论文部分内容阅读
提到系统组策略,相信各位朋友都会对它的强大系统管理功能佩服不已;不过在享受组策略给我们带来方便的同时,也需要加强对组策略自身的管理,以便让组策略能更高效地为我们服务。为此,本文从组策略本身出发,详细为大家介绍几则管理组策略的技巧,相信会让大家耳目一新。
缩短生效时间
一般来说,对Windows域进行的任何安全策略的设置,并不会在设置完毕后立即生效,通常需要有大约10分钟的间隔时间,才能让Windows域的安全策略设置自动更新生效。那么我们能否对系统组策略进行一下设置,让其安全策略修改完毕之后就能立即有效呢?其实很简单,只要借助Windows服务器系统内置的组策略管理命令,就能轻松做到这一点,下面就是缩短安全策略设置生效时间的具体操作步骤:
在Windows 2000服务器系统中,先要打开运行对话框,将“cmd”字符串命令输入其中,单击“确定”后,将Windows工作状态转换到MS-DOS命令行状态;如果希望系统的安全策略设置在修改完毕后能立即生效的话,只要在命令行中执行“secedit /refreshpolicy machine_policy /enforce”字符串命令就可以了。
要是希望对用户策略进行的任何修改设置在操作完毕后就能立即有效的话,只要在DOS命令行中执行“secedit /refreshpolicy user_policy /enforce”字符串命令即可。
如果我们使用的是Windows XP、Windows 2003服务器系统的话,那么缩短组策略设置生效时间的具体操作又会有所不同。例如,如果希望对系统策略所进行的任何设置,在操作完毕后就能立即有效的话,就需要在DOS命令中,执行“gpupdate /target:computer”字符串命令,随后弹出的如图1界面将提示我们是否刷新完成。
如果希望对用户策略进行的任何策略设置,在操作完毕后就能立即有效的话,就需要在DOS命令行中,执行“gpupdate /target:user”字符串命令;如果希望对任何策略进行的修改设置,在修改完毕后就能立即有效的话,只需要在DOS命令行中执行“gpupdate”字符串命令就可以了。
预防自我锁定
这里所说的“自我锁定”,就是指对组策略操作不当,造成下次无法正常启用组策略的现象。一般来说,如果将组策略中的“只允许运行Windows应用程序”策略设置启用的话,我们就能限制用户使用指定的应用程序,但此时也容易造成组策略发生“自我锁定”现象,也就是说一旦“只允许运行Windows应用程序”策略生效的话,那么哪怕是以超级管理员的登录帐号来执行“gpedit.msc”命令,也无法进入系统组策略编辑界面。如此说来,我们要想不使组策略“自我锁定”,难道只有选择放弃使用“只允许运行Windows应用程序”策略这条路了吗?难道就没有两全其美的办法,既能顺利启用“只允许运行Windows应用程序”策略,又能预防系统组策略的“自我锁定”吗?其实我们只要按照下面的步骤来操作,就能实现双管齐下的目的:
首先打开系统的运行对话框,并在其中执行“gpedit.msc”字符串命令,在随后弹出的组策略编辑界面中,逐步展开其中的分支“用户配置”|“管理模板”|“系统”;其次在“系统”分支的右边区域窗口中,选中“只运行许可的Windows应用程序”项目并用鼠标双击之,打开对应选项的属性设置界面,选中该界面中的“启用”(如图2),接着对应该属性设置界面中的“显示”按钮将被激活生效;此时单击一下该按钮,再单击随后弹出窗口中的“添加”按钮,打开文件选择对话框,在该对话框中将允许用户运行的具体程序名称选中,并单击“确定”按钮将它导入进来。
紧接着,我们不能将组策略编辑界面随手关闭掉,如果不小心关闭的话,系统组策略就会轻易地发生“自我锁定”现象了(不信的话,大家此时可以尝试一下,在关闭组策略编辑窗口之后,再在系统运行对话框中执行字符串命令“gpedit.msc”时,系统将提示你无法启用组策略了)。
下面,我们在还没有关闭的组策略编辑界面中,再次用鼠标双击其中的“只允许运行Windows应用程序”选项,在其后打开的策略属性设置界面中,将“未配置”项目选中,并单击“确定”按钮,最后退出组策略编辑窗口,此时我们可以通过试验进行验证,就能发现两全其美的目的就这样轻而易举地实现了。
巧妙破解锁定
大家知道一旦操作不当,误将系统的组策略锁定起来的话,那么就无法通过组策略来高效管理网络或Windows系统了。其实,我们只要开动脑筋,充分发挥自己的聪明才智,小小的组策略自我锁定又何足畏惧呢?为了方便大家顺利用好组策略,笔者特意总结了两个“妙招”,让大家轻松化解组策略自我锁定之难题:
注册表编辑法
由于组策略中的任何设置在注册表中都有相应的设置和它对应,因此只要变换一下思路,通过修改注册表就可以给组策略的锁定设置解锁了:
首先单击系统“开始”菜单,执行其中的“运行”命令,打开系统运行对话框,在其中执行“regedit”字符串命令,弹出系统注册表编辑界面;将鼠标定位在注册表编辑界面中的HKEY_CURRENT_USERSoftw
arePoliciesMicrosoftMMC{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}分支,在对应{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}分支的右侧窗口区域中,选中“Restrict_Run”项目并用鼠标双击之,在其后出现的数值设置框中(如图3),直接输入“0”,并单击“确定”按钮;
完成好上面的设置任务后,将Windows系统重新启动;之后,再次在系统运行框中执行“gpedit.msc”命令来看看,是不是组策略的锁定故障迎刃而解了!
控制台编辑法
除了通过修改注册表的方法来破解组策略的“自我锁定”故障外,如果我们对系统的控制台操作比较熟悉的话,也可以通过控制台编辑法来实现这样的目的:
一旦系统的组策略窗口发生锁定时,需要先将Windows系统重新启动,在启动过程中按F8键,打开系统启动菜单,选中“带命令行提示的安全模式”选项,将Windows系统转换到命令行工作状态。
接着在命令行中输入字符串命令“mmc.exe”,单击回车键后打开系统控制台窗口,依次单击该窗口菜单栏中的“文件”|“添加/删除管理单元”命令,在随后出现的设置窗口中,单击“独立”选项卡,进入到对应的选项设置页面,再单击该设置页面中的“添加”按钮。
之后,选中“组策略对象编辑器”选项,并单击如图4所示界面中的“添加”按钮,再单击“完成”按钮,最后依次单击“关闭”按钮、“确定”按钮,就可以为Windows系统创建新的组策略控制台;以后将Windows系统再次重新启动,我们就能破解组策略窗口的“自我锁定”故障了。
缩短生效时间
一般来说,对Windows域进行的任何安全策略的设置,并不会在设置完毕后立即生效,通常需要有大约10分钟的间隔时间,才能让Windows域的安全策略设置自动更新生效。那么我们能否对系统组策略进行一下设置,让其安全策略修改完毕之后就能立即有效呢?其实很简单,只要借助Windows服务器系统内置的组策略管理命令,就能轻松做到这一点,下面就是缩短安全策略设置生效时间的具体操作步骤:
在Windows 2000服务器系统中,先要打开运行对话框,将“cmd”字符串命令输入其中,单击“确定”后,将Windows工作状态转换到MS-DOS命令行状态;如果希望系统的安全策略设置在修改完毕后能立即生效的话,只要在命令行中执行“secedit /refreshpolicy machine_policy /enforce”字符串命令就可以了。
要是希望对用户策略进行的任何修改设置在操作完毕后就能立即有效的话,只要在DOS命令行中执行“secedit /refreshpolicy user_policy /enforce”字符串命令即可。
如果我们使用的是Windows XP、Windows 2003服务器系统的话,那么缩短组策略设置生效时间的具体操作又会有所不同。例如,如果希望对系统策略所进行的任何设置,在操作完毕后就能立即有效的话,就需要在DOS命令中,执行“gpupdate /target:computer”字符串命令,随后弹出的如图1界面将提示我们是否刷新完成。
如果希望对用户策略进行的任何策略设置,在操作完毕后就能立即有效的话,就需要在DOS命令行中,执行“gpupdate /target:user”字符串命令;如果希望对任何策略进行的修改设置,在修改完毕后就能立即有效的话,只需要在DOS命令行中执行“gpupdate”字符串命令就可以了。
预防自我锁定
这里所说的“自我锁定”,就是指对组策略操作不当,造成下次无法正常启用组策略的现象。一般来说,如果将组策略中的“只允许运行Windows应用程序”策略设置启用的话,我们就能限制用户使用指定的应用程序,但此时也容易造成组策略发生“自我锁定”现象,也就是说一旦“只允许运行Windows应用程序”策略生效的话,那么哪怕是以超级管理员的登录帐号来执行“gpedit.msc”命令,也无法进入系统组策略编辑界面。如此说来,我们要想不使组策略“自我锁定”,难道只有选择放弃使用“只允许运行Windows应用程序”策略这条路了吗?难道就没有两全其美的办法,既能顺利启用“只允许运行Windows应用程序”策略,又能预防系统组策略的“自我锁定”吗?其实我们只要按照下面的步骤来操作,就能实现双管齐下的目的:
首先打开系统的运行对话框,并在其中执行“gpedit.msc”字符串命令,在随后弹出的组策略编辑界面中,逐步展开其中的分支“用户配置”|“管理模板”|“系统”;其次在“系统”分支的右边区域窗口中,选中“只运行许可的Windows应用程序”项目并用鼠标双击之,打开对应选项的属性设置界面,选中该界面中的“启用”(如图2),接着对应该属性设置界面中的“显示”按钮将被激活生效;此时单击一下该按钮,再单击随后弹出窗口中的“添加”按钮,打开文件选择对话框,在该对话框中将允许用户运行的具体程序名称选中,并单击“确定”按钮将它导入进来。
紧接着,我们不能将组策略编辑界面随手关闭掉,如果不小心关闭的话,系统组策略就会轻易地发生“自我锁定”现象了(不信的话,大家此时可以尝试一下,在关闭组策略编辑窗口之后,再在系统运行对话框中执行字符串命令“gpedit.msc”时,系统将提示你无法启用组策略了)。
下面,我们在还没有关闭的组策略编辑界面中,再次用鼠标双击其中的“只允许运行Windows应用程序”选项,在其后打开的策略属性设置界面中,将“未配置”项目选中,并单击“确定”按钮,最后退出组策略编辑窗口,此时我们可以通过试验进行验证,就能发现两全其美的目的就这样轻而易举地实现了。
巧妙破解锁定
大家知道一旦操作不当,误将系统的组策略锁定起来的话,那么就无法通过组策略来高效管理网络或Windows系统了。其实,我们只要开动脑筋,充分发挥自己的聪明才智,小小的组策略自我锁定又何足畏惧呢?为了方便大家顺利用好组策略,笔者特意总结了两个“妙招”,让大家轻松化解组策略自我锁定之难题:
注册表编辑法
由于组策略中的任何设置在注册表中都有相应的设置和它对应,因此只要变换一下思路,通过修改注册表就可以给组策略的锁定设置解锁了:
首先单击系统“开始”菜单,执行其中的“运行”命令,打开系统运行对话框,在其中执行“regedit”字符串命令,弹出系统注册表编辑界面;将鼠标定位在注册表编辑界面中的HKEY_CURRENT_USERSoftw
arePoliciesMicrosoftMMC{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}分支,在对应{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}分支的右侧窗口区域中,选中“Restrict_Run”项目并用鼠标双击之,在其后出现的数值设置框中(如图3),直接输入“0”,并单击“确定”按钮;
完成好上面的设置任务后,将Windows系统重新启动;之后,再次在系统运行框中执行“gpedit.msc”命令来看看,是不是组策略的锁定故障迎刃而解了!
控制台编辑法
除了通过修改注册表的方法来破解组策略的“自我锁定”故障外,如果我们对系统的控制台操作比较熟悉的话,也可以通过控制台编辑法来实现这样的目的:
一旦系统的组策略窗口发生锁定时,需要先将Windows系统重新启动,在启动过程中按F8键,打开系统启动菜单,选中“带命令行提示的安全模式”选项,将Windows系统转换到命令行工作状态。
接着在命令行中输入字符串命令“mmc.exe”,单击回车键后打开系统控制台窗口,依次单击该窗口菜单栏中的“文件”|“添加/删除管理单元”命令,在随后出现的设置窗口中,单击“独立”选项卡,进入到对应的选项设置页面,再单击该设置页面中的“添加”按钮。
之后,选中“组策略对象编辑器”选项,并单击如图4所示界面中的“添加”按钮,再单击“完成”按钮,最后依次单击“关闭”按钮、“确定”按钮,就可以为Windows系统创建新的组策略控制台;以后将Windows系统再次重新启动,我们就能破解组策略窗口的“自我锁定”故障了。