2023年11月30日发(作者:)
使用 Windows XP 组策略修改系统配置.
组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。
通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自Windows NT
4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策
略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。
平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不
满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,
但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板
中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表强。
本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个
方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其
中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到
HKEY_CURRENT_USER。
一、访问组策略
有两种方法可以访问组策略:一是通过命令直接进入组策略窗口;二是打开控制台,
将组策略添加进去。
1. 输入命令访问
选择“开始”→“运行”,在弹出窗口中输入“”,回车后进入组策略窗口。组策略窗
口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。
这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更
多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作
用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪
一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机
中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,
设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”
节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、
应用最广,因此也是本文的重中之重。
2. 通过控制台访问组策略
单击“开始”→“运行”,输入“mmc”,回车后进入控制台窗口。单击控制台窗口的“文件”
→“添加/删除管理单元”,在弹出窗口单击“添加”,之后选择“组策略”并单击“添加”,在下一
步的“选择组策略对象”对话框中选择对象。由于我们组策略对象就是“本地计算机”,因此不用更
改,如果是网络上的另一台计算机,那么单击“浏览”选择此计算机即可。另外,如果你希望保存
组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请选中“当从命令行开始
时,允许更改‘组策略管理单元’的焦点”复选框。最后添加进来的组策略。
二、任务栏和“开始”菜单项目设置
本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目。依次展开“用
户配置”→“管理模板”→“任务栏和‘开始’菜单”,在右边窗口便能看到“任务栏和‘开始’菜
单”节点下的具体设置,其状态都处在“未被配置”。
1. 给“开始”菜单减肥
Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。以删除开始菜单
中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我
的文档’图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开
始”菜单中“我的文档”图标将会隐藏。
2. 防止隐私泄漏
在开始菜单中有一个“我最近的文档”菜单项,别人可通过此菜单访问你最近打开的文档,为
安全起见,可删除此菜单项,并设置不保存最近打开的文档记录。双击“不要保留最近打开文档的
记录”、“退出时清除最近打开的文档记录”、“从‘开始’菜单上删除‘文档’菜单”3项,在弹出
对话框中点选“已启动”并确定即可。
3. 禁止随意修改任务栏和“开始”菜单
为保护自己好不容易设置好的任务栏和“开始”菜单,可双击启用下列各设置。“阻止更改‘任务栏
和‘开始’菜单 ’设置”:即从“开始”菜单的“设置”菜单项中删除“任务栏和‘开始’菜单”
项目,这个设置也可阻止用户打开“任务栏属性”对话框。“阻止访问任务栏的上下文菜单”(上下
文菜单即单击右键弹出的快捷菜单):当鼠标右键单击任务栏及任务栏上项目时隐藏菜单,例如“开
始”按钮、时钟和任务栏按钮,但不能禁止用户在其他地方更改。“锁定任务栏”:启用此设置,可
阻止用户移动任务栏或调整任务栏的大小,但自动隐藏和其他任务栏选项仍然在“任务栏属性”中
可用。
4. 去掉Windows XP“开始”菜单中的图形化设置
Windows XP的“开始”菜单增添了许多图形化设置,其实可在组策略中将这些功能关闭。
“关闭个性化菜单”:Windows XP会自动将最近使用的菜单项移动到开始菜单顶部,并且隐藏
最近没有使用的菜单项,以此实现个性化菜单,启用此设置将关闭个性化菜单。“强制典型菜单”:
启用此设置,开始菜单就以Windows 2000样式显示典型的开始菜单,并且显示标准桌面图标。
5. 禁止“注销”和“关机”
进行三维动画设计和视频处理的朋友经常会为导出一个大型动画、视频文件而花几个小时,这
时如果有人重新启动电脑或注销用户,那么前面所做的工作就会白白浪费,因此有必要禁止“开始”
菜单中的“注销”、“关机”菜单项。你只需双击启用“删除‘开始’菜单上的‘注销’”和“删除和
阻止访问‘关机’命令”两项即可。后一设置不仅将从“开始”菜单中删除“关闭计算机”项,而
且还会禁用“Windows 任务管理器”对话框中的“关机”选项。
三、桌面项目设置
在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关
桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1. 隐藏不必要的桌面图标
桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻
居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的‘我
的文档’图标”一项中设置即可。
2. 禁止对桌面的改动
利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可
防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用
户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。
最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其
他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。
3. 启用或禁止活动桌面
利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项
可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。
而启用“不允许更改”项便可防止用户更改活动桌面配置。
四、隐藏或禁止控制面板项目
这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止控制面
板项目。在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项,便可看到“控
制面板”节点下面的所有设置和子节点。
1. 隐藏或禁止“添加/删除程序”项
展开“添加/删除程序”项:双击启用“删除‘添加/删除程序’程序”设置项后,控制面板中的
“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3个页面:“更改或删除
程序”、“添加新程序”以及“添加/删除Windows组件”;而当你进入“添加新程序”页面时,会发
现有3个选项:“从CD-ROM或软盘添加程序”、“从 Microsoft添加程序”以及“从网络中添加程序”,
如果你想这些具体页面或选项隐藏,可直接在组策略“添加/删除程序”项中将相应隐藏功能启用。
2. 隐藏或禁止“显示”项
展开“显示”项,发现这一项和上一项一样,可隐藏“显示属性”对话框中的选项卡。这里就
不细讲了,例如双击启用“隐藏‘桌面’选项卡”后,“显示窗口”中将不再出现“桌面”项。此外,
在这里用户还可启用“删除控制面板中的‘显示’”,这样在控制面板中双击打开“显示”项时,就
会弹出一个对话框提示你:系统管理员禁止使用“显示”控制面板。
3. 其他
依次展开“显示”→“桌面主题”项,双击启用“删除主题选项”、“阻止选择窗口和按钮式样”、
“禁止选择字体大小”项后,可阻止他人更改主题、窗口和按钮式样、字体。展开“打印机”项,
双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户添加或删除打印机。最后,直
接在“控制面板”一项下启用“禁止访问控制面板”,控制面板将无法启动。
五、系统项目设置
这一项在“用户配置”→“管理模板”→“系统”中设置。组策略中对系统的设置涉及到登录、
电源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理出来分类列举如下:
1. 登录时不显示欢迎屏幕界面
Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦且延长
登录时间,通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示欢迎屏幕”,则每
次用户登录时欢迎屏幕将隐藏。
2. 禁用注册表编辑器
为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。双击启用“系统”节点下的“阻
止访问注册表编辑器”项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停
用。另外,如果你的注册表编辑器被锁死,也可双击此设置,在弹出对话框的“设置”标签中点选
“未被配置”项,这样你的注册表便解锁了。如果要防止用户使用其他注册表编辑工具打开注册表,
请双击启用“只运行许可的Windows应用程序”。
3. 关闭系统自动播放功能
一旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用程序。这样虽然
给我们的工作带来了便利,在某些时候也带来了不少麻烦。在“系统”节点下有一项为“关闭自动
播放”设置项,双击其并在弹出对话框的“设置”标签中点选“已启用”,在“关闭自动播放”框中
选择“CD-ROM启动器”或“所有驱动器”项即可。
注意:此设置不阻止自动播放音乐CD。
4. 关闭Windows自动更新
每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根据配置的具体情
况,在下载的组件准备好安装时或在下载之前,给用户以提示。如果你不喜欢比尔老大这种自作主
张的态度,可通过组策略关闭这一功能。只须双击“系统”节点下的“Windows自动更新”设置项,
在弹出来的对话框中点选“已禁用”并确定即可。
5. Ctrl+Alt+Del选项
若Windows XP用户已取消“使用欢迎屏幕”项,若同时按下“Ctrl+Alt+Del”键,便会弹出一
个“Windows安全”对话框,此对话框中有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务
管理器”、“取消”6个功能按钮。大家都知道这里的每个按钮对系统都起着关键的作用。为了阻止
别人操作,可通过组策略屏蔽这些按钮。
找到“系统”下的“Ctrl+Alt+Del选项”,双击启用“删除任务管理器”、“删除‘锁定计算机’”、
“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“任务管理器”、“锁定计
算机”、“更改密码”、“取消”4个功能按钮。
注意:“注销”、“关机”两个菜单项的屏蔽,在“用户配置”→“管理模板”→“任务栏和‘开
始’菜单”节点下。
六、隐藏或删除Windows XP资源管理器中的项目
一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源也一直
是电脑用户的不懈追求。依次展开“用户配置”→“管理模板”→“Windows组件”→“Windows
资源管理器”项,可以看到“Windows资源管理器”节点下的所有设置。下面就来看看怎样通过组
策略实现资源管理器个性化。
1. 删除“文件夹选项”
“文件夹选项”是资源管理器中一个重要的菜单项,通过它可修改文件的查看方式,编辑文件
类型的打开方式。我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删除,你只须双
击启用“从‘工具’菜单删除‘文件夹选项’菜单”便能完成这一设置。
2. 隐藏“管理”菜单项
在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项,通过此菜单
项,可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁盘管理”等众多工具
的“计算机管理”窗口。为了保障你的计算机免受他人无意破坏,可通过双击启用“隐藏Windows
资源管理器上下文菜单上的‘管理’项目”项来屏蔽此菜单项。
3. 其他项目的隐藏
此外通过启用“隐藏‘我的电脑’中的这些指定的驱动器”可隐藏你指定的驱动器。还可通过
启用“‘网上邻居’中不含‘整个网络’”屏蔽掉“整个网络”项。双击启用“删除CD烧录功能”
删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的文件移到‘回收站’”则以后删
除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有讲到,大家可根据需要自行探讨,
进行适当的配置。
七、IE浏览器项目设置
在组策略左边窗口中依次展开“用户配置”→“管理模板”→“Windows组件”→“Internet Explorer”
项,在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子节点。IE是Windows XP自
带的网页浏览器,也是大多数用户采用的浏览器,但其安全性也为人所诟病,下面就通过组策略来
对其进行“改造”。
1. 在IE工具栏添加快捷方式
不知道大家注意到了没有,不少软件在安装完之后都会在IE工具栏上添加图标,单击其便能启
用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式,这里举例说明如何添加一
个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器用户界面”,双击“浏览器工具栏
自定义”设置项,在弹出来的对话框中单击“添加”按钮,在“浏览器工具栏按钮信息”对话框的
“工具栏标题”中输入:ICQ,在“工具栏操作”中输入D:,然后再随便选
择一个“颜色图标”和“灰度图标”,当然你也可以用ExeScope等来提取ICQ的图标)。单击“确
定”后IE工具栏中便多了一个ICQ图标!
2. 让IE插件不再骚扰你
我们平常上网浏览网页时,总会弹出一些诸如“是否安装Flash插件”、“是否安装3721网络实
名”的提示,就像广告窗口一样烦人。实际上我们可在组策略中通过启用“Internet Explorer”节点
下的“禁用Internet Explorer组件的自动安装”来禁止这种提示的出现。不过有时这一功能也是很用
的,所以在禁止此功能之前请稍加考虑。
3. 保护好你的个人隐私
一般通过单击IE工具栏上的“历史”按钮,便可了解以前浏览过的网页和文件。为保密起见,
你可以通过双击启用“Internet Explorer”节点下的“不要保留最近打开文档的记录”和“退出时清
除最近打开的文档记录”两个设置项,这样再单击IE工具栏上的“历史”按钮,你访问过的历史网
页记录将全部消失。
4. 禁止项
如果不希望他人对你的主页进行修改,可启用“Internet Explorer”节点下的“禁用更改主页设
置”设置项禁止别人更改你的主页。你也可通过访问“浏览器菜单”,启用其中的设置项对IE浏览
器的若干菜单项进行屏蔽。最后,在“Internet控制面板”节点下,你还可对“Internet选项”对话
框中的部分选项卡进行隐藏。
八、系统安全设置
自有计算机以来,安全一直就是人们关注的焦点问题,Windows XP也不例外。在组策略中,系
统安全配置一般在“计算机配置”→“Windows设置”→“安全设置”中进行。
1. 密码策略
这一策略在“账户策略”→“密码策略”节点中配置。口令是系统安全的一大隐患,可通过组
策略设置密码(口令)的最小长度:双击启用“密码必须符合复杂性要求”设置项,确定后双击“密
码长度最小值”设置项,在弹出来的对话框中将密码长度最小值设为8或更大,这样以后设置账户
密码时就必须输入8位以上,安全性就高多了。
2. 用户权利指派
展开“本地策略”→“用户权利指派”节点,在右边窗口中便能看到“用户权利指派”节点下
的所有设置。合适地指派用户权利可以解决一些奇怪的问题,例如在局域网中使用Windows XP系
统的朋友一般会发现一个奇怪的现象,那就是即使你启用guest用户并给予权限,局域网中的其他
Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个问题可在组策略中通过
修改有关设置解决:双击“用户权利指派”节点下的“拒绝从网络访问这台计算机”设置项,在弹
出对话框中点选“guest”,然后单击“删除”,最后确定即可。在“用户权利指派”节点下还可给用
户添加许多权限,例如给guest添加远程关机权限、给一般用户添加更改系统时间的权限,限于篇幅,
在此不再赘述,有兴趣的朋友可以通过E-mail(tlyz@)和我私下探讨。编者注:更多关于网
络配置的组策略修改请参考本期“网络时代”栏目的《使用Windows XP组策略修改网络设置》一
文。
使用Windows XP 组策略修改网络设置
天津 武金刚
早就想优化一下网络设置,加快上网速度,让IE使用起来得心应手。有时通过一些软件和直接修改
注册表的键值来达到要修改的目的,可这些软件功能太单一,注册表的键值非常复杂又不容易记住,
其实我们可以利用Windows的组策略来对网络的各项设置进行优化,操作起来也非常轻松。“组策
略”的基本知识及启动可以查看本期“实用软件”栏目《使用Windows XP组策略修改系统配置》
一文。下面我们就以Windows XP Professional本地组策略的应用为例看看其具体操作。
修改网络设置
1.禁止“将脱机项目变成可用状态”
有时我们不想让其他人用脱机方法来查看自己浏览过的网页,我们可以在组策略中关闭脱机状态。
设置方法:首先启动组策略,在控制台窗口中依次展开“用户配置→管理模板→网络→脱机文件”
分支,在右窗口中双击“删除将脱机项目变成可用状态”策略,随后弹出一个设置对话框,这时单
击对话框“已启用”单选项即可。通过此项设置我们可以在Windows资源管理器的文件菜单和所有
上下文菜单中删除“可脱机使用”选项,使一些用户不能将文件保存在自己计算机上供脱机使用。
2.启用“事件日志记录级别”
有时我们对网络中的某一网页进行脱机保存,可是有的文件在脱机后却出现错误,这时我们可以启
动“事件记录功能”,以后当脱机文件检测到错误时会将这些事件记录到事件查看器的应用程序日志
上。默认为在脱机文件存储缓存损坏时记录一个事件,但你也可以使用这项设置指定其他想让脱机
文件记录的事件。首先在控制台窗口中依次展开“用户配置→管理模板→网络→脱机文件”分支,
在右边的窗口中双击“事件日志记录级别”策略,选择“已启用”选项,从“键入”框中选择让系
统记录事件的号码,等级为积累性的,即每个等级包含以前所有等级中的事件。其中“0”表示缓存
数据已损坏,“1”表示记录服务器脱机,“2”表示等级1+记录网络停止+网络启动,“3”表示等级
2+记录服务器可以重新连接。在此我们可以根据需要进行选择。
3.禁止使用“建立新的拨号连接”
如果你不想让别人在你的计算机中拨号上网,我们可以在拨号网络中屏蔽掉“建立新连接”选项。
首先在组策略中依次展开“用户配置→管理模板→网络→网络连接”分支,在右边的窗口中双击“禁
止访问新建连接向导”,弹出一个设置对话框,这时单击对话框“已启用”单选项即可。通过此项设
置,在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”,其他用户(包括管理员)
都无法启动“新建连接向导”。
4.禁用TCP/IP高级设置:
此项设置是确定用户是否可以配置高级TCP/IP设置。要打开“高级TCP/IP设置”对话框,在
“网络连接”文件夹中右键单击连接图标,选择“属性”,对于远程访问连接,请选择“网络”选项
卡,在“由此连接使用检查过的组件”框中,单击“网际协议(TCP/IP)→属性→高级”按钮。如
果启用此设置(启用“为管理员启用网络连接设置”设置),就对所有用户(包括管理员)禁用“网
际协议(TCP/IP)属性”对话框上的“高级”按钮,因此用户不能打开“高级TCP/IP设置属性”页
并修改IP设置(例如DNS和WINS服务器信息)。所以要想控制所有用户对“高级TCP/IP设置”
进行修改,我们可以在组策略中依次展开“用户配置→管理模板→网络→网络连接”分支,在右窗
口中双击“禁用TCP/IP高级设置”策略中单击“启用”即可。
5.关闭网络连接提示
在WinXP断开网络30秒后,会弹出一个拨号对话框,提示我们连接上网,给脱机工作带来很
多不便,我们可以通过组策略将其关闭。设置方法:首先启动组策略,在控制台窗口中依次展开“用
户配置→管理模板→网络→脱机文件”分支,在右边的窗口中双击“关闭提醒”策略,随后弹出一
个设置对话框,在设置对话框“已启用”单选项上单击“OK”即可,这样我们以后再断开连接就不
再出现“网络连接”提示。 6.配置慢速连接速度
此项功能可以使网络在连接速度慢时自动控制一些脱机文件,减少脱机文件的同步流量,当检测到
连接不上服务器时,也不会再次拨号连接。设置此项时在组策略中依次展开“计算机配置→管理模
板→网络→脱机文件”分支,在右侧窗口中双击“配置慢速连接速度”策略,在弹出的设置框中点
选“已启用”选项,随后在下面的输入框中输入一个值,如128 000bps我们需要输入1280即可。值
得注意的是:如果该设置没有被启用或配置,系统将以64 000bps为默认值来决定网络速度是否缓慢。
当我们启用之后,可以自定义缓慢连接值。
7.网络连接时启动程序
使用此设置指定用户登录到终端服务器时自动运行的程序,这样就可以替代“启动程序”设置,
不会显示开始菜单和Windows桌面,并且当用户退出程序时自动断开会话连接。要使用此设置,在
控制台窗口中依次展开“用户配置→管理模板→Windows组件→终端服务”分支,在右侧窗口中双
击“连接时启动程序”策略,在弹出的设置对话框中“已启用”选项,并在“程序路径和文件名”
中键入要在用户登录时运行的可执行文件的路径和文件名,需要的话可以在“工作目录”中键入到
达程序起始目录的路径。如果将“工作目录”保留为空,程序则以默认工作目录运行,如果指定的
程序路径、文件名或工作目录非法,则会导致终端服务器连接失败,并显示一条错误消息。
8.自定义URL:
当用IE在网上浏览时,总会遇上一些不法网站用他们的网址定义我们的默认主页,即使重新设
置仍然无效。这时我们不仅可以通过软件和修改注册表,也可以通过“组策略”对其进行修改,方
法是在控制台窗口中依次展开“用户配置→Windows设置→Internet Explorer维护→URL”分支,在
右窗口中双击“重置URL”,随后弹出一个设置对话框,其中有“自定义主页”、“自定义搜索栏”、
“自定义联机支持”3个复选项,我们可根据需要进行勾选。其中在自定义主页文本框中删除已有
的主页网址,然后输入需要的网址,在下面的自定义搜索栏中我们可以输入搜索引擎地址,以后在
单击IE中的搜索按钮时将会自动连接到该页进行搜索。在最下面的自定义联机支持项中可以输入一
个联机浏览的网页,这样再单击IE帮助菜单中的“联机支持”命令,窗口中将自动显示到该帮助页
面。
9.禁止使用DNS域网络中的Internet连接共享
Internet连接共享(ICS)允许管理员将其系统作为Internet网关进行配置,从而提供了诸如名称
转换和通过DHCP访问局部专用网络的服务。
通过此策略可以确定管理员是否启用和配置Internet连接的共享功能及ICS服务是否可在计算机
上运行。
首先在组策略中依次展开“计算机配置→管理模板→网络→网络连接”分支,这时在右侧窗口
中双击“禁止使用DNS域网络中的Internet连接共享”策略。如果启用此设置,管理员就无法启用
或配置ICS,并且不能在计算机上运行ICS服务,而且LAN连接或远程访问连接的“属性”对话框
中的“高级”选项卡也将被删除,Internet连接共享页将从“新建连接向导”中删除,并禁用“网络
安装向导”。如果禁用或不配置此设置,并进行两次以上的连接,管理员就可以启用ICS,用于LAN
连接或远程访问连接的“属性”对话框中的“高级”选项卡就变为可用,另外将会通过启用“网络
安装向导”和“进行新连接向导”中的Internet连接共享显示用户(“网络安装向导”仅在Windows XP
Professional中可用)。建议选择“禁用或不配置”选项。
重要提示:只有当计算机连接到相同DNS域网络时才应用此设置,如果连接到的DNS域网络
不同,则不应用此设置。
10.让Windows XP上网速率提升20%
默认情况下,Windows XP限制了上网带宽的20%,利用组策略可取消对这部分带宽的限制。依次展
开“计算机配置”→“管理模板”→“网络”→“QoS数据包调度程序”项。然后双击窗口右边的
“限制可保留带宽”项,在弹出对话框的“设置”标签中点选“已启用”,并将下面的“带宽限制(%)”
框中的20改为0。
完成这一步后,双击控制面板中的“网络连接”图标,在打开的“网络连接”窗口中右键单击你的
拨号连接或本地连接并选中“属性”,在弹出对话框中点选“网络”选项卡(笔者是拨号连接,因此
选择“网络”,若为本地连接请点选“常规”选项卡),核实是否已“√”选了“QoS数据包计划程
序”。最后重新启动电脑,便可充分利用你的所有带宽了。
维护IE
1.自定义IE菜单:
我们通过“组策略”还可以自定义IE的菜单栏,其方法是:首先在控制台窗口中依次展开“用
户配置→管理模板→Windows组建→Internet Explorer→浏览器菜单”分支,这时我们可以看到“组
策略”右侧窗口中出现一些设置项目,如在文件菜单中禁用另存为项、隐藏收藏夹项、在查看菜单
中禁用源文件菜单项等,在此可以根据需要进行选择配置。配置这些文件时双击某项设置,在弹出
的对话框中点选“已启用”选项即可,以后还可以在此对其进行恢复。
2.给IE标题栏添加文字
如果想为IE浏览器的标题栏添加文字,首先在控制台窗口中依次展开“用户配置→Windows设
置→Internet Explorer维护→浏览器用户界面”分支,在右窗口中双击“浏览器标题栏”策略,随后
在弹出一个设置对话框,在此勾选“自定义标题栏”复选框,在下面的“标题栏文字”文本框中输
入要在标题栏上显示的文字,如武金刚的电脑等,随后单击“OK”即可。
3.为IE工具栏添加背景图案:
如果你已经看烦了IE工具栏中单调的背景颜色,那你想不想为它添加一个漂亮的背景图案?其
实我们可以在组策略中轻松完成这一设置。首先在控制台窗口中依次展开“用户配置→Windows设
置→Internet Explorer维护→浏览器用户界面”分支,在右窗口中双击“浏览器工具栏自定义”策略,
随后弹出一个设置对话框,在“背景”项中点选“自定义工具栏背景位图”选项,单击右侧的“浏
览”按钮选择一个合适的图片文件,然后单击“OK”,刷新后,IE的工具栏是不是变得漂亮了?
4.替换IE右上窗口中的动画徽标:
当我们启动IE后,可以看到IE窗口的右上角有个微软的徽标,当我们连接到互联网之后,该
徽标会不停飘动。其实我们也可以通过“组策略”将它改为自己的“徽标”。在控制台窗口中依次展
开“用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”分支,在右窗口中双击“自
定义徽标”策略,随后弹出一个“自定义徽标和动画位图”对话框,在此我们勾选“自定义静态徽
标”和“自定义动画位图”两个复选项,随后我们看到此项目已经都被激活。单击“浏览”按钮即
可选择自己需要的徽标图片,其中静态徽标位图是指IE在脱机情况下所显示的徽标,动画徽标则是
连接到Internet时的动画徽标,这时我们可以根据需要选择合适的徽标,注意我们在选择徽标时需要
选择一个大徽标和一个小徽标,其中大徽标大小为38×38像素,小徽标为22×22像素,选择好后
点击“OK”即可完成。
5.修改IE的“Internet选项”
如果你和别人共有一台电脑,当你对IE进行了必要的设置后,不想让他人进行修改,可以通过
组策略将Internet选项中的各项屏蔽掉。首先依次展开“用户配置→管理模板→Windows组建→
Internet Explorer→Internet控制模板”分支,此时在右窗口中出现禁用Internet选项的所有标签项策
略。如果要屏蔽某一标签项,如常规标签项,在此双击“禁用常规标签项”策略,然后在弹出的对
话框中点选“已启用”选项即可将其屏蔽,以后我们需使用各项功能时点选“未配置”项即可将其
进行恢复。
6.禁止定期检查Internet Explorer软件更新
IE默认每隔30天检查一次是否有新版本,如果有则向用户发出通知,并提示进行版本更新,这
样一来往往会泄漏我们计算机中的一些重要数据,造成不必要的损失。为了防止IE自动检查是否有
新版本以及在有新版本时通知用户,我们可以在组策略中将其关闭。方法是在控制台窗口中依次展
开“计算机配置→管理模板→Windwos组件→Internet Explorer”分支,然后双击“禁止定期检查Internet
Explorer软件更新”策略,在出现的对话中单击“已启用”选项即可。
网络安全设置
ticode安全设置
Authenticode安全策略可使证书颁发机构控制用户从网站上下载的内容,例如ActiveX控件和
Java小程序。站点颁发机构是用于Internet站点数字证书的一种形式,基于Authenticode技术,它可
显示程序的来源并验证它们是否被更新。设置时首先在控制台窗口中依次展开“用户配置→Windows
设置→Internet Explorer维护→安全”分支,在右窗口中双击“Authenticode设置”策略,“Authenticode
安全性”中共有两个单选项,如果不希望自定义Authenticode安全信息,可以单击“不要自定义
Authenticode安全”项。如果想修改用于用户计算机的设置,单击“导入当前的发证机构信息”,然
后单击“修改设置”,在弹出的“证书”对话框中单击下面的“高级”按钮会弹出一个“高级选项”,
并在下面勾选需要Authenticode控制的项目。在下面的“导出格式”中选择好需要导出的证书格式,
单击确定返回上一界面,如果我们以前有导出证书列表,在此我们也可以单击该界面中的“导入”
按钮,按照提示将列表导入即可,以后我们就可以使用“证书管理器”查看并管理证书颁发机构信
息。
2.安全区域和内容的分级管理:
管理Internet Explorer的安全区域和内容分级来防止用户查看不合适的内容,内容分级控制了计
算机可在Internet上访问的内容类型。
设置“安全区域和内容的分级管理”时首先在控制台窗口中依次展开“用户配置→Windows设
置→Internet Explorer维护→安全”分支,在右窗口中双击“安全区域和内容分级”策略,其中有“安
全区域和隐私”、“内容分级”两个设置项目,在“安全区域和隐私”中的“不自定义安全区域”项
表示略过为每个安全区域自定义设置,“导入当前安全区域设置”项表示可以为用户更改安全设置项
目,使用时单击右侧的“修改设置”按钮,在弹出的Internet属性中对安全和隐私各项进行设置。在
下面的“内容分级”中“不自定义安全区域”项表示略过为每个安全区域自定义设置,如果选中“导
入当前安全区域设置”选项,单击右侧的“修改设置”按钮,在弹出的“内容审查程序”对话框中
对Internet访问的内容进行分级设置,其中包括暴力、裸体、性、语言4个级别,在此我们可以根据
需要进行点选。
3.禁止在DNS域网络上使用Internet连接防火墙
Internet连接防火墙是一种全状态的分组筛选器,此分组筛选器可使家庭用户和小型办公室用户
免于Internet网络的安全威胁。此策略确定用户是否可在连接时启用防火墙及防火墙服务是否可在计
算机上正常运行。依次展开“计算机配置→管理模板→网络→网络连接”分支,这时在右侧窗口中
双击“禁止在DNS域网络上使用Internet连接防火墙”策略。其中有3个选项,如果启用此设置,
用户(包括管理员)就可启用或配置防火墙,并且防火墙服务不能在计算机上运行,通过“高级”
选项卡启用防火墙的选项就会被删除。另外将不会为通过“进行新连接向导”创建的远程访问连接
启用防火墙,并禁用“网络安装向导”。如果禁用或不配置此设置,创建LAN连接或VPN连接时就
禁用防火墙,但用户可使用连接属性中的“高级”选项卡启用此设置。默认为启用Internet连接防火
墙,另外通过“进行新连接向导”创建的远程访问连接也将启用防火墙。建议选择“禁用或不配置”
选项。
局域网网络维护及远程协助
1.禁止用户更改局域网(LAN)中的连接属性
作为一个网络管理员,将网络中的连接属性设好后,不希望用户对其进行更改,在此我们可以
从组策略中对其进行设置。首先在组策略中依次展开“用户配置→管理模板→网络→网络连接”分
支,在右窗口中双击“禁止访问LAN连接属性”策略,此设置确定是否启用“属性”菜单项以及“局
域连接属性”对话框是否对用户可选用。双击“禁止访问LAN连接属性”策略,在弹出的对话框中
共有3个选项,其中“已启用”项表示用户将不可使用LAN连接属性对话框内的任何功能,所有用
户禁用“属性”菜单,并且不能打开“局域连接属性”对话框。如果禁用或不配置此设置,右键单
击代表LAN连接的图标时就会出现“属性”菜单项,同样,当用户选择此连接时,就会启用“文件”
菜单上的“属性”。
2.删除所有用户远程访问连接
在局域网中的所有用户可以创建远程访问连接通过局域网实现远程访问,可是这样给局域网的
管理带来很大麻烦,其实我们可以在组策略中禁止用户使用远程访问连接。首先在组策略中依次展
开“用户配置→管理模板→网络→网络连接”分支,在右窗口中双击“删除所有用户远程访问连接”
策略,在弹出的对话框中我们可以对其进行设置。如果启用此设置,所有用户可删除共享远程访问
连接,如果禁用此设置,将无法删除所有用户的远程访问连接;如果不配置此设置,则只有管理员
和网络配置操作员才可以删除所有用户的远程访问连接。在此我们可以根据需要进行选择。
3.禁止添加/删除局域网连接或远程访问连接的网络组件
此项策略可以确定管理员是否可以添加和删除用于LAN连接或远程访问连接的网络组件,此设
置并不会对一般用户产生影响。使用此项设置时首先在组策略中依次展开“用户配置→管理模板→
网络→网络连接”分支,在右窗口中双击“禁止添加/删除局域网连接或远程访问连接的网络组件”
策略,弹出该策略设置对话框。
如果启用此设置,就会禁用用于连接组件的“安装”和“卸载”按钮,并且不允许管理员访问
“Windows组件向导”中的网络组件,即不能安装或卸载网络组件。如果禁用或不配置此设置,就
会启用用于“网络连接”文件夹中连接组件的“安装”和“卸载”按钮,同样管理员也可访问“Windows
组件向导”中的网络组件。在此我们可以根据需要进行选择。
4.请求远程协助
在用户不使用频道、电子邮件、Instant Messenger等明确请求的情况下,使用此设置决定支持人
员或IT管理员(下文称之为“专家”)能否为此计算机提供远程协助。若启用此设置,即启用请求
的远程协助,用户可以请求帮助,专家可以与其计算机连接。注意,发送一个帮助的请求并没有授
予专家与你的计算机连接或控制的权限。当专家尝试连接时,用户仍然有机会接受或拒绝连接(只
授予专家查看用户桌面的权利)。启用这些设置时首先在组策略中依次展开“计算机配置→管理模板
→远程协助”分支,在右窗口中双击“请求的远程协助”策略,弹出该策略设置对话框选择“已启
用”选项,这时下面的各选项已被激活。其中“允许远程控制此计算机”表示允许选择专家是否能
够远程控制此计算机,或只让专家远程查看用户的桌面。“最长票证时间”这个设置控制用户有效请
求帮助的最长时间,在此我们可以根据需要进行填写。
设置好“请求的远程协助”还需要对“提供远程协助”项进行设置,在组策略中依次展开“计算机
配置→管理模板→远程协助”分支,在右窗口中双击“提供远程协助”策略。使用此设置,专家可
以向你的计算机提供远程协助,在弹出的对话框中选择“已启用”选项,在下面的“允许远程控制
此计算机”项中我们可以选择好专家控制计算机的方式。单击“显示”,这将打开一个可以输入帮助
者名称的新窗口,一个个地添加或组。当输入帮助者用户或用户组群时,使用下列格式:
怎么样,通过对组策略的各项修改现在计算机的网络设置是不是增强了许多?在以后的操作中我们
如果能充分用好组策略可极大满足用户对网络各项设置的需要。
发布评论