组策略(gpedit.msc)学习

组策略（gpedit.msc）学习

习背景：组策略就是修改注册表中的配置。当然，组策略使自己更完善计算机的管理组织方法，可以对

各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大.

学习目的：熟悉组策略的使用，完善计算机的管理与设置

学习步骤：组策略的启动，组策略的实际例子操作讲解，安全防范，组策略的保护！

地计算机配置对应注册表 HKEY_LOCAL_MACHINE

本地用户配置对应注册表 HKEY_CURRENT_USER

访问本地组策略的方法有两种：

第一种方法是命令行方式：“开始”→“运行”→“gpedit.msc”→“确定”刚才我们演示的

（gpedit.msc我们可以在系统盘中找到“C:\WINNT\SYSTEM32\gpedit.msc”）

第二种方法是通过在MMC控制台中选择GPE插件来实现:

“开始”→“运行”→“mmc”→“确定”→“文件”→“添加/删除管理单元”→“独立”→“添加”→“添加独立管理单元”→"组策略对象编辑器"

大家看到了吧！这样也是可以的，只是麻烦了点！继续讲解啊！

“本地计算机策略”

|

|——“计算机配置” 对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运 | | 行环境都起作用

| |——“软件设置”

| |——“Windows设置”

| |——“管理模块”

|

|

|——“用户配置”对当前用户的系统配置进行设置的，它仅对当前用户起作用 | |——“软件设置”

| |——“Windows设置”

| |——“管理模块”

下面我们就用实际的例子来学习组策略这个超级工具！（因为组策略的功能太多，太强大！所以我就选择

其中有代表性的例子进行讲解！一一讲解的话，你可以与我QQ联系，我一一讲解，这里不耽误大家时间）

（任何事情都是有起因的，呵呵）

事件一.起因：我们想不让别人使用我们的CMD（命令）与REGEDIT（注册表），所以我想删除“运行”

因为我们运行CMD与REGEDIT多是在运行菜单下进行的操作如下（涉及2个知识点）

我们在实验之前看看我们的运行菜单他还好好的在那里！！

知识点1.“任务栏”和“开始”菜单相关选项的删除和禁用

（1）在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略

！我们现在看看他没了运行菜单没了

删除“运行”那么操作如下：

用户配置”→“管理模板”→“任务栏和「开始」菜单”→从开始菜单中删除运行→已启用→确定

那么我们想禁止使用CMD与REGEDIT的话是不是就已经成功了呢！带着疑问我们看看！

没有运行菜单了是不是就是我的实验成功了呢？？？？是不是就是不可以运行CMD与REGEDIT了呢？？

我们接着看看大家可以看得懂我的操作是什么吧就是运用BAT文件运行CMD与REGEDIT

我们的命令提示符出来了说明我们没有成功！

没有成功！继续深入！

知识点2.禁止使用CMD与REGEDIT

（2）在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→“系统”分支。

在右侧我们可以看到“阻止访问命令提示符”和“阻止访问注册表编辑工具”双击“已启用”确定

检验结果！

检验成功！我们再看看注册表的(不好意思，注册表还没禁止！)现在看看！！！

实验1完美结束！欢呼！CMD与注册表均成功禁止

实验二，起因：是防止别人在我的电脑上乱翻文件！

知识点1.用组策略隐藏盘符

大家现在可以看到我的电脑中有4个盘符CDEF 我们隐藏个盘符看看！

在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→ “Windows组件”→“Windows资源管理器”→隐藏“我的电脑”中的这些指定驱动器→双击然后选择“已启用”，在下面有个“选择下列组合中的一个”按照需求选择就可以了

我们现在检测我们的成果！看看是不是已经成功了？我的C盘被偷了呵呵但是！！！！！我们检验下！C盘还是可以进去的

继续！！！！

知识点2.用组策略禁止盘符的使用

在“本地计算机”策略中，逐级展开“用户配置”→“管理模板”→ “Win dows组件”→“Windows资源管理器”→防止从“我的电脑”访问驱动器→双击然后选择“已启用”，在下面有个“选择下列组合中的一个”按照需求选择就可以了

我们检测下成功不？刚才大家看到了我们成功了非常完美！

忽然间想起好朋友常在我这里插U盘，我一下子警觉起来了，前不久还有Autorun.inf的病毒文件猖獗得很

我得使用组策略来防止U盘的自动运行

知识点3.禁止盘符的自动运行

计算机配置-->管理模块-->系统-->关闭自动播放-->设置成已启用-->下面设置成所有驱动器

这样就可以防止U盘的自动播放了

实验三.起因：最近的桌面很乱，很杂！想整理下，又马上想到利用组策略处理！（就是依赖性强啊！）

知识点1、桌面相关选项的删除和禁用

（1）在“‘本地计算机’策略”中，逐级展开“用户配置”→“管理模板”→“桌面”分支，即可在右侧窗格中显示相应的策略选项。

我们的文档与电脑全不见了！！！！！

比方说我想将桌面上的全部图表删除，那么操作如下：

“用户配置”→“管理模板”→“桌面”→隐藏和禁止桌面上所有的项目→已启用→确定

不可能啊！！！等下！

实验四。起因：组策略在安全配置上显身手！

知识点1.安全设置关于帐户策略

计算机配置/Windows设置/安全设置/账号策略/密码策略”

在这里我们可以设置密码的长度防止别人猜解

知识点2.更改系统帐号（ADMINSTRATOR）名称

计算机配置/Windows设置/安全设置/本地策略/安全选项/系统管理员帐号一般是ADMINISTRATOR（来宾帐号一般是GUEST）

这样别人不知道的话一个劲的猜解Adminstrator and Guest但是没用的我们的帐号已经更改了

知识点3.禁止远程访问连接

用户配置/管理模块/网络/网络连接/删除所有用户远程访问连接

这样别人即使知道你的帐号和秘密也连接不上的呵呵

实验五：起因：想禁止软件的运行，玩玩而已！

计算机配置/WINDOWS设置/安全设置/软件限制策略/创建新的策略/双击不允许/默认值/应用

计算机配置/WINDOWS设置/安全设置/软件限制策略/ 一般的情况下你们的是没有右侧显示的

我这里是因为我先前创建的所以你们需要创建新的策略/双击不允许/默认值/应用

好的我们现在来实验看看结果！呵呵什么程序都运行不了啊呵呵

还原的话就是双击不受限的