win7组策略编辑器设置

《win7组策略编辑器设置》由会员分享，可在线阅读，更多相关《win7组策略编辑器设置（9页珍藏版）》请在装配图网上搜索。

1、win7组策略怎么打开？首先，在开始-运行中输入“gpedit.msc”，然后回车，打开组策略编辑器。依 次点击“用户配置”一“管理模板” 一“Windows组件”即可win7组策略编辑器设置从Windows 2000开始，组策略就是配置Windows的有效工具。其实严格说起来， 组策略编辑器中的大部分配置都可以直接修改注册表实现，不过很明显，通过组 策略 编辑器进行修改，更加直观，而且也不容易出错。因此很多Windows用户 都已经习惯了使用组策略对Windows的一些高级设置进行配置。Windows 7中新增了大量新的功能，同时组策略编辑器中也包含了更多内容。想 知道这些新增的内容对我们有

2、什么用吗？一起来看看吧。提示：下文是以测试版的Windows 7RC2 Ultimate为基础撰写的，因此和正式版 中可能会有所不同。另外，win7的家庭版没有组策略编辑器功能。控制硬件设备的安装这是一个很吸引人的功能。现在很多公司都不希望员工使用闪存盘或者MP3随身 听之类可以通过计算机的USB接口传输文件的设备，因为这很容易导致公司的机 密数据丢失。传统的预防办法最常见就是将计算机上的USB接口堵死，但这种“硬”方法也造成了一些问题，导致其他使用USB接口的设备，例如键盘和鼠标 都 无法使用。那么有没有不那么 “强硬”的方法？这时候可以考虑使用 Windows 7的组策略了。通过组策略实现

3、的目标通过Windows 7的组策略，对硬件设备的安装将可以达到下列限制： 只有指定类型的设备可以安装，其他未指定设备一律无法安装。 只有指定的具体硬件可以安装，其他未指定的硬件一律无法安装 所有可移动设备都无法安装。 对于某些设备，限制用户的读取或者写入操作。实现思路如何限制对硬件的使用？ Vista中使用两种方式：硬件类型（device class）和 硬件 ID （device ID）。硬件类型（device class）:简单来说，就是用于描述设备用途的一个名称， 例如所有的闪存盘，不管是A品牌的还是B品牌的，不管是USB 1.1标准的还是 2.0的，只要是闪存盘，那就具有统一的硬件类

4、型。硬件ID（device ID）:用于描述具体硬件的一个代号。同样的硬件，例如 同一个品牌和型号，同一个生产批次的两个硬件产品，都会有不同的硬件ID。也就是说，如果通过硬件类型来指定禁止安装的设备，例如使用闪存盘的硬件类 型进行限制，那么不管是什么品牌或者参数的闪存盘，只要是闪存盘，都将无法 被安 装。但使用硬件ID进行限制就不同了，例如有两块同品牌同型号的闪存盘 （硬件ID绝对是不同的），那么我们可以限制只允许使用其中的一个，而不许 使用另一 个。具体操作为了更好地说明该功能的使用方法，下文将会使用一个魅族的MiniPlayer播放 器来介绍如何禁止这个特定的播放器被使用，或者如何禁止所有

5、类似产品被使用。获取设备类型或者硬件ID。将希望禁止使用的设备连接到计算机，并等待安装完成。打开“开始”菜单，在 搜索框中输入“devmgmt.msc”并回车，打开设备管理器。从设备列表中找到想 要禁止使用的设备，双击打开其“属性”对话框。打开“属性”对话框的“Details（详细信息）”选项卡，将能看到如图1的界 面。在Property （属性）下拉菜单中分别选择Device Class guid （设备类GUID） 和Hardware ids （硬件ID）后，就可以看到该设备的这两个属性值。在下方显 示的值上单击鼠标右键就可以将内容复制出来。通过这样的方法获取想要禁止使用的设备的类或者硬件

6、ID，然后继续下面的操 作。找到所需的组策略 打开开始菜单，在搜索框中输入“gpedit.msc”并回车，打开“组策略编辑器” 窗口。在左侧的树形图中定位到“ Compu ter Configura tion-Adminis tra tive Templates-System-Device Installation-Device Installation Restrictions （计算机配置管理模板系统硬件安装硬件安装限制）”，在右侧的面板 中可以看到九个策略，就是用这九个策略进行限制的。实现限制上文已经提到了，我们希望禁止手头这个Miniplayer播放器的使用，或者禁止 所有这类设备使用

7、，那么就可以这样做：如果希望禁止这个播放器的使用，首先从设备管理器中找到该设备的硬件ID, 然后双击“Prevent installation of devices that match any of these device IDs”这条策略，选择“Enabled”选项，然后单击“Show（显示）”按钮，在随 后出现的窗口中单击“Add （添加）”按钮，将硬件ID复制进去,并单击“OK” 按钮关闭所有打开的对话框。如果希望禁止所有这类播放器设备，则需要从设备管理器中找到硬件类型的 GUID，然后双击“Prevent installation of devices using drivers

8、that match these device setup classes”这条策略，按照同样的方法将设备类型的GUID 添加进去。注意：设备类型在资源管理器中有两种表达形式：Device class （可 以类比为人的名字）和Device class guid（可以类比为人的身份证号码），这 里必须使用GUID来指定，而不能使用设备类的名称来指定。提示：如果为了查看硬件设备的类或者ID，已经将设备安装到系统中了，为了 取得更好的限制效果，最好在看到想要的信息后将设备从设备管理器中彻底删除。验证一下成果吧。经过上面的设置，再次将该设备连接到计算机后，稍等片刻，就会看到如图5的气球图标和对话框。

9、这证明我们的设置已经起作用了其他限制除了限制对硬件的安装，通过组策略还可以限制对已安装的可移动存储设备的访 问。还是在组策略编辑器中，通过左侧的树形图定位到“ Compu ter Configuration-Administrative Templates-System-Removable Storage Access（计算机配置管理模板系统可移动存储设备访问）”，在右侧可以看到 15条策略（如图6）。策略虽然很多，不过理解起来却很简单。总结来说，这些策略可以分别对下列设 备限制读取或者写入的访问： CD and DVD： CD或DVD光驱，包含只读光驱和刻录机； Custom classes

10、：自定义的设备，虽然可以自定义，但仅限可移动存储设备； Floppy Drivers:软驱； Removable Disks :移动硬盘； Tape Drivers:磁带驱动器； WPD Devices： Windows portable devices 设备，泛指运行了 Windows 操作 系统的所有便携设备。对于限定的设备，例如光驱或者移动硬盘，我们只要启用相应的策略就可以限制 对该设备的读取或者写入；对于需要指定设备的策略，例如自定义设备，则需要 按照上文的方法添加设备类GUID。这里的设置需要重启动系统后才可以生效。使用QoS限制软件对带宽的占用Windows XP中就包含了对QoS

11、 （Quality of Service，网络服务质量）的支持， 不过该功能在Windows 7之前的操作系统中并没有太多应用，以至于很多人以为 在Windows XP中禁用QoS可以提高网速。现在已经没人相信这种无根据的观点 了，不过在Vista中，我们已经可以通过QoS对应用程序的出站连接进行限制（注 意： 仅限出站连接）。通过组策略实现的目标通过组策略配置QoS，我们可以实现下列目标： 对不同类型的应用程序设定不同的优先级，这样对网络带宽需求比较大的应 用程序（例如进行网络音频或者视频交流的Windows Live Messenger或其他VoIP 软件）就可以获得较高优先级，而对网络带

12、宽占用需求不那么高的应用程序（例 如浏览网页用的Internet Explorer）则获得较低的优先级。系统和路由器或者 其他网络设备将会根据优先级的不同区别对待来自不同应用程序的数据包。 对不同类型的应用程序设定不同的网络带宽限制，这样对传输数据所需时间 不敏感的应用程序（例如P2P下载软件）就可以使用有限的网络带宽，而把绝大 部分网络带宽留给急需通过网络上传数据的应用程序。需要注意的一点是，通过QoS进行的设置并非固定不变的。例如，如果设置了程 序A具有较低的QoS优先级，但是当前并没有其他优先级更咼的程序访问网络， 那么A程序就会使用全部的网络带宽；如果优先级高于A的程序B需要使用网络,

13、 那么程序A就会自动为程序B让路。另外，QoS的实现是需要多种设备配合的，不仅操作系统，其他网络设备也必须 支持QoS才可以。例如，给不同程序设置了不同的网络优先级，那么该程序发出 的数据包中就会包含DSCP （Differentiated Services Code Point,差分服务 代码点）信息，用于标示该数据包的优先级。那么只有路由器或其他网络设备支 持QoS，才能理解DSCP信息的含义，并做出相应的处 理。实现思路QoS可以根据下列条件进行设置： 需要通过网络发送信息的应用程序 Ipv4或Ipv6协议的来源或目标协议类型：TCP或UDP 来源或目标端口也就是说，我们可以针对某个具体

14、的应用程序进行限制，或者对发往某个特定地 址或端口的网络连接进行限制。在优先级限制方面，QoS使用了给网络数据包中添加DSCP信息的方式标示不同 数据包的优先级。根据规定，DSCP有从0到63，一共64个不同的优先级等级, 数字越大相应的优先级就越高。默认情况下，所有程序都会使用33这个优先级。具体操作 同样让我们以一个例子介绍QoS的操作。假设我们需要让Windows Live Messenger发出的数据包具有较高的优先级，而Internet Explorer发出的数据 包优先级较低，则可以这样操作：找到所需的策略。打开“开始”菜单，在搜索框中输入“gpedit.msc”并回车，打开组策略

15、编辑器。 在组策略编辑器窗口左侧的树形图中定位到“ComputerConfigurationWindows SettingsPolicy based QoS （计算机配置一Windows 设置一基于策略的QoS）”。给Windows Live Messenger设置较高的优先级在组策略编辑器窗口左侧的树形图中用鼠标右键单击“ Policy - based QoS”， 从右键菜单中选择“Create new policy （新建策略）”。随后将能看到如图7 的对话框，“Policy name（策略名称）”一栏可以输入自己想要使用的任何名 称，然后在“Specify DSCP Value（指定DS

16、CP值）”一栏中为该程序指定一个 优先级数值。这里需要注意，可用的数值包括从0到63的任何数字，高于32 的将会提高优先级，低于 32的则会降低优先级。如果同时希望限制允许该程序 使用的网络带宽，则可以选中“ Specify Thro ttle Rate （指定限制速度）”选 项，然后设定一个速度。设置好之后单击“ Nex t”。随后可以看到界面，在这里可以决定这条策略的应用对象。因为是针对Windows Live Messenger 的，因此选择 “Only applica tions with t his execu table name （可执行文件包含下列名称的应用程序）”选项，然后输

17、入“ msnmsgr.exe”。 完成之后继续单击“ Nex t”。接下来可以看到类似图9的界面，在这里可以设置这条策略应用的范围。因为我 们的目的是对Windows Live Messenger的所有访问连接都进行限制，因此可以 保持默认设置，继续单击“Next”。如果只希望对某个作为来源的地址的访问进 行限制，可以选择 “Only for the following source IP address or prefix （仅针对使用下列地址或前缀的来源IP） ”选项，并指定来源；如果希望对某 个作为目标的地址的访问进行限制，则可以选择“ Only for the following de

18、s tina tion IP address or prefix （仅针对使用下列地址或前缀的目标IP）” 选项，并指定目标。然后是设定协议和端口号的界面。同样，因为我们希望对所有访问都进行限制， 因此可以保持默认设置。否则可以选择该策略应用的协议（TCP、UDP，或者两者 兼有）以及来源或目标的端口号。单击“ Finish ”按钮。至此关于 Windows Live Messenger 的设置就都已经完成了，我们还需要通过一 条策略给 IE 设置一个较低的优先级。具体方法和上面的操作类似，只不过需要 在如图7的界面上指 定一个较小的DSCP值。其实只要小于之前给Windows Live Me

19、ssenger设置的DSCP就可以了，而且也可以不用设置，因为默认情况下所有 程序的DSCP都是32，Windows Live Messenger经过设置已经高于32 了。使用组策略配置 Internet ExplorerInternet Explorer 7 是 Windows 7 中一个很重要的应用程序，和老版本的 IE 相比，这个版本增加了很多新功能。不过这其中大部分功能并不能通过 IE 自身 的选项进行设置，而是隐藏在了组策略中。通过组策略，我们可以设置大量IE 的隐藏选项。打开“开始”菜单，在搜索框中输入“gpedit.msc”并回车，打开组策略编辑器。 在组策略编辑器窗口左侧的树形

20、图中展开到“ComputerConfiguration-Administrative Templates-Windows Components-Internet Explorer （计算机配置一管理模板一 Windows 组件一In ternet Explorer）， 就可以在窗口右侧的面板中看到大量和IE有关的策略面我们列举一些实例来介绍如何通过组策略设置 IE 7。更改 Agent ID在访问一些网站的时候，你可能会看到网页上显示了你的操作系统和浏览器的版 本，想知道这是怎么实现的吗？其实当我们用网页浏览器浏览网页的时候，在发 出请求时，浏览器发出的请求中就会包含这些信息，这叫做 Agen

21、t ID。现在的问题是，有些网站因为各种原因会对访客的浏览器版本进行限制。例如， 有些网站只允许IE 6访问，有些网站只允许Opera访问。遇到这些站点，而你 又不想换或者不能换浏览器，该怎么办？IE 7就可以通过组策略自定义浏览器发出的Agent ID。双击“Customize User Agen t St ring （自定义客户端Agent字符串）”策略，选择“ Enabled ”然后输 入新的Agent ID即可。例如，如果希望网站以为自己正在使用IE 6,就可以输 入“MSIE 6.0” ；如果希望网站以为自己正在使用Opera，则可以输入“0pera/9.00”。关于不同版本浏览器在

22、不同操作系统上显示的Agent ID，可 以在这里查到：禁止“修复设置”提醒在IE 7中，当我们对浏览器的默认设置进行更改，降低了浏览器的安全性后，IE 7会用信息栏提示我们，并提供了一个“修复设置”的选项，点击后即可恢 复默认的安全设置（如图12）。这是一个很好的功能，可以避免我们因为错误 的设置导 致出现安全问题。不过有时候因为某些原因，我们必须降低IE 7的安 全设置，这时候IE 7的提醒就显得有些多余了。双击“Prevent “Fix settings functionality （禁止修复设置功能），然 后将其启用即可。加强证书检查我们都知道，以“https开头的URL表明该页面是被

23、SSL加密的，这种页面比 未加密的更加安全。不过在访问SSL加密页面的时候我们可能会忽略一点，如果 伪造的网站也使用自己的证书加密伪造网页，我们怎么知道自己访问的加密站点 是不是伪造的？在IE 7中，当我们访问的SSL网站所用的加密证书不是由受信任的机构所颁发 的（其实在服务器上自己给自己颁发证书是很容易的），那么IE将会显示如图 13的界 面，提醒我们注意该站点，只有单击“Continue to this website （继 续访问该站点）”后才可以访问。这个功能留下了相当的余地，就算一个站点有 问题，大家仍然可以访问，这显然不是我们希望看到的。双击 “Int erne t Cont rol PanelPreven t ignoring cer ti fica te errors（Internet控制面板禁止证书错误）”策略，如果将其启用，那么再遇到证书 有问题的站点，就不会出现“Continue to this website的选项，彻底禁止了 对这种站点的访问，提高了安全性。总结Windows 7 中新增的策略已经超过了千条，限于篇幅这里不可能一一介绍。如果 你已经用上了 Windows 7，那就快打开组策略编辑器看看吧，也许你一直希望Windows 能够实现的某些设置现在已经出现在组策略中了。通过配置组策略，我 们的电脑就可以与众不 同。