组策略终极应用技巧

W i n d o w s系统组策略应用技巧精编Document number：WTT-LKK-GBB-08921-EIGG-22986Windows系统组策略应用最新技巧系统几乎是各位网络管理人员管理网络时的必用利器之一，有关该利器的常规应用技巧，相信许多人都已经耳熟能详了。

但是笔者一直认为，只要我们足够细心、用心，就一定会从系统组策略中不断挖掘出新的应用技巧来。

不信的话，就来看看下面的内容吧，相信它们会帮助大家进入一个新的应用新“境界”!巧限程序，谨防“自锁”Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目，一旦你将该项目启用，同时限制好指定的程序可以运行外，那么无论你是否在“只允许运行程序列表”中，添加了命令，只要“只允许运行Windows 应用程序”的组策略项目生效，系统的组策略就会自动“自锁”，即使你在超级管理员帐号下使用“”命令，也不能打开系统的组策略编辑窗口!那么有没有一种办法，既能限制应用程序的运行，又能防止系统组策略出现“自锁”现象呢答案是肯定的，你可以按照如下步骤来操作:首先依次单击“开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令“”，单击“确定”按钮后，打开系统组策略编辑窗口;依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目，在对应“系统”项目右边的子窗口中，双击“只运行许可的Windows应用程序”选项，在其后弹出的界面中，将“已启用”选项选中。

随后，你将在对应的窗口中看到“显示”按钮被自动激活，再单击“显示”按钮，然后继续单击其后窗口中的“添加”按钮，再将需要运行的应用程序名称输入在添加设置框中，最后单击“确定”按钮;下面，请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框，并在其中执行“”命令，此时你将发现系统组策略编辑程序已经无法运行了!不过，幸亏前面没有将组策略编辑窗口关闭，现在你可以继续在组策略编辑窗口中，双击刚才设置的“只允许运行Windows应用程序”项目，然后在弹出的策略设置窗口中，选中“未配置”选项，最后单击一下“确定”按钮，这样就能实现既可以限制运行应用程序的目的，又能阻止系统组策略出现“自锁”现象。

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

考虑到安全方面的原因，Windows 7已经开发了许多新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。

这些功能的配置取决于您的具体要求和使用环境，本文将主要介绍Windows 7组策略的安全使用技巧，介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。

一、系统设置安全篇1. 禁止运行指定程序系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。

通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。

具体步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

(2)在左边的窗格依次单击“用户配置→管理模板→系统”，然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。

图1 双击“不要运行指定的Windows应用程序”(3)选中“已启用”，单击“显示”按钮(如图2所示)，添加要阻止的程序如“Wgatray.exe”即可。

图2 添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。

把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。

要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。

这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。

该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。

组策略攻略概念：组策略对象可以应用到的容器包括：站点、域、OU。

默认的域策略、域控制器策略尽量不要去修改。

默认的域策略会影响到所有的域内的用户，计算机以及DC，默认的域控制器策略只会影响到域内的所有的域控制器。

组策略（group policy）对象包括组策略容器（GPC）和组策略模板（GPT）组策略是AD集中管理的工具。

GPC存放在AD用户和计算机中。

存放位置如下：高级功能-选择域-system-policies对应的UID中，单击属性可以查看版本号等信息，CPT存放于sysvol\域名\polilcies\ID number下的文件夹下，包含计算机和用户的配置，以及版本号。

多个GPO可以链接到一个容器，一个GPO可以链接到多个容器。

强制：是不受组策略阻断影响，Q&A：如何实现OU内的GPO只（不）对OU内特定人员生效？（GPO只对财务部OU和销售部OU的经理生效）使用安全过滤；在AD用户和计算机中新建一个安全组，将需要生效的成员（经理）添加进来，在所要生效的GPO中右击属性-委派-高级，删除默认的authe nticated user组，将新建的安全组添加进来，权限中设置读取和应用（拒绝）组策略权限即可。

（尽量不要使用，方便排错）如果一个程序有多个软件限制策略规则，该如何应用？按照1：哈希；2：证书；3：路径；4：internet区域路径规则；优先级顺序执行。

组策略的执行顺序为：本地策略、站点策略、域策略、父OU策略、子OU策略。

后执行的优先级高。

如多于一个的同类规则作用于同一个程序，则同类规则中最具有限制能力的规则起作用。

如何禁止客户端本地登录，只能使用域环境登录？打开GPMC，在所要设置的GPO中编辑如下：计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中，单击允许本地登录，安全选项中，帐户：管理员帐户状态，禁用，可以实现只能登陆到域。

组策略如何备份？打开GPMC-组策略对象，在需要备份的GPO中单击备份，要备份所有的GPO，单击组策略对象，选择备份。

★组策略的终极应用★组策略的应用先给初学的扫扫盲：说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。

很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

简单点说，组策略就是修改注册表中的配置。

当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行组策略。

先看看组策略的全貌，如图。

本文将主要讲解以下内容：计算机配置||__Windows设置| || |__脚本(启动/关机)| |__安全设置| |__账户策略| | |__密码策略| | |__账户锁定策略| |__本地策略| | |__审核策略| | |__用户权利指派| | |__安全选项| |__公钥策略| | |__正在加密文件系统@| |__软件限制策略| | |__安全级别| | |__其他规则@| |__IP安全策略,在本地计算机||__用户配置||__Windows设置||__管理模板|__任务栏和[开始]菜单|__桌面|__控制面板|__网络|__系统|__Windows组件Win2003 Server帐户和本地策略配置（上）在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。

下面分别予以介绍。

一、密码策略的设置密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史密码最长使用期限密码最短使用期限密码长度最小值密码必须符合复杂性要求用可还原的加密来存储密码以上各项的配置方法均需根据当前用户帐户类型来选择。

组策略最佳实践之降龙十八掌希望对大家有用！降龙十八掌第一式——亢龙有悔：单独保留默认的GPOs（推荐）1、Default Domain Policy & Default Domain Controllers Policy密码、帐户锁定和Kerberos策略设置必须在域级别实现（如果在OU级别上去做，只是对计算机的本地用户生效而不是域用户）还有以下设置：登录时间用完自动注销用户，重命名（Domain）管理员帐户和重命名（Domain）来宾帐户。

这些策略也必须在域级别实现，也是只有这些策略需要在域级别上设置。

2、使用以下两种方法：（1）在Default Domain Policy仅修改以上策略设置，然后在其下链接其他GPO（2）单独保留Default Domain Policy永不修改，创建并链接高优先级的GPO，然后修改策略设置（推荐）1、为什么因为恢复损坏的默认的GPOs是个噩梦？（KB 226243、KB 324800 —KB267553）4、不要依赖DCgpofix（这将是最后的还原工具），Dcgpofix还原默认的GPOs到干净的安装状态。

最好的方法使用您的备份替代！降龙十八掌第二式——飞龙在天：设计OU结构1、将DC放在DC所在的OU里并单独管理2、为用户和计算机创建单独的OU3、使用OU把用户/计算机按照角色分组，例如：（1）计算机：邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等（2）域控制器：保留在默认的Domain controllers OU下（链接Default Domain Controller Policy GPO）（3）用户：IT职员、工程师、车间、移动用户等4、默认情况下，所有新帐户创建在cn=users或者cn=computers（不能链接GPO），所以如果是Windows 2003域：（1）在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认OU（2）允许使用组策略管理新创建的帐户（使用“redirusr.exe”和“redircmp.exe”两个命令，为使重定向成功，在目录域中的域功能级别必须至少是windows server 2003，这两个工具是内置的，示例：所用域的名字是zxy.xy，让新计算机加入到域，默认注册到TEST的OU中去，进入命令提示符：c:\>redircmp“ou=test,dc=zxy,dc=xy”用户的相同）（命令创建计算机帐户：c:>net computer [url=file://computername/]\\computername[/url] /add）降龙十八掌第三式——龙战于野：反对跨域GPO链接如果你公司是多域环境，绝对不要把父域的GPO链接到子域来使用，相反亦然。

Windows系统组策略应用最新技巧系统组策略几乎是各位网络治理人员治理网络时的必用利器之一，有关该利器的常规应用技巧，相信许多人都差不多耳熟能详了。

然而笔者一直认为，只要我们足够细心、用心，就一定会从系统组策略中不断挖掘出新的应用技巧来。

不信的话，就来看看下面的内容吧，相信它们会关心大伙儿进入一个新的应用新〝境域〞!巧限程序，防备〝自锁〞Windows服务器中有一个名为〝只承诺运行Windows应用程序〞的组策略项目，一旦你将该项目启用，同时限制好指定的程序能够运行外，那么不管你是否在〝只承诺运行程序列表〞中，添加了gpedit.msc命令，只要〝只承诺运行Windows应用程序〞的组策略项目生效，系统的组策略就会自动〝自锁〞，即使你在超级治理员帐号下使用〝gpedit.msc〞命令，也不能打开系统的组策略编辑窗口!那么有没有一种方法，既能限制应用程序的运行，又能防止系统组策略显现〝自锁〞现象呢?答案是确信的，你能够按照如下步骤来操作:第一依次单击〝开始〞/〝运行〞命令，在弹出的系统运行框中，输入字符串命令〝gpedit.msc〞，单击〝确定〞按钮后，打开系统组策略编辑窗口;依次展开该窗口中的〝用户配置〞/〝治理模板〞/〝系统〞项目，在对应〝系统〞项目右边的子窗口中，双击〝只运行许可的Windows应用程序〞选项，在其后弹出的界面中，将〝已启用〞选项选中。

随后，你将在对应的窗口中看到〝显示〞按钮被自动激活，再单击〝显示〞按钮，然后连续单击其后窗口中的〝添加〞按钮，再将需要运行的应用程序名称输入在添加设置框中，最后单击〝确定〞按钮;下面，请大伙儿千万不要将组策略编辑窗口赶忙关闭;然后打开系统运行对话框，并在其中执行〝gpedit.msc〞命令，现在你将发觉系统组策略编辑程序差不多无法运行了!只是，幸亏前面没有将组策略编辑窗口关闭，现在你能够连续在组策略编辑窗口中，双击刚才设置的〝只承诺运行Windows应用程序〞项目，然后在弹出的策略设置窗口中，选中〝未配置〞选项，最后单击一下〝确定〞按钮，如此就能实现既能够限制运行应用程序的目的，又能阻止系统组策略显现〝自锁〞现象。