目錄2. 配置基于本地的組策略2.1 打開(kāi)本地組策略編輯器（1）禁止本機(jī)用戶(hù)編輯注冊(cè)表（2）禁用Windows Server 2019服務(wù)器的【關(guān)閉事件追蹤程序】（3）禁用互聯(lián)網(wǎng)屬性對(duì)話(huà)框中的【安全】選項(xiàng)卡（4）禁止本機(jī)用戶(hù)使用命令提示符（5）對(duì)可移動(dòng)磁盤(pán)進(jìn)行權(quán)限設(shè)置

介紹了如何配置基于本地的組策略。基于本地的組策略只作用于本計(jì)算機(jī)及其上的用戶(hù)，對(duì)其他計(jì)算機(jī)和用戶(hù)不生效。通過(guò)5個(gè)子任務(wù)實(shí)例來(lái)驗(yàn)證本地組策略設(shè)置對(duì)本地工作環(huán)境的影響。

分別是：

（1）禁止本機(jī)用戶(hù)編輯注冊(cè)表。（2）禁用Windows Server 2019服務(wù)器的【關(guān)閉事件追蹤程序】。（3）禁用互聯(lián)網(wǎng)屬性對(duì)話(huà)框中的【安全】選項(xiàng)卡。（4）禁止本機(jī)用戶(hù)使用命令提示符。（5）對(duì)可移動(dòng)磁盤(pán)進(jìn)行權(quán)限設(shè)置。

2. 配置基于本地的組策略

基于本地的組策略只作用于本計(jì)算機(jī)及其上的用戶(hù)，對(duì)其他計(jì)算機(jī)和用戶(hù)不生效。

實(shí)驗(yàn)環(huán)境：一臺(tái)Windows Server 2019服務(wù)器。

實(shí)驗(yàn)方式：使用5個(gè)實(shí)例來(lái)驗(yàn)證本地組策略設(shè)置對(duì)本地工作環(huán)境的影響。

子任務(wù)：通過(guò)本地組策略設(shè)置，實(shí)現(xiàn)下面的功能。

（1）禁止本機(jī)用戶(hù)編輯注冊(cè)表。

（2）禁用Windows Server 2019服務(wù)器的【關(guān)閉事件追蹤程序】。

（3）禁用互聯(lián)網(wǎng)屬性對(duì)話(huà)框中的【安全】選項(xiàng)卡。

（4）禁止本機(jī)用戶(hù)使用命令提示符。

（5）對(duì)可移動(dòng)磁盤(pán)進(jìn)行權(quán)限設(shè)置。

2.1 打開(kāi)本地組策略編輯器

使用【win + r】快捷鍵，打開(kāi)【運(yùn)行】對(duì)話(huà)框，輸入命令：gpedit.msc。

（1）禁止本機(jī)用戶(hù)編輯注冊(cè)表

注冊(cè)表編輯器是編輯Windows系統(tǒng)注冊(cè)表的工具。

注冊(cè)表打開(kāi)方式：使用【win + r】快捷鍵，打開(kāi)【運(yùn)行】對(duì)話(huà)框，輸入命令：regedit.msc。

即可打開(kāi)注冊(cè)表編輯器。

打開(kāi)本地組策略編輯器，依次展開(kāi)【本地計(jì)算機(jī)策略】——>【用戶(hù)配置】——>【管理模版】——>【系統(tǒng)】，找到【阻止訪問(wèn)注冊(cè)表編輯工具】，雙擊打開(kāi)。

選擇【已啟用】，點(diǎn)擊【確定】即可。

驗(yàn)證：

再次打開(kāi)注冊(cè)表編輯器，在【運(yùn)行】中輸入 regedit 后彈出告警提示：注冊(cè)表編輯器已被管理員禁用。

（2）禁用Windows Server 2019服務(wù)器的【關(guān)閉事件追蹤程序】

Windows Server 2019 服務(wù)器的關(guān)閉事件追蹤程序要求用戶(hù)在關(guān)機(jī)時(shí)提供關(guān)機(jī)原因。如果用戶(hù)不希望每次關(guān)機(jī)時(shí)都需要提供關(guān)機(jī)原因，可以通過(guò)本地組策略設(shè)置，來(lái)禁用本地關(guān)閉事件追蹤程序。

打開(kāi)本地組策略編輯器，依次展開(kāi)【本地計(jì)算機(jī)策略】——>【計(jì)算機(jī)配置】——>【管理模版】——>【系統(tǒng)】，找到【顯示【關(guān)閉事件跟蹤程序】】，雙擊打開(kāi)。

該選項(xiàng)默認(rèn)開(kāi)啟，所以選擇【已禁用】，點(diǎn)擊【確認(rèn)】。

驗(yàn)證：

再次關(guān)機(jī)時(shí)，系統(tǒng)不會(huì)提示需要確認(rèn)關(guān)機(jī)原因，而是直接關(guān)機(jī)。

（3）禁用互聯(lián)網(wǎng)屬性對(duì)話(huà)框中的【安全】選項(xiàng)卡

查看互聯(lián)網(wǎng)屬性對(duì)話(huà)框中的【安全】選項(xiàng)卡。

打開(kāi)【控制面板】——>【網(wǎng)絡(luò)和互聯(lián)網(wǎng)】，雙擊【互聯(lián)網(wǎng)選項(xiàng)】，彈出的【互聯(lián)網(wǎng)屬性】對(duì)話(huà)框中正常包 含【常規(guī)】，【安全】，【隱私】、【內(nèi)容】，【連接】，【程序】，【高級(jí)】7個(gè)選項(xiàng)卡。

如果不希望使用該計(jì)算機(jī)的用戶(hù)設(shè)置與安全相關(guān)的選項(xiàng)，可以通過(guò)本地組策略設(shè)置來(lái)禁用本地安全選項(xiàng)卡。

打開(kāi)本地組策略編輯器，依次展開(kāi)【本地計(jì)算機(jī)策略】——>【計(jì)算機(jī)配置】——>【管理模版】——>【W(wǎng)indows組件】——>【互聯(lián)網(wǎng) Explorer】——>【互聯(lián)網(wǎng)控制面板】，找到【禁用安全頁(yè)】，雙擊打開(kāi)。

該選項(xiàng)默認(rèn)禁用，所以選擇【已開(kāi)啟】，點(diǎn)擊【確認(rèn)】。

驗(yàn)證：

再次打開(kāi)互聯(lián)網(wǎng)屬性界面時(shí)，發(fā)現(xiàn)【互聯(lián)網(wǎng)屬性】對(duì)話(huà)框中只包含【常規(guī)】，【隱私】、【內(nèi)容】，【連接】，【程序】，【高級(jí)】6個(gè)選項(xiàng)卡。【安全】選項(xiàng)卡消失了。

（4）禁止本機(jī)用戶(hù)使用命令提示符

命令提示符是為用戶(hù)提供了一個(gè)命令行界面。用戶(hù)可通過(guò)命令行運(yùn)行程序和批處理文件，從而進(jìn)行系統(tǒng)管理等。此外，命令提示符還支持管道和重定向功能。

**打開(kāi)方式：**使用【win + r】快捷鍵，打開(kāi)【運(yùn)行】對(duì)話(huà)框，輸入命令：cmd，點(diǎn)擊確認(rèn)，即可打開(kāi)命令提示符。

如果不希望使用該計(jì)算機(jī)的用戶(hù)使用命令提示符，可以通過(guò)本地組策略設(shè)置來(lái)禁用本地命令提示符。

打開(kāi)本地組策略編輯器，依次展開(kāi)【本地計(jì)算機(jī)策略】——>【用戶(hù)配置】——>【管理模版】——>【系統(tǒng)】，找到【阻止訪問(wèn)命令提示符】，雙擊打開(kāi)。

選擇【已啟用】，點(diǎn)擊【確認(rèn)】。

驗(yàn)證：

再次打開(kāi)cmd時(shí)，cmd.exe 提示：命令提示符已被系統(tǒng)管理員停用。

（5）對(duì)可移動(dòng)磁盤(pán)進(jìn)行權(quán)限設(shè)置

對(duì)于一些重要的，對(duì)外服務(wù)的服務(wù)器，可以通過(guò)設(shè)置可移動(dòng)磁盤(pán)權(quán)限來(lái)限制可移動(dòng)存儲(chǔ)類(lèi)的讀、寫(xiě)和執(zhí)行權(quán)限，以確保服務(wù)器的安全，防止病毒或木馬通過(guò)可移動(dòng)存儲(chǔ)媒介感染服務(wù)器。

打開(kāi)本地組策略編輯器，依次展開(kāi)【本地計(jì)算機(jī)策略】——>【計(jì)算機(jī)配置】——>【管理模版】——>【系統(tǒng)】——>【可移動(dòng)存儲(chǔ)訪問(wèn)】。

限制可移動(dòng)磁盤(pán)讀取權(quán)限

找到【可移動(dòng)磁盤(pán)：拒絕讀取權(quán)限】，雙擊打開(kāi)，選擇【已啟用】，點(diǎn)擊【確認(rèn)】。

驗(yàn)證：

將可移動(dòng)硬盤(pán)連接到服務(wù)器中，雙擊可移動(dòng)硬盤(pán)，系統(tǒng)彈出告警對(duì)話(huà)框：拒絕訪問(wèn)。

驗(yàn)證過(guò)后，重新找到【可移動(dòng)磁盤(pán)：拒絕讀取權(quán)限】，雙擊打開(kāi)，選擇【未配置】，點(diǎn)擊【確認(rèn)】。方便接下來(lái)的實(shí)驗(yàn)。

限制可移動(dòng)磁盤(pán)寫(xiě)入權(quán)限

找到【可移動(dòng)磁盤(pán)：拒絕寫(xiě)入權(quán)限】，雙擊打開(kāi)，選擇【已啟用】，點(diǎn)擊【確認(rèn)】。

驗(yàn)證：

將可移動(dòng)硬盤(pán)連接到服務(wù)器中，雙擊可移動(dòng)硬盤(pán)，將桌面上的text文件復(fù)制到硬盤(pán)中，彈出告警提示：目標(biāo)文件夾訪問(wèn)被拒絕。但是可以訪問(wèn)硬盤(pán)中的文件，可以將移動(dòng)硬盤(pán)中的文件復(fù)制到服務(wù)器中。

參考資料 [1]戴有煒，《2016 Windows Server 系統(tǒng)配置指南》，清華出版社，2018

Microsoft Docs：Active Directory documentation

Microsoft Docs：Active Directory Domain Services

到此這篇關(guān)于Windows Server 2019 如何配置基于本地的組策略的文章就介紹到這了,更多相關(guān)win2019組策略配置內(nèi)容請(qǐng)搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！