組策略在網(wǎng)絡(luò)中的應(yīng)用十分廣泛，組策略也是維護系統(tǒng)網(wǎng)絡(luò)安全的有效工具之一，下文是介紹了如何應(yīng)用組策略安全設(shè)置的方法。

作為系統(tǒng)管理員而言，我們都知道保護windows環(huán)境***的辦法就是使用組策略。在組策略對象(GPO)中有成百上千個安全設(shè)置，使用組策略對象是非常有效且自動化的安全保護方式。但是，組策略對象的安全設(shè)置是否得到了正確的運用呢?本文將為大家提供一些工具、命令以及技巧來確保組策略對象安全設(shè)置的正確使用。

哪些設(shè)置是“安全設(shè)置”?

由于在組策略對象中有超過5000個設(shè)置，因此我們首先要明確本文討論的具體是哪些設(shè)置。在組策略對象中設(shè)有專門的安全版塊，當(dāng)然也有其他涉及安全的部分，但本文我們僅討論這個安全版塊。

首先，你需要打開一個組策略對象，***通過組策略管理控制臺(GPMC)來打開，因為本地組策略對象的安全設(shè)置與Active Directory中的組策略對象有所不同。在編輯器中打開組策略對象后，你需要打開Computer ConfigurationPoliciesWindows SettingsSecurity Settings

在這里你會發(fā)現(xiàn)很多設(shè)置，包括注冊表項、用戶權(quán)限、文件/文件夾/注冊表的權(quán)限、無線安全和組成員等。這些設(shè)置大部分都受到安全客戶端擴展程序控制的，只要有一個設(shè)置失效，可能所有設(shè)置都會失效。另外，只要使用了其中一個設(shè)置，就可以輕松設(shè)置其他設(shè)置。

在組策略管理控制臺(在你有管理權(quán)限的任何機器上)中，你都可以使用組策略結(jié)果(Group Policy Results)工具，這些工具是內(nèi)置在組策略管理控制臺中的，因此你不需要進(jìn)行特別的操作。通過組策略管理控制臺你可以決定在目標(biāo)計算機(與部署在組策略對象中的安全設(shè)置相關(guān)的計算機)上的安全設(shè)置。

要找到組策略管理控制臺的組策略結(jié)果節(jié)點，你需要查看組策略控制臺的底部，在這里你會發(fā)現(xiàn)組策略結(jié)果節(jié)點

在這個工具中，你可以選擇“用戶帳戶”和“計算機帳戶”。右鍵單擊組策略結(jié)果節(jié)點并選擇向?qū)В驅(qū)瓿珊?，你會看到結(jié)果列在組策略結(jié)果節(jié)點下面

在此界面中，你可以檢查組策略對象以及安全設(shè)置的使用情況，你可以點擊右窗格查看不同的結(jié)果。檢查組策略對象可以確保正確運用以及沒有因為某些原因被拒絕。其次，你可以檢查組件狀態(tài)是否存在與安全客戶端擴展程序相關(guān)的錯誤。***，檢查安全設(shè)置區(qū)域以及使用的設(shè)置的選項卡

你還可以運行計算機上的RSOP.msc，這將為你顯示與圖4一樣的信息，除了界面顯示不同外。圖5顯示的是在目標(biāo)計算機運行RSOP.msc命令，以與在編輯器中配置的組策略對象相同的格式來顯示組策略對象設(shè)置。使用這種方式，你不需要擔(dān)心安全設(shè)置的路徑，可以直接到組策略對象的節(jié)點查看結(jié)果。

想要查看關(guān)于組策略對象以及客戶端擴展程序的更多信息，你需要更加深入這個界面。右鍵單擊計算機配置節(jié)點，可以選擇屬性菜單選項。然后，你將看到部署的組策略對象，并且可以查看以下節(jié)點信息

GPO和過濾情況

組策略對象的管理范圍

關(guān)于組策略對象的修訂信息

這些信息可以幫助你發(fā)現(xiàn)組策略對象及相關(guān)設(shè)置為什么沒有運用的原因。

想要查看客戶端詳細(xì)信息，你需要選擇錯誤信息選項卡，在這里，你會看到某個CSE沒有運用的原因，這也間接說明為什么設(shè)置沒有出現(xiàn)在RSOP.msc界面的原因。

如果你只是想查看安全設(shè)置的情況，而不是所有從組策略對象部署的設(shè)置的情況，你可以在目標(biāo)計算機運行secpol.msc，這將顯示組策略對象的子集，格式與原始組策略對象編輯器的格式相同

關(guān)于這個工具主要有兩個問題，首先，該工具顯示的信息不僅僅是安全設(shè)置的信息，通過此工具，你可以查看計算機上的所有安全設(shè)置，不僅僅是從組策略對象部署的設(shè)置。你可以馬上知道哪些設(shè)置來自Active Directory的組策略對象，哪些是本地部署的安全設(shè)置。在圖8中，你可以看到有兩種不同的圖標(biāo)來顯示設(shè)置。

第二個問題就是secpol.msc工具顯示的信息并沒有RSOP.msc工具顯示的那么詳細(xì)，所以，我們需要根據(jù)自己的具體需求來選擇合適的工具來顯示信息。

總結(jié)

我們有很多方法來檢查(使用組策略對象部署的)安全設(shè)置的狀態(tài)，這些工具都是內(nèi)置工具，并且都非常有用。你必須擁有正確的管理權(quán)限才能使用這些工具。通過這些工具，我們可以清楚地查看所部署的設(shè)置，以及沒有部署的設(shè)置，以及為什么沒有部署的原因。

希望本文中組策略安全設(shè)置應(yīng)用的方法能夠?qū)ψx者有所幫助。更多有關(guān)組策略的知識有待于讀者去學(xué)習(xí)和鞏固。

【編輯推薦】

1. Windows 2000組策略詳解
2. 巧用組策略讓網(wǎng)絡(luò)打印更高效
3. 利用組策略禁止用戶在未登陸前關(guān)機
4. win 7如何通過系統(tǒng)組策略禁止U盤使用
5. 如何創(chuàng)建新的組策略來阻止軟件的安裝與運行？