组策略安全设置疑难解答

　　作为系统管理员而言，我们都知道保护windows环境最好的办法就是使用组策略。在组策略对象(GPO)中有成百上千个安全设置，使用组策略对象是非常有效且自动化的安全保护方式。但是，组策略对象的安全设置是否得到了正确的运用呢?本文将为大家提供一些工具、命令以及技巧来确保组策略对象安全设置的正确使用。本文将为大家提供一些工具、命令以及技巧来确保组策略对象安全设置的正确使用。

　　哪些设置是“安全设置”?

　　由于在组策略对象中有超过5000个设置，因此我们首先要明确本文讨论的具体是哪些设置。在组策略对象中设有专门的安全版块，当然也有其他涉及安全的部分，但本文我们仅讨论这个安全版块。

　　首先，你需要打开一个组策略对象，最好通过组策略管理控制台(GPMC)来打开，因为本地组策略对象的安全设置与Active Directory中的组策略对象有所不同。在编辑器中打开组策略对象后，你需要打开Computer Configuration\Policies\Windows Settings\Security Settings，如下图1所示：

　　图1：组策略管理编辑器中的安全设置节点

　　在这里你会发现很多设置，包括注册表项、用户权限、文件/文件夹/注册表的权限、无线安全和组成员等。这些设置大部分都受到安全客户端扩展程序控制的，只要有一个设置失效，可能所有设置都会失效。另外，只要使用了其中一个设置，就可以轻松设置其他设置。

　　在组策略管理控制台(在你有管理权限的任何机器上)中，你都可以使用组策略结果(Group Policy Results)工具，这些工具是内置在组策略管理控制台中的，因此你不需要进行特别的操作。通过组策略管理控制台你可以决定在目标计算机(与部署在组策略对象中的安全设置相关的计算机)上的安全设置。

　　要找到组策略管理控制台的组策略结果节点，你需要查看组策略控制台的底部，在这里你会发现组策略结果节点，如图2所示。

　　图2： 组策略结果节点在组策略管理控制台节点列表的底部

　　在这个工具中，你可以选择“用户帐户”和“计算机帐户”。右键单击组策略结果节点并选择向导，向导完成后，你会看到结果列在组策略结果节点下面，如下图3所示：

　　图3： 组策略结果说明了用户和计算机组合而产生的组策略对象和设置

　　在此界面中，你可以检查组策略对象以及安全设置的使用情况，你可以点击右窗格查看不同的结果。检查组策略对象可以确保正确运用以及没有因为某些原因被拒绝。其次，你可以检查组件状态是否存在与安全客户端扩展程序相关的错误。最后，检查安全设置区域以及使用的设置的选项卡，如图4所示：

　　图4： 组策略结果的设置选项卡将显示目标计算机中所使用的设置

　　你还可以运行计算机上的RSOP.msc，这将为你显示与图4一样的信息，除了界面显示不同外。图5显示的是在目标计算机运行RSOP.msc命令，以与在编辑器中配置的组策略对象相同的格式来显示组策略对象设置。使用这种方式，你不需要担心安全设置的路径，可以直接到组策略对象的节点查看结果。

　　图5： RSOP.msc命令运行结果

　　想要查看关于组策略对象以及客户端扩展程序的更多信息，你需要更加深入这个界面。右键单击计算机配置节点，可以选择属性菜单选项。然后，你将看到部署的组策略对象，并且可以查看以下节点信息，如图6所示：

　　GPO和过滤情况

　　组策略对象的管理范围

　　关于组策略对象的修订信息

　　图6： RSOP属性选项显示更多关于组策略对象的信息

　　这些信息可以帮助你发现组策略对象及相关设置为什么没有运用的原因。

　　想要查看客户端详细信息，你需要选择错误信息选项卡，在这里，你会看到某个CSE没有运用的原因，这也间接说明为什么设置没有出现在RSOP.msc界面的原因。

　　如果你只是想查看安全设置的情况，而不是所有从组策略对象部署的设置的情况，你可以在目标计算机运行secpol.msc，这将显示组策略对象的子集，格式与原始组策略对象编辑器的格式相同，如图7所示：

　　图7：Secpol.msc仅显示目标计算机的安全设置

　　关于这个工具主要有两个问题，首先，该工具显示的信息不仅仅是安全设置的信息，通过此工具，你可以查看计算机上的所有安全设置，不仅仅是从组策略对象部署的设置。你可以马上知道哪些设置来自Active Directory的组策略对象，哪些是本地部署的安全设置。在图8中，你可以看到有两种不同的图标来显示设置。

　　第二个问题就是secpol.msc工具显示的信息并没有RSOP.msc工具显示的那么详细，所以，我们需要根据自己的具体需求来选择合适的工具来显示信息。

　　总结

　　我们有很多方法来检查(使用组策略对象部署的)安全设置的状态，这些工具都是内置工具，并且都非常有用。你必须拥有正确的管理权限才能使用这些工具。通过这些工具，我们可以清楚地查看所部署的设置，以及没有部署的设置，以及为什么没有部署的原因。