《XP组策略详解.docx》由会员分享,可在线阅读,更多相关《XP组策略详解.docx(46页珍藏版)》请在三一办公上搜索。
1、gpedit.msc二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)Wmp
2、layer.adm:用于Windows Media Player 设置。 4)Conf.adm:用于NetMeeting 设置。 使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体步骤如下: 1)打开 Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC并回车,运行控制台程序)。 2)在“文件”菜单上,单击“添加/删除管理单元”。 3)在“独立”选项卡上,单击“添加”。 4)在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。 5)在“选择组策略对象”对话框中
3、,单击“本地计算机”编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。 6)单击“完成”,单击“关闭”,然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。 对于不包含域的计算机系统来说,在上面第5步的界面中,只有“计算机”标签,而没有其他标签项目。 通过上面的方法,我们就可以使用Windows 2000/XP/2003组策略系统强大的网络配置功能,让管理员的工作更轻松和高效。 在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态,Windows 2000/XP/2003组策略管理控制台同样也有三种状态,只不过名字变了。它们分别是:已启用、未
4、配置、已禁用。 四、“桌面”设置 Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例: 位置:“组策略控制台用户配置管理模板桌面” 1隐藏桌面的系统图标(Windows 2000/XP/2003) 虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险。而采用组策略配置的方法,可以方便快捷地达到此目的。 比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Intern
5、et Explorer图标”两个策略选项启用即可(如图5);如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。 图 5 2退出时不保存桌面设置(Windows 2000/XP/2003) 此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略,用户仍然可以对桌面做更改,但有些更改,如图标的位置、任务栏的位置及大小,在用户注销后都无法保存,不过任务栏上的快捷方式总可
6、以被保存。 在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。 3屏蔽“清理桌面向导”功能(Windows XP/2003) “清理桌面向导”会每隔 60 天自动在用户的电脑上运行,以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置,则可以屏蔽“清理桌面向导”,如果你禁用或不配置此设置,“清理桌面向导”会按照默认设置每隔60天运行一次。 打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。 4启用/禁用“活动桌面”(Windows 2000/XP/2003) “活动桌面”是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能,最大的特点
7、是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以轻松达到这一要求。具体操作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。 提示:如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置,则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置(在“用户配置管理模板Windows组件Windows资源管理器”中)被启用,Active Desktop 就会被禁用,并且这两个策略都会被忽略
8、。 以上介绍了几个关于桌面的组策略配置项目,在“组策略控制台用户配置管理模板桌面”下还有其他若干组策略配置项目,读者可根据需要进行配置,这里不再赘述。五、个性化“任务栏”和“开始”菜单 在图6所示窗口的右侧,显示了“任务栏”和“开始”菜单的有关组策略配置项目。下面我们来看具体的实例: 图 6 位置:“组策略控制台用户配置管理模板任务栏和开始菜单” 1给“开始”菜单减肥(Windows 2000/XP/2003) 如果觉得Windows的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到Windows Update的
9、访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除我的文档图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。 2保护好“任务栏”和“开始”菜单(Windows 2000/XP/2003) 如果你不想随意让他人更改“任务栏”和“开始”菜单的设置,你只要将组策略控制台右侧窗格中的“阻止更改任务栏和开始菜单设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当你用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息(图7),且当鼠标右键单击任务栏及任务栏上的项目时,例如“开始”按钮、时钟和“任务栏”按钮,弹出菜单会隐藏。 图 7 3禁止“注销”和“
10、关机”(Windows 2000/XP/2003) 当计算机启动以后,如果你不希望这个用户再进行“关机”和“注销”操作,那么可将组策略控制台右侧窗格中的“删除开始菜单上的注销”和“删除和阻止访问关机命令”两个策略启用。 这个设置会从开始菜单删除“关机”选项,并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项 。另外需要注意的是,此设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。 提示:如果启用了“删除开始菜单上的注销”,则会从“开始菜单选项”删除“显示注销”项目。用户无法将“注销
11、”项目还原到开始菜单(只能通过手工修改注册表的方法)。这个设置只影响开始菜单,它不影响 “Windows 任务管理器”对话框上的“注销”项目(因此需要同时启用“删除和阻止访问关机命令”),而且不妨碍用户用其它方法注销。 4利用组策略保护个人文档隐私(Windows 2000/XP/2003) Windows有个高级智能功能,即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。利用组策略,只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启
12、用即可。 另外需要注意的是,如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。 六、IE设置手到擒来 微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好。在IE浏览器的“Internet选项”窗口中,提供了比较全面的设置选项(例如:“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目),但部分
13、高级功能没有提供,而通过组策略即可轻松实现这些功能。下面来看具体实例: 位置:“组策略控制台用户配置管理模板Windows 组件Internet Explorer(需添加inetres.adm模板文件)” 1禁用“在新窗口中打开”菜单项(Windows 2000/XP/2003) 出于对安全的考虑,有时候我们有必要屏蔽IE的一些功能菜单,组策略提供了丰富的设置项目,比如禁用“另存为.”、“文件”、“新建”等。下面以“禁用在新窗口中打开菜单项”为例介绍具体的设置方法。 打开“组策略控制台用户配置管理模板Windows 组件Internet Explorer浏览器菜单”,然后打开“禁用在新窗口中打
14、开菜单项”并设置为“启用”。启用该策略后,用户在某个链接上单击鼠标右键,然后单击“在新窗口中打开”时,该命令将不起作用。该策略可与“文件菜单禁用新建菜单项”一起使用,后者禁止用户通过单击“文件”菜单,指向“新建”,然后单击“窗口”在新窗口中打开浏览器(如图8所示,“新建窗口”项目已经无法使用)。 图 8 提示:启用该策略后,单击“在新窗口中打开”命令,将无法在新窗口中打开链接,系统会提示用户该命令无效,网页自动打开的窗口也全部被禁止,其实这样也可达到屏蔽弹出广告窗口的效果。 2限制IE浏览器的保存功能(Windows 2000/XP/2003) 在使用IE浏览网页过程中,当遇到好的图片、文章等
15、资源时可以使用“另存为”功能将它保存到本地硬盘中,当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制。那么如何才能实现呢?可以这样操作:打开“组策略控制台用户配置管理模板Windows组件Internet Explorer浏览器菜单”,然后将右侧窗格中的“文件菜单:禁用另存为.菜单项”、“文件菜单:禁用另存为网页菜单项”、“查看菜单:禁用源文件菜单项”和“禁用上下文菜单”等策略项目全部启用即可。 如果不希望别人对IE浏览器的设置随意更改,可以将“工具菜单:禁用Internet选项.”策略启用。另外,根据个人的需要,在该窗格中还可以禁用其他项目。 3禁用“Internet
16、 选项”控制面板(Windows 2000/XP/2003) 上面提到了“禁用Internet选项”的功能,使用该功能可以达到阻止别人对IE随便设置的目的。而这种方法无法具体禁用Internet选项中的控制模板项目,因此给具体应用带来麻烦。通过下面的组策略设置方法,则可以实现这一要求: 打开“组策略控制台用户配置管理模板Windows组件Internet ExplorerInternet 控制面板”,在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明:打开右边窗格中的“禁用常规页”并设置为“启用”。然后我们再打开Internet选项控制面板,会
17、发现“常规”项目已经没有了(图9),这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置,因为该策略将删除界面上的“常规”选项卡,所以如果设置了该策略,则无须设置位于 “用户配置管理模板Windows 组件Internet Explorer”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。 图 9 4禁止修改IE浏览器的主页(Windows 2000/XP/2003) 如果不希望他人对自己设定的IE浏览器主页进行随意更改的话,可以打开“组策略控制台用户配置管理模板Windows组件Internet Explorer工具栏”,然后选择“禁用更改主页设置”组策略并
18、启用即可。另外在这个窗格中,还提供了“更改历史记录设置”、“更改颜色设置”和“更改Internet临时文件设置”等项目的禁用功能。 启用此策略后,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。 提示:如果设置了位于“组策略控制台用户配置管理模板Windows组件Internet ExplorerInternet Explorer控制面板”中的“禁用常规页”策略,则无须设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。 5自定义IE工具栏(Windows 2000/XP/2003) IE工具栏的背景和上面的按钮都是可以自定义的,以前我
19、们大多使用手动修改注册表的方法,不过并不直观,现在我们用“组策略”可以更方便地达到效果,打造属于我们自己的IE。 打开“组策略控制台用户配置Windows设置Internet Explorer维护浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目,在这里,可以自定义浏览器工具栏的背景图片,点击“浏览”选择一个BMP的位图文件即可(注意:工具栏背景应该与工具栏大小相同,而亮度应该足以显示黑色文字,否则实际效果并不理想)。 接下来,我们要在IE的工具栏上添加自己的快捷方式,比如添加“我的QQ”,在这里也可以很轻松地完成。 点击“添加”,在“工具栏标题”中输人“我的QQ”,在“工具栏操作”中
20、选择QQ程序的路径,最后再选择好“颜色图标”和“灰度图标”的路径(如果你不知道怎么提取这两个图标,可以请EXeScope这个软件来帮忙,在各大站点都可以下载)。设置完成后点“确定”,再次打开IE后就可以看到修改的效果了。 七、轻松实现Windows高级功能 1设置并锁定Windows Media Player外观(Windows 2000/XP/2003) Windows Media Player是目前最流行的多媒体播放器之一,如果不希望其他用户随意更改其界面外观的话,利用组策略可以轻松实现。打开“组策略控制台用户配置管理模板Windows 组件Windows Media Player用户界面
21、中的设置并锁定外观”启用此策略。 启用此策略后,将使 Windows Media Player 只以指定的外观模式显示,具体可以使用在“策略”选项卡上的“外观”框中指定的外观(如图10所示)。你必须为外观使用完整的文件名例如miniplayer.wmz。如果外观文件在用户的计算机上没有安装,播放器将以Windows Media Player外观打开。 图 10 提示:本策略设置软件版本至少为Windows Media Player v8.00,ADM文件为wmplayer.adm。 2禁止Windows Media Player播放时运行屏保(Windows 2000/XP/2003) 屏幕保
22、护程序可以有效地保护我们的显示器,但是当我们使用播放器观看精彩影片时,经常会出现屏幕保护程序突然运行而中断观看的尴尬局面。现在我们可以通过组策略来解决屏幕保护程序使Windows Media Player播放中断的麻烦问题了。打开“组策略控制台用户配置管理模板Windows组件Windows Media Player播放中的允许运行屏幕保护程序”并将它设置为“已禁用”状态。 3优化配置Windows Media Player网络缓冲(Windows 2000/XP/2003) 当我们使用Windows Media Player播放流式媒体时,播放器会在播放前对流式媒体进行缓冲处理,以便可以流畅
23、地进行播放。在实际应用中,根据网络带宽和服务器的连接速度,缓存的时间长短并不一样,但Windows Media Player却是在使用同一设置,这无疑与实际网络情况不匹配,因此我们可以根据具体的网络带宽情况自己优化配置网络缓冲。打开“组策略控制台用户配置管理模板Windows组件Windows Media Player网络中的配置网络缓冲”并设置为启用状态,在出现的缓冲时间(秒数)配置选项中,根据网络的带宽情况进行自定义(最多 60 秒)。 提示:如果此策略已启用,那么Windows Media Player“性能”选项卡上的缓存选项将不能再配置。 4屏蔽使用所有 Windows Update
24、 功能的访问(Windows 2000/XP/2003) Windows Update可以自动连接Microsoft网站并下载更新内容,这对大部分用户来说是比较实用的,但对于不需要更新或者带宽紧张的电脑用户来说,此功能就显得多余了,而且经常传闻Windows Update会将计算机用户信息“秘密”发往Microsoft,因此也可以屏蔽这一“智能”高级功能。打开“组策略控制台用户配置管理模板Windows 组件Windows Update”中的“删除使用所有 Windows Update 功能的访问”组策略并启用此策略。 提示:如果你启用此设置,所有 Windows Update功能(其中包括阻
25、止访问Windows Update网站http/、开始菜单上的 Windows Update的超链接和Internet资源管理器上的工具菜单)将被删除。Windows自动更新也被禁用,你将不会收到有关更新的通知,也不会接到Windows Update的重要更新。此设置还会阻止设备管理器自动从Windows Update网站下载安装驱动程序的更新。 5在Windows XP/2003中实现远程关机(Windows XP/2003) 在Windows XP/2003中,新增了一条命令行工具“shutdown”,它可以关闭或重新启动本地或远程计算机。利用它,我们不但可以注销用户、关闭或重新启动计算机
26、,还可以实现定时关机、远程关机。该命令的语法格式如下: shutdown -i |-l|-s |-r |-a-f-mComputerName-t xx-c message-dup:xx:yy 该命令具体的使用参数和技巧请参考Windows的帮助系统,帮助系统里面有全面的资料。我们现在简单地看一下该命令的一些基本用法: 1)注销当前用户 shutdown - l 该命令只能注销本机用户,对远程计算机不适用。 2)关闭本地计算机 shutdown - s 3)重启本地计算机 shutdown - r 4)定时关机 shutdown - s -t 30 指定在30秒之后自动关闭计算机。 5)中止计算
27、机的关闭。有时我们设定了计算机定时关机后,如果出于某种原因又想取消这次关机操作,就可以用shutdown - a来中止。 在该命令的格式中,有一个参数-m ComputerName,用它可以指定将要关闭或重启的计算机名称,若省略的话则默认为对本机操作。你可以用以下命令来试一下: shutdown -s -m Anyes-solon -t 30 在30秒内关闭计算机名为Anyes-solon(Anyes-solon为局域网内一台同样装有Windows XP/2003)的电脑。 该命令执行后,计算机Anyes-solon一点反应都没有,屏幕上却提示“Access is denied (拒绝访问)”
28、。 出现这种情况是因为Windows XP默认的安全策略中,只有管理员组的用户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑访问该计算机时,则只有guest用户权限,所以当我们执行上述命令时,便会出现“拒绝访问”的情况。 而我们利用组策略即可赋予guest用户远程关机的权限。打开“组策略控制台计算机配置Windows 设置安全设置本地策略用户权利指派中的从远端系统强制关机”,在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机;单击对话框下方的“添加用户或组”按钮,然后在新弹出的对话框中输入“guest”,再单击“确定”按钮(如图11所示)。 图
29、11 通过上述操作后,我们便给计算机Anyes-solon的guest用户授予了远程关机的权限。以后,倘若你要远程关闭计算机Anyes-solon,只要在网络中其他装有Windows XP/2003的计算机中输入以下命令shutdown -s -m Anyes-solon -t 60即可。 这时,在Anyes-solon计算机的屏幕上将显示一个“系统关机”的对话框,在对话框下方还有一个计时器,显示离关机还有多少时间(如图12所示)。在等待关机的时间里,用户还可以执行其他的任务,如关闭程序、打开文件等,但无法关闭该对话框,除非你用shutdown -a命令来中止关机任务 八、用组策略提升系统性能
30、 1让Windows 的上网速率提升20%(Windows XP/2003) 默认情况下,Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内,这对带宽较小的网络来说,无疑是笔不小的开支。我们可以通过组策略设置来替代默认值,让我们的上网速率提高20%! 打开“组策略控制台计算机配置管理模板网络”中的“QoS数据包调度程序”并启用此策略,然后使用下面“带宽限制”框来调整系统可保留的带宽比例,将它设置为0%即可,然后按确定退出,之后我们就可以使用另外20%的带宽了。 2关闭缩略图的缓存(Windows XP/2003) Windows XP/20003系统具有缩略图视图功能,且为了
31、加快那些被频繁浏览的缩略图显示速度,系统会将这些被显示过的图片进行缓存,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。但如果我们不希望系统进行缓冲的话(比如只浏览一次的图片),则可以利用组策略关闭缩略图缓存的功能,这样第一次浏览速度反而会大大加快(因为不进行缓存处理)。 打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。 3屏蔽系统自带的CD刻录功能(Windows XP/2003) Windows XP/2003系统自带CD刻录功能,如果你有CD刻录机接在计算机上,Windows 资源管理器允许你制作并修改可重写
32、式CD。但这样无疑会影响系统性能和资源管理器的执行速度,因此我们可以利用组策略来屏蔽此功能(大部分用户都使用专用的CD刻录软件)。 打开“组策略控制台用户配置管理模板网络”中的“删除CD刻录功能”并启用此策略。 4关闭系统还原功能(Windows XP/2003) 系统还原是Windows XP/2003中集成的强大功能,它在系统运行的同时,备份那些被更改的文件和数据,如果出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将计算机还原到以前的状态。默认情况下,系统还原处于打开状态。 但为这一功能付出的代价也是相当大的,系统性能会明显下降,磁盘空间也会被占用很多。对于配置不高的计算机来说
33、,强烈建议关闭此功能。 打开“组策略控制台计算机配置管理模板系统系统还原”中的“关闭系统还原”并启用此策略。启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界面”。 5禁止Windows Messenger自动运行(Windows XP/2003) 在Windows系统中集成的优秀应用软件越来越多,但这些系统内置的软件都没有卸载选项,引起很多电脑用户的不满。比如Windows XP自带的Windows Messenger,不但卸载不方便而且还随系统一起自动运行。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说,当然要屏蔽此软件的自动运行功能
34、。 打开“组策略控制台计算机配置管理模板Windows组件Windows Messenger”中的“不允许运行Windows Messenger ”并启用此策略。 提示:这个设置出现在“计算机配置”和“用户配置”文件夹中。如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。 九、用组策略打造系统铜墙铁壁级功能 1隐藏“我的电脑”中指定的驱动器(Windows XP/2003) 此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。 打开“组策略控制台用户配置管理模板Windows组件W
35、indows资源管理器”中的“隐藏我的电脑中的这些指定的驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。 提示:这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。 2防止从“我的电脑”访问驱动器(Windows 2000/XP/2003) 此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。 打开“组策略控制台用户配置管
36、理模板Windows组件Windows资源管理器”中的“防止从我的电脑访问驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。 提示:这些代表指定驱动器的图标仍旧会出现在“我的电脑”中,但是如果用户双击图标,会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。 3禁止使用命令提示符(Windows 2000/XP/2003) 在Windows 2000/XP/2003下,我们可以运行cmd.exe进入命令提示符状态,并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑,有些
37、系统应该屏蔽此功能。 打开“组策略控制台用户配置管理模板系统”中的“阻止访问命令提示符”并启用此策略,并在下面列表框中选择是否“也停用命令提示符脚本处理”,这个设置还决定批处理文件 .cmd和.bat是否可以在计算机上运行。 如果启用这个设置,在用户试图打开命令窗口时,系统会显示一条消息,解释设置阻止这一操作。 4禁止更改显示属性(Windows 2000/XP/2003) 选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”,可进入“显示设置”对话框,可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置,如果你不想让别人随意更改各项设置,可以通过组策略将它隐藏
38、起来。 打开“组策略控制台用户配置管理模板控制面板显示”,然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置,可根据需要对这些项目进行配置。比如启用了“隐藏桌面选项卡”策略后,再打开“显示属性”对话框,就看不到“桌面”标签了,这样自然就无法再对桌面属性进行更改了。 5禁用注册表编辑器(Windows 2000/XP/2003) 为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法:打开“组策略控制台用户配置系统”中的“阻止访问注册表编辑工具”并启用此策略。 此策略被启用后,用户试图启动注册表编辑器(Reged
39、it.exe 及 Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。 6彻底禁止访问“控制面板”(Windows 2000/XP/2003) 如果不希望其他用户访问计算机的“控制面板”,同样可以使用组策略来实现。打开“组策略控制台用户配置管理模板扩展面板”中的“禁止访问控制面板”并启用此策略。 此策略启用后可以防止“控制面板”程序文件(Control.exe)的启动。他人将无法启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。 7禁止建立新的拨号连接(Wind
40、ows 2000/XP/2003) 如果不想让别人在计算机中建立新连接来拨号上网的话,组策略也可以做到。打开“组策略控制台用户配置管理模板网络网络连接”中的“禁止访问新建连接向导”并启用此策略。 启用此策略后,在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。 提示:此设置无法阻止用户使用诸如 Internet Explorer 这样的其它程序来绕过此设置。另外此设置必须重新启动计算机后才能生效。 8禁用“添加/删除程序”(Windows 2000/XP/2003) “控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的
41、Windows 程序。如果你想阻止其他用户安装或卸载程序,可利用组策略来实现。 打开“组策略控制台用户配置管理模板控制面板添加删除程序”中的“删除添加/删除程序程序”并启用此策略,当我们再打开“控制面板”中“添加/删除程序”模块的时候,会自动弹出警告窗口,而“添加/删除程序”则无法运行。 此外,在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏,通过这些策略项目的设置,起到了保护计算机中系统文件及应用程序的作用。 9限制使用应用程序(Windows 2000/
42、XP/2003) 如果你的电脑设置了多个用户,有些程序我们可能不希望其他用户随意运行,也能在组策略中设置。 打开“组策略控制台用户配置管理模板系统”中的“只运行许可的Windows应用程序”并启用此策略,然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。相信不少“菜鸟”朋友都会认为Windows系统的组策略很“神秘”,因此他们一般不敢轻易去“碰”它;其实,如果你和系统组策略有过一次“亲密接触”的话,你或许会为系统组策略的强大功能所吃惊,因为只要简单地动动系统组策
43、略,你的系统网络功能将得到进一步“强壮”。不信的话,就请各位一起来看看吧! 让冲浪痕迹自动抹除 每次冲浪过后,系统都会“自做主张”地记录下上网的痕迹,其他人很容易通过这些痕迹,偷窥到自己的上网隐私。为了避免自己的隐私不被外人非法偷窥到,你或许会在每次冲浪结束后,用手工清除的方法将各种上网痕迹逐一抹除掉,很显然这种方法不但烦琐,而且也不大容易记住。其实,你可以通过下面的方法,让系统在注销的那一刻自动抹除所有的上网痕迹: 首先创建一个批处理文件,确保在执行完该文件后,能自动将所有的上网痕迹全部清除掉。在创建这样的批处理文件时,可以先打开记事本之类的文本编辑工具,然后在编辑界面中输入下面的命令代码:
44、 echo off cd c:windowslocal settingstemporary internet files c:windowscommanddeltree .*.* /y 之后,依次执行文本编辑界面中的“文件”/“保存”命令,将前面的命令代码保存成扩展名为“bat”的批处理文件,例如这里笔者将它保存为“autodel.bat”文件,当然该文件只对Win98或WinMe系统有效,如果要想自动清除Win2000以上版本系统中的上网痕迹时,就必须在文本编辑界面中输入下面的命令代码: echo off cd c: documents ad settingsadministratorloc
45、al settingstemporary internet files c:winntsystem32deltree .*.* /y 而且要想让上面的批处理文件执行成功的话,还需要事先将Win98系统下的“Deltree.exe”命令,直接复制到Win2000以上版本系统的“c:winntsystem32”目录下;当然如果Windows系统并没有按照默认设置来安装时,还需要将批处理文件中的系统安装路径,设置成实际的安装路径。 图一其次,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“Gpedit.msc”,单击“确定”按钮后,再依次展开组策略编辑窗口中的“用户配置
46、”、“Windows设置”、“脚本(登录/注销)”分支; 然后在弹出的图1界面中,双击“注销”选项,在接着打开的注销属性设置窗口中,单击一下“添加”按钮,在弹出的文件选择对话框中导入“autodel.bat”文件,最后单击“确定”按钮,这样的话你以竺看卧谕顺黾扑慊低呈保癮utodel.bat”文件就会被自动执行,以便让冲浪痕迹自动抹除。 让WinXP被随意共享 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢?原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢?其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访问WinXP工作站的共享资源;下面就是让WinXP被随意共享的具体实现步骤: 首先在WinXP工作站中,依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令,在弹出的计算机管理界面中,再逐步展