鲜为人知的Win2003本地策略设置技巧

　　Win2003系统因稳定性和安全性拥有较多的用户，但是对本地策略实施上却显得陌生。其实本地策略可以应用于多个方面，今天我们就详细地为大家详细解说本地策略在Win2003中那些巧设置吧。

　　1、将本地策略应用于除管理员以外的所有用户

　　要对除管理员以外的所有用户实施本地策略，请执行以下步骤：以管理员身份登录到计算机。打开本地安全策略。要实现这一点，请执行以下操作：单击开始运行，键入gpedit.msc，然后按ENTER 键。或者单击开始运行，键入mmc，按ENTER键，添加“组策略对象编辑器”，然后为本地安全策略对其进行配置。如果删除运行命令是您所需要的策略之一，Microsoft 建议您通过“Microsoft 管理控制台”(MMC) 编辑该策略，然后将结果保存为图标。这样，您不需要使用运行命令就可以重新打开该策略了。展开用户配置对象，然后展开管理模板对象。

　　2、启用您所需的任何策略

　　(例如，“隐藏桌面上的‘网上邻居’”或“隐藏桌面上的Internet Explorer 图标”)。备注：一定要选择正确的策略，否则，您可能会限制管理员登录计算机(以及完成配置计算机所需步骤)的能力。Microsoft 建议您记录所做的任何更改。关闭“Gpedit.msc 组策略”管理单元，或者，如果您使用 MMC，请将控制台保存为图标，以便以后可以访问它，然后从计算机注销。以管理员身份登录到计算机。您可以在此登录会话中验证以前所做的策略更改，因为在默认情况下，本地策略会应用于包括管理员在内的所有用户。从计算机注销，然后以此计算机所有其他用户(您希望他们应用这些策略)的身份登录到计算机。这些策略是为所有这些用户和管理员而实现的。备注：对于在这一步未登录到计算机的任何用户帐户，都无法为其实现这些策略。以管理员身份登录到计算机。单击开始，指向控制面板，然后单击文件夹选项。选择查看选项卡，选中“显示隐藏文件或文件夹”，然后点确定以便可以查看“组策略”隐藏文件夹。或者，打开“Windows 资源管理器”，单击工具，然后单击文件夹选项以查看这些设置。将位于 %Systemroot%System32GroupPolicyUser 文件夹中的 Registry.pol 文件复制到备份位置(例如，复制到另一硬盘、软盘或文件夹)。使用“Gpedit.msc 组策略”管理单元或您的 MMC 图标再次打开本地策略，然后启用在为该计算机创建的原始策略中禁用的实际功能。备注：执行此操作时，“策略编辑器”会创建一个新的 Registry.pol 文件。关闭策略编辑器，然后将创建的备份 Registry.pol 文件复制回%Systemroot%System32GroupPolicyUser 文件夹中。系统提示替换现有文件时，单击是。从计算机注销，然后以管理员身份登录。 由于您是以管理员身份登录到计算机，您可以验证是否没有实施最初所做的更改。从计算机注销，然后以其他用户身份登录。由于您是以用户(而非管理员)身份登录到计算机，您可以验证是否实施了最初所做的更改。以管理员身份登录计算机，以确认本地策略不影响您以本地管理员身份登录该计算机。

　　3、恢复原始本地策略

　　要撤消本文中“将本地策略应用于除管理员以外的所有用户”一节介绍的过程，请执行以下步骤：以管理员身份登录到计算机。单击开始，指向控制面板，然后单击文件夹选项。单击查看 选项卡，单击“显示隐藏文件和文件夹”，然后单击确定 以便可以查看“组策略”隐藏文件夹。或者，打开“Windows 资源管理器”，单击工具，然后单击文件夹选项。从 %Systemroot%System32GroupPolicyUser 文件夹中移动、重命名或删除Registry.pol 文件。在您从计算机注销或重新启动计算机后，“Windows 文件保护”系统会创建另一个默认的 Registry.pol 文件。打开本地策略。要实现这一点，请单击开始运行，然后键入gpedit.msc。或者，单击开始运行，键入mmc，加载本地安全策略。然后，将设为禁用或启用的所有项目设为未配置，以撤消 Registry.pol 文件所指定的对 Windows Server2003 注册表实施的任何策略更改。以管理员身份从计算机注销，然后再次以管理员身份登录该计算机。从计算机注销，然后以本地计算机的所有用户身份登录到该计算机，这样也可以针对它们的帐户撤消更改。

　　[#page_#] 最后将刚才建立的adan用户添加到DHCP管理员用户组，通过这样的设置，adan这个User组用户，就有了管理DHCP服务器的权限。

　　4、 DHCP服务器的IP地址与MAC地址绑定策略

　　在网络管理的过程当中，我们经常会遇到一些用户私自更改IP地址，而造成IP地址冲突，引起其他用户无法上网，通常在这种情况下我们网管朋友会采用IP地址与MAC地址绑定的策略来防止IP地址被盗用。在DHCP服务器中，我们通常的策略是会保留一些IP地址给一些特殊用途的网络设备，如路由器、打印服务器等等，如果客户机私自将自己的IP地址更改为这些地址，就会造成这些设备无法正常工作。这时，我们就需要合理的配置这些IP地址与MAC地址进行绑定，来防止保留的IP地址被盗用。

　　第一步：了解客户机的MAC地址

　　在想要实现绑定的客户机的“开始”-“运行”中输入“CMD”命令，打开Windows 2003的命令提示符窗口。然后输入“IPCONFIG /ALL”查看网络的配置信息，其中有一项NIC后面的十六进制数便是这台机器的MAC地址信息。

　　第二步：实现IP地址与MAC地址绑定策略

　　打开DHCP服务器控制台，展来已经建立好的DHCP服务器，右键单击“保留”选项，这时我们选择“新建保留”选项。

　　出现的对话框中，在“名称”里输入保留的计算机名，在“IP地址”的选项中，是需要绑定MAC地址的IP地址，这里我们输入网关的地址 192.168.0.1，在“MAC地址”的选项当中，将之前在客户机中看到的MAC地址添加到其中。这样，我们就为网络上的网关设备路由器添加了一个 MAC地址绑定，就再也不会出现这个地址被盗用的情况了。

　　5、 跨子网间的DHCP服务器中继代理

　　随着网络规模的不同扩大，我们会使用Windows 服务器操作系统的“路由和远程访问”功能将网络划分为不同的子网。如何通过一台DHCP服务器，在两台子网间同时提供服务呢?在这时，就需要使用到 DHCP服务器的中继代理功能来实现在两个子网之间同时提供DHCP服务。

　　第一步：安装DHCP中继代理

　　在已经安装好“路由和远程访问”服务的计算机当中，打开“路由和远程访问”控制台，然后选择“IP路由协议”中的“常规”选项，右键单击，在弹出的菜单中选择新增路由协议。

　　在弹出的对话框当中，选择“DHCP中继代理程序”然后单击“确定”按键，安装DHCP中继代理。

　　第二步：指向的DHCP服务器的IP地址

　　这时，在“IP路由选择”选项当中就会多了一项“DHCP中继代理程序”，右键单击这个选项，打开“属性“对话框。

　　在DHCP中继代理的属性对话框中，我们需要指定DHCP中继代理程序指向的DHCP服务器的IP地址，这里我们输入DHCP服务器的地址192.168.0.2。

　　第三步：设置DHCP服务的中继接口

　　最后，我们再次右键单击“DHCP服务中继代理程序”选项，选择“新增接口”来将DHCP服务中继加载到一个接口当中，在例子中我们选择“内部”的这个接口，这样我们就将“DHCP中继代理程序”应用到网络中连接另一个子网的网卡当中。通过以上这些设置，不同子网间的计算机都可能通过DHCP中继代理程序而自动获取IP地址信息了。

　　以上便是非常具体的Win2003系统本地策略设置的内容了，想要更好地利用好本地策略这个功能便需要我们对此有所了解，相信此篇教程定能让你全面地了解本地策略。