教你如何配置安全的组策略.ppt

组策略的配置 目 录 1 组策略概述 2 组策略的基本配置与实例 3 使用组策略配置用户环境 组策略是管理员为计算机和用户定义的，是用来控制应用程序、系统设置和管理模板的一种机制。简单地说，组策略就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。 组策略高于注册表，组策略使用更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 1.使用组策略可以实现的功能 帐户策略的设定 本地策略的设定 脚本的设定 用户工作环境的定制 软件的安装与删除 限制软件的运行 文件夹的转移 其他系统设定 1 组策略概述 方法1：单击【开始】|【运行】命令，输入gpedit.msc，单击【确定】按钮，打开当前计算机的组策略，如图1所示。 方法2：单击【开始】|【运行】命令，输入MMC，单击【确定】按钮，打开 Microsoft 管理控制台，添加【组策略对象编辑器】，选择所需的组策略对象，打开要编辑的组策略对象，如图2所示。 1 组策略概述 2.启动组策略的方法 图1 本地组策略窗口 图2 MMC中的组策略管理单元 1.计算机配置 计算机配置包括所有与计算机相关的策略设置，它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项以及应用设置。 2.用户配置 用户配置包括所有与用户相关的策略设置，它们用来指定操作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。 3.组策略插件扩展 （1）软件设置 （2）Windows设置 账号策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、 IP安全策略、公钥策略 （3）管理模板 2 组策略的基本配置与实例 2.1组策略的基本配置 2 组策略的基本配置与实例 2.2 组策略实例1：计算机配置 1．让Windows的上网速率提升20% 操作步骤： 在【组策略编辑器】控制台中，展开【计算机配置】|【管理模板】|【网络】|【QoS 数据包调度程序】项，在右窗格双击【限制可保留带宽】策略，在属性对话框中，选择【已启用】单选按钮，并将【带宽限制】值设置为0%，单击【确定】按钮。 2．关闭系统还原功能（“系统还原”功能会不定时地创建所选系统文件和程序文件的常规备份，并为之建立检查点，“系统还原”功能会建立多个检查点，用户可以选择恢复到任意检查点的系统状态。 ） 操作步骤： 在【组策略】控制台中，展开【计算机配置】|【管理模板】|【系统】|【系统还原】项，在右窗格双击【关闭系统还原】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮，启用此设置来关闭系统还原。 3．禁止Windows Messenger自动运行（Windows Messenger是Windows XP附带的实时通信软件） 操作步骤：在【组策略】控制台中，展开【计算机配置】|【管理模板】|【Windows组件】|【Windows Messenger】项，在右窗格双击【不允许运行Windows Messenger】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮。 2.2 组策略实例1：计算机配置 2 组策略的基本配置与实例 4．管理远程桌面设置实例 允许“远程桌面”连接 在【组策略编辑器 】中，展开【计算机配置】|【管理模板】|【Windows组件】|【终端服务】项，在右窗格中双击【允许用户使用终端服务远程连接】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮即可。 2.2 组策略实例1：计算机配置 2 组策略的基本配置与实例 1.个性化【任务栏和「开始」菜单】 通过组策略可以实现【任务栏和「开始」菜单】的个性化。在【组策略编辑器】控制台中，展开【用户配置】｜【管理模板】｜【任务栏和‘开始’菜单】项，在右窗格中列出【任务栏和‘开始’菜单】有关策略的具体配置。具体实例如下 ： 2.3组策略实例2：用户配置 2 组策略的基本配置与实例 ★给「开始」菜单减肥 在组策略窗口中，可以启用【从开始菜单删除用户文件夹】、【从开始菜单删除公用程序组】、【从开始菜单中删除‘我的文档’图标】等多种组策略配置项目来去掉不需要的菜单项。 ★保护好【任务栏和「开始」菜单】 如果不想随意让他人更改【任务栏和「开始」菜单】的设置，只要启用【阻止更改“任务栏和开始菜单”设置】和【阻止访问任务栏的上下文菜单】两个策略即可。 ★禁止【关机】 启动计算机后，如果不希望用户进行【关机】操作，那么启用【删除和阻止访问“关机”命令】策略。 ★利用组策略保护个人文档隐私 如果不希望用户查看曾经访问过的文件，只要在组策略窗口中的【任务栏和「开始」菜单】项中，启用【不要保留最近打