电脑知识收藏夹

问：

我单位机房一共有50台电脑(没有服务器), 没有还原卡, 只装了还原精灵,但是发现有的时候不起作用, 电脑经常被人篡改系统属性之类的设置, 因此我想利用winxp的本地安全策略来限制用户对系统的修改但是遇到了些问题, 还请各位大侠帮忙解决.

我在xp下创建了2个用户, 管理员(带密码登录), 实习人员(受限用户), 本来想利用受限用户来限制用户修改系统设置, 但是发现这个受限用户还是不够猛.

所以我尝试使用gpedit.msc组策略来修改"本地计算机"策略中的"计算机配置"和"用户配置", 首先我使用管理员登录的, 在我配置了"计算机配置"和"用户配置"后, 发现我没有办法将我设置好的配置导出(因为我想导入其它49台电脑), 另外就是发现这些设置已经生效了,超级郁闷....管理员这个帐号也被限制了, 还有就是没有办法还原成初始状态~~真菜啊....

后来又尝试了使用mmc的控制台来添加了一个新的"本地计算机"策略来配置系统, 这个可以保存, 但是不知道怎么导入到其他电脑中?

所以请教:

1.gpedit.msc是不是只能针对本机来设置系统属性的? 比如我用管理员登录, 只能设置本机中的属性, 无论我是用管理员登录还是实习人员(受限用户)登录的结果都是一样? 还是我用管理员登录, 设置好后只是针对实习人员(受限用户)产生影响,而对管理员用户没有影响?

2.mmc可以制作模板, 如果我添加了一个新的"本地计算机"策略模板, 那么这个模板是不是设置好后, 在保存后是直接生效的? 还是需要怎么样导入使用?

3.我怎么将我设置好的模板导入到其它电脑中? 其它电脑只有管理员用户, 是不是也需要在建立一个实习人员(受限用户)才可以的?

答：

假如没有做域环境 建议你就用还原卡，每次开机就还原。
microsoft有软件叫Windows SteadyState，或者可以帮到你
Windows SteadyState 是微软推出的一款免费的产品，针对共享计算机(Sharing PC)，或一些处于工作组环境下面非域环境下面单独计算机(Stand-Alone Client)的管理。从而使得在小规模的局域网环境中计算机的好很好的保护，大大减少恶意软件，病毒的威胁，最大限度的减低风险。

http://www.microsoft.com/china/windows/products/winfamily/sharedaccess/whatis/diskandsystemprotection.mspx
用户模式下，对WINDOWS的限制：

     a) 会话计时：如果选择如图示的两项，将有效的防止客户端超时使用计算机。

     b) WINDOWS限制：可以对开始菜单、系统等做详细限制。本人以为有如下亮点：

         A、防止更改Explorer高级注册表设置。

         B、防止访问命令提示符。

         C、防止访问注册表编辑器。

         D、防止访问任务管理器。

         E、防止访问管理控制台实用程序。

         F、只允许运行Windows和Program Files  文件夹中的程序。

         G、禁用系统工具和其它管理工具。

         H、隐藏指定驱动器。

二、Windows自动更新：此处也为一大亮点。

    SteadyState可以在磁盘保护开启的情况下对系统进行安全更新。安全更新后，自动的将更新后的系统数据保存到“永久磁盘”数据中。比一般的第三方硬盘保护卡有优势。

三、磁盘保护：

   只能保护系统盘数据，非系统分区不能保护。但可以使用NTFS安全特性限制在非系统盘的数据存储。或者使用上述的只允许运行Windows和Program Files  文件夹中的程序。来限制运行非系统盘的程序。

四、补充说明

   上述对WINDOWS系统的限制，大部分是通过修过注册表、软件限制策略完成的。

   SteadyState 提高了组策略模板，存放位置在软件安装目录的ADM文件夹中，文件名为 SCTSettings.adm。我们可以将SteadyState的组策略模板导入到域中，通过域来统一部署限制。

   在域中，我们还可以对用户的文档目录指定重定向，可以重定向到网络共享中。还可以做更详细的软件限制策略。例如添加一个软件限制策略：限制运行D盘的程序

　» 转载请注明来源：电脑知识收藏夹 » 《小型局域网组策略应用解决方案》

　» 本文链接地址：http://www.x2009.net/articles/small-local-area-network-group-policy-application-solutions.html

　» 订阅本站：http://feed.x2009.net

您可能会对以下内容有兴趣:

1. Apache网站服务器通过.htaccess和.htpasswd给网页文件夹设置密码的方法     作为网站管理员，我们不希望存放在服务器上的某些文件夹内的文件的被未经授权访问者获取，所以我们需要一个有效的方法来限制某些文件夹的访问。也许你会问：常见的用php或其它语言编写的网站前台用户注册和登录系统不是已经限制用户可以进入哪些页面和使用什么功能吗？但是，这一类的认证机制只对这些语言编写出的文件有效（而且前提是你已把认证的代码嵌入该文件），但这一类认证机制并不能保护你网站上的图片、文档以及其它类型文件不被他人获取，访问者或黑客还是可以通过url直接获取到你存放在某个文件夹内的文件。      有什么简单的方法可以让我们灵活地控制文件夹的访问呢？有个方法很简单，通过Apache的.htaccess和.htpasswd给文件夹加上用户密码认证就可以了。操作起来还很简单呢，因为apache服务器已经提供了丰富的认证支持，我们只需要制作两个文件.htaccess和.htpasswd(注意前面带有一个点)。     注意：由于.htaccess文件名结构较特别，在Windows系统内无法创建文件名为.htaccess的文件（Windows Vista和Windows 7是可以创建这种文件名的，但是这之前的系统应该是不可以的），唯有的办法是在文本编辑器中写好.htaccess文件内容，保存，上传(ASCII传输方式)至站点服务器，然后在FTP中重命名上传文件为.htaccess即可。 .htaccess文件 AuthType...
2. 应用程序或DLL C:\Program Files\Symantec\LiveUpdate\MSVCP71.dll 为无效的Windows映像 问:     电脑提示:"应用程序或DLL C:\Program Files\Symantec\LiveUpdate\MSVCP71.dll 为无效的Windows映像"在安全模式下删掉文件MSVCP71.dll也不顶用该怎么办呢? 答: 删除C:\Program Files\Symantec\LiveUpdate\MSVCP71.dll后, http://u.x2009.net/y#msvcp71.dll_msvcr71.dll下载msvcp71.dll、msvcr71.dll,解压缩到系统目录即可.通常是C:\Windows\System32...
3. Dos命令里Ping的使用方法 Dos命令里的PING命令是做什么用的呢？其实它是一个网络测试程序，如果Ping运行正确，你大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而缩小了问题范围。但在早期，由于可以自定义所发数据报的大小及无休止的循环高速发送，Ping也被某些别有用心的人作为DDOS（拒绝服务攻击）的工具，Yahoo曾经就是被黑客利用数百台可以高速接入互联网的电脑，连续发送大量Ping数据包而瘫痪的。 在PING的默认设置里，它会发送4个ICMP（网间控制报文协议）回送请求，每一ICMP数据包大小为32字节，如果一切正常，你的电脑就会收到4个回送应答。 Ping命令能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间。应答时间短时，表示数据报没有通过太多的路由器，网络连接速度比较快。Ping还会显示每条数据包的TTL（TimeToLive存在时间）值，你可以通过TTL值简单的计算一下数据包经过了多少路由器：源地点TTL起始值（就是比返回TTL略大的一个2的乘方数）-返回时TTL值。例如，返回TTL值为119，那么可以推算数据报离开源地址的TTL起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；如果返回TTL值为246，TTL起始值就是256，源地点到目标地点要通过9个路由器网段。     下面讲解一下通过Ping检测网络故障的典型次序 一般在正常情况下，当你使用Ping命令来检验网络运行情况或是查找问题所在时，你可能要使用许多次Ping命令，设置不同的参数，直到所有都能正常回复，就可以相信基本的配置参数和连通性不存在问题；如果某些Ping指令出现了问题，它也可以告诉你应该到哪里去寻找问题。下面就给出一个典型的检测次序及对应的可能故障：ping 127.0.0.1 这个Ping命令将使数据报全部发送到本机，如果运行时出现问题，就表示TCP/IP的运行或者安装可能存在某些最基本的问题。ping 本机IP  这个命令会将数据包送到你计算机所配置的IP地址，你的计算机始终都应该对该Ping命令作出应答，如果没有，则表示安装或者本地配置存在问题。出现这样的问题时，局域网用户请断开网线，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址。ping...
4. 如何改变IE浏览器的首页,以及首页设置变成灰色锁定,标题栏修复 问:     请问如何修改IE浏览器的首页设置?新装的系统,还不太会设置. 答: 常规方法     打开IE浏览器,如果你的是IE7,请先按一下Alt键,就会出现菜单栏,然后点”工具”菜单,然后点”Internet 属性”.将首页的文字输入框里的内容设置为您需要设置的地址,比如www.x2009.net 如果以上方法无效，请尝试以下方法. 注册表的修改方法...
5. 超级舞者安装时提示没找到MSVCP71.DLL，因此这个应用程序未能启动 问: 超级舞者安装时提示没找到MSVCP71.DLL，因此这个应用程序未能启动,说让我从新安装可能会好。可我装了好几次都说这句话，是不是我机器的事啊，还是怎么回事. 答: VC7运行库文件 MSVCP71.DLL、msvcr71.dll MSVCP71.DLL和msvcr71.dll文件都是VC7运行库文件，如果缺少了这两个文件，会使得很多常用软件无法正常运行。 下载地址:http://u.x2009.net/y#msvcp71.dll_msvcr71.dll 下好后放到c:\windows\system32 ...