一、认识组策略
组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。简单说,就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。大家都知道一些常用的系统、外观、网络设置等我们往往通过控制面板进行修改,不过通过控制面板能修改的东西太少了,不能满足用户的需要;水平稍高点的朋友进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来极其不方便。而组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而在条理性、可操作性方面则比注册表强多了。
微软自Windows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。利用组策略我们可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。
二、使用组策略
我们以使用Windows 2000/XP/2003系统为例。"组策略"程序位于"C:WINNTSYSTEM32"文件夹中,其名为"gpedit.msc"。启动组策略时,首先单击"开始"按钮,选择"运行"命令,在"运行"文本框中输入"gpedit.msc"命令,随后单击"确定",即可启动Windows组策略。
除了上面的启动方式外,我们还可以在MMC管理单元中通过选择插件将组策略打开,其方法为:单击选择"开始"→"运行"命令,在弹出的对话框中键入"MMC",然后单击"确定"按扭。即可打开 Microsoft 管理控制台。随后弹出MMC的主界面,在此选择选择"文件"菜单下的"添加/删除管理单元"命令。在"添加/删除管理单元"窗口的"独立"选项卡中,单击"添加"按扭。弹出"添加独立管理单元"对话框,并在"可用的独立管理单元"列表中选择"组策略"选项,单击"添加" 在"选择组策略对象"对话框中,单击"本地计算机"编辑本地计算机对象,或通过单击"浏览"查找所需的组策略对象。单击"完成",单击"关闭",然后单击"确定"即可。
组策略的主界面共分为左右两个窗口,左边窗口中的"本地计算机"策略由"计算机配置"和"用户配置"两个子键构成,右边窗口中是针对左边某一配置可以设置的具体策略。这里"计算机配置"是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而"用户配置"则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。比如"计算机配置"和"用户配置"都提供了"停用自动播放"功能的设置,但效果是不同的;如果是在"计算机配置"中选择了该功能,那么所有用户的光盘自动运行功能都会失效; 如果是在"用户配置"中选择的该功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。
三、任务栏和"开始"菜单项目设置
在这里为您开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目。依次展开"组策略控制台→用户配置→管理模板→任务栏和开始菜单"在右边窗口便能看到"任务栏和'开始'菜单"节点下的具体设置。
1、给"开始"菜单减肥(Windows 2000/XP/2003)
如果觉得Windows的"开始"菜单项太多,可以通过组策略将不需要的菜单项从"开始"菜单中删除。在组策略右侧窗格中,提供了"从开始菜单删除用户文件夹"、"删除到'Windows Update'的访问和链接"、"从开始菜单删除公用程序组"、"从开始菜单中删除'我的文档'图标"等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。
2、禁止随意修改任务栏和"开始"菜单 (Windows 2000/XP/2003)
为保护自己好不容易设置好的任务栏和"开始"菜单,你只要将组策略控制台右侧窗格中的"阻止更改'任务栏和开始菜单'设置"和"阻止访问任务栏的上下文菜单"两个策略项启用即可。这样,当你用鼠标右键单击任务栏并单击"属性"时,系统会出现一个错误消息,且当鼠标右键单击任务栏及任务栏上的项目时,例如"开始"按钮、时钟和"任务栏"按钮,弹出菜单会隐藏。
3.禁止"注销"和"关机"(Windows 2000/XP/2003)
如果你不想让他人再进行"关机"和"注销"操作的话,可将组策略控制台右侧窗格中的"删除开始菜单上的'注销'"和"删除和阻止访问'关机'命令"两个策略启用。 这个设置会从开始菜单删除"关机"选项,并禁用"Windows 任务管理器"对话框 按"Ctrl+Alt+Del"会出现这个对话框 中的"关机"选项 。应注意的是,该设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。
4、防止隐私泄漏 (Windows 2000/XP/2003)
在开始菜单中有一个"我最近的文档"菜单项,可以记录你曾经访问过的文件。这个功能可以方便用户再次打开该文件,但别人也可通过此菜单访问你最近打开的文档,为安全起见,有时需要屏蔽此功能。利用组策略,只要在右侧窗格中将"不要保留最近打开文档的记录"和"退出时清除最近打开的文档的记录"两个策略启用即可。同时要注意如果启用此策略设置但不启用"从开始菜单中删除文档菜单"策略设置,"文档"菜单还会出现在"开始"菜单上,但是该菜单为空菜单。如果启用此策略设置,后来又禁用它并将它设置为"未配置",则启用策略设置之前保存的文档快捷方式会重新出现在"文档"菜单和应用程序的"文件"菜单中。
5、去掉Windows XP"开始"菜单中的图形化设置
Windows XP的"开始"菜单增添了许多图形化设置,其实可在组策略中将这些功能关闭。"关闭个性化菜单":Windows XP会自动将最近使用的菜单项移动到开始菜单顶部,并且隐藏最近没有使用的菜单项,以此实现个性化菜单,启用此设置将关闭个性化菜单。"强制典型菜单":启用此设置,开始菜单就以Windows 2000样式显示典型的开始菜单,并且显示标准桌面图标。
四、用组策略提升系统性能
1.让Windows 的上网速率提升20%(Windows XP/2003)
默认情况下,Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内,这对我们来说--肯定是资源浪费。其实可以通过组策略设置来替代默认值,让我们的上网速率提高20%!方法如下:在"开始→运行"中输入gpedit.msc,打开组策略编辑器。找到"计算机配置→管理模板→网络→QoS数据包调度程序",选择右边的"限制可保留带宽",选择"属性"打开限制可保留带宽属性对话框,选择"禁用"即可。经过这样重新设置就可以释放保留的20%的带宽了。
2、关闭系统还原功能(Windows XP/2003)
系统还原是Windows XP/2003中集成的强大功能,是微软推广新版操作系统时大力推荐的功能点。它在系统运行的同时,备份那些被更改的文件和数据,如果出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将计算机还原到以前的状态。默认情况下,系统还原始终处于打开状态。这时候大量的磁盘空间将被占用,而且系统性能方面也会明显下降,为此功能所付出的代价可想而知了。对于配置不高的计算机用户来说,关闭此功能是明智的选择。方法如下:打开"组策略控制台→计算机配置→管理模板→系统→系统还原"中的"关闭系统还原"并启用此策略。启用此设置后即可关闭系统还原功能,并且不能访问"系统还原向导"和"配置界面"。
3、禁止Windows Messenger自动运行(Windows XP/2003)
在Windows系统中集成的优秀应用软件越来越多,但这些系统内置的软件都没有卸载选项,引起很多电脑用户的不满。比如Windows XP自带的Windows Messenger,不但卸载不方便而且还随系统一起自动运行。如果你今天不想上线,它的运行就会白白占用内存空间。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说,当然要屏蔽此软件的自动运行功能。方法如下:在"开始→运行"中键入"gpedit.msc",打开组策略编辑窗口,选择"'本地计算机'策略→计算机配置→管理模板→Windows组件→Windows Messenger",接着在右侧窗口中双击"不允许运行Windows Messenger",在出现的属性窗口中选中"已启用",单击"确定"即可。
提示:这项设置还会出现在"用户配置"中,一般来说,在"计算机配置"中的设置比"用户配置"中的设置优先。也就是说,如果使用"计算机配置"中的设置可以在所有用户登录Windows XP时禁止Windows Messenger的运行;如果使用"用户配置"中的设置可以在当前用户登录Windows XP时禁止其自动运行。
4、关闭缩略图的缓存(Windows XP/2003)
Windows XP/20003系统系统具有缩略图的功能,为加快那些被频繁浏览的缩略图显示速度,系统还会将这些显示过的图片置于缓存中,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。若你不希望系统进行缓存的话,则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理,反而会大大加快第一次浏览的速度。方法如下:打开"组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器"中的"关闭缩略图的缓存"并启用此策略。 提示:若你的电脑是一个网络中的共享工作站,为了数据安全,建议你启用该设置以关闭缩略图视图缓存,因为缩略图视图缓存可以被任何人读取。
5、屏蔽系统自带的CD刻录功能(Windows XP/2003)
Windows XP/2003系统自带CD刻录功能,若你有刻录机连接在电脑上,在Windows 资源管理器中可以直接将数据犹如复制一样写到CD-R上。这样虽然方便,但是会影响系统性能和资源管理器的执行速度,再加之大部分用户都习惯了运用专用刻录软件进行刻录,所以我们建议无论电脑上有无刻录机,都可以利用组策略来屏蔽此功。方法如下:打开"组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器"中的"关闭缩略图的缓存"并启用此策略。 提示:该设置不会阻止用户使用第三方应用程序来刻录或修改CD-R。
五、IE浏览器项目设置
大家都知道,微软在IE浏览器的"Internet选项"窗口中,提供了诸如首页、临时文件夹、安全级别和分级审查等比较全面的设置选项,为我们在网上冲浪提供了极大的方便。为了不使他人随意改变您对浏览器的设置以及对IE的某些功能限制使用,对你的设置选项进行隐藏或禁止使用是很有必要的。在Windows 以前的系统中,往往是通过修改注册表来实现的,不过这会对系统的安全性带来一定的风险。当您选择了Windows 2000/XP/2003后,我们可以通过组策略进行设置--轻松实现高级功能的管理,而且风险几乎可以降低到零。
1、限制IE浏览器的保存功能(Windows 2000/XP/2003)
当多人共用一台计算机时,为了保持硬盘的整洁,对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢?具体步骤如下:打开"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单",然后将右侧窗格中的"'文件'菜单:禁用'另存为...'菜单项"、"'文件'菜单:禁用另存为网页菜单项"、"'查看'菜单:禁用'源文件'菜单项"和"禁用上下文菜单"等策略项目全部启用即可。如果不希望别人对IE浏览器的设置随意更改,可以将"'工具'菜单:禁用'Internet选项...'"策略启用。此外,如果个人需要的话,还可以在该窗格中禁用其他项目。
2、禁止修改IE浏览器的主页(Windows 2000/XP/2003)
在IE浏览器中可以设置默认主页,如果不希望他人对自己设定的IE浏览器主页进行随意更改的话,可以打开"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏",然后选择"禁用更改主页设置"组策略并启用即可。另外在这个窗格中,还提供了"更改历史记录设置"、"更改颜色设置"和"更改Internet临时文件设置"等项目的禁用功能。 启用此策略后,在IE浏览器的"Internet 选项"对话框中,其"常规"选项卡的"主页"区域的设置将变灰,即不可修改。
提示:如果您已经设置了位于"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制面板"中的"禁用常规页"策略,则无须再设置该策略。
3、禁用"Internet 选项"控制面板(Windows 2000/XP/2003)
如果你对"控制面板"中的选项禁用得较多,不如一步到位--干脆禁止访问"控制面板",通过下面的组策略设置方法即可实现这一要求:打开"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet 控制面板",在右边窗格中我们可以看到"禁用常规页"、"禁用安全页"等组策略项目。下面以"禁用常规页"为例进行说明:打开右边窗格中的"禁用常规页"并设置为"启用"。然后我们再打开Internet选项控制面板,会发现"常规"项目已经没有了,这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置,因为该策略将删除界面上的"常规"选项卡,所以如果设置了该策略,则无须设置位于 "用户配置→管理模板→Windows 组件→Internet Explorer"中的诸如"禁用更改主页设置"、"禁用更改颜色设置"等策略。
4、自定义IE工具栏(Windows 2000/XP/2003)
通过组策略我们还可以自定义IE工具栏,打造属于我们自己的IE。 方法如下:打开"组策略控制台→用户配置→Windows设置→Internet Explorer维护→浏览器用户界面"下的"浏览器工具栏按钮自定义"策略配置项目,在这里,我们可以自定义浏览器工具栏的背景图片,点击"浏览"选择一个BMP的位图文件即可。另外我们还可以在IE的工具栏上添加自己的快捷方式,比如添加"我的QQ",在这里也可以很轻松地完成。,打开组策略的"用户配置→Windows设置→Internet Explorer维护→浏览器工具栏自定义"对话框,点击"添加"按钮,弹出"浏览器工具栏按钮信息"对话框,在这里就可对QQ按钮进行详细设置了,输入按钮的标题,找到QQ安装执行程序路径,并将制作好的QQ两个明暗头像,分别输入到颜色图标栏和灰色图标栏中,点击"确定",再次打开IE后就可以看到修改的效果了。
2007年6月15日星期五
| [+/-] |
用Windows组策略—打造个性电脑 |
| [+/-] |
保护电脑 彻底和隐藏帐户说拜拜隐藏帐户 |
藏的系统后门都具备些什么特点?
首先必须功能强大,可以对系统进行完全控制,其次就是隐蔽性好。能躲过杀毒软件的法眼。这种后门有吗,答案是肯定的,除了专门的病毒以外存在于系统中的隐藏帐户也具有这种特性。
隐藏帐户分为两种,一种是简单隐藏,即无法在命令提示符中查看到的隐藏帐户;第二种是完全隐藏,不出现在控制面板的用户帐户中,即使发现了也无法删除,只有通过专业工具才能清除。隐藏帐户一般都具有管理员权限,可以完全控制系统。隐藏帐户的出现一是有可能我们的系统被黑客入侵,黑客为便于下次的登陆便做了隐蔽的后门,也就是我们所说的隐藏帐户,第二就是使用了一些不安全的ghost系统克隆盘,这些光盘的制作者为了达到自己的目的,在系统中做了手脚,建立了隐藏帐户。不管怎么样,系统中存在隐藏帐户肯定不是什么好事。
我现在先和大家说说如何隐藏一个帐户。
一、普通方法
就是在命令提示符中输入命令"net user",回车后会显示当前系统中存在的帐户,接着我们输入"net user test$ 123456 /add",回车后显示命令成功完成。即表示已经建立了一个名为"test$",密码为123456的帐户。
再次输入"net user"发现了什么?在显示的结果中,"test$"帐户不存在,但输入"net user test""test$"帐户是存在的。进入控制面板的用户帐户,也能看到"test$"这个隐藏帐户。
呵,其实问题就出在帐户后门的"$"符号上,将这个符号放到帐号名后面,就能够实现在命令提示符中隐藏的效果,这就是简单隐藏帐户的方法,但是效果不佳。
二、特殊方法
建立完全隐藏帐户需要使用我后面给大家提供的第三方的工具,用这个工具建立的隐藏帐户通过一般的方法是删不掉的。
对于简单的隐藏帐户删除的方法很简单,在用户帐户中找到隐藏帐户后,直接选择删除即可,或者进入命令提示符输入命令:net user 隐藏帐户名/del 删除用户。
如果是完全隐藏的帐户清除则要困难得多,因为他的隐藏性太强,如何发现他的存在都是一个问题,不过还是有破绽可以看得出来的,就是建立了完全隐藏帐户后会取消系统的欢迎界面,这是为了防止Windows XP 用户登陆时发现隐藏的帐户。
呵,如果我们发现系统的欢迎界面无缘无故的消失就要提高警惕了。完全帐户的清除也要借助这个"克隆帐户建立/删除"工具。该工具需要在命令提示符中运行。进入文件所在的目录后输入命令:z.exe -l (字母l)这样就能显示系统中所有的简单隐藏和完全隐藏的帐户了,接着输入z.exe -u,工具会提示你输入需要删除的用户名,输入隐藏帐户名并回车就能彻底将其删除了。
| [+/-] |
Windows 2000 域控制器管理 |
Domain)是活动目录的分区,定义了安全边界,在没经过授权的情况下,不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成,每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林,进行无限地域扩展。
在活动目录中,目录存储只有一种形式,即域控制器( Domain Controller),包括了完整的域目录的信息。因此,每一个域中必须有一个域控制器,否则域也就不存在了。Windows 2000的活动目录不再有主域控制器和备份域控制器的区别,所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术,称为Update Sequence Numbers (USN)。每个服务器跟踪其复制伙伴的最新USN列表,保证及时更新并且 更新不会有冲突或相互覆盖等。
对于用户来说,域控制器管理是最重要的工作。因为域控制器的运行状态直接关系到网络的正常运行。下面就从域与域控制器的关系、设置域控制器属性、查找目录内容、连接到其他域及域控制器等几个方面介绍域控制器的管理。
设置域控制器属性
在公司网络中,特别是在单域网络中,域控制器是网络正常运作中心,所起到的网络控制作用是非常重要的。因此,用户必须根据网络运行情况合理地设置域控制器的属性。作为管人。下面就来介绍域控制器属性的设置过程。要设置域控制器属性,可参照下面的步骤:
1. 选择"开始" |"程序" |"管理工具"|"配置服务器"命令,打开" Windows 2000配置服务器"窗口,单击左边的列表中的
Active Directory连接,使右边的窗格中列出相应的内容,然后单击"管理"超级连接,打开Active Directory用户与计算机窗口,如
图9 - 1 5所示。
2. 在控制台目录树中,单击之后再双击域节点,展开该节点。再单击Domain Computers 子节点,使详细资料窗格中列出相关内容。
在详细资料窗格中,右击要设置属性的域控制器,从弹出的快捷菜单中选择"属性"命令,打开该控制器的"属性"对话框,如图9 - 1 6所示。
4. 在"常规"选项卡中,在"描述"文本框中输入对域控制器的一般描述;如果不希望域控制器的可受信任用来作为委派,可禁用"计算机可受信任用来作为委派"复选框。
6. 选择如图9 - 1 7所示的"成员属于"选项卡,要添加组,单击"添加"按钮,打开"选择组"对话框为域控制器选择一个要添加的组;要删除某个已经添加的组,在"成员属于"列表框选择该组,然后单击"删除"按钮即可。
7. 当管理员为域控制器添加多个组时,还可为域控制器设置一个主要组。要设置主要组,在"成员属于"列表框中选择要设置的主要组,一般为Domain Controllers ,也可为CertPublishers,然后单击"设置主要组"按钮即可。
8. 选择如图9 - 18所示的"位置"选项卡,在"位置"文本框中输入域控制器的位置;或者单击"浏览"按钮选择路径。
9. 选择如图9 - 1 9所示的"管理人"选项卡,要更改域控制器的管理人,可单击"更改"按钮,打开"选择用户或联系人"对话框,选择新的管理人即可。要删除管理人,可单击"清除"按钮来删除;要查看和修改管理人属性,可单击"查看"按钮,打开该管理人属性对话框来进行操作。
10. 域控制器设置完毕,单击"确定"按钮保存设置。
查找域控制器目录内容
在Windows 2000中,活动目录实际上是一个网络清单,包括网络中的域、域控制器、用户、计算机、联系人、组、组织单元及网络资源等各个方面的信息,使管理员对这些内容的查找更加方便。要查找目录内容,可参照下面的步骤:
1. 在"Active Directory用户和计算机"窗口的控制台目录树中,右击域节点,弹出如图9 - 2 0所示的快捷菜单,选择"查找"命令,打开"查找用户联系人及组"对话框,如图9 - 2 1所示。
2. 在"查找"下拉列表框中选择要查找的目录内容,包括用户联系人及组、计算机、打印机、共享文件夹、组织单元、自定义搜
路由器等,例如,选择"计算机"选项,这时对话框标题变为"计算机",如图9 - 2 2所示。
3. 在"范围"下拉列表框中选择查找范围,例如,整个目录。在"计算机"选项卡中,设置查找条件。例如,在"计算机"文本框中输入要查找的计算机名;在"所有者"文本框中输入计算机的用户名;在"作用"下拉列表框中选择计算机在网络中作用。
4. 单击"高级"选项卡,如图9 - 2 3所示。要设置高级查找条件,单击"字段"按钮,从弹出的快捷菜单中选择设置条件的选项,
然后在"条件"下拉列表框和"值"文本框中设置条件。
5. 高级条件设置好之后,单击"添加"按钮,将条件添加到下面的文本框中。如果要继续添加高级条件,可按照上面步骤继续添加。
6. 所有查找条件设置完毕, 单击"开始查找"按钮即开始查找,并将查找结果列出,如图9 - 2 4所示。
7. 查找完毕,单击关闭按钮关闭窗口。
到其他域
在一个多域的网络中,用户经常需要将当前域连接到其他域,这样可使当前域中的用户和计算机能访问其他域中的资源,也可将当前域控制器的部分操作主机功能传送给其他域控制器,甚至可将当前域控制器更改为其他域中的域控制器。
要连接到网络中其他域,在控制台目录树中,右击" Active Directory 用户和计算机"根结点,从弹出的快捷菜单中选择"连接到域"命令,打开如图9 - 2 5所示的"连接到域"对话框,在"域"文本框中输入要连接的域的名称;或者单击"浏览"按钮,打开"浏览域"对话框选择要连接的域。要连接的域选择好之后,单击"确定"按钮即可建立连接。
更改域控制器
虽然一个域的控制器是域网络的中心,一般都能够稳定地运行,但是它也有出现故障的可能,导致域网络不能正常运行。这时,作为管理员的用户必须更改域控制器,以保证网络的正常运作。在Windows 2000中,由于不再区分主域控制器和辅助域控制器,域控制器的更
改变得更加简单,用户只须建立当前域与其他任何可写的域控制器的连接即可。
要更改域控制器,在控制台目录树中,右击"Active Directory用户和计算机"根站点,从弹出的快捷菜单中选择"连接到域控制器"命令,打开如图9 - 2 6所示的"连接到域控制器"对话框,然后在"更改为"文本框中输入要连接的域控制器;或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器,可选择"任何可写的域控制器"选项,系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后,单击"确定"按钮完成连接。
注释 一般情况下,一个域网络中至少应有两个域控制器(一个域控制器和一个附加域控制器),以便在当前域控制器出现故障时,可使用附加域控制器来代替当前域控制器,保证网络的正常运行。
2007年6月12日星期二
| [+/-] |
Windows Live Space建设完全技巧(MSN Spaces教程) |
Windows Live Space建设完全技巧(MSN Spaces教程)
