对于组策略刷新保护如何理解？？

yuan_53770 · 发表于 2008-1-1 21:05:36

在“尽量避免使用组策略！”的帖子中，“龙泉剑1”兄回复了如下文字：

说得不错，我最喜欢使组策略了。它不但可以进行优化，还可以进行美化，进行安全设置，但是最重要的一点是它还可以自动对自己进行保护。
楼主只看到了启动时他会修改注册表，不知是否知道组策略还会每隔一段时间自动刷新一次，默认的时间是大约是90分钟，我一般都把它改为10分钟，这样，即使有人或病毒木马私自改动了注册表，更改了我的设置，系统会自动把它改回来。这样会很安全方便。
组策略自带说明很详细，新手只要注意在使用只能运行的程序时，不要忘了把MMC.exe,gpedit.msc添进去就行了。

我想问的是，组策略是不是本身默认就带有这种自我保护的功能，只是时间不同而已？
如果带有此功能，是不是手工修改注册表的键值，会在组策略刷新时间到后自动恢复原状？如果是这样，是否可以理解为由组策略设置后的项也只能由组策略本身改回来，手工修改注册表只是暂时的？？

举个例子，比如组策略自锁了，无法打开组策略，我导入以下注册表文件：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC]
"RestrictToPermittedSnapins"=dword:00000000

[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{0F6B957E-509E-11D1-A7CC-0000F87571E3}]
"Restrict_Run"=dword:00000000

[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]
"Restrict_Run"=dword:00000000

即可打开组策略，那这个解锁结果是一直有效的，还是在组策略后台刷新时间到后又自动上锁呢？？

希望各位大虾给小弟解释一下，谢谢！！

kangyi · 发表于 2008-1-1 21:41:45

新鲜的理论

想知道如何改这个“刷新”的时间

yuan_53770 · 发表于 2008-1-1 23:39:46

原帖由 kangyi 于 2008-1-1 09:41 PM 发表
新鲜的理论

想知道如何改这个“刷新”的时间

应该是这样吧：

•	更改计算机的刷新间隔：注册表项：HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\ System 名称：GroupPolicyRefreshTime 类型：REG_DWORD 数据的有效范围（以分钟计）：0 到 64800
•	更改计算机的偏移间隔：注册表项：HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\ System 名称：GroupPolicyRefreshTimeOffset 类型：REG_DWORD 数据的有效范围（以分钟计）：0 到 1440
•	更改域控制器的刷新间隔：注册表项：HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\ System 名称：GroupPolicyRefreshTimeDC 类型：REG_DWORD 数据的有效范围（以分钟计）：0 到 64800
•	更改域控制器的偏移间隔：注册表项：HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\ System 名称：GroupPolicyRefreshTimeOffsetDC 类型：REG_DWORD 数据的有效范围（以分钟计）：0 到 1440
•	更改用户的刷新间隔：注册表项：HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\ System 名称：GroupPolicyRefreshTime 类型：REG_DWORD 数据的有效范围（以分钟计）：0 到 64800
•	更改用户的偏移间隔：注册表项：HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\ System 名称：GroupPolicyRefreshTimeOffset 类型：REG_DWORD 数据的有效范围（以分钟计）：0 到 1440

yuan_53770 · 发表于 2008-1-1 23:42:08

我想知道这个刷新操作是否达到恢复保护键值的效果？？

随便问一下，所说的组策略的帮助说明文件是哪个？在什么地方有？？

[ 本帖最后由 yuan_53770 于 2008-1-1 11:47 PM 编辑 ]

dato · 发表于 2008-1-2 02:08:59

这个这个没时间去尝试过。

组策略应该是种以简单的方式来修改注册表项，但是有时候发现直接通过修改注册表项却并不会显示在组策略里。

偶一直对策略的匹配方面不了解如果你担心的话，可以查看secedit一个命令行的工具。

偶一直对修改过的选项如何导出方面不理解，官方提供的模板就那么几百K大，偶导出的经常几M就一直没研究secedit

123 · 发表于 2008-1-2 09:22:43

这样超级兔子不就没用了?

yuan_53770 · 发表于 2008-1-2 10:58:55

呵呵，所以这就是偶不解的地方了：) 也就是说组策略设了刷新后，经过它所做的设置是否可以用其它工具（或手工）作修改（一直有效），还是只能用它本身来解开设置？

		自动登录	找回密码
密码			注册