組策略與組策略管理

組策略與組策略管理教學(xué)提示：組策略是Windowsserver2003系統(tǒng)中功能最為強大的基礎(chǔ)技術(shù)，也是在實際中應(yīng)用最廣泛的技術(shù)；網(wǎng)絡(luò)管理人員最得力的助手。通過組策略可以很方便地對系統(tǒng)進行管理，尤其是在域模式下組策略的功能更加如虎添翼。教學(xué)目標(biāo)：本章目的是學(xué)習(xí)組策略的基本操作；熟練運用組策略來實現(xiàn)域模式下多計算機軟件分發(fā)任務(wù)。熟練使用組策略對系統(tǒng)進行安全加固的方法。組策略概述何謂組策略所謂策略（Policy），是Windows中的一種自動配置桌面設(shè)置的機制。所謂組策略（GroupPolicy），顧名思義，就是基于組的策略。它以Windows中的一個MMC管理單元的形式存在，可以幫助系統(tǒng)管理員針對整個計算機或是特定用戶來設(shè)置多種配置，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容，以及“開始”菜單選項等，也可以在整個計算機范圍內(nèi)創(chuàng)建特殊的桌面配置。簡而言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。簡單點說，組策略就是修改注冊表中的配置。當(dāng)然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設(shè)置進行管理和配置，遠(yuǎn)比手工修改注冊表方便、靈活，功能也更加強大。組策略編輯器及組策略基本功能您只需單擊選擇【開始】→【運行】命令，在【運行】對話框的【打開】欄中輸入“gpedit.msc”，然后單擊“確定”按扭即可啟動windows2003組策略編輯器。（注：這個“組策略”程序位于“C:\WINNT\SYSTEM32”中，文件名為“gpedit.msc”。）圖13-1組策略編輯器窗口在打開的組策略窗口中（如組策略圖所示），可以發(fā)現(xiàn)左側(cè)窗格中是以樹狀結(jié)構(gòu)給出的控制對象，右側(cè)窗格中則是針對左邊某一配置可以設(shè)置的具體策略。另外，您或許已經(jīng)注意到，左側(cè)窗格中的【本地計算機】策略是由【計算機配置】和【用戶配置】兩大子鍵構(gòu)成，并且這兩者中的部分項目是重復(fù)的，如兩者下面都含有【軟件設(shè)置】、【W(wǎng)indows設(shè)置】等。那么在不同子鍵下進行相同項目的設(shè)置有何區(qū)別呢？這里的【計算機配置】是對整個計算機中的系統(tǒng)配置進行設(shè)置的，它對當(dāng)前計算機中所有用戶的運行環(huán)境都起作用；而【用戶配置】則是對當(dāng)前用戶的系統(tǒng)配置進行設(shè)置的，它僅對當(dāng)前用戶起作用。例如，二者都提供了“停用自動播放”功能的設(shè)置，如果是在【計算機配置】中選擇了該功能，那么所有用戶的光盤自動運行功能都會失效；如果是在【用戶配置】中選擇了此項功能，那么僅僅是該用戶的光盤自動運行功能失效，其他用戶則不受影響。設(shè)置時需注意這一點。組策略功能具有強大的功能，一般常用組策略來實現(xiàn)軟件分發(fā)、IE維護、軟件限制、脫機文件、安全設(shè)置、漫游配置文件、文件夾重定向、基于注冊表的設(shè)置、計算機和用戶腳本等。接下來重點以組策略實現(xiàn)軟件分發(fā)和組策略實現(xiàn)軟件限制以包安全為例講述組策略的具體應(yīng)用。組策略實現(xiàn)軟件分發(fā)在域模式下，通過組策略來實現(xiàn)軟件分發(fā)非常方便快捷，在開始菜單里選擇【程序】→【管理工具】→【ActiveDirectory用戶和計算機】，打開【ActiveDirectory用戶和計算機】。圖13-2活動目錄用戶和計算機窗口可在此選擇整個域或者某組織單元，右擊選擇【屬性】，在【組策略】頁中，點【新建】組策略，命名為“軟件分發(fā)”。圖13-3為域新建名為“軟件分發(fā)”的組策略然后點“編輯”，即打開“組策略編輯器”。圖13-4“軟件分發(fā)”組策略編輯器在組策略編輯器的計算機配置里，點【軟件設(shè)置】前“+”號展開，選擇【軟件安裝】后在右邊空白處右擊，如圖13-5所示，在彈出菜單里選擇【新建】→【程序包】。圖13-5新建軟件安裝程序包點開“程序包”后會出來讓你選擇程序包位置的窗口，如圖13-6所示，程序包文件是MSI后綴的文件，MSI文件是WindowsInstaller的數(shù)據(jù)包，它實際上是一個數(shù)據(jù)庫，包含安裝一種產(chǎn)品所需要的信息和在很多安裝情形下安裝（和卸載）程序所需的指令和數(shù)據(jù)。可以應(yīng)用工具自己創(chuàng)建自己的MSI程序包，創(chuàng)建MSI程序包的工具一般在系統(tǒng)安裝盤里有。圖13-6選擇要安裝的軟件包圖13-7選擇部署方法假如要安裝Windows2003自帶的支持工具包文件，這個安裝包文件必須事先放在服務(wù)器的某個目錄下并共享且其他機器有相應(yīng)的權(quán)限（要是其他可執(zhí)行文件須先做成MSI格式的安裝包才可以分發(fā)）。選擇后要分發(fā)的安裝包后，讓選擇部署方法：選擇“已指派”，若選“高級”即打開一個新的屬性頁可進行其他高級選項，如下圖所示：圖13-8部署方法“高級”界面圖13-9“軟件分發(fā)”設(shè)置完后的界面這樣就完成了軟件分發(fā)。這里“指派”為強制安裝，如果希望用戶決定是否安裝應(yīng)用程序則可以利用發(fā)布的方式，在“用戶配置”里設(shè)置，操作步驟同上，只是在選擇部署類型的時候選擇"已發(fā)布"。還可以在完成后用鼠標(biāo)右擊選擇“指派”或“發(fā)行”來進行切換。圖13-10已設(shè)置“發(fā)行”的可以重新改為“指派”修改后組策略對象后，如果是在【計算機配置】里【指派】給計算機，客戶機執(zhí)行策略刷新命令gpupdate后重啟時安裝，所有用戶在客戶機上都可使用該軟件；如果是在【用戶配置】里【指派】或者【發(fā)布】給用戶，用戶在客戶機執(zhí)行策略刷新命令gpupdate后生效，“發(fā)布”的可以在【控制面板】→【添加/刪除程序】→【添加程序】中選擇安裝，“指派”的軟件則注銷或重啟后重新登錄后，程序在【開始】菜單中，用戶第一次使用該軟件時安裝。提示：組策略實驗過程中，利用組策略來配置客戶端，需要設(shè)置好dns服務(wù)，否則因為dns問題可能導(dǎo)致客戶端組策略不能生效！利用組策略實現(xiàn)軟件限制軟件限制策略的一般操作利用組策略可以通過軟件限制，來實現(xiàn)對不明程序和惡意軟件的限制以起到安全保護作用?；九渲梅椒ㄈ缦拢菏紫龋槍θ蚧蛘吣辰M織單元，建立一個軟件限制安全組策略方法和前面軟件分發(fā)策略一樣。在組策略編輯器里選中“軟件限制策略”里的“其他規(guī)則”：圖13-11軟件限制策略在右邊空白處可以點鼠標(biāo)右鍵，可以創(chuàng)建新的規(guī)則。要創(chuàng)建規(guī)則首先需要學(xué)會系統(tǒng)通配符、環(huán)境變量的含義，以及軟件限制策略規(guī)則的優(yōu)先級。如：通配符：“?”表示任意單個字符；“*”表示任意多個字符；“**”或“*?”表示零個或多個含有反斜杠的字符，即包含子文件夾。常見的環(huán)境變量：環(huán)境變量用兩個“%”做標(biāo)記，假設(shè)系統(tǒng)安裝在C:\Windows目錄，那么“%USERPROFILE%”表示“C:\DocumentsandSettings\當(dāng)前用戶名”；

“%ALLUSERSPROFILE%”表示“C:\DocumentsandSettings\AllUsers”；

“%APPDATA%”表示“C:\DocumentsandSettings\當(dāng)前用戶名\ApplicationData”；

“%ALLAPPDATA%”表示“C:\DocumentsandSettings\AllUsers\ApplicationData”；

“%SYSTEMDRIVE%”表示“C:”；

“%HOMEDRIVE%”表示“C:\”；

“%SYSTEMROOT%”表示“C:\WINDOWS”；

“%WINDIR%”表示“C:\WINDOWS”；

“%TEMP%”和“%TMP%”表示“C:\DocumentsandSettings\當(dāng)前用戶名\LocalSettings\Temp”；

“%ProgramFiles%”表示“C:\ProgramFiles”；

“%CommonProgramFiles%”表示“C:\ProgramFiles\CommonFiles”。

用組策略阻止惡意程序運行要阻止惡意程序運行，首先要知道惡意程序一般會藏身在什么地方，惡意程序一般存在下列位置：“？:\”（?表示分區(qū)名，即分區(qū)根目錄）；“C:\WINDOWS”（一般系統(tǒng)安裝在C盤情況比較常見）；“C:\WINDOWS\system32；”“C:\DocumentsandSettings\Administrator”；“C:\DocumentsandSettings\Administrator\ApplicationData”；“C:\DocumentsandSettings\AllUsers”；“C:\DocumentsandSettings\AllUsers\ApplicationData”；“C:\DocumentsandSettings\Administrator\「開始」菜單\程序\啟動”；“C:\DocumentsandSettings\AllUsers\「開始」菜單\程序\啟動”；“C:\ProgramFiles”；“C:\ProgramFiles\CommonFiles”；特別注意的是在：“C:\DocumentsandSettings\Administrator”；“C:\DocumentsandSettings\Administrator\ApplicationData”；“C:\DocumentsandSettings\AllUsers”；“C:\DocumentsandSettings\AllUsers\ApplicationData”；“C:\DocumentsandSettings\Administrator\「開始」菜單\程序\啟動”；“C:\DocumentsandSettings\AllUsers\「開始」菜單\程序\啟動”；“C:\ProgramFiles”；“C:\ProgramFiles\CommonFiles”；這8個路徑下是沒有可執(zhí)行文件的，只有在它們的子目錄下才有可能存在可執(zhí)行文件，知道這一點，規(guī)則就可以這么寫：“%ALLAPPDATA%\*.*不允許的”“%ALLUSERSPROFILE%\*.*不允許的”“%ALLUSERPROFILE%\「開始」菜單\程序\啟動\*.*不允許的”“%APPDATA%\*.*不允許的”“%USERSPROFILE%\*.*不允許的”“%USERPROFILE%\「開始」菜單\程序\啟動\*.*不允許的”“%ProgramFiles%\*.*不允許的”“%CommonProgramFiles%\*.*不允許的”另外對于“C:\WINDOWS”和“C:\WINDOWS\system32”這兩個路徑的規(guī)則怎么寫呢？“C:\WINDOWS”下只有“explorer.exe”、“notepad.exe”、攝像頭程序、聲卡管理程序是需要運行的，而其他都不需要運行，那么其規(guī)則可以這樣寫：“%SYSTEMROOT%\*.*不允許的”，首先禁止C:\WINDOWS下運行可執(zhí)行文件；“C:\WINDOWS\explorer.exe不受限的”；“C:\WINDOWS\notepad.exe不受限的”；“C:\WINDOWS\amcap.exe不受限的”；“C:\WINDOWS\RTHDCPL.EXE不受限的”；這是因為絕對路徑優(yōu)先級要大于通配符路徑的原則，先設(shè)置目錄下所有可執(zhí)行文件不允許，然后設(shè)置上述幾個排除規(guī)則，這樣在“C:\WINDOWS”下，除了“explorer.exe”、“notepad.exe”、攝像頭程序、聲卡管理程序可以運行外，其他所有的可執(zhí)行文件均不可運行。對于“C:\WINDOWS\system32”就不能像上面那樣寫規(guī)則了，在“SYSTEM32”下面很多系統(tǒng)必須的可執(zhí)行文件，如果一個一個排除，那太麻煩了。所以，對“system32”，我們只要對它的子文件作一些限制，并對系統(tǒng)關(guān)鍵進程進行保護子文件夾的限制：“%SYSTEMROOT%\system32\config\**\*.*不允許的”；“%SYSTEMROOT%\system32\drivers\**\*.*不允許的”；“%SYSTEMROOT%\system32\spool\**\*.*不允許的”；當(dāng)然你可以照此方法限制更多的子文件夾。另外，通過軟件限制策略對system32的系統(tǒng)關(guān)鍵進程進行保護，system32下的有些進程是系統(tǒng)啟動時必須加載的，不能阻止它的運行，但又常常被惡意軟件仿冒。為了解決這個問題，可以考率到這些仿冒的進程，其路徑不可能出現(xiàn)在system32下，因為它們不可能替換這些核心文件，它們往往出現(xiàn)在其他的路徑中。那么可以這樣應(yīng)對：“C:\WINDOWS\system32\csrss.exe不受限的”；“C:\WINDOWS\system32\ctfmon.exe不受限的”；“C:\WINDOWS\system32\lsass.exe不受限的”；“C:\WINDOWS\system32\rundll32.exe不受限的”；“C:\WINDOWS\system32\services.exe不受限的”；“C:\WINDOWS\system32\smss.exe不受限的”；“C:\WINDOWS\system32\spoolsv.exe不受限的”；“C:\WINDOWS\system32\svchost.exe不受限的”；“C:\WINDOWS\system32\winlogon.exe不受限的”；先完全允許正常路徑下這些進程，再屏蔽掉其他路徑下仿冒進程，如：“csrss.*不允許的”，（“.*”表示任意后綴名，這樣就涵蓋了“bat”，“com”等等可執(zhí)行的后綴）。“ctfm?n.*不允許的”；“l(fā)ass.*不允許的”；“l(fā)ssas.*不允許的”；“rund*.*不允許的”；“services.*不允許的”；“smss.*不允許的”；“sp???sv.*不允許的”；“s??h?st.*不允許的”；“s?vch?st.*不允許的”；“win??g?n.*不允許的”。如何保護上網(wǎng)的安全，在瀏覽不安全的網(wǎng)頁時，病毒會首先下載到IE緩存以及系統(tǒng)臨時文件夾中，并自動運行，造成系統(tǒng)染毒，在了解了這個感染途徑之后，我們可以利用軟件限制策略進行封堵：“%SYSTEMROOT%\tasks\**\*.*不允許的”；這個是計劃任務(wù)，病毒藏身地之一；“%SYSTEMROOT%\Temp\**\*.*不允許的”；“%USERPROFILE%\Cookies\*.*不允許的”；“%USERPROFILE%\LocalSettings\**\*.*不允許的”；這個是IE緩存、歷史記錄、臨時文件所在位置）另外可以免疫一些常見的流氓軟件：“3721.*不允許的”；“CNNIC.*不允許的”；“*Bar.*不允許的”；等等，不一一陳述，大家可以照此方法自己添加。注意，“*.*”這個格式只會阻止可執(zhí)行文件，而不會阻止“.txt”，“.jpg”等等文件。另外回收站和備份文件夾里的文件也可能不安全，兩條禁止從回收站和備份文件夾執(zhí)行文件的規(guī)則：“?:\Recycler\**\*.*不允許的”；“?:\SystemVolumeInformation\**\*.*不允許的”；如何防止U盤病毒的入侵：兩條規(guī)則就可以實現(xiàn)：“?:\autorun.inf不允許的”；“?:\*.*不允許的”。預(yù)防雙后綴名的典型惡意軟件：許多惡意軟件，它有雙后綴，比如“mm.jpg.exe”，由于很多人默認(rèn)不顯示文件后綴名，所以你看到的文件名是“mm.jpg”，誤以為是jpg圖像文件。對于這類惡意文件，不能用：“*.*.*不允許的”這樣一條規(guī)則想當(dāng)然地徹底免疫，因為這樣做了之后，會發(fā)現(xiàn)類似acrobatread7.5.1這種樣式的文件無法運行。所以應(yīng)該改成：“*.???.bat不允許的”；“*.???.cmd不允許的”；“*.???.com不允許的”；“*.???.exe不允許的”；“*.???.pif不允許的”。這樣5條規(guī)則，就沒有問題了。諸如此類，讀者可以按上述方法，自己根據(jù)實際情況設(shè)計更多的策略來分別限制具體的惡意文件的執(zhí)行。GPMC工具實現(xiàn)組策略管理GPMC即組策略管理控制臺（GroupPolicyManagementConsole），與Windows2000/2003Server上傳統(tǒng)的組策略編輯器截然不同，由一個全新的MMC管理單元及一整套腳本化的接口組成，提供了集中的組策略管理方案，可以大大減少不正確的組策略可能導(dǎo)致的網(wǎng)絡(luò)問題并簡化組策略相關(guān)的安全問題，解決組策略部署中的難點，減輕了系統(tǒng)管理員們在實施組策略時所承擔(dān)的沉重包袱。GPMC工具在微軟網(wǎng)站上可免費下載。下載后安裝方法和其他軟件基本類似，就不再贅述，但需要注意的是，GPMC工具安裝前需要先安裝microsoft.netFramework環(huán)境。安裝完后在管理工具里可以看到：圖13-12GPMC安裝后的打開位置點擊上圖中的GroupPolicyManagement即可打開GPMC窗口，選中域或者某組織單元右擊后如下圖所示：圖13-13在GPMC里創(chuàng)建新的組策略對象點CreateandLinkaGPOhere即可在此創(chuàng)建并連接一個新的組策略對象。圖13-14輸入新的組策略名圖13-15編輯新的組策略可以選擇對整個域或者某個組織單元創(chuàng)建新的組策略，對新的組策略，選中后右擊可以選擇編輯“edit”。即可以打開傳統(tǒng)的組策略編輯器。在那里可以進行各種組策略的設(shè)置。圖13-16編輯組策略另外，在域用戶和計算機窗口里任選一個組織單元右擊，在彈出菜單里選“屬性”，屬性頁最后一個即GroupPolicy（組策略），點這里的“open”也可以打開GPMC窗口來進行組策略編輯設(shè)置。圖13-17域用戶和計算機窗口里打開組策略實踐訓(xùn)練任務(wù)：創(chuàng)建與設(shè)置組策略任務(wù)目標(biāo)：了解組策略含義，掌握組策略的創(chuàng)建、刪除；掌握組策略的組成部分及各部分作用；掌握如何設(shè)置組策略；理解組策略的替代、繼承、不繼承、禁止替代等；了解組策略的實現(xiàn)需要一段時間。包含知識：組策略一般應(yīng)在AD搭建好了后才能較好地發(fā)揮作用，組側(cè)略幾乎無所不能，組策略可以：集中化管理、管理用戶環(huán)境、降低管理用戶的開銷、強制執(zhí)行企業(yè)策略。組策略的幾大功能：軟件分發(fā)、軟件限制、安全設(shè)置、基于注冊表的設(shè)置、IE維護、脫機文件、漫游配置文件和文件夾重定向、計算機和用戶腳本。域中的三個容器：站點site，域domain，組織單元OU，規(guī)模依次遞減，組策略只可以在三種容器中應(yīng)用不能應(yīng)用到單獨的一個人（賬號），每個GPO有兩部分組成：GPC容器，存儲在AD中保存版本信息GPT模板，存儲在sysvol文件夾中，保存組策略模板。組策略常用工具和命令：gpmc工具集、supporttools工具集（adsiedit工具，在mmc中添加）；命令gpupdate/force用于客戶端強制刷新組策略，命令gpresult/scopeuser/v顯示組策略應(yīng)用情況；命令dcgpofix用于默認(rèn)組策略刪除后的修復(fù)。組策略的覆蓋優(yōu)先級由低到高為：本地策略、站點策略、域策略、父OU策略、子OU策略。當(dāng)組策略對象產(chǎn)生沖突時，計算機策略覆蓋用戶策略、不同層次的組策略產(chǎn)生沖突時，子OU覆蓋父OU策略、同一容器上多個組策略沖突時，處于GPO列表最高位的GPO優(yōu)先級最高?？傮w原則：后執(zhí)行的優(yōu)先級高！要變更組策略應(yīng)用順序：阻止繼承、強制（禁止替代）、避免變更應(yīng)用順序。阻止繼承的意思是，默認(rèn)情況下應(yīng)用到父OU的組策略會繼承到子OU上面，但如果子OU不想的話，可以配置成“阻止繼承”，這樣所有的應(yīng)用到父OU的組策略就都不會影響到子OU了。但是如果應(yīng)用到父OU的組策略是“強制”的話，子OU就必須繼承父OU的組策略了，即使子OU設(shè)置了“阻止繼承”也不行。如果子OU的組策略中有與帶有“強制”屬性的父OU的組策略相沖突的設(shè)置，則帶有“強制”屬性的父OU的組策略會覆蓋掉子OU的組策略中與其相沖突的設(shè)置。實驗設(shè)備：PC機及Windows2003系統(tǒng)及帶活動目錄的Windows2003系統(tǒng)（文件系統(tǒng)要求為NTFS格式）實施過程：1、本地組策略我們先通過本地組策略來熟悉一下組策略的作用，開機進入非活動目錄的“Windows2003”Window2003系統(tǒng)，系統(tǒng)默認(rèn)已經(jīng)安裝了組策略程序，在“開始”菜單中，單擊“運行”命令項，輸入gpedit.msc并確定，打開當(dāng)前的計算機的組策略對象，觀察本地組策略的組成和設(shè)置。在組策略編輯器中做以下實例：注意：做以下實訓(xùn)時必須用administrator賬戶登錄。（1）設(shè)置本地磁盤配額a.打開本地磁盤屬性→配額→不啟用磁盤配額。b.打開本地計算機策略→計算機配置→管理模板→系統(tǒng)→磁盤配額，在右邊的窗口中選擇“啟用磁盤配額”雙擊，選擇：啟用，確定退出。觀察本地磁盤屬性中磁盤配額的變化。圖13-18組策略實現(xiàn)啟用磁盤配額（2）啟用“登錄屏幕”上不顯示上次登錄的用戶名a.“計算機配置→安全設(shè)置→本地策略→安全選項”的順序查找，雙擊該選項，選擇“啟用”。圖13-19組策略實現(xiàn)不顯示上次登錄用戶名b.注銷當(dāng)前用戶名，運行登陸窗口，看有何變化。（3）設(shè)置帳戶鎖定a.建立標(biāo)準(zhǔn)本地用戶，用戶名：std,密碼：std168@;密碼永久有效。b.“計算機配置→安全設(shè)置→帳戶策略→帳戶鎖定策略”雙擊帳戶鎖定閾值，將對話框的數(shù)值設(shè)置為3→確定圖13-20組策略實現(xiàn)賬戶鎖定c.雙擊設(shè)置帳戶鎖定時間為5分鐘；d.雙擊設(shè)置復(fù)位帳戶鎖定計數(shù)器為5分鐘之后；e.退出設(shè)置，注銷administrator。以std用戶登陸。在登陸時故意輸入3次錯誤密碼，在試圖用正確的密碼登陸，觀察有何效果。f.如用戶被鎖定觀察5分鐘后是否能夠繼續(xù)登陸。注銷當(dāng)前用戶，以administrator登陸，打開本地策略。（4）“桌面”設(shè)置打開位置：“組策略控制臺→用戶配置→管理模板→桌面”a.隱藏桌面上的“網(wǎng)上鄰居”圖標(biāo)，只要在右側(cè)窗格中將“隱藏桌面上‘網(wǎng)上鄰居’圖標(biāo)”這個策略選項啟用即可；圖13-21組策略實現(xiàn)隱藏“網(wǎng)上鄰居”b.啟用“刪除桌面上的‘我的文檔’圖標(biāo)”和“刪除桌面上的‘我的電腦’圖標(biāo)”兩個選項。c.觀察桌面變化，注銷administrator，以std登陸，觀察桌面。注銷當(dāng)前用戶，以administrator登陸，打開本地策略。（5）禁止“注銷”和“關(guān)機”當(dāng)計算機啟動以后，如果你不希望這個用戶再進行“關(guān)機”和“注銷”操作，那么可進入“組策略控制臺→用戶配置→管理模板→任務(wù)欄和開始菜單”將組策略控制臺右側(cè)窗格中的“刪除開始菜單上的‘注銷’”和“刪除和阻止訪問‘關(guān)機’命令”兩個策略啟用。圖13-22組策略實現(xiàn)刪除“關(guān)機”項這個設(shè)置會從開始菜單刪除“關(guān)機”選項，并禁用“Windows任務(wù)管理器”對話框按“Ctrl+Alt+Del”會出現(xiàn)這個對話框中的“關(guān)機”選項。另外需要注意的是，此設(shè)置雖然可防止用戶用Windows界面來關(guān)機，但無法防止用戶用其他第三方工具程序來將Windows關(guān)閉。提示：如果啟用了“刪除開始菜單上的‘注銷’”，則會從“開始菜單選項”刪除“顯示注銷”項目。用戶無法將“注銷<用戶名>”項目還原到開始菜單（只能通過手工修改注冊表的方法）。這個設(shè)置只影響開始菜單，它不影響“Windows任務(wù)管理器”對話框上的“注銷”項目（因此需要同時啟用“刪除和阻止訪問‘關(guān)機’命令”），而且不妨礙用戶用其它方法注銷。(6)還原桌面上的“網(wǎng)上鄰居”和開始菜單中的“關(guān)機”選項(7）嘗試更改其他策略設(shè)置（3-5種），觀察有什么影響。以上是關(guān)于本地計算機組策略的配置?？梢詰?yīng)用于WIN2003、WindowsXp、Windows2000操作系統(tǒng)。我們通過上述實訓(xùn)對組策略的組成和設(shè)置有了一個初步認(rèn)識。

2、進入到帶活動目錄的Windows2003系統(tǒng)，設(shè)置基于域或組織單元等的組策略可以采用GPMC工具來設(shè)置組策略，也可以利用“活動目錄用戶和計算機”來設(shè)置組策略。

點擊【開始】→【程序】→【管理工具】→【活動目錄用戶和計算機】→雙擊域名→在某組織單元中單擊鼠標(biāo)右鍵→【屬性】→【組策略】→【新建】（命名：newtestpolicy）→【編輯】→【用戶配置】→【W(wǎng)indows配置】→【腳本（登錄注銷）】→【登錄】，如圖所示：圖13-23組策略實現(xiàn)登錄腳本設(shè)置登錄腳本：是針對一個用戶設(shè)置的，也就是若某個用戶被指派了登錄腳本。則當(dāng)其登錄時，此腳本就會自動被執(zhí)行。用記事本