欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

一、什么是組策略
　　一）組策略有什么用?
　　說(shuō)到組策略，就不得不提注冊表。注冊表是Windows系統中保存系統、應用軟件配置的數據庫，隨著(zhù)Windows功能的越來(lái)越豐富，注冊表里的配置項目也越來(lái)越多。很多配置都是可以自定義設置的，但這些配置發(fā)布在注冊表的各個(gè)角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達到方便管理計算機的目的。
　　簡(jiǎn)單點(diǎn)說(shuō)，組策略就是修改注冊表中的配置。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設置進(jìn)行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。
　　二）組策略的版本
　　大部分Windows 9X/NT用戶(hù)可能聽(tīng)過(guò)“系統策略”的概念，而我們現在大部分聽(tīng)到的則是“組策略”這個(gè)名字。其實(shí)組策略是系統策略的更高級擴展，它是由Windows 9X/NT的“系統策略”發(fā)展而來(lái)的，具有更多的管理模板和更靈活的設置對象及更多的功能，目前主要應用于Windows 2000/XP/2003系統。
　　早期系統策略的運行機制是通過(guò)策略管理模板，定義特定的.POL（通常是Config.pol）文件。當用戶(hù)登錄的時(shí)候，它會(huì )重寫(xiě)注冊表中的設置值。當然，系統策略編輯器也支持對當前注冊表的修改，另外也支持連接網(wǎng)絡(luò )計算機并對其注冊表進(jìn)行設置。而組策略及其工具，則是對當前注冊表進(jìn)行直接修改。顯然，Windows 2000/XP/2003系統的網(wǎng)絡(luò )功能是其最大的特色之處，其網(wǎng)絡(luò )功能自然是不可少的，因此組策略工具還可以打開(kāi)網(wǎng)絡(luò )上的計算機進(jìn)行配置，甚至可以打開(kāi)某個(gè)Active Directory 對象（即站點(diǎn)、域或組織單位）并對它進(jìn)行設置。這是以前“系統策略編輯器”工具無(wú)法做到的。
　　無(wú)論是系統策略還是組策略，它們的基本原理都是修改注冊表中相應的配置項目，從而達到配置計算機的目的，只是它們的一些運行機制發(fā)生了變化和擴展而已。
　　二、組策略中的管理模板
　　在Windows 2000/XP/2003目錄中包含了幾個(gè) .adm 文件。這些文件是文本文件，稱(chēng)為“管理模板”，它們?yōu)榻M策略管理模板項目提供策略信息。
　　在Windows 9X系統中，默認的admin.adm管理模板即保存在策略編輯器同一個(gè)文件夾中。而在Windows 2000/XP/2003的系統文件夾的inf文件夾中，包含了默認安裝下的4個(gè)模板文件，分別為：
　　1）System.adm：默認情況下安裝在“組策略”中，用于系統設置。
　　2）Inetres.adm：默認情況下安裝在“組策略”中；用于Internet Explorer策略設置。
　　3）Wmplayer.adm：用于Windows Media Player 設置。
　　4）Conf.adm：用于NetMeeting 設置。
　　在Windows 2000/XP/2003的組策略控制臺中，可以多次添加“策略模板”，而在Windows 9X下，則只允許當前打開(kāi)一個(gè)策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制臺中使用如下：
　　首先運行“組策略”程序，然后選擇“計算機配置”或者“用戶(hù)配置”下的“管理模板”，按下鼠標右鍵，在彈出的菜單中選擇“添加/刪除模板”，則彈出如圖1所示的對話(huà)框。

圖 1
　　然后單擊“添加”按鈕，在彈出的對話(huà)框中選擇相應的.adm文件。單擊“打開(kāi)”按鈕，則在系統策略編輯器中打開(kāi)選定的腳本文件，并等待用戶(hù)執行。
　　返回到“組策略”編輯器主界面后，依次打開(kāi)目錄“本地計算機策略→用戶(hù)配置→管理模板”，再點(diǎn)擊相應的目錄樹(shù)，就會(huì )看到我們新添加的管理模板所產(chǎn)生的配置項目了（為了便于本文后面的實(shí)例大家能一起動(dòng)手操作，建議添加除默認模板文件的其它模板文件）。
　　再來(lái)看Windows 9X下的組策略編輯器。首先在組策略編輯器中的“文件”菜單中選擇“關(guān)閉”，以便將當前腳本關(guān)閉，然后再在“選項”菜單中選擇“模板”，則彈出如圖2所示的對話(huà)框。

　　圖 2
　　然后單擊“打開(kāi)模板”按鈕，在彈出的對話(huà)框中選擇相應的.adm文件并單擊“打開(kāi)”按鈕，則在編輯器中打開(kāi)選定的腳本文件并等待用戶(hù)執行。 三、運行組策略
　?。ㄒ唬￤indows 9X策略編輯器
　　按操作系統的不同，策略編輯工具分為兩種，一種為Windows 2000/XP/2003組策略管理控制臺，它在系統安裝時(shí)已經(jīng)默認安裝上了；另外一種就是Windows 9X的系統策略編輯器，它在系統安裝時(shí)并不被安裝，程序文件在Windows安裝盤(pán)上的 ools eskit etadminpoledit目錄下，它包括Poledit.exe、Poledit.inf、Windows.adm等文件。
　　如果是Windows 9X系統通過(guò)下面的方法，則可以進(jìn)行正規的安裝過(guò)程。
　　1．在控制面板中，雙擊“添加/刪除程序”圖標，單擊“安裝Windows”標簽，然后單擊“從磁盤(pán)安裝”選項。
　　2．在從磁盤(pán)安裝對話(huà)框中，單擊“瀏覽”按鈕并指定Windows 9X安裝光盤(pán)的tools eskit etadminpoledit目錄。
　　3．單擊“確認”按鈕，然后再次單擊對話(huà)框中的“確認”按鈕。
　　4．在從磁盤(pán)安裝對話(huà)框中，選擇“系統策略編輯器”和“組策略”復選框，然后單擊“安裝”按鈕。
　　安裝完成后，單擊“運行”命令項，輸入poledit，然后單擊“確認”按鈕。
　　管理員可以以?xún)煞N不同的方式使用系統策略編輯器：注冊表方式和策略文件方式。
　　1．以注冊表方式使用系統策略編輯器。在系統策略編輯器中的文件菜單中，單擊打開(kāi)注冊表編輯器，然后雙擊相應的本地用戶(hù)或本地計算機圖標。這取決于要編輯注冊表中的哪個(gè)部分。在使用注冊表方式時(shí)，可以直接編輯本地或遠程計算機的注冊表。這樣，所做的改變將立即反映出來(lái)。在做出修改之后，必須關(guān)機并重新啟動(dòng)計算機以使所做修改生效。
　　2．以策略文件方式使用系統策略編輯器。在系統策略編輯器中的文件菜單中，單擊新建或打開(kāi)來(lái)打開(kāi)一個(gè)策略文件。在使用策略文件方式時(shí)，可以創(chuàng )建和修改用于其它計算機的系統策略文件（POL），在這種方式下，注冊表被間接地修改。這項改變將在用戶(hù)登錄時(shí)策略文件被下載后反映出來(lái)。當以策略文件方式編輯設置值時(shí)，單擊一個(gè)注冊表選項，可以看到三種可能狀態(tài)之一：選中、清除、變灰。每當選擇一個(gè)選項時(shí)，將會(huì )循環(huán)顯示下一個(gè)可能的狀態(tài)，這與選擇一個(gè)標準的復選框不同。標準的復選框只有選中或清除兩個(gè)選項。
　　如果一個(gè)設置值需要附加信息，那么缺省用戶(hù)屬性對話(huà)框的底部將出現一個(gè)編輯控制。通常，如果選中了一個(gè)策略，而又不想強制使用它，應當清除該復選框來(lái)取消該策略。
　?。ǘ￤indows 2000/XP/2003組策略控制臺
　　如果是Windows 2000/XP/2003系統，那么系統默認已經(jīng)安裝了組策略程序，在“開(kāi)始”菜單中，單擊“運行”命令項，輸入gpedit.msc并確定，即可運行程序（界面如圖4所示）。
圖 4

　　使用上面的方法，打開(kāi)的組策略對象就是當前的計算機，而如果需要配置其他的計算機組策略對象的話(huà)，則需要將組策略作為獨立的控制臺管理程序來(lái)打開(kāi)，具體步驟如下：
　　1）打開(kāi) Microsoft 管理控制臺（可在“開(kāi)始”菜單的“運行”對話(huà)框中直接輸入MMC并回車(chē)，運行控制臺程序）。
　　2）在“文件”菜單上，單擊“添加/刪除管理單元”。
　　3）在“獨立”選項卡上，單擊“添加”。
　　4）在“可用的獨立管理單元”對話(huà)框中，單擊“組策略”，然后單擊“添加”。
　　5）在“選擇組策略對象”對話(huà)框中，單擊“本地計算機”編輯本地計算機對象，或通過(guò)單擊“瀏覽”查找所需的組策略對象。
　　6）單擊“完成”，單擊“關(guān)閉”，然后單擊“確定”。組策略管理單元即打開(kāi)要編輯的組策略對象。
　　對于不包含域的計算機系統來(lái)說(shuō)，在上面第5步的界面中，只有“計算機”標簽，而沒(méi)有其他標簽項目。
　　通過(guò)上面的方法，我們就可以使用Windows 2000/XP/2003組策略系統強大的網(wǎng)絡(luò )配置功能，讓管理員的工作更輕松和高效。
　　在上面我們介紹了Windows 9X下的策略編輯器配置項目有“選中、清除、變灰”三種狀態(tài)，Windows 2000/XP/2003組策略管理控制臺同樣也有三種狀態(tài)，只不過(guò)名字變了。它們分別是：已啟用、未配置、已禁用。四、“桌面”設置
　　Windows的桌面就像我們的辦公桌一樣，需要經(jīng)常進(jìn)行整理和清潔，而組策略就如同我們的貼身秘書(shū)，讓桌面管理工作變得易如反掌。下面就讓我們來(lái)看看幾個(gè)實(shí)用的配置實(shí)例：
　　位置：“組策略控制臺→用戶(hù)配置→管理模板→桌面”
　　1．隱藏桌面的系統圖標（Windows 2000/XP/2003）
　　雖然通過(guò)修改注冊表的方式可以實(shí)現隱藏桌面上的系統圖標的功能，但這樣比較麻煩，也有一定的風(fēng)險。而采用組策略配置的方法，可以方便快捷地達到此目的。
　　比如要隱藏桌面上的“網(wǎng)上鄰居”和“Internet Explorer”圖標，只要在右側窗格中將“隱藏桌面上‘網(wǎng)上鄰居’圖標”和“隱藏桌面上的Internet Explorer圖標”兩個(gè)策略選項啟用即可（如圖5）；如果隱藏桌面上的所有圖標，只要將“隱藏和禁用桌面上的所有項目”啟用即可；當啟用了“刪除桌面上的‘我的文檔’圖標”和“刪除桌面上的‘我的電腦’圖標”兩個(gè)選項以后，“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失；同樣如果要讓“回收站”圖標消失，只須將“從桌面刪除回收站”策略項啟用即可。
圖 5
　　2．退出時(shí)不保存桌面設置（Windows 2000/XP/2003）
　　此策略可以防止用戶(hù)保存對桌面的某些更改。如果你啟用這個(gè)策略，用戶(hù)仍然可以對桌面做更改，但有些更改，如圖標的位置、任務(wù)欄的位置及大小，在用戶(hù)注銷(xiāo)后都無(wú)法保存，不過(guò)任務(wù)欄上的快捷方式總可以被保存。
　　在右側窗格中將“退出時(shí)不保存設置”這個(gè)策略選項啟用即可。
　　3．屏蔽“清理桌面向導”功能（Windows XP/2003）
　　“清理桌面向導”會(huì )每隔 60 天自動(dòng)在用戶(hù)的電腦上運行，以清除那些用戶(hù)不經(jīng)常使用或者從不使用的桌面圖標。如果啟用此策略設置，則可以屏蔽“清理桌面向導”，如果你禁用或不配置此設置，“清理桌面向導”會(huì )按照默認設置每隔60天運行一次。
　　打開(kāi)右側窗格中的“刪除清理桌面向導”，根據需要設置策略選項即可。
　　4．啟用/禁用“活動(dòng)桌面”（Windows 2000/XP/2003）
　　“活動(dòng)桌面”是Windows 98（及以后版本）或安裝了IE 4.0的系統中自帶的高級功能，最大的特點(diǎn)是可以設置各種圖片格式的墻紙，甚至可以將網(wǎng)頁(yè)作為墻紙顯示。但出于對安全和性能的考慮，有時(shí)候我們需要禁用這一功能（并且禁止用戶(hù)啟用它），通過(guò)策略設置可以輕松達到這一要求。具體操作方法：打開(kāi)右側窗格中的“禁用活動(dòng)桌面”并啟用此策略。
　　提示：如果同時(shí)啟用“啟用 Active Desktop”設置和“禁用 Active Desktop”設置，則“禁用 Active Desktop”設置會(huì )被忽略。如果 “禁用 Active Desktop 和 Web 視圖”設置（在“用戶(hù)配置→管理模板→Windows組件→Windows資源管理器”中）被啟用，Active Desktop 就會(huì )被禁用，并且這兩個(gè)策略都會(huì )被忽略。
　　以上介紹了幾個(gè)關(guān)于桌面的組策略配置項目，在“組策略控制臺→用戶(hù)配置→管理模板→桌面”下還有其他若干組策略配置項目，讀者可根據需要進(jìn)行配置，這里不再贅述。五、個(gè)性化“任務(wù)欄”和“開(kāi)始”菜單
　　在圖6所示窗口的右側，顯示了“任務(wù)欄”和“開(kāi)始”菜單的有關(guān)組策略配置項目。下面我們來(lái)看具體的實(shí)例：
圖 6
　　位置：“組策略控制臺→用戶(hù)配置→管理模板→任務(wù)欄和開(kāi)始菜單”
　　1．給“開(kāi)始”菜單減肥（Windows 2000/XP/2003）
　　如果覺(jué)得Windows的“開(kāi)始”菜單太臃腫的話(huà)，可以將不需要的菜單項從“開(kāi)始”菜單中刪除。在組策略右側窗格中，提供了“從開(kāi)始菜單刪除用戶(hù)文件夾”、“刪除到‘Windows Update’的訪(fǎng)問(wèn)和鏈接”、“從開(kāi)始菜單刪除公用程序組”、“從開(kāi)始菜單中刪除‘我的文檔’圖標”等多種組策略配置項目。你只要將不需要的菜單項所對應的策略啟用即可。
　　2．保護好“任務(wù)欄”和“開(kāi)始”菜單（Windows 2000/XP/2003）
　　如果你不想隨意讓他人更改“任務(wù)欄”和“開(kāi)始”菜單的設置，你只要將組策略控制臺右側窗格中的“阻止更改‘任務(wù)欄和開(kāi)始菜單’設置”和“阻止訪(fǎng)問(wèn)任務(wù)欄的上下文菜單”兩個(gè)策略項啟用即可。這樣，當你用鼠標右鍵單擊任務(wù)欄并單擊“屬性”時(shí)，系統會(huì )出現一個(gè)錯誤消息（圖7），且當鼠標右鍵單擊任務(wù)欄及任務(wù)欄上的項目時(shí)，例如“開(kāi)始”按鈕、時(shí)鐘和“任務(wù)欄”按鈕，彈出菜單會(huì )隱藏。
圖 7
　　3．禁止“注銷(xiāo)”和“關(guān)機”（Windows 2000/XP/2003）
　　當計算機啟動(dòng)以后，如果你不希望這個(gè)用戶(hù)再進(jìn)行“關(guān)機”和“注銷(xiāo)”操作，那么可將組策略控制臺右側窗格中的“刪除開(kāi)始菜單上的‘注銷(xiāo)’”和“刪除和阻止訪(fǎng)問(wèn)‘關(guān)機’命令”兩個(gè)策略啟用。
　　這個(gè)設置會(huì )從開(kāi)始菜單刪除“關(guān)機”選項，并禁用“Windows 任務(wù)管理器”對話(huà)框按“Ctrl+Alt+Del”會(huì )出現這個(gè)對話(huà)框　中的“關(guān)機”選項 。另外需要注意的是，此設置雖然可防止用戶(hù)用 Windows界面來(lái)關(guān)機，但無(wú)法防止用戶(hù)用其他第三方工具程序來(lái)將 Windows 關(guān)閉。
　　提示：如果啟用了“刪除開(kāi)始菜單上的‘注銷(xiāo)’”，則會(huì )從“開(kāi)始菜單選項”刪除“顯示注銷(xiāo)”項目。用戶(hù)無(wú)法將“注銷(xiāo)”項目還原到開(kāi)始菜單（只能通過(guò)手工修改注冊表的方法）。這個(gè)設置只影響開(kāi)始菜單，它不影響 “Windows 任務(wù)管理器”對話(huà)框上的“注銷(xiāo)”項目（因此需要同時(shí)啟用“刪除和阻止訪(fǎng)問(wèn)‘關(guān)機’命令”），而且不妨礙用戶(hù)用其它方法注銷(xiāo)。
　　4．利用組策略保護個(gè)人文檔隱私（Windows 2000/XP/2003）
　　Windows有個(gè)高級智能功能，即可以記錄你曾經(jīng)訪(fǎng)問(wèn)過(guò)的文件。雖然這個(gè)功能可以方便用戶(hù)再次打開(kāi)該文件，但出于安全和性能的考慮（例如不想讓人知道自己瀏覽過(guò)哪些網(wǎng)頁(yè)和打開(kāi)過(guò)哪些文件），有時(shí)需要屏蔽此功能。利用組策略，只要在右側窗格中將“不要保留最近打開(kāi)文檔的記錄”和“退出時(shí)清除最近打開(kāi)的文檔的記錄”兩個(gè)策略啟用即可。
　　另外需要注意的是，如果啟用此策略設置但不啟用“從開(kāi)始菜單中刪除文檔菜單”策略設置，“文檔”菜單還會(huì )出現在“開(kāi)始”菜單上，但是該菜單為空菜單。如果啟用此策略設置，后來(lái)又禁用它并將它設置為“未配置”，則啟用策略設置之前保存的文檔快捷方式會(huì )重新出現在“文檔”菜單和應用程序的“文件”菜單中。
六、IE設置手到擒來(lái)
　　微軟的Internet Explorer讓我們可以輕松地在互聯(lián)網(wǎng)上遨游，但要想用好Internet Explorer，則必須將它配置好。在IE瀏覽器的“Internet選項”窗口中，提供了比較全面的設置選項（例如：“首頁(yè)”、“臨時(shí)文件夾”、“安全級別”和“分級審查”等項目），但部分高級功能沒(méi)有提供，而通過(guò)組策略即可輕松實(shí)現這些功能。下面來(lái)看具體實(shí)例：
　　位置：“組策略控制臺→用戶(hù)配置→管理模板→Windows 組件→Internet Explorer（需添加inetres.adm模板文件）”
　　1．禁用“在新窗口中打開(kāi)”菜單項（Windows 2000/XP/2003）
　　出于對安全的考慮，有時(shí)候我們有必要屏蔽IE的一些功能菜單，組策略提供了豐富的設置項目，比如禁用“另存為...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打開(kāi)’菜單項”為例介紹具體的設置方法。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→Windows 組件→Internet Explorer→瀏覽器菜單”，然后打開(kāi)“禁用‘在新窗口中打開(kāi)’菜單項”并設置為“啟用”。啟用該策略后，用戶(hù)在某個(gè)鏈接上單擊鼠標右鍵，然后單擊 “在新窗口中打開(kāi)”時(shí)，該命令將不起作用。該策略可與“‘文件’菜單禁用‘新建’菜單項”一起使用，后者禁止用戶(hù)通過(guò)單擊“文件”菜單，指向“新建”，然后單擊“窗口”在新窗口中打開(kāi)瀏覽器（如圖8所示，“新建→窗口”項目已經(jīng)無(wú)法使用）。
圖 8
　　提示：?jiǎn)⒂迷摬呗院?，單擊“在新窗口中打開(kāi)”命令，將無(wú)法在新窗口中打開(kāi)鏈接，系統會(huì )提示用戶(hù)該命令無(wú)效，網(wǎng)頁(yè)自動(dòng)打開(kāi)的窗口也全部被禁止，其實(shí)這樣也可達到屏蔽彈出廣告窗口的效果。
　　2．限制IE瀏覽器的保存功能（Windows 2000/XP/2003）
　　在使用IE瀏覽網(wǎng)頁(yè)過(guò)程中，當遇到好的圖片、文章等資源時(shí)可以使用“另存為”功能將它保存到本地硬盤(pán)中，當多人共用一臺計算機時(shí)，為了保持硬盤(pán)的整潔，需要對瀏覽器的保存功能進(jìn)行限制。那么如何才能實(shí)現呢?可以這樣操作：打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→Windows組件→Internet Explorer→瀏覽器菜單”，然后將右側窗格中的“‘文件’菜單：禁用‘另存為...’菜單項”、“‘文件’菜單：禁用另存為網(wǎng)頁(yè)菜單項”、“‘查看 ’菜單：禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目全部啟用即可。
　　如果不希望別人對IE瀏覽器的設置隨意更改，可以將“‘工具’菜單：禁用‘Internet選項...’”策略啟用。另外，根據個(gè)人的需要，在該窗格中還可以禁用其他項目。
　　3．禁用“Internet 選項”控制面板（Windows 2000/XP/2003）
　　上面提到了“禁用Internet選項”的功能，使用該功能可以達到阻止別人對IE隨便設置的目的。而這種方法無(wú)法具體禁用Internet選項中的控制模板項目，因此給具體應用帶來(lái)麻煩。通過(guò)下面的組策略設置方法，則可以實(shí)現這一要求：
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→Windows組件→Internet Explorer→Internet 控制面板”，在右邊窗格中我們可以看到“禁用常規頁(yè)”、“禁用安全頁(yè)”等組策略項目。下面以“禁用常規頁(yè)”為例進(jìn)行說(shuō)明：打開(kāi)右邊窗格中的“禁用常規頁(yè)” 并設置為“啟用”。然后我們再打開(kāi)Internet選項控制面板，會(huì )發(fā)現“常規”項目已經(jīng)沒(méi)有了（圖9），這樣一來(lái)用戶(hù)將無(wú)法看到和更改主頁(yè)、緩存、歷史記錄、網(wǎng)頁(yè)外觀(guān)以及輔助功能的設置，因為該策略將刪除界面上的“常規”選項卡，所以如果設置了該策略，則無(wú)須設置位于 “用戶(hù)配置→管理模板→Windows 組件→Internet Explorer”中的諸如“禁用更改主頁(yè)設置”、“禁用更改顏色設置”等策略。
4．禁止修改IE瀏覽器的主頁(yè)（Windows 2000/XP/2003）
　　如果不希望他人對自己設定的IE瀏覽器主頁(yè)進(jìn)行隨意更改的話(huà)，可以打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→Windows組件→Internet Explorer→工具欄”，然后選擇“禁用更改主頁(yè)設置”組策略并啟用即可。另外在這個(gè)窗格中，還提供了“更改歷史記錄設置”、“更改顏色設置”和“更改Internet臨時(shí)文件設置”等項目的禁用功能。
　　啟用此策略后，在IE瀏覽器的“Internet 選項”對話(huà)框中，其“常規”選項卡的“主頁(yè)”區域的設置將變灰。
　　提示：如果設置了位于“組策略控制臺→用戶(hù)配置→管理模板→Windows組件→Internet Explorer→Internet Explorer控制面板”中的“禁用常規頁(yè)”策略，則無(wú)須設置該策略，因為“禁用常規頁(yè)”策略將刪除界面上的“常規”選項卡。
　　5．自定義IE工具欄（Windows 2000/XP/2003）
　　IE工具欄的背景和上面的按鈕都是可以自定義的，以前我們大多使用手動(dòng)修改注冊表的方法，不過(guò)并不直觀(guān)，現在我們用“組策略”可以更方便地達到效果，打造屬于我們自己的IE。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→Windows設置→Internet Explorer維護→瀏覽器用戶(hù)界面”下的“瀏覽器工具欄按鈕自定義”策略配置項目，在這里，可以自定義瀏覽器工具欄的背景圖片，點(diǎn)擊“瀏覽”選擇一個(gè) BMP的位圖文件即可（注意：工具欄背景應該與工具欄大小相同，而亮度應該足以顯示黑色文字，否則實(shí)際效果并不理想）。
　　接下來(lái)，我們要在IE的工具欄上添加自己的快捷方式，比如添加“我的QQ”，在這里也可以很輕松地完成。
　　點(diǎn)擊“添加”，在“工具欄標題”中輸人“我的QQ”，在“工具欄操作”中選擇QQ程序的路徑，最后再選擇好“顏色圖標”和“灰度圖標”的路徑（如果你不知道怎么提取這兩個(gè)圖標，可以請EXeScope這個(gè)軟件來(lái)幫忙，在各大站點(diǎn)都可以下載）。設置完成后點(diǎn)“確定”，再次打開(kāi)IE后就可以看到修改的效果了。七、輕松實(shí)現Windows高級功能
　　1．設置并鎖定Windows Media Player外觀(guān)（Windows 2000/XP/2003）
　　Windows Media Player是目前最流行的多媒體播放器之一，如果不希望其他用戶(hù)隨意更改其界面外觀(guān)的話(huà)，利用組策略可以輕松實(shí)現。打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→Windows 組件→Windows Media Player→用戶(hù)界面中的設置并鎖定外觀(guān)”啟用此策略。
　　啟用此策略后，將使 Windows Media Player 只以指定的外觀(guān)模式顯示，具體可以使用在“策略”選項卡上的“外觀(guān)”框中指定的外觀(guān)（如圖10所示）。你必須為外觀(guān)使用完整的文件名例如 miniplayer.wmz　。如果外觀(guān)文件在用戶(hù)的計算機上沒(méi)有安裝，播放器將以Windows Media Player外觀(guān)打開(kāi)。
圖 10
　　提示：本策略設置軟件版本至少為Windows Media Player v8.00，ADM文件為wmplayer.adm。
　　2．禁止Windows Media Player播放時(shí)運行屏保（Windows 2000/XP/2003）
　　屏幕保護程序可以有效地保護我們的顯示器，但是當我們使用播放器觀(guān)看精彩影片時(shí)，經(jīng)常會(huì )出現屏幕保護程序突然運行而中斷觀(guān)看的尷尬局面?，F在我們可以通過(guò)組策略來(lái)解決屏幕保護程序使Windows Media Player播放中斷的麻煩問(wèn)題了。打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→Windows組件→Windows Media Player→播放中的允許運行屏幕保護程序”并將它設置為“已禁用”狀態(tài)。
　　3．優(yōu)化配置Windows Media Player網(wǎng)絡(luò )緩沖（Windows 2000/XP/2003）
　　當我們使用Windows Media Player播放流式媒體時(shí)，播放器會(huì )在播放前對流式媒體進(jìn)行緩沖處理，以便可以流暢地進(jìn)行播放。在實(shí)際應用中，根據網(wǎng)絡(luò )帶寬和服務(wù)器的連接速度，緩存的時(shí)間長(cháng)短并不一樣，但Windows Media Player卻是在使用同一設置，這無(wú)疑與實(shí)際網(wǎng)絡(luò )情況不匹配，因此我們可以根據具體的網(wǎng)絡(luò )帶寬情況自己優(yōu)化配置網(wǎng)絡(luò )緩沖。打開(kāi)“組策略控制臺→用戶(hù)配置 →管理模板→Windows組件→Windows Media Player→網(wǎng)絡(luò )中的配置網(wǎng)絡(luò )緩沖”并設置為啟用狀態(tài)，在出現的緩沖時(shí)間（秒數）配置選項中，根據網(wǎng)絡(luò )的帶寬情況進(jìn)行自定義（最多 60 秒）。
　　提示：如果此策略已啟用，那么Windows Media Player“性能”選項卡上的緩存選項將不能再配置。
　　4．屏蔽使用所有 Windows Update 功能的訪(fǎng)問(wèn)（Windows 2000/XP/2003）
　　Windows Update可以自動(dòng)連接Microsoft網(wǎng)站并下載更新內容，這對大部分用戶(hù)來(lái)說(shuō)是比較實(shí)用的，但對于不需要更新或者帶寬緊張的電腦用戶(hù)來(lái)說(shuō)，此功能就顯得多余了，而且經(jīng)常傳聞Windows Update會(huì )將計算機用戶(hù)信息“秘密”發(fā)往Microsoft，因此也可以屏蔽這一“智能”高級功能。打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板 →Windows 組件→Windows Update”中的“刪除使用所有 Windows Update 功能的訪(fǎng)問(wèn)”組策略并啟用此策略。
　　提示：如果你啟用此設置，所有 Windows Update功能（其中包括阻止訪(fǎng)問(wèn)Windows Update網(wǎng)站http//windowsupdate.microsoft.com、開(kāi)始菜單上的 Windows Update的超鏈接和Internet資源管理器上的工具菜單）將被刪除。Windows自動(dòng)更新也被禁用，你將不會(huì )收到有關(guān)更新的通知，也不會(huì )接到 Windows Update的重要更新。此設置還會(huì )阻止設備管理器自動(dòng)從Windows Update網(wǎng)站下載安裝驅動(dòng)程序的更新。
　　5．在Windows XP/2003中實(shí)現遠程關(guān)機（Windows XP/2003）
　　在Windows XP/2003中，新增了一條命令行工具“shutdown”，它可以關(guān)閉或重新啟動(dòng)本地或遠程計算機。利用它，我們不但可以注銷(xiāo)用戶(hù)、關(guān)閉或重新啟動(dòng)計算機，還可以實(shí)現定時(shí)關(guān)機、遠程關(guān)機。該命令的語(yǔ)法格式如下：
　　shutdown [-i |-l|-s |-r |-a][-f][-m[\ComputerName]][-t xx][-c ″message″][-d[u][p]:xx:yy]
　　該命令具體的使用參數和技巧請參考Windows的幫助系統，幫助系統里面有全面的資料。我們現在簡(jiǎn)單地看一下該命令的一些基本用法：
　　1）注銷(xiāo)當前用戶(hù)
　　shutdown - l
　　該命令只能注銷(xiāo)本機用戶(hù)，對遠程計算機不適用。
　　2）關(guān)閉本地計算機
　　shutdown - s
　　3）重啟本地計算機
　　shutdown - r
　　4）定時(shí)關(guān)機
　　shutdown - s -t 30
　　指定在30秒之后自動(dòng)關(guān)閉計算機。
　　5）中止計算機的關(guān)閉。有時(shí)我們設定了計算機定時(shí)關(guān)機后，如果出于某種原因又想取消這次關(guān)機操作，就可以用shutdown - a來(lái)中止。
　　在該命令的格式中，有一個(gè)參數[-m [\ComputerName]，用它可以指定將要關(guān)閉或重啟的計算機名稱(chēng)，若省略的話(huà)則默認為對本機操作。你可以用以下命令來(lái)試一下：
　　shutdown -s -m \Anyes-solon -t 30
　　在30秒內關(guān)閉計算機名為Anyes-solon（Anyes-solon為局域網(wǎng)內一臺同樣裝有Windows XP/2003）的電腦。
　　該命令執行后，計算機Anyes-solon一點(diǎn)反應都沒(méi)有，屏幕上卻提示“Access is denied （拒絕訪(fǎng)問(wèn)）”。
　　出現這種情況是因為Windows XP默認的安全策略中，只有管理員組的用戶(hù)才有權從遠端關(guān)閉計算機，而一般情況下我們從局域網(wǎng)內的其他電腦訪(fǎng)問(wèn)該計算機時(shí)，則只有g(shù)uest用戶(hù)權限，所以當我們執行上述命令時(shí)，便會(huì )出現“拒絕訪(fǎng)問(wèn)”的情況。
　　而我們利用組策略即可賦予guest用戶(hù)遠程關(guān)機的權限。打開(kāi)“組策略控制臺→計算機配置→Windows 設置→安全設置→本地策略→用戶(hù)權利指派中的從遠端系統強制關(guān)機”，在彈出的對話(huà)框中顯示目前只有“Administrators”組的成員才有權從遠程關(guān)機；單擊對話(huà)框下方的“添加用戶(hù)或組”按鈕，然后在新彈出的對話(huà)框中輸入“guest”，再單擊“確定”按鈕（如圖11所示）。
圖 11
　　通過(guò)上述操作后，我們便給計算機Anyes-solon的guest用戶(hù)授予了遠程關(guān)機的權限。以后，倘若你要遠程關(guān)閉計算機Anyes- solon，只要在網(wǎng)絡(luò )中其他裝有Windows XP/2003的計算機中輸入以下命令shutdown -s -m \Anyes-solon -t 60即可。
　　這時(shí)，在A(yíng)nyes-solon計算機的屏幕上將顯示一個(gè)“系統關(guān)機”的對話(huà)框，在對話(huà)框下方還有一個(gè)計時(shí)器，顯示離關(guān)機還有多少時(shí)間（如圖12所示）。在等待關(guān)機的時(shí)間里，用戶(hù)還可以執行其他的任務(wù)，如關(guān)閉程序、打開(kāi)文件等，但無(wú)法關(guān)閉該對話(huà)框，除非你用 shutdown -a命令來(lái)中止關(guān)機任務(wù)
八、用組策略提升系統性能
　　1．讓W(xué)indows 的上網(wǎng)速率提升20%（Windows XP/2003）
　　默認情況下，Windows網(wǎng)絡(luò )連接數據包調度程序將系統限制在80%的連接帶寬之內，這對帶寬較小的網(wǎng)絡(luò )來(lái)說(shuō)，無(wú)疑是筆不小的開(kāi)支。我們可以通過(guò)組策略設置來(lái)替代默認值，讓我們的上網(wǎng)速率提高20%!
　　打開(kāi)“組策略控制臺→計算機配置→管理模板→網(wǎng)絡(luò )”中的“QoS數據包調度程序”并啟用此策略，然后使用下面“帶寬限制”框來(lái)調整系統可保留的帶寬比例，將它設置為0%即可，然后按確定退出，之后我們就可以使用另外20%的帶寬了。
　　2．關(guān)閉縮略圖的緩存（Windows XP/2003）
　　Windows XP/20003系統具有縮略圖視圖功能，且為了加快那些被頻繁瀏覽的縮略圖顯示速度，系統會(huì )將這些被顯示過(guò)的圖片進(jìn)行緩存，以便下次打開(kāi)時(shí)直接讀取緩存中的信息，從而達到快速顯示的目的。但如果我們不希望系統進(jìn)行緩沖的話(huà)（比如只瀏覽一次的圖片），則可以利用組策略關(guān)閉縮略圖緩存的功能，這樣第一次瀏覽速度反而會(huì )大大加快（因為不進(jìn)行緩存處理）。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→Windows組件→Windows資源管理器”中的“關(guān)閉縮略圖的緩存”并啟用此策略。
　　3．屏蔽系統自帶的CD刻錄功能（Windows XP/2003）
　　Windows XP/2003系統自帶CD刻錄功能，如果你有CD刻錄機接在計算機上，Windows 資源管理器允許你制作并修改可重寫(xiě)式CD。但這樣無(wú)疑會(huì )影響系統性能和資源管理器的執行速度，因此我們可以利用組策略來(lái)屏蔽此功能（大部分用戶(hù)都使用專(zhuān)用的CD刻錄軟件）。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→網(wǎng)絡(luò )→”中的“刪除CD刻錄功能”并啟用此策略。
　　4．關(guān)閉系統還原功能（Windows XP/2003）
　　系統還原是Windows XP/2003中集成的強大功能，它在系統運行的同時(shí)，備份那些被更改的文件和數據，如果出現問(wèn)題，系統還原使用戶(hù)能夠在不丟失個(gè)人數據文件的情況下，將計算機還原到以前的狀態(tài)。默認情況下，系統還原處于打開(kāi)狀態(tài)。
　　但為這一功能付出的代價(jià)也是相當大的，系統性能會(huì )明顯下降，磁盤(pán)空間也會(huì )被占用很多。對于配置不高的計算機來(lái)說(shuō)，強烈建議關(guān)閉此功能。
　　打開(kāi)“組策略控制臺→計算機配置→管理模板→系統→系統還原”中的“關(guān)閉系統還原”并啟用此策略。啟用此設置后即可關(guān)閉系統還原功能，并且不能訪(fǎng)問(wèn)“系統還原向導”和“配置界面”。
　　5．禁止Windows Messenger自動(dòng)運行（Windows XP/2003）
　　在Windows系統中集成的優(yōu)秀應用軟件越來(lái)越多，但這些系統內置的軟件都沒(méi)有卸載選項，引起很多電腦用戶(hù)的不滿(mǎn)。比如Windows XP自帶的Windows Messenger，不但卸載不方便而且還隨系統一起自動(dòng)運行。對于不上網(wǎng)的計算機用戶(hù)或者根本就不用Windows Messenger的用戶(hù)來(lái)說(shuō)，當然要屏蔽此軟件的自動(dòng)運行功能。
　　打開(kāi)“組策略控制臺→計算機配置→管理模板→Windows組件→Windows Messenger”中的“不允許運行Windows Messenger ”并啟用此策略。
　　提示：這個(gè)設置出現在“計算機配置”和“用戶(hù)配置”文件夾中。如果兩個(gè)設置都配置，“計算機配置”中的設置比“用戶(hù)配置”中的設置優(yōu)先。
　　九、用組策略打造系統銅墻鐵壁級功能
　　1．隱藏“我的電腦”中指定的驅動(dòng)器（Windows XP/2003）
　　此組策略可以從“我的電腦”和“Windows 資源管理器”上刪除代表所選硬件驅動(dòng)器的圖標。并且驅動(dòng)器號代表的所有驅動(dòng)器不出現在標準的打開(kāi)對話(huà)框上。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→Windows組件→Windows資源管理器”中的“隱藏‘我的電腦’中的這些指定的驅動(dòng)器”并啟用此策略，并在下面列表框中選擇一個(gè)驅動(dòng)器或幾個(gè)驅動(dòng)器。
　　提示：這項策略只刪除驅動(dòng)器圖標。用戶(hù)仍可通過(guò)使用其它方式繼續訪(fǎng)問(wèn)驅動(dòng)器的內容。同時(shí)這項策略不會(huì )防止用戶(hù)使用程序訪(fǎng)問(wèn)這些驅動(dòng)器或其內容。并且也不會(huì )防止用戶(hù)使用磁盤(pán)管理即插即用來(lái)查看并更改驅動(dòng)器特性。
　　2．防止從“我的電腦”訪(fǎng)問(wèn)驅動(dòng)器（Windows 2000/XP/2003）
　　此策略讓用戶(hù)無(wú)法查看在“我的電腦”或“Windows 資源管理器”中所選驅動(dòng)器的內容。同時(shí)它也禁止使用運行對話(huà)框、鏡像網(wǎng)絡(luò )驅動(dòng)器對話(huà)框或Dir命令查看在這些驅動(dòng)器上的目錄。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→Windows組件→Windows資源管理器”中的“防止從‘我的電腦’訪(fǎng)問(wèn)驅動(dòng)器”并啟用此策略，并在下面列表框中選擇一個(gè)驅動(dòng)器或幾個(gè)驅動(dòng)器。
　　提示：這些代表指定驅動(dòng)器的圖標仍舊會(huì )出現在“我的電腦”中，但是如果用戶(hù)雙擊圖標，會(huì )出現一條消息解釋設置防止這一操作。同時(shí)這些設置不會(huì )防止用戶(hù)使用其它程序訪(fǎng)問(wèn)本地和網(wǎng)絡(luò )驅動(dòng)器。并且不防止他們使用磁盤(pán)管理即插即用查看和更改驅動(dòng)器特性。
　　3．禁止使用命令提示符（Windows 2000/XP/2003）
　　在Windows 2000/XP/2003下，我們可以運行cmd.exe進(jìn)入命令提示符狀態(tài)，并可以繼續運行一些DOS命令和其他命令行程序。出于對安全的考慮，有些系統應該屏蔽此功能。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→系統”中的“阻止訪(fǎng)問(wèn)命令提示符”并啟用此策略，并在下面列表框中選擇是否“也停用命令提示符腳本處理”，這個(gè)設置還決定批處理文件 .cmd和.bat　是否可以在計算機上運行。
　　如果啟用這個(gè)設置，在用戶(hù)試圖打開(kāi)命令窗口時(shí)，系統會(huì )顯示一條消息，解釋設置阻止這一操作。
　　4．禁止更改顯示屬性（Windows 2000/XP/2003）
　　選擇“控制面板”中的“顯示”或在Windows桌面的空白處單擊右鍵選擇“屬性”，可進(jìn)入“顯示設置”對話(huà)框，可以對桌面主題、桌面背景、屏保程序、顯示設置等各項進(jìn)行設置，如果你不想讓別人隨意更改各項設置，可以通過(guò)組策略將它隱藏起來(lái)。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→控制面板→顯示”，然后可以看到隱藏桌面選項卡、隱藏主題選項卡、隱藏保護程序選項卡、隱藏設置選項卡等策略配置，可根據需要對這些項目進(jìn)行配置。比如啟用了“隱藏‘桌面’選項卡”策略后，再打開(kāi)“顯示屬性”對話(huà)框，就看不到“桌面”標簽了，這樣自然就無(wú)法再對桌面屬性進(jìn)行更改了。
　　5．禁用注冊表編輯器（Windows 2000/XP/2003）
　　為了防止他人進(jìn)入電腦后對注冊表文件進(jìn)行修改，可以在組策略中對注冊表編輯器做禁止訪(fǎng)問(wèn)設置。具體操作方法：打開(kāi)“組策略控制臺→用戶(hù)配置→系統”中的“阻止訪(fǎng)問(wèn)注冊表編輯工具”并啟用此策略。
　　此策略被啟用后，用戶(hù)試圖啟動(dòng)注冊表編輯器（Regedit.exe 及 Regedt32.exe）的時(shí)候，系統會(huì )禁止這類(lèi)操作并彈出警告消息。
　　6．徹底禁止訪(fǎng)問(wèn)“控制面板”（Windows 2000/XP/2003）
　　如果不希望其他用戶(hù)訪(fǎng)問(wèn)計算機的“控制面板”，同樣可以使用組策略來(lái)實(shí)現。打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→擴展面板”中的“禁止訪(fǎng)問(wèn)控制面板”并啟用此策略。
　　此策略啟用后可以防止“控制面板”程序文件（Control.exe）的啟動(dòng)。他人將無(wú)法啟動(dòng)“控制面板”（或運行任何“控制面板”項目）。另外，這個(gè)設置將從“開(kāi)始”菜單中刪除“控制面板”。同時(shí)這個(gè)設置還從“Windows資源管理器”中刪除“控制面板”文件夾。
　　7．禁止建立新的撥號連接（Windows 2000/XP/2003）
　　如果不想讓別人在計算機中建立新連接來(lái)?yè)芴柹暇W(wǎng)的話(huà)，組策略也可以做到。打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→網(wǎng)絡(luò )→網(wǎng)絡(luò )連接”中的“禁止訪(fǎng)問(wèn)新建連接向導”并啟用此策略。
　　啟用此策略后，在“網(wǎng)絡(luò )連接”文件夾和“開(kāi)始菜單”中就不會(huì )出現“建立新連接”。
　　提示：此設置無(wú)法阻止用戶(hù)使用諸如 Internet Explorer 這樣的其它程序來(lái)繞過(guò)此設置。另外此設置必須重新啟動(dòng)計算機后才能生效。
　　8．禁用“添加/刪除程序”（Windows 2000/XP/2003）
　　“控制面板”中“添加或刪除程序”項目允許你安裝、卸載、修復并添加和刪除 Windows 的功能和組件以及種類(lèi)很多的 Windows 程序。如果你想阻止其他用戶(hù)安裝或卸載程序，可利用組策略來(lái)實(shí)現。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→控制面板→添加→刪除程序”中的“刪除‘添加/刪除程序’程序”并啟用此策略，當我們再打開(kāi)“控制面板”中“添加/刪除程序”模塊的時(shí)候，會(huì )自動(dòng)彈出警告窗口，而“添加/刪除程序”則無(wú)法運行。
　　此外，在“添加/刪除程序”分支中還可以對Windows“添加/刪除程序”項中的“添加新程序”、“從CD-ROM或軟盤(pán)添加程序”、“從 Microsoft添加程序”、“從網(wǎng)絡(luò )添加程序”等項進(jìn)行隱藏，通過(guò)這些策略項目的設置，起到了保護計算機中系統文件及應用程序的作用。
　　9．限制使用應用程序（Windows 2000/XP/2003）
　　如果你的電腦設置了多個(gè)用戶(hù)，有些程序我們可能不希望其他用戶(hù)隨意運行，也能在組策略中設置。
　　打開(kāi)“組策略控制臺→用戶(hù)配置→管理模板→系統”中的“只運行許可的Windows應用程序”并啟用此策略，然后點(diǎn)擊下面的“允許的應用程序列表”邊的 “顯示”按鈕，彈出一個(gè)“顯示內容”對話(huà)框，在此單擊“添加”按鈕來(lái)添加允許運行的應用程序即可。以后一般用戶(hù)只能運行“允許的應用程序列表”中的程序。


Windows 2000 安全策略
本部分介紹各種安全策略工具及其有關(guān)安全策略應用的優(yōu)先級順序。默認情況下，組策略具有繼承性和累積性，并且影響 Microsoft Active Directory? 容器中的所有計算機。通過(guò)使用組策略對象 (GPO) 可以管理組策略，這些組策略對象是在選定 Active Directory 對象（如站點(diǎn)、域或組織單位 (OU)）的特定層次結構中附加的數據結構。
創(chuàng )建了這些 GPO 后，可以按照如下標準順序應用：LSDOU，其表示 (1) 本地、(2) 站點(diǎn)、(3) 域、(4) OU。后應用的策略?xún)?yōu)先級高于先應用的策略?xún)?yōu)先級。如果某臺計算機屬于某一域，并且在域和本地計算機策略之間存在沖突時(shí)，則域策略有效。然而，如果某臺計算機不再屬于某一域，則應用本地組策略。
計算機加入實(shí)施 Active Directory 和組策略的域時(shí)，會(huì )處理本地 GPO。請注意，甚至在指定了“阻止策略繼承”選項時(shí)，也會(huì )處理本地 GPO 策略。
可以在默認域 GPO 本地策略（審核策略、用戶(hù)權限分配和安全選項）中定義整個(gè)域的帳戶(hù)策略（密碼、帳戶(hù)鎖定和 Kerberos 策略），因為在默認域控制器 GPO 中定義了域控制控制器 (DC) 。對于 DC，在默認 DC GPO 中定義的設置優(yōu)先級高于在默認域 GPO 中定義的設置。這樣，如果在默認域 GPO 中配置用戶(hù)特權（例如，“域中添加工作站”），則對此域中的 DC 沒(méi)有影響。
存在有在特定 GPO 中允許強制實(shí)施組策略的選項，這樣可以防止較低級別的 Active Directory 容器中的 GPO 替代此策略。例如，如果在域級別定義了特定 GPO，并指定強制實(shí)施 GPO，則 GPO 包含的策略將會(huì )應用于此域中的所有 OU；也就是說(shuō)，較低級別的容器 (OU) 無(wú)法替代此域組策略。
注意：帳戶(hù)策略安全區域接收它在此域計算機中生效的專(zhuān)門(mén)處理方式。此域中的所有 DC 接收來(lái)自在域節點(diǎn)配置的 GPO 的帳戶(hù)策略，而不考慮 DC 的計算機對象的位置。這樣可確保對于所有域帳戶(hù)強制實(shí)施一致的帳戶(hù)策略。域中的所有非 DC 的計算機可按照正常的 GPO 層次結構來(lái)獲得這些計算機上本地帳戶(hù)的策略。默認情況下，成員工作站和服務(wù)器強制實(shí)施其本地帳戶(hù)域 GPO 中配置的策略設置，但如果存在有替代默認設置的更低范圍的其他 GPO，則這些設置將會(huì )生效。
本地安全策略
使用本地安全策略可以在本地計算機中設置安全要求。其主要用于單獨計算機或用于將特定安全設置應用于域成員。在 Active Directory 托管網(wǎng)絡(luò )中，本地安全策略設置具有最低優(yōu)先級。
?
打開(kāi)本地安全策略
1.

以管理員權限登錄到計算機。
2.

在 Windows 2000 Professional 計算機中，默認情況下“管理工具”不會(huì )作為“開(kāi)始”菜單中的選項進(jìn)行顯示。要在 Windows 2000 Professional 中查看“管理工具”菜單選項，請單擊“開(kāi)始”，指向“設置”，然后單擊“任務(wù)欄和開(kāi)始菜單”。在“任務(wù)欄和開(kāi)始菜單屬性”窗口中，單擊“高級”選項卡。在 “開(kāi)始菜單設置”對話(huà)框中選擇“顯示管理工具”。單擊“確定”按鈕完成設置。
3.

單擊“開(kāi)始”，指向“程序”，再指向“管理工具”，然后單擊“本地安全策略”。這樣就可以“本地安全設置”控制臺。

圖 1：本地安全設置
域安全策略
使用域安全策略可以設置和傳播域中所有計算機的安全要求。域安全策略替代域中所有計算機的本地安全策略設置。
?
打開(kāi)域安全策略
1.

打開(kāi)“Active Directory 用戶(hù)和計算機”管理單元。
2.

右鍵單擊要查看的適當的組織單位或域，然后單擊“屬性”。例如，要查看域安全策略，右鍵單擊域。要查看域控制器策略，右鍵單擊“域控制器”OU。
3.

單擊“組策略”選項卡。
4.

單擊“編輯”按鈕。
5.

展開(kāi)“Windows 設置”。
6.

在“安全設置”樹(shù)中執行安全配置。
組織單位組策略對象
應該使用 OU 管理域中的安全策略。此域已經(jīng)與域控制器 OU 一起提供。但是，可以根據需要定義其他 OU。例如，在域級別應該應用基準設置，然后在 OU 級別應用特定設置。這樣，可以創(chuàng )建工作站 OU 并將所有工作站置于其中，創(chuàng )建域服務(wù)器 OU 并將所有域成員服務(wù)器置于其中，等等。
OU GPO 可以替代由前面討論的策略界面實(shí)施的安全策略設置。例如，如果為域設置的策略與為域控制器 OU 配置的相同策略不兼容，則域控制器不會(huì )繼承域策略設置。通過(guò)在創(chuàng )建 OU GPO 時(shí)選擇“禁止替代”選項，可以避免發(fā)生此情況?！敖固娲边x項會(huì )強制所有子容器繼承來(lái)自父容器的策略，即使在這些策略與子容器的策略有沖突以及為子容器設置了“阻止繼承”的情況下也是如此。通過(guò)單擊 GPO 的“屬性”對話(huà)框上的“選項”按鈕，定位“禁止替代”復選框。
返回頁(yè)首返回頁(yè)首
其他安全配置界面
為了便于討論和實(shí)施，本文檔重點(diǎn)介紹有關(guān)通過(guò) Windows 2000 安全策略管理安全設置。但是，在獨立計算機上，這些界面不可用，甚至在域成員中有時(shí)需要逐一管理安全性，而不是通過(guò)組策略進(jìn)行管理。有許多獨立工具可以用于執行這些任務(wù)。最常使用的是所有 Windows 2000 系統都附帶的安全配置編輯器。
安全配置編輯器
管理配置編輯器 (SCE) 由 Microsoft 管理控制臺 (MMC) 兩個(gè)管理單元組成，用于提供對 Windows 2000 操作系統進(jìn)行安全配置和分析的功能。第一個(gè)管理單元是“安全模板”管理單元，可以為管理員提供管理 .inf 文件（用于應用安全設置）的圖形方式。第二個(gè)管理單元是“安全配置和分析”管理單元，用于管理員分析與特定模板相關(guān)的系統的安全性以及將模板中的設置應用于系統。這些界面如圖 2 所示。為了查看這些管理單元，必須創(chuàng )建一個(gè)新的控制臺。
?
創(chuàng )建新的控制臺
1.

單擊“開(kāi)始”，然后單擊“運行...”并運行 MMC。
2.

MMC 出現后，單擊“控制臺”，然后單擊“添加/刪除管理單元...”。接著(zhù)，單擊“添加...”，然后雙擊“安全配置和分析”以及“安全模板”。
3.

單擊“關(guān)閉”和“確定”返回控制臺。為了將來(lái)使用，現在可以保存此控制臺以便在“開(kāi)始”菜單上的“管理工具”文件夾中可用。

圖 2：安全配置編輯器
使用 SCE 工具，管理員可以配置 Windows 2000 操作系統的安全性，然后執行對系統的定期分析以確保保持配置完整或者隨時(shí)間推移進(jìn)行必要的更改。這些工具可以有效地提供對組策略“安全設置”樹(shù)中顯示的每一項內容的訪(fǎng)問(wèn)能力。
有關(guān)使用 SCE 工具的詳細信息，請參閱：http://www.microsoft.com/windows2000/tec ... s/security/sctoolset.asp（英文）。
其他工具
有許多 Windows 2000 附帶的其他工具可以用于管理安全性。本部分簡(jiǎn)要介紹其中的一些工具。估計管理員已熟悉這些工具并且不需要對這些工具進(jìn)行更多的介紹。
?
Windows Explorer – 允許配置文件系統上的隨機訪(fǎng)問(wèn)控制列表 (DACL) 和系統訪(fǎng)問(wèn)控制列表 (SACL)。
?
Regedt32.exe – 允許配置注冊表上的 DACL 和 SACL。
?
Cacls.exe – 命令行工具，此工具允許配置和查看文件系統 DACL。
?
Net.exe – 命令行工具，可以用于創(chuàng )建和配置用戶(hù)帳戶(hù)和組成員身份以及用于配置各種設置（如系統在網(wǎng)絡(luò )瀏覽列表中是否可見(jiàn)）。
?
Netsh.exe – 命令行工具，用于配置網(wǎng)絡(luò )參數。
?
Secedit.exe – 命令行工具，提供與 SCE 工具相同的功能。

Win2003 Server帳戶(hù)和本地策略配置

在Windows Server 2003系統的“帳戶(hù)和本地策略”中包括“帳戶(hù)策略”和“本地策略”兩個(gè)方面，而其中的“帳戶(hù)策略”又包括：密碼策略、帳戶(hù)鎖定策略和Kerberos策略三個(gè)方面；另外的“本地策略”也包括：審核策略、用戶(hù)權限分配和安全選項三部分。下面分別予以介紹。
　　
　　一、密碼策略的設置
　　密碼策略作用于域帳戶(hù)或本地帳戶(hù)，其中就包含以下幾個(gè)方面：
　　強制密碼歷史
　　密碼最長(cháng)使用期限
　　密碼最短使用期限
　　密碼長(cháng)度最小值
　　密碼必須符合復雜性要求
　　用可還原的加密來(lái)存儲密碼
　　
　　以上各項的配置方法均需根據當前用戶(hù)帳戶(hù)類(lèi)型來(lái)選擇。默認情況下，成員計算機的配置與其域控制器的配置相同。下面分別根據幾種不同用戶(hù)類(lèi)型介紹相應的密碼策略配置方法。
　　
　　1. 對于本地計算機
　　
　　對于本地計算機的用戶(hù)帳戶(hù)，其密碼策略設置是在“本地安全設置”管理工個(gè)中進(jìn)行的。下面是具體的配置方法。
　　
　　第1步，執行〖開(kāi)始〗→〖管理工具〗→〖本地安全策略〗菜單操作，打開(kāi)如圖所示的“本地安全設置”界面。對于本地計算機中用戶(hù)“帳戶(hù)和本地策略”都查在此管理工具中進(jìn)行配置的。

第2步，因密碼策略是屬于用戶(hù)策略范疇，所以先需在如上圖所示界面中單擊選擇“用戶(hù)策略”選項，然后再選擇“密碼策略”選項，在右邊詳細信息窗口中將顯示可配置的密碼策略選項的當前配置。
　　
　　因為各策略選項的配置方法基本一樣，所以在此僅以一個(gè)選項的配置進(jìn)行介紹，其它只對各選項的具體作用進(jìn)行簡(jiǎn)單介紹。
　　
　　如配置“密碼必須符合復雜性要求”選項，可設置確定密碼是否符合復雜性要求。啟用該策略，則密碼必須符合以下最低要求：
　?。?）不包含全部或部分的用戶(hù)帳戶(hù)名
　?。?）長(cháng)度至少為六個(gè)字符
　?。?）包含來(lái)自以下四個(gè)類(lèi)別中的三個(gè)的字符：
　　英文大寫(xiě)字母（從A到Z）
　　英文小寫(xiě)字母（從a到z）
　　10個(gè)基本數字（從0到9）
　　非字母字符（例如，!、$、#、%）
　　
　　如果啟用了此安全策略，而您所配置的用戶(hù)密碼不符合此配置要求時(shí)系統會(huì )提示錯誤。有時(shí)您可能百思不得其解，認為自己所設的密碼已經(jīng)夠長(cháng)，而且也是屬于隨機的，不全都是數字或字母，可系統為什么還是老說(shuō)錯誤呢？一般來(lái)說(shuō)是由于您所設的密碼所包括的字符類(lèi)型不足以上四個(gè)中的三個(gè)。通常只各個(gè)領(lǐng)域其中的兩種，即數字和字母，而沒(méi)有考慮到字母的大小寫(xiě)或者非字母字符，所以達不到復雜性要求。更改或創(chuàng )建密碼時(shí)，會(huì )強制執行復雜性要求。
　　
　　默認情況下，在域控制器上默認是已啟用了這一策略的；而在獨立服務(wù)器上則默認是禁用的。
　　
　　這個(gè)安全選項的配置方法是在如上圖所示界面的右邊信息窗口中雙擊“密碼必須符合復雜性要求”選項，打開(kāi)如圖所示對話(huà)框。在這個(gè)對話(huà)框中就可隨意啟用或者禁用這個(gè)安全策略選項，配置好后單擊“確定”按鈕使配置更改生效。

其它選項的配置方法都一樣，都是通過(guò)雙擊或者單擊右鍵，然后選擇“屬性”選項，打開(kāi)類(lèi)似如圖2所示對話(huà)框，在這些對話(huà)框中進(jìn)行配置即可。不過(guò)為了便于工作于大家理解和配置，下面簡(jiǎn)單介紹其它密碼策略選項的含義。
　　
　　強制密碼歷史
　　重新使用舊密碼之前，該安全設置確定某個(gè)用戶(hù)帳戶(hù)所使用的新密碼必須不能與該帳戶(hù)所使用的最近多少舊密碼一樣。該值必須為0到24之間的一個(gè)數值。該策略通過(guò)確保舊密碼不能在某段時(shí)間內重復使用，使用戶(hù)帳戶(hù)更安全。
　　
　　在域控制器上的默認值為24；而在獨立服務(wù)器上為0。
　　
　　【注意】要維持密碼歷史記錄的有效性，則在通過(guò)啟用密碼最短使用期限安全策略設置更改密碼之后，不允許立即更改密碼。
　　
　　密碼最長(cháng)使用期限
　　該安全設置確定系統要求用戶(hù)更改密碼之前可以使用該密碼的時(shí)間（單位為天）?？蓪⒚艽a的過(guò)期天數設置在1至999天之間；如果將天數設置為0，則指定密碼永不過(guò)期。如果密碼最長(cháng)使用期限在1至999天之間，那么“密碼最短使用期限”（下面將介紹）必須小于密碼最長(cháng)使用期限。如果密碼最長(cháng)使用期限設置為0，則密碼最短使用期限可以是1至998天之間的任何值。
　　默認值：42。
　　
　　【技巧】使密碼每隔30至90天過(guò)期一次是一種安全最佳操作，取決于您的環(huán)境。通過(guò)這種方式，攻擊者只能夠在有限的時(shí)間內破解用戶(hù)密碼并訪(fǎng)問(wèn)您的網(wǎng)絡(luò )資源。
　　
　　第三步，密碼最短使用期限。該安全策略設置確定用戶(hù)可以更改密碼之前必須使用該密碼的時(shí)間（單位為天）?？梢栽O置1到998天之間的某個(gè)值，或者通過(guò)將天數設置為0，允許立即更改密碼。密碼最短使用期限必須小于上面設置的“密碼最長(cháng)使用期限”，除非密碼最長(cháng)使用期限設置為0（表明密碼永不過(guò)期）。如果密碼最長(cháng)使用期限設置為0，那么密碼最短使用期限可設置為0到998天之間的任意值。
　　
　　如果希望上面設置的“強制密碼歷史”安全策略選項設置有效，請將密碼最短有效期限配置為大于0。如果沒(méi)有密碼最短有效期限，則用戶(hù)可以重復循環(huán)通過(guò)密碼，直到獲得喜歡的舊密碼。默認設置不遵從這種推薦方法，因此管理員可以為用戶(hù)指定密碼，然后要求當用戶(hù)登錄時(shí)更改管理員定義的密碼。如果將該密碼的歷史記錄設置為0，則用戶(hù)不必選擇新密碼。因此，默認情況下將密碼歷史記錄設置為1。在域控制器上的默認值為1；而在獨立服務(wù)器上為0。
　　
　　第四步，密碼長(cháng)度最小值。該安全設置確定用戶(hù)帳戶(hù)的密碼可以包含的最少字符個(gè)數?？梢栽O置為1到14個(gè)字符之間的某個(gè)值，或者通過(guò)將字符數設置為0，可設置不需要密碼。在域控制器上的默認值為7；而在獨立服務(wù)器上為0。
　　
　　第五步，用可還原的加密來(lái)存儲密碼。該安全設置確定操作系統是否使用可還原的加密來(lái)存儲密碼。如果應用程序使用了要求知道用戶(hù)密碼才能進(jìn)行身份驗證的協(xié)議，則該策略可對它提供支持。使用可還原的加密存儲密碼和存儲明文版本密碼本質(zhì)上是相同的。因此，除非應用程序有比保護密碼信息更重要的要求，否則不必啟用該策略。
　　
　　當使用質(zhì)詢(xún)握手身份驗證協(xié)議（CHAP）通過(guò)遠程訪(fǎng)問(wèn)或Internet身份驗證服務(wù)（IAS）進(jìn)行身份驗證時(shí)，該策略是必需的。在Internet信息服務(wù)（IIS）中使用摘要式驗證時(shí)也要求該策略。系統默認值為禁用。
　　
　　上面介紹的是在本地計算機上配置以上密碼安全策略選項的方法，下面繼續介紹在其它兩種情形中這些密碼策略選項的配置方法。
　　
　　2. 在域環(huán)境中，并且您位于已加入到域中的成員服務(wù)器或工作站
　　
　　對于這種情形，用戶(hù)的本地密碼策略配置方法如下：
　　
　　第1步，執行〖開(kāi)始〗→〖運行〗菜單操作，在對話(huà)框的“打開(kāi)”文本框中輸入“mmc”命令，打開(kāi)Microsoft管理控制臺（MMC），如圖所示。
　　

第2步，執行〖文件〗→〖添加/刪除管理單元〗菜單操作，打開(kāi)如圖所示對話(huà)框。在這個(gè)對話(huà)框中可以添加在控制臺管理的管理單元。
　　

第3步，單擊“添加”按鈕，打開(kāi)如下圖所示對話(huà)框。在這個(gè)對話(huà)框中找到“組策略對象編輯器”選項，然后雙擊，或單擊選擇它后按“添加”按鈕，打開(kāi)如圖所示對話(huà)框。在這個(gè)對話(huà)框中要求選擇所添加的“組策略對象編輯器”所作用的對象。
　　


因此處介紹的是成員服務(wù)器或工作站（非本地計算機），所以需單擊“瀏覽”按鈕，在打開(kāi)的對話(huà)框中選中“計算機”選項卡（對話(huà)框如下圖所示）。在對話(huà)框中選擇“另一計算機”單選項，然后直接在下面的文本框中輸入或再次通過(guò)單擊“瀏覽”按鈕，打開(kāi)對話(huà)框查找。
　　

第4步，輸入或者選擇好計算機名后，單擊“確定”按鈕即可返回到如上圖所示對話(huà)框。單擊“完成”按鈕，如果所選擇的成員服務(wù)器或工作站與當前服務(wù)器的網(wǎng)絡(luò )連接正常的話(huà)，即可把它們指派到組策略對象編輯器中。
　　
　　第5步，單擊對話(huà)框中的“關(guān)閉”按鈕，返回到如圖所示對話(huà)框。單擊“確定”按鈕返回到控制臺界面，不過(guò)此時(shí)已是添加了“組策略對象編輯器”管理單元的控制臺，如圖所示。
　　

第6步，依次單擊展開(kāi)〖計算機配置〗→〖Windows設置〗→〖安全設置〗→〖帳戶(hù)策略〗→〖密碼策略〗選項，然后在右邊詳細信息窗口中選擇相應的密碼策略選項配置即可。配置方法也是在相應選項上單擊右鍵，然后再選擇“屬性”選項，打開(kāi)的對話(huà)框與前圖一樣，參照即可。
　　
　　3. 您位于域控制器，或已安裝 Windows Server 2003 管理工具包的工作站
　　
　　對于這種情形，密碼策略的配置方法如下：
　　第1步，執行〖開(kāi)始〗→〖管理工具〗→〖Active Directory用戶(hù)和計算機〗菜單操作，打開(kāi)如圖所示的“Active Directory用戶(hù)和計算機”管理工具界面。

第2步，在控制臺樹(shù)中要設置組策略的域或組織單位上（本例以域grfwgz.com為例）單擊右鍵，然后選擇“屬性”選項，在打開(kāi)的對話(huà)框中選擇“組策略”選項卡，對話(huà)框如圖所示。
　　

　第3步，選擇對話(huà)框“組策略對象鏈接”列表中的項目以選擇現
帳戶(hù)鎖定策略用于域帳戶(hù)或本地用戶(hù)帳戶(hù)，它們確定某個(gè)帳戶(hù)被系統鎖定的情況和時(shí)間長(cháng)短。這部分包含以下三個(gè)方面：
　　
　　帳戶(hù)鎖定時(shí)間
　　帳戶(hù)鎖定閾值
　　復位帳戶(hù)鎖定計數器
　　
　　1. 帳戶(hù)鎖定時(shí)間
　　
　　該安全設置確定鎖定的帳戶(hù)在自動(dòng)解鎖前保持鎖定狀態(tài)的分鐘數。有效范圍從0到99,999分鐘。如果將帳戶(hù)鎖定時(shí)間設置為0，那么在管理員明確將其解鎖前，該帳戶(hù)將被鎖定。如果定義了帳戶(hù)鎖定閾值，則帳戶(hù)鎖定時(shí)間必須大于或等于重置時(shí)間。
　　
　　默認值：無(wú)。因為只有當指定了帳戶(hù)鎖定閾值時(shí)，該策略設置才有意義。
　　
　　2. 帳戶(hù)鎖定閾值
　　
　　該安全設置確定造成用戶(hù)帳戶(hù)被鎖定的登錄失敗嘗試的次數。無(wú)法使用鎖定的帳戶(hù)，除非管理員進(jìn)行了重新設置或該帳戶(hù)的鎖定時(shí)間已過(guò)期。登錄嘗試失敗的范圍可設置為0至999之間。如果將此值設為0，則將無(wú)法鎖定帳戶(hù)。
　　
　　對于使用Ctrl+Alt+Delete組合鍵或帶有密碼保護的屏幕保護程序鎖定的工作站或成員服務(wù)器計算機上，失敗的密碼嘗試計入失敗的登錄嘗試次數中。默認值：0。
　　
　　3.復位帳戶(hù)鎖定計數器
　　
　　該安全設置確定在登錄嘗試失敗計數器被復位為0（即0次失敗登錄嘗試）之前，嘗試登錄失敗之后所需的分鐘數。有效范圍為1到99,999分鐘之間。
　　如果定義了帳戶(hù)鎖定閾值，則該復位時(shí)間必須小于或等于帳戶(hù)鎖定時(shí)間。
　　默認值：無(wú)，因為只有當指定了“帳戶(hù)鎖定閾值”時(shí)，該策略設置才有意義。
　　它們的配置也要因當前用戶(hù)所在的網(wǎng)絡(luò )環(huán)境而定。對于本地計算機用戶(hù)帳戶(hù)，在如圖1所示界面中配置；對于域中的成員服務(wù)器或工作站則在如圖8所示對話(huà)框中配置；而對于域控制器用戶(hù)則在如圖11所示界面中配置。
　　
　　配置方法也是通過(guò)雙擊，或單擊選擇某帳戶(hù)鎖定策略選項，然后再單擊右鍵，選擇“屬性”選項，都可打開(kāi)類(lèi)似如圖所示對話(huà)框，在其中進(jìn)行配置即可。

Kerberos V5身份驗證協(xié)議是用于確認用戶(hù)或主機身份的身份驗證機制，也是Windows 2000和Windows Server 2003系統默認的身份驗證服務(wù)。Internet協(xié)議安全性（IPSec）可以使用Kerberos協(xié)議進(jìn)行身份驗證。
　　
　　對于在安裝過(guò)程中所有加入到Windows Server 2003或Windows 2000域的計算機都默認啟用Kerberos V5身份驗證協(xié)議。Kerberos可對域內的資源和駐留在受信任的域中的資源提供單一登錄。
　　可通過(guò)那些作為帳戶(hù)策略一部分的Kerberos安全設置來(lái)控制Kerberos配置的某些方面。例如，可設置用戶(hù)的Kerberos 5票證生存周期。作為管理員，可以使用默認的kerberos策略，也可以更改它以適應環(huán)境的需要。使用Kerberos V5進(jìn)行成功的身份驗證需要兩個(gè)客戶(hù)端系統都必須運行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系統。
　　
　　如果客戶(hù)端系統嘗試向運行其他操作系統的服務(wù)器進(jìn)行身份驗證，則使用NTLM協(xié)議作為身份驗證機制。NTLM身份驗證協(xié)議是用來(lái)處理兩臺計算機（其中至少有一臺計算機運行Windows NT 4.0或更早版本）之間事務(wù)的協(xié)議。
　　
　　使用Kerberos進(jìn)行身份驗證的計算機必須使其時(shí)間設置在5分鐘內與常規時(shí)間服務(wù)同步，否則身份驗證將失敗。運行Windows Server 2003家族成員、Windows XP Professional或Windows 2000的計算機將自動(dòng)更新當前時(shí)間，并將域控制器用作網(wǎng)絡(luò )時(shí)間服務(wù)。
　　
　　Kerberos策略用于域用戶(hù)帳戶(hù)，確定與Kerberos相關(guān)的設置，例如票證的有效期限和強制執行。
　　Kerberos策略不存在于本地計算機策略中。這部分包含以下幾個(gè)方面：
　　強制用戶(hù)登錄限制
　　服務(wù)票證最長(cháng)壽命
　　用戶(hù)票證最長(cháng)壽命
　　用戶(hù)票證續訂最長(cháng)壽命
　　計算機時(shí)鐘同步的最大容差
　　
　　1. 強制用戶(hù)登錄限制
　　本安全設置確定Kerberos V5密鑰分發(fā)中心（KDC）是否要根據用戶(hù)帳戶(hù)的用戶(hù)權限來(lái)驗證每一個(gè)會(huì )話(huà)票證請求。驗證每一個(gè)會(huì )話(huà)票證請求是可選的，因為額外的步驟需要花費時(shí)間，并可能降低服務(wù)的網(wǎng)絡(luò )訪(fǎng)問(wèn)速度。默認值：已啟用。
　　
　　2. 服務(wù)票證最長(cháng)壽命
　　該安全設置確定使用所授予的會(huì )話(huà)票證可訪(fǎng)問(wèn)特定服務(wù)的最長(cháng)時(shí)間（以分鐘為單位）。該設置必須大于10分鐘并且小于或等于下面將要介紹的“用戶(hù)票證最長(cháng)壽命”選項中的設置。
　　【說(shuō)明】票證是用于安全原則的標識數據集，是為了進(jìn)行用戶(hù)身份驗證而由域控制器發(fā)行的。
　　Windows中的兩種票證形式是票證授予式票證（TGT）和服務(wù)票證。
　　票證授予式票證（TGT）是用戶(hù)登錄時(shí)，Kerberos密鑰分發(fā)中心（KDC）頒發(fā)給用戶(hù)的憑據。當服務(wù)要求會(huì )話(huà)票證時(shí)，用戶(hù)必須向KDC遞交TGT。因為T(mén)GT對于用戶(hù)的登錄會(huì )話(huà)活動(dòng)通常是有效的，它有時(shí)稱(chēng)為“用戶(hù)票證”。
　　
　　服務(wù)票證是由允許用戶(hù)驗證域中指定服務(wù)的KerberosV5票證授予服務(wù)（TGS）頒發(fā)的票證。如果客戶(hù)端請求服務(wù)器連接時(shí)出示的會(huì )話(huà)票證已過(guò)期，服務(wù)器將返回錯誤消息?？蛻?hù)端必須從Kerberos V5密鑰分發(fā)中心（KDC）請求新的會(huì )話(huà)票證。然而一旦連接通過(guò)了身份驗證，該會(huì )話(huà)票證是否仍然有效就無(wú)關(guān)緊要了。會(huì )話(huà)票證僅用于驗證和服務(wù)器的新建連接。如果用于驗證連接的會(huì )話(huà)票證在連接時(shí)過(guò)期，則當前的操作不會(huì )中斷。默認值：600分鐘（10小時(shí)）。
　　
　　3. 用戶(hù)票證最長(cháng)壽命
　　該安全設置確定用戶(hù)票證授予票證（TGT）的最長(cháng)使用時(shí)間（單位為小時(shí)）。用戶(hù)TGT期滿(mǎn)后，必須請求新的或“續訂”現有的用戶(hù)票證。默認值：10小時(shí)。
　　
　　4. 用戶(hù)票證續訂最長(cháng)壽命
　　該安全設置確定可以續訂用戶(hù)票證授予票證（TGT）的期限（以天為單位）。默認值：7天。
　　
　　5. 計算機時(shí)鐘同步的最大容差
　　本安全設置確定Kerberos V5所允許的客戶(hù)端時(shí)鐘和提供Kerberos身份驗證的Windows Server 2003域控制器上的時(shí)間的最大差值（以分鐘為單位）。
　　為防止“輪番攻擊”，Kerberos V5在其協(xié)議定義中使用了時(shí)間戳。為使時(shí)間戳正常工作，客戶(hù)端和域控制器的時(shí)鐘應盡可能的保持同步。換言之，應該將這兩臺計算機設置成相同的時(shí)間和日期。因為兩臺計算機的時(shí)鐘常常不同步，所以管理員可使用該策略來(lái)設置Kerberos V5所能接受的客戶(hù)端時(shí)鐘和域控制器時(shí)鐘間的最大差值。如果客戶(hù)端時(shí)鐘和域控制器時(shí)鐘間的差值小于該策略中指定的最大時(shí)間差，那么在這兩臺計算機的會(huì )話(huà)中使用的任何時(shí)間戳都將被認為是可信的。默認值：5分鐘。
　　【注意】該設置并不是永久性的。如果配置該設置后重新啟動(dòng)計算機，那么該設置將被還原為默認值。
　　
　　以上各Kerberos策略安全選項的配置方法如下：
　　第1步，在組策略界面中，依次單擊展開(kāi)下列選項〖計算機設置〗→〖Windows設置〗→〖安全設置〗→〖用戶(hù)策略〗→〖Kerberos策略〗，在右邊詳細信息窗口中將列出當前所有的Kerberos策略選項，如圖所示。
　　

第2步，在詳細信息窗口中顯示了各Kerberos策略安全選項的當前配置，如果要重新配置某選項，可直接雙擊，也可在相應選項上單擊右鍵，然后選擇“屬性”選項，都可打開(kāi)類(lèi)似如圖所示的配置對話(huà)框。在這個(gè)對話(huà)框中可以選擇是否啟用或者重新配置該安全選項的參數值。
　　

選擇好后單擊“確定”按鈕即可生效。對 Kerberos 策略的任何修改都將影響域中的所有計算機。
　　
　　Windows Server 2003系統審核策略的配置方法也要根據以下四種具體的情形而選擇不同的配置方法。
　　
　　1. 對于本地計算機
　　在這個(gè)情況下，審核策略的配置也是在 “本地安全設置”界面中進(jìn)行的，只是此時(shí)要選擇“本地策略”下的“審核策略”選項，如圖所示。
　　

雙擊詳細信息窗格中要更改審核策略設置的事件類(lèi)別，或在相應審核策略事件上單擊右鍵，然后選擇“屬性”選項，都可打開(kāi)如圖所示對話(huà)框（本例選擇的是“審核登錄事件”選項）。執行以下一個(gè)或兩個(gè)操作，然后單擊“確定”按鈕使配置生效。
　　
　　要審核成功的嘗試，請選中“成功”復選項。
　　要審核未成功的嘗試，請選中“失敗”復選項。

2. 您在一臺域控制器上或已安裝了Windows Server 2003管理工具包的工作站上
　　
　　這種情形下審核策略的配置方法如下：
　　第1步，執行〖開(kāi)始〗→〖管理工具〗→〖域控制器安全策略〗菜單操作，打開(kāi)如圖所示的“域控制器安全策略”管理工具界面。

第2步，在控制臺樹(shù)中，按〖Windows設置〗→〖安全設置〗→〖本地策略〗→〖審核策略〗順序依次單擊，展開(kāi)各選項，直到“審核策略”選項。
　　
　　第3步，雙擊詳細信息窗格中要更改審核策略設置的事件類(lèi)別，或者在相應事件上單擊右鍵，然后選擇“屬性”選項，同樣會(huì )打開(kāi)如圖5所示的對話(huà)框。配置方法與前一種情形“本地計算機”中介紹的方法一樣，參照即可。
　　
　　3. 您是在一臺域控制器上或已安裝了“管理工具包”的工作站上
　　
　　在這種應用情形中，審核配置的配置方法是在“Active Directory用戶(hù)和計算機”管理工具中打開(kāi)組策略進(jìn)行的。不同的此時(shí)選擇的是“本地策略”下的“審核策略”選項，如圖所示。

審核策略的配置方法與前兩種情形中介紹的一樣，不再贅述。
　　
　　4. 對于域或組織單位，您是在一臺成員服務(wù)器上或已加入