组策略管理和应用.ppt

《组策略管理和应用.ppt》由会员分享，可在线阅读，更多相关《组策略管理和应用.ppt（78页珍藏版）》请在三一办公上搜索。

1、第4章 组策略管理和应用,4.1 组策略的作用 4.2 组策略的版本 4.3 运行组策略 4.4 组策略中的管理模板 4.5 用组策略打造系统铜墙铁壁,4.6 用组策略提升系统性能 4.7 桌面设置 4.8 个性化“任务栏”和“开始”菜单 4.9 利用组策略在Windows XP中实现远程关机 4.10 禁用IE浏览器的相关设置、菜单项和工具栏,4.1 组策略的作用,说到组策略，就不得不提注册表，注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置分布在注册表的各个角落，如果是手工配置，

2、可想是多么困难和繁杂。,运 行 组 策 略Windows 2000/XP/2003组策略控制台 如果是Windows 2000/XP/2003系统，那么系统已经默认安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可打开“组策略”窗口，如图4-3所示。,图4-3“组策略”窗口,使用上面的方法打开的组策略管理对象只是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的控制台管理程序来打开，创建组策略控制台的具体步骤如下：(1)单击“开始”按钮，选择“运行”菜单，在运行对话框中直接输入MMC并回车，打开“控制台”窗口，如图4-4所示。

3、,图4-4“控制台”窗口,(2)在“控制台”菜单中单击“添加/删除管理单元”，弹出“添加/删除管理单元”窗口，如图4-5所示。(3)选择“独立”选项，单击“添加”按钮，弹出“添加独立管理单元”窗口，如图4-6所示。(4)在“可用的独立管理单元”对话框中，选择“组策略”，单击“添加”按钮，弹出“选择组策略对象”窗口，如图4-7所示。,图4-5 添加/删除管理单元,图4-6 添加独立管理单元,图4-7 选择组策略对象,(5)在“选择组策略对象”窗口中，默认的组策略对象为本地计算机，也可以通过单击“浏览”查找所需的组策略对象，如图4-8所示。(6)单击“完成”，再单击“关闭”，最后单击“确定”按钮，

4、新建的组策略控制台就创建好了，通过组策略管理单元即可打开要编辑的组策略对象。,图4-8 浏览网络中的计算机,用组策略打造系统铜墙铁壁,1隐藏“我的电脑”中指定的驱动器(Windows 2000/XP/2003)此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬盘驱动器的图标，并且驱动器号代表的所有驱动器不出现在窗口中。,打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“隐藏我的电脑中的这些指定的驱动器”项目，如图4-11所示，双击该项目弹出隐藏属性对话框，如图4-12所示。选择“启用”项，同时在下面的列表框中选择一个驱动器或几个驱动器。

5、单击“确定”按钮，所作的设置就可以起作用了。,图4-11 隐藏属性项目,图4-12 隐藏属性对话框,2防止从“我的电脑”访问驱动器(Windows 2000/XP/2003)此组策略让用户无法查看“我的电脑”或“Windows 资源管理器”中所选驱动器的内容，同时它也禁止使用运行对话框、镜像网络驱动器对话框或用DIR命令查看在这些驱动器上的目录。打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“防止从我的电脑访问驱动器”项，如图4-13所示。,图4-13 防止从“我的电脑”访问驱动器项,3禁止使用命令提示符(Windows 2000/XP/2003)在Wind

6、ows 2000/XP/2003下，我们可以运行cmd.exe进入命令提示符状态，并可以继续运行一些DOS命令和其他命令行程序，出于对安全的考虑，有些系统应该屏蔽此功能。打开“组策略控制台用户配置管理模板系统”中的“停用命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，如图4-14，这个设置还决定批处理文件.cmd和.bat是否可以在计算机上运行。,图4-14“停用命令提示符”选项卡设置,4禁止更改显示属性(Windows 2000/XP/2003)选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”，可进入“显示设置”对话框，可以对桌面

7、主题、桌面背景、屏保程序、显示设置等各项进行设置，如果不想让别人随意更改各项设置，也可以通过组策略将它隐藏起来。打开“组策略控制台用户配置管理模板控制面板显示”选项，列出“显示属性”的设置选项，如：隐藏背景选项卡、隐藏“外观”选项卡、隐藏“屏幕保护程序”选项卡、隐藏“设置”选项卡等策略配置，如图4-15所示。,图4-15 显示属性设置项,5禁用注册表编辑器(Windows 2000/XP/2003)为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器作禁止访问设置。具体操作方法：打开“组策略控制台用户配置系统”中的“禁用注册表编辑工具”并启用此策略，如图4-16所示。,图4

8、-16 禁用注册表编辑工具,6彻底禁止访问“控制面板”(Windows 2000/XP/2003)如果不希望其他用户访问计算机的“控制面板”，同样也可以使用组策略来实现。打开“组策略控制台用户配置管理模板控制面板”中的“禁用控制面板”并启用此策略，如图4-17所示。,图4-17 禁用控制面板,7禁止建立新的拨号连接(Windows 2000/XP/2003)如果不想让别人在计算机中建立新连接来拨号上网的话，可用组策略来实现。打开“组策略控制台用户配置管理模板网络网络及拨号连接”中的“禁止访问网络连接向导”并启用此策略，如图4-18所示。,图4-18 禁止访问“网络连接”向导,8禁用“添加/删除

9、程序”(Windows 2000/XP/2003)“控制面板”中“添加或删除程序”项目允许用户安装、卸载、修复并添加和删除 Windows的功能和组件以及种类繁多的Windows程序，如果想阻止其他用户安装或卸载程序，可利用组策略来实现。打开“组策略控制台用户配置管理模板控制面板添加删除程序”中的“禁用添加/删除程序”并启用此策略，如图4-19所示。,图4-19 禁用添加/删除程序,9限制使用应用程序(Windows 2000/XP/2003)如果你的计算机设置了多个用户，但有些程序不希望其他用户随意运行，也能在组策略中设置。打开“组策略控制台用户配置管理模板系统”中的“只运行许可的Windo

10、ws应用程序”并启用此策略，然后点击下面的“允许的应用程序列表”中的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可，如图4-20所示。,图4-20 限制使用应用程序,4.6 用组策略提升系统性能,1让Windows 的上网速率提升20%(Windows XP/2003)默认情况下，Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内，这对带宽较小的网络来说，无疑是笔不小的开支，我们可以通过组策略设置来替代默认值，让我们的上网速率提高20%。,打开“组策略控制台计算机配置管理模板网络”中的“QoS数据包调度程序”并启用此策略，然后使用下

11、面的“带宽限制”框来调整系统可保留的带宽比例，将它设置为0%即可，如图4-21所示。然后按“确定”退出，之后我们就可以使用另外20%的网络带宽了。,图4-21 带宽限制窗口,2关闭缩略图的缓存(Windows XP/2003)Windows XP/2003系统具有缩略图视图功能，且为了加快那些被频繁浏览的缩略图显示速度，系统会将这些被显示过的图片进行缓存，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的，但是如果我们不希望系统进行缓存的话(比如只浏览一次的图片)，则可以利用组策略关闭缩略图缓存的功能，这样第一次浏览速度反而会大大加快(因为不进行缓存处理)。打开“组策略控制台用户配置管

12、理模板Windows组件Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略即可，如图4-22所示。,图4-22 关闭缩略图的缓存,3屏蔽系统自带的CD刻录功能(Windows XP/2003)Windows XP/2003系统自带CD刻录功能，如果你用的计算机上安装有CD刻录机，Windows资源管理器就允许你制作并修改可重写式CD，但这样无疑会影响系统性能和资源管理器的执行速度，因此我们可以利用组策略来屏蔽此功能(大部分用户都使用专用的CD刻录软件)。打开“组策略控制台用户配置管理模板网络”中的“删除CD刻录功能”并启用此策略，如图4-23所示。,图4-23 屏蔽系统自带的CD刻

13、录功能,4关闭系统还原功能(Windows XP/2003)系统还原是Windows XP/2003中集成的强大功能，它在系统运行的同时，会备份那些被更改过的文件和数据，如果出现问题，系统还原使用户能够在不丢失个人数据文件的情况下，将其计算机还原到以前的状态。默认情况下，系统还原处于打开状态，但为这一功能付出的代价也是相当大的，系统性能会明显下降，磁盘空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。,打开“组策略控制台计算机配置管理模板系统系统还原”中的“关闭系统还原”并启用此策略，启用此设置后即可关闭系统还原功能，并且不能访问“系统还原向导”和“配置界面”了，如图4-24所

14、示。,图4-24 关闭系统还原功能,5禁止Windows Messenger自动运行(Windows XP/2003)在Windows系统中集成的优秀应用软件越来越多，但这些系统内置的软件都没有卸载选项，引起很多计算机用户的不满，比如Windows XP自带的Windows Messenger，不但卸载不方便，而且还随系统一起自动运行。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说，当然要屏蔽此软件的自动运行功能。,打开“组策略控制台计算机配置管理模板Windows组件Windows Messenger”中的“不允许运行Windows Messenger”并启

15、用此策略，如图4-25所示。,图4-25 禁止Windows Messenger自动运行,4.7 桌 面 设 置,Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。打开“组策略控制台用户配置管理模板桌面”项目，如图4-26所示。下面就让我们来看看几个实用的配置实例。,图4-26 桌面设置选项,1隐藏桌面的系统图标(Windows 2000/XP/2003)虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险，而采用组策略配置的方法，可以方便快捷地达到此目的。比如要隐藏桌面上的“网上邻

16、居”和“Internet Explorer”图标，只要在右侧窗口中将“隐藏桌面上网上邻居图标”(如图4-27所示)和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可。,图4-27 隐藏桌面上的“网上邻居”图标,2退出时不保存桌面设置(Windows 2000/XP/2003)退出时不保存桌面设置的策略可以防止用户保存对桌面的某些更改，如果启用这个策略，用户仍然可以对桌面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，不过任务栏上的快捷方式总是可以被保存的，在右侧窗格中将“退出时不保存设置”这个策略选项启用即可，如图4-28所示。,图4-2

17、8 退出时不保存设置,3屏蔽“清理桌面向导”功能(Windows XP/2003)“清理桌面向导”会每隔60天自动在用户的电脑上运行，以清除那些用户不经常用或者从不用的桌面图标。如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁用或不配置此设置，“清理桌面向导”会按照默认设置每隔60天运行一次。,4启用/禁用“活动桌面”(Windows 2000/XP/2003)“活动桌面”是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能，其最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能(并且禁止用户

18、启用它)，通过策略设置可以轻松达到这一要求。具体操作方法：单击图4-26左侧窗格中的“活动桌面”，然后打开右侧窗格中的“禁用活动桌面”并启用此策略，如图4-29所示。,图4-29 禁用活动桌面,4.8 个性化“任务栏”和“开始”菜单,打开“组策略配置控制台用户配置管理模板任务栏和开始菜单”选项，弹出如图4-30所示的窗口，在窗口的右侧，显示了“任务栏”和“开始”菜单的有关组策略配置项目，下面我们来看具体的实例。,图4-30 个性化任务栏和开始菜单设置窗口,1给“开始”菜单“减肥”(Windows 2000/XP/2003)如果觉得Windows的“开始”菜单太臃肿的话，可以将不需要的菜单项从“

19、开始”菜单中删除。在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“禁用并删除Windows Update的链接”、“从开始菜单删除公用程序组”、“从开始菜单上删除文档菜单”等多种组策略配置项目，只要将不需要的菜单项所对应的策略启用即可。,2保护好“任务栏”和“开始”菜单(Windows 2000/XP/2003)如果不想随意让他人更改“任务栏”和“开始”菜单的设置，你只要将组策略控制台右侧窗口中的“禁止更改任务栏和开始菜单设置”和“禁止任务栏的上下文菜单”两个策略项启用即可，这样，当用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误信息，且当用鼠标右键单击任务栏及任务栏上的项目

20、时，无法弹出其属性菜单。,3禁止“注销”和“关机”(Windows 2000/XP/2003)当计算机启动以后，如果不希望这个用户再进行“关机”和“注销”操作，那么就可以将组策略控制台右侧窗格中的“禁用开始菜单上的注销”和“禁用和删除关机命令”两个策略启用。,4利用组策略保护个人文档隐私(Windows 2000/XP/2003)Windows有个高级智能功能，即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件，但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件)，有时需要屏蔽此功能。利用组策略，只要在右侧窗口中将“不要保留最近打开文档的记录”和“退出

21、时清除最近打开的文档的记录”两个策略启用即可。,另外需要注意的是，如果启用此策略设置但不启用“从【开始】菜单中删除我的文档”图标策略设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。,5禁止注销和关机 当计算机启动以后，倘若您不希望这个用户再进行关机和注销操作，那么必须将右侧窗格中的“禁用开始菜单上的注销”和“禁用和删除关机命令”两个策略启用。,4.9 利用组策略在Windows XP中实现远程关机,在Windows XP中，新增了一条命令行工具“shutdown”，其作用是“关闭或重新启动本地或远程计算机”。利用它，我们不但可以注销用户、关闭或重新启动计算机，还可以实现定时关机

22、、远程关机。,该命令的语法格式如下：shutdown-i-l-s-r-a-f-m ComputerName-t xx-c message-dup:xx:yy 其中，各参数的含义为-i：显示图形界面对话框。-l：注销当前用户，这是默认设置。-s：关闭计算机。-r：关闭之后重新启动。,-a：中止关闭。除了-l 和ComputerName 外，系统将忽略其他参数。在超时期间，您只可以使用-a。-f：强制运行要关闭的应用程序。-m ComputerName：指定要关闭的计算机。-t xx：将用于系统关闭的定时器设置为 xx 秒，默认值是20秒。-c message：指定将在“系统关闭”窗口中的“消息”

23、区域显示的消息。最多可以使用127 个字符，引号中必须包含消息。-d up:xx:yy：列出系统关闭的原因代码。,首先，我们来看一下该命令的一些基本用法：注销当前用户：shutdown-l该命令只能注销本机用户，对远程计算机不适用。关闭本地计算机：shutdown-s 重启本地计算机：shutdown-r 定时关机：shutdown-s-t 30指定在30秒之后自动关闭计算机。,有时我们设定了计算机定时关机后，如果出于某种原因又想取消这次关机操作，就可以用 shutdown-a 来中止，如：shutdown-s-t 300 设定计算机在5分钟后关闭。shutdown-a 取消上述关机操作。,打

24、开“组策略控制台计算机配置Windows设置安全设置本地策略用户权利指派”中的“从远端系统强制关机”项，如图4-31所示。在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远端关机，单击对话框下方的“添加用户或组”按钮，然后在新弹出的对话框中选择“guest”，再单击“确定”按钮，如图4-32所示。,图4-31 远端系统强制关机,图4-32 给guest帐户添加远程关机权限,4.10 禁用IE浏览器的相关设置、菜单项和工具栏,在组策略设置窗口的左侧窗格中，逐级展开“用户设置管理模板Windows组件Internet Explorer”分支，在其下面您会发现“Inter

25、net控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项，如图4-33所示。,图4-33 IE设置项目,1限制IE浏览器的保存功能 当有多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢？具体方法为：在组策略设置窗口中选择“用户配置管理模板Windows组件Internet Explorer浏览器菜单”分支，然后将右侧窗格中的“文件菜单：禁用另存为菜单项”、“文件菜单：禁用另存为网页菜单项”、“查看菜单：禁用源文件菜单项”和“禁用上下文菜单”等策略项目启用即可。,另外，倘若不希望别人对IE浏览器的设置进

26、行随意更改，只要将“工具菜单：禁用Internet选项”策略启用即可。另外，根据个人的需要，在该窗格中还可以对其他项目进行禁用。,图4-34“配置工具栏按钮属性”窗口,2给工具栏“减肥”倘若要隐藏工具栏中的工具按钮，具体方法是：在组策略设置窗口中选择“用户设置管理模板Windows组件Internet Explorer工具栏”分支，然后在右侧窗格中双击“配置工具栏按钮”策略，弹出“配置工具栏按钮属性”窗口(如图4-34所示)，在“设置”选项卡中选择“已启用”单选按钮，将列表中将要显示按钮名称前面的复选框打上勾选标记，若要隐藏某些按钮，则不要将其前面的复选框进行勾选，然后单击“确定”按钮即可。,3禁止修改IE浏览器的主页 如果不希望他人对自己设定的IE浏览器主页进行随意更改的话，只要在组策略设置窗口中选择“用户配置管理模板Windows 组件Internet Explorer”分支，然后在右侧窗格中将“禁用更改主页设置”策略启用即可。另外在这个窗格中，还提供了对更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。,