通过基本策略可以规范网络内计算机的操作权限,限制客户端机器对计算机系统设置的任意修改,防止恶意或无意的破坏,增强计算机的使用安全性。
基本策略主要是通过修改注册表值来实现的。基本策略和设备控制策略与其他的策略不同,是一种状态维持的策略,而不是实时的触发策略;因此对策略的修改,删除等处理和其他的策略不同。
基本策略支持的项目包括:控制面板,计算机管理,系统,网络,IP/MAC绑定,ActiveX控件。
控制面板包括以下5项:
| 基本策略项 |
说明 |
| 控制面板 |
包括控制面板上的各个功能; |
| 设置屏幕属性 |
限制客户端设置桌面,屏幕保护程序以及桌面外观等; |
| 添加打印机
扫描二维码关注公众号,回复:
9216237 查看本文章
|
限制客户端添加打印机; |
| 删除打印机 |
限制客户端删除打印机; |
| 快速切换用户 |
禁止在Windows系统里通过切换用户的方式同时登录多个用户(仅XP系统有效); |
| 修改计算机名称 |
禁止客户端修改计算机名称。 |
计算机管理包括以下5项:
| 基本策略项 |
说明 |
| 设备管理器 |
限制客户端机器使用设备管理器; |
| 磁盘管理 |
限制客户端机器使用磁盘管理; |
| 本地用户和组 |
限制客户端机器使用本地用户和组的控制面板管理项; |
| 系统服务管理 |
限制客户端机器使用系统服务管理; |
| 其它计算机管理 |
限制包括:电脑管理、事件查看器、磁盘碎片整理和共享文件夹。 |
系统包括以下5项:
| 基本策略项 |
说明 |
| 任务管理器 |
限制客户端使用任务管理器; |
| 注册表编辑器 |
限制客户端使用注册表; |
| 命令提示符 |
限制客户端使用命令提示符,9x系统下是command程序,NT及以后版本操作系统下是cmd程序; |
| 运行注册表中Run下的程序 |
如果模式为禁止,Run下的程序会在系统开机的时候不会启动,需注销或重启计算机生效; |
| 运行注册表中RunOnce下的程序 |
RunOnce是指在开机的时候启动一次,下次开机就不会运行了,如果模式为禁止,则RunOnce下的程序不会启动,需注销或重启计算机生效。 |
网络包括以下6项:
| 基本策略项 |
说明 |
| 修改网络属性 |
限制客户端修改网络属性; |
| 显示“网络邻居” |
模式为禁止时,桌面上的网上邻居会隐藏,需要注销或重启生效; |
| 修改Internet选项 |
限制客户端修改Internet选项设置; |
| 默认网络共享 |
如果模式为禁止,客户端上的默认共享被禁止; |
| 使用网络共享 |
如果模式为禁止,客户端不能共享本机文档; |
| 增加网络共享 |
如果模式为禁止,客户端新增的网络共享会被禁止。 |
IP/MAC绑定
| 基本策略项 |
说明 |
| 修改网络IP/MAC配置 |
限制客户端修改网络属性; |
ActiveX控件包括以下4种控件:
| 基本策略项 |
说明 |
| 聊天类ActiveX控件 |
限制客户端使用聊天类ActiveX控件,用户使用聊天控件时会被禁止; |
| 影音类ActiveX控件 |
限制客户端使用影音类ActiveX控件,一般在互联网上听歌或看视频文件会用到该类控件,禁止该项,用户无法听歌或播放视频; |
| 游戏类ActiveX控件 |
互联网上的一些小游戏可能需要安装游戏类控件,禁止该项,此类小游戏无法正常运行; |
| FLASH类ActiveX控件 |
播放FLASH文件会用到该类控件,禁止该项,FLASH文件无法正常播放。 |
其它
| 基本策略项 |
说明 |
| 系统还原 |
为了防止客户端机器通过系统还原来卸载客户端,可以禁止该项,则系统还原功能被禁止。 |
| 使用Print Screen键复制屏幕 |
为了防止客户端机器通过使用Print Screen键复制屏幕,发现泄密风险,可以禁止该项,则Print Screen键无法使用 |
| Windows自动更新 |
禁止该项,则Windows自动更新功能被禁止; |
策略示例
假如您的需求是:在公司时禁止修改IP地址,但是允许回家或出差的时候修改IP。管理员可以对目标计算机(如整个网络)设置基本策略:
① 先设置一条策略,禁止 修改IP/MAC属性;
② 再设置一条离线策略,允许 修改IP/MAC属性 仅离线生效。
按照策略匹配原则,后设置的策略在上面,因此策略②优先于策略①,当离线状态时,策略匹配,允许修改IP/MAC;当在线状态时,与策略②不匹配,接着向下匹配策略①,条件满足,执行策略禁止修改IP/MAC属性。
注意 基本策略的修改网络IP/Mac配置,系统还原,网络共享对计算机有效,对用户是无效的。
