2023年11月30日发(作者:)
组策略
组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模
板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设
置程序的工具。微软自Windows NT 4.0开始便采用了组策略这一机制,经过
Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows
的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。
平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对
此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进
而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。
组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一
样非常高,而条理性、可操作性则比注册表强。
本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略
主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都
将保存到注册表的相关项目中。其中计算机配置保存到注册表的
HKEY_LOCAL_MACHINE子树中,用户配置保存到HKEY_CURRENT_USER。
一、访问组策略
有两种方法可以访问组策略:一是通过命令直接进入组策略窗口;
二是打开控制台,将组策略添加进去。
1. 输入命令访问
选择“开始”→“运行”,在弹出窗口中输入“”,回车后进入组策略窗口(图
1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配
置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows
设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗
口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算
机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改
哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设
置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用
户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在
“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,
附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,
因此也是本文的重中之重。
2. 通过控制台访问组策略
单击“开始”→“运行”,输入“mmc”,回车后进入控制台窗口。单击控制台窗口的“文
件”→“添加/删除管理单元”,在弹出窗口单击“添加”(图2),之后选择“组策略”
并单击“添加”(图3),在下一步的“选择组策略对象”对话框中选择对象。由于
我们组策略对象就是“本地计算机”,因此不用更改,如果是网络上的另一台计算
机,那么单击“浏览”选择此计算机即可。另外,如果你希望保存组策略控制台,
并希望能够选择通过命令行在控制台中打开组策略对象,请选中“当从命令行开
始时,允许更改„组策略管理单元‟的焦点”复选框(图4)。最后添加进来的组策
略如图5所示。
二、任务栏和“开始”菜单项目设置
本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目。
依次展开“用户配置”→“管理模板”→“任务栏和„开始‟菜单”,在右边窗口便能看到
“任务栏和„开始‟菜单”节点下的具体设置,其状态都处在“未被配置”(图6)。
1. 给“开始”菜单减肥
Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。以
删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击
“从„开始‟菜单上删除„我的文档‟图标”项,在弹出对话框的“设置”标签中点选“已启
用”,然后单击“确定”(图7),这样在“开始”菜单中“我的文档”图标将会隐藏。
2. 防止隐私泄漏
在开始菜单中有一个“我最近的文档”菜单项,别人可通过此菜单访问你最近打开
的文档,为安全起见,可删除此菜单项,并设置不保存最近打开的文档记录。双
击“不要保留最近打开文档的记录”、“退出时清除最近打开的文档记录”、“从„开始‟
菜单上删除„文档‟菜单”3项,在弹出对话框中点选“已启动”并确定即可。
3. 禁止随意修改任务栏和“开始”菜单
为保护自己好不容易设置好的任务栏和“开始”菜单,可双击启用下列各设置。
“阻止更改„任务栏和„开始‟菜单 ‟设置”:即从“开始”菜单的“设置”菜单项中删除“任
务栏和„开始‟菜单”项目,这个设置也可阻止用户打开“任务栏属性”对话框。“阻止
访问任务栏的上下文菜单”(上下文菜单即单击右键弹出的快捷菜单):当鼠标
右键单击任务栏及任务栏上项目时隐藏菜单,例如“开始”按钮、时钟和任务栏按
钮,但不能禁止用户在其他地方更改。“锁定任务栏”:启用此设置,可阻止用户
移动任务栏或调整任务栏的大小,但自动隐藏和其他任务栏选项仍然在“任务栏
属性”中可用。
4. 去掉Windows XP“开始”菜单中的图形化设置
Windows XP的“开始”菜单增添了许多图形化设置,其实可在组策略中将这些功
能关闭。
“关闭个性化菜单”:Windows XP会自动将最近使用的菜单项移动到开始菜单顶
部,并且隐藏最近没有使用的菜单项,以此实现个性化菜单,启用此设置将关闭
个性化菜单。“强制典型菜单”:启用此设置,开始菜单就以Windows 2000样式
显示典型的开始菜单,并且显示标准桌面图标。
5. 禁止“注销”和“关机”
进行三维动画设计和视频处理的朋友经常会为导出一个大型动画、视频文件而花
几个小时,这时如果有人重新启动电脑或注销用户,那么前面所做的工作就会白
白浪费,因此有必要禁止“开始”菜单中的“注销”、“关机”菜单项。你只需双击启用
“删除„开始‟菜单上的„注销‟”和“删除和阻止访问„关机‟命令”两项即可。后一设置不
仅将从“开始”菜单中删除“关闭计算机”项,而且还会禁用“Windows 任务管理器”
对话框中的“关机”选项(图8)。
三、桌面项目设置
在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有
关桌面的所有设置(图9)。此节点主要作用在于管理用户使用桌面的权利和隐
藏桌面图标。
1. 隐藏不必要的桌面图标
桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收
站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,
只需在“删除桌面上的„我的文档‟图标”一项中设置即可。
2. 禁止对桌面的改动
利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改„我的文档‟
路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任
务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保
存设置”后,用户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上
的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定
义的所有项目,连桌面右键菜单都将被禁止。
3. 启用或禁止活动桌面
利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活
动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用
户的桌面上显示的桌面墙纸(图10)。而启用“不允许更改”项便可防止用户更改
活动桌面配置。
四、隐藏或禁止控制面板项目
这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏
或禁止控制面板项目。在组策略左边窗口依次展开“用户配置”→“管理模板”→“控
制面板”项,便可看到“控制面板”节点下面的所有设置和子节点(图11)。
1. 隐藏或禁止“添加/删除程序”项
展开“添加/删除程序”项:双击启用“删除„添加/删除程序‟程序”设置项后,控制面
板中的“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3个
页面:“更改或删除程序”、“添加新程序”以及“添加/删除Windows组件”;而当你
进入“添加新程序”页面时,会发现有3个选项:“从CD-ROM或软盘添加程序”、
“从 Microsoft添加程序”以及“从网络中添加程序”(图12),如果你想这些具体
页面或选项隐藏,可直接在组策略“添加/删除程序”项中将相应隐藏功能启用。
2. 隐藏或禁止“显示”项
展开“显示”项,发现这一项和上一项一样,可隐藏“显示属性”对话框中的选项卡。
这里就不细讲了,例如双击启用“隐藏„桌面‟选项卡”后,“显示窗口”中将不再出现
“桌面”项(图13)。此外,在这里用户还可启用“删除控制面板中的„显示‟”,这
样在控制面板中双击打开“显示”项时,就会弹出一个对话框提示你:系统管理员
禁止使用“显示”控制面板(图14)。
3. 其他
依次展开“显示”→“桌面主题”项,双击启用“删除主题选项”、“阻止选择窗口和按
钮式样”、“禁止选择字体大小”项后,可阻止他人更改主题、窗口和按钮式样、字
体。展开“打印机”项,双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的
用户添加或删除打印机。最后,直接在“控制面板”一项下启用“禁止访问控制面
板”,控制面板将无法启动。
五、系统项目设置
这一项在“用户配置”→“管理模板”→“系统”中设置(图15)。组策略中对系统的
设置涉及到登录、电源管理、组策略、脚本等很多项目,下面把和我们联系紧密
的部分清理出来分类列举如下:
1. 登录时不显示欢迎屏幕界面
Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮
但也麻烦且延长登录时间,通过组策略便可将其除去。双击启用“系统”节点下的
“登录时不显示欢迎屏幕”,则每次用户登录时欢迎屏幕将隐藏。
2. 禁用注册表编辑器
为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。双击启用“系统”
节点下的“阻止访问注册表编辑器”项后,用户试图启动注册表编辑器时,系统将
提示:注册编辑已被管理员停用(图16)。另外,如果你的注册表编辑器被锁
死,也可双击此设置,在弹出对话框的“设置”标签中点选“未被配置”项,这样你
的注册表便解锁了。如果要防止用户使用其他注册表编辑工具打开注册表,请双
击启用“只运行许可的Windows应用程序”。
3. 关闭系统自动播放功能
一旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用
程序。这样虽然给我们的工作带来了便利,在某些时候也带来了不少麻烦。在“系
统”节点下有一项为“关闭自动播放”设置项,双击其并在弹出对话框的“设置”标签
中点选“已启用”,在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”
项即可(图17)。
注意:此设置不阻止自动播放音乐CD。
4. 关闭Windows自动更新
每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根
据配置的具体情况,在下载的组件准备好安装时或在下载之前,给用户以提示。
如果你不喜欢比尔老大这种自作主张的态度,可通过组策略关闭这一功能。只须
双击“系统”节点下的“Windows自动更新”设置项,在弹出来的对话框中点选“已禁
用”并确定即可。
5. Ctrl+Alt+Del选项
若Windows XP用户已取消“使用欢迎屏幕”项,若同时按下“Ctrl+Alt+Del”键,便
会弹出一个“Windows安全”对话框,此对话框中有“锁定计算机”、“注销”、“关机”、
“更改密码”、“任务管理器”、“取消”6个功能按钮(图18)。大家都知道这里的
每个按钮对系统都起着关键的作用。为了阻止别人操作,可通过组策略屏蔽这些
按钮。
找到“系统”下的“Ctrl+Alt+Del选项”,双击启用“删除任务管理器”、“删除„锁定计
算机‟”、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“任
务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。
注意:“注销”、“关机”两个菜单项的屏蔽,在“用户配置”→“管理模板”→“任务栏和
„开始‟菜单”节点下。
六、隐藏或删除Windows XP资源管理器中的项目
一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地
管理资源也一直是电脑用户的不懈追求。依次展开“用户配置”→“管理模
板”→“Windows组件”→“Windows资源管理器”项,可以看到“Windows资源管理
器”节点下的所有设置(图19)。下面就来看看怎样通过组策略实现资源管理器
个性化。
1. 删除“文件夹选项”
“文件夹选项”是资源管理器中一个重要的菜单项,通过它可修改文件的查看方
式,编辑文件类型的打开方式(图20)。我们自己对其设定好后,为了防止他
人随意更改,可将此菜单项删除,你只须双击启用“从„工具‟菜单删除„文件夹选项‟
菜单”便能完成这一设置。
2. 隐藏“管理”菜单项
在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项,通
过此菜单项,可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、
“磁盘管理”等众多工具的“计算机管理”窗口(图21)。为了保障你的计算机免受
他人无意破坏,可通过双击启用“隐藏Windows资源管理器上下文菜单上的„管
理‟项目”项来屏蔽此菜单项。
3. 其他项目的隐藏
此外通过启用“隐藏„我的电脑‟中的这些指定的驱动器”可隐藏你指定的驱动器
(图22)。还可通过启用“„网上邻居‟中不含„整个网络‟”屏蔽掉“整个网络”项。双
击启用“删除CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不
要将已删除的文件移到„回收站‟”则以后删除文件时将不进入回收站直接删除掉。
当然还有不少项目这里没有讲到,大家可根据需要自行探讨,进行适当的配置。
七、IE浏览器项目设置
在组策略左边窗口中依次展开“用户配置”→“管理模板”→“Windows组
件”→“Internet Explorer”项,在右边窗口中便能看到“Internet Explorer”节点下的
所有设置和子节点(图23)。IE是Windows XP自带的网页浏览器,也是大多
数用户采用的浏览器,但其安全性也为人所诟病,下面就通过组策略来对其进行
“改造”。
1. 在IE工具栏添加快捷方式
不知道大家注意到了没有,不少软件在安装完之后都会在IE工具栏上添加图标,
单击其便能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快
捷方式,这里举例说明如何添加一个ICQ的启动图标。展开“Internet Explorer
维护”下的“浏览器用户界面”,双击“浏览器工具栏自定义”设置项,在弹出来的对
话框中单击“添加”按钮,在“浏览器工具栏按钮信息”对话框的“工具栏标题”中输
入:ICQ,在“工具栏操作”中输入D:,然后再随便选择
一个“颜色图标”和“灰度图标”(图24,当然你也可以用ExeScope等来提取ICQ
的图标)。单击“确定”后IE工具栏中便多了一个ICQ图标!
2. 让IE插件不再骚扰你
我们平常上网浏览网页时,总会弹出一些诸如“是否安装Flash插件”、“是否安装
3721网络实名”的提示,就像广告窗口一样烦人。实际上我们可在组策略中通过
启用“Internet Explorer”节点下的“禁用Internet Explorer组件的自动安装”来禁止
这种提示的出现。不过有时这一功能也是很用的,所以在禁止此功能之前请稍加
考虑。
3. 保护好你的个人隐私
一般通过单击IE工具栏上的“历史”按钮,便可了解以前浏览过的网页和文件。
为保密起见,你可以通过双击启用“Internet Explorer”节点下的“不要保留最近打
开文档的记录”和“退出时清除最近打开的文档记录”两个设置项,这样再单击IE
工具栏上的“历史”按钮,你访问过的历史网页记录将全部消失。
4. 禁止项
如果不希望他人对你的主页进行修改,可启用“Internet Explorer”节点下的“禁用
更改主页设置”设置项禁止别人更改你的主页(图25)。你也可通过访问“浏览器
菜单”,启用其中的设置项对IE浏览器的若干菜单项进行屏蔽。最后,在“Internet
控制面板”节点下,你还可对“Internet选项”对话框中的部分选项卡进行隐藏(图
26)。
八、系统安全设置
自有计算机以来,安全一直就是人们关注的焦点问题,Windows XP也不例外。
在组策略中,系统安全配置一般在“计算机配置”→“Windows设置”→“安全设置”
中进行。
1. 密码策略
这一策略在“账户策略”→“密码策略”节点中配置(图27)。口令是系统安全的一
大隐患,可通过组策略设置密码(口令)的最小长度:双击启用“密码必须符合
复杂性要求”设置项,确定后双击“密码长度最小值”设置项,在弹出来的对话框中
将密码长度最小值设为8或更大,这样以后设置账户密码时就必须输入8位以
上,安全性就高多了。
2. 用户权利指派
展开“本地策略”→“用户权利指派”节点,在右边窗口中便能看到“用户权利指派”
节点下的所有设置(图28)。合适地指派用户权利可以解决一些奇怪的问题,
例如在局域网中使用Windows XP系统的朋友一般会发现一个奇怪的现象,那
就是即使你启用guest用户并给予权限,局域网中的其他Win9X操作系统的用
户还是无法访问Windows XP系统中的共享资源。这个问题可在组策略中通过
修改有关设置解决:双击“用户权利指派”节点下的“拒绝从网络访问这台计算机”
设置项,在弹出对话框中点选“guest”,然后单击“删除”,最后确定即可(图29)。
在“用户权利指派”节点下还可给用户添加许多权限,例如给guest添加远程关机
权限、给一般用户添加更改系统时间的权限,限于篇幅,在此不再赘述
对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是
自己手工修改注册表来实现。其实Windows
XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们
所需要的功能。
一、组策略基础
1.什么是组策略
注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着
Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以
自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像
是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供
用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了
更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修
改注册表方便、灵活,功能也更加强大。
2.组策略的版本
对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是
系统策略的高级扩展,它是自Windows
9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更
多的功能,目前主要应用于Windows
2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是
)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略
编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进
行设置。
而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows
2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不
可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某
个Active
Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系
统策略编辑器”工具无法做到的。
当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相
应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变
化和扩展而已。
3.在Windows
XP中运行组策略
在Windows
2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单
击“运行”选项,在打开的对话框中输入“”并确定,即可运行组策略。
如图1所示。
使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的
计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开:
(1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入
“MMC”并确定)。
(2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”
按钮。
(3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按
钮。
(4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,
或通过单击“浏览”查找所需的组策略对象。
(5)单击“完成”按钮,组策略管理单元即打开要编辑的组策略对象。
(6)在左窗格中定位需要更改的选项的位置,在右窗格中右键单击需要更改的
具体选项,单击“属性”命令,即可打开其属性对话框,从中选择“已启用”、“未配
置”、“已禁用”选项即可对计算机策略进行管理。
4.组策略中的管理模板
在Windows
2000/XP/2003中包含几个ADM文件。这些文件是文本文件,被称为“管理模板”,
它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。
在Windows
2000/XP/2003中,默认的管理模板位于系统文件夹的INF文件夹
中,包含了默认安装下的4个模板文件,分别为:
(1):默认安装在“组策略”中,用于系统设置。
(2):默认安装在“组策略”中,用于Internet
Explorer(IE)策略设置。
(3):用于Windows Media
Player设置。
(4):用于NetMeeting设置。
在策略管理控制台中,可以多次添加“策略模板”,下面让我们来看看具体操作:
首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模
板”,单击鼠标右键,选择“添加/删除模板”命令,然后在打开的对话框中单击“添
加”按钮,在打开的对话框中选择相应的ADM文件。单击“打开”按钮,则在系统
策略编辑器中打开选定的脚本文件,并等待用户执行。
返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→
管理模板”选项,再单击相应的目录树,就会看到我们新添加的管理模板所产生
的配置项目了。
注意:下面的操作均在Windows
XP中进行。
二、个性化我的电脑
1.删除“开始”菜单中的“文档”菜单项
在多人使用的计算机中,有的用户不希望其他用户看到自己曾经编辑过的文档
或其他信息。因此,为了删除用于记录历史文档的“文档”菜单项,我们可以通过
修改组策略来实现。
位置:用户配置管理模板任务栏和“开始”菜单
启用此设置,则系统保存“文档”快捷方式,但不在“文档”菜单中显示它们。如
果以后禁用此设置或把它设置为未配置,则启用设置之前及其生效之时保存的
“文档”快捷方式会出现在“文档”菜单项中。如图2所示。
注意:此设置不会阻止Windows程序在最近打开的文档中显示快捷方式。
另外,你也可以设置在退出系统时自动清除最近打开的文档的历史记录。
位置:用户配置管理模板任务栏和“开始”菜单
如果禁用该策略设置,系统就会在用户退出时删除快捷方式。因此,用户登录
时,“开始”菜单上的文档菜单总是空的。如果禁用或不配置此设置,系统将保留
文档快捷方式,并且用户登录时的文档菜单看起来与用户退出系统时完全相同。
注意:系统在Documents
and
SettingsRecent文件夹中的用户配置文件中保存文档快捷方式。
2.删除“开始”菜单中的“运行”菜单项
在“开始”菜单中有“运行”菜单项,可以输入程序名称来启动程序。我们可以将
“运行”菜单项从“开始”菜单中删除。
位置:用户配置管理模板任务栏和“开始”菜单
如果启用该设置,发生如下更改:
(1)“运行”命令从“开始”菜单中删除。
(2)新建任务(运行)命令从任务管理器删除。
(3)阻止用户在IE地址栏中输入下列项:
UNC路径:<server><share>。
访问本地驱动器:例如,C:。
访问本地文件夹:例如,temp>。
同时,使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设
置,用户可以访问“开始”菜单和任务管理器的“运行”命令,以及使用IE地址栏。
注意:这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。
3.给“开始”菜单减肥
如果觉得Windows的“开始”菜单太臃肿,你完全可以通过组策略设置将不需
要的菜单项从“开始”菜单中删除。
位置:用户配置管理模板任务栏和“开始”菜单
在组策略右侧窗格中,提供“从„开始‟菜单删除用户文件夹”、“删除到„Windows
Update‟的访问和链接”、从„开始‟菜单删除公用程序组、从„开始‟菜单中删除“我的
文档”图标等配置项目。你只要将不需要的菜单项所对应的策略启用即可。
4.隐藏和禁用桌面上的所有项目
该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目。
位置:用户配置管理模板桌面
该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和
快捷方式所代表的项目。
5.退出时不保存用户设置
该策略用于防止用户保存对桌面的某些更改。
位置:用户配置管理模板桌面
如果你启用这个设置,用户可以对桌面做某些更改,但有些更改,比如图标和
打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
6.启用/禁用“活动桌面”(Active
Desktop)
活动桌面是Windows 98(及以后版本)或安装了IE
4.0的系统中自带的高级功能,它最大的特点是可以设置各种图片格式的墙纸,
甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁
用这一功能(并且防止用户启用它)。
位置:用户配置管理模板桌面Active
Desktop
提示:如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置,
“禁用Active
Desktop”设置会被忽略。如果“禁用Active Desktop和Web视图”设置(在“用户配
置管理模板Windows组件Windows资源管理器”)被启用,Active
Desktop就会被禁用,并且这两个策略都会被忽略。
7.从“我的电脑”中删除共享文档
当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管
理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用
此设置,你可选择不显示这些项目。
位置:用户配置管理模板Windows组件Windows资源管理器
如果启用此设置,“共享文档”文件夹将不会以Web视图方式显示或在“我的电
脑”中出现。如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文
档”文件夹将会以Web视图方式显示或在“我的电脑”中出现。
8.不要将已删除的文件移到“回收站”
当Windows资源管理器中的一个文件或文件夹被删除时,该文件或文件夹的
副本会被放在“回收站”里。使用此策略,你能改变此行为。
位置:用户配置管理模板Windows组件Windows资源管理器
如果启用此设置,使用Windows资源管理器删除的文件或文件夹不会被放在
“回收站”里,因此被永久删除。如果禁用或不配置此设置,使用Windows资源
管理器删除的文件或文件夹会被放在“回收站”里。
三、利用组策略进行系统设置
1.登录时不显示欢迎屏幕
为了加快计算机启动的速度,我们完全可以通过组策略设置在每次用户登录时
将Windows
XP欢迎屏幕隐藏。
位置:用户配置管理模板系统
要显示欢迎屏幕,请依次单击“开始→程序→附件→系统工具”选项,然后单击
“开始”选项。要在不指定设置的情况下不显示欢迎屏幕,请在欢迎屏幕上的复选
框中清除“在开始显示这个屏幕”选项。
注意:这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设
置,“计算机配置”中的设置比“用户配置”中的设置优先。
2.配置驱动程序查找位置
默认情况下,Windows将从本地安装、软盘驱动器、光盘驱动器、Windows
Update等位置搜索驱动程序。此设置配置查找到新硬件时Windows将要搜索驱
动程序的位置。
位置:用户配置管理模板系统
如果启用此设置,你可以通过检查位置名称的相关复选框,删除这三个位置中
的任何位置。如果禁用或不配置此设置,Windows将从本地安装、软盘驱动器、
光盘驱动器和Windows
Update等位置中搜索驱动程序。
3.关闭自动播放
一旦你将媒体插入驱动器,自动运行就开始从驱动器中读取。这会造成程序的
设置文件和在音频媒体上的音乐立即开始。该策略将关闭自动运行功能。
位置:用户配置管理模板系统
如果你启动这项设置,你还可以在CD-ROM驱动器禁用自动运行或在所有驱
动器上禁用自动运行。
注意:这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设
置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。
另外,此设置不阻止自动播放音乐
CD。
4.只运行许可的Windows应用程序
该策略可以限制用户可以运行的Windows程序。
位置:用户配置管理模板系统
如果你启用这个设置,用户只能运行你加入“允许运行的应用程序列表”中的程
序。
这个设置只能防止用户从Windows资源管理器启动程序。无法防止用户用其
他方式启动程序,例如任务管理器。如果用户可以访问命令提示符窗口,这个设
置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序。
注意:要创建允许的文件列表,请单击“显示”按钮,在打开的对话框中单击“添
加”按钮,然后输入应用程序的执行文件名称(例如,、、
)。如图3所示。
5.删除任务管理器
当我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框。任
务管理器可以让用户启动或终止程序、监视计算机性能、查看及监视计算机上所
有运行中的程序(包含系统服务)、搜索程序的执行文件名、更改程序运行的优先
顺序。在这里,我们可以通过组策略删除任务管理器。
位置:用户配置管理模板系统Ctrl+Alt+Del选项
如果该设置被启用,并且用户试图启动任务管理器,系统会显示消息,解释是
一个策略禁止了这个操作。
6.删除改变“密码”选项
该策略可以防止用户通过任务管理器更改系统密码。
位置:用户配置管理模板系统Ctrl+Alt+Del选项
这个设置停用Windows安全设置对话框上的“更改密码”按钮。但是,用户在
得到系统提示时依旧可以更改密码。管理员要求新密码和密码作废时,系统会提
示用户输入新密码。
7.不允许运行Windows
Messenger
Windows XP自带有聊天工具Windows Messenger,但是,我们也有可能在
系统中安装MSN
Messenger。该策略允许你禁用Windows Messenger。
位置:用户配置管理模板Windows组件Windows Messenger
如果启用该策略,Windows
Messenger将不会运行。如果禁止或不配置该策略,Windows
Messenger可以被使用。
注意:如果启用这个策略,远程协助无法使用Windows
Messenger。另外,这个策略也会出现在“计算机配置”中。如果两个设置都配置,
“计算机配置”中的设置比“用户配置”中的设置优先。
8.关闭系统还原功能
系统还原是Windows
XP/2003中集成的强大功能,它在系统运行的同时,备份被更改的文件和数据,
如果出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将计算机
还原到以前的状态。默认情况下,系统还原处于打开状态。
但这一功能付出的代价也是相当大的,系统性能会明显下降,磁盘空间也会被
占用很多。对于配置不高的计算机来说,强烈建议关闭此功能。
位置:计算机配置管理模板系统系统还原关闭系统还原
启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界
面”。
四、利用组策略调整上网设置
1.禁用导入和导出收藏夹
禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。
位置:用户配置管理模板Windows组件Internet
Explorer
如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和
Cookie。如果禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上
的“导入和导出”菜单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹。
注意:如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完
成”按钮时,将出现说明该功能已被禁用的提示信息。
2.禁用更改“高级”选项卡的设置
禁止用户更改“Internet
选项”对话框中“高级”选项卡上的设置。
位置:用户配置管理模板Windows组件Internet
Explorer
如果启用该策略,则用户无法更改高级Internet设置,如安全、多媒体和打印。
用户无法选中“高级”选项卡上的复选框,也不能清除这些复选框的复选标记。如
果禁用该策略或不对其进行配置,则用户可以选择或清除“高级”选项卡上的设
置。
如果设置了位于用户配置管理模板Windows组件Internet
ExplorerInternet控制面板中的“禁用高级页”策略,则无需设置该策略,因为“禁
用高级页”策略将删除界面上的“高级”选项卡。
3.对拨号连接使用“自动检测”属性
自动检测在浏览器第一次启动时使用
DHCP(动态主机配置协议)或DNS服务器来自定义浏览器。该策略指定自动检
测用于用户的拨号设置的配置。
位置:用户配置管理模板Windows组件Internet
Explorer
如果启用该设置,自动检测将配置用户的拨号设置。如果禁用该配置或不配置,
自动检测不会配置用户的拨号设置,除非用户指定。
4.禁用Internet连接向导
禁止用户运行Internet连接向导。
位置:用户配置管理模板Windows组件Internet
Explorer
如果启用该策略,“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将
变灰。用户也无法通过单击桌面上的“连接到Internet”图标或单击“开始→程序→
附件→通讯”,然后单击“Internet连接向导”运行Internet连接向导。如果禁用该
策略或不对其进行配置,则用户可以通过运行Internet连接向导,更改连接设置。
注意:该策略与位于\用户配置\管理模板\Windows
组件\Internet
Explorer\Internet控制面板中的“禁用连接页”策略有相似之处,后者将删除界面
上的“连接”选项卡。从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”
菜单中运行Internet连接向导。
5.禁用表单的自动完成功能
禁止IE自动完成表单,如填写用户以前在网页中输入过的姓名或密码。
位置:用户配置管理模板Windows组件Internet
Explorer
如果启用该策略,“表单”复选框将变灰。单击“Internet选项”对话框中“内容”选
项卡上的“自动完成”按钮,即可出现“表单”复选框。如果禁用该策略或不对其进
行配置,则用户可以启用表单的自动完成功能。
位于用户配置管理模板Windows组件Internet
ExplorerInternet控制面板中的“禁用内容页”策略的优先级高于该策略。如果启
用了“禁用内容页”策略,该策略将被忽略,因为“禁用内容页”策略将删除“控制面
板”中“Internet
Explorer属性”对话框中的“内容”选项卡。
注意:如果用户已开始使用启用了表单自动完成功能的浏览器后,再启用该策
略,则不会清除用户已经使用表单自动完成功能在表单中所填写的内容。
6.配置媒体浏览栏属性
媒体浏览器栏播放来自Internet的音乐和视频内容,该策略允许管理员启用和
禁用媒体浏览器栏和设置默认自动播放。
位置:用户配置管理模板Windows组件Internet
Explorer
如果禁用媒体浏览器栏,用户无法显示媒体浏览器栏。自动播放功能也被禁用。
当用户在IE中单击一个链接,系统中的默认媒体客户端将播放内容。如果启用
媒体浏览器栏或不配置,用户可以显示和隐藏媒体浏览器栏。
管理员也可以打开和关闭自动播放功能。该设置只在媒体浏览器栏启用时应
用。如果选择,媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容。
如果不选择,系统上的默认媒体客户端将播放内容。
7.禁用右键快捷菜单
禁止在用户使用IE过程中单击鼠标右键时出现快捷菜单。
位置:用户配置管理模板Windows组件Internet
Explorer浏览器菜单
如果启用该策略,在用户指向网页,然后单击鼠标右键时将不出现快捷菜单。
如果禁用该策略或不对其进行配置,则用户可以使用快捷菜单。
8.自定义IE标题栏
我们可以利用组策略自定义出现在IE和OE标题栏中的文本。无论软件包中
是否有OE或者用户计算机上已经安装了OE,都将更新OE标题栏。
位置:用户配置管理模板Windows设置Internet
Explorer维护浏览器用户界面浏览器标题
请在打开的对话框中选中“自定义标题栏”选项,然后在“标题栏文本”框中键入
希望的文本。
注意:在选择某个位图时,要确保颜色与文本的对比度。这为用户确保了更高
程度的可读性。
9.自定义IE工具按钮
我们可以利用该策略个性化出现在IE中的工具栏,给你一定的灵活性和设计
机会。可以使用的元素包括用于标准工具栏按钮(例如“搜索”和“历史”)的工具栏背
景和图标外观。
位置:\用户配置\管理模板\Windows设置\Internet
Explorer维护\浏览器用户界面\浏览器工具栏自定义
在打开的对话框中单击“添加”按钮,然后在打开的对话框中在“工具栏标题(必
需)”框中,键入用户鼠标悬停在工具栏按钮上时出现的文本。必须指定该按钮的
标题或标签。建议的最大长度是10个字符。
在“工具栏操作(作为脚本文件或可执行文件,必需)”框中,键入脚本文件或可
执行文件的名称,或者单击“浏览”按钮查找文件。必须指定用户单击工具栏按钮
时运行的脚本文件或可执行文件。
在“工具栏颜色图标(必需)”框中,键入表示按钮为活动状态的文件的名称,或
者单击“浏览”按钮查找该文件。必须指定出现在工具栏上的按钮的彩色图标。图
标由活动和非活动状态的20×20像素的图像组成。
在“工具栏灰度图标(必需)”框中,键入出现在黑白监视器上的工具栏的灰度图
标文件名和位置,或者单击“浏览”按钮查找文件。必须指定显示在工具栏上按钮
的灰度图标。
选中“默认情况下,该按钮应显示在工具栏上”复选框来显示默认情况下用户浏
览器中的工具栏按钮。
五、利用组策略设置优化网络环境
1.禁止访问网络连接组件的属性
“本地连接属性”对话框包括连接时使用的网络组件列表。要查看或更改组件属
性,请单击组件名称,然后单击组件列表下面的“属性”按钮,如图4所示。该策
略确定用户是否可以更改由网络连接使用的组件属性,它确定是否启用用于网络
连接组件的“属性”按钮。
位置:用户配置管理模板网络网络连接
如果启用此设置(并启用“为管理员启用网络连接设置”设置),就会为管理员禁
用“属性”按钮。无论“为管理员启用网络连接设置”设置启用与否,用户都不可以
访问连接组件。如果禁用或不配置“为管理员启用网络连接设置”。
如果禁用或不配置此设置,将为用户启用“属性”按钮。
2.禁用TCP/IP高级配置
确定用户是否可以配置TCP/IP
设置。
位置:用户配置管理模板网络网络连接
如果启用此设置(并启用“为管理员启用网络连接设置”设置),就对所有用户(包
括管理员)禁用“Internet协议(TCP/IP)
属性”对话框上的“高级”按钮。因此,用户不能打开“高级TCP/IP设置”对话框并
修改IP设置(例如,DNS和WINS服务器信息)。如果禁用此设置,则启用“高级”
按钮,并且所有用户均可打开“高级TCP/IP设置”对话框。
注意:此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些
策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮,用户就无法
访问用于TCP/IP配置的“高级”按钮。不管此设置如何,非管理员用户均不具有
访问用于网络连接的TCP/IP高级配置的权限。在用户退出系统之前,将此设置
从“启用”更改为“未配置”不会启用“高级”按钮。
3.禁止添加或删除用于网络连接
发布评论