目录
- 2. 配置基于本地的组策略
- 2.1 打开本地组策略编辑器
- (1)禁止本机用户编辑注册表
- (2)禁用Windows Server 2019服务器的【关闭事件追踪程序】
- (3)禁用互联网属性对话框中的【安全】选项卡
- (4)禁止本机用户使用命令提示符
- (5)对可移动磁盘进行权限设置
- 限制可移动磁盘读取权限
- 限制可移动磁盘写入权限
- 参考资料
- 关联博文
2. 配置基于本地的组策略
基于本地的组策略只作用于本计算机及其上的用户,对其他计算机和用户不生效。
实验环境:一台Windows Server 2019服务器。
实验方式:使用5个实例来验证本地组策略设置对本地工作环境的影响。
子任务:通过本地组策略设置,实现下面的功能。
- (1)禁止本机用户编辑注册表。
- (2)禁用Windows Server 2019服务器的【关闭事件追踪程序】。
- (3)禁用互联网属性对话框中的【安全】选项卡。
- (4)禁止本机用户使用命令提示符。
- (5)对可移动磁盘进行权限设置。
2.1 打开本地组策略编辑器
使用【win + r】快捷键,打开【运行】对话框,输入命令:gpedit.msc。
(1)禁止本机用户编辑注册表
注册表编辑器是编辑Windows系统注册表的工具。
注册表打开方式:使用【win + r】快捷键,打开【运行】对话框,输入命令:regedit.msc。
即可打开注册表编辑器。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【用户配置】——>【管理模版】——>【系统】,找到【阻止访问注册表编辑工具】,双击打开。
选择【已启用】,点击【确定】即可。
验证:
再次打开注册表编辑器,在【运行】中输入 regedit 后弹出告警提示:注册表编辑器已被管理员禁用。
(2)禁用Windows Server 2019服务器的【关闭事件追踪程序】
Windows Server 2019 服务器的关闭事件追踪程序要求用户在关机时提供关机原因。如果用户不希望每次关机时都需要提供关机原因,可以通过本地组策略设置,来禁用本地关闭事件追踪程序。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【计算机配置】——>【管理模版】——>【系统】,找到【显示【关闭事件跟踪程序】】,双击打开。
该选项默认开启,所以选择【已禁用】,点击【确认】。
验证:
再次关机时,系统不会提示需要确认关机原因,而是直接关机。
(3)禁用互联网属性对话框中的【安全】选项卡
查看互联网属性对话框中的【安全】选项卡。
打开【控制面板】——>【网络和互联网】,双击【互联网选项】,弹出的【互联网属性】对话框中正常包 含【常规】,【安全】,【隐私】、【内容】,【连接】,【程序】,【高级】7个选项卡。
如果不希望使用该计算机的用户设置与安全相关的选项,可以通过本地组策略设置来禁用本地安全选项卡。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【计算机配置】——>【管理模版】——>【Windows组件】——>【互联网 Explorer】——>【互联网控制面板】,找到【禁用安全页】,双击打开。
该选项默认禁用,所以选择【已开启】,点击【确认】。
验证:
再次打开互联网属性界面时,发现【互联网属性】对话框中只包含【常规】,【隐私】、【内容】,【连接】,【程序】,【高级】6个选项卡。
【安全】选项卡消失了。
(4)禁止本机用户使用命令提示符
命令提示符是为用户提供了一个命令行界面。用户可通过命令行运行程序和批处理文件,从而进行系统管理等。此外,命令提示符还支持管道和重定向功能。
**打开方式:**使用【win + r】快捷键,打开【运行】对话框,输入命令:cmd,点击确认,即可打开命令提示符。
如果不希望使用该计算机的用户使用命令提示符,可以通过本地组策略设置来禁用本地命令提示符。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【用户配置】——>【管理模版】——>【系统】,找到【阻止访问命令提示符】,双击打开。
选择【已启用】,点击【确认】。
验证:
再次打开cmd时,cmd.exe 提示:命令提示符已被系统管理员停用。
(5)对可移动磁盘进行权限设置
对于一些重要的,对外服务的服务器,可以通过设置可移动磁盘权限来限制可移动存储类的读、写和执行权限,以确保服务器的安全,防止病毒或木马通过可移动存储媒介感染服务器。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【计算机配置】——>【管理模版】——>【系统】——>【可移动存储访问】。
限制可移动磁盘读取权限
找到【可移动磁盘:拒绝读取权限】,双击打开,选择【已启用】,点击【确认】。
验证:
将可移动硬盘连接到服务器中,双击可移动硬盘,系统弹出告警对话框:拒绝访问。
验证过后,重新找到【可移动磁盘:拒绝读取权限】,双击打开,选择【未配置】,点击【确认】。方便接下来的实验。
限制可移动磁盘写入权限
找到【可移动磁盘:拒绝写入权限】,双击打开,选择【已启用】,点击【确认】。
验证:
将可移动硬盘连接到服务器中,双击可移动硬盘,将桌面上的text文件复制到硬盘中,弹出告警提示:目标文件夹访问被拒绝。但是可以访问硬盘中的文件,可以将移动硬盘中的文件复制到服务器中。
参考资料
- [1]戴有炜,《2016 Windows Server 系统配置指南》,清华出版社,2018
- Microsoft Docs:Active Directory documentation
- Microsoft Docs:Active Directory Domain Services
关联博文
关于 组策略的配置与管理 请查阅接下来的博文:
- 【Windows Server 2019】组策略的配置与管理——理论基础博文介绍了组策略的定义,作用和分类。组策略包括计算机配置和用户配置;组策略又分为为基于本地的组策略和基于AD(活动目录)的域组策略。并说明了不同组策略发生冲突时默认的规则。
- 【Windows Server 2019】组策略的配置与管理——配置基于本地的组策略博文介绍了如何配置基于本地的组策略。基于本地的组策略只作用于本计算机及其上的用户,对其他计算机和用户不生效。通过5个子任务实例来验证本地组策略设置对本地工作环境的影响。分别是:
- (1)禁止本机用户编辑注册表。
- (2)禁用Windows Server 2019服务器的【关闭事件追踪程序】。
- (3)禁用互联网属性对话框中的【安全】选项卡。
- (4)禁止本机用户使用命令提示符。
- (5)对可移动磁盘进行权限设置。
- 【Windows Server 2019】组策略的配置与管理——配置基于域的组策略(上)基础配置示例博文介绍了如何配置基于域的组策略。首先在AD域中创建组策略,然后通过4个实例来验证域的组策略设置效果。分别是:
- 禁止【user_fjnu】用户访问控制面板和PC设置。
- 禁止【user_fjnu】所有用户修改IE浏览器的默认主页,并将默认主页设置为www.fjnu.edu.cn。
- 禁止【user_fjnu】用户运行【计算器程序】。
- 使【user_fjnu】用户登录系统后,隐藏C盘。
- 【Windows Server 2019】组策略的配置与管理——配置基于域的组策略(下)进阶配置示例博文介绍了如何配置基于域的组策略,通过组策略统一管理域中的计算机和用户。通过4个实例来验证域管理员可以通过组策略统一管理分配域中资源。
- 将某目录自动映射为网络驱动器,使user_fjnu中的用户可以访问。
- 使user_fjnu中用户使用统一桌面背景。
- 为user_fjnu中用户安装统一的软件。
- 为user_fjnu中用户的【文档】文件夹重新定向。
