注册表是Windows系统中保存系统软件和应用软件配置的数据库,而
随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
启动方式
开始菜单->运行->输入“gpedit.msc”->确定
根目录:C:\Windows\System32\gpedit.msc(如果是Windows2000,那么其目录是C:\WINNT\SYSTEM32\gpedit.msc)
对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,主要应用于Windows 2000/XP/2003/7/2008等操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。
当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
组策略
维基百科,自由的百科全书
组策略(英语:Group Policy)是微软Windows NT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。[1][2]
组策略命令详解
2011-07-28 14:14 佚名 博客转载 字号:T | T
本文介绍了什么是组策略命令以及一些组策略命令有什么作用,如何使用的知识。
AD:51CTO 网+ 第十二期沙龙:大话数据之美_如何用数据驱动用户体验
组策略对于系统管理员来说至关重要,但是大家了解组策略命令吗?下文对组策略命令作了详细的描述。
组策略命令是什么?
您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动windowsxp组策略编辑器。(注:这个“组策略”程序位于“c:winntsystem32”中,文件名为“gpedit.msc”。)
当多人共用一台计算机时,在windowsxp中设置用户权限,可以按照以下步骤进行:
1、运行组策略编辑器程序(gpedit.msc)。
2、在编辑器窗口的左侧窗格中逐级展开“计算机配置”→“windows设置”→“安全设置”→“本地策略”→“用户权限指派”分支。
3、双击需要改变的用户权限。单击“增加”,然后双击想指派给权限的用户帐号。如图8所示。连续两次单击“确定”按扭。
在windowsxp中,新增了一条命令行工具“shutdown”,其作用是“关闭或重新启动本地或远程计算机”。利用它,我们不但可以注销用户,关闭或重新启动计算机,还可以实现定时关机、远程关机。
该组策略命令的语法格式如下:
shutdown[-i|-l|-s|-r|-a][-f][-m[computername]][-txx][-c‘message‘][-d[u]
:xx:yy]
其中,各参数的含义为:
-i显示图形界面的对话框。
-l注销当前用户,这是默认设置。
-mcomputername优先。
-s关闭计算机。
-r关闭之后重新启动。
-a中止关闭。除了-l和computername外,系统将忽略其它参数。在超时期间,您只可以使用-a。
-f强制运行要关闭的应用程序。
-m[computername]指定要关闭的计算机。
-txx将用于系统关闭的定时器设置为xx秒。默认值是20秒。
-c‘message‘指定将在“系统关闭”窗口中的“消息”区域显示的消息。最多可以使用127个字符。引号中必须包含消息。
-d[u]
:xx:yy列出系统关闭的原因代码。
首先,我们来看一下该组策略命令的一些基本用法:
1、注销当前用户
shutdown-l
该命令只能注销本机用户,对远程计算机不适用。
2、关闭本地计算机
shutdown-s
3、重启本地计算机
shutdown-r
4、定时关机
shutdown-s-t30
指定在30秒之后自动关闭计算机。
组策略命令:向组策略安全组添加计算机和用户
无线网络策略经过配置并且能够正常工作之后,向控制该策略应用程序的安全组中添加其他计算机则非常简单。
?向无线网络组策略安全组添加计算机
1.在“activedirectory用户和计算机”中,找到与要应用的无线网络策略相对应的wirelessnetworkpolicy-computer安全组。您必须作为对此组具有“修改成员身份”权限的用户进行登录。
2.向选定的安全组添加计算机。
?向远程访问策略安全组添加用户
1.登录到管理计算机,要求作为domainadministrators组成员登录,或者使用具有修改remoteaccesspolicy-wirelessusers安全组成员身份所需的安全权限的其他帐户登录。
2.在“activedirectory用户和计算机”中,找到与控制无线lan访问的远程访问策略相对应的remoteaccesspolicy-wirelessusers安全组。
3.将用户添加到选定的安全组。
?将计算机添加到远程访问策略安全组
1.登录到管理计算机上,要求作为domainadministrators组成员登录,或者使用具有修改remoteaccesspolicy-wirelesscomputers安全组成员身份所需的安全权限的其他帐户登录。
2.在“activedirectory用户和计算机”中,找到与控制无线lan访问的远程访问策略相对应的remoteaccesspolicy-wirelessusers安全组。
3.向选定的安全组中添加计算机。
下面是针对2003的将组策略应用于组织单位或域
1.依次单击“开始”、“管理工具”、“activedirectory用户和计算机”,打开“activedirectory用户和计算机”。
2.突出显示相关域或组织单位,单击“操作”菜单,选择“属性”。
3.选择“组策略”选项卡。
注意:每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上。如果出现冲突,最后应用的策略优先。
4.单击“新建”创建一个策略,并为其指定有实际意义的名称,如“域策略”。
注意:单击“选项”按钮可配置“禁止替代”设置。“禁止替代”是为每个单独的策略配置的,而不是为整个容器;“阻止策略继承”则是为整个容器配置的。如果“禁止替代”和“阻止策略继承”设置发生冲突,“禁止替代”设置优先。要配置“阻止策略继承”,请选中ou属性中的复选框。
组策略可自动更新,但为了立即启动更新过程,可在命令提示符下使用下面的gpupdate命令:
gpupdate/force
?向“用户权限分配”添加安全组
1.依次单击“开始”、“管理工具”、“activedirectory用户和计算机”,打开“activedirectory用户和计算机”。
2.突出显示相关ou(如“成员服务器”),单击“操作”菜单,选择“属性”。
3.单击“组策略”选项卡,选择相关策略(如“成员服务器基准策略”),然后单击“编辑”。
4.在“组策略对象编辑器”中,依次展开“计算机配置”、“windows设置”、“安全设置”、“本地策略”,然后突出显示“用户权限分配”。
5.在右侧窗格中,右键单击相关用户权限。
6.选中“定义这些策略设置”复选框,单击“添加用户和组”修改该列表。
7.单击“确定”。
组策略命令:将安全模板导入组策略
?导入安全模板
1.依次单击“开始”、“管理工具”、“activedirectory用户和计算机”,打开“activedirectory用户和计算机”。
2.突出显示相关域或ou,单击“操作”菜单,选择“属性”。
3.选择“组策略”选项卡。
4.突出显示相关策略,单击“编辑”。
5.依次展开“计算机配置”、“windows设置”,然后突出显示“安全设置”。
6.单击“操作”菜单,选择“导入策略”。
7.导航到securityguidejobaids,选择相关模板,单击“打开”。
8.在“组策略对象编辑器”中,单击“文件”菜单,选择“退出”。
9.在容器属性中,单击“确定”。
组策略命令:使用“安全配置和分析”
?导入安全模板
1.依次单击“开始”、“运行”。在“打开”文本框中键入mmc,然后单击“确定”。
2.在microsoft管理控制台中,单击“文件”,选择“添加/删除管理单元”。
3.单击“添加”,突出显示列表中的“安全配置和分析”。
4.依次单击“添加”、“关闭”、“确定”。
5.突出显示“安全配置和分析”,单击“操作”菜单,选择“打开数据库”。
6.键入新的数据库名称(如bastionhost),单击“打开”。
7.在“导入模板”界面中,导航到securityguidejobaids,选择相关模板。单击“打开”。
?分析导入的模板并与当前设置比较
1.突出显示microsoft管理单元中的“安全配置和分析”,单击“操作”菜单,并选择“立即分析计算机”。
2.单击“确定”,接受默认的“错误日志文件路径”。
3.完成分析后,展开节点标题对结果进行研究。
?应用安全模板
1.突出显示microsoft管理单元中的“安全配置和分析”,单击“操作”菜单,选择“立即配置计算机”。
2.单击“确定”,接受默认的“错误日志文件路径”。
3.在microsoft管理控制台,单击“文件”,然后选择“退出”关闭“安全配置和分析”。
希望本文介绍的组策略命令的概念以及如何使用组策略命令的方法能够对读者有所帮助,更多有关组策略的知识还有待于读者去积极探索和学习。
【编辑推荐】
Windows组策略高级应用三技巧
|
|
|||
| 作者:杨兴平 | 责任编辑:zhanghuafeng | ||
技巧一:暂时隐藏不用的策略
如果你是初学使用组策略,肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花,由于不熟悉每个策略的具体位置,有时候为了配置一个策略您可能要在组策略编辑器里翻找大半天,这时候我们就可以使用组策略编辑器的“筛选”功能。
在“开始”菜单的“运行”中输入“gpedit.msc”打开组策略编辑器,在左侧窗格中选择一个目录,单击右键,在弹出的快捷菜单中选择“查看→筛选”命令打开“筛选”对话框,在该对话框上,我们可以选择组策略编辑器只显示配置了的策略,也可以选择组策略编辑器只显示针对特定软件的策略,我们可以选择只显示Windows
XP Professional以上的操作系统才能管理的策略。
技巧二:禁用“用户配置”或“计算机配置”策略
组策略编辑器中的策略分为两类:计算机配置和用户配置。如果你想知道当前系统中这两类策略分别有多少项被配置过,或者你想隐藏其中一类配置,则可以使用这样的方法:
打开组策略编辑器,右键单击左窗格目录树的根目录“本地计算机策略”,然后在弹出的快捷菜单上选择“属性”打开“本地计算机策略属性”对话框,在该对话框上“创建”一栏显示了该组策略管理单元生成的时间,一般情况下它就是操作系统的安装时间;而“修改”中则显示的是最后一次设置组策略的时间;“修订”一栏显示了这两个分类中各自有多少策略被配置过;如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方勾选相应的复选框。
技巧三:编辑远程计算机的组策略
组策略不仅可以本地编辑,而且还可以远程编辑。在“开始”菜单上单击“运行”,输入“mmc”打开MMC控制台(Microsoft
Management
Console),在默认情况下,MMC控制台新建并打开了一个“控制台1”的文件,在MMC控制台的菜单栏选择“文件→添加/删除管理单元”命令,打开“添加/删除管理单元”对话框,在该对话框上单击“添加”,在弹出的独立管理单元列表对话框上选择“组策略”并单击“添加”,在接下来的对话框上我们就可以选择是编辑本地计算机的组策略,还是编辑远程计算机的组策略,系统默认的选择是编辑本地计算机的组策略,单击“浏览”,在选择另一台计算机的对话框中输入计算机在域中的路径,或者单击“高级”选择工作组中的另外一台计算机。
选择以后单击“确定”就会在“控制台1”中打开该远程计算机的组策略。现在好了,利用这个控制台文件我们就可以编辑远程计算机的组策略了,编辑完成后您还可以把“控制台1”保存为一个“??.msc”的文件,这样,当有需要时,您还可以双击该文件继续远程编辑该计算机的组策略。