System Group Policy es casi una de las herramientas imprescindibles para que los administradores de red administren la red. Se cree que las habilidades de aplicación generales de esta herramienta son familiares para muchas personas. Sin embargo, el autor siempre ha creído que mientras seamos cuidadosos, continuaremos desarrollando nuevas habilidades de aplicación a partir de la estrategia del grupo de sistemas. Si no lo cree, echemos un vistazo al siguiente contenido. Creo que le ayudarán a ingresar un nuevo "estado nuevo" de aplicación. Tenga cuidado con los programas, tenga cuidado con el "servidor de Windows" de bloqueo automático que tiene un nombre llamado "Sólo permitir que se ejecuten las aplicaciones de Windows". "Una vez que habilite el proyecto y restrinja el programa especificado para que se ejecute fuera del proyecto de directiva de grupo, entonces si está en la" Lista de ejecución de programas "Permitir solo ejecutar", agregue el comando gpedit.msc, siempre que "solo permita que Windows se ejecute" La política de "grupo" de la aplicación entra en vigencia, la política de grupo del sistema se "autobloqueará" automáticamente, incluso si usa el comando "gpedit.msc" en la cuenta de superadministrador, ¡no puede abrir la ventana de edición de la política de grupo del sistema! Una forma es limitar la ejecución de la aplicación y evitar que la política de grupo del sistema se "autobloquee". La respuesta es sí, puede seguir los siguientes pasos: Primero haga clic en "Inicio" /"Ejecutar" Comando, en el cuadro de ejecución del sistema emergente, ingrese el comando de cadena "gpedit.msc", haga clic en el botón "Aceptar" Después de eso, abra la ventana de Edición de Políticas de Grupo del Sistema, expanda la Configuración de Usuario /Plantillas Administrativas /proyecto del Sistema en la ventana, y en la ventana secundaria a la derecha del proyecto del Sistema, haga doble clic en la aplicación de Windows que solo ejecuta la licencia. Opción de programa, en la interfaz que aparece, seleccione la opción Habilitado. Luego, verá que el botón "Mostrar" se activa automáticamente en la ventana correspondiente, luego haga clic en el botón "Mostrar", luego continúe haciendo clic en el botón "Agregar" en la ventana que aparece a continuación, y luego ingrese el nombre de la aplicación que necesita para ejecutar. En el cuadro Agregar configuración, finalmente haga clic en el botón "Aceptar"; a continuación, no cierre la ventana Editar directiva de grupo inmediatamente; luego, abra el cuadro de diálogo de ejecución del sistema y ejecute el comando "gpedit.msc" en este. Encontrará que el editor de políticas de grupo del sistema ya no funciona. Sin embargo, afortunadamente, la ventana de edición de políticas de grupo no se ha cerrado anteriormente. Ahora puede continuar haciendo doble clic en el proyecto "Permitir solo aplicación de Windows" que se acaba de configurar en la ventana de edición de políticas de grupo. En la ventana de configuración de la política emergente, seleccione la opción "Sin configuración" y finalmente haga clic en el botón "Aceptar". Esto no solo limitará el propósito de ejecutar la aplicación, sino que también evitará que la política de grupo del sistema se "autobloquee". Sugerencia: si agrega el nombre de la aplicación especificada a la lista "Permitir solo aplicaciones de Windows" y cierra directamente la ventana de edición de la directiva de grupo, puede seguir los siguientes pasos para recuperar: Reinicie el sistema del servidor, Durante el proceso de inicio, presione la tecla de función F8 continuamente hasta que aparezca el menú de inicio del sistema, y luego ejecute el comando "modo seguro con indicador de comando" para cambiar el sistema del servidor al estado del indicador de línea de comandos; Ejecute directamente el comando de cadena mmc.exe en el símbolo del sistema. En la interfaz de la consola del sistema emergente, haga clic en el elemento del menú Archivo y haga clic en la opción Agregar o quitar complemento en el menú desplegable emergente. Haga clic en la pestaña "Independiente" en la ventana, y luego en la página de la pestaña que se muestra en la Figura 1, haga clic en el botón "Agregar"; a continuación, haga clic en "Política de grupo", "Agregar", "Finalizar", " Cierre el botón "," OK ", puede agregar exitosamente una nueva consola de Políticas de Grupo; en el futuro, puede volver a jugar Abra la ventana de edición de políticas de grupo y luego siga las configuraciones anteriores para lograr el propósito de limitar el funcionamiento de la aplicación, pero también para evitar que la política de grupo del sistema se "autobloquee". Desbloqueo del "autocierre" Como quiera, además de restringir la forma en que se ejecuta su aplicación, hay muchas cosas que pueden hacer que la directiva de grupo se "autocierre" sin darse cuenta. Si otros factores hacen que la política de grupo se "autobloquee", ¿cómo podemos liberarla fácilmente? De hecho, todas las configuraciones de la política de grupo se basan en el registro del sistema, por lo que la configuración de cualquier rama de la política de grupo Se reflejará en la rama correspondiente del registro; por esta razón, podemos descifrar fácilmente el fenómeno de "autocierre" de la política de grupo modificando el registro: haga clic en el comando "Inicio" /"Ejecutar" y luego aparezca En el cuadro de diálogo del sistema en ejecución, ingrese el comando de cadena "regedit", haga clic en el botón "Aceptar", abra la ventana de edición del registro del sistema; en esta ventana, expanda la rama de registro HKEY_CURRENT_USER \\ Software \\ PolicIEs \\ Microsoft \\ MMC \\ {8FC0B734-A0E1-11D1-A7D3-0000F87571E3}, en el área derecha de la ventana que se muestra en la Figura 2, verá un valor clave "Restrict_Run"; haga doble clic en el valor clave para abrir una configuración de valor. Ventana, ingrese el número "0" en ella, y finalmente haga clic en el botón "Aceptar", después de eso, cuando abra de nuevo el cuadro de diálogo de ejecución del sistema, y en él Cuando ejecute el comando "gpedit.msc", encontrará la ventana de edición de la directiva de grupo de cierre automático, que ahora se puede abrir fácilmente. Cambio de política, efecto inmediato Ya sea para el dominio de Windows 2003 o el dominio de Windows 2000, una vez que se modifica la política de seguridad predeterminada del dominio, la nueva política de seguridad no puede ser efectiva de inmediato. En general, toma alrededor de 5 a 15 minutos. Los sistemas Windows actualizarán automáticamente la configuración en la Política de grupo del sistema. Entonces, ¿hay una manera de hacer que la política de seguridad modificada funcione de inmediato para el usuario o cliente? La respuesta es sí, puede seguir los siguientes pasos: Para el dominio de Windows 2000, si desea la computadora recién modificada Si la política entra en vigencia de inmediato, puede hacer clic en el comando "Inicio" /"Ejecutar" para abrir el cuadro de diálogo del sistema, ingresar el comando de cadena "cmd", hacer clic en el botón "Aceptar" y cambiar el sistema de Windows a Ms- En el modo de trabajo de DOS, luego, en el símbolo del sistema de DOS, ingrese el comando de cadena "secedit /refreshpolicy Machine_policy /enforce", haga clic en la tecla Intro, la política de seguridad recién modificada entrará en vigencia inmediatamente; si desea que se modifique la nueva Si la política del usuario entra en vigencia inmediatamente, simplemente ejecute el comando de cadena "secedit /refreshpolicy user_policy /enforce" en el indicador de comando de DOS. Para los dominios de Windows 2003, si desea que la política de la computadora recién modificada surta efecto inmediatamente, puede hacer clic en el comando "Inicio" /"Ejecutar", abrir el cuadro de diálogo de ejecución del sistema e ingresar el comando de cadena "cmd". Después de hacer clic en el botón "Aceptar", cambie el sistema de Windows al modo de trabajo MS-DOS; luego, en el símbolo del sistema de DOS, ingrese el comando de cadena "gpupdate /target: computer", haga clic en la tecla Intro, la nueva modificación La política de seguridad entrará en vigencia inmediatamente; si desea que la política de usuario recién modificada surta efecto inmediatamente, simplemente ejecute el comando de cadena "gpupdate /target: user" en el símbolo del sistema de DOS. Si desea actualizar tanto la política del equipo como la política del usuario, puede ejecutar el comando de cadena "gpupdate" directamente. Diferentes usuarios, diferentes permisos, tal vez haya muchos usuarios en su servidor, pero para proteger la seguridad del servidor, desea que estos usuarios tengan diferentes derechos de control de acceso al servidor, de modo que en el futuro, cuando el servidor encuentre un accidente, pueda hacerlo de acuerdo con los permisos. Diferente, puede encontrar rápidamente al usuario que está "desordenado". Para asignar diferentes permisos de control de acceso a diferentes usuarios, solo necesita configurar la política del grupo de servidores. A continuación, se detallan los pasos de configuración específicos: Haga clic en el comando "Inicio" /"Ejecutar", el sistema emergente En el cuadro Ejecutar, ingrese el comando de cadena "gpedit.msc" y haga clic en el botón "Aceptar" para abrir la ventana de Edición de Políticas de Grupo del Sistema; en esta ventana, expanda "Configuración de la Computadora" /"Configuración de Windows" /"Seguridad" Establezca el elemento "/" Política local "/" Asignación de derechos de usuario "; en el área de la ventana derecha correspondiente al elemento" Asignación de derechos de usuario ", verá que hay varios derechos para asignar, como se muestra en la Figura 3. Por ejemplo, si solo desea que los usuarios de aaa accedan de forma remota al contenido del servidor a través de una conexión de red, en lugar de permitirles iniciar sesión localmente en el servidor para escribir contenido o ejecutar aplicaciones, puede hacer doble clic en el permiso "Denegar inicio de sesión local". En la ventana de configuración que se abre más tarde, haga clic en "Agregar", luego seleccione el nombre de cuenta correspondiente al usuario aaa y haga clic en "Agregar", de modo que el usuario aaa solo pueda acceder al servidor a través de la red remota en el futuro. El contenido se ha ido. De manera similar, puede asignar derechos de control de inicio de sesión locales a usuarios de bbb, asignar propiedad de archivos u otros objetos a usuarios de ccc, etc. Una vez que se asignen diferentes permisos de control a diferentes usuarios, puede hacerlo más tarde dependiendo del nivel de permiso. Gestión dirigida y control de usuarios. Por ejemplo, si encuentra que el servidor es libre de cargar información ilegal en el servidor en el momento en que el servidor no está conectado a la red, puede excluir fácilmente al usuario aaa. Después de todo, el usuario aaa no tiene tal "capacidad de copia". Proteger la configuración para evitar conflictos En la LAN, la dirección IP de la estación de trabajo a menudo se modifica a voluntad, causando conflictos de IP, lo que afecta la eficiencia operativa de la LAN. Si bien hay muchas formas de evitar conflictos de direcciones IP, pero un análisis cuidadoso, puede encontrar fácilmente que algunos de estos métodos son un poco difíciles para algunos usuarios novatos; de hecho, con la función de política de grupo, puede limitar fácilmente la LAN. Los parámetros de configuración de red de la estación de trabajo se modifican arbitrariamente, para evitar conflictos de direcciones IP en la red: haga clic en el comando "Inicio" /"Ejecutar" e ingrese el comando de cadena "gpedit.msc" en el cuadro de operación del sistema emergente. Después de hacer clic en el botón "Aceptar", abra la ventana de edición de la política del grupo del sistema, expanda los elementos de la política "Configuración de usuario" /"Plantillas administrativas" /"Red" /"Conexión de red y acceso telefónico" en la ventana correspondiente a "Red y conexión telefónica" En el área de la ventana derecha de la política de conexión, haga doble clic en el elemento "Permitir configuración avanzada de TCP /IP"; en la ventana emergente de configuración que se muestra en la Figura 4, seleccione la opción "Desactivar" y haga clic en el botón "Aceptar". En este caso, cualquier usuario de la estación de trabajo abrirá la ventana de configuración de la propiedad TCP /IP más adelante. Les resultará imposible entrar en la ventana de configuración "avanzada" para modificar la dirección IP u otros parámetros de red estaciones de trabajo, la dirección IP de la LAN de esta manera no es tan grande de un propensa a los conflictos.