一、RsoP自动检测法
要想恢复组策略的设置,最简单的方法无非是逐一查看策略项目。在默认情况下,策略项目的“状态”显示应为“未被配置”(如图1)。如果被他人进行了更改,则会显示“已启用”或“已禁用”的提示。不过组策略中的设置项“多如牛毛”,想要在众多项中找到被修改的位置,显然太过费时费力,这时不妨试试简单易用的rsop.msc工具。
图1
rsop.msc是组策略的一个附加程序,通过该程序可查看到所有已经设置的rsop(策略结果集)。只要在“运行“栏中执行“rsop.msc”命令,即可打开rsop管理窗口,接着系统会自动搜集策略信息。只需几秒钟,便会弹出一个策略的结果集窗口,其中将显示出已经过设置的策略信息组,依次展开右侧窗口中的设置项,即可在其中看到经过修改的组策略项了。比如这里就显示出了用户曾在组策略编辑器中,设置了“从‘开始’菜单中删除‘运行’菜单”等项(如图2)。
图2
如果在系统中设置了多个组策略对象,可在策略结果集窗口中右键单击“计算机配置”或“用户配置”,再选择“属性”。然后在打开的属性窗口中选择组策略对象,比如“Local Group Policy”(本地策略对象),单击右下角的“编辑”按钮打开组策略编辑器,最后在此进行设置修改即可。
二、GPResult命令行术
其实,组策略设置的基本原理,就是修改注册表中相应的配置项目,从而达到配置系统的目的。也就是说,知道了注册表中的改动,也就等同于获得了组策略的修改位置。那么如何了解到组策略修改的注册表项目呢?这时,老鸟会用到一个名为GPResult.exe的小工具。
使用Windows XP自带的GPResult.exe命令行工具可以显示详细的策略结果。其使用方法也比较简单。比如要显示当前系统的组策略结果并输出到一个文本文件(gpr.txt)中,可以打开“命令提示符”窗口,在其中执行“gpresult/z >gpr.txt”命令,之后打开该命令所创建的“notepad gpr.txt”文件即可。
如果对组策略进行了相应设置,那么在打开的文本文件中,可看到已修改过的注册表项(如图3)。接下来只要打开注册表编辑器,依次展开这些项目(通常“计算机配置”的内容保存在HKEY_LOCAL_MACHINE根目录中,“用户配置”的内容保存在HKEY_CURRENT_USER根目录中),修改其中数值名称数据,比如这里的“NoRun”表示从“开始”菜单中删除“运行”菜单,删除该数值即可。其它不懂含义的数值名称,可登录到“http://www.winguides.com”进行查询。
图3
三、剖析Registry.pol法
上面的方法在查找时可能比较繁琐,那么这里再给出一个简单的方法。其实在使用组策略编辑器更改过“计算机配置”和“用户配置”中的相应设置项后,Windows XP便会分别在“C:WindowsSystem32 GroupPolicyMachine”或“C:WindowsSystem32 GroupPolicyUser”目录中,生成一个名为“Registry.pol”的文件。
进入到该目录,然后使用记事本程序打开“Registry.pol”文件。现在,你看到了什么?所有秘密全在这里了,经过修改的组策略项目,其在注册表中的相应位置均罗列其中(如图4)。比如之前设置的“开始”菜单中删除‘运行’菜单”项,便可根据这里所记录的注册表位置,来依次展开“HKEY_CURRENT_ USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer”分支,删除其中的“NoRun”键值即可。
图4
默认情况下,Windows XP系统中的“GroupPolicy”文件夹为隐藏状态,需要在“资源管理器”中设置“显示所有文件和文件夹”,才能正常显示出来。