《gpeditMSC组策略.doc》由会员分享,可在线阅读,更多相关《gpeditMSC组策略.doc(23页珍藏版)》请在三一办公上搜索。
1、组策略(gpedit.msc)的实际应用: 设置大全1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器1、删除“文件夹选项”2、隐藏“管理”菜单项1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹1
2、、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”“管理模板”“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的我的文档图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Inte
3、rnet Explorer”图标,只要在右侧窗格中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。2、禁止对桌面的改动利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改我的文档路径”项可防止用户更改“我的文档”文件
4、夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。3、启用或禁止活动桌面利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。4、给“开始”菜单减肥Windows XP的“开
5、始”菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从开始菜单上删除我的文档图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。5、保护好“任务栏”和“开始”菜单的设置倘若不想随意让他人更改“任务栏”和“开始”菜单
6、的设置,只要将右侧窗格中的“阻止更改任务栏和开始菜单设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。二、隐藏或禁止控制面板项目这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止控制面板项目。在组策略左边窗口依次展开“用户配置”“管理模板”“控制面板”项,便可看到“控制面板”节点下面的所有设置和子节点。1. 禁止访问“控制面板”如果您不希望其他用户访问计算机的“控制面板”,您只要运行组策略编辑器(gpedit.msc),在左侧窗格中逐极展开“本地计算机策略”
7、“用户配置”“管理模板”“控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可。此项设置可以防止“控制面板”程序文件(Control.exe)的启动。其结果是,他人将无法启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从 Windows 资源管理器中删除“控制面板”文件夹。2、隐藏或禁止“添加/删除程序”项展开“添加/删除程序”项:双击启用“删除添加/删除程序程序”设置项后,控制面板中的“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3个页面:“更改或删除程序”、“添加新程序”以及“添加/删除Wind
8、ows组件”;而当你进入“添加新程序”页面时,会发现有3个选项:“从CD-ROM或软盘添加程序”、“从 Microsoft添加程序”以及“从网络中添加程序”,如果你想这些具体页面或选项隐藏,可直接在组策略“添加/删除程序”项中将相应隐藏功能启用。3、隐藏或禁止“显示”项展开“显示”项,发现这一项和上一项一样,可隐藏“显示属性”对话框中的选项卡。这里就不细讲了,例如双击启用“隐藏桌面选项卡”后,“显示窗口”中将不再出现“桌面”项。此外,在这里用户还可启用“删除控制面板中的显示”,这样在控制面板中双击打开“显示”项时,就会弹出一个对话框提示你:系统管理员禁止使用“显示”控制面板。4、其他依次展开“
9、显示”“桌面主题”项,双击启用“删除主题选项”、“阻止选择窗口和按钮式样”、“禁止选择字体大小”项后,可阻止他人更改主题、窗口和按钮式样、字体。展开“打印机”项,双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户添加或删除打印机。最后,直接在“控制面板”一项下启用“禁止访问控制面板”,控制面板将无法启动。三、系统项目设置这一项在“用户配置”“管理模板”“系统”中设置(图15)。组策略中对系统的设置涉及到登录、电源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理出来分类列举如下:1、登录时不显示欢迎屏幕界面Windows 2000和Windows XP系统登录时默认情况下都
10、有欢迎屏幕,虽然漂亮但也麻烦且延长登录时间,通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示欢迎屏幕”,则每次用户登录时欢迎屏幕将隐藏。2、禁用注册表编辑器为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。双击启用“系统”节点下的“阻止访问注册表编辑器”项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用(图16)。另外,如果你的注册表编辑器被锁死,也可双击此设置,在弹出对话框的“设置”标签中点选“未被配置”项,这样你的注册表便解锁了。如果要防止用户使用其他注册表编辑工具打开注册表,请双击启用“只运行许可的Windows应用程序”。3、关闭系统自动播放功能一
11、旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用程序。这样虽然给我们的工作带来了便利,在某些时候也带来了不少麻烦。在“系统”节点下有一项为“关闭自动播放”设置项,双击其并在弹出对话框的“设置”标签中点选“已启用”,在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。注意:此设置不阻止自动播放音乐CD。4、关闭Windows自动更新每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根据配置的具体情况,在下载的组件准备好安装时或在下载之前,给用户以提示。如果你不喜欢比尔老大这种自作主张的态度,可通过组策略关闭这一功能
12、。只须双击“系统”节点下的“Windows自动更新”设置项,在弹出来的对话框中点选“已禁用”并确定即可。5、删除任务管理器若Windows XP用户已取消“使用欢迎屏幕”项,若同时按下“Ctrl+Alt+Del”键,便会弹出一个“Windows安全”对话框,此对话框中有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务管理器”、“取消”6个功能按钮。大家都知道这里的每个按钮对系统都起着关键的作用。为了阻止别人操作,可通过组策略屏蔽这些按钮。找到“系统”下的“Ctrl+Alt+Del选项”,双击启用“删除任务管理器”、“删除锁定计算机”、“删除改变密码”、“删除注销”项便能屏蔽掉“Wind
13、ows安全”对话框的“任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。注意:“注销”、“关机”两个菜单项的屏蔽,在“用户配置”“管理模板”“任务栏和开始菜单”节点下。四、隐藏或删除Windows XP资源管理器中的项目一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源也一直是电脑用户的不懈追求。依次展开“用户配置”“管理模板”“Windows组件”“Windows资源管理器”项,可以看到“Windows资源管理器”节点下的所有设置。下面就来看看怎样通过组策略实现资源管理器个性化1、删除“文件夹选项”“文件夹选项”是资源管理器中一个重要的菜单项,
14、通过它可修改文件的查看方式,编辑文件类型的打开方式。我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删除,你只须双击启用“从工具菜单删除文件夹选项菜单”便能完成这一设置。2、隐藏“管理”菜单项在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项,通过此菜单项,可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁盘管理”等众多工具的“计算机管理”窗口。为了保障你的计算机免受他人无意破坏,可通过双击启用“隐藏Windows资源管理器上下文菜单上的管理项目”项来屏蔽此菜单项。3、其他项目的隐藏此外通过启用“隐藏我的电脑中的这些指定的驱动器”可隐藏你指定的驱
15、动器。还可通过启用“网上邻居中不含整个网络”屏蔽掉“整个网络”项。双击启用“删除CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的文件移到回收站”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有讲到,大家可根据需要自行探讨,进行适当的配置。五、IE浏览器项目设置在组策略左边窗口中依次展开“用户配置”“管理模板”“Windows组件”“Internet Explorer”项,在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子节点。IE是Windows XP自带的网页浏览器,也是大多数用户采用的浏览器,但其安全性也为人所
16、诟病,下面就通过组策略来对其进行“改造”。1、限制IE浏览器的保存功能当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”“管理模板”“Windows组件”“Internet Explorer”“浏览器菜单”分支,然后将右侧窗格中的“文件菜单:禁用另存为菜单项”、“文件菜单:禁用另存为网页菜单项”、“查看菜单:禁用源文件菜单项”和“禁用上下文菜单”等策略项目启用即可。另外,倘若您不希望别人对IE浏览器的设置进行随意更改,您只要将“工具菜单:禁用Internet选项”策略启用即可。另外,根据您个人的需要,在该窗格中还可以
17、对其他项目进行禁用。2、给工具栏减肥倘若您要隐藏工具栏中的工具按扭,具体方法是:选择“用户设置”“管理模板”“Windows组件”“Internet Explorer”“工具栏”分支,然后在右侧窗格中双击“配置工具栏按扭”策略,弹出“配置工具栏按扭属性”窗口,在“设置”选项卡中选择“已启用”单选按扭,将列表中将要显示按扭名称前面的复选框打上勾选标记,若要隐藏某些按扭,则不要将其前面的复选框进行勾选。然后单击“确定”按扭即可3、在IE工具栏添加快捷方式不知道大家注意到了没有,不少软件在安装完之后都会在IE工具栏上添加图标,单击其便能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方
18、式,这里举例说明如何添加一个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器用户界面”,双击“浏览器工具栏自定义”设置项,在弹出来的对话框中单击“添加”按钮,在“浏览器工具栏按钮信息”对话框的“工具栏标题”中输入:ICQ,在“工具栏操作”中输入D:FunICQLiteICQLite.exe,然后再随便选择一个“颜色图标”和“灰度图标”,当然你也可以用ExeScope等来提取ICQ的图标)。单击“确定”后IE工具栏中便多了一个ICQ图标!4、让IE插件不再骚扰你我们平常上网浏览网页时,总会弹出一些诸如“是否安装Flash插件”、“是否安装3721网络实名”的提示,就像
19、广告窗口一样烦人。实际上我们可在组策略中通过启用“InternetExplorer”节点下的“禁用Internet Explorer组件的自动安装”来禁止这种提示的出现。不过有时这一功能也是很用的,所以在禁止此功能之前请稍加考虑。5、保护好你的个人隐私一般通过单击IE工具栏上的“历史”按钮,便可了解以前浏览过的网页和文件。为保密起见,你可以通过双击启用“Internet Explorer”节点下的“不要保留最近打开文档的记录”和“退出时清除最近打开的文档记录”两个设置项,这样再单击IE工具栏上的“历史”按钮,你访问过的历史网页记录将全部消失。6、禁止修改IE浏览器的主页如果不希望他人对你的主页
20、进行修改,可启用“Internet Explorer”节点下的“禁用更改主页设置”设置项禁止别人更改你的主页。你也可通过访问“浏览器菜单”,启用其中的设置项对IE浏览器的若干菜单项进行屏蔽。最后,在“Internet控制面板”节点下,你还可对“Internet选项”对话框中的部分选项卡进行隐藏。倘若启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。特别提示:如果设置了位于“用户配置”“管理模板”“Windows 组件”“Internet Explorer”“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁
21、用常规页”策略将删除界面上的“常规”选项卡。7、禁用导入和导出收藏夹禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。用户配置管理模板Windows组件Internet Explorer。如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上的“导入和导出”菜单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹。注意:如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完成”按钮时,将出现说明该功能已被禁用的提示信息。六、系统安全/共享/权限设置自有计算机以来,安全一直就是人
22、们关注的焦点问题,Windows XP也不例外。在组策略中,系统安全配置一般在“计算机配置”“Windows设置”“安全设置”中进行。1、密码策略这一策略在“账户策略”“密码策略”节点中配置。口令是系统安全的一大隐患,可通过组策略设置密码(口令)的最小长度:双击启用“密码必须符合复杂性要求”设置项,确定后双击“密码长度最小值”设置项,在弹出来的对话框中将密码长度最小值设为8或更大,这样以后设置账户密码时就必须输入8位以上,安全性就高多了。2、用户权利指派展开“本地策略”“用户权利指派”节点,在右边窗口中便能看到“用户权利指派”节点下的所有设置。合适地指派用户权利可以解决一些奇怪的问题,例如在局
23、域网中使用Windows XP系统的朋友一般会发现一个奇怪的现象,那就是即使你启用guest用户并给予权限,局域网中的其他Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个问题可在组策略中通过修改有关设置解决:双击“用户权利指派”节点下的“拒绝从网络访问这台计算机”设置项,在弹出对话框中点选“guest”,然后单击“删除”,最后确定即可。在“用户权利指派”节点下还可给用户添加许多权限,例如给guest添加远程关机权限、给一般用户添加更改系统时间的权限。3、文件和文件夹设置审核Windows XP Professional可以使用审核跟踪用于访问文件或其他对象的用户账
24、户、登录尝试、系统关闭或重新启动以及类似的事件。审核文件、文件夹(只适用于 NTFS文件系统)可以保证文件和文件夹的安全。在审核发生之前,您必须使用“组策略”指定要审核的事件类型。为文件和文件夹设置审核的步骤如下。a.单击选择“开始”“运行”命令,在弹出的“运行”对话框中键入“gpedit.msc”命令,然后单击“确定”按扭即可;当然你也可以在桌面上创建一个相应的快捷方式。b.在弹出的“组策略”窗口中,逐级展开右侧窗格中的“计算机配置”“Windows设置”“安全设置”“本地策略”分支,然后在该分支下选择“审核策略”选项。c.在右侧窗格中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设
25、置”窗口中,将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记。如图12所示。然后单击“确定”按扭d.用鼠标右键单击想要审核的文件(或文件夹)。选择快捷菜单的“属性”命令,然后在弹出的窗口中选择“安全”选项卡。e.单击“高级”按扭,然后选择“审核”选项卡。f.根据具体情况选择您的操作:(1)倘若对一个新组(或用户)设置审核, 请单击“添加”按扭,在“名称”框中键入新用户名,然后单击“确定”按扭,将打开“审核项目”对话框。(2)要查看(或更改)原有的组(或用户)审核, 选择用户名,然后单击“查看/编辑”按扭。(3)要删除原有的组(或用户)审核, 选择用户名,然后单击“删除”按扭即可。
26、g.如有必要的话,在“审核项目”对话框中的“应用到”列表中选取您希望审核的地方(“应用到”列表仅对文件夹有效)。h.如果您想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。如果在“审核项目”对话框中的“访问”之下的复选框变暗,或在“访问控制设置”对话框中“删除”按钮不可用,那么说明已经继承了来自父文件夹的审核。需要注意的是:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,您必须启用“组策略”中“审核策略”的“审核对象访问”。否则,当您设置完文件、文件夹
27、审核时会返回一个错误消息,并且文件、文件夹都没有被审核。通过事件查看器(Event Viewer)可以检查那些访问审核过的文件和文件夹的成功或失败的尝试。4、Windows 98访问Windows XP共享目录被拒绝的问题解决在局域网内,经常可以遇到装有Windows 2000的电脑开了共享目录,而装有Windows 98的电脑却无法访问的问题。这个在微软的官方网页上可以找到答案,提示开启Windows 2000的GUEST用户就行了。可是Windows XP出来以后,同样的又面临这个问题,结果有些人发现这个方法不灵了,从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在?这个
28、问题本也困扰过我好几天,后来在无意中发现了问题的答案,也许这是Windows XP的一个BUG?在开启了系统Guest用户的情况下,运行组策略编辑器程序,在“本地计算机策略”“计算机配置”“Windows设置”“安全设置”“本地策略”“用户权利指派”“拒绝从网络访问这台计算机”中赫然可以看到有Guest用户!如果在这里删除Guest用户,那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了5、阻止访问命令提示符防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在计算机上运行。位置:用户配置管理模板系统 如果启用这个设置,用户试图打开命令窗口,系统
29、会显示一个消息,解释设置阻止这种操作。注意:如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件;也不防止使用终端服务的用户运行批文件。6、阻止访问注册表编辑工具该策略将禁用Regedit.exe,以禁用Windows注册表编辑器。这样可以很大程度防止网页上的恶意代码篡改IE。位置:用户配置管理模板系统 如果这个设置被启用,并且用户试图启动注册表编辑器,解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管理工具,请使用“只运行许可的Windows应用程序”策略设置。八、补充1.禁止程序后组策略无法使用可以通过以下方法来恢复设置:重新启动计算机,在启动菜单出现时按F8键,
30、在Windows高级选项菜单中选择“带命令行提示的安全模式”选项,然后在命令提示符下运行mmc.exe。在打开的“控制台”窗口中,依次点击“文件添加/删除管理单元添加组策略添加完成关闭确定”,现在已经添加了一个组策略控制台,接下来把原来的设置改回来,然后重新进入Windows即可。2、从“我的电脑”中删除共享文档当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置,你可选择不显示这些项目。本地计算机策略用户配置管理模板Windows组件Windows资源管理器如果启用此设置,“共享文档
31、”文件夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现。技术只是个工具而已,关键在于思想-web者,software也; net者,java也! 博客园 首页 社区 新随笔 联系 订阅 管理 随笔-90 评论-76 文章-188 trackbacks-4 gpedit.msc 组策略就是修改注册表中的配置。组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大 启动方法:在开始-运行中输入gpedit.msc对
32、于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注
33、册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前
34、注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP
35、中运行组策略 在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。如图1所示。 使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开: (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“
36、添加”按钮。 (4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。 (5)单击“完成”按钮,组策略管理单元即打开要编辑的组策略对象。 (6)在左窗格中定位需要更改的选项的位置,在右窗格中右键单击需要更改的具体选项,单击“属性”命令,即可打开其属性对话框,从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。 4.组策略中的管理模板 在Windows 2000/XP/2003中包含几个ADM文件。这些文件是文本文件,被称为“管理模板”,它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。 在Wi
37、ndows 2000/XP/2003中,默认的Admin.adm管理模板位于系统文件夹的INF文件夹中,包含了默认安装下的4个模板文件,分别为: (1)System.adm:默认安装在“组策略”中,用于系统设置。 (2)Inetres.adm:默认安装在“组策略”中,用于Internet Explorer(IE)策略设置。 (3)Wmplayer.adm:用于Windows Media Player设置。 (4)Conf.adm:用于NetMeeting设置。 在策略管理控制台中,可以多次添加“策略模板”,下面让我们来看看具体操作: 首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置
38、”下的“管理模板”,单击鼠标右键,选择“添加/删除模板”命令,然后在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。 返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略用户配置管理模板”选项,再单击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了。 注意:下面的操作均在Windows XP中进行。 二、个性化我的电脑 1.删除“开始”菜单中的“文档”菜单项 在多人使用的计算机中,有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息。因此,为了删除用于记录历史文档的“文档”菜
39、单项,我们可以通过修改组策略来实现。 位置:用户配置管理模板任务栏和“开始”菜单 启用此设置,则系统保存“文档”快捷方式,但不在“文档”菜单中显示它们。如果以后禁用此设置或把它设置为未配置,则启用设置之前及其生效之时保存的“文档”快捷方式会出现在“文档”菜单项中。如图2所示。 注意:此设置不会阻止Windows程序在最近打开的文档中显示快捷方式。 另外,你也可以设置在退出系统时自动清除最近打开的文档的历史记录。 位置:用户配置管理模板任务栏和“开始”菜单 如果禁用该策略设置,系统就会在用户退出时删除快捷方式。因此,用户登录时,“开始”菜单上的文档菜单总是空的。如果禁用或不配置此设置,系统将保留
40、文档快捷方式,并且用户登录时的文档菜单看起来与用户退出系统时完全相同。 注意:系统在Documents and SettingsRecent文件夹中的用户配置文件中保存文档快捷方式。 2.删除“开始”菜单中的“运行”菜单项 在“开始”菜单中有“运行”菜单项,可以输入程序名称来启动程序。我们可以将“运行”菜单项从“开始”菜单中删除。 位置:用户配置管理模板任务栏和“开始”菜单 如果启用该设置,发生如下更改: (1)“运行”命令从“开始”菜单中删除。 (2)新建任务(运行)命令从任务管理器删除。 (3)阻止用户在IE地址栏中输入下列项: UNC路径:servershare。 访问本地驱动器:例如,
41、C:。 访问本地文件夹:例如,temp。 同时,使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设置,用户可以访问“开始”菜单和任务管理器的“运行”命令,以及使用IE地址栏。 注意:这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。 3.给“开始”菜单减肥 如果觉得Windows的“开始”菜单太臃肿,你完全可以通过组策略设置将不需要的菜单项从“开始”菜单中删除。 位置:用户配置管理模板任务栏和“开始”菜单 在组策略右侧窗格中,提供“从开始菜单删除用户文件夹”、“删除到Windows Update的访问和链接”、从开始菜单删除公用程序组、从开始菜单中删除“我的文档”图标
42、等配置项目。你只要将不需要的菜单项所对应的策略启用即可。 4.隐藏和禁用桌面上的所有项目 该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目。 位置:用户配置管理模板桌面 该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和快捷方式所代表的项目。 5.退出时不保存用户设置 该策略用于防止用户保存对桌面的某些更改。 位置:用户配置管理模板桌面 如果你启用这个设置,用户可以对桌面做某些更改,但有些更改,比如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。 6.启用/禁用“活动桌面”(Active Desktop) 活动桌面是Windows 98(及以后版
43、本)或安装了IE 4.0的系统中自带的高级功能,它最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且防止用户启用它)。 位置:用户配置管理模板桌面Active Desktop 提示:如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置,“禁用Active Desktop”设置会被忽略。如果“禁用Active Desktop和Web视图”设置(在“用户配置管理模板Windows组件Windows资源管理器”)被启用,Active Desktop就会被禁用,并且这两个策略都会被忽略
44、。 7.从“我的电脑”中删除共享文档 当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置,你可选择不显示这些项目。 位置:用户配置管理模板Windows组件Windows资源管理器 如果启用此设置,“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现。 8.不要将已删除的文件移到“回收站” 当Windows资源管理器中的一个文件或文件夹被删除时,该文件
45、或文件夹的副本会被放在“回收站”里。使用此策略,你能改变此行为。 位置:用户配置管理模板Windows组件Windows资源管理器 如果启用此设置,使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里,因此被永久删除。如果禁用或不配置此设置,使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里。 三、利用组策略进行系统设置 1.登录时不显示欢迎屏幕 为了加快计算机启动的速度,我们完全可以通过组策略设置在每次用户登录时将Windows XP欢迎屏幕隐藏。 位置:用户配置管理模板系统 要显示欢迎屏幕,请依次单击“开始程序附件系统工具”选项,然后单击“开始”选项。要在不
46、指定设置的情况下不显示欢迎屏幕,请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”选项。 注意:这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设置,“计算机配置”中的设置比“用户配置”中的设置优先。 2.配置驱动程序查找位置 默认情况下,Windows将从本地安装、软盘驱动器、光盘驱动器、Windows Update等位置搜索驱动程序。此设置配置查找到新硬件时Windows将要搜索驱动程序的位置。 位置:用户配置管理模板系统 如果启用此设置,你可以通过检查位置名称的相关复选框,删除这三个位置中的任何位置。如果禁用或不配置此设置,Windows将从本地安装、软盘驱动器、光盘驱动器和Windows Update等位置中搜索驱动程序。 3.关闭自动播放 一旦你将媒体插入驱动器,自动运行就开始从驱动器中读取。这会造成程序的设置文件和在音频媒体上的音乐立即开始。该策略将关闭自动运行功能。 位置:用户配置管理模板系统 如果你启动这项设置,
