组策略编辑器的使用

2023年11月26日发(作者：)

组策略编辑器的使用

使用组策略

在 Microsoft Windows XP 中，可以使用组策略为用户和计算机组定义用户和计算机配置。

通过使用组策略 Microsoft Management Console (MMC) 管理单元，您可以为特定的用户和

计算机组创建特定的桌面配置。您创建的组策略设置包含在组策略对象中，后者进而与选定

的 Active Directory 容器（如站点、域或组织单位 (OU)）关联。 使用组策略管理单元，

您可以为以下各项指定策略设置： • 基于注册表的策略。

包括针对 Windows XP 操作系统及其组件以及针对所有程序的组策略。为管理这些设置，请

使用组策略管理单元的“管理模板”节点。

• 安全选项。

包括本地计算机、域和网络安全设置的选项。

• 软件安装和维护选项。

用来集中管理程序的安装、更新和删除。

• 脚本选项。

包括用于计算机启动和关闭以及用户登录和注销的脚本。

• 文件夹重定向选项。

这些选项允许管理员将用户的特殊文件夹重定向到网络上。

使用组策略，您可以一次性地定义用户工作环境的状态，以后就可以靠系统来实施您定义的

策略。

备注: 为了使用组策略编辑器，您必须使用一个有管理员权限的帐户登录到计算机。 1. 单

击开始，然后单击运行。

2. 在打开框中，键入 mmc，然后单击确定。

3. 在文件菜单上，单击添加/删除管理单元。

4. 单击添加。

5. 在 Available Stand-alone Snap-ins（可用的独立管理单元）菜单上，单击组策略，然

后单击添加。

6. 如果您不希望编辑“本地计算机”策略，请单击浏览以找到您希望的组策略。如果提示

您输入用户名和密码，请输入，然后在返回“选择组策略对象”对话框后单击完成。

备注：您可以使用浏览按钮来找到链接到站点、域、组织单位 (OU) 或计算机的组策略对象。

使用默认的组策略对象 (GPO)（本地计算机）编辑本地计算机的设置。

7. 单击关闭，然后在添加/删除管理单元对话框中，单击确定。

选定的 GPO 即显示在控制台根节点下。

回到顶端

如何使用组策略编辑器

组策略管理单元包含以下主要分支： • 计算机配置

管理员可以使用“计算机配置”来设置应用到计算机的策略，而不管谁登录到了计算机。“计

算机配置”通常包含软件设置、Windows 设置以及管理模板的子项。

• 用户配置

管理员可以使用“用户配置”来设置应用到用户的策略，而不管他们登录到哪台计算机。“用

户配置”通常包含软件设置、Windows 设置以及管理模板的子项。

若要使用组策略编辑器，请按照下列步骤操作： 1. 展开所需的 GPO。例如，本地计算机策

略。

2. 展开所需的配置项。例如，计算机配置。

3. 展开所需的子项。例如，Windows 设置。

4. 导航到包含您希望的策略设置的文件夹。策略项显示在“组策略编辑器”管理单元的右

窗格中。

备注：如果选定的项未定义策略，请右键单击您希望的文件夹，在出现的快捷菜单中，指向

所有任务，然后单击所需的命令。在所有任务子菜单中出现的命令是上下文相关的。只有那

些适用于所选策略文件夹的命令才出现在菜单中。

5. 在设置列表中，双击您希望的策略项。

备注：当您在管理模板文件夹中处理策略项时，如果您希望查看有关选定策略项的更多信息，

请在 MMC 的右窗格中单击扩展选项卡。

6. 编辑出现的对话框中的设置，然后单击确定。

7. 完成之后，退出 MMC。

回到顶端

示例

下面的示例演示了如何使用“组策略编辑器”自定义 Windows XP 用户界面。在此示例中，

我们将使用“组策略编辑器”来暂时从开始菜单中删除关闭计算机按钮。为此，请按照下列

步骤操作： 1. 通过使用本文如何启动组策略编辑器 一节中提供的步骤启动“组策略编辑

器”并打开“本地计算机”策略。

备注：可以从命令行启动“组策略编辑器”管理单元。这将自动加载本地计算机 GPO。为此，

请按照下列步骤操作： a. 单击开始，然后单击运行。

b. 在打开框中，键入 ，然后单击确定。

2. 展开用户配置（如果它尚未展开）。

3. 在用户配置下，展开管理模板。

4. 单击“开始菜单和任务栏”。

5. 在右窗格中，双击“删除和禁用“关闭计算机”按钮”。

6. 单击启用，然后单击应用。

7. 单击开始。

您会注意到关闭计算机按钮已不再显示。

8. 选择“删除和禁用“关闭计算机”按钮”对话框。

9. 单击未配置，然后单击应用，然后单击确定。

10. 单击开始。

您会注意到关闭计算机按钮又显示在开始中。

11. 退出“组策略编辑器”管理单元。

Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让

我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。

一、给我们的IP添加安全策略

在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略，在本地计算机”下与有与网

络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网

络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。

小提示 :由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管

理员们提个醒，因此在此略过。

二、隐藏驱动器

平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略

里删除这个选项：选择“用户配置→管理模板→Windows组件→Windows资源管理器”。

三、禁用指定的文件类型

在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响

系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如下：

1. 打开组策略，点击“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单

上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出

版商”项。

2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全

部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用

的文件类型，将它添加上去。

3. 双击“安全级别→不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即

生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows无法打开此程序”。

4.要取消此软件限制策略的话，双击“安全级别→不受限的”，打开“不受限的 属性”窗口，按“设为默

认值”即可。

如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，你会看到

它可以建立哈希规则、Internet 区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比

如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则，并将安全级别设置为“不允许

的”，以防止电子邮件病毒。

提示：为了避免“软件限制策略”将系统管理员也限制，我们可以双击“强制”，选择“除本地管理员以外

的所有用户”。如果用你的是文件类型限制策略，此选项可以确保管理员有权运行被限制的文件类型，而其

他用户无权运行。

四、未经许可，不得在本机登录

使用电脑时，我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下

载东西、挂POPO等等，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网

络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户登录到别的账户，那就

麻烦了。既然我们不能删除或禁用这些账户，那么我们可以通过“组策略”来禁止一些账户在本机上登录，

让对方只能通过网络登录。

在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”，然

后双击右侧窗格的“拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现。

如果我们想反其道而行之，禁止用户从网络登录，只能从本地登录，可以双击“拒绝从网络访问这台计算机”

项将用户加上去。

五、给“休眠”和“待机”加个密码

只有“屏幕保护”有密码是远远不够安全的，我们还要给“休眠”和“待机”加上密码，这样才会更安全。

让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”，

在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”(图5)，那么当我们从“待机”

或“休眠”状态返回时将会要求你输入用户密码。

六、自动给操作做个记录

在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上，我们可以看到它可以审核策略

更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年

某月某日某时某分某秒做过了什么操作：几时登录、关闭系统或更改过哪些策略等等。

我们应该养成经常在“控制面板→管理工具→事件查看器”里查看事件的好习惯。比如，当你修改过“组

策略”后，系统就发生了问题，此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里，你可以

查看到详细的登录事件，知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核，

只要双击相应的项目，选中“成功”和“失败”两个选项即可。

注意：Windows XP Home Edition没有“组策略”，只有Windows XP Professional版本才有“组

策略”，这一点注意。

七、限制IE浏览器的保存功能

当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何

才能实现呢?具体方法为：选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”

→“浏览器菜单”分支。双击右侧窗格中的“„文件‟菜单：禁用„另存为…‟菜单项”，在打开的设置窗口中选中

“已启用”单选按钮(如图7)。

提示 : 我们还可以对“„文件‟菜单：禁用另存为网页菜单项”、“„查看‟菜单：禁用„源文件‟菜单项”和“禁

用上下文菜单”等策略项目进行修改，这样我们的IE将会安全一些。

八、禁止修改IE浏览器的主页

如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话，我们可以

选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支，然后在右侧窗格

中，双击“禁用更改主页设置”策略启用即可。

(1)在图8，还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用

功能。如果启用了这个策略，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的

设置将变灰。

(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→

“Internet 控制面板”中的“禁用常规页”策略，则无需设置该策略，因为“禁用常规页”策略将删除界面上

的“常规”选项卡。

(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支，我们

可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的

控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。

九、把Administrator藏起来

Windows系统默认的系统管理员账户名是Administrator。因此，为了避免有人恶意破解系统管理

员Administrator账户的密码，我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”，

输入，打开“组策略”，如图9所示，选择“计算机配置→Windows设置→安全设置→本地策

略→安全选项”，在右边窗格里双击“账户：重命名系统管理员账户”项，在上面输入你想要的用户名。重新

启动计算机后，输入的新用户名即刻生效。如果再新建一个Guest用户，用户名为Administrator，然后

再加上十分复杂的密码就更安全。

提示：为了避免让人在Windows的登录框中看到曾经登录过的用户名，就要双击“交互式登录：不显

示上次的用户名”子项，选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在

Windows的登录画面中。

十.禁用IE组件自动安装

选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目，双击右边

窗口中“禁用Internet Explorer组件的自动安装”项目，在打开的窗口中选择“已启用”单选按钮(如图10)，

将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个

组件的网站时下载该组件，篡改IE的行为也会得到遏制!相对来说IE也会安全许多!

小提示

如果禁用该策略或不对其进行配置，则用户在访问需要某个组件的网站时，将会收到一则消息，提示

用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是

这样工作的。

注册表是Windows操作系统中的一个核心数据库，其中存放着各种参数，直接控制着Windows的

启动、硬件驱动程序的装载以及一些Windows应用程序的运行，从而在整个系统中起着核心作用。这些

作用包括了软、硬件的相关配置和状态信息，比如注册表中保存有应用程序和资源管理器外壳的初始条件、

首选项和卸载数据等，联网计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件部

件的描述、状态和属性，性能记录和其他底层的系统状态信息，以及其他数据等。

恶意网站往往通过修改注册表来破坏我们的系统，甚至禁用注册表，也就是通过修改注册表来给注册

表自身加锁，当注册表被锁定以后，我们也可以在系统中解除锁定。

一、单击“开始”-“运行”，输入“”，打开组策略编辑器。

二、在“组策略编辑器”对话框中，选择“„本地计算机‟策略”-“用户配置”-“管理模块”-“系统”。

三、在“系统”右边对应的选项列表中，选择“阻止访问注册表编辑工具”。

四、右键单击“阻止访问注册表编辑工具”，选择“属性”。

五、在弹出的“阻止访问注册表编辑工具属性”对话框中，将默认设置“未配置”改为“已启用”，单击“确

定”按钮。锁定注册表编辑器。

六、在弹出的“阻止访问注册表编辑工具属性”对话框中，将默认设置“未配置”改为“已禁用”，单击“确

定”按钮。解除锁定注册表编辑器。

默认安装WINDOWS系统的情况下，所有的硬盘都是隐藏共享，据说是为了管理方便，把系统安装

分区自动进行共享，这样可以在网络中访问你的资源，不过这些默认共享的目录是只有系统管理员才能够

在网络中查看的，因为在在共享名后边加上了美元号（$），除非别人知道这个共享，否则他是找不着的。

虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认

共享”，以保证系统安全。