组策略
组策略
从Windows 2000开始,微软在windows系统中加入了一个新功能(组策略).
为什么微软要引入组策略?
用通俗易懂的话说,以完成一些特定功能为目的,快捷、简单、安全高效的修改注册表的一种方法;使用组策略修改的就是注册表.
因为大家都知道,windows的注册表保存了系统数据信息和硬件数据信息、以及程序和用户信息,可以说它是一个系统级的数据库;对windows系统至关重要,随意的更改,可能会出现错误,甚至会引起系统严重损坏.
组策略一共有2种,计算机策略和用户策略.
组策略文件存放的系统位置:%systemroot%\inf\*.adm
common.adm 系统组件策略模板
conf.adm netmeeting策略模板
inetcorp.adm 用于IE拨号、语言等策略模板
inetres.adm IE策略模板
system.adm 系统设置策略模板
windows.adm Windows 9X策略模板(用于NT基本系统策略编辑)
winnt.adm NT策略模板(用于NT基本系统策略编辑)
wmplayer.adm windows media player策略模板
wuau.adm WSUS策略模板
下列这些标准文件是组策略对象编辑器加载的默认文件:
System.adm Inetres.adm Conf.adm Wmplayer.adm Wuau.adm
安全策略模板:
安全策略模板定义很多安全设置,包含锁定策略、 密码策略、 Kerberos 策略、 审核策略、 事件日志设置、 注册表值、 服务启动模式、 服务权限、 用户权利、 组成员限制、 注册表权限和文件系统权限。
安全模板存放的系统位置:%systemroot%\security\templates
hisecdc.inf hisecws.inf 安全性模板是为只在纯 Windows 2000 环境中运行的、基于 Windows 2000 的计算机提供的。要求在只有 Windows 2000 才能提供的级别对所有网络通信进行数字签名和加密。使用此模板配置的计算机无法与下层 Windows 客户端进行通信。
securedc.inf securews.inf 安全模板可为权限没有涉及到的操作系统区域提供增强的安全性,其中包括:新增帐户策略安全设置、新增审核设置,以及为一些众所周知的安全相关注册表项提供的新增安全设置。
compatws.inf 兼容模板为“本地用户”组打开默认权限,以使早期程序更适合运行。不应将此配置视为一种安全环境。
组策略执行过程:
在计算机进入Windows 子系统启动 Winlogon.exe后,计算机策略开始执行;
当用户输入用户名和用户密码完成登陆验证成功后,用户策略开始执行.
