系統(tǒng)組策略幾乎是各位網(wǎng)絡(luò)管理人員管理網(wǎng)絡(luò)時(shí)的必用利器之一，有關(guān)該利器的常規(guī)應(yīng)用技巧，相信許多人都已經(jīng)耳熟能詳了。
　　
　　但是筆者一直認(rèn)為，只要我們足夠細(xì)心、用心，就一定會(huì)從系統(tǒng)組策略中不斷挖掘出新的應(yīng)用技巧來。不信的話，就來看看下面的內(nèi)容吧，相信它們會(huì)幫助大家進(jìn)入一個(gè)新的應(yīng)用新“境界”!
　　
　　巧限程序，謹(jǐn)防“自鎖
　　
　　Windows服務(wù)器中有一個(gè)名為“只允許運(yùn)行Windows應(yīng)用程序”的組策略項(xiàng)目，一旦你將該項(xiàng)目啟用，同時(shí)限制好指定的程序可以運(yùn)行外，那么無論你是否在“只允許運(yùn)行程序列表”中，添加了gpedit.msc命令，只要“只允許運(yùn)行Windows應(yīng)用程序”的組策略項(xiàng)目生效，系統(tǒng)的組策略就會(huì)自動(dòng)“自鎖”，即使你在超級(jí)管理員帳號(hào)下使用“gpedit.msc”命令，也不能打開系統(tǒng)的組策略編輯窗口!那么有沒有一種辦法，既能限制應(yīng)用程序的運(yùn)行，又能防止系統(tǒng)組策略出現(xiàn)“自鎖”現(xiàn)象呢?答案是肯定的，你可以按照如下步驟來操作:
　　
　　首先依次單擊“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開系統(tǒng)組策略編輯窗口;
　　
　　依次展開該窗口中的“用戶配置”/“管理模板”/“系統(tǒng)”項(xiàng)目，在對(duì)應(yīng)“系統(tǒng)”項(xiàng)目右邊的子窗口中，雙擊“只運(yùn)行許可的Windows應(yīng)用程序”選項(xiàng)，在其后彈出的界面中，將“已啟用”選項(xiàng)選中。隨后，你將在對(duì)應(yīng)的窗口中看到“顯示”按鈕被自動(dòng)激活，再單擊“顯示”按鈕，然后繼續(xù)單擊其后窗口中的“添加”按鈕，再將需要運(yùn)行的應(yīng)用程序名稱輸入在添加設(shè)置框中，最后單擊“確定”按鈕;
　　
　　下面，請(qǐng)大家千萬不要將組策略編輯窗口立即關(guān)閉;然后打開系統(tǒng)運(yùn)行對(duì)話框，并在其中執(zhí)行“gpedit.msc”命令，此時(shí)你將發(fā)現(xiàn)系統(tǒng)組策略編輯程序已經(jīng)無法運(yùn)行了!不過，幸虧前面沒有將組策略編輯窗口關(guān)閉，現(xiàn)在你可以繼續(xù)在組策略編輯窗口中，雙擊剛才設(shè)置的“只允許運(yùn)行Windows應(yīng)用程序”項(xiàng)目，然后在彈出的策略設(shè)置窗口中，選中“未配置”選項(xiàng)，最后單擊一下“確定”按鈕，這樣就能實(shí)現(xiàn)既可以限制運(yùn)行應(yīng)用程序的目的，又能阻止系統(tǒng)組策略出現(xiàn)“自鎖”現(xiàn)象。
　　
　　小提示:要是你將指定的應(yīng)用程序名稱添加到“只允許運(yùn)行Windows應(yīng)用程序”列表中后，直接把組策略編輯窗口關(guān)閉的話，可以通過下面的步驟來進(jìn)行恢復(fù):
　　
　　重新將服務(wù)器系統(tǒng)啟動(dòng)一下，在啟動(dòng)的過程中不停地按下F8功能鍵，直到出現(xiàn)系統(tǒng)的啟動(dòng)菜單，然后執(zhí)行其中的“帶命令行提示的安全模式”命令，將服務(wù)器系統(tǒng)切換到命令行提示符狀態(tài);
　　
　　接下來在命令提示符下直接執(zhí)行mmc.exe字符串命令，在彈出的系統(tǒng)控制臺(tái)界面中，單擊“文件”菜單項(xiàng)，并從彈出的下拉菜單中單擊“添加/刪除管理單元”選項(xiàng)，再單擊其后窗口中的“獨(dú)立”標(biāo)簽，然后在如圖1所示的標(biāo)簽頁面中，單擊“添加”按鈕;
　　 　
　　下面，再依次單擊“組策略”、“添加”、“完成”、“關(guān)閉”、“確定”按鈕，這樣就能成功添加一個(gè)新的組策略控制臺(tái);以后，你就能重新打開組策略編輯窗口，然后按照上面的設(shè)置，實(shí)現(xiàn)既可以限制運(yùn)行應(yīng)用程序的目的，又能阻止系統(tǒng)組策略出現(xiàn)“自鎖”現(xiàn)象。
　　
　　隨心所欲，解除“自鎖”
　　
　　除了通過限制應(yīng)用程序運(yùn)行的策略外，還有許多操作都能使組策略在不經(jīng)意間就會(huì)發(fā)生“自鎖”現(xiàn)象。如果是其他因素造成組策略發(fā)生“自鎖”現(xiàn)象的話，我們?cè)撊绾屋p松解除呢?其實(shí)，所有對(duì)組策略的設(shè)置，都是基于系統(tǒng)注冊(cè)表>的，因此對(duì)組策略任意分支的設(shè)置，都會(huì)在注冊(cè)表的對(duì)應(yīng)分支中有所體現(xiàn);為此我們只要從修改注冊(cè)表出發(fā)，就能輕松破解組策略的“自鎖”現(xiàn)象:
　　
　　依次單擊“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“regedit”，單擊“確定”按鈕后，打開系統(tǒng)的注冊(cè)表編輯窗口;
　　
　　在該窗口中，依次展開注冊(cè)表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}，在隨后彈出的如圖2所示的窗口右側(cè)區(qū)域中，你將看到一個(gè)“Restrict_Run”鍵值;
　　 　
　　用鼠標(biāo)雙擊該鍵值，打開一個(gè)數(shù)值設(shè)置窗口，在其中輸入數(shù)字“0”，最后單擊“確定”按鈕;此后，當(dāng)你再次打開系統(tǒng)運(yùn)行對(duì)話框，并在其中執(zhí)行“gpedit.msc”命令時(shí)，你會(huì)發(fā)現(xiàn)自鎖的組策略編輯窗口，現(xiàn)在可以被輕松打開了。
　　
　　策略更改，即時(shí)生效
　　
　　無論是對(duì)于Windows 2003域還是Windows 2000域來說，一旦修改了域的默認(rèn)安全策略后，新的安全策略還不能立即生效，一般情況下需要過5到15分鐘左右的時(shí)間，Windows系統(tǒng)才會(huì)自動(dòng)更新系統(tǒng)組策略中的設(shè)置。那么有沒有辦法讓修改后的安全策略，能夠?qū)τ脩艋蚩蛻魴C(jī)立即生效呢?答案是肯定的，你可以按照下面的步驟來實(shí)現(xiàn):
　　
　　對(duì)于Windows 2000域來說，如果你想讓新修改的計(jì)算機(jī)策略立即生效的話，可以依次單擊“開始”/“運(yùn)行”命令，打開系統(tǒng)運(yùn)行對(duì)話框，并在其中輸入字符串命令“cmd ”，單擊“確定”按鈕后，將Windows系統(tǒng)切換到Ms-DOS工作模式下;
　　
　　接著在DOS命令提示符下，輸入字符串命令“secedit /refreshpolicy machine_policy /enforce”，單擊回車鍵后，新修改的安全策略將會(huì)立即生效;
　　
　　如果你想讓新修改的用戶策略立即生效的話，只要在DOS命令提示符下，執(zhí)行字符串命令“secedit /refreshpolicy user_policy /enforce”就可以了。
　　
　　對(duì)于Windows 2003域來說，如果你想讓新修改的計(jì)算機(jī)策略立即生效的話，可以依次單擊“開始”/“運(yùn)行”命令，打開系統(tǒng)運(yùn)行對(duì)話框，并在其中輸入字符串命令“cmd ”，單擊“確定”按鈕后，將Windows系統(tǒng)切換到Ms-DOS工作模式下;
　　
　　接著在DOS命令提示符下，輸入字符串命令“gpupdate /target:computer”，單擊回車鍵后，新修改的安全策略將會(huì)立即生效;
　　
　　如果你想讓新修改的用戶策略立即生效的話，只要在DOS命令提示符下，執(zhí)行字符串命令“gpupdate /target:user”就可以了。如果你想對(duì)計(jì)算機(jī)策略和用戶策略同時(shí)進(jìn)行更新的話，那你可以直接執(zhí)行字符串命令“gpupdate”就行了。
　　
　　不同用戶，不同權(quán)限
　　
　　也許你的服務(wù)器中包含有許多用戶，但為了保護(hù)服務(wù)器的安全，你希望這些用戶對(duì)服務(wù)器的訪問控制權(quán)限各不相同，以便日后服務(wù)器遇到意外時(shí)，你能根據(jù)權(quán)限高低的不同，就能快速地找到“從中作亂”的用戶。要想對(duì)不同的用戶，分配不同的訪問控制權(quán)限，只需要對(duì)服務(wù)器組策略進(jìn)行一下設(shè)置就可以了，下面就是具體的設(shè)置步驟:
　　
　　依次單擊“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開系統(tǒng)組策略編輯窗口;
　　
　　在該窗口中，依次展開其中的“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“用戶權(quán)利指派”項(xiàng)目;
　　
　　在對(duì)應(yīng)“用戶權(quán)利指派”項(xiàng)目的右側(cè)窗口區(qū)域中，你將看到有多種權(quán)利可供指派，如圖3所示。例如，要是你只想讓aaa用戶通過網(wǎng)絡(luò)連接方式來遠(yuǎn)程訪問服務(wù)器中的內(nèi)容，而不允許其在本地登錄服務(wù)器寫入內(nèi)容或執(zhí)行其中的應(yīng)用程序時(shí)，你可以先雙擊“拒絕本地登錄”權(quán)限;
　　 　
　　在其后打開的設(shè)置窗口中，單擊一下“添加”，然后選中aaa用戶所對(duì)應(yīng)的帳號(hào)名稱，再單擊一下“添加”，這樣aaa用戶日后就只能通過遠(yuǎn)程網(wǎng)絡(luò)來訪問服務(wù)器中的內(nèi)容了。
　　
　　同樣地你可以將本地登錄控制權(quán)限分配給bbb用戶，將文件或其他對(duì)象的所有權(quán)分配給ccc用戶等;一旦為不同用戶分配好了不同控制權(quán)限后，你日后就能根據(jù)權(quán)限級(jí)別的不同，來有針對(duì)性地管理和控制用戶了。例如，要是你發(fā)現(xiàn)服務(wù)器在沒有接入到網(wǎng)絡(luò)的時(shí)間內(nèi)，有人隨意向服務(wù)器中上傳非法信息而需要追究時(shí)，你可以很輕松地將aaa用戶排除在外，畢竟aaa用戶沒有這樣的“作案能力”!
　　
　　保護(hù)設(shè)置，避免沖突
　　
　　在局域網(wǎng)中常常會(huì)出現(xiàn)工作站IP地址被隨意修改，造成IP沖突現(xiàn)象的發(fā)生，從而影響局域網(wǎng)的運(yùn)行效率。盡管目前有許多方法可以避免IP地址發(fā)生沖突，但仔細(xì)推敲一下，你不難發(fā)現(xiàn)其中的一些方法對(duì)于一些菜鳥用戶來說，操作起來有點(diǎn)難度;其實(shí)借助組策略功能，你可以很輕松地限制局域網(wǎng)工作站的網(wǎng)絡(luò)配置參數(shù)被隨意修改，從而有效避免網(wǎng)絡(luò)中的IP地址發(fā)生沖突:
　　
　　依次單擊“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開系統(tǒng)組策略編輯窗口;
　　
　　依次展開該窗口中的“用戶配置”/“管理模板”/“網(wǎng)絡(luò)”/“網(wǎng)絡(luò)和撥號(hào)連接”策略項(xiàng)目，在對(duì)應(yīng)“網(wǎng)絡(luò)和撥號(hào)連接”策略的右側(cè)窗口區(qū)域中，雙擊一下“允許TCP/IP高級(jí)設(shè)置”項(xiàng)目;
　　
　　在彈出的如圖4所示的設(shè)置窗口中，將“禁用”選項(xiàng)選中，并單擊一下“確定”按鈕，這樣的話，任何一個(gè)工作站用戶日后打開TCP/IP屬性設(shè)置窗口時(shí)，將會(huì)發(fā)現(xiàn)無法進(jìn)入“高級(jí)”設(shè)置窗口，來修改工作站的IP地址或其他網(wǎng)絡(luò)參數(shù)，如此一來局域網(wǎng)中的IP地址就不大容易發(fā)生沖突了。
　　 　
　　強(qiáng)化審核，遠(yuǎn)離攻擊
　　
　　在缺省條件下，Windows 2003服務(wù)器沒有啟用任何一種安全審核手段，來保護(hù)服務(wù)器的安全，顯然這會(huì)給服務(wù)器帶來很大的安全隱患。為了避免服務(wù)器遭受攻擊，你只要對(duì)服務(wù)器中的組策略“動(dòng)動(dòng)手腳”，就能啟用好安全審核策略，保護(hù)好服務(wù)器的安全:
　　
　　依次單擊“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行框中，輸入字符串