探討Windows XP 神奇的組策略

系統組策略幾乎是各位網路管理員管理網路時的必用利器之一，有關該利器的常規應用技巧，相信許多人都已經耳熟能詳了。

　　但是筆者一直認為，只要我們足夠細心、用心，就一定會從系統組策略中不斷挖掘出新的應用技巧來。不信的話，就來看看下面的內容吧，相信它們會協助大家進入一個新的應用新“境界”!

　　巧限程式，謹防“自鎖”

　　Windows伺服器中有一個名為“只允許運行Windows應用程式”的組策略項目，一旦你將該項目啟用，同時限制好指定的程式可以運行外，那麼無論你是否在“只允許運行程式列表”中，添加了gpedit.msc命令，只要“只允許運行Windows應用程式”的組策略項目生效，系統的組策略就會自動“自鎖”，即使你在超級管理員帳號下使用“gpedit.msc”命令，也不能開啟系統的組策略編輯視窗!那麼有沒有一種辦法，既能限制應用程式的運行，又能防止系統組策略出現“自鎖”現象呢?答案是肯定的，你可以按照如下步驟來操作:　　　

　　首先依次單擊“開始”/“運行”命令，在彈出的系統運行框中，輸入字串命令“gpedit.msc”，單擊“確定”按鈕後，開啟系統組策略編輯視窗;

　　依次展開該視窗中的“使用者配置”/“系統管理範本”/“系統”項目，在對應“系統”項目右邊的子視窗中，雙擊“只運行許可的Windows應用程式”選項，在其後彈出的介面中，將“已啟用”選項選中。隨後，你將在對應的視窗中看到“顯示”按鈕被自動啟用，再單擊“顯示”按鈕，然後繼續單擊其後視窗中的“添加”按鈕，再將需要啟動並執行應用程式名稱輸入在添加設定框中，最後單擊“確定”按鈕;　　

　　下面，請大家千萬不要將組策略編輯視窗立即關閉;然後開啟系統運行對話方塊，並在其中執行“gpedit.msc”命令，此時你將發現系統組策略編輯程式已經無法運行了!不過，幸虧前面沒有將組策略編輯視窗關閉，現在你可以繼續在組策略編輯視窗中，雙擊剛才設定的“只允許運行Windows應用程式”項目，然後在彈出的原則設定視窗中，選中“未配置”選項，最後單擊一下“確定”按鈕，這樣就能實現既可以限制運行應用程式的目的，又能阻止系統組策略出現“自鎖”現象。

　　小提示:要是你將指定的應用程式名稱添加到“只允許運行Windows應用程式”列表中後，直接把組策略編輯視窗關閉的話，可以通過下面的步驟來進行恢複:

　　重新將伺服器系統啟動一下，在啟動的過程中不停地按下F8功能鍵，直到出現系統的啟動菜單，然後執行其中的“帶命令列提示的安全模式”命令，將伺服器系統切換到命令列提示符狀態;　

　　接下來在命令提示字元下直接執行mmc.exe字串命令，在彈出的系統控制台介面中，單擊[檔案] 功能表項，並從彈出的下拉式功能表中單擊“添加/刪除嵌入式管理單元”選項，再單擊其後視窗中的“獨立”標籤，然後在1所示的標籤頁面中，單擊“添加”按鈕;　　

　　下面，再依次單擊“組策略”、“添加”、“完成”、“關閉”、“確定”按鈕，這樣就能成功添加一個新的組策略控制台;以後，你就能重新開啟組策略編輯視窗，然後按照上面的設定，實現既可以限制運行應用程式的目的，又能阻止系統組策略出現“自鎖”現象。

　　隨心所欲，解除“自鎖”　　

　　除了通過限制應用程式啟動並執行策略外，還有許多操作都能使組策略在不經意間就會發生“自鎖”現象。如果是其他因素造成組策略發生“自鎖”現象的話，我們該如何輕鬆解除呢?其實，所有對組策略的設定，都是基於系統註冊表>的，因此對組策略任意分支的設定，都會在註冊表的對應分支中有所體現;為此我們只要從修改註冊表出發，就能輕鬆破解組策略的“自鎖”現象:

　　依次單擊“開始”/“運行”命令，在彈出的系統運行對話方塊中，輸入字串命令“regedit”，單擊“確定”按鈕後，開啟系統的註冊表編輯視窗;

　　在該視窗中，依次展開註冊表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}，在隨後彈出的2所示的視窗右側地區中，你將看到一個“Restrict_Run”索引值;　　

　　 用滑鼠雙擊該索引值，開啟一個數值設定視窗，在其中輸入數字“0”，最後單擊“確定”按鈕;此後，當你再次開啟系統運行對話方塊，並在其中執行“gpedit.msc”命令時，你會發現自鎖的組策略編輯視窗，現在可以被輕鬆開啟了。　

　　策略更改，即時生效 　　

　　 無論是對於Windows 2003域還是Windows 2000域來說，一旦修改了域的預設安全性原則後，新的安全性原則還不能立即生效，一般情況下需要過5到15分鐘左右的時間，Windows系統才會自動更新系統組策略中的設定。那麼有沒有辦法讓修改後的安全性原則，能夠對使用者或客戶機立即生效呢?答案是肯定的，你可以按照下面的步驟來實現:　　

　　 對於Windows 2000域來說，如果你想讓新修改的電腦策略立即生效的話，可以依次單擊“開始”/“運行”命令，開啟系統運行對話方塊，並在其中輸入字串命令“cmd ”，單擊“確定”按鈕後，將Windows系統切換到Ms-DOS工作模式下;

　　 接著在DOS命令提示字元下，輸入字串命令“secedit /refreshpolicy machine_policy /enforce”，單擊斷行符號鍵後，新修改的安全性原則將會立即生效;　　

　　 如果你想讓新修改的使用者策略立即生效的話，只要在DOS命令提示字元下，執行字串命令“secedit /refreshpolicy user_policy /enforce”就可以了。

　　 對於Windows 2003域來說，如果你想讓新修改的電腦策略立即生效的話，可以依次單擊“開始”/“運行”命令，開啟系統運行對話方塊，並在其中輸入字串命令“cmd ”，單擊“確定”按鈕後，將Windows系統切換到Ms-DOS工作模式下;　　

　　 接著在DOS命令提示字元下，輸入字串命令“gpupdate /target:computer”，單擊斷行符號鍵後，新修改的安全性原則將會立即生效;

　　 如果你想讓新修改的使用者策略立即生效的話，只要在DOS命令提示字元下，執行字串命令“gpupdate /target:user”就可以了。如果你想對電腦策略和使用者策略同時進行更新的話，那你可以直接執行字串命令“gpupdate”就行了。　　

　　 不同使用者，不同許可權

　　 也許你的伺服器中包含有許多使用者，但為了保護伺服器的安全，你希望這些使用者對伺服器的存取控制許可權各不相同，以便日後伺服器遇到意外時，你能根據許可權高低的不同，就能快速地找到“從中作亂”的使用者。要想對不同的使用者，分配不同的存取控制許可權，只需要對伺服器組策略進行一下設定就可以了，下面就是具體的設定步驟:　　

　　 依次單擊“開始”/“運行”命令，在彈出的系統運行框中，輸入字串命令“gpedit.msc”，單擊“確定”按鈕後，開啟系統組策略編輯視窗;

　　 在該視窗中，依次展開其中的“電腦配置”/“Windows設定”/“安全設定”/“本地策略”/“使用者權利指派”項目;　　

　　 在對應“使用者權利指派”項目的右側視窗地區中，你將看到有多種權利可供指派，3所示。例如，要是你只想讓aaa使用者通過網路連接方式來遠端存取伺服器中的內容，而不允許其在本地登入伺服器寫入內容或執行其中的應用程式時，你可以先雙擊“拒絕本地登入”許可權;

　　 在其後開啟的設定視窗中，單擊一下“添加”，然後選中aaa使用者所對應的帳號名稱，再單擊一下“添加”，這樣aaa使用者日後就只能通過遠程網路來訪問伺服器中的內容了。

　　 同樣地你可以將本地登入控制許可權分配給bbb使用者，將檔案或其他對象的所有權分配給ccc使用者等;一旦為不同使用者指派好了不同控制許可權後，你日後就能根據權限等級的不同，來有針對性地管理和控制使用者了。例如，要是你探索服務器在沒有接入到網路的時間內，有人隨意向伺服器中上傳非法資訊而需要追究時，你可以很輕鬆地將aaa使用者排除在外，畢竟aaa使用者沒有這樣的“作案能力”!

　　保護設定，避免衝突 　　

　　 在區域網路中常常會出現工作站IP地址被隨意修改，造成IP衝突現象的發生，從而影響區域網路的運行效率。儘管目前有許多方法可以避免IP地址發生衝突，但仔細推敲一下，你不難發現其中的一些方法對於一些菜鳥使用者來說，操作起來有點難度;其實藉助組策略功能，你可以很輕鬆地限制區域網路工作站的網路設定參數被隨意修改，從而有效避免網路中的IP地址發生衝突:　　

　　 依次單擊“開始”/“運行”命令，在彈出的系統運行框中，輸入字串命令“gpedit.msc”，單擊“確定”按鈕後，開啟系統組策略編輯視窗;

　　 依次展開該視窗中的“使用者配置”/“系統管理範本”/“網路”/“網路和撥號連線”策略項目，在對應“網路和撥號連線”策略的右側視窗地區中，雙擊一下“允許TCP/IP進階設定”項目;　　

　　 在彈出的4所示的設定視窗中，將“禁用”選項選中，並單擊一下“確定”按鈕，這樣的話，任何一個工作站使用者日後開啟TCP/IP屬性設定視窗時，將會發現無法進入“進階”設定視窗，來修改工作站的IP地址或其他網路參數，如此一來區域網路中的IP地址就不大容易發生衝突了。