2023年11月30日发(作者:)
故障现象:
组策略应用设置大全
一、桌面项目设置
1. 隐藏不必要的桌面图标
2. 禁止对桌面的改动
3. 启用或禁止活动桌面
4. 给开始菜单减肥
5. 保护好任务栏和开始菜单的设置
二、隐藏或禁止控制面板项目
1. 禁止访问控制面板
2. 隐藏或禁止添加/删除程序项
3. 隐藏或禁止显示项
1. 限制IE浏览器的保存功能
2. 给工具栏减肥
3. 在IE工具栏添加快捷方式
4. 让IE插件不再骚扰你
5. 保护好你的个人隐私
6. 禁止修改IE浏览器的主页
7. 禁用导入和导出收藏夹
六、系统安全/共享/权限设置
1. 密码策略
2. 用户权利指派
3. 文件和文件夹设置审核
4. Windows 98访问Windows XP共享目录被拒绝的问题解决
5. 阻止访问命令提示符
6. 阻止访问注册表编辑工具
解决方案:
一、桌面项目设置
在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所
有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1. 隐藏不必要的桌面图标
桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻
居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘
和禁用桌面上的所有项目启用即可;当启用了删除桌面上的‘我的文档’图标和
删除桌面上的‘我的电脑’图标两个选项以后,我的电脑和我的文档图标将从你
的电脑桌面上消失了;如果在桌面上你不再喜欢回收站这个图标,那么也可以把它给删除,具
体方法是将从桌面删除回收站策略项启用。
2. 禁止对桌面的改动
利用组策略可达到禁止别人改动桌面某些设置的目的。禁止用户更改‘我的文档
’路径项可防止用户更改我的文档文件夹的路径。禁止添加、拖、放和关闭任务栏的工
具栏项可阻止用户从桌面上添加或删除任务栏。双击启用退出时不保存设置后,用户将不能
保存对桌面的更改。最后,双击启用隐藏和禁用桌面上的所有项目设置项,将从桌面上删除
图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。
3. 启用或禁止活动桌面
利用Active Desktop项,可根据自己的需要设置活动桌面的各种属性。启用活动桌面
项可启用活动桌面并防止用户禁用它。活动桌面墙纸项可指定在所有用户的桌面上显示的桌
面墙纸。而启用不允许更改项便可防止用户更改活动桌面配置。
4. 给开始菜单减肥
Windows XP的开始菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除
开始菜单中的公用程序组、我的文档图标、文档菜单、网络连接、收藏夹菜单、搜索菜单、
帮助命令、运行菜单、图片收藏图标、我的音乐图标和网上邻居图标等策略。只要将不需要
的菜单项所对应的策略启用即可。以删除开始菜单中的我的文档图标为例看看其具体操作方
法:在右边窗口中双击从‘开始’菜单上删除‘我的文档’图标项,
在弹出对话框的设置标签中点选已启用,然后单击确定,这样在开始菜单中我的文档图标将
会隐藏。
5. 保护好任务栏和开始菜单的设置
倘若不想随意让他人更改任务栏和开始菜单的设置,只要将右侧窗格中的阻止更改
‘任务栏和「开始」菜单’设置和阻止访问任务栏的上下文菜单两个策略项启用
即可。这样,当用鼠标右键单击任务栏并单击属性时,系统会出现一个错误消息,提示信息
是某个设置禁止了这个操作。
二、隐藏或禁止控制面板项目
这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止
控 制面板项目。在组策略左边窗口依次展开用户配置---管理模板---控制面板项 ,便可看
到控制面板节点下面的所有设置和子节点。
1. 禁止访问控制面板
如果您不希望其他用户访问计算机的控制面板,您只要运行组策略编辑器(),
在左侧窗格中逐级展开‘本地计算机’策略---用户配置---管理模板--- 控制
面板分支,然后将右侧窗格的禁止访问控制面板策略启用即可。此项设置可以防止控制面板
程序文件()的启动。其结果是,他人将无法启动控制面板(或运行任何控制面板
项目)。另外,这个设置将从开始菜单中删除控制面板。同时这个设置还从 Windows 资源管
理器中删除控制面板文件夹。
2. 隐藏或禁止添加/删除程序项
展开添加/删除程序项:双击启用删除‘添加/删除程序’程序设置项后,控
制面板中的添加/删除程序项将被删除。此外在添加或删除程序对话框中共有3个页面:更改
或删除程序、添加新程序以及添加/删除Windows组件;而当你进入添加新程序页面时,会发
现有3个选项:从CD-ROM或软盘添加程序、从 Microsoft添加程序以及从网络中添加程序,
如果你想这些具体页面或选项隐藏,可直接在组策略添加/删除程序项中将相应隐藏功能启用。
3. 隐藏或禁止显示项
展开显示项,发现这一项和上一项一样,可隐藏显示属性对话框中的选项卡。这
里就不细讲了,例如双击启用隐藏‘桌面’选项卡后,显示窗口中将不再出
现桌面项。此外,在这里用户还可启用删除控制面板中的‘显示’,这样在控制
面板中双击打开显示项时,就会弹出一个对话框提示你:系统管理员禁止使用显示控制面板。
4. 其他
自定义控制面板程序:隐藏指定的控制面板程序或只显示指定的控制面板程序,根据提示
提示操作,隐藏或显示控制面板项目.依次展开显示---桌面主题项,双击启用删除主题选项、
阻止选择窗口和按钮式样、禁止选择字体大小项后,可阻止他人更改主题、窗口和按钮式样、
字体。展开打印机项,双击启用阻止添加打印机或阻止删除打印机可防止别的用户添加或删
除打印机。最后,直接在控制面板一项下启用禁止访问控制面板,控制面板将无法启动。
三、系统项目设置
这一项在用户配置---管理模板---系统中设置。组策略中对系统的设置涉及到登录、电
源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理出来分类列举如下:
1. 登录时不显示欢迎屏幕界面
Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦
且延长登录时间,通过组策略便可将其除去。双击启用系统节点下的登录时不显示欢迎屏幕,
则每次用户登录时欢迎屏幕将隐藏。
2. 禁用注册表编辑器
为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。双击启用系统节点下的
阻止访问注册表编辑器项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管
理员停用(图16)。另外,如果你的注册表编辑器被锁死,也可双击此设置,在弹出对话框的
设置标签中点选未被配置项,这样你的注册表便解锁了。如果要防止用户使用其他注册表编
辑工具打开注册表,请双击启用只运行许可的Windows应用程序。
3. 关闭系统自动播放功能
一旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用程序。
这样虽然给我们的工作带来了便利,在某些时候也带来了不少麻烦。在系统节点下有一项为
关闭自动播放设置项,双击其并在弹出对话框的设置标签中点选已启用,在关闭自动播放框
中选择CD-ROM启动器或所有驱动器项即可。
注意:此设置不阻止自动播放音乐CD。
4. 关闭Windows自动更新
每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根据配置
的具体情况,在下载的组件准备好安装时或在下载之前,给用户以提示。如果你不喜欢比尔
老大这种自作主张的态度,可通过组策略关闭这一功能。只须双击系统节点下的Windows自
动更新设置项,在弹出来的对话框中点选已禁用并确定即可。
5. 删除任务管理器
若Windows XP用户已取消使用欢迎屏幕项,若同时按下Ctrl+Alt+Del键,便会弹出一
个Windows安全对话框,此对话框中有锁定计算机、注销、关机、更改密码、任务管理器、
取消6个功能按钮。大家都知道这里的每个按钮对系统都起着关键的作用。为了阻止别人操
作,可通过组策略屏蔽这些按钮。找到系统下的Ctrl+Alt+Del选项,双击启用删除任务管理
器、删除‘锁定计算机’、删除改变密码、删除注销项便能屏蔽掉Windows安全
对话框的任务管理器、锁定计算机、更改密码、取消4个功能按钮。注意:注销、关机两个
菜单项的屏蔽,在用户配置---管理模板---任务栏和‘开始’菜单节点下。
四、隐藏或删除Windows XP资源管理器中的项目
一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源
也一直是电脑用户的不懈追求。依次展开用户配置---管理模板---Windows组件---Windows
资源管理器项,可以看到Windows资源管理器节点下的所有设置。下面就来看看怎样通过组
策略实现资源管理器个性化
1. 删除文件夹选项
文件夹选项是资源管理器中一个重要的菜单项,通过它可修改文件的查看方式,编辑文
件类型的打开方式。我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删除,
你只须双击启用从‘工具’菜单删除‘文件夹选项’菜单便能完成这
一设置。
2. 隐藏管理菜单项
在资源管理器中右键单击我的电脑出现的快捷菜单中有一个管理菜单项,通过此菜单项,
可以打开一个包含事件查看器、本地用户和组、设备管理器、磁盘管理等众多工具的计算机
管理窗口。为了保障你的计算机免受他人无意破坏,可通过双击启用隐藏Windows资源管理
器上下文菜单上的‘管理’项目项来屏蔽此菜单项。
3. 其他项目的隐藏
此外通过启用隐藏‘我的电脑’中的这些指定的驱动器可隐藏你指定的驱动
器。还可通过启用‘网上邻居’中不含‘整个网络’屏蔽掉整个网络
项。双击启用删除CD烧录功能删除Windows XP自带的光盘刻录功能。双击启用不要将已删
除的文件移到‘回收站’则以后删除文件时将不进入回收站直接删除掉。当然还
有不少项目这里没有讲到,大家可根据需要自行探讨,进行适当的配置。
五、IE浏览器项目设置
在组策略左边窗口中依次展开用户配置---管理模板---Windows组件---Internet
Explorer项,在右边窗口中便能看到Internet Explorer节点下的所有设置和子节点。IE
是Windows XP自带的网页浏览器,也是大多数用户采用的浏览器,但其安全性也为人所诟
病,下面就通过组策略来对其进行改造。
1. 限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使
用,那么如何才能实现呢?具体方法为:选择用户设置---管理模板---Windows组件
---Internet Explorer---浏览器菜单分支,然后将右侧窗格中的‘文件’
菜单:禁用‘另存为’菜单项、‘文件’菜单:禁用另存为网页菜单
项、‘查看’菜单:禁用‘源文件’菜单项和禁用上下文菜单等策略
项目启用即可。另外,倘若您不希望别人对IE浏览器的设置进行随意更改,您只要将‘
工具’菜单:禁用‘Internet选项’策略启用即可。另外,根据您个人的
需要,在该窗格中还可以对其他项目进行禁用。
2. 给工具栏减肥
倘若您要隐藏工具栏中的工具按扭,具体方法是:选择用户设置---管理模板---Windows
组件---Internet Explorer---工具栏分支,然后在右侧窗格中双击配置工具栏按扭策略,
弹出配置工具栏按扭属性窗口,在设置选项卡中选择已启用单选按扭,将列表中将要显示按
扭名称前面的复选框打上勾选标记,若要隐藏某些按扭,则不要将其前面的复选框进行勾选。
然后单击确定按扭即可
3. 在IE工具栏添加快捷方式
不知道大家注意到了没有,不少软件在安装完之后都会在IE工具栏上添加图标,单击其
便能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式,这里举例说
明如何添加一个ICQ的启动图标。展开Internet Explorer维护下的浏览器用户界面,双击
浏览器工具栏自定义设置项,在弹出来的对话框中单击添加按钮,在浏览器工具栏按钮信息
对话框的工具栏标题中输入:ICQ,在工具栏操作中输入D:,然后再
随便选择一个颜色图标和灰度图标,当然你也可以用ExeScope等来提取ICQ的图标)。单击
确定后IE工具栏中便多了一个ICQ图标!
4. 让IE插件不再骚扰你
我们平常上网浏览网页时,总会弹出一些诸如是否安装Flash插件、是否安装3721网络
实名的提示,就像广告窗口一样烦人。实际上我们可在组策略中通过启用Internet
Explorer节点下的禁用Internet Explorer组件的自动安装来禁止这种提示的出现。不过
有时这一功能也是很用的,所以在禁止此功能之前请稍加考虑。
5. 保护好你的个人隐私
一般通过单击IE工具栏上的历史按钮,便可了解以前浏览过的网页和文件。为保密起见,
你可以通过双击启用Internet Explorer节点下的不要保留最近打开文档的记录和退出时
清除最近打开的文档记录两个设置项,这样再单击IE工具栏上的历史按钮,你访问过的历史
网页记录将全部消失。
6. 禁止修改IE浏览器的主页
如果不希望他人对你的主页进行修改,可启用Internet Explorer节点下的禁用更改主
页设置设置项禁止别人更改你的主页。你也可通过访问浏览器菜单,启用其中的设置项对IE
浏览器的若干菜单项进行屏蔽。最后,在Internet控制面板节点下,你还可对Internet选
项对话框中的部分选项卡进行隐藏。
倘若启用了这个策略,在IE浏览器的Internet 选项对话框中,其常规选项卡的主页区
域的设置将变灰。
特别提示:如果设置了位于用户配置---管理模板---Windows 组件---Internet
Explorer---Internet 控制面板中的禁用常规页策略,则无需设置该策略,因为禁用常规页
策略将删除界面上的常规选项卡。
7. 禁用导入和导出收藏夹
禁止用户使用导入/导出向导菜单项导入或导出收藏夹链接。用户配置管理模板Windows
组件Internet Explorer。
如果启用该策略,导入/导出向导菜单项将无法导入/导出收藏夹链接和Cookie。如果禁
用该功能或不对其进行配置,则用户可以通过单击文件菜单上的导入和导出菜单项,然后运
行导入/导出向导,导入/导出IE中的收藏夹。
注意:如果启用该策略,用户仍然可以查看导入/导出向导,但当用户单击完成按钮时,
将出现说明该功能已被禁用的提示信息。
六、系统安全/共享/权限设置
自有计算机以来,安全一直就是人们关注的焦点问题,Windows XP也不例外。在组策
略中,系统安全配置一般在计算机配置---Windows设置---安全设置中进行。
1. 密码策略
这一策略在账户策略---密码策略节点中配置。口令是系统安全的一大隐患,可通过组策
略设置密码(口令)的最小长度:双击启用密码必须符合复杂性要求设置项,确定后双击密码
长度最小值设置项,在弹出来的对话框中将密码长度最小值设为8或更大,这样以后设置账
户密码时就必须输入8位以上,安全性就高多了。
2. 用户权利指派
展开本地策略---用户权利指派节点,在右边窗口中便能看到用户权利指派节点下的所有
设置。合适地指派用户权利可以解决一些奇怪的问题,例如在局域网中使用Windows XP系
统的朋友一般会发现一个奇怪的现象,那就是即使你启用guest用户并给予权限,局域网中
的其他Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个问题可在
组策略中通过修改有关设置解决:双击用户权利指派节点下的拒绝从网络访问这台计算机设
置项,在弹出对话框中点选guest,然后单击删除,最后确定即可。在用户权利指派节点下
还可给用户添加许多权限,例如给guest添加远程关机权限、给一般用户添加更改系统时间
的权限。
3. 文件和文件夹设置审核
Windows XP Professional可以使用审核跟踪用于访问文件或其他对象的用户账户、登
录尝试、系统关闭或重新启动以及类似的事件。审核文件、文件夹(只适用于 NTFS文件系
统)可以保证文件和文件夹的安全。在审核发生之前,您必须使用组策略指定要审核的事件类
型。为文件和文件夹设置审核的步骤如下。
a.单击选择开始---运行命令,在弹出的运行对话框中键入命令,然后单击
确定按扭即可;当然你也可以在桌面上创建一个相应的快捷方式。
b.在弹出的组策略窗口中,逐级展开右侧窗格中的计算机配置---Windows设置---安全
设置---本地策略分支,然后在该分支下选择审核策略选项。
c.在右侧窗格中用鼠标双击审核对象访问选项,在弹出的本地安全策略设置窗口中,将
本地策略设置框内的成功和失败复选框都打上勾选标记。如图12所示。然后单击确定按扭
d.用鼠标右键单击想要审核的文件(或文件夹)。选择快捷菜单的属性命令,然后在弹出
的窗口中选择安全选项卡。
e.单击高级按扭,然后选择审核选项卡。
f.根据具体情况选择您的操作:
(1)倘若对一个新组(或用户)设置审核, 请单击添加按扭,在名称框中键入新用户名,然
后单击确定按扭,将打开审核项目对话框。
(2)要查看(或更改)原有的组(或用户)审核, 选择用户名,然后单击查看/编辑按扭。
(3)要删除原有的组(或用户)审核, 选择用户名,然后单击删除按扭即可。
g.如有必要的话,在审核项目对话框中的应用到列表中选取您希望审核的地方(应用到列
表仅对文件夹有效)。
h.如果您想禁止目录树中的文件和子文件夹继承这些审核项目,选择仅对此容器内的对
象和/或容器应用这些审核项复选框。
如果在审核项目对话框中的访问之下的复选框变暗,或在访问控制设置对话框中删除按
钮不可用,那么说明已经继承了来自父文件夹的审核。
需要注意的是:必须是管理员组成员或在组策略中被授权有管理审核和安全日志权限的
用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,您必须启用组策略中
审核策略的审核对象访问。否则,当您设置完文件、文件夹审核时会返回一个错误消息,并
且文件、文件夹都没有被审核。通过事件查看器(Event Viewer)可以检查那些访问审核过的
文件和文件夹的成功或失败的尝试。
4. Windows 98访问Windows XP共享目录被拒绝的问题解决
在局域网内,经常可以遇到装有Windows 2000的电脑开了共享目录,而装有Windows 98
的电脑却无法访问的问题。这个在微软的官方网页上可以找到答案,提示开启Windows 2000
的GUEST用户就行了。可是Windows XP出来以后,同样的又面临这个问题,结果有些人发
现这个方法不灵了,从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在?
这个问题本也困扰过我好几天,后来在无意中发现了问题的答案,也许这是Windows XP的
一个BUG?在开启了系统Guest用户的情况下,运行组策略编辑器程序,在本地计算机策略---
计算机配置---Windows设置---安全设置---本地策略---用户权利指派---拒绝从网络访问
这台计算机中赫然可以看到有Guest用户!如果在这里删除Guest用户,那么其他电脑就可以
从网上邻居中查看这台电脑的共享目录了
5. 阻止访问命令提示符
防止用户运行命令提示符窗口()。这个设置还决定批文件(.cmd和.bat)是否可
以在计算机上运行。位置:用户配置管理模板系统 如果启用这个设置,用户试图打开命
令窗口,系统会显示一个消息,解释设置阻止这种操作。注意:如果计算机使用登录、
注销、启动或关闭批文件脚本,不防止计算机运行批文件;也不防止使用终端服务的用户运行
批文件。
6. 阻止访问注册表编辑工具
该策略将禁用,以禁用Windows注册表编辑器。这样可以很大程度防止网
页上的恶意代码篡改IE。位置:用户配置管理模板系统 如果这个设置被启用,并且用户试
图启动注册表编辑器,解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管理
工具,请使用只运行许可的Windows应用程序策略设置。
补充
1. 禁止程序后组策略无法使用
可以通过以下方法来恢复设置:重新启动计算机,在启动菜单出现时按F8键,在Windows
高级选项菜单中选择带命令行提示的安全模式选项,然后在命令提示符下运行。在
打开的控制台窗口中,依次点击文件---添加/删除管理单元---添加---组策略---添加---完
成---关闭---确定,现在已经添加了一个组策略控制台,接下来把原来的设置改回来,然后
重新进入Windows即可。
2. 从我的电脑中删除共享文档
当Windows用户在一个工作组中,一个共享文档图标会以Windows资源管理器的Web视
图出现在其他位置和在这台计算机上存储的其他文件中。使用此设置,你可选择不显示这些
项目。本地计算机策略---;用户配置---;管理模板---;Windows组件---;Windows资源管理器
如果启用此设置,共享文档文件夹将不会以Web视图方式显示或在我的电脑中出现。如果禁
用或不配置此设置,当用户是工作组的一部分时,共享文档文件夹将会以Web视图方式显示
或在计算机中出现。
备注:
1. 组策略在家庭版Windowss系统上不存在;
2. 组策略设置有风险,请注意提交备份数据。
发布评论