Windows 版 (精华区)
发信人: fiag (大饼), 信区: Windows
标 题: Windows XP组策略应用
发信站: 哈工大紫丁香 (2003年01月30日08:28:02 星期四), 站内信件
出处:PConline
责任编辑:zyq
[02-9-9 20:03] 作者:小玉哥/整理
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工
具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从
桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在
计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet
Explorer。
本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算
机可以进行两个方面的设置:本地计算机配置和本地用户配置。
--
/\~~~~~~~~~~~~~\ ▓ ^*^ ☆ $$ .☆
./ \~~~▓~ ~~~~\ ◆ 冬天.快乐 * $◢◣$ *
/ ^^ \ ══════\.◆ * * * $◢★◣$ *
..▎[] ▎田 田 ▎ |┃◆ . * $◢■■◣$ *
&&▎ ▎ ▎'|'▎ @ * $◢■■■◣$ *
# ■■■■■■■■■■〓▄▃▂▁愿你天天快乐︸︸||︸︸
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.79.17]
※ 修改:·fiag 於 01月30日08:28:24 修改本文·[FROM: 210.46.79.17]
发信人: fiag (大饼), 信区: Windows
标 题: Windows XP组策略应用(一)
发信站: 哈工大紫丁香 (2003年01月30日08:32:18 星期四), 站内信件
出处:电脑爱好者
责任编辑:pcedu
[02-8-26 17:07] 作者:马宪庭
一、组策略的基本知识
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工
具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从
桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在
计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet
Explorer。
本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算
机可以进行两个方面的设置:本地计算机配置和本地用户配置。所有策略的设置都将保存
到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关
项中,对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。
访问本地组策略的方法有两种:第一种方法是命令行方式;第二种方法是通过在MMC控
制台中选择GPE插件来实现的。
1、组策略编辑器的命令行启动
您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“g
pedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组
策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。)
在打开的组策略窗口中(如图1所示),可以发现左侧窗格中是以树状结构给出的控制
对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,您或许已经注意到
,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,
并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等
。那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计
算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用
户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都
提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所
有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅
仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10208/pic/image002_2.jpg">
图一
2、将组策略作为独立的MMC管理单元打开
若要在MMC控制台中通过选择GPE插件来打开组策略编辑器,具体方法如下:
(1)单击选择“开始”→“运行”命令,在弹出的对话框中键入“mmc”,然后单击
“确定”按扭。打开Microsoft管理控制台窗口。如图2所示。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10208/pic/image004_2.jpg">
图2
(2)选择“文件”菜单下的“添加/删除管理单元”命令。
(3)在“添加/删除管理单元”窗口的“独立”选项卡中,单击“添加”按扭。
(4)弹出“添加独立管理单元”对话框,并在“可用的独立管理单元”列表中选择
“组策略”选项,单击“添加”按钮。如图3所示。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10208/pic/image006_2.jpg">
图3
(5)由于是将组策略应用到本地计算机中,故在“选择组策略对象”对话框中,单
击“本地计算机”,编辑本地计算机对象,或通过单击“浏览?
(6)单击“完成”→“关闭”→“确定”按扭,组策略管理单元即可打开要编辑的
组策略对象。
特别提示:倘若您希望保存组策略控制台,并希望能够选择通过命令行在控制台中打
开组策略对象,请在“选择组策略对象”对话框中选中“允许
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.79.17]
--
※ 修改:·fiag 於 01月30日08:51:28 修改本文·[FROM: 210.46.79.17]
发信人: fiag (大饼), 信区: Windows
标 题: Windows XP组策略应用(二)
发信站: 哈工大紫丁香 (Thu Jan 30 08:54:13 2003) , 转信
出处:电脑爱好者
责任编辑:zyq[02-8-27 14:21] 作者:马宪庭
二、“任务栏”和“开始”菜单相关选项的删除和禁用
在“‘本地计算机’策略”中,逐级展开“用户配置”→“管理模板”→“任务栏和
「开始」菜单”分支,在右侧窗格中,提供了 “任务栏”和“开始菜单”的有关策略。如
图4所示。
1、给“开始”菜单瘦瘦身
如果您觉得Windows XP的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始
”菜单中删除。在右侧窗格中,提供了删除“开始”菜单中的公用程序组、“我的文档”
图标、“文档”菜单、“网络连接”、“收藏夹”菜单、“搜索”菜单、“帮助”命令、
“运行”菜单、“图片收藏”图标、“我的音乐”图标和“网上邻居”图标等策略。您只
要将不需要的菜单项所对应的策略启用即可。现在以删除“我的文档”图标为例,具体操
作步骤为:
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10208/pic/image008_2.jpg">
图4
(1)在策略列表窗格中用鼠标双击“从「开始」菜单中删除‘我的文档’图标”设置
选项。
(2)在弹出窗口的“设置”选项卡中,选择“已启用”单选按扭(如图5所示),然后单
击“确定”按扭即可。
2、保护好你的个人隐私
出于某种安全的需要,例如不想让人知道自己浏览过哪些网页和打开过哪些文件,您
只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的
记录”两个策略启用即可。
3、保护好“任务栏”和“开始”菜单的设置
倘若您不想随意让他人更改“任务栏”和“开始”菜单的设置,您只要将右侧窗格中
的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个
策略项启用即可。这样,当您用鼠标右键单击任务栏并单击“属性”时,系统会出现一个
错误消息,提示信息是某个设置禁止了这个操作。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10208/pic/image010_2.jpg">
图5
4、禁止“注销”和关机
当计算机启动以后,倘若您不希望这个用户再进行关机和注销操作,那么必须将右侧
窗格中的“删除「开始」菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策
略启用。
提示:倘若您在“开始”菜单上删除了“注销”,“注销<用户名>”项目就不会出现
在“开始”菜单。这个设置还从“‘开始’菜单选项”删除“显示注销”项目。结果是,
您无法将“注销<用户名>”项目还原到“开始”菜单。
--
※ 来源:.哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 210.46.79.17]
※ 修改:·fiag 於 01月30日09:07:13 修改本文·[FROM: 210.46.79.17]
发信人: fiag (大饼), 信区: Windows
标 题: Windows XP组策略应用(三)
发信站: 哈工大紫丁香 (Thu Jan 30 09:11:55 2003) , 转信
三、桌面相关选项的删除和禁用
Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁,有了组策略编辑
器,这项工作将变得易如反掌,您只要在“‘本地计算机’策略”中,逐级展开“用户配
置”→“管理模板”→“桌面”分支,即可在右侧窗格中显示相应的策略选项。如图6所示
。
1、隐藏桌面的系统图标
倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势
必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10208/pic/06.jpg">
图6
若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将
“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选
项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用
即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标
”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在
桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面
删除回收站”策略项启用。
2、禁止对桌面的某些更改
如果您不希望别人随意改变计算机桌面的设置,请在右侧窗格中将“退出时不保存设
置”这个策略选项启用。当您启用这个了设置以后,其他用户可以对桌面做某些更改,但
有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
四、禁止访问“控制面板”
如果您不希望其他用户访问计算机的“控制面板”,您只要运行组策略编辑器(gped
it.msc),在左侧窗格中逐极展开“‘本地计算机’策略”→“用户配置”→“管理模板
”→“控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可。如图7所
示。
此项设置可以防止“控制面板”程序文件(Control.exe)的启动。其结果是,他人将
无法启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”
菜单中删除“控制面板”。同时这个设置还从 Windows 资源管理器中删除“控制面板”文
件夹。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10208/pic/07.jpg">
图7
特别提示:如果您想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现
一个消息,说明该设置防止这个操作。
五、防止用户使用“添加或删除程序”
在“控制面板”中,“添加或删除程序”项目允许您安装、卸载、修复并添加和删除
Windows XP 的功能和组件以及种类很广的 Windows 程序。发行或分配给用户的程序将出
现在“添加或删除程序”中。倘若您阻止其他用户安装和卸载程序,请在“‘本地计算机
’策略”→“用户配置”→“管理模板”→“控制面板”分支的右侧窗格中启用“删除‘
添加/删除程序’程序”策略选项。
启用这个设置将从“控制面板”删除“添加或删除程序”并从菜单删除“添加或删除
程序”项目;这个设置不防止用户用其他工具和方法安装或卸载程序。
六、在Windows Xp中设置用户权限
当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行:
1、运行组策略编辑器程序(gpedit.msc)。
2、在编辑器窗口的左侧窗格中逐级展开“计算机配置”→“Windows设置”→“安全
设置”→“本地策略”→“用户权限指派”分支。
3、双击需要改变的用户权限。单击“增加”,然后双击想指派给权限的用户帐号。如
图8所示。 连续两次单击“确定”按扭。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10208/pic/08.jpg">
图8
--
※ 来源:.哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 210.46.79.17]
发信人: fiag (大饼), 信区: Windows
标 题: Windows XP组策略应用(四)
发信站: 哈工大紫丁香 (Thu Jan 30 09:14:11 2003) , 转信
七、在Windows XP中实现远程关机
在Windows XP中,新增了一条命令行工具“shutdown”,其作用是“关闭或重新启动
本地或远程计算机”。利用它,我们不但可以注销用户,关闭或重新启动计算机,还可以
实现定时关机、远程关机。
该命令的语法格式如下:
shutdown [-i |-l|-s |-r |-a] [-f] [-m [\\ComputerName]] [-t xx] [-c "messa
ge"] [-d[u][p]:xx:yy]
其中,各参数的含义为:
-i 显示图形界面的对话框。
-l 注销当前用户,这是默认设置。
-m ComputerName优先。
-s 关闭计算机。
-r 关闭之后重新启动。
-a 中止关闭。除了-l 和ComputerName 外,系统将忽略其它参数。在超时期间,您只
可以使用-a。
-f 强制运行要关闭的应用程序。
-m [\\ComputerName] 指定要关闭的计算机。
-t xx 将用于系统关闭的定时器设置为 xx 秒。默认值是20秒。
-c "message" 指定将在“系统关闭”窗口中的“消息”区域显示的消息。最多可以使
用127 个字符。引号中必须包含消息。
-d [u][p]:xx:yy 列出系统关闭的原因代码。
首先,我们来看一下该命令的一些基本用法:
1、注销当前用户
shutdown - l
该命令只能注销本机用户,对远程计算机不适用。
2、关闭本地计算机
shutdown - s
3、重启本地计算机
shutdown - r
4、定时关机
shutdown - s -t 30
指定在30秒之后自动关闭计算机。
5、中止计算机的关闭
有时我们设定了计算机定时关机后,如果出于某种原因又想取消这次关机操作,就可
以用 shutdown - a 来中止。如:
shutdown -s – t 300 设定计算机在5分钟后关闭。
Shutdown – a 取消上述关机操作。
以上是shutdown命令在本机中的一些基本应用。前面我们已经介绍过,该命令除了关
闭、重启本地计算机外,更重要的是它还能对远程计算机进行操作,但是如何才能实现呢
?
在该命令的格式中,有一个参数[-m [\\ComputerName],用它可以指定将要关闭或重
启的计算机名称,省略的话则默认为对本机操作。您可以用以下命令来试一下:
shutdown –s –m \\sunbird -t 30
在30秒内关闭计算机名为sunbird的机器;注:sunbird为局域网内一台同样装有Wind
ows XP的电脑。
但该命令执行后,计算机sunbird一点反应都没有,但屏幕上却提示“Access is den
ied (拒绝访问)”。
为什么会出现这种情况呢?原来在Windows XP默认的安全策略中,只有管理员组的用
户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑来访问该计算机时
,则只有guest用户权限,所以当我们执行上述命令时,便会出现“拒绝访问”的情况。
找到了问题的根源之后,解决的办法也很简单,您只要在客户计算机(能够被远程关
闭的计算机,如上述的sunbird)中赋予guest用户远程关机的权限即可。这可利用Window
s XP的“组策略”或“管理工具”中的“本地安全策略”来实现。下面以“组策略”为例
进行介绍:
1、单击“开始”按钮,选择“运行”,在对话框中输入“gpedit.msc”,然后单击“
确定”,即可打开组策略编辑器。
2、在“组策略”窗口的左侧窗格中逐级展开“计算机配置”→“Windows 设置”→“
安全设置”→“本地策略”→“用户权利指派”。
3、在“组策略”窗口的右侧窗格中选择“从远端系统强制关机”,通过双击将其打开
。
4、在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机;
单击对话框下方的“添加用户或组”按钮,然后在新弹出的对话框中输入“guest”,再单
击“确定”按扭。如图9所示。
5、这时在“从远端系统强制关机”的属性中便添加了一个“guest”用户,单击“确
定”即可。
6、关闭“组策略”窗口。
通过上述操作后,我们便给计算机sunbird的guest用户授予了远程关机的权限。以后
,倘若您要远程关闭计算机sunbird,只要在网络中其他装有Windows XP的计算机中输入以
下命令即可:
shutdown -s –m \\sunbird -t 30 (其他参数用法同上)
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10209/pic/9.jpg">
图9
这时,在sunbird计算机的屏幕上将显示一个“系统关机”的对话框,提示“系统即将
关机。请保存所有正在运行的工作,然后注销。未保存的改动将会丢失。关机是由sunbir
d\guest初始的。”在对话框下方还有一个计时器,显示离关机还有多少时间。在等待关机
的时间里,用户还可以执行其他的任务,如关闭程序、打开文件等,但无法关闭该对话框
,除非你用shutdown –a命令来中止关机任务。
--
※ 来源:.哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 210.46.79.17]
发信人: fiag (大饼), 信区: Windows
标 题: Windows XP组策略应用(五)
发信站: 哈工大紫丁香 (Thu Jan 30 09:15:30 2003) , 转信
八、Windows 98访问Windows XP共享目录被拒绝的问题解决
在局域网内,经常可以遇到装有Windows 2000的电脑开了共享目录,而装有Windows
98的电脑却无法访问的问题。这个在微软的官方网页上可以找到答案,提示开启Windows
2000的GUEST用户就行了。可是Windows XP出来以后,同样的又面临这个问题,结果有些人
发现这个方法不灵了,从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在
?这个问题本也困扰过我好几天,后来在无意中发现了问题的答案,也许这是Windows XP
的一个BUG?
在开启了系统Guest用户的情况下,运行组策略编辑器程序,在“本地计算机策略”→
“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”→
“拒绝从网络访问这台计算机”中赫然可以看到有Guest用户!如果在这里删除Guest用户
,那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了。
环境:中文Windows XP,采用传统登录方式并且关闭了“文件夹选项”中的“使用简
单文件共享”。
九、让Windows XP Professional的上网速率提升20%
1、首先必须以系统管理员身份登入系统。
2、运行组策略编辑器程序(gpedit.msc)。在“‘本地计算机’策略”中,逐级展开
“计算机配置”→“管理模板”→“网络”→“QoS数据包调度程序”分支。在屏幕右边会
出现“QoS数据包调度程序”策略。接着单击右边子项目的“限制可保留带宽”。这时,左
边会显示“限制可保留带宽”的详细描述。从这里我们可了解到“限制可保留带宽”的一
些基本情况。
了解之后我们就可以对“限制可保留带宽”进行设置了。单击“限制可保留带宽”下“显
示”旁边的“属性”(或者选择子项目“限制可保留带宽”,再点击右键→“属性”也可
),出现“限制可保留带宽”对话框,先点击“说明”,再进一步了解“限制可保留带宽
”确定系统可保留的连接带宽的百分比情况。
之后我们就可以对另外20%带宽进入设置了。点击“设置”。“设置”为我们提供了三
个选择(未配置、已启用、已禁用),选择“已启用”,接着再将带宽限制旁边的%设置为
0%即可,然后按确定退出。
3、单击“开始”→“连接到”→“显示所有连接”。
选中你所建立的连接,用鼠标右键单击属性,在出现的连接属性中单击网络,在显示
的网络对话框中,检查“此连接使用下列项目”中“QoS数据包调度程序”是否已打了勾,
没问题就按确定退出。
4、最后重新启动系统便完成对另外20%的频宽利用了
十、禁止MSN Messenger自运行
在Windows XP Professional中,有许多系统内置的软件都没有卸载选项,引起很多电
脑用户的不满。若要禁止Windows Messenger(4.0以上版本)的自动运行。您只要在“组
策略”程序窗口中。依次通过双击展开“计算机配置”→“管理模板”→“Windows组件”
→“Windows Messenger”分支,再从右边的窗口上,双击“不允许运行Windows Messeng
er”,在弹出的“不允许运行Windows Messenger属性”对话框中点击“已启用”,再单击
“确定“按扭退出即可。
十一、禁用IE6浏览器的相关设置、菜单项和工具栏
在IE浏览器的“Internet选项”窗口中,提供了比较全面的设置选项(例如:首页、
临时文件夹、安全级别和分级审查等项目),这将极大方便我们网上冲浪。为了不使他人
随意改变您对浏览器的设置以及对IE的某些功能限制使用,有必要将你的设置选项进行隐
藏或禁止使用。过去在Windows 9x系统中,一般是通过修改注册表来实现的,不过这会对
系统的安全性带来一定的风险。当您选择了Windows XP后,这种风险几乎降低到了零。现
在就为您介绍一下如何利用Windows XP提供的组策略来进行设置IE6。
在组策略设置窗口的左侧窗格中,逐级展开“用户设置”→“管理模板”→“Window
s组件”→“Internet Explorer”分支,在其下面您会发现“Internet控制面板”、“脱
机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选
项。
1、限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制
使用,那么如何才能实现呢?具体方法为:选择“用户设置”→“管理模板”→“Window
s组件”→“Internet Explorer”→“浏览器菜单”分支,然后将右侧窗格中的“‘文件
’菜单:禁用‘另存为…’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘
查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目启用即可。
另外,倘若您不希望别人对IE浏览器的设置进行随意更改,您只要将“‘工具’菜单
:禁用‘Internet选项…’”策略启用即可。另外,根据您个人的需要,在该窗格中还可
以对其他项目进行禁用。
2、给工具栏减肥
倘若您要隐藏工具栏中的工具按扭,具体方法是:选择“用户设置”→“管理模板”
→“Windows组件”→“Internet Explorer”→“工具栏”分支,然后在右侧窗格中双击
“配置工具栏按扭”策略,弹出“配置工具栏按扭属性”窗口,在“设置”选项卡中选择
“已启用”单选按扭,将列表中将要显示按扭名称前面的复选框打上勾选标记,若要隐藏
某些按扭,则不要将其前面的复选框进行勾选。然后单击“确定”按扭即可。如图10所示
。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10209/pic/10.jpg">
图10
3、禁止修改IE浏览器的主页
如果您不希望他人对自己设定的IE浏览器主页进行随意更改的话,您只要选择“用户
配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗
格中,将“禁用更改主页设置”策略启用即可。另外在这个窗格中,还提供了更改历史记
录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。
倘若启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡
的“主页”区域的设置将变灰。
特别提示:如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“In
ternet Explorer”→“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策
略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
--
※ 来源:.哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 210.46.79.17]
发信人: fiag (大饼), 信区: Windows
标 题: Windows XP组策略应用(六)
发信站: 哈工大紫丁香 (Thu Jan 30 09:17:47 2003) , 转信
十二、文件和文件夹设置审核
Windows XP Professional可以使用审核跟踪用于访问文件或其他对象的用户账户、登
录尝试、系统关闭或重新启动以及类似的事件。审核文件、文件夹(只适用于 NTFS文件系
统)可以保证文件和文件夹的安全。在审核发生之前,您必须使用“组策略”指定要审核
的事件类型。为文件和文件夹设置审核的步骤如下。
1、单击选择“开始”→“运行”命令,在弹出的“运行”对话框中键入“gpedit.ms
c”命令,然后单击“确定”按扭即可;当然你也可以在桌面上创建一个相应的快捷方式。
2、在弹出的“组策略”窗口中,逐级展开右侧窗格中的“计算机配置”→“Windows
设置”→“安全设置”→“本地策略”分支,然后在该分支下选择“审核策略”选项。如
图11所示。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10209/pic/11.jpg">
图11
3、在右侧窗格中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”
窗口中,将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记。如图12
所示。然后单击“确定”按扭。
<img src="http://www.pconline.com.cn/pcedu/soft/st/winxp/10209/pic/12.jpg">
图12
4、用鼠标右键单击想要审核的文件(或文件夹)。选择快捷菜单的“属性”命令,然后在
弹出的窗口中选择“安全”选项卡。
5、单击“高级”按扭,然后选择“审核”选项卡。
6、根据具体情况选择您的操作:
(1)倘若对一个新组(或用户)设置审核, 请单击“添加”按扭,在“名称”框中键入
新用户名,然后单击“确定”按扭,将打开“审核项目”对话框。
(2)要查看(或更改)原有的组(或用户)审核, 选择用户名,然后单击“查看/编辑
”按扭。
(3)要删除原有的组(或用户)审核, 选择用户名,然后单击“删除”按扭即可。
7、如有必要的话,在“审核项目”对话框中的“应用到”列表中选取您希望审核的地
方(“应用到”列表仅对文件夹有效)。
8、如果您想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内
的对象和/或容器应用这些审核项”复选框。
如果在“审核项目”对话框中的“访问”之下的复选框变暗,或在“访问控制设置”
对话框中“删除”按钮不可用,那么说明已经继承了来自父文件夹的审核。
需要注意的是:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”
权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,您必须启用“
组策略”中“审核策略”的“审核对象访问”。否则,当您设置完文件、文件夹审核时会
返回一个错误消息,并且文件、文件夹都没有被审核。通过事件查看器(Event Viewer)
可以检查那些访问审核过的文件和文件夹的成功或失败的尝试。
Windows XP Professional还提供了许多安全控制方法可以有效地保护计算机资源,我
们在这里就不一一向您介绍了,希望您能够通过自己的实践发现更多更好的方法
--
※ 来源:.哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 210.46.79.17]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:209.929毫秒