禁用注册表编辑工具
注册表中HKEY_CURRENT_USER包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。
用户通过修改注册表可以修改组策略的一些设置。为了防止用户通过注册编辑工具修改组策略的设置,可以禁止用户打开注册表编辑工具。
4.7.1示例:禁止运行注册表编辑工具
示例“管理用户IE设置”使用组策略设置了用户的IE的主页,且禁止用户修改IE主页。现在演示用户可以通过注册编辑工具,编辑注册表修改IE的主页。这就违背的组策略设置,通过禁用注册表编辑工具,防止用户修改。
使用组策略设置禁止用户不能更改主页,如果应用在Windows 7上,则用户使用组策略编辑工具也不能修改,如果应用在Windows XP上,则用户登录后可以通过注册表编辑工具进行更改。
以下操作使用培训部用户登录市场部的计算机marketPC1进行测试,marketPC1安装Windows XP操作系统。
任务:
u 使用组策略设置IE主页
u 禁止更改IE主页
u 通过组策略设置IE
u 通过更改注册表修改IE主页
u 使用组策略禁止用户使用注册表编辑工具
u 验证设置
步骤:
1. 如图4-133所示,在DCServer上,打开组策略管理工具,右击培训部组织单元下的eduGPO点击“编辑”。
2. 如图4-134所示,在出现的组策略管理编辑器对话框,点中“用户配置”à“策略”à“Windows设置”à“Internet Explorer维护”à“URL”,双击详细窗口中的“重要URL”。
图 4-133 编辑组策略 图 4-134 重要URL
3. 如图4-135所示,在出现的重要URL对话框,选中“自定义主页”,输入主页为http://www.baidu.com,点击“确定”。提示:该设置对Windows XP的IE设置生效。
4. 如图4-136所示,点中“用户配置”à“策略”à“管理模板”à“Windows 组件”à“Internet Explorer”,在详细窗口,双击“禁用更改主页设置”。
图 4-135 自定义主页 图 4-136 禁止更改主页
5. 如图4-137所示,在出现的禁用更改主页设置属性对话框,选中“已启用”,在主页输入http://www.edu2act.org,点击“确定”。提示:该设置针对Windows 7或Vista生效。
6. 如图4-138所示,在marketPC1上以韩立辉登录。
图 4-137 指定主页 图 4-138登录
7. 如图4-139所示,右击桌面上的Internet Explorer图标,点击“属性”。
8. 如图4-139所示,在出现的Internet属性对话框,在常规标签下,可以看到主页为http://www.baidu.com且不可更改。
9. 如图4-140所示,点击“开始”à“运行”,输入regedit,点击“确定”。
图 4-139 查看主页 图 4-140 打开组策略编辑工具
10. 如图4-141所示,在出现的注册表编辑工具对话框,点击“编辑”à“查找”。
11. 如图4-141所示,在出现的查找对话框,输入http://www.baidu.com,点击“查找下一个”。
12. 如图4-142所示,双击查找到的Start Page,在出现的编辑字符串对话框,输入http://www.sohu.com,点击“确定”。
图 4-141 搜索注册表 图 4-142 编辑start page
13. 如图4-143所示,再次打开Internet属性对话框,在常规标签下,可以看到主页被更改。也就是说用过可以通过更改注册表,违反域管理员的管理规则。下面将使用组策略禁止用户修改注册表。
14. 如图4-144所示,在DCServer上,打开组策略管理,编辑培训部的组策略。
15. 如图4-144所示,点中“用户配置”à“策略”à“管理模板”à“系统”,在详细窗口中,双击“阻止访问注册表编辑工具”。
图 4-143 主页被更改 图 4-144 编辑组策略
16. 如图4-145所示,在出现的阻止访问注册表编辑工具属性对话框,选择“已启用”,是否禁用无提示运行regedit选择“是”。点击“确定”。
17. 如图4-146所示,在marketPC1上,点击“开始”à“运行”,输入gpupdate /force,点击“确定”。
图 4-145 禁止运行注册表编辑工具 图 4-146 刷新组策略
18. 如图4-147所示,点击“开始”à“运行”,输入regedit,点击“确定”,提示:注册编辑已被管理员停用,点击“确定”。
图 4-147 禁止用户运行注册表编辑工具
总结:通过禁止用户打开注册表编辑工具,可以防止域用户通过更改注册表,做出违反组策略设置的更改。
广告