組策略在網(wǎng)絡(luò)中的應(yīng)用十分廣泛，組策略也是維護(hù)系統(tǒng)網(wǎng)絡(luò)安全的有效工具之一，下文是介紹了如何應(yīng)用組策略安全設(shè)置的方法。

作為系統(tǒng)管理員而言，我們都知道保護(hù)windows環(huán)境***的辦法就是使用組策略。在組策略對(duì)象(GPO)中有成百上千個(gè)安全設(shè)置，使用組策略對(duì)象是非常有效且自動(dòng)化的安全保護(hù)方式。但是，組策略對(duì)象的安全設(shè)置是否得到了正確的運(yùn)用呢?本文將為大家提供一些工具、命令以及技巧來(lái)確保組策略對(duì)象安全設(shè)置的正確使用。

哪些設(shè)置是“安全設(shè)置”?

由于在組策略對(duì)象中有超過(guò)5000個(gè)設(shè)置，因此我們首先要明確本文討論的具體是哪些設(shè)置。在組策略對(duì)象中設(shè)有專門的安全版塊，當(dāng)然也有其他涉及安全的部分，但本文我們僅討論這個(gè)安全版塊。

首先，你需要打開一個(gè)組策略對(duì)象，***通過(guò)組策略管理控制臺(tái)(GPMC)來(lái)打開，因?yàn)楸镜亟M策略對(duì)象的安全設(shè)置與Active Directory中的組策略對(duì)象有所不同。在編輯器中打開組策略對(duì)象后，你需要打開Computer ConfigurationPoliciesWindows SettingsSecurity Settings

在這里你會(huì)發(fā)現(xiàn)很多設(shè)置，包括注冊(cè)表項(xiàng)、用戶權(quán)限、文件/文件夾/注冊(cè)表的權(quán)限、無(wú)線安全和組成員等。這些設(shè)置大部分都受到安全客戶端擴(kuò)展程序控制的，只要有一個(gè)設(shè)置失效，可能所有設(shè)置都會(huì)失效。另外，只要使用了其中一個(gè)設(shè)置，就可以輕松設(shè)置其他設(shè)置。

在組策略管理控制臺(tái)(在你有管理權(quán)限的任何機(jī)器上)中，你都可以使用組策略結(jié)果(Group Policy Results)工具，這些工具是內(nèi)置在組策略管理控制臺(tái)中的，因此你不需要進(jìn)行特別的操作。通過(guò)組策略管理控制臺(tái)你可以決定在目標(biāo)計(jì)算機(jī)(與部署在組策略對(duì)象中的安全設(shè)置相關(guān)的計(jì)算機(jī))上的安全設(shè)置。

要找到組策略管理控制臺(tái)的組策略結(jié)果節(jié)點(diǎn)，你需要查看組策略控制臺(tái)的底部，在這里你會(huì)發(fā)現(xiàn)組策略結(jié)果節(jié)點(diǎn)

在這個(gè)工具中，你可以選擇“用戶帳戶”和“計(jì)算機(jī)帳戶”。右鍵單擊組策略結(jié)果節(jié)點(diǎn)并選擇向?qū)В驅(qū)瓿珊?，你?huì)看到結(jié)果列在組策略結(jié)果節(jié)點(diǎn)下面

在此界面中，你可以檢查組策略對(duì)象以及安全設(shè)置的使用情況，你可以點(diǎn)擊右窗格查看不同的結(jié)果。檢查組策略對(duì)象可以確保正確運(yùn)用以及沒(méi)有因?yàn)槟承┰虮痪芙^。其次，你可以檢查組件狀態(tài)是否存在與安全客戶端擴(kuò)展程序相關(guān)的錯(cuò)誤。***，檢查安全設(shè)置區(qū)域以及使用的設(shè)置的選項(xiàng)卡

你還可以運(yùn)行計(jì)算機(jī)上的RSOP.msc，這將為你顯示與圖4一樣的信息，除了界面顯示不同外。圖5顯示的是在目標(biāo)計(jì)算機(jī)運(yùn)行RSOP.msc命令，以與在編輯器中配置的組策略對(duì)象相同的格式來(lái)顯示組策略對(duì)象設(shè)置。使用這種方式，你不需要擔(dān)心安全設(shè)置的路徑，可以直接到組策略對(duì)象的節(jié)點(diǎn)查看結(jié)果。

想要查看關(guān)于組策略對(duì)象以及客戶端擴(kuò)展程序的更多信息，你需要更加深入這個(gè)界面。右鍵單擊計(jì)算機(jī)配置節(jié)點(diǎn)，可以選擇屬性菜單選項(xiàng)。然后，你將看到部署的組策略對(duì)象，并且可以查看以下節(jié)點(diǎn)信息

GPO和過(guò)濾情況

組策略對(duì)象的管理范圍

關(guān)于組策略對(duì)象的修訂信息

這些信息可以幫助你發(fā)現(xiàn)組策略對(duì)象及相關(guān)設(shè)置為什么沒(méi)有運(yùn)用的原因。

想要查看客戶端詳細(xì)信息，你需要選擇錯(cuò)誤信息選項(xiàng)卡，在這里，你會(huì)看到某個(gè)CSE沒(méi)有運(yùn)用的原因，這也間接說(shuō)明為什么設(shè)置沒(méi)有出現(xiàn)在RSOP.msc界面的原因。

如果你只是想查看安全設(shè)置的情況，而不是所有從組策略對(duì)象部署的設(shè)置的情況，你可以在目標(biāo)計(jì)算機(jī)運(yùn)行secpol.msc，這將顯示組策略對(duì)象的子集，格式與原始組策略對(duì)象編輯器的格式相同

關(guān)于這個(gè)工具主要有兩個(gè)問(wèn)題，首先，該工具顯示的信息不僅僅是安全設(shè)置的信息，通過(guò)此工具，你可以查看計(jì)算機(jī)上的所有安全設(shè)置，不僅僅是從組策略對(duì)象部署的設(shè)置。你可以馬上知道哪些設(shè)置來(lái)自Active Directory的組策略對(duì)象，哪些是本地部署的安全設(shè)置。在圖8中，你可以看到有兩種不同的圖標(biāo)來(lái)顯示設(shè)置。

第二個(gè)問(wèn)題就是secpol.msc工具顯示的信息并沒(méi)有RSOP.msc工具顯示的那么詳細(xì)，所以，我們需要根據(jù)自己的具體需求來(lái)選擇合適的工具來(lái)顯示信息。

總結(jié)

我們有很多方法來(lái)檢查(使用組策略對(duì)象部署的)安全設(shè)置的狀態(tài)，這些工具都是內(nèi)置工具，并且都非常有用。你必須擁有正確的管理權(quán)限才能使用這些工具。通過(guò)這些工具，我們可以清楚地查看所部署的設(shè)置，以及沒(méi)有部署的設(shè)置，以及為什么沒(méi)有部署的原因。

希望本文中組策略安全設(shè)置應(yīng)用的方法能夠?qū)ψx者有所幫助。更多有關(guān)組策略的知識(shí)有待于讀者去學(xué)習(xí)和鞏固。

【編輯推薦】

1. Windows 2000組策略詳解
2. 巧用組策略讓網(wǎng)絡(luò)打印更高效
3. 利用組策略禁止用戶在未登陸前關(guān)機(jī)
4. win 7如何通過(guò)系統(tǒng)組策略禁止U盤使用
5. 如何創(chuàng)建新的組策略來(lái)阻止軟件的安裝與運(yùn)行？