【Windows Server 2019】组策略的配置与管理——配置基于本地的组策略
2. 配置基于本地的组策略
基于本地的组策略只作用于本计算机及其上的用户,对其他计算机和用户不生效。
实验环境:一台Windows Server 2019服务器。
实验方式:使用5个实例来验证本地组策略设置对本地工作环境的影响。
子任务:通过本地组策略设置,实现下面的功能。
- (1)禁止本机用户编辑注册表。
- (2)禁用Windows Server 2019服务器的【关闭事件追踪程序】。
- (3)禁用互联网属性对话框中的【安全】选项卡。
- (4)禁止本机用户使用命令提示符。
- (5)对可移动磁盘进行权限设置。
2.1 打开本地组策略编辑器
使用【win + r】快捷键,打开【运行】对话框,输入命令:gpedit.msc。
(1)禁止本机用户编辑注册表
注册表编辑器是编辑Windows系统注册表的工具。
注册表打开方式:使用【win + r】快捷键,打开【运行】对话框,输入命令:regedit.msc。
即可打开注册表编辑器。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【用户配置】——>【管理模版】——>【系统】,找到【阻止访问注册表编辑工具】,双击打开。
选择【已启用】,点击【确定】即可。
验证:
再次打开注册表编辑器,在【运行】中输入 regedit 后弹出告警提示:注册表编辑器已被管理员禁用。
(2)禁用Windows Server 2019服务器的【关闭事件追踪程序】
Windows Server 2019 服务器的关闭事件追踪程序要求用户在关机时提供关机原因。如果用户不希望每次关机时都需要提供关机原因,可以通过本地组策略设置,来禁用本地关闭事件追踪程序。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【计算机配置】——>【管理模版】——>【系统】,找到【显示【关闭事件跟踪程序】】,双击打开。
该选项默认开启,所以选择【已禁用】,点击【确认】。
验证:
再次关机时,系统不会提示需要确认关机原因,而是直接关机。
(3)禁用互联网属性对话框中的【安全】选项卡
查看互联网属性对话框中的【安全】选项卡。
打开【控制面板】——>【网络和互联网】,双击【互联网选项】,弹出的【互联网属性】对话框中正常包 含【常规】,【安全】,【隐私】、【内容】,【连接】,【程序】,【高级】7个选项卡。
如果不希望使用该计算机的用户设置与安全相关的选项,可以通过本地组策略设置来禁用本地安全选项卡。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【计算机配置】——>【管理模版】——>【Windows组件】——>【互联网 Explorer】——>【互联网控制面板】,找到【禁用安全页】,双击打开。
该选项默认禁用,所以选择【已开启】,点击【确认】。
验证:
再次打开互联网属性界面时,发现【互联网属性】对话框中只包含【常规】,【隐私】、【内容】,【连接】,【程序】,【高级】6个选项卡。
【安全】选项卡消失了。
(4)禁止本机用户使用命令提示符
命令提示符是为用户提供了一个命令行界面。用户可通过命令行运行程序和批处理文件,从而进行系统管理等。此外,命令提示符还支持管道和重定向功能。
**打开方式:**使用【win + r】快捷键,打开【运行】对话框,输入命令:cmd,点击确认,即可打开命令提示符。
如果不希望使用该计算机的用户使用命令提示符,可以通过本地组策略设置来禁用本地命令提示符。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【用户配置】——>【管理模版】——>【系统】,找到【阻止访问命令提示符】,双击打开。
选择【已启用】,点击【确认】。
验证:
再次打开cmd时,cmd.exe 提示:命令提示符已被系统管理员停用。
(5)对可移动磁盘进行权限设置
对于一些重要的,对外服务的服务器,可以通过设置可移动磁盘权限来限制可移动存储类的读、写和执行权限,以确保服务器的安全,防止病毒或木马通过可移动存储媒介感染服务器。
打开本地组策略编辑器,依次展开【本地计算机策略】——>【计算机配置】——>【管理模版】——>【系统】——>【可移动存储访问】。
限制可移动磁盘读取权限
找到【可移动磁盘:拒绝读取权限】,双击打开,选择【已启用】,点击【确认】。
验证:
将可移动硬盘连接到服务器中,双击可移动硬盘,系统弹出告警对话框:拒绝访问。
验证过后,重新找到【可移动磁盘:拒绝读取权限】,双击打开,选择【未配置】,点击【确认】。方便接下来的实验。
限制可移动磁盘写入权限
找到【可移动磁盘:拒绝写入权限】,双击打开,选择【已启用】,点击【确认】。
验证:
将可移动硬盘连接到服务器中,双击可移动硬盘,将桌面上的text文件复制到硬盘中,弹出告警提示:目标文件夹访问被拒绝。但是可以访问硬盘中的文件,可以将移动硬盘中的文件复制到服务器中。
参考资料
- [1]戴有炜,《2016 Windows Server 系统配置指南》,清华出版社,2018
- Microsoft Docs:Active Directory documentation
- Microsoft Docs:Active Directory Domain Services
- 【Windows Server 2019】组策略的配置与管理——理论
- 【Windows Server 2019】企业虚拟专用网络服务的配置
- 【Windows Server 2019】企业虚拟专用网络服务的配置
- 【Windows Server 2019】网络负载均衡服务配置与管理
- 【Windows Server 2019】网络负载均衡服务配置与管理
- 【Windows Server 2019】流媒体服务的配置与管理——
- 【Windows Server 2019】邮件服务器配置与管理——配
- 【Windows Server 2019】邮件服务器配置与管理——安
- 【Windows Server 2019】邮件服务器配置与管理——理
- 【Windows Server 2019】路由服务的配置和管理
湘公网安备 43102202000103号