-Omaha项目),该服务与Chrome是独立的,Google使用该服务来升级Google的所有产品,比如Google earth,该服务只有当所有的Google产品都被卸载后才自动从系统上卸载。Google Update服务根据系统配置的不同使用不同的更新策略,最主要的策略是Windows计划任务服务,如下表,有2个服务:一个是24检查一次,一个是1小时检查一次
注意:确保使用管理员权限登录Windows,否则可能无法查看计划任务
如果上面的某个任务被禁用,或者干脆把Windows Task Scheduler服务禁用了时,Google会使用自己的服务完成自动更新,如下图用户可以在右面的链接中下载Google Update策略模板:ADM template for configuring Google Update (auto-updates),设置方法参考该贴,如果要设置Google Update策略,先设置Auto-update check period override为true,再把Minutes between update checks设为0,Disable all auto-update
checks (not recommended)表示关闭所有Google差评的自动更新检查;
上面的组策略设置对应会修改如下的注册表项:HKLM\Software\Policies\Google\Update\的2个DWORD型条目:AutoUpdateCheckPeriodMinutes=0 DisableAutoUpdateChecksCheckboxValue=1
果不想使用Google Update策略模板来设置,就给用这2个注册表直接搞定!
上面的策略/注册表设置可以关闭Chrome及其他Google产品的自动更新,但是Google Update服务还是会尝试自动更新自己,所有可以通过Windows服务管理器禁止Google Update的2个服务来彻底禁止Google Update服务,同时也彻底禁止Chrome的自动更新了;当然,同理还是可以用注册表来完成:把HKLM\System\CurrentControlSet\Services下的 Start条目的值设为4来禁用gpupdate和gpupdatem服务
想彻底禁止Chrome自动更新没那么容易,因为Chrome还有一个插件,上面的Table6中最后一个Google Update plugin,可以在上面的插件黑白名单策略中开启/禁用该插件;注意:不管这些策略如何设置,Chrome还是会强制性自动升级部分内置插件、扩展、证书销毁数据
注意:安装Chrome会自动安装Google Update服务,估计其他产品也一样
=======================================================
数据和缓存目录:
默认用户配置目录:C:\Users\
因为Windows的同步-Roaming时不会同步AppData的Local文件,所以想要使用Roaming来同步用户配置,你可能需要修改环境变量:
把“设置用户数据目录”设为为${roaming_app_data}\Chrome\就会是Chrome的配置文件转移到:C:\Users\
下表是一些常用的环境变量:
注意:Google 更新时安装包是不是到组策略的设置的,所以,还是会在C:\Users\
默认搜索服务提供商:
如果在omnibox输入的不是URL,那么Chrome会自动使用默认搜索引擎提供商搜索,使用如下几个策略可以把默认搜索服务改为:https://https://www.360docs.net/doc/c96590937.html,
安全浏览,即钓鱼和恶意Sites拦截:
基于本地数据库,而非在线查询,如果某些情况下Chrome会把URL加密发送到Google进行分析,但不会直接明文发送,要想SHA1 hash一下
协议权限:
可以在组策略中禁用某些协议,比如file, javascript,ftp,view-source(房子用户查看Web Page源码)3D绘图:
WebGL是浏览器的3D硬件加速绘图技术,目前应用的Site很少,禁用对实际影响不大,所以可以禁用来预防未知的潜在漏洞的威胁
Cookie和JS
虽然可以在组策略彻底禁用Cookie和JS,并通过添加白名单来放行,但是建议这里不要那样做,因为有时候需要临时放行来排除某些Sites的现实问题如下部分不翻译了,普通用户一般用户到,有兴趣的自己查阅PDF 5.2.1 Mapping Policy Names to Registry Data 组策略对应的注册表项5.2.2 Example Policy Registry Data 举例
5.3 Appendix C: Chrome Extension Permissions and Warnings 扩展权限和警告的意义5.4 Appendix D: PowerShell Scripts PowerShell脚本快速配置
组策略应用案例探析
组策略应用案例 实验环境 BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置 1所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序,比如计算器,画图等。 3 配置域用户所有IE的默认设定为本企业网站,保证员工打开IE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 5保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源。 6 关闭2003的事件跟踪,公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。 9取消自动播放,以防止插入U盘有病毒,自动运行病毒 10 除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。
实验目的 1所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 4所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放 10 管理员可以使用本地连接-属性,任何域用户帐号不可使用. 实验准备 1 一人一组 2 准备两台Windows Server2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24
使用windows组策略对计算机进行安全配置.
综合性实验项目名称:使用windows组策略对计算机进行安全配置 一、实验目的及要求: 1.组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件,计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理: 组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件,计算机和用户策略。 三、主要仪器设备及实验耗材: PC机一台,Windows2000系统,具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定,即可运行程序。 依次进行以下实验: (1)隐藏驱动器 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。
图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时,我们有时要离开座位一段时间,如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户并登录到别的账户,就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录,让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”,然后双击右侧窗格的”拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示
用组策略从十大方面保护Windows安全
用组策略从十大方面保护Windows安全 Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。 一、给我们的IP添加安全策略? 在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。? 图 1 小提示由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。 二、隐藏驱动器 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows 资源管理器”(如图2)。
图 2 三、禁用指定的文件类型 在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行 REG文件,具体操作方法如下: 1.打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指
派的文件类型”、“受信任的出版商”项(图3)。 图 3 2.双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。 3.双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows 无法打开此程序”。 4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的?属性”窗口,按“设为默认值”即可。 如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet?区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的
Window 2008 R2组策略之一——组策略管理控制台
组策略管理在windows域管理中占有重要地位,本身也不是新的内容了。但微软在Windows2008中终于集成了一个非常好用的组策略管理工具——组策略管理控制台。并 且为原有的组策略添加了新的元素。本文从介绍组策略管理控制台入手,力求通过比较通俗的语言,为组策略新手开启一扇进入Windows域高级管理的大门。由于本人水平所限,如有不妥之处,请方家不吝赐教。 在08以前的Windows Server中要想配置组策略,是件麻烦事。后来微软推出了一个 小工具——gpmc,才解决了问题,但这个工具需要下载和安装,许多人不知道有这个工 具的存在。在Windows 2008中,微软将它集成了进来,大大方便了管理员对于组策略的 管理和配置。首先,让我们看看它的庐山真面目吧!点击“开始”,导航到“管理工具”,选 择“Group Policy Management”命令,打开组策略管理控制台。(见图一) 图一 正如各位所见,在此管理控制台的根节点,是一个叫做“https://www.360docs.net/doc/c96590937.html,”的森林根节点。展 开后,可见如下几个主要节点:域,默认情况下是与森林同名的域;组策略对象(Group Policy Objects——GPO),是存放所有组策略的节点,包括用户创建的和默认域策略以及 默认域控制器策略;Starter GPOS(初级使用者GPO),它衍生自一个GPO,并且具有将一组管理模板策略集成在一个对象中的能力(Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative
组策略设置系列篇之“安全选项”2
组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录:不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置,不显示上次成功登录的用户的名称。如果禁用此策略设置,则显示上次登录的用户的名称。 “交互式登录:不显示上次的用户名”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。 对策:将“不显示上次的用户名”设置配置为“已启用”。 潜在影响:用户在登录服务器时,必须始终键入其用户名。 交互式登录:不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置,用户登录时无需按此组合键。如果禁用此策略设置,用户在登录到Windows 之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录:不需要按CTRL+ALT+DEL”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策:将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
管理员操作手册-AD域控及组策略管理_51CTO下载
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控(DC)基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位(OU) (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位:(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象(dsmod) (14) 6、其他命令(dsquery、dsmove、dsrm) (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)
一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于: 1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
组策略安全选项对应注册表项汇总
组策略安全选项对应注册表项汇总 在组策略中的位置:计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] : : ::值名:含义:类型:数据:值名:含义:类型:数 据:0=停用1=启用值名:含义:类型:数据:值 名:RestrictAnonymous含义:对匿名连接的额外限制(通常用于限制IPC$空连接)类型:REG_DWORD数据:0=无.依赖于默认许可权限1=不允许枚举SAM账号和共享2=没有显式匿名权限就无法访问值名ubmitControl含义:允许服务器操作员计划任务(仅用于域控制器)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers]值名:AddPrinterDrivers含义:防止用户安装打印机驱动程序类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management]值名:ClearPageFileAtShutdown含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]值名
rotectionMode含义:增强全局系统对象的默认权限(例如Symbolic Links) 类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]值 名:EnableSecuritySignature含义:对服务器通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对服务器通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnableForcedLogOff含义:当登录时间用完时自动注销用户 (本地)类型:REG_DWORD数据:0=停用1=启用值名:AutoDisconnect 含义:在断开会话产所需要的空闲时间类型:REG_DWORD数据:分钟数[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]值 名:EnableSecuritySignature含义:对客户端通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对客户端通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnablePlainTextPassword含义:发送未加密的密码以连接到第三方SMB服务器类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]值名isablePasswordChange含义:防止计算机帐户密码的系统维护类型:REG_DWORD 数据:0=停用1=启用值名ignSecureChannel含义:安全通道: 对安全通道数据进行数字签名(如果可能)类型:REG_DWORD数据:0=停用 1=启用值名ealSecureChannel含义:安全通道: 对安全通道数据进行数字加密(如果可能)类型:REG_DWORD数据:0=停用1=启用值 名:RequireSignOrSeal含义:安全通道: 对安全通道数据进行数字加密或签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:RequireStrongKey 含义:安全通道: 需要强(Windows 2000 或以上版本)会话密钥类 型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\Driver Signing]值名olicy含义:未签名驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Non-Driver Signing]值名olicy含义:未签名非驱动程序的安装操作类型:REG_BINARY 数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]值名isableCAD 含义:禁用按CTRL ALT DEL进行登录的设置类型:REG_DWORD数据:0=停用1=启用值名ontDisplayLastUserName含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用值名:LegalNoticeCaption含义:用户试图登录时消息标题类型:REG_SZ数据:标题文本值名:LegalNoticeText含义:用户试图登录时消息文字类型:REG_SZ数据:消息文字值名hutdownWithoutLogon含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel含义:故障恢复控制台:允许自动系统管理级登录类 型:REG_DWORD数据:0=停用1=启用值名etCommand含义:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问类型:REG_DWORD 数据:0=停用1=启用[MACHINE\Software\[M$]\Windows NT\CurrentVersion\Winlogon]值名:AllocateCDRoms含义:只有本地登录的用户才能访
使用组策略修改客户端DNS设置
1.编写DNS设置计算机策略脚本 1)新建文本文档并重命名为computer.bat 2)编辑computer.bat,将以下命令复制进去并保存 netsh interface ip set dns "本地连接" static <首选DNS> netsh interface ip add dns "本地连接" <备选DNS> netsh interface ip add dns "本地连接" addr=<备选DNS 2> index=3 netsh interface ip add dns "本地连接" addr=<备选DNS 3> index=4 2.编写DNS设置用户策略脚本 1)新建文本文档并重命名为user.bat 2)编辑user.bat,将以下命令复制进去并保存 echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip set dns "本地连接" static <首选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" <备选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS2> index=3" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS3> index=4" 3.设置计算机策略 1)依次打开“组策略管理器”—组策略对象—找到对应OU的组策略。 2)右击编辑—“计算机配置”—“策略”—“Windows设置”—“脚 本”—“启动” 3)在弹出的对话框中选择“添加”—“浏览”,将新建的computer.bat复制 进去,选择computer.bat保存确定。 4.设置用户策略
组策略对windows7的安全性设置(陈琪) - 修改
组策略对windows7的安全性设置 陈琪 (重庆市商务学校重庆市大渡口区400080) 【摘要】:现在Win7系统已成为电脑市场的主流,大量企业和家庭个人都选择使用Win7系统,主要是Win7系统设计具有人性化、操作非常的简单,更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷,用户往往是通过第三方软件来实现,但是这些方法往往不具有个性化的设置,而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】:组策略点击用户配置驱动器木马权限哈希值【引言】:在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此,限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的,有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】: 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。
1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器:点击“开始”,在搜索框中输入“gpedit.msc”,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器”,选择“已启用”,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机”,刚才选择的驱动器图标就不见了。提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备(例如闪存、移动硬盘等)已经成为不少用户的标准配置,使用也最为广泛。正因如此,它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵,因为病毒传播都是通过执行病毒和木马程序来实现的,因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”,进入“可移动磁盘:拒绝执行权限”,选择“已启用”,确定后设置生效。移动设备上的可执行文件将不能执行,计算机也就不会再被病毒感染。而如果需要执行,只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网,可是说实话,现在上网一点也不省心,病毒、木马和流氓软件横行,连不少大网站都会被挂一些别有用心的软件,用户真是防不胜防。所以网络安全性的设置相当重要。
组策略应用大全
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
组策略与安全设置
组策略与安全设置 系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,从而减轻网络管理的负担。 组策略概述 组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有应有的工作环境,也通过他来限制用户。因此,不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。 组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响,而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。 ●本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背 应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。 ●域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内 的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。 对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无效。 本地计算机策略实例演示 以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本地计算机策略的设置无效,因而影响到验证实验结果。 计算机配置实例演示 当我们要将Windows Server2012计算机关机时,系统会要求我们提供关机的理由,以下实例完成后,系统就不会在要求你说明关机理由了。
开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用 以后关机或重启计算机时,系统都不会再询问了。 注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。 用户配置实例演示 以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选项的安全和连接标签。也就是经过以下设置后,浏览器内的安全和连接标签消失了。 用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用,此设置会立即应用到所有用户。
如何设置常用组策略
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
Active Directory 环境中使用组策略管理控制台 9468915501
Active Directory 环境中使用组策略管理控制 台9468915501 该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。该指南并不提供G PO 实施指导。 本页内容 简介 逐步式指南 Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。本指南第一介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory?;安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。 ? ?
在配置通用网络结构后,能够使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。 Microsoft Virtual PC 能够在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。 Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。 将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。 重要讲明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。 此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。 此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。 概述 Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具,它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。
组策略的管理(账户锁定策略)
组策略的管理(账户锁定策略) 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”,可打开组策略控制台,依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 (1)账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户,除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0,则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上,失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中,双击“账户锁定阈值”选项,显示“账户锁定阈值属性”对话框,选中“定义这个策略设置”复选框,在“账户不锁定”文本框中输入无效登录的次数,例如3,则表示3次无效登录后,锁定登录所使用的账户。 建议启用该策略,并设置为至少3次,以避免非法用户登录。 (2)账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将被锁定。
如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框,选中“定义这个策略设置”复选框,在“账户锁定时间”文本框中输入账户锁定时间,例如30,则表示账户被锁定的时间为30分钟,30分钟后方可使用再次使用被锁定的账户。 默认值为无,因为只有当指定了账户锁定阈值时,该策略设置才有意义。 (3)复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数,有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框,选中“定义这个策略设置”复选框,在“复位账户锁定计数器”文本框中输入账户锁定复位的时间,例如30,表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时,该策略设置才有意义。
Windows操作系统组策略应用全攻略
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
远程修改组策略
远程修改组策略 由于管理员的误操作导致了本地策略拒绝所有人登录,如何恢复呢?今天我们就来做这个实验! 首先,我们要做一下的准备工作: 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置,使得任何用户都无法登录。 (1.)在Berlin上,点击开始/运行,输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器,然后点击windows设置/安全设置/本地策略/用户权限分配,如下图所示:
打开以后我们就可以找到拒绝本地登录这一项了,双击打开 打开后点击添加用户和组,把User用户添加进去
点击确定后,注销计算机。 任何的用户都无法登录了,甚至就连大名鼎鼎的管理员也无法登录了! OK!实验正式开始了! 我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务,但计算机默认的telnet服务是关闭的,首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中,右键点击我的电脑,打开计算机管理,然后右键点击:计算机管理(本地)——连接到另一台计算机,如下图:
在选择计算机中输入Berlin的IP地址,然后点击确定。 然后的服务中找到Telnet,
手动启动起来。 OK!我觉得现在的准备工作才算完成了!接下来我们要用Telnet 把Berlin连接过来。 在Florence中,点击开始/运行,输入cmd
键入telnet 192.168.12.103 在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。 完成以后不用着急关闭该提示符。
Windows组策略应用大全
Windows组策略应用大全.txt9母爱是一滴甘露,亲吻干涸的泥土,它用细雨的温情,用钻石的坚毅,期待着闪着碎光的泥土的肥沃;母爱不是人生中的一个凝固点,而是一条流动的河,这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows?9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows?2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active?Directory?对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet?Explorer策略设置。 3)Wmplayer.adm:用于Windows?Media?Player?设置。 4)Conf.adm:用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows?9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下:首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。