Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1013405
  • 博文数量: 179
  • 博客积分: 10080
  • 博客等级: 上将
  • 技术积分: 2580
  • 用 户 组: 普通用户
  • 注册时间: 2006-02-10 09:26
文章分类

全部博文(179)

文章存档

2015年(1)

2014年(1)

2012年(1)

2011年(3)

2010年(14)

2009年(11)

2008年(10)

2007年(42)

2006年(96)

我的朋友

分类: WINDOWS

2007-02-28 12:29:37

组策略安全选项对应注册表项汇总
在组策略中的位置:
  计算机设置->Windows设置->安全设置->本地策略->安全选项
  
  详细列表:
[MACHINE\System\CurrentControlSet\Control\Lsa]
  值名:AuditBaseObjects
  含义:对全局系统对象的访问进行审计
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:CrashOnAuditFail
  含义:如果无法纪录安全审计则立即关闭系统
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:FullPrivilegeAuditing
  含义:对备份和还原权限的使用进行审计
  类型:REG_BINARY
  数据:0=停用
  
  1=启用
  
  值名:LmCompatibilityLevel
  含义:LAN Manager
  
  身份验证级别
  类型:REG_DWORD
  数据:0=发送LM &
  
  NTLM响应
  1=发送LM & NTLM -
  
  若协商使用NTLMv2安全
  
  2=仅发送NTLM响应
  3=仅发送NTLMv2响应
  4=仅发送NTLMv2响应\拒绝LM
  5=仅发送NTLMv2响应\拒绝LM &
  
  NTLM
  
  值名:RestrictAnonymous
  含义:对匿名连接的额外限制(通常用于限制IPC$空连接)
  类型:REG_DWORD
  数据:0=无.依赖于默认许可权限
  
  1=不允许枚举SAM账号和共享
  2=没有显式匿名权限就无法访问
  
  值名ubmitControl
  含义:允许服务器操作员计划任务(仅用于域控制器)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  [MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan
  
  Print
  
  Services\Servers]
  值名:AddPrinterDrivers
  含义:防止用户安装打印机驱动程序
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  [MACHINE\System\CurrentControlSet\Control\Session
  
  Manager\Memory
  
  Management]
  值名:ClearPageFileAtShutdown
  含义:在关机时清理虚拟内存页面交换文件
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  [MACHINE\System\CurrentControlSet\Control\Session
  
  Manager]
  值名rotectionMode
  含义:增强全局系统对象的默认权限 (例如 Symbolic
  
  Links)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]
  值名:EnableSecuritySignature
  含义:对服务器通讯进行数字签名
  
  (如果可能)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:RequireSecuritySignature
  含义:对服务器通讯进行数字签名
  
  (总是)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:EnableForcedLogOff
  含义:当登录时间用完时自动注销用户
  
  (本地)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:AutoDisconnect
  含义:在断开会话产所需要的空闲时间
  类型:REG_DWORD
  数据:分钟数
  
  [MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]
  值名:EnableSecuritySignature
  含义:对客户端通讯进行数字签名
  
  (如果可能)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:RequireSecuritySignature
  含义:对客户端通讯进行数字签名
  
  (总是)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:EnablePlainTextPassword
  含义:发送未加密的密码以连接到第三方SMB服务器
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]
  值名isablePasswordChange
  含义:防止计算机帐户密码的系统维护
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名ignSecureChannel
  含义:安全通道: 对安全通道数据进行数字签名
  
  (如果可能)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名ealSecureChannel
  含义:安全通道: 对安全通道数据进行数字加密
  
  (如果可能)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:RequireSignOrSeal
  含义:安全通道: 对安全通道数据进行数字加密或签名
  
  (总是)
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:RequireStrongKey
  含义:安全通道: 需要强 (Windows 2000 或以上版本)
  
  会话密钥
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  [MACHINE\Software\[M$]\Driver
  
  Signing]
  值名olicy
  含义:未签名驱动程序的安装操作
  类型:REG_BINARY
  数据:0=默认安装
  
  1=允许安装但发出警告
  
  2=禁止安装
  
  [MACHINE\Software\[M$]\Non-Driver
  
  Signing]
  值名olicy
  含义:未签名非驱动程序的安装操作
  类型:REG_BINARY
  数据:0=默认安装
  
  1=允许安装但发出警告
  
  2=禁止安装
  
  [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]
  值名isableCAD
  含义:禁用按
  
  CTRL+ALT+DEL
  
  进行登录的设置
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名ontDisplayLastUserName
  含义:登录屏幕上不要显示上次登录的用户名
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名:LegalNoticeCaption
  含义:用户试图登录时消息标题
  类型:REG_SZ
  数据:标题文本
  
  值名:LegalNoticeText
  含义:用户试图登录时消息文字
  类型:REG_SZ
  数据:消息文字
  
  值名hutdownWithoutLogon
  含义:登录屏幕上不要显示上次登录的用户名
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  [MACHINE\Software\[M$]\Windows
  
  NT\CurrentVersion\Setup\RecoveryConsole]
  值名ecurityLevel
  含义:故障恢复控制台:
  
  允许自动系统管理级登录
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  值名etCommand
  含义:故障恢复控制台:
  
  允许对所有驱动器和文件夹进行软盘复制和访问
  类型:REG_DWORD
  数据:0=停用
  
  1=启用
  
  [MACHINE\Software\[M$]\Windows
  
  NT\CurrentVersion\Winlogon]
  值名:AllocateCDRoms
  含义:只有本地登录的用户才能访问
  
  CD-ROM
  类型:REG_SZ
  数据:0=停用
  
  1=启用
  
  值名:AllocateDASD
  含义:允许弹出可移动 NTFS
  
  媒体
  类型:REG_SZ
  数据:0=Administrators
  
  1=Administrators 和 Power users
  2=Administrators 和 Interactive
  
  users
  
  值名:AllocateFloppies
  含义:只有本地登录的用户才能访问软盘
  类型:REG_SZ
  数据:0=停用
  
  1=启用
  
  值名:CachedLogonsCount
  含义:可被缓冲保存的前次登录个数
  
  (在域控制器不可用的情况下)
  类型:REG_SZ
  数据:次数,如10次
  
  值名asswordExpiryWarning
  含义:在密码到期前提示用户更改密码
  类型:REG_DWORD
  数据:天数,缺省是14天
  
  值名cRemoveOption
  含义:智能卡移除操作
  类型:REG_SZ
  数据:0=无操作
  
  1=锁定工作站
  2=强制注销


=============================
组策略用户配置管理模板与注册表对应键值
一.组策略用户配置管理模板Windows组件

《Windows Update》 
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate] 
"DisableWindowsUpdateAccess"=dword:00000001(删除使用所有Windows Update功能的访问)(至少WINXP) 
《组策略用户配置管理模板任务栏和开始菜单》 
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] 
"NoSimpleStartMenu"=dword:00000001(强制典型菜单)(至少WINXP) 
"NoCommonGroups"=dword:00000001(从开始->程序菜单删除公共程序组)(至少WIN2000) 
"NoSMMyDocs"=dword:00000001(从开始->文档菜单删除我的文档图标)(至少WIN2000) 
"NoNetworkConnections"=dword:00000001(从开始->设置菜单删除网络连接)(至少WIN2000) 
"NoSMMyPictures"=dword:00000001(从开始菜单中删除"图片收藏"图标)(至少WINXP) 
"ForceStartMenuLogOff"=dword:00000001(强制开始菜单显示注销)(至少WIN2000) 
"Intellimenus"=dword:00000001(禁止个性化菜单)(至少WIN2000) 
"NoInstrumentation"=dword:00000001(关闭用户跟踪)(至少WIN2000) 
[注]这个设置防止系统跟踪用户使用的程序、用户导航的路径和用户打开的文档。系统用这个信息来自定义Windows功能,如个性化菜单。 
"MemCheckBoxInRunDlg"=dword:00000001(将"在单独的内存空间运行"复选框添加到"运行"对话框)(至少WIN2000) 
[注]允许用户在专用的(不是共享的)虚拟DOS机器(VDM)进程中运行十六位程序。 
"NoTaskGrouping"=dword:00000001(阻止在任务栏上对项目分组)(至少WINXP) 
"LockTaskbar"=dword:00000001(锁定任务栏)(至少WINXP) 
"NoTrayItemsDisplay"=dword:00000001(隐藏系统托盘图标)(至少WINXP) 
"NoToolbarsOnTaskbar"=dword:00000001(不在任务栏显示任何自定义工具栏)(至少WINXP) 
"GreyMSIAds""=dword:00000001(灰色显示开始菜单中安装不完全的程序的快捷方式)(至少WIN2000) 

《组策略用户配置管理模板任务栏和开始菜单(WINXP新样式开始菜单)》 
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer] 
"NoUserNameInStartMenu"=dword:00000001(隐藏用户名) 
"NoStartMenuMorePrograms"=dword:00000001(隐藏所有程序) 
"NoStartMenuMFUprogramsList"=dword:00000001(隐藏经常使用的程序) 
"NoStartMenuMyMusic"=dword:00000001(删除我的音乐图标) 
"NoStartMenuNetworkPlaces"=dword:00000001(删除网上邻居图标) 

《组策略用户配置管理模板桌面》 
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNonEnum] 
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000001(删除所有我的电脑图标)(至少WINXP) 
"{450D8FBA-AD25-11D0-98A8-0800361B1103}"=dword:00000001(删除所有我的文档图标)(至少WIN2000) 
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001(删除所有回收站图标)(至少WINXP) 
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] 
"NoPropertiesMyComputer"=dword:00000001(删除我的电脑右键菜单的属性)(至少WIN2000SP3) 
"NoPropertiesMyDocuments"=dword:00000001(删除我的文档右键菜单的属性)(至少WIN2000SP3) 
"NoPropertiesRecycleBin"=dword:00000001(删除回收站右键菜单的属性)(至少WINXP) 
"NoRecentDocsNetHood"=dword:00000001(不将打开的共享文件夹添加到网上邻居)(至少WIN2000) 
"DisablePersonalDirChange"=dword:00000001(禁止更改我的文档路径)(至少WIN2000) 
"NoDesktopCleanupWizard"=dword:00000001(删除桌面清理向导)(至少WINXP) 

《组策略用户配置管理模板桌面活动桌面》 
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] 
"ForceActiveDesktopOn"=dword:00000001(启用活动桌面,禁止用户关闭)(至少WIN2000) 
[注]此设置的优先级比"NoActiveDesktop"要高。 
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] 
"Wallpaper"="ab"(指定桌面墙纸的位置,禁止用户更改)(至少WIN2000/ME) 
"WallpaperStyle"="0"(0:居中,1:平铺,2:拉伸)(至少WIN2000/ME) 

《组策略用户配置管理模板控制面板》 
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] 
"NoControlPanel"=dword:00000001(禁止访问控制面板)(至少WIN2000) 
"ForceClassicControlPanel"=dword:00000001(强制为传统控制面板样式)(至少WINXP) 
"DisallowCpl"=dword:00000001(隐藏指定的控制面板项目)(至少WIN2000) 
"RestrictCpl"=dword:00000001(只显示指定的控制面板项目)(至少WIN2000) 
[注]以上两项设置需要添加相同名称的子键,然后在子键里面新建字符串,将其值设置为指定的控制面板项目,如desk.cpl、powercfg.cpl等,可以在%WinDir%System32目录中查找cpl文件。
Microsoft Windows Server 2003 Group Policy Settings Reference
Group Policy Settings Reference
Brief Description
This spreadsheet lists Group Policy settings described in Administrative Template (.adm) files and Security Settings that shipped with Windows Server 2003 Service Pack 1.
Overview
This spreadsheet lists Group Policy settings described in Administrative Template (.adm) files and Security Settings that shipped with Windows Server 2003 Service Pack 1. This includes all Administrative Template policy settings supported on the following operating systems: Microsoft Windows Server™ 2003, Windows XP Professional with SP2 or earlier service packs, and Microsoft Windows 2000 with Service Pack 4 or earlier service packs. In addition, this spreadsheet includes the following categories of security policy settings: Account Policies (Password Policy, Account Lockout Policy, and Kerberos Policy), Local Policies (Audit Policy, User Rights Assignment, and Security Options), Event Log, Restricted Groups, System Services, Registry, and File System policy settings. Note: This does not include security settings that exist outside of the Security Settings extension (scecli.dll), such as Wireless Network extension, Public Key Policies, or Software Restriction Policies.
The spreadsheet includes separate worksheets for each of the .adm files and the security policy settings that shipped in Windows XP SP2 , a consolidated worksheet for easy searching, and an Update History worksheet that lists policy settings that have been added since the Windows Server 2003 operating systems were released. Using column filters, you can easily filter the information in the spreadsheet by operating system, component, or machine/user configuration. You can also search for information by using text or keywords.
System Requirements
Supported Operating Systems: Windows 2000; Windows Server 2003; Windows XP
Excel 2000 and later
Additional Information
You can now obtain each version of the original .adm files that shipped with each operating system or service pack. See the Group Policy ADM Files link in Related
Resources on this page.

Related Resources


文件: win2003PolicySettings.rar
大小: 253KB
下载: 下载
 
 
Group Policy Settings Reference Windows Vista
Brief Description
This spreadsheet lists the policy settings for computer and user configurations included in the administrative template files (admx/adml) delivered with Windows Vista (RTM build 6000).
Overview
This spreadsheet lists the policy settings for computer and user configurations included in the administrative template files (admx/adml) delivered with Windows Vista (RTM build 6000). The policy settings included in this spreadsheet cover Windows Vista, Microsoft Windows Server 2003, Windows XP Professional, and Windows 2000. These files are used to expose policy settings when you edit Group Policy objects (GPOs) using Group Policy Object Editor (also known as GPEdit).

Related Resources

文件: VistaGPSettings.rar
大小: 268KB
下载: 下载

阅读(2558) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~