windows系统组策略应用最新技巧.docxVIP

Windows系统组策略应用最新技巧 系统组策略几乎是各位网络管理人员管理网络时的必用利器之一， 有关该利器的常规应 用技巧，相信许多人都已经耳熟能详了。 但是笔者一直认为，只要我们足够细心、用心, 就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话，就来看看下面的内容 吧，相信它们会帮助大家进入一个新的应用新“境界” ！ 巧限程序，谨防“自锁” Win dows服务器中有一个名为“只允许运行 Win dows应用程序”的组策略项目，一 旦你将该项目启用，同时限制好指定的程序可以运行外， 那么无论你是否在“只允许运 行程序列表中，添加了 gpedit.msc命令，只要“只允许运行 Windows应用程序”的 组策略项目生效，系统的组策略就会自动“自锁”，即使你在超级管理员帐号下使用 “gpedit.msc ”命令，也不能打开系统的组策略编辑窗口 ！那么有没有一种办法，既能 限制应用程序的运行，又能防止系统组策略出现“自锁”现象呢 ？答案是肯定的，你可 以按照如下步骤来操作： 首先依次单击“开始” / “运行”命令，在弹出的系统运行框中，输入字符串命令 “gpedit.msc ，单击“确定”按钮后，打开系统组策略编辑窗口 ； 依次展开该窗口中的“用户配置” / “管理模板” / “系统”项目， 在对应“系统” 项目右边的子窗口中， 双击“只运行许可的 Win dows应用程序”选项，在其后弹出的界 面中，将“已启用”选项选中。随后，你将在对应的窗口中看到“显示”按钮被自动激 活，再单击“显示”按钮，然后继续单击其后窗口中的“添加”按钮，再将需要运行的 应用程序名称输入在添加设置框中，最后单击“确定”按钮 ； 下面，请大家千万不要将组策略编辑窗口立即关闭 ；然后打开系统运行对话框，并 在其中执行“ gpedit.msc ”命令，此时你将发现系统组策略编辑程序已经无法运行了 ！ 不过，幸亏前面没有将组策略编辑窗口关闭，现在你可以继续在组策略编辑窗口中，双 击刚才设置的“只允许运行 Win dows应用程序”项目，然后在弹出的策略设置窗口中， 选中“未配置”选项， 最后单击一下“确定”按钮，这样就能实现既可以限制运行应用 程序的目的，又能阻止系统组策略出现“自锁”现象。 小提示：要是你将指定的应用程序名称添加到“只允许运行 Windows应用程序”列 表中后，直接把组策略编辑窗口关闭的话，可以通过下面的步骤来进行恢复 : 重新将服务器系统启动一下，在启动的过程中不停地按下 F8功能键，直到出现系 统的启动菜单，然后执行其中的“带命令行提示的安全模式”命令，将服务器系统切换 到命令行提示符状态； 接下来在命令提示符下直接执行 mmc.exe字符串命令，在弹出的系统控制台界面中， 单击“文件”菜单项，并从弹出的下拉菜单中单击“添加 /删除管理单元”选项，再单 击其后窗口中的“独立”标签，然后在如图 1所示的标签页面中，单击“添加”按钮 海加/■!除管理単元 扩展 扩展 使用此贡乘添加或删陥拄制台的营理单元° 管理单运添加到⑤一」擅制台根节点 管理单运添加到⑤一」擅制台根节点 下面，再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮， 这样就能成功添加一个新的组策略控制台 ；以后，你就能重新打开组策略编辑窗口，然 后按照上面的设置，实现既可以限制运行应用程序的目的，又能阻止系统组策略出现 “自锁”现象。 随心所欲，解除“自锁” 除了通过限制应用程序运行的策略外，还有许多操作都能使组策略在不经意间就会 发生“自锁”现象。如果是其他因素造成组策略发生“自锁”现象的话，我们该如何轻 松解除呢？其实，所有对组策略的设置，都是基于系统注册表 ＞的，因此对组策略任意分 支的设置，都会在注册表的对应分支中有所体现 ；为此我们只要从修改注册表出发，就 能轻松破解组策略的“自锁”现象： 依次单击“开始” / “运行”命令，在弹出的系统运行对话框中，输入字符串命令 “regedit ，单击“确定”按钮后，打开系统的注册表编辑窗口 ； 在该窗 口 中，依次展开注册表分支 HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3- 0000F87571E3}，在随后弹出的如图2所示的窗口右侧区域中，你将看到一个 “ Restrict_Run ”键值； 用鼠标双击该键值，打开一个数值设置窗口，在其中输入数字“ 0”，最后单击“确 定”按钮；此后，当你再次打开系统运行对话框， 并在其中执行“ gpedit.msc ”命令时， 你会发现自锁的组策略编辑窗口，现在可以被轻松打开了。 策略更改，即时生效 无论是对于 Windows 2003域还是 Window