论文部分内容阅读
中图分类号:F416.22 文献标识码:A 文章编号:1009-914X(2014)47-0304-01
一、概述
注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。下面是组策略的简单树状图:
二、常用的组策略设置
在“开始”菜单的“运行”中输入“gpedit.msc”打开组策略编辑器,在左侧窗格中选择一个目录,单击右键,在弹出的快捷菜单中选择“查看→筛选”命令打开“筛选”对话框,在该对话框上,我们可以选择组策略编辑器只显示配置了的策略,也可以选择组策略编辑器只显示针对特定软件的策略,
1、 帐户和本地策略
“帐户和本地策略”是我们比较常用的,其中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。
如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种,即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。
其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,
使密码每隔30至90天过期一次是一种安全最佳操作,取决于您的环境。通过这种方式,攻击者只能够在有限的时间内破解用户密码并访问网络资源。
2、禁用“用户配置”或“计算机配置”策略
组策略编辑器中的策略分为两类:计算机配置和用户配置。如果你想知道当前系统中这两类策略分别有多少项被配置过,或者你想隐藏其中一类配置,则可以使用这样的方法:
打开组策略编辑器,右键单击左窗格目录树的根目录“本地计算机策略”,然后在彈出的快捷菜单上选择“属性”打开“本地计算机策略属性”对话框,在该对话框上“创建”一栏显示了该组策略管理单元生成的时间,一般情况下它就是操作系统的安装时间;而“修改”中则显示的是最后一次设置组策略的时间;“修订”一栏显示了这两个分类中各自有多少策略被配置过;如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方勾选相应的复选框。
3、编辑远程计算机的组策略
组策略不仅可以本地编辑,而且还可以远程编辑。在“开始”菜单上单击“运行”,输入“mmc”打开MMC控制台(Microsoft Management Console),在默认情况下,MMC控制台新建并打开了一个“控制台1”的文件,在MMC控制台的菜单栏选择“文件→添加/删除管理单元”命令,打开“添加/删除管理单元”对话框,在该对话框上单击“添加”,在弹出的独立管理单元列表对话框上选择“组策略”并单击“添加”,在接下来的对话框上我们就可以选择是编辑本地计算机的组策略,还是编辑远程计算机的组策略,系统默认的选择是编辑本地计算机的组策略,单击“浏览”,在选择另一台计算机的对话框中输入计算机在域中的路径,或者单击“高级”选择工作组中的另外一台计算机。
选择以后单击“确定”就会在“控制台1”中打开该远程计算机的组策略。现在好了,利用这个控制台文件我们就可以编辑远程计算机的组策略了,编辑完成后您还可以把“控制台1”保存为一个“**.msc”的文件,这样,当有需要时,您还可以双击该文件继续远程编辑该计算机的组策略。
三、域中的组策略应用
打造一款永生的Windows操作系统,顾名思义,如果网络中的计算机都处在域的管理中,我们就可以在域中定义几类组策略,然后分派至各个计算机终端,就可以很简单的进行网络管理,分派软件,排除硬件故障,使网络维护成本降至最低,而效率提升到最高。
下列步骤显示了如何应用组策略,以及如何向“用户权限分配”添加安全组。
将组策略应用于组织单位或域
1.依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。
2.突出显示相关域或组织单位,单击“操作”菜单,选择“属性”。
3.选择“组策略”选项卡。
注意:每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上。如果出现冲突,最后应用的策略优先。
4.单击“新建”创建一个策略,并为其指定有实际意义的名称,如“域策略”。
注意:单击“选项”按钮可配置“禁止替代”设置。“禁止替代”是为每个单独的策略配置的,而不是为整个容器;“阻止策略继承”则是为整个容器配置的。如果“禁止替代”和“阻止策略继承”设置发生冲突,“禁止替代”设置优先。要配置“阻止策略继承”,请选中 OU 属性中的复选框。
组策略可自动更新,但为了立即启动更新过程,可在命令提示符下使用“GPUpdate /force”将安全模板导入组策略
四、结束语
组策略的使用还有很多功能,今天就简单的讨论这些比较常用的功能,随着计算机的普及加快,使得计算机的硬件差别越来越小,这样可以使组策略的应用达到最大化。
一、概述
注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。下面是组策略的简单树状图:
二、常用的组策略设置
在“开始”菜单的“运行”中输入“gpedit.msc”打开组策略编辑器,在左侧窗格中选择一个目录,单击右键,在弹出的快捷菜单中选择“查看→筛选”命令打开“筛选”对话框,在该对话框上,我们可以选择组策略编辑器只显示配置了的策略,也可以选择组策略编辑器只显示针对特定软件的策略,
1、 帐户和本地策略
“帐户和本地策略”是我们比较常用的,其中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。
如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种,即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。
其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,
使密码每隔30至90天过期一次是一种安全最佳操作,取决于您的环境。通过这种方式,攻击者只能够在有限的时间内破解用户密码并访问网络资源。
2、禁用“用户配置”或“计算机配置”策略
组策略编辑器中的策略分为两类:计算机配置和用户配置。如果你想知道当前系统中这两类策略分别有多少项被配置过,或者你想隐藏其中一类配置,则可以使用这样的方法:
打开组策略编辑器,右键单击左窗格目录树的根目录“本地计算机策略”,然后在彈出的快捷菜单上选择“属性”打开“本地计算机策略属性”对话框,在该对话框上“创建”一栏显示了该组策略管理单元生成的时间,一般情况下它就是操作系统的安装时间;而“修改”中则显示的是最后一次设置组策略的时间;“修订”一栏显示了这两个分类中各自有多少策略被配置过;如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方勾选相应的复选框。
3、编辑远程计算机的组策略
组策略不仅可以本地编辑,而且还可以远程编辑。在“开始”菜单上单击“运行”,输入“mmc”打开MMC控制台(Microsoft Management Console),在默认情况下,MMC控制台新建并打开了一个“控制台1”的文件,在MMC控制台的菜单栏选择“文件→添加/删除管理单元”命令,打开“添加/删除管理单元”对话框,在该对话框上单击“添加”,在弹出的独立管理单元列表对话框上选择“组策略”并单击“添加”,在接下来的对话框上我们就可以选择是编辑本地计算机的组策略,还是编辑远程计算机的组策略,系统默认的选择是编辑本地计算机的组策略,单击“浏览”,在选择另一台计算机的对话框中输入计算机在域中的路径,或者单击“高级”选择工作组中的另外一台计算机。
选择以后单击“确定”就会在“控制台1”中打开该远程计算机的组策略。现在好了,利用这个控制台文件我们就可以编辑远程计算机的组策略了,编辑完成后您还可以把“控制台1”保存为一个“**.msc”的文件,这样,当有需要时,您还可以双击该文件继续远程编辑该计算机的组策略。
三、域中的组策略应用
打造一款永生的Windows操作系统,顾名思义,如果网络中的计算机都处在域的管理中,我们就可以在域中定义几类组策略,然后分派至各个计算机终端,就可以很简单的进行网络管理,分派软件,排除硬件故障,使网络维护成本降至最低,而效率提升到最高。
下列步骤显示了如何应用组策略,以及如何向“用户权限分配”添加安全组。
将组策略应用于组织单位或域
1.依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。
2.突出显示相关域或组织单位,单击“操作”菜单,选择“属性”。
3.选择“组策略”选项卡。
注意:每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上。如果出现冲突,最后应用的策略优先。
4.单击“新建”创建一个策略,并为其指定有实际意义的名称,如“域策略”。
注意:单击“选项”按钮可配置“禁止替代”设置。“禁止替代”是为每个单独的策略配置的,而不是为整个容器;“阻止策略继承”则是为整个容器配置的。如果“禁止替代”和“阻止策略继承”设置发生冲突,“禁止替代”设置优先。要配置“阻止策略继承”,请选中 OU 属性中的复选框。
组策略可自动更新,但为了立即启动更新过程,可在命令提示符下使用“GPUpdate /force”将安全模板导入组策略
四、结束语
组策略的使用还有很多功能,今天就简单的讨论这些比较常用的功能,随着计算机的普及加快,使得计算机的硬件差别越来越小,这样可以使组策略的应用达到最大化。