【新手求教】在公司一般网管都用组策略来做哪些设定呢?
请问,在Windows的域环境下,现在的大、中、小型企业的网管实际都对服务器做哪些方面的组策略设定呢? 能否多说几点? (目前我只知道有软件限制策略有用)
哪些组策略设定是必须要部署的呢?说不清楚的,给点思路也行,我目前没有方向。。
------解决方案--------------------看公司具体情况了。
限制USB存储的使用,限制软件的使用,安装SMS的客户端....
------解决方案--------------------组策略里全是中文,可以一项一项的看.贵公司需要的就加上去.因为要看你的具体需要.
我常用的就是,限制桌面壁纸,本机受限制的组(防止别人把自己的用户加入本地管理员群组),软件安装(比如OFFICE,ADOBE READER等).密码策略(有效期,锁定时间,复杂度)....
不过有一个是要另外加上去的.就是限制外部存储设备的使用
http://support.microsoft.com/kb/555324/zh-cn
------解决方案--------------------
1.不知道为什么这样,也许他们的环境不允许用户注销或关机.
2.应该是个人设定档(桌面/我的文档)重定向至文件服务器,并且设定只有用户本人可以访问.管理员都没有权限(当然可以手动取得)
3.所有的文件都保存在文件服务器.所以本地磁盘不允许访问.本地磁盘一般都空着/放GHOST文件/放备份文件/可有可无的文件
------解决方案--------------------1.禁止“注销”和“关机”:
当计算机启动以后,如果你不希望这个用户再进行“关机”和“注销”操作,打开“组策略控制台→用户配置→管理模板→任务栏和开始菜单”,将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用,这个设置会从开始菜单删除“关机”选项,并禁用“Windows 任务管理器”对话框,按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项 。另外需要注意的是,此设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。
2. 利用组策略保护个人文档隐私:
Windows有个高级智能功能,即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。利用组策略,只要在“组策略控制台→用户配置→管理模板→任务栏和开始菜单”中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可,另外需要注意的是,如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。
3. 隐藏“我的电脑”中指定的驱动器:
此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标,并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。这项策略只删除驱动器图标,用户仍可通过使用其它方式继续访问驱动器的内容,同时这项策略不会防止用户使用程序访问这些驱动器或其内容,并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。
4. 防止从“我的电脑”访问驱动器:
此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容,同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器,这些代表指定驱动器的图标仍旧会出现在“我的电脑”中,但是如果用户双击图标,会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器,并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。
5. 禁止使用命令提示符:
在Windows 2000/XP/2003下,我们可以运行cmd.exe进入命令提示符状态,并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑,有些系统应该屏蔽此功能。打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略,并在下面列表框中选择是否“也停用命令提示符脚本处理”,这个设置还决定批处理文件.cmd和.bat是否可以在计算机上运行,如果启用这个设置,在用户试图打开命令窗口时,系统会显示一条消息,解释设置阻止这一操作。
6. 禁用注册表编辑器:
为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略,此策略被启用后,用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。
7. 彻底禁止访问“控制面板”:
打开“组策略控制台→用户配置→管理模板→扩展面板”中的“禁止访问控制面板”并启用此策略。此策略启用后可以防止“控制面板”程序文件(Control.exe)的启动。他人将无法启动“控制面板”(或运行任何“控制面板”项目),另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。
8. 限制使用应用程序:
如果你的电脑设置了多个用户,有些程序我们可能不希望其他用户随意运行,也能在组策略中设置。打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略,然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。
PS:这是去听办公自动化企业安全管理课学的,还有更深入、具体、BT的策略,可我没学好,没记下来~~
据说组策略可以具体到某个注册表项的内容,以后研究研究……