介紹了如何配置基于本地的組策略?；诒镜氐慕M策略只作用于本計算機及其上的用戶，對其他計算機和用戶不生效。通過5個子任務(wù)實例來驗證本地組策略設(shè)置對本地工作環(huán)境的影響。

分別是：

（1）禁止本機用戶編輯注冊表。
（2）禁用Windows Server 2019服務(wù)器的【關(guān)閉事件追蹤程序】。
（3）禁用互聯(lián)網(wǎng)屬性對話框中的【安全】選項卡。
（4）禁止本機用戶使用命令提示符。
（5）對可移動磁盤進(jìn)行權(quán)限設(shè)置。

2. 配置基于本地的組策略

基于本地的組策略只作用于本計算機及其上的用戶，對其他計算機和用戶不生效。

實驗環(huán)境：一臺Windows Server 2019服務(wù)器。

實驗方式：使用5個實例來驗證本地組策略設(shè)置對本地工作環(huán)境的影響。

子任務(wù)：通過本地組策略設(shè)置，實現(xiàn)下面的功能。

（1）禁止本機用戶編輯注冊表。

（2）禁用Windows Server 2019服務(wù)器的【關(guān)閉事件追蹤程序】。

（3）禁用互聯(lián)網(wǎng)屬性對話框中的【安全】選項卡。

（4）禁止本機用戶使用命令提示符。

（5）對可移動磁盤進(jìn)行權(quán)限設(shè)置。

2.1 打開本地組策略編輯器

使用【win + r】快捷鍵，打開【運行】對話框，輸入命令：gpedit.msc。

（1）禁止本機用戶編輯注冊表

注冊表編輯器是編輯Windows系統(tǒng)注冊表的工具。

注冊表打開方式：使用【win + r】快捷鍵，打開【運行】對話框，輸入命令：regedit.msc。

即可打開注冊表編輯器。

打開本地組策略編輯器，依次展開【本地計算機策略】——>【用戶配置】——>【管理模版】——>【系統(tǒng)】，找到【阻止訪問注冊表編輯工具】，雙擊打開。

選擇【已啟用】，點擊【確定】即可。

驗證：

再次打開注冊表編輯器，在【運行】中輸入 regedit 后彈出告警提示：注冊表編輯器已被管理員禁用。

（2）禁用Windows Server 2019服務(wù)器的【關(guān)閉事件追蹤程序】

Windows Server 2019 服務(wù)器的關(guān)閉事件追蹤程序要求用戶在關(guān)機時提供關(guān)機原因。如果用戶不希望每次關(guān)機時都需要提供關(guān)機原因，可以通過本地組策略設(shè)置，來禁用本地關(guān)閉事件追蹤程序。

打開本地組策略編輯器，依次展開【本地計算機策略】——>【計算機配置】——>【管理模版】——>【系統(tǒng)】，找到【顯示【關(guān)閉事件跟蹤程序】】，雙擊打開。

該選項默認(rèn)開啟，所以選擇【已禁用】，點擊【確認(rèn)】。

驗證：

再次關(guān)機時，系統(tǒng)不會提示需要確認(rèn)關(guān)機原因，而是直接關(guān)機。

（3）禁用互聯(lián)網(wǎng)屬性對話框中的【安全】選項卡

查看互聯(lián)網(wǎng)屬性對話框中的【安全】選項卡。

打開【控制面板】——>【網(wǎng)絡(luò)和互聯(lián)網(wǎng)】，雙擊【互聯(lián)網(wǎng)選項】，彈出的【互聯(lián)網(wǎng)屬性】對話框中正常包 含【常規(guī)】，【安全】，【隱私】、【內(nèi)容】，【連接】，【程序】，【高級】7個選項卡。

如果不希望使用該計算機的用戶設(shè)置與安全相關(guān)的選項，可以通過本地組策略設(shè)置來禁用本地安全選項卡。

打開本地組策略編輯器，依次展開【本地計算機策略】——>【計算機配置】——>【管理模版】——>【W(wǎng)indows組件】——>【互聯(lián)網(wǎng) Explorer】——>【互聯(lián)網(wǎng)控制面板】，找到【禁用安全頁】，雙擊打開。

該選項默認(rèn)禁用，所以選擇【已開啟】，點擊【確認(rèn)】。

驗證：

再次打開互聯(lián)網(wǎng)屬性界面時，發(fā)現(xiàn)【互聯(lián)網(wǎng)屬性】對話框中只包含【常規(guī)】，【隱私】、【內(nèi)容】，【連接】，【程序】，【高級】6個選項卡。
【安全】選項卡消失了。

（4）禁止本機用戶使用命令提示符

命令提示符是為用戶提供了一個命令行界面。用戶可通過命令行運行程序和批處理文件，從而進(jìn)行系統(tǒng)管理等。此外，命令提示符還支持管道和重定向功能。

**打開方式：**使用【win + r】快捷鍵，打開【運行】對話框，輸入命令：cmd，點擊確認(rèn)，即可打開命令提示符。

如果不希望使用該計算機的用戶使用命令提示符，可以通過本地組策略設(shè)置來禁用本地命令提示符。

打開本地組策略編輯器，依次展開【本地計算機策略】——>【用戶配置】——>【管理模版】——>【系統(tǒng)】，找到【阻止訪問命令提示符】，雙擊打開。

選擇【已啟用】，點擊【確認(rèn)】。

驗證：

再次打開cmd時，cmd.exe 提示：命令提示符已被系統(tǒng)管理員停用。

（5）對可移動磁盤進(jìn)行權(quán)限設(shè)置

對于一些重要的，對外服務(wù)的服務(wù)器，可以通過設(shè)置可移動磁盤權(quán)限來限制可移動存儲類的讀、寫和執(zhí)行權(quán)限，以確保服務(wù)器的安全，防止病毒或木馬通過可移動存儲媒介感染服務(wù)器。

打開本地組策略編輯器，依次展開【本地計算機策略】——>【計算機配置】——>【管理模版】——>【系統(tǒng)】——>【可移動存儲訪問】。

限制可移動磁盤讀取權(quán)限

找到【可移動磁盤：拒絕讀取權(quán)限】，雙擊打開，選擇【已啟用】，點擊【確認(rèn)】。

驗證：

將可移動硬盤連接到服務(wù)器中，雙擊可移動硬盤，系統(tǒng)彈出告警對話框：拒絕訪問。

驗證過后，重新找到【可移動磁盤：拒絕讀取權(quán)限】，雙擊打開，選擇【未配置】，點擊【確認(rèn)】。方便接下來的實驗。

限制可移動磁盤寫入權(quán)限

找到【可移動磁盤：拒絕寫入權(quán)限】，雙擊打開，選擇【已啟用】，點擊【確認(rèn)】。

驗證：

將可移動硬盤連接到服務(wù)器中，雙擊可移動硬盤，將桌面上的text文件復(fù)制到硬盤中，彈出告警提示：目標(biāo)文件夾訪問被拒絕。但是可以訪問硬盤中的文件，可以將移動硬盤中的文件復(fù)制到服務(wù)器中。

參考資料 [1]戴有煒，《2016 Windows Server 系統(tǒng)配置指南》，清華出版社，2018

Microsoft Docs：Active Directory documentation

Microsoft Docs：Active Directory Domain Services

到此這篇關(guān)于Windows Server 2019 如何配置基于本地的組策略的文章就介紹到這了,更多相關(guān)win2019組策略配置內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論