本地组策略

服务器的安全性是管理人员首要关心的事情。管理员发现使用本地组策略可以解决部分安全问题。比如自定义“开始”菜单,简化“网上邻居”,清除最近打开的文档记录,用户登录/注销执行脚本文件等。

1.组策略

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。

组策略有本地组策略和域组策略,本次任务中主要介绍Windows Server 2003本地组策略的应用。组策略对本地计算机有两方面的配置:本地计算机配置和本地用户配置。每一计算机上的本地策略只有一个,我们只能编辑组策略,而不能创建组策略。

2.打开本地组策略的方法

(1)组策略编辑器的命令行启动

单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确认”按钮即可启动Windows Server 2003的本地组策略编辑器。

(2)将组策略作为独立的MMC管理单元打开

l 单击选择“开始” → “运行”命令,在弹出的对话框中键入“mmc”,然后单击“确定”按扭。打开Microsoft管理控制台窗口。

l 选择“文件”菜单下的“添加/删除管理单元”命令。

l 在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。

l 弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择“组策略”选项,单击“添加”按钮。

l 由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单击“本地计算机”,编辑本地计算机对象,或通过单击“浏览”按扭查找所需的组策略对象。

l 单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的组策略对象。

任务实施

1. 为任务栏和开始菜单瘦身

将开始菜单中不常用的菜单删除,如“搜索”菜单。

打开“组策略编辑器”窗口,选择“用户配置”→“管理模板”文件夹,在对应的右部子窗口中,双击“任务栏和开始菜单”子文件夹

 

图1.31  任务栏和开始菜单设置

如果要删除开始菜单中的搜索命令,双击“从开始菜单中删除‘搜索’菜单”选项,弹出对话框,选择“已启用”单选按钮。注销该用户,重新登入后,开始菜单中就没有搜索选项。

2. 隐藏桌面上的“网上邻居”

打开“组策略编辑器”窗口,选择“用户配置”→“管理模板”文件夹,在对应的右部子窗口中,双击“桌面”子文件夹.

 

如果要隐藏桌面上“网上邻居”图标,双击“桌面”选项,弹出对话框,选择“已启用”单选按钮。注销该用户,重新登入后,桌面上就没有“网上邻居”图标。

3.设置最近打开文档记录

处于某种安全的需要,例如不想让人知道自己浏览过哪些网页和打开过哪些文件,这时只要在右侧窗格中右击“不要保留最近打开文档的记录”(如图1.33所示)和“退出时清除最近打开的文档的记录”两个策略,在弹出的对话框中选择“已启用”单选按钮即可。

 4.使用脚本

所谓脚本就是一段类似visual basic script或者java script的程序或命令。例如,用记事本编写一个简单的脚本。新建一个记事本文件1.txt,打开记事本输入一段代码msgbox"hello"。然后保存,将1.txt的后缀名更改为1.vbs。

脚本用于管理用户环境,Windows Server 2003提供了脚本用于计算机的启动、关机以及用户的登录和注销。