啟動方式
開始選單->運行->輸入“gpedit.msc”->確定
直接打開:C:\WINNT\SYSTEM32\gpedit.msc
系統設定
禁止運行指定程式
系統啟動時一些程式會在後台啟動,這些程式通過“系統配置實用程式”(msconfig)的啟動項無法阻止,操作起來非常不便,通過組策略則非常方便,這對減少系統資源占用非常有效。通過啟用該策略並添加相應的應用程式,就可以限制用戶運行這些應用程式。具體步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在左邊的窗格依次單擊“用戶配置→管理模板→系統”,然後在右邊的窗格雙擊“不要運行指定的Windows應用程式”(如圖1所示)。
圖1雙擊“不要運行指定的Windows應用程式”
(3)選中“已啟用”,單擊“顯示”按鈕(如圖2所示),添加要阻止的程式如“Wgatray.exe”即可。
圖2添加要阻止的程式
當用戶試圖運行包含在不允許運行程式列表中的應用程式時,系統會提示警告信息。把不允許運行的應用程式複製到其他的目錄和分區中,仍然是不能運行的。要恢復指定的受限程式的運行能力,可以將“不要運行指定的Windows應用程式”策略設定為“未配置”或“已禁用”,或者將指定的應用程式從不允許運行列表中刪除(這要求刪除後列表不會成為空白的)。
這種方式只阻止用戶運行從Windows資源管理器中啟動的程式,對於由系統過程或其他過程啟動的程式並不能禁止其運行。該方式禁止應用程式的運行,其用戶對象的作用範圍是所有的用戶,不僅僅是受限用戶,Administrators組中的賬戶甚至是內建的administrator帳戶都將受到限制,因此給管理員帶來了一定的不便。當管理員需要執行一個包含在不允許運行列表中的應用程式時,需要先通過組策略編輯器將該應用程式從不運行運行列表中刪除,在程式運行完成後,再將該程式添加到不允許運行程式列表中。需要注意的是,不要將組策略編輯器(gpedit.msc)添加到禁止運行程式列表中,否則會造成組策略的自鎖,任何用戶都將不能啟動組策略編輯器,也就不能對設定的策略進行更改。
提示:如果沒有禁止運行“命令提示符”程式的話,用戶可以通過cmd命令,從“命令提示符”運行被禁止的程式,例如,將記事本程式(notepad.exe)添加不運行列表中,通過桌面和選單運行該程式是被限制的,但是在“命令提示符”下運行notepad命令,可以順利的啟動記事本程式。因此,要徹底的禁止某個程式的運行,首先要將cmd.exe添加到不允許運行列表中。
如果禁止程式後組策略無法使用可以通過以下方法來恢復設定:重新啟動計算機,在啟動選單出現時按F8鍵,在Windows高級選項選單中選擇“帶命令行提示的安全模式”選項,然後在命令提示符下運行mmc.exe。
在打開的“控制台”視窗中,依次點擊“檔案→添加/刪除管理單元→添加→組策略→添加→完成→關閉→確定”,添加一個組策略控制台,接下來把原來的設定改回來,然後重新進入Windows即可。
鎖定註冊表編輯器
註冊表編輯器是系統設定的重要工具,為了保證系統安全,防止非法用戶利用註冊表編輯器來篡改系統設定,首先必須將註冊表編輯器予以禁用。具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)依次展開“用戶配置→管理模板→系統”。
(3)在右側窗格中雙擊“阻止訪問註冊表編輯工具”策略(如圖3所示)。
圖3阻止訪問註冊表編輯工具
(4)在彈出的對話框中,選擇“啟用”,將“是否禁用無提示regedit?”選擇“是”(如圖4所示),按“確定”即可。
圖4雙擊“阻止訪問註冊表編輯工具”
此策略被啟用後,用戶試圖啟動註冊表編輯器(Regedit.exe 及 Regedt32.exe)的時候,系統會禁止這類操作並彈出警告訊息。
若要防止用戶使用其他管理工具,請使用“只運行指定的 Windows 應用程式”設定。
提示:解除註冊表鎖定與禁用註冊表編輯器方法步驟相同,雙擊右側窗格中的“阻止訪問註冊表編輯器”,在彈出的視窗中選擇“已禁用”或“未配置”,點擊“確定”按鈕後退出組策略編輯器,即可為註冊表解鎖。
這項設定是一把雙刃劍:如果設為“已禁用”,則有一些正常軟體(大部分軟體需要與註冊表打交道)有可能不能使用,甚至無法安裝;如果設定為“已啟用”,則在防毒軟體的監護之外,為惡意程式留下隱患。
阻止訪問命令提示符
命令提示符下有許多危險的操作,要阻止非法用戶使用命令提示符視窗(Cmd.exe),遠離各種不可預料的風險,具體步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→系統”,在右側窗格中雙擊“阻止訪問命令提示符”(如圖5所示),打開目標策略屬性設定對話框。
圖5雙擊“阻止訪問命令提示符”
(3)在“阻止訪問命令提示符”屬性對話框中勾選已啟用(如圖6所示),按“確定”即可。
圖6“阻止訪問命令提示符”屬性對話框
如果啟用這個設定,用戶試圖打開命令視窗,系統會顯示一個訊息,解釋設定阻止這種操作。這個設定還決定批處理檔案(.cmd和.bat)是否可以在計算機上運行。
提示:如果計算機使用登錄、註銷、啟動或關閉批檔案腳本,不能防止計算機運行批處理檔案;也不能防止使用終端服務的用戶運行批處理檔案。
禁止修改系統還原
“系統還原”是Windows 7的一項很重要的功能,如果您對計算機的安全性要求很高,或是計算機是一台公用的計算機,有很多人會去使用,那么為了保證系統的可操作性,將“系統還原”所占用的磁碟空間設定得大一些很有必要。但是如果這個設定被人更改,就會造成以前創建的還原點中信息的丟失。
您可以在“組策略”中禁止對“系統還原”的配置進行修改。具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模板→系統→系統還原”,在右側窗格中雙擊“關閉配置”(如圖7所示),打開目標策略屬性設定對話框。
圖7雙擊“關閉配置”
(3)在“關閉配置”屬性對話框中勾選“已啟用”,按“確定”。“系統還原”配置界面上配置系統還原的選項就會消失。如果選擇“已禁用”(如圖8所示),則仍可看見配置界面,但是,所有系統還原配置默認值都有效。
圖8“關閉配置”屬性對話框
注意:該配置必須重新啟動計算機才會生效。
設定虛擬記憶體頁面
對於重要檔案,您可以通過加密和設定許可權以禁止其他無關人員訪問,不過您可知道,如果真的有必要,他人完全可以通過其他途徑獲得您的機密信息,那就是虛擬記憶體頁面檔案。虛擬記憶體頁面檔案作為物理記憶體的補充,用途是在硬碟和記憶體之間交換數據,而虛擬記憶體頁面檔案本身就是硬碟上的一個檔案,它位於系統所在硬碟分區的根目錄中,檔案名稱為pagefile.sys。一般情況下,當您運行程式時,這些程式的一部分內容可能會被臨時保存到分頁檔案上,而如果您編輯完這個檔案後立刻就關閉了系統,那么檔案的一些內容仍然有可能被保存在虛擬記憶體頁面檔案中。在這種情況下,如果有人得到了這台電腦的硬碟,那么只要把硬碟拆出來,利用特殊的軟體,就可以將虛擬記憶體頁面檔案中的機密信息讀取出來。通過配置組策略,您可以避免這種潛在的危險。
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→Windows設定→安全設定→本地策略→安全選項”,在右側窗格中雙擊“關機:清除虛擬記憶體頁面檔案” (如圖9所示),打開目標策略屬性設定對話框。
圖9雙擊“關機:清除虛擬記憶體頁面檔案”
(3)在“關機:清除虛擬記憶體頁面檔案”屬性對話框中勾選“已啟用”(如圖10所示),按“確定”即可。
圖10“關機:清除虛擬記憶體頁面檔案”屬性對話框
啟用這個策略後,關機的時候系統會將分頁檔案中的所有內容都用“0”或者“1”寫滿,這樣所有的信息自然也都會消失。
提示:這樣做會減慢系統的關閉速度,如果不是非常必要,不建議您啟用這個策略。
防止選單泄漏隱私
在「開始」選單中有一個“我最近的文檔”選單項,可以記錄您曾經訪問過的檔案。這個功能可以方便用戶再次打開該檔案,但別人也可通過此選單訪問您最近打開的文檔,為安全起見,可禁止此項功能。具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→「開始」選單和系統列”,分別在右側窗格中雙擊“不要保留最近打開文檔的歷史”和“退出時清除最近打開的文檔的歷史”(如圖11所示),打開目標策略屬性設定對話框。
圖11雙擊“退出時清除最近打開的文檔的歷史”
(3)分別在“不要保留最近打開文檔的歷史”和“退出時清除最近打開的文檔的歷史”屬性對話框中勾選“已啟用”,按“確定”即可。
如果啟用“退出時清除最近打開的文檔的歷史”設定,系統就會在用戶註銷時刪除最近使用的文檔檔案的捷徑。因此,用戶登錄時,「開始」選單上的“最近的項目”選單總是空的。如果禁用或不配置此設定,系統就會保留文檔捷徑,這樣用戶登錄時,“最近的項目”選單中的內容與用戶註銷時一樣。
提示:系統在“系統驅動器\Documents and Settings\用戶名\我最近的文檔”資料夾中的用戶配置檔案中保存文檔捷徑。
當沒有選擇“從開始選單刪除最近的項目選單”和“不要保留最近打開的文檔的歷史”策略任何一個相關設定時,此項設定才能使用。
別讓搜尋泄露隱私
快捷搜尋框是Windows 7的一大特色,尤其在執行資料夾搜尋時非常方便。不過這一功能有時也特別令人尷尬,那就是會自動保存下所有歷史搜尋,而且並沒有提供清除功能,其中一些隱私內容就會揮之不去。
使用組策略隨時清空搜尋歷史是一個很好的補救措施,具體步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,在右側窗格中雙擊“在Windows資源管理器搜尋框中關閉最近搜尋條目的顯示”(如圖12所示),打開目標策略屬性設定對話框。
圖12雙擊“在Windows資源管理器搜尋框”
(3)選擇“已啟用”(如圖13所示),按“確定”之後搜尋歷史即被清空,當然以後也就不會自動保存了。
圖13選擇“已啟用”
設定桌面小工具
現在的病毒和木馬真是十分的狡猾,竟然能夠利用桌面小工具(Windows Vista中稱邊欄小工具)入侵系統,雖然系統能夠檢測到如:“天氣與生活”這款小工具沒有得到微軟認可的有效數字簽名,但用戶只要單擊“安裝”按鈕,即可順利完成安裝進程。如何防止這些沒有簽證的桌面小工具給系統可能帶來的潛在危險呢?通過組策略可以拒絕使用沒有簽證的桌面小工具,具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模組→windows組件→桌面小工具”,在右側窗格中雙擊“限制未經數字簽名的小工具的解包和安裝”(如圖14所示),打開目標策略屬性設定對話框。
圖14雙擊“限制未經數字簽名的小工具的解包和安裝”
(3)在“限制未經數字簽名的小工具的解包和安裝”屬性對話框中勾選“已啟用”(如圖15所示),按“確定”,則 Windows 桌面小工具不會提取未經數字簽名的任何小工具。
圖15“限制未經數字簽名的小工具的解包和安裝”
提示:默認情況下,Windows 桌面小工具是可以安裝未簽名的工具軟體,但是如果啟用上述設定,Windows桌面小工具將不會再允許用戶安裝未經簽名的軟體,包括一些壓縮檔案。這將給用戶的系統帶來一定的安全保障。
完全禁止使用隨身碟
現在隨身碟已經相當普及,電腦裡面的資料很容易被複製,這對電腦中的資料無疑是一種威脅。如果您的電腦中有一些重要的資料,那就要小心了。難道要把USB連線埠給拆下來嗎?當然不是。其實運用Windows 7系統本身的禁止使用USB設備的功能,就能徹底解決這一問題。具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模板→系統→可移動存儲訪問”,在右側窗格中雙擊“所有可移動存儲類:拒絕所有許可權”,打開目標策略屬性設定對話框(如圖16所示)。
圖16打開“所有可移動存儲類:拒絕所有許可權”
(3)在“所有可移動存儲類:拒絕所有許可權”屬性對話框中勾選“已啟用”(如圖17所示),按“確定”按鈕就可以完全禁止USB存儲類設備了。
圖17“所有可移動存儲類:拒絕所有許可權”屬性框
10.禁止數據寫入隨身碟
如果您不準備完全禁止USB設備,希望能讀取隨身碟的內容,只是禁止數據寫入隨身碟。具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模板→系統→可移動存儲訪問”,在右側窗格中雙擊“可移動磁碟:拒絕寫入許可權”(如圖18所示),打開目標策略屬性設定對話框。
圖18雙擊“可移動磁碟:拒絕寫入許可權”
(3)在“可移動磁碟:拒絕讀取許可權”屬性對話框中勾選“已啟用”(如圖19所示),按“確定”按鈕即可。
圖19“可移動磁碟:拒絕讀取許可權”屬性對話框
提示:以上對隨身碟進行了禁止寫入設定。如果要隨身碟禁止讀取,而允許寫入數據,那可以啟用“可移動磁碟:拒絕讀取許可權”來實現。
11.允許識別指定隨身碟
以上“禁止使用隨身碟”和 “禁止數據寫入隨身碟”兩項設定,在保護自己電腦資料的同時也給自己帶來了很大的不便,如何讓系統只能使用指定的隨身碟或者移動硬碟呢?通過組策略“允許識別指定隨身碟”可能解決這一問題。操作步驟如下:
(1)把隨身碟插入到Windows 7系統的USB接口中,讓系統可以正常使用隨身碟,接著進入“控制臺”,雙擊“硬體和聲音”、“設備管理器”(如圖20所示)。
圖20雙擊“硬體和聲音”、“設備管理器”
(2)展開“便攜設備”,可以看見裡面有您剛剛插入的隨身碟,在上麵點擊滑鼠右鍵來選擇“屬性”(如圖21所示)。
圖21展開“便攜設備”
(3)在彈出的“屬性”視窗中點擊“詳細信息”標籤,然後在設備“屬性”下拉框中選擇“硬體 ID”,下面的“值”中會出現字元串,這個就是您的隨身碟的硬體ID,把它複製出來保存好。
(4)複製“通用串列匯流排控制器”中“USB大容量存儲設備”的硬體ID,在“設備管理器”中展開“通用串列匯流排控制器”列表,找到“USB大容量存儲設備”(如圖22所示)。
圖22找到“USB大容量存儲設備”
(5)在它的“屬性”視窗中點擊“詳細信息”標籤,複製出它的硬體ID(如圖23所示)。
圖23複製出隨身碟硬體ID
(6)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。依次展開“計算機配置→管理模板→系統→設備安裝→設備安裝限制”(如圖24所示)。
圖24雙擊“禁止安裝未由其他策略設定描述的設備”
(7)雙擊右側的“禁止安裝未由其他策略設定描述的設備”,在彈出的視窗中選擇“已啟用”,再點擊“確定”按鈕,設定它可以來禁止策略沒描述的USB設備(如圖25所示)。
圖25禁止安裝未由其他策略設定描述的設備
(8)雙擊右側的“允許安裝與下列設備ID相匹配的設備”(如圖26所示),在彈出的視窗中選擇“已啟用”,單擊“顯示”按鈕,將允許安裝的隨身碟的硬體ID貼上到其中,再點擊“確定”按鈕。
圖26允許安裝與下列設備ID相匹配的設備
12.禁止光碟自動播放
光碟自動播放雖然能給您帶來了許多便利,但有些時候也會帶來不少麻煩。默認狀態下,當您將光碟插入光碟機時,系統就會自動讀取光碟機,並啟動autorun.inf指定的應用程式。這一默認狀態對系統來說是極不安全的,說不定自動運行的是一個木馬程式。有時插入光碟僅僅是想查看一下光碟中的內容,自動播放功能會使您這一簡單想法的實現變得複雜。關閉光碟自動播放實屬明智之舉。用組策略可以關閉光碟自動播放功能,具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→windows組件→自動播放策略”,在右側窗格中雙擊“關閉自動播放”(如圖27所示),打開目標策略屬性設定對話框。
圖27雙擊“關閉自動播放”
(3)在“關閉自動播放”屬性對話框中勾選“已啟用”(如圖28所示),在“關閉自動播放”框中選擇“CD-ROM啟動器”或“所有驅動器”項按“確定”即可。
圖28“關閉自動播放”對話框
注意:插入光碟時按住shift鍵可禁止光碟自動播放。這種方式最好能成為使用陌生光碟時的一種操作習慣。此設定不阻止自動播放音樂CD。
13.禁止安裝移動設備
如果不希望其他人在您的電腦上隨便使用移動設備,則可以通過組策略禁止安裝可移動設備。具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“計算機配置→管理模組→系統→設備安裝→設備安裝限制”,在右側窗格中雙擊“禁止安裝可移動設備”(如圖29所示),打開目標策略屬性設定對話框。
圖29雙擊“禁止安裝可移動設備”
(3)在屬性對話框中勾選“已啟用”並按“確定”。如果啟用了此設定,則不會安裝可移動設備,而且無法更新現有可移動設備的驅動程式。
如果未配置或禁用了此設定,那么,只要其他策略設定允許安裝設備,就可以安裝可移動設備和更新現有的可移動設備。
提示:此策略設定比允許安裝設備的任何其他策略設定的優先權都高。如果此策略設定禁止安裝某個設備,那么,即使該設備與允許安裝它的其他策略設定相匹配,也將無法安裝或更新該設備。
對於此策略,當設備所連線到的設備驅動程式該設備可移動時,設備被認為是可移動設備。例如,設備連線到的 USB 集線器的驅動程式報告某個通用串列匯流排(USB)設備是可移動設備。
如果此計算機是一台終端伺服器,則啟用此策略還會影響指定的設備從終端服務客戶端重定向到此計算機。
注意:禁止安裝可移動設備對提高系統安裝性能非常有效,使用此設定可防止可移動設備如隨身碟的使用。
14.限制使用驅動器
若要防止用戶使用“我的電腦”訪問所選驅動器的內容,可按以下步驟操作:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,在右側窗格中雙擊“防止用戶使用‘我的電腦’訪問所選驅動器的內容”,打開目標策略屬性設定對話框。
(3)在“防止用戶使用‘我的電腦’訪問所選驅動器的內容”屬性對話框中勾選“已啟用”,並在下面列表框中選擇一個驅動器或幾個驅動器,按“確定”即可。
如果啟用此設定,則用戶可以瀏覽“我的電腦”或 Windows 資源管理器中所選驅動器的目錄結構,但是無法打開資料夾或訪問其中的內容。此外,他們也無法使用“運行”對話框或“映射網路驅動器”對話框來查看這些驅動器上的目錄。
若要使用此設定,請從下拉列表中選擇一個驅動器或多個驅動器的組合。若要允許訪問所有驅動器目錄,請禁用此設定或從下拉列表中選擇“不限制驅動器”選項。
注意: 代表指定驅動器的圖示仍會出現在“我的電腦”中,但是如果用戶雙擊這些圖示,則會出現一條訊息來解釋設定防止這一操作。
右側窗格中“隱藏‘我的電腦’中的這些指定的驅動器”可配合使用,此組策略可以從“我的電腦”和“Windows 資源管理器”上刪除代表所選硬體驅動器的圖示。並且驅動器號代表的所有驅動器不出現在標準的打開對話框上。這項策略只刪除驅動器圖示。用戶仍可通過使用其它方式繼續訪問驅動器的內容。同時這項策略不會防止用戶使用程式訪問這些驅動器或其內容。並且也不會防止用戶使用磁碟管理即插即用來查看並更改驅動器特性。
15.我的桌面你別改
若要禁止別人改動桌面某些設定,防止用戶保存對桌面進行的某些更改。具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)依次展開“用戶配置→管理模板→桌面”,然後在右側對話框中選中並雙擊“退出時不保存設定”。
(3)在彈出的對話框中點選“已啟用”,按確定,用戶將不能保存對桌面的更改。
如果啟用了此設定,那么,用戶可以更改桌面,但是某些更改(如已打開視窗的位置、系統列的大小及位置)在用戶註銷後不會保存。但是,桌面上的捷徑始終得以保存。
時,許多黃色或是暴力的內容會進入我們的視野,雖然有第三方軟體和利用分級審查功能可以阻止這些內容,但只要擁有管理員許可權,分級審查是可以更改的。利用組策略,可以禁止更改分級審查。具體操作步驟如下:
(1)打開「開始」選單,在“搜尋程式和檔案”搜尋框中輸入“gpedit.msc”並回車,打開組策略對象編輯器。
(2)在組策略對象編輯器窗格左側的樹形圖中依次展開“用戶配置→管理模板→Windows組件→Internet Explorer”,在右側窗格中雙擊“禁用更改分級設定”,打開目標策略屬性設定對話框。
(3)在“禁用更改分級設定”屬性對話框中勾選“已啟用”,按“確定”即可禁止更改分級審查。
提示:禁用更改分級審查的前提是分級審查的設定已經完成。“禁用分級頁”策略(位於“\用戶配置\管理模板\Windows 組件\Internet Explorer\Internet 控制臺”中)可以在“控制臺”中,將“分級”選項卡從“Internet Explorer”刪除,它優先於此策略。如果已啟用,則會忽略此策略。
解決方法
方法1
將Framedyn.dll檔案從C:\Windows\System32\drivers目錄下拷貝到C:\Windows\System32目錄下,再重新註冊一下gpedit.dll。方法:是【開始】—>【運行】輸入regsvr32空格gpedit.dll後回車看看提示是否註冊成功。
方法2
1、在【開始】—>【運行】中依次運行以下命令:“regsvr32 fde.dll”、“regsvr32gpedit.dll”、“regsvr32 gptext.dll”、 “regsvr32 wsecedit.dll”分別註冊這4個動態資料庫。
2、最後單擊【開始】—>【運行】輸入“gpedit.msc”便可以啟動組策略了。
常用命令
Get-GPO
Get-GPO命令可以檢索到每一個組策略對象(GPO)的所有信息。而且可以根據GPO的名稱,GPO的GUID來檢索組策略信息,也可以使用-all選項來檢索域中的所有組策略。雖然通過GPMC也能獲取這些信息,但是命令的輸出還能列出一些通常會錯過的信息,如GPO的所有者,創建時間,最後的修改時間以及啟用還是禁用的信息。在網路中對於組策略問題進行排錯時,這些信息將至關重要。
Backup/Restore-GPO
雖然可以通過系統狀態的備份來對GPO進行備份,但是通過一個專門的任務對組策略進行單獨備份也是一個不錯的主意,畢竟這會讓GPO的恢復變得更加容易。幸運的是,使用PowerShell命令backup-GPO就可以做到。與Get-GPO協作,可以根據GPO的名稱,GUID或者使用-all選項來指定備份的GPO。這個命令最有用的部分是可以使用PowerShell腳本來定時進行備份:
Backup-Gpo -Name CompanyGPO -Path C:\GPO-Backup -Comment "Monthly Backup"
Restore-GPO命令可以將GPO還原到指定的域。然而,如果使用backup-GPO和restore-GPO命令來遷移組策略對象,需要保證Windows Server2008作業系統版本的一致性。也就是說,Windows Server 2008 R2的GPO將只能由Windows Server 2008 R2進行恢復。
Get-ResultantSetOfPolicy
很久以前,GPMC就都可以提供組策略的結果報告,這對於組策略的規劃和記錄來說都是一個非常有用的工具。如果你使用PowerShell命令get-ResultantSetOfPolicy,也可以迅速得到組策略的結果,而且報告可以是HTML的格式。例如,如果你想檢查一個特定的用戶在特定的計算機上組策略設定的結果,可以運行以下的命令,命令的結果會產生一個所有信息的HTML文檔:
Get-GPResultantSetofPolicy -user domain\domain.user -reporttype html -path c:\GPO-Reports\UserGPOReport.html
使用所有提到的cmdlet,PowerShell還能夠提供一種額外的管理能力,那就是將這些命令腳本化,並按照計畫執行,這樣就可以更有效的監控組策略基礎架構的運行狀況。
Set/Remove – GPLink
GPLink的cmdlet可以創建和刪除GPO與OU之間的關聯關係。雖然在GPMC中執行這項任務也非常容易,但是cmdlet還可以提供另一個方便的管理工具。假如需要一個GPO只是在每個月的某一天運行,其它時間禁止運行。可以在這一天計畫運行GP link命令將GPO和需要的OU關聯起來,並在這一天結束前將GPO的關聯刪除,整個過程系統自動處理,無需手工運行。還可以使用其它GPO命令與GPLink的cmdlet進行組合,通過使用管道命令執行remote-GPLink,以下示例就是如何指定一條組策略或繼承組策略,然後刪除其連結:
(Get-GPInheritance -Target "ou=CompanyOU,dc=domain,dc=com").GpoLinks | Remove-GPLink
Get-GPPermissions
組策略有時會套用失敗的原因之一是因為在GPO上不正確的許可權設定。Get-GPPermissions cmdlet會生成詳細的報告,報告中會顯示GPO的訪問控制列表(ACL)以及套用的許可權。所以,如果想準確的了解誰對某個GPO有許可權,可以使用下列命令:
Get-GPPermissions -Name CompanyGPO -TargetName "Company" - TargetType Group
命令會給出以下的輸出:
Trustee: Domain Users
TrusteeType: Group
PermissionLevel: GpoRead
Inherited: False