组策略详解

《组策略详解》由会员分享，可在线阅读，更多相关《组策略详解（9页珍藏版）》请在装配图网上搜索。

1、组策略详解本文主要介绍 Windows XP Professional 本地组策略的应用。本地计算机组策略主要可进 行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相 关项目中。其中计算机配置保存到注册表的 HKEY_LOCAL_MACHINE 子树中，用户配置 保存到 HKEY_CURRENT_USER。一、访问组策略有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是打开 控制台，将组策略添加进去。1. 输入 gpedit.msc 命令访问选择“开始”一“运行”，在弹出窗口中输入gpedit.msc”，回车后进入组策略窗口（图 1

2、）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置、”“用户 配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板” 三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现 关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节 点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个 计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设 置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情 况下建议在“

3、用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修 改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广， 因此也是本文的重中之重。2. 通过控制台访问组策略单击“开始”一“运行”，输入“m me”，回车后进入控制台窗口。单击控制台窗口的“文 件” 一 “添力口/删除管理单元”，在弹出窗口单击“添加”（图2）,之后选择“组策略”并单 击“添加”（图 3），在下一步的“选择组策略对象”对话框中选择对象。由于我们组策略对 象就是“本地计算机”，因此不用更改，如果是网络上的另一台计算机，那么单击“浏览” 选择此计算机即可。另外，如果你希望保存组策略控制台，

4、并希望能够选择通过命令行在控 制台中打开组策略对象，请选中“当从命令行开始时，允许更改组策略管理单元的焦点” 复选框（图 4）。最后添加进来的组策略如图 5 所示。二、任务栏和“开始”菜单项目设置本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目。依次展 开“用户配置”一“管理模板”一“任务栏和开始菜单”，在右边窗口便能看到“任务 栏和开始菜单”节点下的具体设置，其状态都处在“未被配置”（图 6）。1. 给“开始”菜单减肥Windows XP的“开始”菜单的菜单项很多，可通过组策略将不需要的删除掉。以删除 开始菜单中的“我的文档”图标为例看看其具体操作方法：在右边窗口中双击“

5、从开始 菜单上删除我的文档图标”项，在弹出对话框的“设置”标签中点选“已启用”，然后 单击“确定”（图 7），这样在“开始”菜单中“我的文档”图标将会隐藏。2. 防止隐私泄漏在开始菜单中有一个“我最近的文档”菜单项，别人可通过此菜单访问你最近打开的文 档，为安全起见，可删除此菜单项，并设置不保存最近打开的文档记录。双击“不要保留最 近打开文档的记录”、“退出时清除最近打开的文档记录”、“从开始菜单上删除文档 菜单” 3 项，在弹出对话框中点选“已启动”并确定即可。3. 禁止随意修改任务栏和“开始”菜单为保护自己好不容易设置好的任务栏和“开始”菜单，可双击启用下列各设置。“阻止更改任务栏和开始菜

6、单设置”：即从“开始”菜单的“设置”菜单项中 删除“任务栏和开始菜单”项目，这个设置也可阻止用户打开“任务栏属性”对话框。 “阻止访问任务栏的上下文菜单”（上下文菜单即单击右键弹出的快捷菜单）：当鼠标右键单 击任务栏及任务栏上项目时隐藏菜单，例如“开始”按钮、时钟和任务栏按钮，但不能禁止 用户在其他地方更改。“锁定任务栏”：启用此设置，可阻止用户移动任务栏或调整任务栏的 大小，但自动隐藏和其他任务栏选项仍然在“任务栏属性”中可用。4. 去掉Windows XP “开始”菜单中的图形化设置Windows XP的“开始”菜单增添了许多图形化设置，其实可在组策略中将这些功能关 闭。“关闭个性化菜单”

7、：Windows XP会自动将最近使用的菜单项移动到开始菜单顶部， 并且隐藏最近没有使用的菜单项，以此实现个性化菜单，启用此设置将关闭个性化菜单。“强 制典型菜单”：启用此设置，开始菜单就以Windows 2000样式显示典型的开始菜单，并且显 示标准桌面图标。5. 禁止“注销”和“关机”进行三维动画设计和视频处理的朋友经常会为导出一个大型动画、视频文件而花几个小 时，这时如果有人重新启动电脑或注销用户，那么前面所做的工作就会白白浪费，因此有必 要禁止“开始”菜单中的“注销”、“关机”菜单项。你只需双击启用“删除开始菜单上 的注销”和“删除和阻止访问关机命令”两项即可。后一设置不仅将从“开始”

8、菜 单中删除“关闭计算机”项，而且还会禁用“Windows任务管理器”对话框中的“关机” 选项（图 8）。三、桌面项目设置在“组策略”的左窗口依次展开“用户配置”一“管理模板”一“桌面”节点，便能看 到有关桌面的所有设置（图 9）。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面 图标。1. 隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、 “网上邻居”等默认图标，就需要依靠“组策略”了。例如要删除“我的文档”，只需在“删 除桌面上的我的文档图标”一项中设置即可。2. 禁止对桌面的改动利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户

9、更改我的文档路 径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工 具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后，用户 将不能保存对桌面的更改。最后，双击启用“隐藏和禁用桌面上的所有项目”设置项，将从 桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目，连桌面右键菜单都将被 禁止。3. 启用或禁止活动桌面利用“Active Desktop”项，可根据自己的需要设置活动桌面的各种属性。“启用活动桌 面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上 显示的桌面墙纸（图10）。而启用“不允许更改”项便

10、可防止用户更改活动桌面配置。四、隐藏或禁止控制面板项目这里讲到的控制面板项目设置是指配置控制面板程序的各项设置，主要用于隐藏或禁止 控制面板项目。在组策略左边窗口依次展开“用户配置”-“管理模板”-“控制面板”项， 便可看到“控制面板”节点下面的所有设置和子节点（图11）。1. 隐藏或禁止“添加/删除程序”项展开“添加/删除程序”项：双击启用“删除添加/删除程序程序”设置项后，控制 面板中的“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3 个页 面：“更改或删除程序”、“添加新程序”以及“添加删除Windows组件”；而当你进入“添 加新程序”页面时，会发现有3个选项：“从

11、CD-ROM或软盘添加程序”、“从Microsoft添 加程序”以及“从网络中添加程序”（图 12），如果你想这些具体页面或选项隐藏，可直接 在组策略“添加/删除程序”项中将相应隐藏功能启用。2. 隐藏或禁止“显示”项展开“显示”项，发现这一项和上一项一样，可隐藏“显示属性”对话框中的选项卡。 这里就不细讲了，例如双击启用“隐藏桌面选项卡”后，“显示窗口”中将不再出现“桌 面”项（图13）。此外，在这里用户还可启用“删除控制面板中的显示”，这样在控制面 板中双击打开“显示”项时，就会弹出一个对话框提示你：系统管理员禁止使用“显示”控 制面板（图 14）。3. 其他依次展开“显示”一“桌面主题”

12、项，双击启用“删除主题选项、“阻止选择窗口和按 钮式样”、“禁止选择字体大小”项后，可阻止他人更改主题、窗口和按钮式样、字体。展开 “打印机”项，双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户添加或 删除打印机。最后，直接在“控制面板”一项下启用“禁止访问控制面板”，控制面板将无 法启动。五、系统项目设置这一项在“用户配置” 一“管理模板” 一“系统”中设置（图15）。组策略中对系统的 设置涉及到登录、电源管理、组策略、脚本等很多项目，下面把和我们联系紧密的部分清理 出来分类列举如下：1. 登录时不显示欢迎屏幕界面Windows 2000和Windows XP系统登录时默认情况下

13、都有欢迎屏幕，虽然漂亮但也麻 烦且延长登录时间，通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示 欢迎屏幕”，则每次用户登录时欢迎屏幕将隐藏。2. 禁用注册表编辑器为防止他人修改注册表，可在组策略中禁止访问注册表编辑器。双击启用“系统”节点 下的“阻止访问注册表编辑器”项后，用户试图启动注册表编辑器时，系统将提示：注册编 辑已被管理员停用（图 16）。另外，如果你的注册表编辑器被锁死，也可双击此设置，在弹 出对话框的“设置”标签中点选“未被配置”项，这样你的注册表便解锁了。如果要防止用 户使用其他注册表编辑工具打开注册表，请双击启用“只运行许可的Windows应用程序”。3. 关

14、闭系统自动播放功能一旦你将光盘插入光驱中， Windows XP 就会开始读取光驱，并启动相关的应用程序。 这样虽然给我们的工作带来了便利，在某些时候也带来了不少麻烦。在“系统”节点下有一 项为“关闭自动播放”设置项，双击其并在弹出对话框的“设置”标签中点选“已启用”， 在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可（图17）。注意：此设置不阻止自动播放音乐 CD。4. 关闭 Windows 自动更新每当用户连接到 Internet，Windows XP 就会搜索用户计算机上的可用更新，根据配置的 具体情况，在下载的组件准备好安装时或在下载之前，给用户以提示。如果你不喜

15、欢比尔老 大这种自作主张的态度，可通过组策略关闭这一功能。只须双击“系统”节点下的“Windows 自动更新”设置项，在弹出来的对话框中点选“已禁用”并确定即可。5. Ctrl+Alt+Del 选项若Windows XP用户已取消“使用欢迎屏幕”项，若同时按下“Ctrl+Alt+Del”键，便 会弹出一个“Windows安全”对话框，此对话框中有“锁定计算机” “注销”、“关机”、“更 改密码”“任务管理器”“取消” 6 个功能按钮（图18）。大家都知道这里的每个按钮对系 统都起着关键的作用。为了阻止别人操作，可通过组策略屏蔽这些按钮。找到“系统”下的“Ctrl+Alt+Del选项”，双击启用

16、“删除任务管理器”、“删除锁定 计算机、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“任务 管理器”“锁定计算机”“更改密码”“取消” 4 个功能按钮。注意：“注销”、“关机”两个菜单项的屏蔽，在“用户配置”一“管理模板”一“任务 栏和开始菜单”节点下。六、隐藏或删除Windows XP资源管理器中的项目一直以来，资源管理器就是 Windows 系统中最重要的工具，如何高效、安全地管理资 源也一直是电脑用户的不懈追求。依次展开“用户配置”一“管理模板” 一“Windows组件” f“Windows资源管理器”项，可以看到“Windows资源管理器”节点下的所有设置（

17、图 19）。下面就来看看怎样通过组策略实现资源管理器个性化。1. 删除“文件夹选项”“文件夹选项”是资源管理器中一个重要的菜单项，通过它可修改文件的查看方式，编 辑文件类型的打开方式（图20）。我们自己对其设定好后，为了防止他人随意更改，可将此 菜单项删除，你只须双击启用“从工具菜单删除文件夹选项菜单”便能完成这一设2. 隐藏“管理”菜单项在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项，通过 此菜单项，可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁盘管理”等众多工具的“计算机管理”窗口（图21）。为了保障你的计算机免受他人无意破坏，可通 过双击启

18、用“隐藏Windows资源管理器上下文菜单上的管理项目”项来屏蔽此菜单项。3. 其他项目的隐藏此外通过启用“隐藏我的电脑中的这些指定的驱动器”可隐藏你指定的驱动器（图22）。还可通过启用“网上邻居中不含整个网络”屏蔽掉“整个网络”项。双击启用“删除CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的 文件移到回收站”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这 里没有讲到，大家可根据需要自行探讨，进行适当的配置。七、IE浏览器项目设置在组策略左边窗口中依次展开“用户配置” 一 “管理模板” 一“Windows组件” 一“ Internet Expl

19、orer”项，在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子节点（图 23）。IE是Windows XP自带的网页浏览器，也是大多数用户采用的浏览器，但其安全性也 为人所诟病，下面就通过组策略来对其进行“改造”。1. 在 IE 工具栏添加快捷方式不知道大家注意到了没有，不少软件在安装完之后都会在IE工具栏上添加图标，单击 其便能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式，这里举 例说明如何添加一个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器用户界 面”，双击“浏览器工具栏自定义”设置项，在弹出来的对话框中单

20、击“添加”按钮，在“浏 览器工具栏按钮信息”对话框的“工具栏标题”中输入：ICQ，在“工具栏操作”中输入 D:Fun ICQLiteICQLite.exe，然后再随便选择一个“颜色图标”和“灰度图标”（图24,当 然你也可以用ExeScope等来提取ICQ的图标）。单击“确定”后IE工具栏中便多了一个ICQ 图标！2. 让IE插件不再骚扰你我们平常上网浏览网页时，总会弹出一些诸如“是否安装Flash插件”、“是否安装3721 网络实名”的提示，就像广告窗口一样烦人。实际上我们可在组策略中通过启用“ Internet Explorer ”节点下的“禁用Internet Explorer组件的自动

21、安装”来禁止这种提示的出现。不过 有时这一功能也是很用的，所以在禁止此功能之前请稍加考虑。3. 保护好你的个人隐私一般通过单击IE工具栏上的“历史”按钮，便可了解以前浏览过的网页和文件。为保 密起见，你可以通过双击启用“ Internet Explorer”节点下的“不要保留最近打开文档的记录” 和“退出时清除最近打开的文档记录”两个设置项，这样再单击IE工具栏上的“历史”按 钮，你访问过的历史网页记录将全部消失。4. 禁止项如果不希望他人对你的主页进行修改，可启用Internet Explorer”节点下的“禁用更改 主页设置”设置项禁止别人更改你的主页（图 25）。你也可通过访问“浏览器菜

22、单”，启用 其中的设置项对IE浏览器的若干菜单项进行屏蔽。最后，在“Internet控制面板”节点下， 你还可对“Internet选项”对话框中的部分选项卡进行隐藏（图26）。八、系统安全设置自有计算机以来，安全一直就是人们关注的焦点问题,Windows XP也不例外。在组策 略中，系统安全配置一般在“计算机配置” 一“Windows设置”一“安全设置”中进行。1. 密码策略这一策略在“账户策略”一“密码策略”节点中配置（图27）。口令是系统安全的一大 隐患，可通过组策略设置密码（口令）的最小长度：双击启用“密码必须符合复杂性要求” 设置项，确定后双击“密码长度最小值”设置项，在弹出来的对话框

23、中将密码长度最小值设 为8 或更大，这样以后设置账户密码时就必须输入8 位以上，安全性就高多了。2. 用户权利指派展开“本地策略”一“用户权利指派”节点，在右边窗口中便能看到“用户权利指派” 节点下的所有设置（图28）。合适地指派用户权利可以解决一些奇怪的问题，例如在局域网 中使用Windows XP系统的朋友一般会发现一个奇怪的现象，那就是即使你启用guest用户 并给予权限，局域网中的其他Win9X操作系统的用户还是无法访问Windows XP系统中的 共享资源。这个问题可在组策略中通过修改有关设置解决：双击“用户权利指派”节点下的 “拒绝从网络访问这台计算机”设置项，在弹出对话框中点选“

24、guest”，然后单击“删除” 最后确定即可（图29）。在“用户权利指派”节点下还可给用户添加许多权限，例如给guest 添加远程关机权限、给一般用户添加更改系统时间的权限无论是普通计算机用户，还是专业计算机系统管理员，在操作计算机的时候都会遇到某些系 统错误。很多朋友经常为无法找到出错原因，解决不了故障问题感到困扰。事实上，利用 Windows内置的事件查看器，加上适当的网络资源，就可以很好地解决大部分的系统问题。一、事件查看器可以做什么微软在以 Windows NT 为内核的操作系统中集成有事件查看器，这些操作系统包括 Windows 2000NTXP2003等。事件查看器可以完成许多工作

25、，比如审核系统事件和存放系统、 安全及应用程序日志等。系统日志中存放了 Windows操作系统产生的信息、警告或错误。通过查看这些信息、 警告或错误，我们不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些 功能运行失败，或变得不稳定的原因。安全日志中存放了审核事件是否成功的信息。通过查看这些信息，我们可以了解到这些 安全审核结果为成功还是失败。应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错 误，我们可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。点击“开始一运行”输入eventvwr，点击“确定

26、”，就可以打开事件查看器。查看事件的详细信息：选中事件查看器左边的树形结构图中的日志类型（应用程序、安全性或系统），在右侧的 详细资料窗格中将会显示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信 息。在日志属性窗口中我们可以看到事件发生的日期、事件的发生源、种类和ID,以及事 件的详细描述。这对我们寻找解决错误是最重要的。搜索事件：如果系统中的事件过多，我们将会很难找到真正导致系统问题的事件。这时，我们可以 使用事件“筛选”功能找到我们想找的日志。选中左边的树形结构图中的日志类型（应用程序、安全性或系统），右击“查看”，并选 择“筛选”。日志筛选器将会启动。选择所要查找的事件类型，

27、比如“错误”，以及相关的事件来源和类别等等，并单击“确 定”。事件查看器会执行查找，并只显示符合这些条件的事件。二、利用查看器解决系统问题查到导致系统问题的事件后，我们需要找到解决它们的办法。查找解决这些问题的方法 主要可以通过两个途径：微软在线技术支持知识库以及E网站。微软在线技术支持知识库（KB）：微软知识库的文章是由微软公司官方资料和（微软最有价值专家）撰写的技术文章组成， 主要解决微软产品的问题及故障。当微软每一个产品的 Bug 和容易出错的应用点被发现以后，都将有与其对应的 KB 文 章分析这项错误的解决方案。微软知识库的地址是：,在网页左边的“搜索（知识库）”中 输入相关的关键字进

28、行查询，事件发生源和ID等信息。当然，输入详细描述中的关键词也 是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询也并不是一个坏主意E 网站：要查询系统错误事件的解决方案，还有一个更好的地方： E 网站，地址是 。这个网站由众多微软MVP（最有价值专家）主持，几乎包含了全部系统事件 的解决方案。登录网站后，单击“Search Events（搜索事件）”链接，出现事件搜索页面。根据页面提 示，输入 Event ID（事件 ID）和 Event Source（事件源），并单击“ Search” 按钮。E 的系统会找到所有相关的资源及解决方案。最重要的是，享受这些解决方案是完全免费的 当然，E的付费用户则能享受到更好的服务，比如直接访问针对某事件的知识库文