介绍了常用组策略设置,通过组策略可以设置开启或者禁用非家庭版本windows 系统的6大项37小项。故障现象:
组策略应用设置大全
一、桌面项目设置
1、 隐藏不必要的桌面图标
2、 禁止对桌面的改动
3、 启用或禁止活动桌面
4、 给“开始”菜单减肥
5、 保护好“任务栏”和“开始”菜单的设置
二、隐藏或禁止控制面板项目
1、 禁止访问“控制面板”
2、 隐藏或禁止“添加/删除程序”项
3、 隐藏或禁止“显示”项
三、系统项目设置
1、 登录时不显示欢迎屏幕界面
2、 禁用注册表编辑器
3、 关闭系统自动播放功能
4、 关闭Windows自动更新
5、 删除任务管理器
四、隐藏或删除Windows XP资源管理器中的项目
1、 删除“文件夹选项”
2、 隐藏“管理”菜单项
五、IE浏览器项目设置
1、 限制IE浏览器的保存功能
2、 给工具栏减肥
3、 在IE工具栏添加快捷方式
4、 让IE插件不再骚扰你
5、 保护好你的个人隐私
6、 禁止修改IE浏览器的主页
7、 禁用导入和导出收藏夹
六、系统安全/共享/权限设置
1、 密码策略
2、 用户权利指派
3、 文件和文件夹设置审核
4、 Windows 98访问Windows XP共享目录被拒绝的问题解决
5、 阻止访问命令提示符
6、 阻止访问注册表编辑工具
解决方案:
一、桌面项目设置
在“组策略”的左窗口依次展开“用户配置”---“管理模板”---“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、 隐藏不必要的桌面图标
桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2、 禁止对桌面的改动
利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。
3、 启用或禁止活动桌面
利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。
4、 给“开始”菜单减肥
Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。
5、 保护好“任务栏”和“开始”菜单的设置
倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。
二、隐藏或禁止控制面板项目
这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止控 制面板项目。在组策略左边窗口依次展开“用户配置”---“管理模板”---“控制面板”项 ,便可看到“控制面板”节点下面的所有设置和子节点。
1、 禁止访问“控制面板”
如果您不希望其他用户访问计算机的“控制面板”,您只要运行组策略编辑器(gpedit.msc),在左侧窗格中逐级展开“‘本地计算机’策略”---“用户配置”---“管理模板”--- “控制面板”分支,然后将右侧窗格的“禁止访问控制面板”策略启用即可。此项设置可以防止“控制面板”程序文件(Control.exe)的启动。其结果是,他人将无法启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从 Windows 资源管理器中删除“控制面板”文件夹。
2、 隐藏或禁止“添加/删除程序”项
展开“添加/删除程序”项:双击启用“删除‘添加/删除程序’程序”设置项后,控制面板中的“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3个页面:“更改或删除程序”、“添加新程序”以及“添加/删除Windows组件”;而当你进入“添加新程序”页面时,会发现有3个选项:“从CD-ROM或软盘添加程序”、“从 Microsoft添加程序”以及“从网络中添加程序”,如果你想这些具体页面或选项隐藏,可直接在组策略“添加/删除程序”项中将相应隐藏功能启用。
3、 隐藏或禁止“显示”项
展开“显示”项,发现这一项和上一项一样,可隐藏“显示属性”对话框中的选项卡。这
里就不细讲了,例如双击启用“隐藏‘桌面’选项卡”后,“显示窗口”中将不再出现“桌面”项。此外,在这里用户还可启用“删除控制面板中的‘显示’”,这样在控制面板中双击打开“显示”项时,就会弹出一个对话框提示你:系统管理员禁止使用“显示”控制面板。
4、 其他
自定义控制面板程序:“隐藏指定的控制面板程序”或“只显示指定的控制面板程序”根据提示提示操作隐藏或显示控制面板项目、依次展开“显示”---“桌面主题”项,双击启用“删除主题选项”、“阻止选择窗口和按钮式样”、“禁止选择字体大小”项后,可阻止他人更改主题、窗口和按钮式样、字体。展开“打印机”项,双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户添加或删除打印机。最后,直接在“控制面板”一项下启用“禁止访问控制面板”,控制面板将无法启动。
三、系统项目设置
这一项在“用户配置”---“管理模板”---“系统”中设置。组策略中对系统的设置涉及到登录、电源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理出来分类列举如下:
1、 登录时不显示欢迎屏幕界面
Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦且延长登录时间,通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示欢迎屏幕”,则每次用户登录时欢迎屏幕将隐藏。
2、 禁用注册表编辑器
为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。双击启用“系统”节点下的“阻止访问注册表编辑器”项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用(图16)。另外,如果你的注册表编辑器被锁死,也可双击此设置,在弹出对话框的“设置”标签中点选“未被配置”项,这样你的注册表便解锁了。如果要防止用户使用其他注册表编辑工具打开注册表,请双击启用“只运行许可的Windows应用程序”。
3、 关闭系统自动播放功能
一旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用程序。这样虽然给我们的工作带来了便利,在某些时候也带来了不少麻烦。在“系统”节点下有一项为“关闭自动播放”设置项,双击其并在弹出对话框的“设置”标签中点选“已启用”,在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。
注意:此设置不阻止自动播放音乐CD。
4、 关闭Windows自动更新
每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根据配置的具体情况,在下载的组件准备好安装时或在下载之前,给用户以提示。如果你不喜欢比尔老大这种自作主张的态度,可通过组策略关闭这一功能。只须双击“系统”节点下的“Windows自动更新”设置项,在弹出来的对话框中点选“已禁用”并确定即可。
5、 删除任务管理器
若Windows XP用户已取消“使用欢迎屏幕”项,若同时按下“Ctrl+Alt+Del”键,便会弹出一个“Windows安全”对话框,此对话框中有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务管理器”、“取消”6个功能按钮。大家都知道这里的每个按钮对系统都起着关键的作用。为了阻止别人操作,可通过组策略屏蔽这些按钮。找到“系统”下的“Ctrl+Alt+Del选项”,双击启用“删除任务管理器”、“删除‘锁定计算机’”、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。注意:“注销”、“关机”两个菜单项的屏蔽,在“用户配置”---“管理模板”---“任务栏和‘开始’菜单”节点下。
四、隐藏或删除Windows XP资源管理器中的项目
一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源也一直是电脑用户的不懈追求。依次展开“用户配置”---“管理模板”---“Windows组件”---“Windows资源管理器”项,可以看到“Windows资源管理器”节点下的所有设置。下面就来看看怎样通过组策略实现资源管理器个性化
1、 删除“文件夹选项”
“文件夹选项”是资源管理器中一个重要的菜单项,通过它可修改文件的查看方式,编辑文件类型的打开方式。我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删除,你只须双击启用“从‘工具’菜单删除‘文件夹选项’菜单”便能完成这一设置。
2、 隐藏“管理”菜单项
在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项,通过此菜单项,可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁盘管理”等众多工具的“计算机管理”窗口。为了保障你的计算机免受他人无意破坏,可通过双击启用“隐藏Windows资源管理器上下文菜单上的‘管理’项目”项来屏蔽此菜单项。
3、 其他项目的隐藏
此外通过启用“隐藏‘我的电脑’中的这些指定的驱动器”可隐藏你指定的驱动器。还可通过启用“‘网上邻居’中不含‘整个网络’”屏蔽掉“整个网络”项。双击启用“删除CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的文件移到‘回收站’”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有讲到,大家可根据需要自行探讨,进行适当的配置。
五、IE浏览器项目设置
在组策略左边窗口中依次展开“用户配置”---“管理模板”---“Windows组件”---“Internet Explorer”项,在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子节点。IE是Windows XP自带的网页浏览器,也是大多数用户采用的浏览器,但其安全性也为人所诟病,下面就通过组策略来对其进行“改造”。
1、 限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”---“管理模板”---“Windows组件
”---“Internet Explorer”---“浏览器菜单”分支,然后将右侧窗格中的“‘文件’菜单:禁用‘另存为…’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目启用即可。另外,倘若您不希望别人对IE浏览器的设置进行随意更改,您只要将“‘工具’菜单:禁用‘Internet选项…’”策略启用即可。另外,根据您个人的需要,在该窗格中还可以对其他项目进行禁用。
2、 给工具栏减肥
倘若您要隐藏工具栏中的工具按扭,具体方法是:选择“用户设置”---“管理模板”---“Windows组件”---“Internet Explorer”---“工具栏”分支,然后在右侧窗格中双击“配置工具栏按扭”策略,弹出“配置工具栏按扭属性”窗口,在“设置”选项卡中选择“已启用”单选按扭,将列表中将要显示按扭名称前面的复选框打上勾选标记,若要隐藏某些按扭,则不要将其前面的复选框进行勾选。然后单击“确定”按扭即可
3、 在IE工具栏添加快捷方式
不知道大家注意到了没有,不少软件在安装完之后都会在IE工具栏上添加图标,单击其便能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式,这里举例说明如何添加一个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器用户界面”,双击“浏览器工具栏自定义”设置项,在弹出来的对话框中单击“添加”按钮,在“浏览器工具栏按钮信息”对话框的“工具栏标题”中输入:ICQ,在“工具栏操作”中输入D:\\Fun\\ICQLite\\ICQLite、exe,然后再随便选择一个“颜色图标”和“灰度图标”,当然你也可以用ExeScope等来提取ICQ的图标)。单击“确定”后IE工具栏中便多了一个ICQ图标!
4、 让IE插件不再骚扰你
我们平常上网浏览网页时,总会弹出一些诸如“是否安装Flash插件”、“是否安装3721网络实名”的提示,就像广告窗口一样烦人。实际上我们可在组策略中通过启用“Internet Explorer”节点下的“禁用Internet Explorer组件的自动安装”来禁止这种提示的出现。不过有时这一功能也是很用的,所以在禁止此功能之前请稍加考虑。
5、 保护好你的个人隐私
一般通过单击IE工具栏上的“历史”按钮,便可了解以前浏览过的网页和文件。为保密起见,你可以通过双击启用“Internet Explorer”节点下的“不要保留最近打开文档的记录”和“退出时清除最近打开的文档记录”两个设置项,这样再单击IE工具栏上的“历史”按钮,你访问过的历史网页记录将全部消失。
6、 禁止修改IE浏览器的主页
如果不希望他人对你的主页进行修改,可启用“Internet Explorer”节点下的“禁用更改主页设置”设置项禁止别人更改你的主页。你也可通过访问“浏览器菜单”,启用其中的设置项对IE浏览器的若干菜单项进行屏蔽。最后,在“Internet控制面板”节点下,你还可对“Internet选项”对话框中的部分选项卡进行隐藏。
倘若启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
特别提示:如果设置了位于“用户配置”---“管理模板”---“Windows 组件”---“Internet Explorer”---“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
7、 禁用导入和导出收藏夹
禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。\\用户配置\\管理模板\\Windows组件\\Internet Explorer。
如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上的“导入和导出”菜单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹。
注意:如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完成”按钮时,将出现说明该功能已被禁用的提示信息。
六、系统安全/共享/权限设置
自有计算机以来,安全一直就是人们关注的焦点问题,Windows XP也不例外。在组策略中,系统安全配置一般在“计算机配置”---“Windows设置”---“安全设置”中进行。
1、 密码策略
这一策略在“账户策略”---“密码策略”节点中配置。口令是系统安全的一大隐患,可通过组策略设置密码(口令)的最小长度:双击启用“密码必须符合复杂性要求”设置项,确定后双击“密码长度最小值”设置项,在弹出来的对话框中将密码长度最小值设为8或更大,这样以后设置账户密码时就必须输入8位以上,安全性就高多了。
2、 用户权利指派
展开“本地策略”---“用户权利指派”节点,在右边窗口中便能看到“用户权利指派”节点下的所有设置。合适地指派用户权利可以解决一些奇怪的问题,例如在局域网中使用Windows XP系统的朋友一般会发现一个奇怪的现象,那就是即使你启用guest用户并给予权限,局域网中的其他Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个问题可在组策略中通过修改有关设置解决:双击“用户权利指派”节点下的“拒绝从网络访问这台计算机”设置项,在弹出对话框中点选“guest”,然后单击“删除”,最后确定即可。在“用户权利指派”节点下还可给用户添加许多权限,例如给guest添加远程关机权限、给一般用户添加更改系统时间的权限。
3、 文件和文件夹设置审核
Windows XP Professional可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。审核文件、文件夹(只适用于 NTFS文件系统)可以保证文件和文件夹的安全。在审核发生之前,您必须使用“组策略”指定要审核的事件类型。为文件和文件夹设置审核的步骤如下。
a.单击选择“开始”---“运行”命令,在弹出的“运行”对话框中键入“gpedit.msc”命令,然后单击“确定”按扭即可;当然你也可以在桌面上创建一个相应的快捷方式。
b.在弹出的“组策略”窗口中,逐级展开右侧窗格中的“计算机配置”---“Windows设置”---“安全设置”---“本地策略”分支,然后在该分支下选择“审核策略”选项。
c.在右侧窗格中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中,将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记。如图12所示。然后单击“确定”按扭
d.用鼠标右键单击想要审核的文件(或文件夹)。选择快捷菜单的“属性”命令,然后在弹出的窗口中选择“安全”选项卡。
e.单击“高级”按扭,然后选择“审核”选项卡。
f.根据具体情况选择您的操作:
(1)倘若对一个新组(或用户)设置审核 请单击“添加”按扭,在“名称”框中键入新用户名,然后单击“确定”按扭,将打开“审核项目”对话框。
(2)要查看(或更改)原有的组(或用户)审核 选择用户名,然后单击“查看/编辑”按扭。
(3)要删除原有的组(或用户)审核 选择用户名,然后单击“删除”按扭即可。
g.如有必要的话,在“审核项目”对话框中的“应用到”列表中选取您希望审核的地方(“应用到”列表仅对文件夹有效)。
h.如果您想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。
如果在“审核项目”对话框中的“访问”之下的复选框变暗,或在“访问控制设置”对话框中“删除”按钮不可用,那么说明已经继承了来自父文件夹的审核。
需要注意的是:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,您必须启用“组策略”中“审核策略”的“审核对象访问”。否则,当您设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。通过事件查看器(Event Viewer)可以检查那些访问审核过的文件和文件夹的成功或失败的尝试。
4 Windows 98访问Windows XP共享目录被拒绝的问题解决
在局域网内,经常可以遇到装有Windows 2000的电脑开了共享目录,而装有Windows 98的电脑却无法访问的问题。这个在微软的官方网页上可以找到答案,提示开启Windows 2000的GUEST用户就行了。可是Windows XP出来以后,同样的又面临这个问题,结果有些人发现这个方法不灵了,从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在?这个问题本也困扰过我好几天,后来在无意中发现了问题的答案,也许这是Windows XP的一个BUG?在开启了系统Guest用户的情况下,运行组策略编辑器程序,在“本地计算机策略”---“计算机配置”---“Windows设置”---“安全设置”---“本地策略”---“用户权利指派”---“拒绝从网络访问这台计算机”中赫然可以看到有Guest用户!如果在这里删除Guest用户,那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了
5、 阻止访问命令提示符
防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在计算机上运行。位置:\\用户配置\\管理模板\\系统\\ 如果启用这个设置,用户试图打开命
令窗口,系统会显示一个消息,解释设置阻止这种操作。注意:如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件;也不防止使用终端服务的用户运行批文件。
6、 阻止访问注册表编辑工具
该策略将禁用Regedit.exe,以禁用Windows注册表编辑器。这样可以很大程度防止网页上的恶意代码篡改IE。位置:\\用户配置\\管理模板\\系统\\ 如果这个设置被启用,并且用户试图启动注册表编辑器,解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管理工具,请使用“只运行许可的Windows应用程序”策略设置。
补充
1、 禁止程序后组策略无法使用
可以通过以下方法来恢复设置:重新启动计算机,在启动菜单出现时按F8键,在Windows高级选项菜单中选择“带命令行提示的安全模式”选项,然后在命令提示符下运行mmc.exe。在打开的“控制台”窗口中,依次点击“文件---添加/删除管理单元---添加---组策略---添加---完成---关闭---确定”,现在已经添加了一个组策略控制台,接下来把原来的设置改回来,然后重新进入Windows即可。
2、 从“我的电脑”中删除共享文档
当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置,你可选择不显示这些项目。本地计算机策略--->用户配置--->管理模板--->Windows组件--->Windows资源管理器\\如果启用此设置,“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会以Web视图方式显示或在“计算机”中出现。
备注:
1、 组策略在家庭版Windowss系统上不存在;
2、 组策略设置有风险,请注意提交备份数据。