none
求教xp下组策略应用问题 RRS feed

  • 问题

  •  

    各位高手:

    我单位机房一共有50台电脑(没有服务器), 没有还原卡, 只装了还原精灵,但是发现有的时候不起作用, 电脑经常被人篡改系统属性之类的设置, 因此我想利用winxp的本地安全策略来限制用户对系统的修改但是遇到了些问题, 还请各位大侠帮忙解决.
     

    我在xp下创建了2个用户, 管理员(带密码登录), 实习人员(受限用户), 本来想利用受限用户来限制用户修改系统设置, 但是发现这个受限用户还是不够猛.

    所以我尝试使用gpedit.msc组策略来修改"本地计算机"策略中的"计算机配置"和"用户配置", 首先我使用管理员登录的, 在我配置了"计算机配置"和"用户配置"后, 发现我没有办法将我设置好的配置导出(因为我想导入其它49台电脑), 另外就是发现这些设置已经生效了,超级郁闷....管理员这个帐号也被限制了, 还有就是没有办法还原成初始状态~~真菜啊....

    后来又尝试了使用mmc的控制台来添加了一个新的"本地计算机"策略来配置系统, 这个可以保存, 但是不知道怎么导入到其他电脑中?

     

    所以请教:

    1.gpedit.msc是不是只能针对本机来设置系统属性的? 比如我用管理员登录, 只能设置本机中的属性, 无论我是用管理员登录还是实习人员(受限用户)登录的结果都是一样? 还是我用管理员登录, 设置好后只是针对实习人员(受限用户)产生影响,而对管理员用户没有影响?

    2.mmc可以制作模板, 如果我添加了一个新的"本地计算机"策略模板, 那么这个模板是不是设置好后, 在保存后是直接生效的? 还是需要怎么样导入使用?

    3.我怎么将我设置好的模板导入到其它电脑中? 其它电脑只有管理员用户, 是不是也需要在建立一个实习人员(受限用户)才可以的?

     

    谢谢各位

    2008年10月13日 4:37

答案

  •  

    假如没有做域环境 建议你就用还原卡,每次开机就还原。

    microsoft有软件叫Windows SteadyState,或者可以帮到你
    Windows SteadyState 是微软推出的一款免费的产品,针对共享计算机(Sharing PC),或一些处于工作组环境下面非域环境下面单独计算机(Stand-Alone Client)的管理。从而使得在小规模的局域网环境中计算机的好很好的保护,大大减少恶意软件,病毒的威胁,最大限度的减低风险。

    http://www.microsoft.com/china/windows/products/winfamily/sharedaccess/whatis/diskandsystemprotection.mspx
    用户模式下,对WINDOWS的限制:

         a) 会话计时:如果选择如图示的两项,将有效的防止客户端超时使用计算机。

         b) WINDOWS限制:可以对开始菜单、系统等做详细限制。本人以为有如下亮点:

             A、防止更改Explorer高级注册表设置。

             B、防止访问命令提示符。

             C、防止访问注册表编辑器。

             D、防止访问任务管理器。

             E、防止访问管理控制台实用程序。

             F、只允许运行Windows和Program Files  文件夹中的程序。

             G、禁用系统工具和其它管理工具。

             H、隐藏指定驱动器。

    二、Windows自动更新:此处也为一大亮点。

        SteadyState可以在磁盘保护开启的情况下对系统进行安全更新。安全更新后,自动的将更新后的系统数据保存到“永久磁盘”数据中。比一般的第三方硬盘保护卡有优势。

    三、磁盘保护:

       只能保护系统盘数据,非系统分区不能保护。但可以使用NTFS安全特性限制在非系统盘的数据存储。或者使用上述的只允许运行Windows和Program Files  文件夹中的程序。来限制运行非系统盘的程序。

    四、补充说明

       上述对WINDOWS系统的限制,大部分是通过修过注册表、软件限制策略完成的。

       SteadyState 提高了组策略模板,存放位置在软件安装目录的ADM文件夹中,文件名为 SCTSettings.adm。我们可以将SteadyState的组策略模板导入到域中,通过域来统一部署限制。

       在域中,我们还可以对用户的文档目录指定重定向,可以重定向到网络共享中。还可以做更详细的软件限制策略。例如添加一个软件限制策略:限制运行D盘的程序

    2008年10月13日 5:52
    版主

全部回复

  • 1.gpedit.msc 可以单独设置权限。你可能选择的是计算机用户组而不是计算机用户

    他们的关系是用户隶属于组,所以注意区分。

    其他的留给各位高手解答,我不是很确定,因为很少用导入类策略

    2008年10月13日 4:50
    版主
  •  

    假如没有做域环境 建议你就用还原卡,每次开机就还原。

    microsoft有软件叫Windows SteadyState,或者可以帮到你
    Windows SteadyState 是微软推出的一款免费的产品,针对共享计算机(Sharing PC),或一些处于工作组环境下面非域环境下面单独计算机(Stand-Alone Client)的管理。从而使得在小规模的局域网环境中计算机的好很好的保护,大大减少恶意软件,病毒的威胁,最大限度的减低风险。

    http://www.microsoft.com/china/windows/products/winfamily/sharedaccess/whatis/diskandsystemprotection.mspx
    用户模式下,对WINDOWS的限制:

         a) 会话计时:如果选择如图示的两项,将有效的防止客户端超时使用计算机。

         b) WINDOWS限制:可以对开始菜单、系统等做详细限制。本人以为有如下亮点:

             A、防止更改Explorer高级注册表设置。

             B、防止访问命令提示符。

             C、防止访问注册表编辑器。

             D、防止访问任务管理器。

             E、防止访问管理控制台实用程序。

             F、只允许运行Windows和Program Files  文件夹中的程序。

             G、禁用系统工具和其它管理工具。

             H、隐藏指定驱动器。

    二、Windows自动更新:此处也为一大亮点。

        SteadyState可以在磁盘保护开启的情况下对系统进行安全更新。安全更新后,自动的将更新后的系统数据保存到“永久磁盘”数据中。比一般的第三方硬盘保护卡有优势。

    三、磁盘保护:

       只能保护系统盘数据,非系统分区不能保护。但可以使用NTFS安全特性限制在非系统盘的数据存储。或者使用上述的只允许运行Windows和Program Files  文件夹中的程序。来限制运行非系统盘的程序。

    四、补充说明

       上述对WINDOWS系统的限制,大部分是通过修过注册表、软件限制策略完成的。

       SteadyState 提高了组策略模板,存放位置在软件安装目录的ADM文件夹中,文件名为 SCTSettings.adm。我们可以将SteadyState的组策略模板导入到域中,通过域来统一部署限制。

       在域中,我们还可以对用户的文档目录指定重定向,可以重定向到网络共享中。还可以做更详细的软件限制策略。例如添加一个软件限制策略:限制运行D盘的程序

    2008年10月13日 5:52
    版主