『壹』 如何繞過組策略訪問本地硬碟
打開組策略解除限制。
另在網頁上輸入訪問盤符試下看。
『貳』 怎樣用組策略優化電腦
用組策略優化你的電腦
一、給我們的IP添加安全策略
在「計算機配置」→「Windows設置」→「安全設置」→「IP 安全策略,在本地計算機」下與有與網路有關的幾個設置項目(如圖1)。如果大家對 Internet較為熟悉,那也可以通過它來添加或修改更多的網路安全設置,這樣在Windows上運行網路程序或者暢游Internet時將會更加安全。
小提示
由於此項較為專業,其間會涉及到很多的專業概念,一般用戶用不到,在這里只是給網路管理員們提個醒,因此在此略過。
二、隱藏驅動器
平時我們隱藏文件夾後,別人只需在文件夾選項里顯示所有文件,就可以看見了,我們可以在組策略里刪除這個選項:選擇「用戶配置→管理模板→Windows組件→Windows資源管理器」
三、禁用指定的文件類型
在「組策略」中,我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型,而且不影響系統的正常運行。這里假設我們要禁用注冊表的REG文件,不讓系統運行REG文件,具體操作方法如下:
1. 打開組策略,點擊「計算機配置→Windows設置→安全設置→軟體限制策略」,在彈出的右鍵菜單上選擇「創建軟體限制策略」,即生成「安全級別」、「其他規則」及「強制」、「指派的文件類型」、「受信任的出版商」項
2. 雙擊「指派的文件類型」打開「指派的文件類型屬性」窗口,只留下REG文件類型,將其他的文件全部刪除,如果還有其他的文件類型要禁用,可以再次打開這個窗口,在「文件擴展名」空白欄里輸入要禁用的文件類型,將它添加上去。
3. 雙擊「安全級別→不允許的」項,點擊「設為默認」按鈕。然後注銷系統或者重新啟動系統,此策略即生效,運行REG文件時,會提示「由於一個軟體限制策略的阻止,Windows無法打開此程序」。
4.要取消此軟體限制策略的話,雙擊「安全級別→不受限的」,打開「不受限的 屬性」窗口,按「設為默認值」即可。
小提示
如果你滑鼠右鍵點擊「計算機配置→Windows設置→安全設置→軟體限制策略→其他規則」,你會看到它可以建立哈希規則、Internet 區域規則、路徑規則等策略,利用這些規則我們可以讓系統更加安全,比如利用「路徑規則」可以為電子郵件程序用來運行附件的文件夾創建路徑規則,並將安全級別設置為「不允許的」,以防止電子郵件病毒。
提示:為了避免「軟體限制策略」將系統管理員也限制,我們可以雙擊「強制」,選擇「除本地管理員以外的所有用戶」。如果用你的是文件類型限制策略,此選項可以確保管理員有權運行被限制的文件類型,而其他用戶無權運行。
四、未經許可,不得在本機登錄
使用電腦時,我們有時要離開座位一段時間。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等,為了避免有人動用電腦,我們一般會把電腦鎖定。但是在區域網中,為了方便網路登錄,我們有時候會建立一些來賓賬戶,如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶,那就麻煩了。既然我們不能刪除或禁用這些賬戶,那麼我們可以通過「組策略」來禁止一些賬戶在本機上登錄,讓對方只能通過網路登錄。
在「組策略」窗口中依次打開「計算機配置→Windows設置→安全設置→本地策略→用戶許可權分配」,然後雙擊右側窗格的「拒絕本地登錄」項,在彈出的窗口中添加要禁止的用戶或組即可實現
小提示
如果我們想反其道而行之,禁止用戶從網路登錄,只能從本地登錄,可以雙擊「拒絕從網路訪問這台計算機」項將用戶加上去。
五、給「休眠」和「待機」加個密碼
只有「屏幕保護」有密碼是遠遠不夠安全的,我們還要給「休眠」和「待機」加上密碼,這樣才會更安全。讓我們來給「休眠」和「待機」加上密碼吧。在「組策略」窗口中展開「用戶配置→管理模板→系統→電源管理」,在右邊的窗格中雙擊「從休眠/掛起恢復時提示輸入密碼」,將其設置為「已啟用」,那麼當我們從「待機」或「休眠」狀態返回時將會要求你輸入用戶密碼。
六、自動給操作做個記錄
在「計算機配置→Windows設置→安全設置→本地策略→審核策略」上,我們可以看到它可以審核策略更改、登錄事件、對象訪問、過程追蹤、目錄服務訪問、特權使用等(圖6)。這些審核可以記錄下你某年某月某日某時某分某秒做過了什麼操作:幾時登錄、關閉系統或更改過哪些策略等等。
我們應該養成經常在「控制面板→管理工具→事件查看器」里查看事件的好習慣。比如,當你修改過「組策略」後,系統就發生了問題,此時「事件查看器」就會及時告訴你改了哪些策略。在「登錄事件」里,你可以查看到詳細的登錄事件,知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期„„而要啟用哪些審核,只要雙擊相應的項目,選中「成功」和「失敗」兩個選項即可。
注意:Windows XP Home Edition沒有「組策略」,只有Windows XP Professional版本才有「組策略」,這一點注意。
七、限制IE瀏覽器的保存功能
當多人共用一台計算機時,為了保持硬碟的整潔,需要對瀏覽器的保存功能進行限制使用,那麼如何才能實現呢?具體方法為:選擇「用戶設置」→「管理模板」 →「Windows組件」→「Internet Explorer」→「瀏覽器菜單」分支。雙擊右側窗格中的「『文件』菜單:禁用『另存為„』菜單項」,在打開的設置窗口中選中「已啟用」單選按鈕
小提示
我們還可以對「『文件』菜單:禁用另存為網頁菜單項」、「『查看』菜單:禁用『源文件』菜單項」和「禁用上下文菜單」等策略項目進行修改,這樣我們的IE將會安全一些。 八、禁止修改IE瀏覽器的主頁 小提示
如果您不希望他人或網路上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話,我們可以選擇「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」分支,然後在右側窗格中,雙擊「禁用更改主頁設置」策略啟用即可
小提示
(1)還提供了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。如果啟用了這個策略,在IE瀏覽器的「Internet 選項」對話框中,其「常規」選項卡的「主頁」區域的設置將變灰。
(2)如果設置了位於「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」→「Internet 控制面板」中的「禁用常規頁」策略,則無需設置該策略,因為「禁用常規頁」策略將刪除界面上的「常規」選項卡。
(3)逐級展開「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」分支,我們可以在其下發現 「Internet控制面板」、「離線頁」、「瀏覽器菜單」、「工具欄」、「持續行為」和「管理員認可的控制項」等策略選項。利用它可以充分打造一個極有個性和安全的IE。
九、把Administrator藏起來
Windows系統默認的系統管理員賬戶名是Administrator。因此,為了避免有人惡意破解系統管理員Administrator賬戶的密碼,我們可以將Administrator改為其他名字以加強安全。點擊「開始→運行」,輸入gpedit.msc,打開「組策略」,如圖9所示,選擇 「計算機配置→Windows設置→安全設置→本地策略→安全選項」,在右邊窗格里雙擊「賬戶:重命名系統管理員賬戶」項,在上面輸入你想要的用戶名。重新啟動計算機後,輸入的新用戶名即刻生效。如果再新建一個Guest用戶,用戶名為Administrator,然後再加上十分復雜的密碼就更安全。
提示:為了避免讓人在Windows的登錄框中看到曾經登錄過的用戶名,就要雙擊「互動式登錄:不顯示上次的用戶名」子項,選擇「已啟用」將該策略啟用。這樣上次登錄到計算機的用戶名就不會顯示在Windows的登錄畫面中。
十.禁用IE組件自動安裝
選擇「計算機配置」→「管理模板」→「Windows組件」→「Internet Explorer」項目,雙擊右邊窗口中「禁用 Internet Explorer組件的自動安裝」項目,在打開的窗口中選擇「已啟用」單選按鈕,將會禁止??Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件,篡改IE的行為也會得到遏制!相對來說IE也會安全許多!
小提示
如果禁用該策略或不對其進行配置,則用戶在訪問需要某個組件的網站時,將會收到一則消息,提示用戶下載並安裝該組件。有時用戶看也不看就選擇「安裝」則往往會出問題。網上的很多惡意代碼往往都是這樣工作的
『叄』 進入組策略的方法有多少
建立一個批處理文件 建個一文本文檔 輸入gpedit.msc保存為bat文件 然後點這個後生成的bat文件就可以打開了 討論組策略 電腦限制類的 請加以下QQ群
QQ群歡迎大家加入
36256303 電腦愛好者
40982639 網路攻防
40320766 網路技術區
『肆』 win7如何使用組策略限制本地磁碟訪問
方法如下:
1、首先在桌面按「Win + R」打開「運行」窗口,輸入「gpedit.msc」並點擊「確定」打開組策略編輯器;
2、進入組策略編輯器窗口後,在左側依次展開「用戶配置--管理模板--Windows組件--Windows資源管理器」,然後在右側找到「防止從我的電腦訪問驅動器」,並雙擊打開;
3、打開後,選擇「已啟用」,然後在下方根據自己的需求選擇一個限制方案,最後點擊「確定」即可。
注意:通過組策略就可以輕松限制別人訪問計算機上的磁碟,如果想要解除只需將該策略設置為已禁用或者未配置即可。
『伍』 組策略對硬碟格式是否有要求
組策略裡面的許可權設置是在NTFS下才能作用的,因為NTFS分區格式本身就是對許可權進行了嚴格的要求,而FAT/FAT32分區沒有對許可權進行設置。這點在微軟的NTFS格式文檔里有詳細的說明。OFFICE因為結合了大量的系統環境來工作,所以需要賦予完全許可權,而WINRAR等工作中不需要進行軟體本身和系統變數的寫入,修改等操作,所以設置只讀就可以正常運行。其實30多台機器更改成NTFS格式還是很快就能完成的,更改完後對以後的工作和許可權設置等操作都有好處。所以沒有取巧的方法來完成你的要求。
『陸』 如何用組策略禁本地磁碟
MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]
"Start"=dword:00000004
方法2,
如何利用AD 組策略來屏蔽U 盤等可移動磁碟
如何利用AD 組策略來屏蔽U 盤
最近在外面做點小方案,撈點外塊,根據客戶的要求,研究了一個新東西:如何利用組
策略來屏蔽U 盤等可移動磁碟。一部份來自於互聯網,通過分析和整理,總結如下:
1、 在域控制器上打開Active Directory 用戶和計算機,找到您要屏蔽U 盤的組織單位
(Organizational Unit 簡稱OU),右鍵查看此組織單位的屬性,點擊組策略頁面,新建
一個組策略,命名並保存為「屏蔽U 盤」,建好後,雙擊「屏蔽U 盤」(必需先打開一次,否
則系統不會拷貝那幾個模板文件),在打開的標題為「組策略」的窗口的左邊,按以下順序定
位「用戶配置-管理模板-Windows 組件-Windows 資源管理器」,選中Windows 資源管理
器,我們可以看到有「隱藏我的電腦中的這些指定的驅動器」和「防止從我的電腦訪問驅動器」,
雙擊打開其中一項策略,選擇「啟用」,下面的下拉框會變亮,單擊下拉框,您會發現系統提
供了7 種限制訪問驅動器號的組合,其中也包括了「不限制驅動器」,顯然,這些組合不能滿
足我們的要求(因為U 盤的盤符通常是排在最後的,而且現在的硬碟比較大,少則也有三
四個分區)。
2、 在域控制器上打開Active Directory 用戶和計算機,在剛才我們新建的「屏蔽U 盤」策略上
單擊右鍵選擇查看屬性,找到"屏蔽U 盤"的組策略的唯一的名稱,此名稱為一長串數字和字
母組成,本例中為,記下此字元串。
3、 打開系統盤,定位以命名的文件夾,
此文件夾位於C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies(盤
符依賴於您安裝的操作系統所在的分區,如果安裝AD 時在C 盤,默認則就是這個
路徑,其中hcsad.hc 則是你給這個AD 取得名字,我這里給這個域的頂級域名
取為為HC,所以這里就是HCSAD.HC),打開
目錄,找到ADM 目錄下的
system.adm 文件,此文件是我們在實施組策略的模板文件,是一個純文本文件,可用記
事本打開,找到下面這兩段代碼:
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
如何利用AD 組策略來屏蔽U 盤等可移動磁碟
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
說明:這是兩個策略,第一個!!NoDrive,它的作用是在我的電腦中不顯示指定的驅動
器名,驅動器號代表的所有驅動器不出現在標準的打開對話框上,但是在地址欄中輸入盤符
或新建一個指向硬碟盤符的快捷方式,用戶仍然可以訪問該驅動器;第二
個!!NoViewOnDrive 的作用是阻止用戶訪問驅動器。可以阻止上述情況的出現,但是僅僅
用第二個的話,用戶可以看見該驅動器的盤符,但不能訪問,一般情況,兩個同時使用,可
以達到比較理想的效果。
仔細觀察上述代碼,不難發現,其中一共有7 個NAME 項,後面的VALUE NUMERIC
按照low 26 bits on (1 bit per drive)的規則取值,low 26 bits on 的意思說值為26 位
的二進制,最多可指定26 個驅動器盤符,而1 bit per drive 則代表1 位代表1 個驅動器,
舉例說A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,
以此類推。我們可根據我們的需要修改此代碼段,假如我們要隱藏A、B、C、F、G、H、I,
您可以根據您的需要而定,推薦隱藏的盤符數量應該大於您的現有的盤符數加上您客戶端所
有的USB 介面數(防止有人同時插入幾個U 盤,呵呵,但是我建議,在做系統規劃時就要
注意這個問題:就是固定給所有的電腦分配幾個盤,如4 個,即:CDEF,這樣我們就可
以利用禁掉除CDEF 所有的盤,這樣就可以保證萬無一失啦,哈哈…)。那麼我們計算出
VALUE NUMERIC 的數值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,
在兩個策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
隨後,利用查找命令,找到以下欄位:在 ABConly="僅限制驅動器 A、B 和 C" ,
這一段文字,下面插入一行數據, ABCFGHIOnly="僅限制驅動器A、B、C、F、G、H、
I",等於號後引號內的說明您可以根據自己的喜好定義,它將會顯示在策略的下拉框中。保
存後,打開「屏蔽U 盤」策略,定位「用戶配置-管理模板-Windows 組件-Windows 資源管
如何利用AD 組策略來屏蔽U 盤等可移動磁碟
理器」,在右邊的窗口中雙擊「隱藏我的電腦中的這些指定的驅動器」或「防止從我的電腦訪問
驅動器」其中的一個,點擊「啟用」,再點擊下拉框,哈哈,您會發現您多了一個選項
這時候,您只要在您想屏蔽的用戶的組織單位上應用此策略(別忘了這兩個策略都需要設
置),保存後,包含於該組織單位下的用戶登錄時,便會發現他的U 盤插上後,系統雖能識別並
正確安裝驅動,但在「我的電腦」中卻無法看見,並且通過其他方法也無法訪問,包括在地址欄中
輸入盤符。
最後,附上從A 到Z 對應的每一個數字,方便大家理解:
A B C D E F
1 2 4 8 16 32
G H I J K L
64 128 256 512 1024 2048
M N O P Q R
4096 8192 16384 32768 65536 131072
S T U V W X
262144 524288 1048576 2097152 4194304 8388608
Y Z
16777216 33554432
根據上表中的數字,大家可以根據實際想禁用的盤符然後對應表上的數字得出的總數,如想禁用
所有的盤符,即從A 到Z,則以上的數字相加等於67108863,以上面找到的那兩段代碼,其
中就有一項禁用所有盤符,後面的數字也正好是這個。
舉例:比如你如果想禁止除CDEF 這四個盤以外的所有盤,則是按上表中的數字去掉CDEF 中
對應的數字,四個盤對應的數字正好是60,因此,將這個總數:67108863 減去60=67108803。
然後在上面插入的那段字元里做相應的調整,你也可以根據喜好,創建多個組合,如禁止
CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代碼:NAME !!ABCFGHIOnly VALUE
NUMERIC 487(比如你想禁用從除CDEF 之外的所有盤符,是要在這段代碼的!!後面寫成
這樣:ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……,後面的NUMERIC 487 則根據你
想要禁用的盤符的數值(見上表)加起來的和,總而言之一句話,你想要禁用的盤符都要在這段
代碼裡面。
至此,全部設置完畢,讓您的客戶段使用此OU 下的用戶登錄看看吧!
程棟良
2007-11-25
『柒』 打開電腦組策略有那幾種方法
開始——運行——輸入「gpedit.msc」
除了上面這種進入組策略的方法,還有一種就是通過控制台進入組策略。同樣在運行那裡輸入mmc命令,進入控制台界面。在控制台文件那下拉菜單選中添加刪除/管理單元,點擊進去,來到添加/刪除管理界面,點擊添加按鈕,添加獨立管理單元。
在可用的管理單元那裡找到組策略對象編輯器,點擊添加按鈕,就來到歡迎使用組策略向導的歡迎界面,組策略使用對象可以是本地計算機,也可以是通過瀏覽器找到另一台計算機。筆者是本地計算機使用,所以不用理會,點擊完成按鈕就算大功告成。
到控制台看看,多生成了一個控制台1,控制台根節點下面是不是多了一個組策略,組策略被添加到新的控制台裡面。
如果組策略打不開可以用以下幾種方法:
1.控制台法
重新啟動計算機,按下F8鍵,在Windows高級選項菜單里選擇「帶命令行提示的安全模式」,進入安全模式;鍵入MMC,打開控制台窗口,單擊「文件→ 添加/刪除管理單元」,在「獨立」選項卡中單擊「添加」按鈕,選擇「組策略」管理單元,單擊「添加」按鈕,再分別單擊「完成」、「關閉」、「確定」即可;這樣,添加的組策略管理單元將出現在控制台窗口中,接下來把設置改回去(即設為「未配置」);最後,按下「Ctrl+Alt+Delete」組合鍵,點擊「關機」按鈕,選擇「重新啟動」即可。
提示:在「帶命令行提示的安全模式」中,是看不到「開始」菜單和系統任務欄的,不過,我們可以鍵入「explorer.exe」打開它們。
2.命令行法
首先進入「帶命令行提示的安全模式」;然後鍵入「reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /t reg_dword /d0」命令,回車之後,系統會提示是否覆蓋存在的「RestrictRun」鍵值項,鍵入「Y」並回車即可。這樣,注冊表裡相應的內容已經被恢復了。
3.注冊表法
通過直接修改注冊表的方法也可以解決該問題。首先進入「帶命令行提示的安全模式」,在命令提示符下鍵入「regedit」,打開「注冊表編輯器」,展開分支「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer」,將「RestrictRun」的值修改為0即可。
以上方法均可解開組策略,注冊表可以在組策略中解禁。
『捌』 如何使用組策略隱藏硬碟分區
在「運行」中鍵入「gpedit.msc」打開「組策略」,在左邊窗口中分別雙擊選擇展開「用戶配置→Windows
組件
→Windows資源管理器」(如圖)。雙擊右邊「隱藏我的電腦中這些指定的驅動器」選項,點選「已啟用」,在下面「選擇下列組合中的一個」中選擇需要隱藏的驅動器,然後點擊「應用」後退出。
『玖』 如何用組策略顯示隱藏的磁碟
一、通過「組策略」隱藏磁碟 在「開始」→「運行」中填入「gpedit.msc」,打開組策略。在窗口左側的「本地計算機策略」中依次選中「用戶配置」→「管理模板」→「Windows組件」→「Windows資源管理器」,再到右側窗口中找到「隱藏『我的電腦』中的這些指定的驅動器」策略。此時對應的設置狀態是「未被配置」,雙擊它,彈出「隱藏『我的電腦』中的這些指定的驅動器屬性」窗口,選中下面的「啟用」,並從「選擇下列組合中的一個」中選擇「只限制D驅動器」,最後點擊確定即可。此時我們再到資源管理器中查看,會發現D盤沒有了。使用方法:只須在地址欄中輸入「D:」(不含引號)再回車,隱藏在D盤分區的內容馬上就會顯現原形
『拾』 如何使用組策略把硬碟隱藏呢
如果你是用的2000。在開始里的運行裡面打gpedit.msc
運行後選擇用戶管理裡面的管理模板,在選擇windows組件
雙擊打開,windows資源管理器 裡面有2項
隱藏"我的電腦"中的這些指定驅動器。根據你的需要選擇下
下面的哪個防止也有必要改下,省的出問題