组策略安全选项对应注册表项汇总

啄时 2014-07-22

展开全文

在组策略中的位置:　　计算机设置->Windows设置->安全设置->本地策略->安全选项　　

详细列表:[MACHINESystemCurrentControlSetControlLsa]　　

1.值名:AuditBaseObjects　　

含义:对全局系统对象的访问进行审计　　

类型:REG_DWORD　　

数据:0=停用　　　　1=启用　　　　

2.值名:CrashOnAuditFail　　

含义:如果无法纪录安全审计则立即关闭系统　

类型:REG_DWORD　　

数据:0=停用　　　　1=启用　　　　

3.值名:FullPrivilegeAuditing　　

含义:对备份和还原权限的使用进行审计　　

类型:REG_BINARY　　

数据:0=停用　　　　1=启用　　　　

4.值名:LmCompatibilityLevel　　

含义:LAN Manager　　　

　身份验证级别　

　类型:REG_DWORD　

　数据:0=发送LM &　　　　NTLM响应　　1=发送LM & NTLM -　　　

　若协商使用NTLMv2安全　　　　2=仅发送NTLM响应　　3=仅发送NTLMv2响应　

　4=仅发送NTLMv2响应拒绝LM　　5=仅发送NTLMv2响应拒绝LM &　　　　NTLM　　　　

5.值名:RestrictAnonymous　

　含义:对匿名连接的额外限制(通常用于限制IPC$空连接)　

　类型:REG_DWORD　

　数据:0=无.依赖于默认许可权限　　　　1=不允许枚举SAM账号和共享　

　2=没有显式匿名权限就无法访问　　　　

6.值名ubmitControl　

　含义:允许服务器操作员计划任务(仅用于域控制器)　

　类型:REG_DWORD　　数据:0=停用　　　　1=启用　　　　[MACHINESystemCurrentControlSetControlPrintProvidersLanMan　　　　Print　　　　ServicesServers]　　

7.值名:AddPrinterDrivers　

　含义:防止用户安装打印机驱动程序　

　类型:REG_DWORD　　数据:0=停用　　　　1=启用　　　　[MACHINESystemCurrentControlSetControlSession　　　　ManagerMemory　　　　Management]　　

8.值名:ClearPageFileAtShutdown　

　含义:在关机时清理虚拟内存页面交换文件　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

　[MACHINESystemCurrentControlSetControlSession　　　　Manager]　

9.值名rotectionMode　

　含义:增强全局系统对象的默认权限 (例如 Symbolic　　　　Links)　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

　[MACHINESystemCurrentControlSetServicesLanManServerParameters]　

10.值名:EnableSecuritySignature　

　含义:对服务器通讯进行数字签名　　　　(如果可能)　

　类型:REG_DWORD　　数据:0=停用　　　　1=启用　　　

11.值名:RequireSecuritySignature　

　含义:对服务器通讯进行数字签名　　　　(总是)　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

12.值名:EnableForcedLogOff　

　含义:当登录时间用完时自动注销用户　　　　(本地)　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

13.值名:AutoDisconnect　

　含义:在断开会话产所需要的空闲时间　

　类型:REG_DWORD　

　数据:分钟数　　

　[MACHINESystemCurrentControlSetServicesLanmanWorkstationParameters]　

14.值名:EnableSecuritySignature　

　含义:对客户端通讯进行数字签名　　　　(如果可能)　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

15.值名:RequireSecuritySignature　

　含义:对客户端通讯进行数字签名　　　　(总是)　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

16.值名:EnablePlainTextPassword　

　含义:发送未加密的密码以连接到第三方SMB服务器　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

　[MACHINESystemCurrentControlSetServicesNetlogonParameters]　

17.值名isablePasswordChange　

　含义:防止计算机帐户密码的系统维护　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

18.值名ignSecureChannel　

　含义:安全通道: 对安全通道数据进行数字签名　　　　(如果可能)　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

19.值名ealSecureChannel　

　含义:安全通道: 对安全通道数据进行数字加密　　　　(如果可能)　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　

20.值名:RequireSignOrSeal　

　含义:安全通道: 对安全通道数据进行数字加密或签名　　　　(总是)　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

21.值名:RequireStrongKey　

　含义:安全通道: 需要强 (Windows 2000 或以上版本)　　　　会话密钥　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

　[MACHINESoftware[M$]Driver　　　　Signing]　

22.值名olicy　

　含义:未签名驱动程序的安装操作　

　类型:REG_BINARY　

　数据:0=默认安装　　　　1=允许安装但发出警告　　　　2=禁止安装　　　

　[MACHINESoftware[M$]Non-Driver　　　　Signing]　

23.值名olicy　

　含义:未签名非驱动程序的安装操作　

　类型:REG_BINARY　

　数据:0=默认安装　　　　1=允许安装但发出警告　　　　2=禁止安装　　　

　[MACHINESoftware[M$]WindowsCurrentVersionPoliciesSystem]　

23.值名isableCAD　

　含义:禁用按　　　　CTRL+ALT+DEL　　　　进行登录的设置　

　类型:REG_DWORD　　数据:0=停用　　　　1=启用　　　

24.值名ontDisplayLastUserName　　

含义:登录屏幕上不要显示上次登录的用户名　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

25.值名:LegalNoticeCaption　

　含义:用户试图登录时消息标题　

　类型:REG_SZ　

　数据:标题文本　　　

26.值名:LegalNoticeText　

　含义:用户试图登录时消息文字　

　类型:REG_SZ　

　数据:消息文字　　　

27.值名hutdownWithoutLogon　

　含义:登录屏幕上不要显示上次登录的用户名　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

　[MACHINESoftware[M$]Windows　　　　NTCurrentVersionSetupRecoveryConsole]　

28.值名ecurityLevel　

　含义:故障恢复控制台:　　　　允许自动系统管理级登录　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

29.值名etCommand　

　含义:故障恢复控制台:　　　　允许对所有驱动器和文件夹进行软盘复制和访问　

　类型:REG_DWORD　

　数据:0=停用　　　　1=启用　　　

　[MACHINESoftware[M$]Windows　　　　NTCurrentVersionWinlogon]　

30.值名:AllocateCDRoms　

　含义:只有本地登录的用户才能访问　　　　CD-ROM　

　类型:REG_SZ　

　数据:0=停用　　　　1=启用　　　

31.值名:AllocateDASD　

　含义:允许弹出可移动 NTFS　　　　媒体　

　类型:REG_SZ　

　数据:0=Administrators　　　　1=Administrators 和 Power users　

　2=Administrators 和 Interactive　　　　users　　　

32.值名:AllocateFloppies　

　含义:只有本地登录的用户才能访问软盘　

　类型:REG_SZ　

　数据:0=停用　　　　1=启用　　　

33.值名:CachedLogonsCount　

　含义:可被缓冲保存的前次登录个数　　　　(在域控制器不可用的情况下)　

　类型:REG_SZ　

　数据:次数,如10次　　　

34.值名asswordExpiryWarning　

　含义:在密码到期前提示用户更改密码　

　类型:REG_DWORD　

　数据:天数,缺省是14天　　　

35.值名cRemoveOption　

　含义:智能卡移除操作　

　类型:REG_SZ　

　数据:0=无操作　　　　1=锁定工作站　　2=强制注销=============================组策略用户配置管理模板与注册表对应键值一.组策略用户配置管理模板Windows组件《Windows Update》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate] "DisableWindowsUpdateAccess"=dword:00000001（删除使用所有Windows Update功能的访问）（至少WINXP）《组策略用户配置管理模板任务栏和开始菜单》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "NoSimpleStartMenu"=dword:00000001（强制典型菜单）（至少WINXP） "NoCommonGroups"=dword:00000001（从开始->程序菜单删除公共程序组）（至少WIN2000） "NoSMMyDocs"=dword:00000001（从开始->文档菜单删除我的文档图标）（至少WIN2000） "NoNetworkConnections"=dword:00000001（从开始->设置菜单删除网络连接）（至少WIN2000） "NoSMMyPictures"=dword:00000001（从开始菜单中删除"图片收藏"图标）（至少WINXP） "ForceStartMenuLogOff"=dword:00000001（强制开始菜单显示注销）（至少WIN2000） "Intellimenus"=dword:00000001（禁止个性化菜单）（至少WIN2000） "NoInstrumentation"=dword:00000001（关闭用户跟踪）（至少WIN2000） [注]这个设置防止系统跟踪用户使用的程序、用户导航的路径和用户打开的文档。系统用这个信息来自定义Windows功能，如个性化菜单。 "MemCheckBoxInRunDlg"=dword:00000001（将"在单独的内存空间运行"复选框添加到"运行"对话框）（至少WIN2000） [注]允许用户在专用的（不是共享的）虚拟DOS机器（VDM）进程中运行十六位程序。 "NoTaskGrouping"=dword:00000001（阻止在任务栏上对项目分组）（至少WINXP） "LockTaskbar"=dword:00000001（锁定任务栏）（至少WINXP） "NoTrayItemsDisplay"=dword:00000001（隐藏系统托盘图标）（至少WINXP） "NoToolbarsOnTaskbar"=dword:00000001（不在任务栏显示任何自定义工具栏）（至少WINXP） "GreyMSIAds""=dword:00000001（灰色显示开始菜单中安装不完全的程序的快捷方式）（至少WIN2000）《组策略用户配置管理模板任务栏和开始菜单（WINXP新样式开始菜单）》 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer] "NoUserNameInStartMenu"=dword:00000001（隐藏用户名） "NoStartMenuMorePrograms"=dword:00000001（隐藏所有程序） "NoStartMenuMFUprogramsList"=dword:00000001（隐藏经常使用的程序） "NoStartMenuMyMusic"=dword:00000001（删除我的音乐图标） "NoStartMenuNetworkPlaces"=dword:00000001（删除网上邻居图标）《组策略用户配置管理模板桌面》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNonEnum] "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000001（删除所有我的电脑图标）（至少WINXP） "{450D8FBA-AD25-11D0-98A8-0800361B1103}"=dword:00000001（删除所有我的文档图标）（至少WIN2000） "{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001（删除所有回收站图标）（至少WINXP） [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "NoPropertiesMyComputer"=dword:00000001（删除我的电脑右键菜单的属性）（至少WIN2000SP3） "NoPropertiesMyDocuments"=dword:00000001（删除我的文档右键菜单的属性）（至少WIN2000SP3） "NoPropertiesRecycleBin"=dword:00000001（删除回收站右键菜单的属性）（至少WINXP） "NoRecentDocsNetHood"=dword:00000001（不将打开的共享文件夹添加到网上邻居）（至少WIN2000） "DisablePersonalDirChange"=dword:00000001（禁止更改我的文档路径）（至少WIN2000） "NoDesktopCleanupWizard"=dword:00000001（删除桌面清理向导）（至少WINXP）《组策略用户配置管理模板桌面活动桌面》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "ForceActiveDesktopOn"=dword:00000001（启用活动桌面，禁止用户关闭）（至少WIN2000） [注]此设置的优先级比"NoActiveDesktop"要高。 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] "Wallpaper"="ab"（指定桌面墙纸的位置，禁止用户更改）（至少WIN2000/ME） "WallpaperStyle"="0"（0：居中，1：平铺，2：拉伸）（至少WIN2000/ME）《组策略用户配置管理模板控制面板》 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "NoControlPanel"=dword:00000001（禁止访问控制面板）（至少WIN2000） "ForceClassicControlPanel"=dword:00000001（强制为传统控制面板样式）（至少WINXP） "DisallowCpl"=dword:00000001（隐藏指定的控制面板项目）（至少WIN2000） "RestrictCpl"=dword:00000001（只显示指定的控制面板项目）（至少WIN2000） [注]以上两项设置需要添加相同名称的子键，然后在子键里面新建字符串，将其值设置为指定的控制面板项目，如desk.cpl、powercfg.cpl等，可以在%WinDir%System32目录中查找cpl文件。

Microsoft Windows Server 2003 Group Policy Settings Reference

Group Policy Settings Reference

Brief Description

This spreadsheet lists Group Policy settings described in Administrative Template (.adm) files and Security Settings that shipped with Windows Server 2003 Service Pack 1.

Overview

This spreadsheet lists Group Policy settings described in Administrative Template (.adm) files and Security Settings that shipped with Windows Server 2003 Service Pack 1. This includes all Administrative Template policy settings supported on the following operating systems: Microsoft Windows Server? 2003, Windows XP Professional with SP2 or earlier service packs, and Microsoft Windows 2000 with Service Pack 4 or earlier service packs. In addition, this spreadsheet includes the following categories of security policy settings: Account Policies (Password Policy, Account Lockout Policy, and Kerberos Policy), Local Policies (Audit Policy, User Rights Assignment, and Security Options), Event Log, Restricted Groups, System Services, Registry, and File System policy settings. Note: This does not include security settings that exist outside of the Security Settings extension (scecli.dll), such as Wireless Network extension, Public Key Policies, or Software Restriction Policies.

The spreadsheet includes separate worksheets for each of the .adm files and the security policy settings that shipped in Windows XP SP2 , a consolidated worksheet for easy searching, and an Update History worksheet that lists policy settings that have been added since the Windows Server 2003 operating systems were released. Using column filters, you can easily filter the information in the spreadsheet by operating system, component, or machine/user configuration. You can also search for information by using text or keywords.

System Requirements

Supported Operating Systems: Windows 2000; Windows Server 2003; Windows XP

Excel 2000 and later

Additional Information

You can now obtain each version of the original .adm files that shipped with each operating system or service pack. See the Group Policy ADM Files link in Related

Resources on this page.

Related Resources

[color=#0033cc]Group Policy Resources on TechNet[/color]

[color=#0033cc]Community Resources for Windows Server[/color]

[color=#0033cc]Introducing the Group Policy Management Console[/color]

[color=#0033cc]Group Policy ADM Files[/color]

Group Policy Settings Reference Windows Vista

Brief Description

This

spreadsheet lists the policy settings for computer and user configurations

included in the administrative template files (admx/adml) delivered with Windows

Vista (RTM build 6000).