复旦大学解剖男尸 下载:组策略和安全模板 | .com.cn(刘晖)的个人网站

组策略和安全模板http://www.cctips.com/?p=65

装好系统后，大家第一个要干的事情可能就是对系统进行各种优化，所用的软件也五花八门，这些一般都是共享软件，虽然可以免费使用，不过试用版在时间或者功能上或多或少会有一些限制。你可知道，操作系统自己的组策略就是个很好的优化工具，利用组策略我们可以对很多隐藏设置进行修改，使系统更个性化，也能极大的提高系统安全性。本文将会就组策略的设置以及安全模板的使用进行一些讨论，而所包括的操作系统则限于Windows 2000、Windows XP Professional（下文中出现的Windows XP均不包括Home版），还有Windows Server 2003。

什么是组策略

组策略是从Windows 2000中开始使用的管理技术，管理员可以使用组策略对一台或多台计算机的各种选项进行设置。组策略的使用非常灵活，其中包括了基于注册表的策略设置、安全设置、软件安装、脚本运行、计算机启动和关闭、用户登录和注销等各种方面。

怎样配制组策略

组策略的配制和应用非常灵活，而且在不同的环境有不同的方法。对于单机或工作组环境下，我们可以使用组策略编辑器对组策略进行设置和修改。而在域环境下的功能则更加强大，只要管理员在域控制器上部署了相应的策略，所有登录到这个域控制器上的客户端计算机都将被自动应用这些策略，真正实现了一次设置处处执行。

单机和工作组环境下的组策略设置

在运行中输入gpedit.msc并回车可打开组策略编辑器（图一）。组策略编辑器的窗口主要分了左右两个部分，这个和注册表编辑器的界面类似，左侧用树形图的形式显示了所有可用的策略类别，而右侧面板则详细显示了每种类别中可以配制的策略，只要双击这些策略便可以对其进行配制。为了让你更明白组策略的使用，我们会举几个例子来说明（以下内容主要以Windows XP操作系统为例，不过大部分内容同样适用于Windows 2000和Windows Server 2003，只不过细节方面可能略微不同）。

[ctrl+鼠标滚轮缩放]

窍门：暂时隐藏不用的策略。

如果你是初学使用组策略，肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花，由于不熟悉每个策略的具体位置，有时候为了配置一个策略可能要在编辑器里翻找大半天，这时候我们便可以使用组策略编辑器的筛选功能。在左侧的树形图列表中选中一个类别，然后在“查看”菜单下点击“筛选”，以打开筛选对话框，在这里我们能够设置只显示针对特定软件的策略。例如我们可以选择只显示IE6以及更高版本IE才可以使用的策略，或者隐藏所有不能用于Windows 2000的策略。

窍门：禁用“用户配置”或“计算机配置”策略。

到这里你应该对组策略编辑器中显示的策略结构有所了解，主要结构分为两部分：计算机配置以及用户配置。如果你想知道当前系统中这两类策略分别有多少被配置过，或者如果你想隐藏其中一种配置，则可以使用这样的方法：用鼠标右键点击组策略编辑器窗口左侧的树形图列表顶端的“本地计算机策略”字样，然后选择属性，接着会打开一个本地计算机策略属性对话框。其中“创建”一栏显示了该策略生成的时间，一般情况下都是指操作系统的安装时间；而“修改”中显示的是最后一次设置组策略的时间；“修订”一栏则显示了这两个分类中各自有多少策略被配置。如果你希望在这里隐藏其中的一类策略，则可以在该对话框下方钩选相应的复选框。

隐藏回收站图标

为了美观，全新安装的Windows XP桌面上仅有一个回收站图标。你可能不希望自己的漂亮墙纸被图标挡住，那么怎样把仅有的回收站图标也删除？选中后按Delete键自然是不行的，不过有组策略就简单多了。打开组策略编辑器，在左侧的树形图中定位到“用户配制-管理模板-桌面”，然后在右侧面板中找到并双击“从桌面删除回收站”这一策略，你将能看到类似图二的对话框，选中“已启用”，然后点击确定关闭该对话框。注销后重新登录看看，是不是仅有的一个图标也消失了。

[ctrl+鼠标滚轮缩放]

保护分页文件中的秘密

对于重要文件，我们都知道通过加密和设置权限以禁止其他无关人员访问，不过你可知道，如果真的有必要，他人完全可以通过其他途径获得你的机密信息，那就是分页文件。我们都知道分页文件作为物理内存的补充，用途是在硬盘和内存之间交换数据，而分页文件本身就是硬盘上的一个文件，它位于系统所在硬盘分区的根目录中，文件名为pagefile.sys。一般情况下，当我们运行程序时，这些程序的一部分内容可能会被临时保存到分页文件上，而如果我们编辑完这个文件后立刻就关闭了系统，那么文件的一些内容仍然有可能被保存在分页文件中。在这种情况下，如果有人得到了这台电脑的硬盘，那么只要把硬盘拆出来，利用特殊的软件，就可以将分页文件中的机密信息读取出来。通过配置组策略，我们可以避免这种潜在的危险。打开组策略编辑器，在“计算机配置-Windows设置-本地策略-安全选项”下启用“关机：清除虚拟内存页面文件”这个策略。启用这个策略后，关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满，这样所有的信息自然也都会消失。不过要注意一点，这样做会减慢系统的关闭速度，因此如果不是非常必要，不建议你启用这个策略。

控制台下的安全保证

系统故障后我们可能需要到故障恢复控制台中进行修复工作。不过如果你只是打算到控制台下把硬盘上的重要文件复制到软盘之后重新安装系统，那么你可能会失望了。因为为了保证文件的安全，默认情况下，在系统故障恢复控制台中，我们仅能有限制地访问几个系统目录，不能完全访问所有硬盘分区。不仅如此，我们还只能把光盘或软盘中的文件复制到硬盘上，但是不能把硬盘中的文件复制到软盘上。如果你并不需要这种安全措施，完全可以通过配置组策略禁用，同样是在“计算机配置-Windows设置-本地策略-安全选项”下，启用“故障恢复控制台：允许对所有驱动器和文件夹进行软盘复制和访问”这一策略。再次进入控制台后你会发现，以往的限制都没有了。

禁用气球通知

在Windows XP中，如果系统有什么消息，例如网络的联通或断开等信息，将会在系统提示区（就是屏幕右下角那个显示时间和很多软件图标的地方）以气球图标的形式显示出来。虽然初次使用可能感到新鲜，不过时间一长你肯定也会感到厌烦。用组策略可以把这些气球提示永远隐藏。同样是在组策略编辑器中，从左侧的树形图中定位到“用户配制-管理模板-任务栏和开始菜单”，然后在右侧找到并双击打开“删除开始菜单项目上的气球提示”，然后点击“已启用”并确定退出。

自定义IE浏览器

每天用Internet Explorer上网，如果老是面对这一样的IE窗口那肯定会感到厌倦。如果想要美化一下IE窗口，那就可以用组策略。在组策略编辑器左侧的树形图中展开“用户配置-Windows设置-Internet Explorer维护-浏览器用户界面”。在这里，我们可以自定义浏览器的窗口标题栏，右上角的动态徽标，还有工具栏的图标，只要双击每个策略，然后按照弹出窗口中的说明进行操作后就可以生效。

如果我们希望IE在点击“搜索”后使用Google作为默认搜索引擎，那么也可以在这里设置实现。在“Internet Explorer维护”下点击“URL”，然后双击“重要URL”这一策略，在其中选中“自定义搜索栏URL”前的复选框，然后在下面输入http://www.google.com，确定后退出。这样再次启动IE后点击“搜索”就可以用Google作为默认搜索引擎了。

登录注销脚本的应用

利用组策略，我们可以设置让系统在用户登录和注销的时候自动执行脚本文件。而在脚本文件中我们可以做很多事情。例如整理磁盘碎片、清空临时文件夹等。我们这里会以在计算机启动时自动创建一个系统还原点为例说明该策略的用法。

要做到这一点首先需要编写一个创建系统还原点的脚本，然后设置组策略让计算机启动的时候自动执行这个脚本文件。脚本的编写不是很难，因为这不是本文的讨论范围，因此大家请自己查看相关资料（建议你访问这里：http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx ）。

打开记事本，输入以下内容：

Set sr = getobject(”winmgmts:\\.\root\default:Systemrestore”)

msg = “New Restore Point successfully created.” & vbCR

msg = msg & “It is listed as: ” & vbCR

msg = msg & “Automatic Restore Point ” & Date & ” ” & Time

If (sr.createrestorepoint(”Automatic Restore Point”, 0, 100)) = 0 Then

MsgBox msg

Else

MsgBox “Restore Point creation Failed!”

End If

Set sr = Nothing

然后保存这个文件为systemrestore.vbs，注意，保存的时候要在“文件类型”下拉菜单中选择“所有文件”，然后在“文件名”中输入包括后缀名在内完整的文件名。接着打开组策略编辑器，定位到“计算机配置-Windows设置-脚本（启动/关机）”，双击其中的“启动”策略打开启动属性对话框。然后点击“添加”按钮，并点击浏览按钮找到systemrestore.vbs文件，接着点击确定退出这个选项卡。设置之后每次系统启动后都会自动创建还原点。

这里还有很多其它策略可以设置，因为每选中一个策略后编辑器中都会显示相关的解释和说明，相信那些可以帮助你理解每条策略的用途以及使用方法，因此这里就不再多说。

窍门：怎样直接编辑其他计算机的组策略。

如果你只是临时因为某些需要而要修改局域网中另一台计算机的组策略设置，那么最佳的做法是什么？在MSN Messenger上指挥对方操作？自己亲自跑到对方电脑前操作？还是直接远程操作吧。在你的电脑中运行“MMC”打开控制台，然后在“文件”菜单下点击“添加/删除管理单元”，接着点击“添加”按钮，在可用的独立管理单元列表中选中“组策略”控制台组件，然后点击“添加”。随后会出现一个对话框，要你选择组策略对象，如果你希望编辑本机的组策略，则直接使用默认设置既可；否则，可以点击“浏览”按钮，并选择“另一台计算机”，然后再次点击“浏览”按钮，从随后出现的选择计算机对话框中选择一台本地局域网上的计算机（注意，需要你在对方计算机上具有管理员权限）。选择好后会打开一个类似一般组策略编辑器的窗口，不过你可以仔细看一下，以往显示的“本地计算机策略”已经显示为“2k3策略”（其中2k3是远程计算机的机器名）。不过这里要注意一下，使用这种方法远程连接其他计算机，需要其他计算机上一些默认的系统服务处于启动状态，如果你为了优化系统而禁用了某些服务，可能会造成连接的失败。

软件限制策略的应用

单位的网络管理员肯定都遇到过这种困扰，老板不希望员工在工作的时间聊QQ或者玩游戏，而总有员工会私下里安装被禁止的软件。怎样避免这种情况？虽然有监控软件可以用，不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况，现在越来越多的病毒通过电子邮件传播，很多人都是无意中运行了电子邮件的附件而中毒的，有没有什么好的手段可以避免员工运行来历不明的文件？现在好了，如果你的客户端是Windows XP Professional，那么就可以使用其中的软件限制策略。

简单来说，软件限制策略是一种技术，通过这种技术，管理员可以决定哪些程序（虽然这里用了“程序”这个字眼，不过不单指exe文件，我们可以通过该技术限制任何类型扩展名的文件被执行）是可信赖的，而哪些是不可信赖的，对于不可信赖的程序，则系统会拒绝执行。通常，管理员可以让系统使用以下几种方式鉴别软件是否可信赖：文件的路径、文件的哈希（Hash）值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件，以及其他强制属性。

软件限制策略不仅可以在单机的Windows XP操作系统中设置，可以设置仅影响当前用户或用户组，或者影响所有本地登录到这台计算机上的所有用户；也可以通过域对所有加入该域的客户端计算机进行设置，同样可以设置影响某个特定的用户或用户组，或者所有用户。我们这里会以单机的形式进行说明，并设置影响所有用户。单机和工作组环境下的设置和这个是类似的。另一方面，有时我们可能因为错误的设置而导致某些系统组件无法运行（例如禁止运行所有msc后缀的文件而无法打开组策略编辑器），这种情况下我们只要重新启动系统到安全模式，然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。

在本例中，我们假设了这样的应用：员工的计算机仅可运行操作系统自带的所有程序（C盘），以及工作所必须的Word、Excel、PowerPoint和Outlook，其版本号皆为2003，并假设Office程序安装在D盘，员工电脑的操作系统为Windows XP Professional。

运行Gpedit.msc打开组策略编辑器，仔细看就可以发现，在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目，到底使用哪个？如果你希望这个策略仅对某个特定用户或用户组生效，则使用“用户配置”下的策略；如果你希望对本地登录到计算机的所有用户生效，则使用“计算机配置”下的策略。这里我们需要对所有用户生效，因此选择使用“计算机配置”下的策略。

在开始配置之前我们还需要考虑一个问题，我们所允许的软件都有哪些特征，而禁用的软件又有哪些特征，我们要想出一种最佳的策略，能使所有需要的软件正确运行，而所有不必要的软件一个都无法运行。在本例中，我们允许的大部分程序都位于系统盘（C盘）的Program Files以及Windows文件夹下，因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序，也可任意通过路径或者文件哈希的方法来决定。

点击打开“计算机配置”下的软件限制策略条目，接着在“操作”菜单下点击“创建新的策略”（目前在安装SP1的XP上，这里默认是没有任何策略的，但是对于安装SP2的系统，这里已经有了建好的默认策略），系统将会创建两个新的条目：“安全级别”和“其它规则”。其中在安全级别条目下有两条规则，“不允许的”和“不受限的”，其中前者的意思是，默认情况下，所有软件都不允许运行，只有特别配置过的少数软件才可以运行；而后者的意思是，默认情况下，所有软件都可以运行，只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了，因此我们需要使用“不允许的”作为默认规则。双击这条规则，然后点击 “设为默认”按钮，并在同意警告信息后继续。

接着打开“其他规则”条目，可以看到，默认情况下这里已经有四个规则，都是根据注册表路径设置的，而且默认都设置为“不受限的”。强烈提醒你，千万不要修改这四个规则，否则你的系统运行将会遇到很大麻烦，因为这四个路径都涉及到了重要系统程序及文件所在的位置。同时，我们前面说过的，位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的，而这四条默认的规则已经包含了这个路径，因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键，选择“新建哈希规则”，然后可以看到下图的界面。在这里点击“浏览”按钮，然后定位所有允许使用的Office程序的可执行文件（还记得分别是什么吗？winword.exe、excel.exe、powerpnt.exe、outlook.exe），并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”，然后点击确定退出。重复以上步骤，把这四个软件的可执行文件都添加进来，并设置为不受限的。

到这里大家可以考虑一个问题，为什么我们选择为每个程序的可执行文件建立哈希规则？统一为Office应用程序建立一个路径规则不是更简单？其实这样才可以避免可执行文件被替换，或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则，那么所有保存在允许目录下的文件都将可以被执行，包括允许程序本身的文件，也包括用户复制进来的任何其他文件。而哈希规则就不同了，一个特定文件的哈希值是固定的，只要文件内容不发生变化，那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题，虽然文件的哈希值可以不变化，但是文件本身可能会需要某些改变。例如你安装了一个Word的补丁程序，那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则，每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。

除此之外，这里还有几条策略可以被我们利用：强制，可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户；指派的文件类型，用于指定具有哪些扩展名的文件可以被系统认为是可执行文件，我们可以添加或删除某种类型扩展名的文件；收信任的出版商，则可以用来决定哪些用户可以选择收信任的出版商，以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实际情况作出选择。

当软件显示策略设置好之后，一旦被限制的用户试图运行被禁止的程序，那么系统将会立刻发出警告并拒绝执行。

域环境下策略的应用

这部分的内容比较复杂，因此我们通过两个简单些的实例来说明，我们要学习怎样通过网络部署软件，以及安全模板的使用。下面的例子中作为域控制器的是Windows Server 2003，而客户端是Windows XP Professional。

活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器，而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一种分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，而因为多台机上有相同的信息，所以在信息容氏方面具有很强的控制能力。

什么是域？活动目录是由组织单元、域、域树、森林构成的层次结构。域作为最基本的管理单元，同时也是最基层的容器，它可以对用户、计算机等基本数据进行存储。

域控制器是安装了活动目录的Windows Server计算机。域控制器存储着目录数据，并管理用户域的交互关系，其中包括用户登录过程、身份验证和目录搜索。一个域可有一个或多个域控制器。

组织单元也是逻辑单位，同域一样，目的是为了管理的方便。可以包含用户和用户组，以及计算机，不过组织单元仍属于域的一部分。

怎样安装域控制器？在已经安装好的Windows 2000 Server和Windows Server 2003计算机上运行dcpromo.exe后会启动活动目录安装向导，按照向导的提示输入相应的信息后就可以将服务器配置为域控制器。

客户端怎样加入域？除了Windows XP Home，其余版本的主流Windows操作系统都可以加入域。以Windows XP Professional为例，在系统属性对话框的计算机名选项卡下点击“网络ID”按钮后可以选择加入一个域。对于加入域的计算机，我们既可以使用本机账户登录系统，也可以使用域账户登录系统。使用域账户登录后可以使用域中所有具有权限的资源。

软件部署

我们要进行的是通过软件部署给单位里所有Windows XP客户端计算机安装SP1。首先到微软网站下载SP1的安装文件（sp1.exe），保存到域控制器上一个共享文件夹中（c:\deploy），然后在域控制器上运行以下命令：c:\deploy\sp1.exe /x，并在出现的“为提取的文件选择目录”对话框上直接按下确定键，使用默认目录。

在域控制器上运行dsa.msc打开Active Directory用户和计算机控制台，可以看到下图所示的界面，这里显示了域中的所有对象。

在我们要部署SP1的管理单元（local）上点击鼠标右键，并选择属性，可以打开local属性对话框。

我们需要做的就是在这个对话框的组策略选项卡上配置安装SP1的策略。点击“新建”按钮后可以在上方的列表中新建一条策略，接着需要给这个策略命名，可以选择一个代表其功能的名字（例如这里我们使用“SP1 Install”），然后双击这条策略，可以看到一个和我们平常使用的组策略编辑器类似的窗口，不过从名字我们就可以看出，在这个窗口中可以对整个组织单元中所有的计算机设置一样的策略。在窗口左侧的树形列表中展开“计算机配置-软件设置-软件安装”，并选中“软件安装”。然后在“操作”菜单下依次选择“新建-程序包”，接着在新出现的对话框中进入deploy\update文件夹，并双击加入update.msi（注意，在这里不是直接通过我的电脑进入C盘并选择这个文件，而是通过网上邻居来找到这个共享文件夹并选择文件。即这个update.msi文件在本例中所用的路径应该是\\2k3\deploy\update\update.msi，而不是c:\deploy\update\update.msi。因为虽然在服务器上这两个路径实际上代表了同一个位置，但是对于其他客户机，则只能识别前一个路径）文件。随后系统会询问部署方法，选择“已指派”，然后继续。稍等片刻后可以从窗口右侧的面板中看到我们新加入的软件。这样，以后所有加入到这个域中的客户机在重启动登录时都会首先检查有没有装这个软件，如果已经安装，则继续登录过程；否则就会自动从服务器上下载安装文件并开始安装。

基本上，所有通过Windows Installer技术安装的软件都可以通过这种方式批量部署给所有域中的客户机来安装。某些软件，虽然也使用了Windows Installer技术，但是安装文件可能只是一个exe文件（例如MSN Messenger），对于这种情况，一种简单的方法就是直接用WinRAR等压缩软件打开这个exe文件，并从中提取msi文件用于批量部署。这种部署方法的客户端可以是Windows 2000、Windows XP Professional或Windows Server 2003。

安全策略和安全模板

虽然大部分策略在系统中都有说明，但是这里还是要向你提一下一类比较特殊的策略，安全策略！现在电脑的安全问题已经越来越引起人们的关注，虽然很多不负责任的说法都是说Windows仿佛漏勺那样浑身都是漏洞，不过经过恰当的配制，Windows的安全性还是可以得到很大的提高。本刊五月份曾经介绍过安全策略相关的内容，因此建议大家在看到这部分的时候先找回之前的杂志重新复习一下，然后继续看。

安全策略的备份和恢复

在辛苦配置好所有的安全策略之后，你一定希望能把这些设置保存起来供以后参考；或者希望能备份这些设置，这样还可以在重装系统后还原回来；甚至你可能会想直接把这些安全策略设置应用到其他计算机上。另外，对于网络管理员，可能经常需要查看每台客户机的安全策略设置是否有任何问题，或者需要把同样的安全策略应用到多台电脑上。有什么好办法吗？接下来我们要介绍的组策略模板和安全配制和分析工具能够帮助我们。

安全模板的创建

我们首先解决第一个问题，如何备份和重新应用自己的安全策略设置和其他安全设置。在一台运行Windows XP的计算机上运行“MMC”，你将会看到一个控制台窗口，在该窗口的“文件”菜单下点击“添加/删除管理单元”，然后点击“添加”按钮，在可用的独立管理单元列表中选中“安全模板”控制台组件，然后点击窗口下方的“添加”按钮，接着点击“关闭”和“确定”，以关闭这些选项窗口，你将能够看到下图的界面。

[ctrl+鼠标滚轮缩放]

首先展开“安全模板”分支，这里显示了操作系统自带的所有安全模板的保存位置以及名称，保险起见我们不准备修改这些默认的模板，而是新建自己的模板。在“安全模板”节点上点击鼠标右键，并选择“添加模板搜索路径”，接着在弹出的窗口中指定一个保存我们自建安全模板的文件夹（这里我们选择直接保存在桌面上）。点击确定后“安全模板”节点下出现了一个新的到桌面的路径，在这个路径上点击鼠标右键，并在右键菜单中选择“新加模板”，在新弹出的窗口中输入模板名称（这里使用Template）后点击“确定”。展开这个新建的模板，可以看到，这跟我们以前设置安全策略的界面差不多，还是同样的策略，也有几乎相同的设置选项，我们需要做的就是在这里分别设置所有必须的策略。

[ctrl+鼠标滚轮缩放]

你可能注意到了，除了安全策略，我们还能设置其他一些内容，例如某个系统服务的状态、注册表键的访问控制权限、文件夹的访问控制权限，这些东西都能通过安全模板备份和恢复，也能通过安全模板应用到其他计算机上。举两个例子说明。

我们需要系统自动禁用Messenger信使服务，并设定只有Administrator才能修改这个服务的相关设置，那么可以这样操作：在我们自己建立的安全模板中展开“系统服务”节点，找到并双击打开“Messenger”这个服务，选中“在模板中定义这个安全策略设置”，之后首先会弹出一个安全设置对话框，这和我们常见的设置共享文件夹权限的对话框类似，不过这里设置的是系统服务的权限。由于我们只希望Administrator能够对该服务进行设置，因此分别选中默认的“Administrators”、“System”、“Interactive”等对象，接着点击右侧的“删除”按钮删除它们，随后点击“添加”按钮，在新弹出的窗口的“输入对象名称来选择”对话框中输入“Administrator”并直接回车，然后给Administrator设置“完全控制”的“允许”权限，并点击“确定”按钮退出。然后在“Messenger属性”窗口中选中“已停用”单选按钮。该服务的所有设置就已经完成了。

假设我们还需要设置只有Administrator才能访问系统C盘根目录下的“Folder”文件夹，那么同样是在安全模板中展开“文件系统”节点，然后在该节点上点击鼠标右键，选择“添加文件”，在弹出的窗口中选中“c:\folder”这个文件夹（该文件夹需要事先建立好），然后在下图的窗口中像之前设置服务的权限时一样，删除默认的几个对象，然后添加“Administrator”，并对其设置相应的权限。

在添加完权限后你将会看到下图的窗口，这里需要注意的就是“向所有子文件夹和文件传播继承权限”和“替换所有带继承权限的子文件夹和文件上的现存权限”这两个选项，选择前者，意味着Folder文件夹下的所有子文件夹和文件都将继承Folder文件夹的权限设置；选择后者意味着Folder文件夹的所有子文件夹和文件都将被同时应用新的权限设置，而不管它们是不是还继承了其他权限。

有一点需要注意，在你通过安全模板配置文件夹的权限时，如果你把该模板应用到其他计算机上，并且其他计算机上相应位置并没有你所配置的那些文件夹，则这些选项将不会生效。

所有的安全策略、权限设置、系统服务都设置后，点击选中“Template”节点，然后使用“操作”菜单下的“保存”命令，把这些设置都保存起来。

安全模板的应用和分析

如果我们打算把这些设置应用到其他计算机上，或者在重装系统后自动应用这些设置，可以这样做：同样是运行“MMC”打开管理控制台，不过这次我们要添加的是“安全配置和分析”控制台组件，假设我们之前创建的安全模板文件“template.inf”保存在桌面上。首先我们要使用一个安全配置数据库，虽然系统默认提供了一个，不过保险起见，还是建议新建一个。在“安全配置和分析”节点上点击鼠标右键，并选择“打开数据库”，在随后出现的窗口中输入新数据库的名称（safe1），然后点击“打开”。接着需要导入模板，直接在出现的窗口中选择我们保存在桌面上的template.inf文件，然后再次点击“打开”。

如果我们想要知道现在使用的计算机的安全策略配置和我们自己的建议配置有什么不同，可以在“安全配置和分析”节点上点击鼠标右键，在右键菜单中选择“立即分析计算机”，并指定好日志文件的保存位置，稍等片刻后就能看到分析出来的结果。依次点击展开每个安全策略节点，你可以看见下图的界面，

[ctrl+鼠标滚轮缩放]

在这里每个策略都有“数据库设置”和“计算机设置”两个值，其中“数据库设置”是我们之前创建的安全模板文件中的标准设置，而“计算机设置”则是当前计算机的设置。对于和数据库同样的设置，会用绿色的勾标示出来，而不一致的设置则会用红色的叉标示出来。如果你想直接修正当前计算机上单独的某个安全策略设置以和模板保持统一，只要双击该策略，然后直接修改即可。但如果你想直接把所有的安全设置（包括安全策略、系统服务、注册表访问权限以及文件和文件夹访问权限）都和安全模板保持统一设置，则只要在“ 安全配置和分析”节点上点击鼠标右键，并在右键菜单中选择“立即配置计算机”即可。

需要注意，在应用安全模板（可能是系统默认提供的，也可能是你的同事自己制作的）的时候一定要注意，有些时候别人的设置可能不一定适合自己，尤其是某些不当的设置可能会影响到一些软件的正常使用。因此对于单位中的管理员，在正式大规模应用这些模板之前，一定要注意先在测试环境中仔细测试过，保证绝对可靠后再应用。另外，安全起见，在应用之前最好能把系统的相关数据备份起来，以备发生不测后恢复。

另外一点，如果你想要制作适用于Windows XP操作系统的安全模板，那么尽量在Windows XP操作系统上制作该模板；同样，如果你想要制作适用于Windows2000的安全模板，最好是在Windows 2000计算机上执行该操作。另外，安全模板在域环境和工作组环境下都可以使用，而且方法基本上没有区别。

组策略的应用顺序

相信你已经注意到了，对于同一条策略，我们也许可以分别在本地和在域中给出不同的设置。那么如果域中的设置和本地的设置互相冲突了，系统该以哪个设置为准？其实策略的应用是有一定顺序的，先后顺序如下：

1，本地组策略对象中的设置

2，站点组策略对象中的设置

3，域组策略对象中的设置

4，管理单元组策略对象中的设置

由于最后被应用的策略设置将会覆盖之前应用的设置，这意味着在设置互相冲突的情况下，最高级别的活动目录下组策略设置将会取得优先权，也就是说，最终的结果是，域中设置的策略将会覆盖本地策略。