探讨Windows XP 神奇的组策略

系统组策略几乎是各位网络管理人员管理网络时的必用利器之一，有关该利器的常规应用技巧，相信许多人都已经耳熟能详了。

　　但是笔者一直认为，只要我们足够细心、用心，就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话，就来看看下面的内容吧，相信它们会帮助大家进入一个新的应用新“境界”!

　　巧限程序，谨防“自锁”

　　Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目，一旦你将该项目启用，同时限制好指定的程序可以运行外，那么无论你是否在“只允许运行程序列表”中，添加了gpedit.msc命令，只要“只允许运行Windows应用程序”的组策略项目生效，系统的组策略就会自动“自锁”，即使你在超级管理员帐号下使用“gpedit.msc”命令，也不能打开系统的组策略编辑窗口!那么有没有一种办法，既能限制应用程序的运行，又能防止系统组策略出现“自锁”现象呢?答案是肯定的，你可以按照如下步骤来操作:　　　

　　首先依次单击“开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统组策略编辑窗口;

　　依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目，在对应“系统”项目右边的子窗口中，双击“只运行许可的Windows应用程序”选项，在其后弹出的界面中，将“已启用”选项选中。随后，你将在对应的窗口中看到“显示”按钮被自动激活，再单击“显示”按钮，然后继续单击其后窗口中的“添加”按钮，再将需要运行的应用程序名称输入在添加设置框中，最后单击“确定”按钮;　　

　　下面，请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框，并在其中执行“gpedit.msc”命令，此时你将发现系统组策略编辑程序已经无法运行了!不过，幸亏前面没有将组策略编辑窗口关闭，现在你可以继续在组策略编辑窗口中，双击刚才设置的“只允许运行Windows应用程序”项目，然后在弹出的策略设置窗口中，选中“未配置”选项，最后单击一下“确定”按钮，这样就能实现既可以限制运行应用程序的目的，又能阻止系统组策略出现“自锁”现象。

　　小提示:要是你将指定的应用程序名称添加到“只允许运行Windows应用程序”列表中后，直接把组策略编辑窗口关闭的话，可以通过下面的步骤来进行恢复:

　　重新将服务器系统启动一下，在启动的过程中不停地按下F8功能键，直到出现系统的启动菜单，然后执行其中的“带命令行提示的安全模式”命令，将服务器系统切换到命令行提示符状态;　

　　接下来在命令提示符下直接执行mmc.exe字符串命令，在弹出的系统控制台界面中，单击“文件”菜单项，并从弹出的下拉菜单中单击“添加/删除管理单元”选项，再单击其后窗口中的“独立”标签，然后在如图1所示的标签页面中，单击“添加”按钮;　　
　　下面，再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮，这样就能成功添加一个新的组策略控制台;以后，你就能重新打开组策略编辑窗口，然后按照上面的设置，实现既可以限制运行应用程序的目的，又能阻止系统组策略出现“自锁”现象。

　　随心所欲，解除“自锁”　　

　　除了通过限制应用程序运行的策略外，还有许多操作都能使组策略在不经意间就会发生“自锁”现象。如果是其他因素造成组策略发生“自锁”现象的话，我们该如何轻松解除呢?其实，所有对组策略的设置，都是基于系统注册表>的，因此对组策略任意分支的设置，都会在注册表的对应分支中有所体现;为此我们只要从修改注册表出发，就能轻松破解组策略的“自锁”现象:

　　依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“regedit”，单击“确定”按钮后，打开系统的注册表编辑窗口;

　　在该窗口中，依次展开注册表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}，在随后弹出的如图2所示的窗口右侧区域中，你将看到一个“Restrict_Run”键值;　　

　　 用鼠标双击该键值，打开一个数值设置窗口，在其中输入数字“0”，最后单击“确定”按钮;此后，当你再次打开系统运行对话框，并在其中执行“gpedit.msc”命令时，你会发现自锁的组策略编辑窗口，现在可以被轻松打开了。　

　　策略更改，即时生效 　　

　　 无论是对于Windows 2003域还是Windows 2000域来说，一旦修改了域的默认安全策略后，新的安全策略还不能立即生效，一般情况下需要过5到15分钟左右的时间，Windows系统才会自动更新系统组策略中的设置。那么有没有办法让修改后的安全策略，能够对用户或客户机立即生效呢?答案是肯定的，你可以按照下面的步骤来实现:　　

　　 对于Windows 2000域来说，如果你想让新修改的计算机策略立即生效的话，可以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符串命令“cmd ”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模式下;

　　 接着在DOS命令提示符下，输入字符串命令“secedit /refreshpolicy machine_policy /enforce”，单击回车键后，新修改的安全策略将会立即生效;　　

　　 如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字符串命令“secedit /refreshpolicy user_policy /enforce”就可以了。

　　 对于Windows 2003域来说，如果你想让新修改的计算机策略立即生效的话，可以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符串命令“cmd ”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模式下;　　

　　 接着在DOS命令提示符下，输入字符串命令“gpupdate /target:computer”，单击回车键后，新修改的安全策略将会立即生效;

　　 如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字符串命令“gpupdate /target:user”就可以了。如果你想对计算机策略和用户策略同时进行更新的话，那你可以直接执行字符串命令“gpupdate”就行了。　　

　　 不同用户，不同权限

　　 也许你的服务器中包含有许多用户，但为了保护服务器的安全，你希望这些用户对服务器的访问控制权限各不相同，以便日后服务器遇到意外时，你能根据权限高低的不同，就能快速地找到“从中作乱”的用户。要想对不同的用户，分配不同的访问控制权限，只需要对服务器组策略进行一下设置就可以了，下面就是具体的设置步骤:　　

　　 依次单击“开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统组策略编辑窗口;

　　 在该窗口中，依次展开其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”项目;　　

　　 在对应“用户权利指派”项目的右侧窗口区域中，你将看到有多种权利可供指派，如图3所示。例如，要是你只想让aaa用户通过网络连接方式来远程访问服务器中的内容，而不允许其在本地登录服务器写入内容或执行其中的应用程序时，你可以先双击“拒绝本地登录”权限;

　　 在其后打开的设置窗口中，单击一下“添加”，然后选中aaa用户所对应的帐号名称，再单击一下“添加”，这样aaa用户日后就只能通过远程网络来访问服务器中的内容了。

　　 同样地你可以将本地登录控制权限分配给bbb用户，将文件或其他对象的所有权分配给ccc用户等;一旦为不同用户分配好了不同控制权限后，你日后就能根据权限级别的不同，来有针对性地管理和控制用户了。例如，要是你发现服务器在没有接入到网络的时间内，有人随意向服务器中上传非法信息而需要追究时，你可以很轻松地将aaa用户排除在外，毕竟aaa用户没有这样的“作案能力”!

　　保护设置，避免冲突 　　

　　 在局域网中常常会出现工作站IP地址被随意修改，造成IP冲突现象的发生，从而影响局域网的运行效率。尽管目前有许多方法可以避免IP地址发生冲突，但仔细推敲一下，你不难发现其中的一些方法对于一些菜鸟用户来说，操作起来有点难度;其实借助组策略功能，你可以很轻松地限制局域网工作站的网络配置参数被随意修改，从而有效避免网络中的IP地址发生冲突:　　

　　 依次单击“开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统组策略编辑窗口;

　　 依次展开该窗口中的“用户配置”/“管理模板”/“网络”/“网络和拨号连接”策略项目，在对应“网络和拨号连接”策略的右侧窗口区域中，双击一下“允许TCP/IP高级设置”项目;　　

　　 在弹出的如图4所示的设置窗口中，将“禁用”选项选中，并单击一下“确定”按钮，这样的话，任何一个工作站用户日后打开TCP/IP属性设置窗口时，将会发现无法进入“高级”设置窗口，来修改工作站的IP地址或其他网络参数，如此一来局域网中的IP地址就不大容易发生冲突了。