Windows服務器系統(tǒng)組策略

　　系統(tǒng)組策略幾乎是各位網絡管理人員管理網絡時的必用利器之一，有關該利器的常規(guī)應用技巧，相信許多人都已經耳熟能詳了。但是筆者一直認為，只要我們足夠細心、用心，就一定會從系統(tǒng)組策略中不斷挖掘出新的應用技巧來。不信的話，就來看看下面的內容吧，相信它們會幫助大家進入一個新的應用新“境界”!

　　巧限程序，謹防“自鎖”

　　Windows服務器中有一個名為“只允許運行Windows應用程序”的組策略項目，一旦你將該項目啟用，同時限制好指定的程序可以運行外，那么無論你是否在“只允許運行程序列表”中，添加了gpedit.msc命令，只要“只允許運行Windows應用程序”的組策略項目生效，系統(tǒng)的組策略就會自動“自鎖”，即使你在超級管理員帳號下使用“gpedit.msc”命令，也不能打開系統(tǒng)的組策略編輯窗口!那么有沒有一種辦法，既能限制應用程序的運行，又能防止系統(tǒng)組策略出現“自鎖”現象呢?答案是肯定的，你可以按照如下步驟來操作:

　　首先依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開系統(tǒng)組策略編輯窗口;

　　依次展開該窗口中的“用戶配置”/“管理模板”/“系統(tǒng)”項目，在對應“系統(tǒng)”項目右邊的子窗口中，雙擊“只運行許可的Windows應用程序”選項，在其后彈出的界面中，將“已啟用”選項選中。隨后，你將在對應的窗口中看到“顯示”按鈕被自動激活，再單擊“顯示”按鈕，然后繼續(xù)單擊其后窗口中的“添加”按鈕，再將需要運行的應用程序名稱輸入在添加設置框中，最后單擊“確定”按鈕;

　　下面，請大家千萬不要將組策略編輯窗口立即關閉;然后打開系統(tǒng)運行對話框，并在其中執(zhí)行“gpedit.msc”命令，此時你將發(fā)現系統(tǒng)組策略編輯程序已經無法運行了!不過，幸虧前面沒有將組策略編輯窗口關閉，現在你可以繼續(xù)在組策略編輯窗口中，雙擊剛才設置的“只允許運行Windows應用程序”項目，然后在彈出的策略設置窗口中，選中“未配置”選項，最后單擊一下“確定”按鈕，這樣就能實現既可以限制運行應用程序的目的，又能阻止系統(tǒng)組策略出現“自鎖”現象。

　　小提示:要是你將指定的應用程序名稱添加到“只允許運行Windows應用程序”列表中后，直接把組策略編輯窗口關閉的話，可以通過下面的步驟來進行恢復:

　　重新將服務器系統(tǒng)啟動一下，在啟動的過程中不停地按下F8功能鍵，直到出現系統(tǒng)的啟動菜單，然后執(zhí)行其中的“帶命令行提示的安全模式”命令，將服務器系統(tǒng)切換到命令行提示符狀態(tài);

　　接下來在命令提示符下直接執(zhí)行mmc.exe字符串命令，在彈出的系統(tǒng)控制臺界面中，單擊“文件”菜單項，并從彈出的下拉菜單中單擊“添加/刪除管理單元”選項，再單擊其后窗口中的“獨立”標簽，然后在如圖1所示的標簽頁面中，單擊“添加”按鈕;

　　下面，再依次單擊“組策略”、“添加”、“完成”、“關閉”、“確定”按鈕，這樣就能成功添加一個新的組策略控制臺;以后，你就能重新打開組策略編輯窗口，然后按照上面的設置，實現既可以限制運行應用程序的目的，又能阻止系統(tǒng)組策略出現“自鎖”現象。

　　隨心所欲，解除“自鎖”

　　除了通過限制應用程序運行的策略外，還有許多操作都能使組策略在不經意間就會發(fā)生“自鎖”現象。如果是其他因素造成組策略發(fā)生“自鎖”現象的話，我們該如何輕松解除呢?其實，所有對組策略的設置，都是基于系統(tǒng)注冊表>的，因此對組策略任意分支的設置，都會在注冊表的對應分支中有所體現;為此我們只要從修改注冊表出發(fā)，就能輕松破解組策略的“自鎖”現象:

　　依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令“regedit”，單擊“確定”按鈕后，打開系統(tǒng)的注冊表編輯窗口;

　　在該窗口中，依次展開注冊表分支HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMMC{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}，在隨后彈出的如圖2所示的窗口右側區(qū)域中，你將看到一個“Restrict_Run”鍵值;

　　用鼠標雙擊該鍵值，打開一個數值設置窗口，在其中輸入數字“0”，最后單擊“確定”按鈕;此后，當你再次打開系統(tǒng)運行對話框，并在其中執(zhí)行“gpedit.msc”命令時，你會發(fā)現自鎖的組策略編輯窗口，現在可以被輕松打開了。

　　策略更改，即時生效

　　無論是對于Windows 2003域還是Windows 2000域來說，一旦修改了域的默認安全策略后，新的安全策略還不能立即生效，一般情況下需要過5到15分鐘左右的時間，Windows系統(tǒng)才會自動更新系統(tǒng)組策略中的設置。那么有沒有辦法讓修改后的安全策略，能夠對用戶或客戶機立即生效呢?答案是肯定的，你可以按照下面的步驟來實現:

　　對于Windows 2000域來說，如果你想讓新修改的計算機策略立即生效的話，可以依次單擊“開始”/“運行”命令，打開系統(tǒng)運行對話框，并在其中輸入字符串命令“cmd ”，單擊“確定”按鈕后，將Windows系統(tǒng)切換到Ms-DOS工作模式下;

　　接著在DOS命令提示符下，輸入字符串命令“secedit /refreshpolicy machine_policy /enforce”，單擊回車鍵后，新修改的安全策略將會立即生效;

　　如果你想讓新修改的用戶策略立即生效的話，只要在DOS命令提示符下，執(zhí)行字符串命令“secedit /refreshpolicy user_policy /enforce”就可以了。

　　對于Windows 2003域來說，如果你想讓新修改的計算機策略立即生效的話，可以依次單擊“開始”/“運行”命令，打開系統(tǒng)運行對話框，并在其中輸入字符串命令“cmd ”，單擊“確定”按鈕后，將Windows系統(tǒng)切換到Ms-DOS工作模式下;

　　接著在DOS命令提示符下，輸入字符串命令“gp/target:computer”，單擊回車鍵后，新修改的安全策略將會立即生效;

　　如果你想讓新修改的用戶策略立即生效的話，只要在DOS命令提示符下，執(zhí)行字符串命令“gp/target:user”就可以了。如果你想對計算機策略和用戶策略同時進行更新的話，那你可以直接執(zhí)行字符串命令“gpupdate”就行了。

　　不同用戶，不同權限

　　也許你的服務器中包含有許多用戶，但為了保護服務器的安全，你希望這些用戶對服務器的訪問控制權限各不相同，以便日后服務器遇到意外時，你能根據權限高低的不同，就能快速地找到“從中作亂”的用戶。要想對不同的用戶，分配不同的訪問控制權限，只需要對服務器組策略進行一下設置就可以了，下面就是具體的設置步驟:

　　依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開系統(tǒng)組策略編輯窗口;

　　在該窗口中，依次展開其中的“計算機配置”/“Windows設置”/“安全設置”/“本地策略”/“用戶權利指派”項目;

　　在對應“用戶權利指派”項目的右側窗口區(qū)域中，你將看到有多種權利可供指派，如圖3所示。例如，要是你只想讓aaa用戶通過網絡連接方式來遠程訪問服務器中的內容，而不允許其在本地登錄服務器寫入內容或執(zhí)行其中的應用程序時，你可以先雙擊“拒絕本地登錄”權限;

　　在其后打開的設置窗口中，單擊一下“添加”，然后選中aaa用戶所對應的帳號名稱，再單擊一下“添加”，這樣aaa用戶日后就只能通過遠程網絡來訪問服務器中的內容了。

　　同樣地你可以將本地登錄控制權限分配給bbb用戶，將文件或其他對象的所有權分配給ccc用戶等;一旦為不同用戶分配好了不同控制權限后，你日后就能根據權限級別的不同，來有針對性地管理和控制用戶了。例如，要是你發(fā)現服務器在沒有接入到網絡的時間內，有人隨意向服務器中上傳非法信息而需要追究時，你可以很輕松地將aaa用戶排除在外，畢竟aaa用戶沒有這樣的“作案能力”!

　　保護設置，避免沖突

　　在局域網中常常會出現工作站IP地址被隨意修改，造成IP沖突現象的發(fā)生，從而影響局域網的運行效率。盡管目前有許多方法可以避免IP地址發(fā)生沖突，但仔細推敲一下，你不難發(fā)現其中的一些方法對于一些菜鳥用戶來擔?僮髕鵠從械隳訊?其實借助組策略功能，你可以很輕松地限制局域網工作站的網絡配置參數被隨意修改，從而有效避免網絡中的IP地址發(fā)生沖突:

　　依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開系統(tǒng)組策略編輯窗口;

　　依次展開該窗口中的“用戶配置”/“管理模板”/“網絡”/“網絡和撥號連接”策略項目，在對應“網絡和撥號連接”策略的右側窗口區(qū)域中，雙擊一下“允許TCP/IP高級設置”項目;

　　在彈出的如圖4所示的設置窗口中，將“禁用”選項選中，并單擊一下“確定”按鈕，這樣的話，任何一個工作站用戶日后打開TCP/IP屬性設置窗口時，將會發(fā)現無法進入“高級”設置窗口，來修改工作站的IP地址或其他網絡參數，如此一來局域網中的IP地址就不大容易發(fā)生沖突了。

　　強化審核，遠離攻擊

　　在缺省條件下，Windows 2003服務器沒有啟用任何一種安全審核手段，來保護服務器的安全，顯然這會給服務器帶來很大的安全隱患。為了避免服務器遭受攻擊，你只要對服務器中的組策略“動動手腳”，就能啟用好安全審核策略，保護好服務器的安全:

　　依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開系統(tǒng)組策略編輯窗口;

　　將鼠標定位于其中的“計算機配置”/“Windows設置”/“安全設置”/“本地策略”/“審核策略”組策略分支上，在“審核策略”分支下面，你將看到有多種審核事件需要你指定，如圖5所示;

　　雙擊其中的“策略更改”項目，在彈出的設置窗口中，如果選中“成功”選項的話，那么服務器日后將會對所有事件的成功操作進行審核，要是選中“失敗”選項的話，那么服務器日后將會對所有事件的失敗操作進行審核;

　　為了能夠及早知道服務器存在的安全隱患，我們通常需要對“系統(tǒng)事件”、“登錄事件”、“帳戶登錄事件”、“帳戶管理事件”的成功操作與失敗操作分別進行審核，如此一來即使一些已經實施攻擊、但沒有攻擊成功的操作記錄，也會一一被服務器自動記錄下來，以后我們仔細分析記錄，就能查找出安全隱患，并及時采取補救措施確保服務器的安全了;對于“對象訪問”事件、“目錄服務訪問”事件、“特權使用”事件等，一般只要審核它們的失敗操作，就可以達到捕捉攻擊記錄的目的了。

　　一旦通過組策略分別對相關事件啟用審核功能后，服務器日后將會把相關事件的審核記錄全部保存到系統(tǒng)的“事件查看器”中，以后你只要及時打開日志內容，并對其中記錄進行認真分析，就能查清服務器此時有沒有受到攻擊了。

【Windows服務器系統(tǒng)組策略】相關文章：

Windows服務器安全設置攻略11-07

Windows系統(tǒng)的安全策略03-09

windows系統(tǒng)是如何刪除系統(tǒng)多余引導項03-01

windows2003服務器IIS設置方法04-21

如何修改windows系統(tǒng)的host文件06-04

Windows7怎么還原系統(tǒng)06-04

windows7怎樣還原系統(tǒng)06-04

如何更改Windows系統(tǒng)的窗口顏色06-03

Windows系統(tǒng)多窗口操作步驟02-25

Windows系統(tǒng)查看MAC地址的方法04-21