啟動方式
開始菜單->運行->輸入“gpedit.msc”->确定
直接打開:C:WINNTSYSTEM32gpedit.msc
系統設置
禁止運行指定程序
系統啟動時一些程序會在後台啟動,這些程序通過“系統配置實用程序”(msconfig)的啟動項無法阻止,操作起來非常不便,通過組策略則非常方便,這對減少系統資源占用非常有效。通過啟用該策略并添加相應的應用程序,就可以限制用戶運行這些應用程序。具體步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在左邊的窗格依次單擊“用戶配置→管理模闆→系統”,然後在右邊的窗格雙擊“不要運行指定的Windows應用程序”(如圖1所示)。
圖1雙擊“不要運行指定的Windows應用程序”
(3)選中“已啟用”,單擊“顯示”按鈕(如圖2所示),添加要阻止的程序如“Wgatray.exe”即可。
圖2添加要阻止的程序
當用戶試圖運行包含在不允許運行程序列表中的應用程序時,系統會提示警告信息。把不允許運行的應用程序複制到其他的目錄和分區中,仍然是不能運行的。要恢複指定的受限程序的運行能力,可以将“不要運行指定的Windows應用程序”策略設置為“未配置”或“已禁用”,或者将指定的應用程序從不允許運行列表中删除(這要求删除後列表不會成為空白的)。
這種方式隻阻止用戶運行從Windows資源管理器中啟動的程序,對于由系統過程或其他過程啟動的程序并不能禁止其運行。該方式禁止應用程序的運行,其用戶對象的作用範圍是所有的用戶,不僅僅是受限用戶,Administrators組中的賬戶甚至是内建的administrator帳戶都将受到限制,因此給管理員帶來了一定的不便。當管理員需要執行一個包含在不允許運行列表中的應用程序時,需要先通過組策略編輯器将該應用程序從不運行運行列表中删除,在程序運行完成後,再将該程序添加到不允許運行程序列表中。需要注意的是,不要将組策略編輯器(gpedit.msc)添加到禁止運行程序列表中,否則會造成組策略的自鎖,任何用戶都将不能啟動組策略編輯器,也就不能對設置的策略進行更改。
提示:如果沒有禁止運行“命令提示符”程序的話,用戶可以通過cmd命令,從“命令提示符”運行被禁止的程序,例如,将記事本程序(notepad.exe)添加不運行列表中,通過桌面和菜單運行該程序是被限制的,但是在“命令提示符”下運行notepad命令,可以順利的啟動記事本程序。因此,要徹底的禁止某個程序的運行,首先要将cmd.exe添加到不允許運行列表中。
如果禁止程序後組策略無法使用可以通過以下方法來恢複設置:重新啟動計算機,在啟動菜單出現時按F8鍵,在Windows高級選項菜單中選擇“帶命令行提示的安全模式”選項,然後在命令提示符下運行mmc.exe。
在打開的“控制台”窗口中,依次點擊“文件→添加/删除管理單元→添加→組策略→添加→完成→關閉→确定”,添加一個組策略控制台,接下來把原來的設置改回來,然後重新進入Windows即可。
鎖定注冊表編輯器
注冊表編輯器是系統設置的重要工具,為了保證系統安全,防止非法用戶利用注冊表編輯器來篡改系統設置,首先必須将注冊表編輯器予以禁用。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)依次展開“用戶配置→管理模闆→系統”。
(3)在右側窗格中雙擊“阻止訪問注冊表編輯工具”策略(如圖3所示)。
圖3阻止訪問注冊表編輯工具
(4)在彈出的對話框中,選擇“啟用”,将“是否禁用無提示regedit?”選擇“是”(如圖4所示),按“确定”即可。
圖4雙擊“阻止訪問注冊表編輯工具”
此策略被啟用後,用戶試圖啟動注冊表編輯器(Regedit.exe及Regedt32.exe)的時候,系統會禁止這類操作并彈出警告消息。
若要防止用戶使用其他管理工具,請使用“隻運行指定的Windows應用程序”設置。
提示:解除注冊表鎖定與禁用注冊表編輯器方法步驟相同,雙擊右側窗格中的“阻止訪問注冊表編輯器”,在彈出的窗口中選擇“已禁用”或“未配置”,點擊“确定”按鈕後退出組策略編輯器,即可為注冊表解鎖。
這項設置是一把雙刃劍:如果設為“已禁用”,則有一些正常軟件(大部分軟件需要與注冊表打交道)有可能不能使用,甚至無法安裝;如果設置為“已啟用”,則在殺毒軟件的監護之外,為惡意程序留下隐患。
阻止訪問命令提示符
命令提示符下有許多危險的操作,要阻止非法用戶使用命令提示符窗口(Cmd.exe),遠離各種不可預料的風險,具體步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模闆→系統”,在右側窗格中雙擊“阻止訪問命令提示符”(如圖5所示),打開目标策略屬性設置對話框。
圖5雙擊“阻止訪問命令提示符”
(3)在“阻止訪問命令提示符”屬性對話框中勾選已啟用(如圖6所示),按“确定”即可。
圖6“阻止訪問命令提示符”屬性對話框
如果啟用這個設置,用戶試圖打開命令窗口,系統會顯示一個消息,解釋設置阻止這種操作。這個設置還決定批處理文件(.cmd和.bat)是否可以在計算機上運行。
提示:如果計算機使用登錄、注銷、啟動或關閉批文件腳本,不能防止計算機運行批處理文件;也不能防止使用終端服務的用戶運行批處理文件。
禁止修改系統還原
“系統還原”是Windows7的一項很重要的功能,如果您對計算機的安全性要求很高,或是計算機是一台公用的計算機,有很多人會去使用,那麼為了保證系統的可操作性,将“系統還原”所占用的磁盤空間設置得大一些很有必要。但是如果這個設置被人更改,就會造成以前創建的還原點中信息的丢失。
您可以在“組策略”中禁止對“系統還原”的配置進行修改。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模闆→系統→系統還原”,在右側窗格中雙擊“關閉配置”(如圖7所示),打開目标策略屬性設置對話框。
圖7雙擊“關閉配置”
(3)在“關閉配置”屬性對話框中勾選“已啟用”,按“确定”。“系統還原”配置界面上配置系統還原的選項就會消失。如果選擇“已禁用”(如圖8所示),則仍可看見配置界面,但是,所有系統還原配置默認值都有效。
圖8“關閉配置”屬性對話框
注意:該配置必須重新啟動計算機才會生效。
設置虛拟内存頁面
對于重要文件,您可以通過加密和設置權限以禁止其他無關人員訪問,不過您可知道,如果真的有必要,他人完全可以通過其他途徑獲得您的機密信息,那就是虛拟内存頁面文件。虛拟内存頁面文件作為物理内存的補充,用途是在硬盤和内存之間交換數據,而虛拟内存頁面文件本身就是硬盤上的一個文件,它位于系統所在硬盤分區的根目錄中,文件名為pagefile.sys。一般情況下,當您運行程序時,這些程序的一部分内容可能會被臨時保存到分頁文件上,而如果您編輯完這個文件後立刻就關閉了系統,那麼文件的一些内容仍然有可能被保存在虛拟内存頁面文件中。在這種情況下,如果有人得到了這台電腦的硬盤,那麼隻要把硬盤拆出來,利用特殊的軟件,就可以将虛拟内存頁面文件中的機密信息讀取出來。通過配置組策略,您可以避免這種潛在的危險。
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→Windows設置→安全設置→本地策略→安全選項”,在右側窗格中雙擊“關機:清除虛拟内存頁面文件”(如圖9所示),打開目标策略屬性設置對話框。
圖9雙擊“關機:清除虛拟内存頁面文件”
(3)在“關機:清除虛拟内存頁面文件”屬性對話框中勾選“已啟用”(如圖10所示),按“确定”即可。
圖10“關機:清除虛拟内存頁面文件”屬性對話框
啟用這個策略後,關機的時候系統會将分頁文件中的所有内容都用“0”或者“1”寫滿,這樣所有的信息自然也都會消失。
提示:這樣做會減慢系統的關閉速度,如果不是非常必要,不建議您啟用這個策略。
防止菜單洩漏隐私
在「開始」菜單中有一個“我最近的文檔”菜單項,可以記錄您曾經訪問過的文件。這個功能可以方便用戶再次打開該文件,但别人也可通過此菜單訪問您最近打開的文檔,為安全起見,可屏蔽此項功能。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模闆→「開始」菜單和任務欄”,分别在右側窗格中雙擊“不要保留最近打開文檔的曆史”和“退出時清除最近打開的文檔的曆史”(如圖11所示),打開目标策略屬性設置對話框。
圖11雙擊“退出時清除最近打開的文檔的曆史”
(3)分别在“不要保留最近打開文檔的曆史”和“退出時清除最近打開的文檔的曆史”屬性對話框中勾選“已啟用”,按“确定”即可。
如果啟用“退出時清除最近打開的文檔的曆史”設置,系統就會在用戶注銷時删除最近使用的文檔文件的快捷方式。因此,用戶登錄時,「開始」菜單上的“最近的項目”菜單總是空的。如果禁用或不配置此設置,系統就會保留文檔快捷方式,這樣用戶登錄時,“最近的項目”菜單中的内容與用戶注銷時一樣。
提示:系統在“系統驅動器Documents and Settings用戶名我最近的文檔”文件夾中的用戶配置文件中保存文檔快捷方式。
當沒有選擇“從開始菜單删除最近的項目菜單”和“不要保留最近打開的文檔的曆史”策略任何一個相關設置時,此項設置才能使用。
别讓搜索洩露隐私
快捷搜索框是Windows7的一大特色,尤其在執行文件夾搜索時非常方便。不過這一功能有時也特别令人尴尬,那就是會自動保存下所有曆史搜索,而且并沒有提供清除功能,其中一些隐私内容就會揮之不去。
使用組策略随時清空搜索曆史是一個很好的補救措施,具體步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模闆→Windows組件→Windows資源管理器”,在右側窗格中雙擊“在Windows資源管理器搜索框中關閉最近搜索條目的顯示”(如圖12所示),打開目标策略屬性設置對話框。
圖12雙擊“在Windows資源管理器搜索框”
(3)選擇“已啟用”(如圖13所示),按“确定”之後搜索曆史即被清空,當然以後也就不會自動保存了。
圖13選擇“已啟用”
設置桌面小工具
現在的病毒和木馬真是十分的狡猾,竟然能夠利用桌面小工具(Windows Vista中稱邊欄小工具)入侵系統,雖然系統能夠檢測到如:“天氣與生活”這款小工具沒有得到微軟認可的有效數字簽名,但用戶隻要單擊“安裝”按鈕,即可順利完成安裝進程。如何防止這些沒有簽證的桌面小工具給系統可能帶來的潛在危險呢?通過組策略可以拒絕使用沒有簽證的桌面小工具,具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模塊→windows組件→桌面小工具”,在右側窗格中雙擊“限制未經數字簽名的小工具的解包和安裝”(如圖14所示),打開目标策略屬性設置對話框。
圖14雙擊“限制未經數字簽名的小工具的解包和安裝”
(3)在“限制未經數字簽名的小工具的解包和安裝”屬性對話框中勾選“已啟用”(如圖15所示),按“确定”,則Windows桌面小工具不會提取未經數字簽名的任何小工具。
圖15“限制未經數字簽名的小工具的解包和安裝”
提示:默認情況下,Windows桌面小工具是可以安裝未簽名的工具軟件,但是如果啟用上述設置,Windows桌面小工具将不會再允許用戶安裝未經簽名的軟件,包括一些壓縮文件。這将給用戶的系統帶來一定的安全保障。
完全禁止使用U盤
現在U盤已經相當普及,電腦裡面的資料很容易被複制,這對電腦中的資料無疑是一種威脅。如果您的電腦中有一些重要的資料,那就要小心了。難道要把USB端口給拆下來嗎?當然不是。其實運用Windows7系統本身的禁止使用USB設備的功能,就能徹底解決這一問題。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模闆→系統→可移動存儲訪問”,在右側窗格中雙擊“所有可移動存儲類:拒絕所有權限”,打開目标策略屬性設置對話框(如圖16所示)。
圖16打開“所有可移動存儲類:拒絕所有權限”
(3)在“所有可移動存儲類:拒絕所有權限”屬性對話框中勾選“已啟用”(如圖17所示),按“确定”按鈕就可以完全禁止USB存儲類設備了。
圖17“所有可移動存儲類:拒絕所有權限”屬性框
10.禁止數據寫入U盤
如果您不準備完全禁止USB設備,希望能讀取U盤的内容,隻是禁止數據寫入U盤。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模闆→系統→可移動存儲訪問”,在右側窗格中雙擊“可移動磁盤:拒絕寫入權限”(如圖18所示),打開目标策略屬性設置對話框。
圖18雙擊“可移動磁盤:拒絕寫入權限”
(3)在“可移動磁盤:拒絕讀取權限”屬性對話框中勾選“已啟用”(如圖19所示),按“确定”按鈕即可。
圖19“可移動磁盤:拒絕讀取權限”屬性對話框
提示:以上對U盤進行了禁止寫入設置。如果要U盤禁止讀取,而允許寫入數據,那可以啟用“可移動磁盤:拒絕讀取權限”來實現。
11.允許識别指定U盤
以上“禁止使用U盤”和“禁止數據寫入U盤”兩項設置,在保護自己電腦資料的同時也給自己帶來了很大的不便,如何讓系統隻能使用指定的U盤或者移動硬盤呢?通過組策略“允許識别指定U盤”可能解決這一問題。操作步驟如下:
(1)把U盤插入到Windows7系統的USB接口中,讓系統可以正常使用U盤,接着進入“控制面闆”,雙擊“硬件和聲音”、“設備管理器”(如圖20所示)。
圖20雙擊“硬件和聲音”、“設備管理器”
(2)展開“便攜設備”,可以看見裡面有您剛剛插入的U盤,在上面點擊鼠标右鍵來選擇“屬性”(如圖21所示)。
圖21展開“便攜設備”
(3)在彈出的“屬性”窗口中點擊“詳細信息”标簽,然後在設備“屬性”下拉框中選擇“硬件ID”,下面的“值”中會出現字符串,這個就是您的U盤的硬件ID,把它複制出來保存好。
(4)複制“通用串行總線控制器”中“USB大容量存儲設備”的硬件ID,在“設備管理器”中展開“通用串行總線控制器”列表,找到“USB大容量存儲設備”(如圖22所示)。
圖22找到“USB大容量存儲設備”
(5)在它的“屬性”窗口中點擊“詳細信息”标簽,複制出它的硬件ID(如圖23所示)。
圖23複制出U盤硬件ID
(6)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。依次展開“計算機配置→管理模闆→系統→設備安裝→設備安裝限制”(如圖24所示)。
圖24雙擊“禁止安裝未由其他策略設置描述的設備”
(7)雙擊右側的“禁止安裝未由其他策略設置描述的設備”,在彈出的窗口中選擇“已啟用”,再點擊“确定”按鈕,設置它可以來禁止策略沒描述的USB設備(如圖25所示)。
圖25禁止安裝未由其他策略設置描述的設備
(8)雙擊右側的“允許安裝與下列設備ID相匹配的設備”(如圖26所示),在彈出的窗口中選擇“已啟用”,單擊“顯示”按鈕,将允許安裝的U盤的硬件ID粘貼到其中,再點擊“确定”按鈕。
圖26允許安裝與下列設備ID相匹配的設備
12.禁止光盤自動播放
光盤自動播放雖然能給您帶來了許多便利,但有些時候也會帶來不少麻煩。默認狀态下,當您将光盤插入光驅時,系統就會自動讀取光驅,并啟動autorun.inf指定的應用程序。這一默認狀态對系統來說是極不安全的,說不定自動運行的是一個木馬程序。有時插入光盤僅僅是想查看一下光盤中的内容,自動播放功能會使您這一簡單想法的實現變得複雜。關閉光盤自動播放實屬明智之舉。用組策略可以關閉光盤自動播放功能,具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模闆→windows組件→自動播放策略”,在右側窗格中雙擊“關閉自動播放”(如圖27所示),打開目标策略屬性設置對話框。
圖27雙擊“關閉自動播放”
(3)在“關閉自動播放”屬性對話框中勾選“已啟用”(如圖28所示),在“關閉自動播放”框中選擇“CD-ROM啟動器”或“所有驅動器”項按“确定”即可。
圖28“關閉自動播放”對話框
注意:插入光盤時按住shift鍵可禁止光盤自動播放。這種方式最好能成為使用陌生光盤時的一種操作習慣。此設置不阻止自動播放音樂CD。
13.禁止安裝移動設備
如果不希望其他人在您的電腦上随便使用移動設備,則可以通過組策略禁止安裝可移動設備。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模塊→系統→設備安裝→設備安裝限制”,在右側窗格中雙擊“禁止安裝可移動設備”(如圖29所示),打開目标策略屬性設置對話框。
圖29雙擊“禁止安裝可移動設備”
(3)在屬性對話框中勾選“已啟用”并按“确定”。如果啟用了此設置,則不會安裝可移動設備,而且無法更新現有可移動設備的驅動程序。
如果未配置或禁用了此設置,那麼,隻要其他策略設置允許安裝設備,就可以安裝可移動設備和更新現有的可移動設備。
提示:此策略設置比允許安裝設備的任何其他策略設置的優先級都高。如果此策略設置禁止安裝某個設備,那麼,即使該設備與允許安裝它的其他策略設置相匹配,也将無法安裝或更新該設備。
對于此策略,當設備所連接到的設備驅動程序該設備可移動時,設備被認為是可移動設備。例如,設備連接到的USB集線器的驅動程序報告某個通用串行總線(USB)設備是可移動設備。
如果此計算機是一台終端服務器,則啟用此策略還會影響指定的設備從終端服務客戶端重定向到此計算機。
注意:禁止安裝可移動設備對提高系統安裝性能非常有效,使用此設置可防止可移動設備如U盤的使用。
14.限制使用驅動器
若要防止用戶使用“我的電腦”訪問所選驅動器的内容,可按以下步驟操作:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模闆→Windows組件→Windows資源管理器”,在右側窗格中雙擊“防止用戶使用‘我的電腦’訪問所選驅動器的内容”,打開目标策略屬性設置對話框。
(3)在“防止用戶使用‘我的電腦’訪問所選驅動器的内容”屬性對話框中勾選“已啟用”,并在下面列表框中選擇一個驅動器或幾個驅動器,按“确定”即可。
如果啟用此設置,則用戶可以浏覽“我的電腦”或Windows資源管理器中所選驅動器的目錄結構,但是無法打開文件夾或訪問其中的内容。此外,他們也無法使用“運行”對話框或“映射網絡驅動器”對話框來查看這些驅動器上的目錄。
若要使用此設置,請從下拉列表中選擇一個驅動器或多個驅動器的組合。若要允許訪問所有驅動器目錄,請禁用此設置或從下拉列表中選擇“不限制驅動器”選項。
注意:代表指定驅動器的圖标仍會出現在“我的電腦”中,但是如果用戶雙擊這些圖标,則會出現一條消息來解釋設置防止這一操作。
右側窗格中“隐藏‘我的電腦’中的這些指定的驅動器”可配合使用,此組策略可以從“我的電腦”和“Windows資源管理器”上删除代表所選硬件驅動器的圖标。并且驅動器号代表的所有驅動器不出現在标準的打開對話框上。這項策略隻删除驅動器圖标。用戶仍可通過使用其它方式繼續訪問驅動器的内容。同時這項策略不會防止用戶使用程序訪問這些驅動器或其内容。并且也不會防止用戶使用磁盤管理即插即用來查看并更改驅動器特性。
15.我的桌面你别改
若要禁止别人改動桌面某些設置,防止用戶保存對桌面進行的某些更改。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)依次展開“用戶配置→管理模闆→桌面”,然後在右側對話框中選中并雙擊“退出時不保存設置”。
(3)在彈出的對話框中點選“已啟用”,按确定,用戶将不能保存對桌面的更改。
如果啟用了此設置,那麼,用戶可以更改桌面,但是某些更改(如已打開窗口的位置、任務欄的大小及位置)在用戶注銷後不會保存。但是,桌面上的快捷方式始終得以保存。
時,許多黃色或是暴力的内容會進入我們的視野,雖然有第三方軟件和利用分級審查功能可以阻止這些内容,但隻要擁有管理員權限,分級審查是可以更改的。利用組策略,可以禁止更改分級審查。具體操作步驟如下:
(1)打開「開始」菜單,在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模闆→Windows組件→Internet Explorer”,在右側窗格中雙擊“禁用更改分級設置”,打開目标策略屬性設置對話框。
(3)在“禁用更改分級設置”屬性對話框中勾選“已啟用”,按“确定”即可禁止更改分級審查。
提示:禁用更改分級審查的前提是分級審查的設置已經完成。“禁用分級頁”策略(位于“用戶配置管理模闆Windows組件Internet ExplorerInternet控制面闆”中)可以在“控制面闆”中,将“分級”選項卡從“Internet Explorer”删除,它優先于此策略。如果已啟用,則會忽略此策略。
解決方法
方法1
将Framedyn.dll文件從C:WindowsSystem32drivers目錄下拷貝到C:WindowsSystem32目錄下,再重新注冊一下gpedit.dll。方法:是【開始】—>【運行】輸入regsvr32空格gpedit.dll後回車看看提示是否注冊成功。
方法2
1、在【開始】—>【運行】中依次運行以下命令:“regsvr32 fde.dll”、“regsvr32gpedit.dll”、“regsvr32 gptext.dll”、 “regsvr32 wsecedit.dll”分别注冊這4個動态數據庫。
2、最後單擊【開始】—>【運行】輸入“gpedit.msc”便可以啟動組策略了。
常用命令
Get-GPO
Get-GPO命令可以檢索到每一個組策略對象(GPO)的所有信息。而且可以根據GPO的名稱,GPO的GUID來檢索組策略信息,也可以使用-all選項來檢索域中的所有組策略。雖然通過GPMC也能獲取這些信息,但是命令的輸出還能列出一些通常會錯過的信息,如GPO的所有者,創建時間,最後的修改時間以及啟用還是禁用的信息。在網絡中對于組策略問題進行排錯時,這些信息将至關重要。
Backup/Restore-GPO
雖然可以通過系統狀态的備份來對GPO進行備份,但是通過一個專門的任務對組策略進行單獨備份也是一個不錯的主意,畢竟這會讓GPO的恢複變得更加容易。幸運的是,使用PowerShell命令backup-GPO就可以做到。與Get-GPO協作,可以根據GPO的名稱,GUID或者使用-all選項來指定備份的GPO。這個命令最有用的部分是可以使用PowerShell腳本來定時進行備份:
Backup-Gpo-Name CompanyGPO-Path C:GPO-Backup-Comment"Monthly Backup"
Restore-GPO命令可以将GPO還原到指定的域。然而,如果使用backup-GPO和restore-GPO命令來遷移組策略對象,需要保證Windows Server2008操作系統版本的一緻性。也就是說,Windows Server 2008 R2的GPO将隻能由Windows Server 2008 R2進行恢複。
Get-ResultantSetOfPolicy
很久以前,GPMC就都可以提供組策略的結果報告,這對于組策略的規劃和記錄來說都是一個非常有用的工具。如果你使用PowerShell命令get-ResultantSetOfPolicy,也可以迅速得到組策略的結果,而且報告可以是HTML的格式。例如,如果你想檢查一個特定的用戶在特定的計算機上組策略設置的結果,可以運行以下的命令,命令的結果會産生一個所有信息的HTML文檔:
Get-GPResultantSetofPolicy-userdomaindomain.user-reporttypehtml-pathc:GPO-ReportsUserGPOReport.html
使用所有提到的cmdlet,PowerShell還能夠提供一種額外的管理能力,那就是将這些命令腳本化,并按照計劃執行,這樣就可以更有效的監控組策略基礎架構的運行狀況。
Set/Remove – GPLink
GPLink的cmdlet可以創建和删除GPO與OU之間的關聯關系。雖然在GPMC中執行這項任務也非常容易,但是cmdlet還可以提供另一個方便的管理工具。假如需要一個GPO隻是在每個月的某一天運行,其它時間禁止運行。可以在這一天計劃運行GPlink命令将GPO和需要的OU關聯起來,并在這一天結束前将GPO的關聯删除,整個過程系統自動處理,無需手工運行。還可以使用其它GPO命令與GPLink的cmdlet進行組合,通過使用管道命令執行remote-GPLink,以下示例就是如何指定一條組策略或繼承組策略,然後删除其鍊接:
(Get-GPInheritance-Target"ou=CompanyOU,dc=domain,dc=com").GpoLinks|Remove-GPLin
Get-GPPermissions
組策略有時會應用失敗的原因之一是因為在GPO上不正确的權限設置。Get-GPPermissions cmdlet會生成詳細的報告,報告中會顯示GPO的訪問控制列表(ACL)以及應用的權限。所以,如果想準确的了解誰對某個GPO有權限,可以使用下列命令:
Get-GPPermissions-Name CompanyGPO-TargetName "Company"-TargetType Group
命令會給出以下的輸出:
Trustee:Domain Users
TrusteeType:Group
PermissionLevel:GpoRead
Inherited:False
