以文本方式查看主题 - 中文XML论坛 - 专业的XML技术讨论区 (http://bbs.xml.org.cn/index.asp) -- 『 网友互助 』 (http://bbs.xml.org.cn/list.asp?boardid=76) ---- win XP 组策略-应用全过程 (http://bbs.xml.org.cn/dispbbs.asp?boardid=76&rootid=&id=51705) |
-- 作者:hjx_221 -- 发布时间:8/23/2007 8:16:00 AM -- win XP 组策略-应用全过程 win XP 组策略-应用全过程 对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 2.组策略的版本 早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表械纳柚弥怠5比唬低巢呗员嗉饕仓С侄缘鼻白⒉岜淼男薷模硗庖仓С至油缂扑慊⒍云渥⒉岜斫猩柚谩?br> 当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略
使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开: (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。 (5)单击“完成”按钮,组策略管理单元即打开要编辑的组策略对象。 (6)在左窗格中定位需要更改的选项的位置,在右窗格中右键单击需要更改的具体选项,单击“属性”命令,即可打开其属性对话框,从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。 4.组策略中的管理模板 在Windows 2000/XP/2003中,默认的Admin.adm管理模板位于系统文件夹的INF文件夹中,包含了默认安装下的4个模板文件,分别为: (1)System.adm:默认安装在“组策略”中,用于系统设置。 (2)Inetres.adm:默认安装在“组策略”中,用于Internet Explorer(IE)策略设置。 (3)Wmplayer.adm:用于Windows Media Player设置。 (4)Conf.adm:用于NetMeeting设置。 在策略管理控制台中,可以多次添加“策略模板”,下面让我们来看看具体操作: 首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,单击鼠标右键,选择“添加/删除模板”命令,然后在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。 返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”选项,再单击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了。 注意:下面的操作均在Windows XP中进行。 二、个性化我的电脑 位置:\用户配置\管理模板\任务栏和“开始”菜单
注意:此设置不会阻止Windows程序在最近打开的文档中显示快捷方式。 另外,你也可以设置在退出系统时自动清除最近打开的文档的历史记录。 位置:\用户配置\管理模板\任务栏和“开始”菜单 注意:系统在\Documents and Settings\<用户名>\Recent文件夹中的用户配置文件中保存文档快捷方式。 2.删除“开始”菜单中的“运行”菜单项 位置:\用户配置\管理模板\任务栏和“开始”菜单 (1)“运行”命令从“开始”菜单中删除。 (2)新建任务(运行)命令从任务管理器删除。 (3)阻止用户在IE地址栏中输入下列项: UNC路径:\\<server>\<share>。 访问本地驱动器:例如,C:。 访问本地文件夹:例如,\temp>。 同时,使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设置,用户可以访问“开始”菜单和任务管理器的“运行”命令,以及使用IE地址栏。 注意:这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。 3.给“开始”菜单减肥 位置:\用户配置\管理模板\任务栏和“开始”菜单 4.隐藏和禁用桌面上的所有项目 位置:\用户配置\管理模板\桌面 5.退出时不保存用户设置 位置:\用户配置\管理模板\桌面 6.启用/禁用“活动桌面”(Active Desktop) 位置:\用户配置\管理模板\桌面\Active Desktop 提示:如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置,“禁用Active Desktop”设置会被忽略。如果“禁用Active Desktop和Web视图”设置(在“用户配置\管理模板\Windows组件\Windows资源管理器”)被启用,Active Desktop就会被禁用,并且这两个策略都会被忽略 7.从“我的电脑”中删除共享文档 位置:\用户配置\管理模板\Windows组件\Windows资源管理器 8.不要将已删除的文件移到“回收站” 位置:\用户配置\管理模板\Windows组件\Windows资源管理器 三、利用组策略进行系统设置 位置:\用户配置\管理模板\系统 注意:这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设置,“计算机配置”中的设置比“用户配置”中的设置优先。 2.配置驱动程序查找位置 位置:\用户配置\管理模板\系统 3.关闭自动播放 位置:\用户配置\管理模板\系统 注意:这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。 另外,此设置不阻止自动播放音乐 CD。 4.只运行许可的Windows应用程序 位置:\用户配置\管理模板\系统 这个设置只能防止用户从Windows资源管理器启动程序。无法防止用户用其他方式启动程序,例如任务管理器。如果用户可以访问命令提示符窗口,这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序。 注意:要创建允许的文件列表,请单击“显示”按钮,在打开的对话框中单击“添加”按钮,然后输入应用程序的执行文件名称(例如,Winword.exe、Poledit.exe、Powerpnt.exe)。
5.删除任务管理器 位置:\用户配置\管理模板\系统\Ctrl+Alt+Del选项 6.删除改变“密码”选项 位置:\用户配置\管理模板\系统\Ctrl+Alt+Del选项 7.不允许运行Windows Messenger 位置:\用户配置\管理模板\Windows组件\Windows Messenger 如果启用该策略,Windows Messenger将不会运行。如果禁止或不配置该策略,Windows Messenger可以被使用。 注意:如果启用这个策略,远程协助无法使用Windows Messenger。另外,这个策略也会出现在“计算机配置”中。如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。 8.关闭系统还原功能 但这一功能付出的代价也是相当大的,系统性能会明显下降,磁盘空间也会被占用很多。对于配置不高的计算机来说,强烈建议关闭此功能。 位置:\计算机配置\管理模板\系统\系统还原\关闭系统还原 启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界面”。 四、利用组策略调整上网设置 位置:\用户配置\管理模板\Windows组件\Internet Explorer 如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上的“导入和导出”菜单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹。 注意:如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完成”按钮时,将出现说明该功能已被禁用的提示信息。 2.禁用更改“高级”选项卡的设置 位置:\用户配置\管理模板\Windows组件\Internet Explorer 如果设置了位于\用户配置\管理模板\Windows组件\Internet Explorer\Internet控制面板中的“禁用高级页”策略,则无需设置该策略,因为“禁用高级页”策略将删除界面上的“高级”选项卡。 3.对拨号连接使用“自动检测”属性 位置:\用户配置\管理模板\Windows组件\Internet Explorer 如果启用该设置,自动检测将配置用户的拨号设置。如果禁用该配置或不配置,自动检测不会配置用户的拨号设置,除非用户指定。 4.禁用Internet连接向导 位置:\用户配置\管理模板\Windows组件\Internet Explorer 如果启用该策略,“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将变灰。用户也无法通过单击桌面上的“连接到Internet”图标或单击“开始→程序→附件→通讯”,然后单击“Internet连接向导”运行Internet连接向导。如果禁用该策略或不对其进行配置,则用户可以通过运行Internet连接向导,更改连接设置。 注意:该策略与位于\用户配置\管理模板\Windows 组件\Internet Explorer\Internet控制面板中的“禁用连接页”策略有相似之处,后者将删除界面上的“连接”选项卡。从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”菜单中运行Internet连接向导。 5.禁用表单的自动完成功能 位置:\用户配置\管理模板\Windows组件\Internet Explorer 如果启用该策略,“表单”复选框将变灰。单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮,即可出现“表单”复选框。如果禁用该策略或不对其进行配置,则用户可以启用表单的自动完成功能。 位于\用户配置\管理模板\Windows组件\Internet Explorer\Internet控制面板中的“禁用内容页”策略的优先级高于该策略。如果启用了“禁用内容页”策略,该策略将被忽略,因为“禁用内容页”策略将删除“控制面板”中“Internet Explorer属性”对话框中的“内容”选项卡。 注意:如果用户已开始使用启用了表单自动完成功能的浏览器后,再启用该策略,则不会清除用户已经使用表单自动完成功能在表单中所填写的内容。 6.配置媒体浏览栏属性 位置:\用户配置\管理模板\Windows组件\Internet Explorer 如果禁用媒体浏览器栏,用户无法显示媒体浏览器栏。自动播放功能也被禁用。当用户在IE中单击一个链接,系统中的默认媒体客户端将播放内容。如果启用媒体浏览器栏或不配置,用户可以显示和隐藏媒体浏览器栏。 管理员也可以打开和关闭自动播放功能。该设置只在媒体浏览器栏启用时应用。如果选择,媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容。如果不选择,系统上的默认媒体客户端将播放内容。 7.禁用右键快捷菜单 位置:\用户配置\管理模板\Windows组件\Internet Explorer\浏览器菜单 如果启用该策略,在用户指向网页,然后单击鼠标右键时将不出现快捷菜单。如果禁用该策略或不对其进行配置,则用户可以使用快捷菜单。 8.自定义IE标题栏 位置:\用户配置\管理模板\Windows设置\Internet Explorer维护\浏览器用户界面\浏览器标题 请在打开的对话框中选中“自定义标题栏”选项,然后在“标题栏文本”框中键入希望的文本。 注意:在选择某个位图时,要确保颜色与文本的对比度。这为用户确保了更高程度的可读性。 位置:\用户配置\管理模板\Windows设置\Internet Explorer维护\浏览器用户界面\浏览器工具栏自定义 在打开的对话框中单击“添加”按钮,然后在打开的对话框中在“工具栏标题(必需)”框中,键入用户鼠标悬停在工具栏按钮上时出现的文本。必须指定该按钮的标题或标签。建议的最大长度是10个字符。 在“工具栏操作(作为脚本文件或可执行文件,必需)”框中,键入脚本文件或可执行文件的名称,或者单击“浏览”按钮查找文件。必须指定用户单击工具栏按钮时运行的脚本文件或可执行文件。 在“工具栏颜色图标(必需)”框中,键入表示按钮为活动状态的文件的名称,或者单击“浏览”按钮查找该文件。必须指定出现在工具栏上的按钮的彩色图标。图标由活动和非活动状态的20×20像素的图像组成。 在“工具栏灰度图标(必需)”框中,键入出现在黑白监视器上的工具栏的灰度图标文件名和位置,或者单击“浏览”按钮查找文件。必须指定显示在工具栏上按钮的灰度图标。 选中“默认情况下,该按钮应显示在工具栏上”复选框来显示默认情况下用户浏览器中的工具栏按钮。
位置:\用户配置\管理模板\网络\网络连接 如果禁用或不配置此设置,将为用户启用“属性”按钮。 2.禁用TCP/IP高级配置 位置:\用户配置\管理模板\网络\网络连接 注意:此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮,用户就无法访问用于TCP/IP配置的“高级”按钮。不管此设置如何,非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限。在用户退出系统之前,将此设置从“启用”更改为“未配置”不会启用“高级”按钮。 3.禁止添加或删除用于网络连接或远程访问连接的组件 位置:\用户配置\管理模板\网络\网络连接 4.禁止访问网络连接的属性 位置:\用户配置\管理模板\网络\网络连接 注意:此设置优先于操作“局域连接属性”对话框内的功能的可用性设置。如果启用此设置,用户将不可使用网络连接的属性对话框内的任何功能。 5.更改所有用户远程访问连接的属性 位置:\用户配置\管理模板\网络\网络连接 注意:此设置优先于操作远程访问连接属性对话框内的功能的可用性设置。如果禁用此设置,则用户不可使用用于远程访问连接的属性对话框内的任何功能。 6.为管理员启用Windows XP网络连接设置 位置:\用户配置\管理模板\网络\网络连接 注意:此设置是专用于正在应用这些设置的组策略对象同时包含Windows 2000和Windows XP计算机的情形中,并且在所有Windows 2000和Windows XP计算机之间必需相同的网络连接策略行为。 六、精心维护系统安全 位置:\用户配置\管理模板\Windows组件\Windows资源管理器 注意:驱动器的图标仍会出现在我的电脑中,但是如果用户双击图标,会出现一个消息解释设置防止这一操作。同时这以设置不会防止用户使用程序访问本地和网络驱动器。 2.禁止“注销”和“关机” 位置:\用户配置\管理模板\任务栏和“开始”菜单
提示:如果启用“删除‘开始’菜单上的‘注销’”策略,则还从“‘开始’菜单选项”删除“显示注销”项目。结果是用户无法将“注销<用户名>”项目还原到“开始”菜单(只能通过手动修改注册表的方法)。这个设置只影响“开始”菜单。它不影响“Windows 安全性”对话框中的“注销”选项(因此需要同时启用“删除和阻止访问‘关机’命令”);而且不防止用户用其他方法注销。 3.阻止访问命令提示符 位置:\用户配置\管理模板\系统 注意:如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件;也不防止使用终端服务的用户运行批文件。 4.阻止访问注册表编辑工具 位置:\用户配置\管理模板\系统 5.禁止访问控制面板 位置:\用户配置\管理模板\控制面板 6.隐藏指定的控制面板程序 位置:\用户配置\管理模板\控制面板 此设置只影响“开始”菜单和控制面板窗口。它不会阻止用户使用“运行”对话框来运行控制面板项目。 注意:要寻找控制面板项目的文件名称,请在\System32目录中寻找.cpl文件名称的扩展。 7.密码保护屏幕保护程序 位置:\用户配置\管理模板\控制面板\显示 注意:只有当在计算机上指定屏幕保护程序时才可使用这项设置。 七、用组策略完善Windows娱乐功能 位置:\用户配置\管理模板\Windows组件\Windows Media Player 如果未配置或禁用了该策略,则用户可以对“从Internet检索CD和DVD媒体信息”复选框的设置进行更改。 2.防止音乐文件媒体信息检索 位置:\用户配置\管理模板\Windows组件\Windows Media Player 如果未配置或禁用了该策略,则用户可以对“通过从Internet检索缺少的媒体信息来更新音乐文件(WMA和 MP3文件)”复选框的设置进行更改。 3.指定流媒体协议 如果在“设置”选项卡中选中了“UDP”复选框,并且“UDP 端口”框为空,则Windows Media Player将使用默认端口播放来自Windows Media服务器的内容。如果未选中“UDP”复选框,“UDP 端口”框中的信息将被忽略。 如果未选择任何协议并启用了该策略,将无法播放来自Windows Media服务器的内容。 位置:\用户配置\管理模板\Windows组件\Windows Media Player\网络 如果启用或禁用了该策略,播放机“网络”选项卡中的“流协议”部分将不可用。如果启用了“隐藏‘网络’选项卡”策略,则整个“网络”选项卡将隐藏起来。如果禁用该策略,播放机将无法从Windows Media服务器接收流媒体。如果有必要控制所接收的流媒体的类型,建议使用其他方法,如防火墙。如果未配置该策略,并且未启用“隐藏‘网络’选项卡”策略,则用户可以对“网络”选项卡中“流协议”部分的设置进行更改。 4.配置HTTP代理 如果选择自定义代理服务器类型,则必须指定“设置”选项卡中的其余选项,这是因为代理服务器没有默认设置。如果选择“自动检测”或“浏览器”,则可以忽略这些选项。 播放器“网络”选项卡中的“配置”按钮对HTTP协议无效,因此无法配置代理服务器。如果还启用了“隐藏网络选项卡”策略,则整个“网络”选项卡都不可见。 如果启用了“流媒体协议”策略,且未选择HTTP协议,该策略将被忽略。 位置:\用户配置\管理模板\Windows组件\Windows Media Player\网络 如果禁用该策略,HTTP代理服务器将无法使用,用户也将无法配置HTTP代理服务器。如果未配置该策略,用户便可以配置HTTP代理服务器设置。 5.配置MMS代理服务器 如果选择“自定义”代理类型,则必须指定“设置”选项卡中的其余选项。否则,将使用默认设置。如果选择“自动检测”,这些选项将被忽略。 播放器“网络”选项卡中的“配置”按钮不可用,并且无法配置协议。如果还启用了“隐藏‘网络’选项卡”策略,则整个“网络”选项卡将隐藏起来。 如果启用了“流媒体协议”策略,并且未选择“多播”,该策略将被忽略。 位置:\用户配置\管理模板\Windows组件\Windows Media Player\网络 如果禁用该策略,MMS代理服务器将无法使用,用户将无法配置MMS代理服务器设置。如果未配置该策略,则用户可以配置MMS代理服务器设置。 |
-- 作者:卷积内核 -- 发布时间:8/23/2007 8:36:00 AM -- 不错,有很多比较有用的设置。 |
W 3 C h i n a ( since 2003 ) 旗 下 站 点 苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》 |
78.125ms |