システムグループポリシーは、ネットワーク管理者がネットワークを管理するために欠かせないツールの1つであり、このツールの一般的なアプリケーションスキルは多くの人になじみがあると考えられています。しかし、著者は私たちが注意深く注意している限り、システムグループ戦略から新しいアプリケーションスキルを掘り下げていきます。信じられない場合は、次のコンテンツを見てみましょうアプリケーションの新しい「新しい状態」に入るのに役立つと思います!プログラムに注意し、「自動ロック」に注意してくださいWindowsサーバーには「Windowsアプリケーションの実行のみ許可」という名前があります。 「グループポリシープロジェクト。プロジェクトを有効にして、指定したプログラムを外部で実行するように制限します。次に、「Windowsの実行のみを許可する」であれば、gpedit.mscコマンドを追加します。アプリケーションの「グループ」ポリシーが有効になり、スーパー管理者アカウントで「gpedit.msc」コマンドを使用しても、システムのグループポリシーが自動的に「セルフロック」され、システムのグループポリシー編集ウィンドウを開くことができなくなります。 1つの方法は、アプリケーションの実行を制限し、システムグループポリシーが「自動ロック」されないようにすることです。その答えは「はい」です。コマンド、ポップアップシステムの実行ボックスに、文字列コマンド "gpedit.msc"を入力し、[OK]をクリックして押しますその後、[システムグループポリシーの編集]ウィンドウを開き、ウィンドウ内の[ユーザーの構成] /[管理用テンプレート] /[システム]プロジェクトを展開し、システムプロジェクトの右側のサブウィンドウで、ライセンスのみを実行するWindowsアプリケーションをダブルクリックします。ポップアップ表示されるインターフェイスで、[プログラム]オプションを選択し、[有効]オプションを選択します。その後、対応するウィンドウで[表示]ボタンが自動的にアクティブになるのを確認してから[表示]ボタンをクリックし、その後ウィンドウの[追加]ボタンをクリックし続けて、実行するアプリケーションの名前を入力します。 [設定の追加]ボックスで、最後に[OK]ボタンをクリックし、すぐに[グループポリシーの編集]ウィンドウを閉じないでください。その後、[システムの実行]ダイアログボックスを開き、[gpedit.msc]コマンドを実行します。システムグループポリシーエディタが機能しなくなったことがわかります!ただし、幸いにも、[グループポリシー編集]ウィンドウは閉じられていないため、[グループポリシー編集]ウィンドウで設定した[Windowsアプリケーションのみを許可]プロジェクトをダブルクリックします。ポップアップポリシー設定ウィンドウで、[未設定]オプションを選択し、最後に[OK]ボタンをクリックすると、アプリケーションの実行目的が制限されるだけでなく、システムグループポリシーが "セルフロック"されるのを防ぎます。ヒント:指定したアプリケーション名を[Windowsアプリケーションのみを許可する]リストに追加し、[グループポリシーの編集]ウィンドウを直接閉じた場合は、次の手順で回復できます。サーバーシステムを再起動します。起動プロセス中に、システムのブートメニューが表示されるまでF8ファンクションキーを押し続けてから、 "セーフモードとコマンドプロンプト"コマンドを実行して、サーバーシステムをコマンドラインプロンプト状態に切り替えます。コマンドプロンプトでmmc.exe stringコマンドを直接実行し、ポップアップシステムのコンソールインターフェイスで、[ファイル]メニュー項目をクリックし、ポップアップドロップダウンメニューから[スナップインの追加と削除]オプションをクリックします。ウィンドウの[独立]タブをクリックし、次に図1に示すタブページで[追加]ボタンをクリックし、下の[グループポリシー]、[追加]、[完了]をクリックします。 [OK]ボタンを閉じると、新しいグループポリシーコンソールを正常に追加でき、将来的には再プレイできます。グループポリシー編集ウィンドウを開き、上記の設定に従って、アプリケーションの実行を制限する目的を達成しますが、システムグループポリシーが "セルフロック"現象を起こさないようにします。 "セルフロック"を解除するアプリケーションの実行方法を制限するだけでなく、グループポリシーが誤って "セルフロック"される原因となることがたくさんあります。他の要因によってグループポリシーが「セルフロック」現象を引き起こす場合、どうすればそれを簡単に解放できますか?実際、グループポリシーのすべての設定はシステムレジストリ>に基づいています。それはレジストリの対応するブランチに反映されます;この理由で、私達はレジストリを修正することによってグループポリシーの "self-locking"現象を簡単にクラックすることができます: "Start" /"Run"コマンドをクリックしてポップアップシステム実行中のダイアログボックスで、文字列コマンド "regedit"を入力し、[OK]ボタンをクリックして、システムのレジストリ編集ウィンドウを開き、このウィンドウで、レジストリブランチHKEY_CURRENT_USER \\ Software \\ PolicIEs \\ Microsoft \\ MMC \\を展開します。図2に示すウィンドウの右側に{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}と表示されている場合は、「Restrict_Run」キー値が表示されているので、そのキー値をダブルクリックして値設定を開きます。ウィンドウで、その中に数字の「0」を入力して、最後に「OK」ボタンをクリックしてください;その後、もう一度システム実行ダイアログを開いたときに"gpedit.msc"コマンドを実行すると、セルフロックグループポリシー編集ウィンドウが表示されます。このウィンドウは簡単に開くことができます。ポリシーの変更、即時効果Windows 2003ドメイン用でもWindows 2000ドメイン用でも、ドメインのデフォルトセキュリティポリシーを変更すると、新しいセキュリティポリシーをすぐに有効にすることはできません。通常、約5〜15分かかります。 Windowsシステムはシステムグループポリシーの設定を自動的に更新します。それでは、修正されたセキュリティポリシーをユーザーまたはクライアントに対してすぐに機能させる方法はありますか?その答えは「はい」です、次の手順に従ってください。ポリシーがすぐに有効になる場合は、[スタート] /[ファイル名を指定して実行]コマンドをクリックしてシステム実行ダイアログボックスを開き、文字列コマンド "cmd"を入力して[OK]ボタンをクリックし、WindowsシステムをMs-に切り替えます。 DOS作業モードで、DOSコマンドプロンプトで、文字列コマンド "secedit /refreshpolicy Machine_policy /enforce"を入力し、Enterキーをクリックすると、新しく変更したセキュリティポリシーがすぐに有効になります。ユーザポリシーがすぐに有効になる場合は、DOSコマンドプロンプトで「secedit /refreshpolicy user_policy /enforce」という文字列コマンドを実行するだけです。 Windows 2003ドメインでは、新しく変更したコンピュータポリシーをすぐに有効にしたい場合は、[スタート] /[ファイル名を指定して実行]コマンドをクリックし、システム実行ダイアログボックスを開き、文字列コマンド "cmd"を入力します。 [OK]ボタンをクリックした後、WindowsシステムをMs-DOS作業モードに切り替えてから、DOSコマンドプロンプトで、文字列コマンド "gpupdate /target:computer"を入力し、Enterキーを押して、新しく変更したファイルを入力します。セキュリティポリシーはすぐに有効になります;新しく変更したユーザーポリシーをすぐに有効にしたい場合は、DOSコマンドプロンプトで文字列コマンド "gpupdate /target:user"を実行するだけです。コンピュータポリシーとユーザーポリシーの両方を更新したい場合は、文字列コマンド "gpupdate"を直接実行できます。異なるユーザー、異なるアクセス許可、多分サーバーには多数のユーザーが存在しますが、サーバーのセキュリティを保護するために、これらのユーザーにサーバーへの異なるアクセス制御権を与え、将来サーバーが事故に遭遇したときにアクセス許可に従って処理できるようにします。違う、あなたはすぐに "無秩序"なユーザーを見つけることができます。ユーザーごとに異なるアクセス制御権限を割り当てるには、サーバーグループポリシーを設定するだけです:具体的な設定手順は次のとおりです:[スタート] /[ファイル名を指定して実行]コマンドを順にクリックすると、システムがポップアップします。 [ファイル名を指定して実行]ボックスに、文字列コマンド "gpedit.msc"を入力し、[OK]ボタンをクリックしてシステムグループポリシー編集ウィンドウを開き、このウィンドウで[コンピュータの構成] /[Windowsの設定] /[セキュリティ]を展開します。 "/" Local Policy "/" User Rights Assignment "項目を設定すると、" User Rights Assignment "項目に対応する右側のウィンドウ領域に、図3に示すように、割り当てる複数の権限があることがわかります。たとえば、aaaユーザーがネットワーク接続を介してサーバー上のコンテンツにリモートでアクセスするだけで、コンテンツの書き込みやアプリケーションの実行のためにサーバーにローカルにログインすることを許可しない場合は、[Deny local login]アクセス許可をダブルクリックします。後で開く設定ウィンドウで、[追加]をクリックし、aaaユーザーに対応するアカウント名を選択して[追加]をクリックすると、将来aaaユーザーはリモートネットワーク経由でのみサーバーにアクセスできるようになります。内容は消えています。同様に、bbbユーザーにローカルログイン制御権を割り当てたり、cccユーザーにファイルやその他のオブジェクトの所有権を割り当てたりすることができます。異なる制御権が異なるユーザーに割り当てられたら、後でアクセス権レベルに応じて変更できます。ユーザーの的を絞った管理と管理。たとえば、サーバーがネットワークに接続されていないときに、サーバーがそのサーバーに不正な情報を自由にアップロードできることがわかった場合は、aaaユーザーを簡単に除外できます。競合を避けるために設定を保護するLANでは、ワークステーションのIPアドレスが自由に変更されることが多く、IPの競合が発生します。これはLANの運用効率に影響します。 IPアドレスの競合を避けるために多くの方法がありますが、慎重に精査することはありますが、これらの方法の中には一部の新人ユーザーにとっては少し難しいことが簡単にわかります。ネットワーク内のIPアドレスの競合を回避するために、ワークステーションのネットワーク設定パラメータを任意に変更します。[スタート] /[ファイル名を指定して実行]コマンドをクリックし、ポップアップシステムの操作ボックスに文字列コマンド "gpedit.msc"を入力します。 [OK]ボタンをクリックした後、システムグループポリシー編集ウィンドウを開き、[ネットワークとダイヤル]に対応するウィンドウの[ユーザーの構成] /[管理用テンプレート] /[ネットワーク] /[ネットワークとダイヤルアップ接続]ポリシー項目を展開します。 Connectionポリシーの右側のウィンドウ領域で、[Allow TCP /IP Advanced Settings]項目をダブルクリックし、図4に示すポップアップ設定ウィンドウで[Disable]オプションを選択して[OK]ボタンをクリックします。この場合、ワークステーションユーザーは後でTCP /IPプロパティ設定ウィンドウを開きます。それが不可能なIPアドレスやその他のネットワークパラメータのワークステーションを変更するには、「詳細」設定ウィンドウを入力するでしょう、このようにLAN IPアドレスが競合しやすいの大きなではありません。