關於組策略配置

2021-09-06 19:53:11 字數 1668 閱讀 4520

一、rsop自動檢測法

要想恢復組策略的設定,最簡單的方法無非是逐一檢視策略專案。在預設情況下,策略專案的「狀態」顯示應為「未被配置」(如圖1)。如果被他人進行了更改,則會顯示「已啟用」或「已禁用」的提示。不過組策略中的設定項「多如牛毛」,想要在眾多項中找到被修改的位置,顯然太過費時費力,這時不妨試試簡單易用的rsop.msc工具。

圖1 rsop.msc是組策略的乙個附加程式,通過該程式可檢視到所有已經設定的rsop(策略結果集)。只要在「執行「欄中執行「rsop.msc」命令,即可開啟rsop管理視窗,接著系統會自動蒐集策略資訊。只需幾秒鐘,便會彈出乙個策略的結果集視窗,其中將顯示出已經過設定的策略資訊組,依次展開右側視窗中的設定項,即可在其中看到經過修改的組策略項了。比如這裡就顯示出了使用者曾在組策略編輯器中,設定了「從『開始』選單中刪除『執行』選單」等項(如圖2)。

圖2 如果在系統中設定了多個組策略物件,可在策略結果集視窗中右鍵單擊「計算機配置」或「使用者配置」,再選擇「屬性」。然後在開啟的屬性視窗中選擇組策略物件,比如「local group policy」(本地策略物件),單擊右下角的「編輯」按鈕開啟組策略編輯器,最後在此進行設定修改即可。

二、gpresult命令列術

其實,組策略設定的基本原理,就是修改登錄檔中相應的配置專案,從而達到配置系統的目的。也就是說,知道了登錄檔中的改動,也就等同於獲得了組策略的修改位置。那麼如何了解到組策略修改的登錄檔專案呢?這時,老鳥會用到乙個名為gpresult.exe的小工具。

使用windows xp自帶的gpresult.exe命令列工具可以顯示詳細的策略結果。其使用方法也比較簡單。比如要顯示當前系統的組策略結果並輸出到乙個文字檔案(gpr.txt)中,可以開啟「命令提示符」視窗,在其中執行「gpresult/z >gpr.txt」命令,之後開啟該命令所建立的「notepad gpr.txt」檔案即可。

如果對組策略進行了相應設定,那麼在開啟的文字檔案中,可看到已修改過的登錄檔項(如圖3)。接下來只要開啟登錄檔編輯器,依次展開這些專案(通常「計算機配置」的內容儲存在hkey_local_machine根目錄中,「使用者配置」的內容儲存在hkey_current_user根目錄中),修改其中數值名稱資料,比如這裡的「norun」表示從「開始」選單中刪除「執行」選單,刪除該數值即可。其它不懂含義的數值名稱,可登入到「進行查詢。

圖3 三、剖析registry.pol法

上面的方法在查詢時可能比較繁瑣,那麼這裡再給出乙個簡單的方法。其實在使用組策略編輯器更改過「計算機配置」和「使用者配置」中的相應設定項後,windows xp便會分別在「c:windowssystem32 grouppolicymachine」或「c:windowssystem32 grouppolicyuser」目錄中,生成乙個名為「registry.pol」的檔案。

進入到該目錄,然後使用記事本程式開啟「registry.pol」檔案。現在,你看到了什麼?所有秘密全在這裡了,經過修改的組策略專案,其在登錄檔中的相應位置均羅列其中(如圖4)。比如之前設定的「開始」選單中刪除『執行』選單」項,便可根據這裡所記錄的登錄檔位置,來依次展開「hkey_current_ usersoftwaremicrosoftwindowscurrentversion policie***plorer」分支,刪除其中的「norun」鍵值即可。

圖4 預設情況下,windows xp系統中的「grouppolicy」資料夾為隱藏狀態,需要在「資源管理器」中設定「顯示所有檔案和資料夾」,才能正常顯示出來。

關於組策略的繼承 策略優先順序

實驗名稱 關於組策略的繼承 策略優先順序 實驗目的 驗證組策略是怎麼繼承的,以及優先順序與衝突 實驗環境準備 一台win2003虛擬機器為域控制器,一台winxp為加入域的客戶端。在域lhzong.com中建立ou 總部 在總部中建立子ou 分部,在域控制器上ou總部建立使用者lihao,在子ou分...

關於組策略的繼承 策略優先順序

實驗名稱 關於組策略的繼承 策略優先順序 實驗目的 驗證組策略是怎麼繼承的,以及優先順序與衝突 實驗環境準備 一台win2003虛擬機器為域控制器,一台winxp為加入域的客戶端。在域lhzong.com中建立ou 總部 在總部中建立子ou 分部,在域控制器上ou總部建立使用者lihao,在子ou分...

關於組策略的繼承 策略優先順序

實驗名稱 關於組策略的繼承 策略優先順序 實驗目的 驗證組策略是怎麼繼承的,以及優先順序與衝突 實驗環境準備 一台win2003虛擬機器為域控制器,一台winxp為加入域的客戶端。在域lhzong.com中建立ou 總部 在總部中建立子ou 分部,在域控制器上ou總部建立使用者lihao,在子ou分...