、什麼是組策略
(一)組策略有什麼用?
說到組策略,就不得不提註冊表。註冊表是Windows系統中保存系統、應用軟件配置的數據庫,隨着Windows功能的越來越豐富,註冊表裏的配置項目也越來越多。很多配置都是 可以自定義設置的,但這些配置發佈在註冊表的各個角落,如果是手工配置,可想是多麼困難和煩雜。而組策略則將系統重要的配置功能彙集成各種配置模塊,供管理人員直接使用,從而達到方便管理計算機的目的。
簡單點說,組策略就是修改註冊表中的配置。當然,組策略使用自己更完善的管理組織方法,可以對各種對象中的設置進行管理和配置,遠比手工修改註冊表方便、靈活,功能也更加強大。
(二)組策略的版本
大部分Windows 9X/NT用戶可能聽過“系統策略”的概念,而我們現在大部分聽到的則是“組策略”這個名字。其實組策略是系統策略的更高級擴展,它是由Windows 9X/NT的“系統策略”發展而來的,具有更多的管理模板和更靈活的設置對象及更多的功能,目前主要應用於Windows 2000/XP/2003系統。
早期系統策略的運行機制是通過策略管理模板,定義特定的.POL(通常是Config.pol)文件。當用戶登錄的時候,它會重寫註冊表中的設置值。當然,系統策略編輯器也支持對當前註冊表的修改,另外也支持連接網絡計算機並對其註冊表進行設置。而組策略及其工具,則是對當前註冊表進行直接修改。顯然,Windows 2000/XP/2003系統的網絡功能是其最大的特色之處,其網絡功能自然是不可少的,因此組策略工具還可以打開網絡上的計算機進行配置,甚至可以打開某個Active Directory 對象(即站點、域或組織單位)並對它進行設置。這是以前“系統策略編輯器”工具無法做到的。
無論是系統策略還是組策略,它們的基本原理都是修改註冊表中相應的配置項目,從而達到配置計算機的目的,只是它們的一些運行機制發生了變化和擴展而已。
二、組策略中的管理模板
在Windows 2000/XP/2003目錄中包含了幾個 .adm 文件。這些文件是文本文件,稱爲“管理模板”,它們爲組策略管理模板項目提供策略信息。
在Windows 9X系統中,默認的admin.adm管理模板即保存在策略編輯器同一個文件夾中。而在Windows 2000/XP/2003的系統文件夾的inf文件夾中,包含了默認安裝下的4個模板文件,分別爲:
1)System.adm:默認情況下安裝在“組策略”中,用於系統設置。
2)Inetres.adm:默認情況下安裝在“組策略”中;用於Internet Explorer策略設置。
3)Wmplayer.adm:用於Windows Media Player 設置。
4)Conf.adm:用於NetMeeting 設置。
在Windows 2000/XP/2003的組策略控制檯中,可以多次添加“策略模板”,而在Windows 9X下,則只允許當前打開一個策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制檯中使用如下:
首先運行“組策略”程序,然後選擇“計算機配置”或者“用戶配置”下的“管理模板”,按下鼠標右鍵,在彈出的菜單中選擇“添加/刪除模板”.
然後單擊“添加”按鈕,在彈出的對話框中選擇相應的.adm文件。單擊“打開”按鈕,則在系統策略編輯器中打開選定的腳本文件,並等待用戶執行。
返回到“組策略”編輯器主界面後,依次打開目錄“本地計算機策略→用戶配置→管理模板”,再點擊相應的目錄樹,就會看到我們新添加的管理模板所產生的配置項目了(爲了便於本文後面的實例大家能一起動手操作,建議添加除默認模板文件的其它模板文件)。
再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的“文件”菜單中選擇“關閉”,以便將當前腳本關閉,然後再在“選項”菜單中選擇“模板”
然後單擊“打開模板”按鈕,在彈出的對話框中選擇相應的.adm文件並單擊“打開”按鈕,則在編輯器中打開選定的腳本文件並等待用戶執行。
三、運行組策略
(一)Windows 9X策略編輯器
按操作系統的不同,策略編輯工具分爲兩種,一種爲Windows 2000/XP/2003組策略管理控制檯,它在系統安裝時已經默認安裝上了;另外一種就是Windows 9X的系統策略編輯器,它在系統安裝時並不被安裝,程序文件在Windows安裝盤上的/tools/reskit/netadmin/poledit目錄下,它包括Poledit.exe、Poledit.inf、Windows.adm等文件。
如果是Windows 9X系統通過下面的方法,則可以進行正規的安裝過程。
1.在控制面板中,雙擊“添加/刪除程序”圖標,單擊“安裝Windows”標籤,然後單擊“從磁盤安裝”選項。
2.在從磁盤安裝對話框中,單擊“瀏覽”按鈕並指定Windows 9X安裝光盤的tools/reskit/netadmin/poledit目錄。
3.單擊“確認”按鈕,然後再次單擊對話框中的“確認”按鈕。
4.在從磁盤安裝對話框中,選擇“系統策略編輯器”和“組策略”複選框,然後單擊“安裝”按鈕。
安裝完成後,單擊“運行”命令項,輸入poledit,然後單擊“確認”按鈕,管理員可以以兩種不同的方式使用系統策略編輯器:註冊表方式和策略文件方式。
1.以註冊表方式使用系統策略編輯器。在系統策略編輯器中的文件菜單中,單擊打開註冊表編輯器,然後雙擊相應的本地用戶或本地計算機圖標。這取決於要編輯註冊表中的哪個部分。在使用註冊表方式時,可以直接編輯本地或遠程計算機的註冊表。這樣,所做的改變將立即反映出來。在做出修改之後,必須關機並重新啓動計算機以使所做修改生效。
2.以策略文件方式使用系統策略編輯器。在系統策略編輯器中的文件菜單中,單擊新建或打開來打開一個策略文件。在使用策略文件方式時,可以創建和修改用於其它計算機的系統策略文件(POL),在這種方式下,註冊表被間接地修改。這項改變將在用戶登錄時策略文件被下載後反映出來。當以策略文件方式編輯設置值時,單擊一個註冊表選項,可以看到三種可能狀態之一:選中、清除、變灰。每當選擇一個選項時,將會循環顯示下一個可能的狀態,這與選擇一個標準的複選框不同。標準的複選框只有選中或清除兩個選項。
如果一個設置值需要附加信息,那麼缺省用戶屬性對話框的底部將出現一個編輯控制。通常,如果選中了一個策略,而又不想強制使用它,應當清除該複選框來取消該策略。
(二)Windows 2000/XP/2003組策略控制檯
如果是Windows 2000/XP/2003系統,那麼系統默認已經安裝了組策略程序,在“開始”菜單中,單擊“運行”命令項,輸入gpedit.msc並確定,即可運行程序
使用上面的方法,打開的組策略對象就是當前的計算機,而如果需要配置其他的計算機組策略對象的話,則需要將組策略作爲獨立的控制檯管理程序來打開,具體步驟如下:
1)打開 Microsoft 管理控制檯(可在“開始”菜單的“運行”對話框中直接輸入MMC並回車,運行控制檯程序)。
2)在“文件”菜單上,單擊“添加/刪除管理單元”。
3)在“獨立”選項卡上,單擊“添加”。
4)在“可用的獨立管理單元”對話框中,單擊“組策略”,然後單擊“添加”。
5)在“選擇組策略對象”對話框中,單擊“本地計算機”編輯本地計算機對象,或通過單擊“瀏覽”查找所需的組策略對象。
6)單擊“完成”,單擊“關閉”,然後單擊“確定”。組策略管理單元即打開要編輯的組策略對象。
對於不包含域的計算機系統來說,在上面第5步的界面中,只有“計算機”標籤,而沒有其他標籤項目。
通過上面的方法,我們就可以使用Windows 2000/XP/2003組策略系統強大的網絡配置功能,讓管理員的工作更輕鬆和高效。
在上面我們介紹了Windows 9X下的策略編輯器配置項目有“選中、清除、變灰”三種狀態,Windows 2000/XP/2003組策略管理控制檯同樣也有三種狀態,只不過名字變了。它們分別是:已啓用、未配置、已禁用。
四、“桌面”設置
Windows的桌面就像我們的辦公桌一樣,需要經常進行整理和清潔,而組策略就如同我們的貼身祕書,讓桌面管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置實例:
位置:“組策略控制檯→用戶配置→管理模板→桌面”
1.隱藏桌面的系統圖標(Windows 2000/XP/2003)
雖然通過修改註冊表的方式可以實現隱藏桌面上的系統圖標的功能,但這樣比較麻煩,也有一定的風險。而採用組策略配置的方法,可以方便快捷地達到此目的。
比如要隱藏桌面上的“網上鄰居”和“Internet Explorer”圖標,只要在右側窗格中將“隱藏桌面上‘網上鄰居’圖標”和“隱藏桌面上的Internet Explorer圖標”兩個策略選項啓用即可;如果隱藏桌面上的所有圖標,只要將“隱藏和禁用桌面上的所有項目”啓用即可;當啓用了“刪除桌面上的‘我的文檔’圖標”和“刪除桌面上的‘我的電腦’圖標”兩個選項以後,“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失;同樣如果要讓“回收站”圖標消失,只須將“從桌面刪除回收站”策略項啓用即可。
2.退出時不保存桌面設置(Windows 2000/XP/2003)
此策略可以防止用戶保存對桌面的某些更改。如果你啓用這個策略,用戶仍然可以對桌面做更改,但有些更改,如圖標的位置、任務欄的位置及大小,在用戶註銷後都無法保存,不過任務欄上的快捷方式總可以被保存。
在右側窗格中將“退出時不保存設置”這個策略選項啓用即可。
3.屏蔽“清理桌面嚮導”功能(Windows XP/2003)
“清理桌面嚮導”會每隔 60 天自動在用戶的電腦上運行,以清除那些用戶不經常使用或者從不使用的桌面圖標。如果啓用此策略設置,則可以屏蔽“清理桌面嚮導”,如果你禁用或不配置此設置,“清理桌面嚮導”會按照默認設置每隔60天運行一次。
打開右側窗格中的“刪除清理桌面嚮導”,根據需要設置策略選項即可。
4.啓用/禁用“活動桌面”(Windows 2000/XP/2003)
“活動桌面”是Windows 98(及以後版本)或安裝了IE 4.0的系統中自帶的高級功能,最大的特點是可以設置各種圖片格式的牆紙,甚至可以將網頁作爲牆紙顯示。但出於對安全和性能的考慮,有時候我們需要禁用這一功能(並且禁止用戶啓用它),通過策略設置可以輕鬆達到這一要求。具體操作方法:打開右側窗格中的“禁用活動桌面”並啓用此策略。
提示:如果同時啓用“啓用 Active Desktop”設置和“禁用 Active Desktop”設置,則“禁用 Active Desktop”設置會被忽略。如果 “禁用 Active Desktop 和 Web 視圖”設置(在“用戶配置→管理模板→Windows組件→Windows資源管理器”中)被啓用,Active Desktop 就會被禁用,並且這兩個策略都會被忽略。
以上介紹了幾個關於桌面的組策略配置項目,在“組策略控制檯→用戶配置→管理模板→桌面”下還有其他若干組策略配置項目,讀者可根據需要進行配置,這裏不再贅述。
五、個性化“任務欄”和“開始”菜單
顯示了“任務欄”和“開始”菜單的有關組策略配置項目。下面我們來看具體的實例:
位置:“組策略控制檯→用戶配置→管理模板→任務欄和開始菜單”
1.給“開始”菜單減肥(Windows 2000/XP/2003)
如果覺得Windows的“開始”菜單太臃腫的話,可以將不需要的菜單項從“開始”菜單中刪除。在組策略右側窗格中,提供了“從開始菜單刪除用戶文件夾”、“刪除到‘Windows Update’的訪問和鏈接”、“從開始菜單刪除公用程序組”、“從開始菜單中刪除‘我的文檔’圖標”等多種組策略配置項目。你只要將不需要的菜單項所對應的策略啓用即可。
2.保護好“任務欄”和“開始”菜單(Windows 2000/XP/2003)
如果你不想隨意讓他人更改“任務欄”和“開始”菜單的設置,你只要將組策略控制檯右側窗格中的“阻止更改‘任務欄和開始菜單’設置”和“阻止訪問任務欄的上下文菜單”兩個策略項啓用即可。這樣,當你用鼠標右鍵單擊任務欄並單擊“屬性”時,系統會出現一個錯誤消息,且當鼠標右鍵單擊任務欄及任務欄上的項目時,例如“開始”按鈕、時鐘和“任務欄”按鈕,彈出菜單會隱藏。
3.禁止“註銷”和“關機”(Windows 2000/XP/2003)
當計算機啓動以後,如果你不希望這個用戶再進行“關機”和“註銷”操作,那麼可將組策略控制檯右側窗格中的“刪除開始菜單上的‘註銷’”和“刪除和阻止訪問‘關機’命令”兩個策略啓用。
這個設置會從開始菜單刪除“關機”選項,並禁用“Windows 任務管理器”對話框按“Ctrl+Alt+Del”會出現這個對話框中的“關機”選項 。另外需要注意的是,此設置雖然可防止用戶用 Windows界面來關機,但無法防止用戶用其他第三方工具程序來將 Windows 關閉。
提示:如果啓用了“刪除開始菜單上的‘註銷’”,則會從“開始菜單選項”刪除“顯示註銷”項目。用戶無法將“註銷<用戶名>”項目還原到開始菜單(只能通過手工修改註冊表的方法)。這個設置隻影響開始菜單,它不影響 “Windows 任務管理器”對話框上的“註銷”項目(因此需要同時啓用“刪除和阻止訪問‘關機’命令”),而且不妨礙用戶用其它方法註銷。
4.利用組策略保護個人文檔隱私(Windows 2000/XP/2003)
Windows有個高級智能功能,即可以記錄你曾經訪問過的文件。雖然這個功能可以方便用戶再次打開該文件,但出於安全和性能的考慮(例如不想讓人知道自己瀏覽過哪些網頁和打開過哪些文件),有時需要屏蔽此功能。利用組策略,只要在右側窗格中將“不要保留最近打開文檔的記錄”和“退出時清除最近打開的文檔的記錄”兩個策略啓用即可。
另外需要注意的是,如果啓用此策略設置但不啓用“從開始菜單中刪除文檔菜單”策略設置,“文檔”菜單還會出現在“開始”菜單上,但是該菜單爲空菜單。如果啓用此策略設置,後來又禁用它並將它設置爲“未配置”,則啓用策略設置之前保存的文檔快捷方式會重新出現在“文檔”菜單和應用程序的“文件”菜單中。
六、IE設置手到擒來
微軟的Internet Explorer讓我們可以輕鬆地在互聯網上遨遊,但要想用好Internet Explorer,則必須將它配置好。在IE瀏覽器的“Internet選項”窗口中,提供了比較全面的設置選項(例如:“首頁”、“臨時文件夾”、“安全級別”和“分級審查”等項目),但部分高級功能沒有提供,而通過組策略即可輕鬆實現這些功能。下面來看具體實例:
位置:“組策略控制檯→用戶配置→管理模板→Windows 組件→Internet Explorer(需添加inetres.adm模板文件)”
1.禁用“在新窗口中打開”菜單項(Windows 2000/XP/2003)
出於對安全的考慮,有時候我們有必要屏蔽IE的一些功能菜單,組策略提供了豐富的設置項目,比如禁用“另存爲...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打開’菜單項”爲例介紹具體的設置方法。
打開“組策略控制檯→用戶配置→管理模板→Windows 組件→Internet Explorer→瀏覽器菜單”,然後打開“禁用‘在新窗口中打開’菜單項”並設置爲“啓用”。啓用該策略後,用戶在某個鏈接上單擊鼠標右鍵,然後單擊“在新窗口中打開”時,該命令將不起作用。該策略可與“‘文件’菜單禁用‘新建’菜單項”一起使用,後者禁止用戶通過單擊“文件”菜單,指向“新建”,然後單擊“窗口”在新窗口中打開瀏覽器。
提示:啓用該策略後,單擊“在新窗口中打開”命令,將無法在新窗口中打開鏈接,系統會提示用戶該命令無效,網頁自動打開的窗口也全部被禁止,其實這樣也可達到屏蔽彈出廣告窗口的效果。
2.限制IE瀏覽器的保存功能(Windows 2000/XP/2003)
在使用IE瀏覽網頁過程中,當遇到好的圖片、文章等資源時可以使用“另存爲”功能將它保存到本地硬盤中,當多人共用一臺計算機時,爲了保持硬盤的整潔,需要對瀏覽器的保存功能進行限制。那麼如何才能實現呢?可以這樣操作:打開“組策略控制檯→用戶配置→管理模板→Windows組件→Internet Explorer→瀏覽器菜單”,然後將右側窗格中的“‘文件’菜單:禁用‘另存爲...’菜單項”、“‘文件’菜單:禁用另存爲網頁菜單項”、“‘查看’菜單:禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目全部啓用即可。
如果不希望別人對IE瀏覽器的設置隨意更改,可以將“‘工具’菜單:禁用‘Internet選項...’”策略啓用。另外,根據個人的需要,在該窗格中還可以禁用其他項目。
3.禁用“Internet 選項”控制面板(Windows 2000/XP/2003)
上面提到了“禁用Internet選項”的功能,使用該功能可以達到阻止別人對IE隨便設置的目的。而這種方法無法具體禁用Internet選項中的控制模板項目,因此給具體應用帶來麻煩。通過下面的組策略設置方法,則可以實現這一要求:
打開“組策略控制檯→用戶配置→管理模板→Windows組件→Internet Explorer→Internet 控制面板”,在右邊窗格中我們可以看到“禁用常規頁”、“禁用安全頁”等組策略項目。下面以“禁用常規頁”爲例進行說明:打開右邊窗格中的“禁用常規頁”並設置爲“啓用”。然後我們再打開Internet選項控制面板,會發現“常規”項目已經沒有了,這樣一來用戶將無法看到和更改主頁、緩存、歷史記錄、網頁外觀以及輔助功能的設置,因爲該策略將刪除界面上的“常規”選項卡,所以如果設置了該策略,則無須設置位於 “用戶配置→管理模板→Windows 組件→Internet Explorer”中的諸如“禁用更改主頁設置”、“禁用更改顏色設置”等策略。
4.禁止修改IE瀏覽器的主頁(Windows 2000/XP/2003)
如果不希望他人對自己設定的IE瀏覽器主頁進行隨意更改的話,可以打開“組策略控制檯→用戶配置→管理模板→Windows組件→Internet Explorer→工具欄”,然後選擇“禁用更改主頁設置”組策略並啓用即可。另外在這個窗格中,還提供了“更改歷史記錄設置”、“更改顏色設置”和“更改Internet臨時文件設置”等項目的禁用功能。
啓用此策略後,在IE瀏覽器的“Internet 選項”對話框中,其“常規”選項卡的“主頁”區域的設置將變灰。
提示:如果設置了位於“組策略控制檯→用戶配置→管理模板→Windows組件→Internet Explorer→Internet Explorer控制面板”中的“禁用常規頁”策略,則無須設置該策略,因爲“禁用常規頁”策略將刪除界面上的“常規”選項卡。
5.自定義IE工具欄(Windows 2000/XP/2003)
IE工具欄的背景和上面的按鈕都是可以自定義的,以前我們大多使用手動修改註冊表的方法,不過並不直觀,現在我們用“組策略”可以更方便地達到效果,打造屬於我們自己的IE。
打開“組策略控制檯→用戶配置→Windows設置→Internet Explorer維護→瀏覽器用戶界面”下的“瀏覽器工具欄按鈕自定義”策略配置項目,在這裏,可以自定義瀏覽器工具欄的背景圖片,點擊“瀏覽”選擇一個BMP的位圖文件即可(注意:工具欄背景應該與工具欄大小相同,而亮度應該足以顯示黑色文字,否則實際效果並不理想)。
接下來,我們要在IE的工具欄上添加自己的快捷方式,比如添加“我的QQ”,在這裏也可以很輕鬆地完成。
點擊“添加”,在“工具欄標題”中輸人“我的QQ”,在“工具欄操作”中選擇QQ程序的路徑,最後再選擇好“顏色圖標”和“灰度圖標”的路徑(如果你不知道怎麼提取這兩個圖標,可以請EXeScope這個軟件來幫忙,在各大站點都可以下載)。設置完成後點“確定”,再次打開IE後就可以看到修改的效果了。
七、輕鬆實現Windows高級功能
1.設置並鎖定Windows Media Player外觀(Windows 2000/XP/2003)
Windows Media Player是目前最流行的多媒體播放器之一,如果不希望其他用戶隨意更改其界面外觀的話,利用組策略可以輕鬆實現。打開“組策略控制檯→用戶配置→管理模板→Windows 組件→Windows Media Player→用戶界面中的設置並鎖定外觀”啓用此策略。
啓用此策略後,將使 Windows Media Player 只以指定的外觀模式顯示,具體可以使用在“策略”選項卡上的“外觀”框中指定的外觀。你必須爲外觀使用完整的文件名例如miniplayer.wmz。如果外觀文件在用戶的計算機上沒有安裝,播放器將以Windows Media Player外觀打開。
提示:本策略設置軟件版本至少爲Windows Media Player v8.00,ADM文件爲wmplayer.adm。
2.禁止Windows Media Player播放時運行屏保(Windows 2000/XP/2003)
屏幕保護程序可以有效地保護我們的顯示器,但是當我們使用播放器觀看精彩影片時,經常會出現屏幕保護程序突然運行而中斷觀看的尷尬局面。現在我們可以通過組策略來解決屏幕保護程序使Windows Media Player播放中斷的麻煩問題了。打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows Media Player→播放中的允許運行屏幕保護程序”並將它設置爲“已禁用”狀態。
3.優化配置Windows Media Player網絡緩衝(Windows 2000/XP/2003)
當我們使用Windows Media Player播放流式媒體時,播放器會在播放前對流式媒體進行緩衝處理,以便可以流暢地進行播放。在實際應用中,根據網絡帶寬和服務器的連接速度,緩存的時間長短並不一樣,但Windows Media Player卻是在使用同一設置,這無疑與實際網絡情況不匹配,因此我們可以根據具體的網絡帶寬情況自己優化配置網絡緩衝。打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows Media Player→網絡中的配置網絡緩衝”並設置爲啓用狀態,在出現的緩衝時間(秒數)配置選項中,根據網絡的帶寬情況進行自定義(最多 60 秒)。
提示:如果此策略已啓用,那麼Windows Media Player“性能”選項卡上的緩存選項將不能再配置。
4.屏蔽使用所有 Windows Update 功能的訪問(Windows 2000/XP/2003)
Windows Update可以自動連接Microsoft網站並下載更新內容,這對大部分用戶來說是比較實用的,但對於不需要更新或者帶寬緊張的電腦用戶來說,此功能就顯得多餘了,而且經常傳聞Windows Update會將計算機用戶信息“祕密”發往Microsoft,因此也可以屏蔽這一“智能”高級功能。打開“組策略控制檯→用戶配置→管理模板→Windows 組件→Windows Update”中的“刪除使用所有 Windows Update 功能的訪問”組策略並啓用此策略。
提示:如果你啓用此設置,所有 Windows Update功能(其中包括阻止訪問Windows Update網站http//windowsupdate.microsoft.com、開始菜單上的 Windows Update的超鏈接和Internet資源管理器上的工具菜單)將被刪除。Windows自動更新也被禁用,你將不會收到有關更新的通知,也不會接到Windows Update的重要更新。此設置還會阻止設備管理器自動從Windows Update網站下載安裝驅動程序的更新。
5.在Windows XP/2003中實現遠程關機(Windows XP/2003)
在Windows XP/2003中,新增了一條命令行工具“shutdown”,它可以關閉或重新啓動本地或遠程計算機。利用它,我們不但可以註銷用戶、關閉或重新啓動計算機,還可以實現定時關機、遠程關機。該命令的語法格式如下:
shutdown [-i |-l|-s |-r |-a][-f][-m[//ComputerName]][-t xx][-c ″message″][-d[p]:xx:yy]
該命令具體的使用參數和技巧請參考Windows的幫助系統,幫助系統裏面有全面的資料。我們現在簡單地看一下該命令的一些基本用法:
1)註銷當前用戶
shutdown - l
該命令只能註銷本機用戶,對遠程計算機不適用。
2)關閉本地計算機
shutdown - s
3)重啓本地計算機
shutdown - r
4)定時關機
shutdown - s -t 30
指定在30秒之後自動關閉計算機。
5)中止計算機的關閉。有時我們設定了計算機定時關機後,如果出於某種原因又想取消這次關機操作,就可以用shutdown - a來中止。
在該命令的格式中,有一個參數[-m [//ComputerName],用它可以指定將要關閉或重啓的計算機名稱,若省略的話則默認爲對本機操作。你可以用以下命令來試一下:
shutdown -s -m //Anyes-solon -t 30
在30秒內關閉計算機名爲Anyes-solon(Anyes-solon爲局域網內一臺同樣裝有Windows XP/2003)的電腦。
該命令執行後,計算機Anyes-solon一點反應都沒有,屏幕上卻提示“Access is denied (拒絕訪問)”。
出現這種情況是因爲Windows XP默認的安全策略中,只有管理員組的用戶纔有權從遠端關閉計算機,而一般情況下我們從局域網內的其他電腦訪問該計算機時,則只有guest用戶權限,所以當我們執行上述命令時,便會出現“拒絕訪問”的情況。
而我們利用組策略即可賦予guest用戶遠程關機的權限。打開“組策略控制檯→計算機配置→Windows 設置→安全設置→本地策略→用戶權利指派中的從遠端系統強制關機”,在彈出的對話框中顯示目前只有“Administrators”組的成員纔有權從遠程關機;單擊對話框下方的“添加用戶或組”按鈕,然後在新彈出的對話框中輸入“guest”,再單擊“確定”按鈕。
通過上述操作後,我們便給計算機Anyes-solon的guest用戶授予了遠程關機的權限。以後,倘若你要遠程關閉計算機Anyes-solon,只要在網絡中其他裝有Windows XP/2003的計算機中輸入以下命令shutdown -s -m //Anyes-solon -t 60即可。
這時,在Anyes-solon計算機的屏幕上將顯示一個“系統關機”的對話框,在對話框下方還有一個計時器,顯示離關機還有多少時間。在等待關機的時間裏,用戶還可以執行其他的任務,如關閉程序、打開文件等,但無法關閉該對話框,除非你用shutdown -a命令來中止關機任務。
八、用組策略提升系統性能
1.讓Windows 的上網速率提升20%(Windows XP/2003)
默認情況下,Windows網絡連接數據包調度程序將系統限制在80%的連接帶寬之內,這對帶寬較小的網絡來說,無疑是筆不小的開支。我們可以通過組策略設置來替代默認值,讓我們的上網速率提高20%!
打開“組策略控制檯→計算機配置→管理模板→網絡”中的“QoS數據包調度程序”並啓用此策略,然後使用下面“帶寬限制”框來調整系統可保留的帶寬比例,將它設置爲0%即可,然後按確定退出,之後我們就可以使用另外20%的帶寬了。
2.關閉縮略圖的緩存(Windows XP/2003)
Windows XP/20003系統具有縮略圖視圖功能,且爲了加快那些被頻繁瀏覽的縮略圖顯示速度,系統會將這些被顯示過的圖片進行緩存,以便下次打開時直接讀取緩存中的信息,從而達到快速顯示的目的。但如果我們不希望系統進行緩衝的話(比如只瀏覽一次的圖片),則可以利用組策略關閉縮略圖緩存的功能,這樣第一次瀏覽速度反而會大大加快(因爲不進行緩存處理)。
打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“關閉縮略圖的緩存”並啓用此策略。
3.屏蔽系統自帶的CD刻錄功能(Windows XP/2003)
Windows XP/2003系統自帶CD刻錄功能,如果你有CD刻錄機接在計算機上,Windows 資源管理器允許你製作並修改可重寫式CD。但這樣無疑會影響系統性能和資源管理器的執行速度,因此我們可以利用組策略來屏蔽此功能(大部分用戶都使用專用的CD刻錄軟件)。
打開“組策略控制檯→用戶配置→管理模板→網絡→”中的“刪除CD刻錄功能”並啓用此策略。
4.關閉系統還原功能(Windows XP/2003)
系統還原是Windows XP/2003中集成的強大功能,它在系統運行的同時,備份那些被更改的文件和數據,如果出現問題,系統還原使用戶能夠在不丟失個人數據文件的情況下,將計算機還原到以前的狀態。默認情況下,系統還原處於打開狀態。
但爲這一功能付出的代價也是相當大的,系統性能會明顯下降,磁盤空間也會被佔用很多。對於配置不高的計算機來說,強烈建議關閉此功能。
打開“組策略控制檯→計算機配置→管理模板→系統→系統還原”中的“關閉系統還原”並啓用此策略。啓用此設置後即可關閉系統還原功能,並且不能訪問“系統還原嚮導”和“配置界面”。
5.禁止Windows Messenger自動運行(Windows XP/2003)
在Windows系統中集成的優秀應用軟件越來越多,但這些系統內置的軟件都沒有卸載選項,引起很多電腦用戶的不滿。比如Windows XP自帶的Windows Messenger,不但卸載不方便而且還隨系統一起自動運行。對於不上網的計算機用戶或者根本就不用Windows Messenger的用戶來說,當然要屏蔽此軟件的自動運行功能。
打開“組策略控制檯→計算機配置→管理模板→Windows組件→Windows Messenger”中的“不允許運行Windows Messenger ”並啓用此策略。
提示:這個設置出現在“計算機配置”和“用戶配置”文件夾中。如果兩個設置都配置,“計算機配置”中的設置比“用戶配置”中的設置優先。
九、用組策略打造系統銅牆鐵壁級功能
1.隱藏“我的電腦”中指定的驅動器(Windows XP/2003)
此組策略可以從“我的電腦”和“Windows 資源管理器”上刪除代表所選硬件驅動器的圖標。並且驅動器號代表的所有驅動器不出現在標準的打開對話框上。
打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“隱藏‘我的電腦’中的這些指定的驅動器”並啓用此策略,並在下面列表框中選擇一個驅動器或幾個驅動器。
提示:這項策略只刪除驅動器圖標。用戶仍可通過使用其它方式繼續訪問驅動器的內容。同時這項策略不會防止用戶使用程序訪問這些驅動器或其內容。並且也不會防止用戶使用磁盤管理即插即用來查看並更改驅動器特性。
2.防止從“我的電腦”訪問驅動器(Windows 2000/XP/2003)
此策略讓用戶無法查看在“我的電腦”或“Windows 資源管理器”中所選驅動器的內容。同時它也禁止使用運行對話框、鏡像網絡驅動器對話框或Dir命令查看在這些驅動器上的目錄。
打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“防止從‘我的電腦’訪問驅動器”並啓用此策略,並在下面列表框中選擇一個驅動器或幾個驅動器。
提示:這些代表指定驅動器的圖標仍舊會出現在“我的電腦”中,但是如果用戶雙擊圖標,會出現一條消息解釋設置防止這一操作。同時這些設置不會防止用戶使用其它程序訪問本地和網絡驅動器。並且不防止他們使用磁盤管理即插即用查看和更改驅動器特性。
3.禁止使用命令提示符(Windows 2000/XP/2003)
在Windows 2000/XP/2003下,我們可以運行cmd.exe進入命令提示符狀態,並可以繼續運行一些DOS命令和其他命令行程序。出於對安全的考慮,有些系統應該屏蔽此功能。
打開“組策略控制檯→用戶配置→管理模板→系統”中的“阻止訪問命令提示符”並啓用此策略,並在下面列表框中選擇是否“也停用命令提示符腳本處理”,這個設置還決定批處理文件 .cmd和.bat是否可以在計算機上運行。
如果啓用這個設置,在用戶試圖打開命令窗口時,系統會顯示一條消息,解釋設置阻止這一操作。
4.禁止更改顯示屬性(Windows 2000/XP/2003)
選擇“控制面板”中的“顯示”或在Windows桌面的空白處單擊右鍵選擇“屬性”,可進入“顯示設置”對話框,可以對桌面主題、桌面背景、屏保程序、顯示設置等各項進行設置,如果你不想讓別人隨意更改各項設置,可以通過組策略將它隱藏起來。
打開“組策略控制檯→用戶配置→管理模板→控制面板→顯示”,然後可以看到隱藏桌面選項卡、隱藏主題選項卡、隱藏保護程序選項卡、隱藏設置選項卡等策略配置,可根據需要對這些項目進行配置。比如啓用了“隱藏‘桌面’選項卡”策略後,再打開“顯示屬性”對話框,就看不到“桌面”標籤了,這樣自然就無法再對桌面屬性進行更改了。
5.禁用註冊表編輯器(Windows 2000/XP/2003)
爲了防止他人進入電腦後對註冊表文件進行修改,可以在組策略中對註冊表編輯器做禁止訪問設置。具體操作方法:打開“組策略控制檯→用戶配置→系統”中的“阻止訪問註冊表編輯工具”並啓用此策略。
此策略被啓用後,用戶試圖啓動註冊表編輯器(Regedit.exe 及 Regedt32.exe)的時候,系統會禁止這類操作並彈出警告消息。
6.徹底禁止訪問“控制面板”(Windows 2000/XP/2003)
如果不希望其他用戶訪問計算機的“控制面板”,同樣可以使用組策略來實現。打開“組策略控制檯→用戶配置→管理模板→擴展面板”中的“禁止訪問控制面板”並啓用此策略。
此策略啓用後可以防止“控制面板”程序文件(Control.exe)的啓動。他人將無法啓動“控制面板”(或運行任何“控制面板”項目)。另外,這個設置將從“開始”菜單中刪除“控制面板”。同時這個設置還從“Windows資源管理器”中刪除“控制面板”文件夾。
7.禁止建立新的撥號連接(Windows 2000/XP/2003)
如果不想讓別人在計算機中建立新連接來撥號上網的話,組策略也可以做到。打開“組策略控制檯→用戶配置→管理模板→網絡→網絡連接”中的“禁止訪問新建連接嚮導”並啓用此策略。
啓用此策略後,在“網絡連接”文件夾和“開始菜單”中就不會出現“建立新連接”。
提示:此設置無法阻止用戶使用諸如 Internet Explorer 這樣的其它程序來繞過此設置。另外此設置必須重新啓動計算機後才能生效。
8.禁用“添加/刪除程序”(Windows 2000/XP/2003)
“控制面板”中“添加或刪除程序”項目允許你安裝、卸載、修復並添加和刪除 Windows 的功能和組件以及種類很多的 Windows 程序。如果你想阻止其他用戶安裝或卸載程序,可利用組策略來實現。
打開“組策略控制檯→用戶配置→管理模板→控制面板→添加→刪除程序”中的“刪除‘添加/刪除程序’程序”並啓用此策略,當我們再打開“控制面板”中“添加/刪除程序”模塊的時候,會自動彈出警告窗口,而“添加/刪除程序”則無法運行。
此外,在“添加/刪除程序”分支中還可以對Windows“添加/刪除程序”項中的“添加新程序”、“從CD-ROM或軟盤添加程序”、“從Microsoft添加程序”、“從網絡添加程序”等項進行隱藏,通過這些策略項目的設置,起到了保護計算機中系統文件及應用程序的作用。
9.限制使用應用程序(Windows 2000/XP/2003)
如果你的電腦設置了多個用戶,有些程序我們可能不希望其他用戶隨意運行,也能在組策略中設置。
打開“組策略控制檯→用戶配置→管理模板→系統”中的“只運行許可的Windows應用程序”並啓用此策略,然後點擊下面的“允許的應用程序列表”邊的“顯示”按鈕,彈出一個“顯示內容”對話框,在此單擊“添加”按鈕來添加允許運行的應用程序即可。以後一般用戶只能運行“允許的應用程序列表”中的程序。,
(一)組策略有什麼用?
說到組策略,就不得不提註冊表。註冊表是Windows系統中保存系統、應用軟件配置的數據庫,隨着Windows功能的越來越豐富,註冊表裏的配置項目也越來越多。很多配置都是 可以自定義設置的,但這些配置發佈在註冊表的各個角落,如果是手工配置,可想是多麼困難和煩雜。而組策略則將系統重要的配置功能彙集成各種配置模塊,供管理人員直接使用,從而達到方便管理計算機的目的。
簡單點說,組策略就是修改註冊表中的配置。當然,組策略使用自己更完善的管理組織方法,可以對各種對象中的設置進行管理和配置,遠比手工修改註冊表方便、靈活,功能也更加強大。
(二)組策略的版本
大部分Windows 9X/NT用戶可能聽過“系統策略”的概念,而我們現在大部分聽到的則是“組策略”這個名字。其實組策略是系統策略的更高級擴展,它是由Windows 9X/NT的“系統策略”發展而來的,具有更多的管理模板和更靈活的設置對象及更多的功能,目前主要應用於Windows 2000/XP/2003系統。
早期系統策略的運行機制是通過策略管理模板,定義特定的.POL(通常是Config.pol)文件。當用戶登錄的時候,它會重寫註冊表中的設置值。當然,系統策略編輯器也支持對當前註冊表的修改,另外也支持連接網絡計算機並對其註冊表進行設置。而組策略及其工具,則是對當前註冊表進行直接修改。顯然,Windows 2000/XP/2003系統的網絡功能是其最大的特色之處,其網絡功能自然是不可少的,因此組策略工具還可以打開網絡上的計算機進行配置,甚至可以打開某個Active Directory 對象(即站點、域或組織單位)並對它進行設置。這是以前“系統策略編輯器”工具無法做到的。
無論是系統策略還是組策略,它們的基本原理都是修改註冊表中相應的配置項目,從而達到配置計算機的目的,只是它們的一些運行機制發生了變化和擴展而已。
二、組策略中的管理模板
在Windows 2000/XP/2003目錄中包含了幾個 .adm 文件。這些文件是文本文件,稱爲“管理模板”,它們爲組策略管理模板項目提供策略信息。
在Windows 9X系統中,默認的admin.adm管理模板即保存在策略編輯器同一個文件夾中。而在Windows 2000/XP/2003的系統文件夾的inf文件夾中,包含了默認安裝下的4個模板文件,分別爲:
1)System.adm:默認情況下安裝在“組策略”中,用於系統設置。
2)Inetres.adm:默認情況下安裝在“組策略”中;用於Internet Explorer策略設置。
3)Wmplayer.adm:用於Windows Media Player 設置。
4)Conf.adm:用於NetMeeting 設置。
在Windows 2000/XP/2003的組策略控制檯中,可以多次添加“策略模板”,而在Windows 9X下,則只允許當前打開一個策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制檯中使用如下:
首先運行“組策略”程序,然後選擇“計算機配置”或者“用戶配置”下的“管理模板”,按下鼠標右鍵,在彈出的菜單中選擇“添加/刪除模板”.
然後單擊“添加”按鈕,在彈出的對話框中選擇相應的.adm文件。單擊“打開”按鈕,則在系統策略編輯器中打開選定的腳本文件,並等待用戶執行。
返回到“組策略”編輯器主界面後,依次打開目錄“本地計算機策略→用戶配置→管理模板”,再點擊相應的目錄樹,就會看到我們新添加的管理模板所產生的配置項目了(爲了便於本文後面的實例大家能一起動手操作,建議添加除默認模板文件的其它模板文件)。
再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的“文件”菜單中選擇“關閉”,以便將當前腳本關閉,然後再在“選項”菜單中選擇“模板”
然後單擊“打開模板”按鈕,在彈出的對話框中選擇相應的.adm文件並單擊“打開”按鈕,則在編輯器中打開選定的腳本文件並等待用戶執行。
三、運行組策略
(一)Windows 9X策略編輯器
按操作系統的不同,策略編輯工具分爲兩種,一種爲Windows 2000/XP/2003組策略管理控制檯,它在系統安裝時已經默認安裝上了;另外一種就是Windows 9X的系統策略編輯器,它在系統安裝時並不被安裝,程序文件在Windows安裝盤上的/tools/reskit/netadmin/poledit目錄下,它包括Poledit.exe、Poledit.inf、Windows.adm等文件。
如果是Windows 9X系統通過下面的方法,則可以進行正規的安裝過程。
1.在控制面板中,雙擊“添加/刪除程序”圖標,單擊“安裝Windows”標籤,然後單擊“從磁盤安裝”選項。
2.在從磁盤安裝對話框中,單擊“瀏覽”按鈕並指定Windows 9X安裝光盤的tools/reskit/netadmin/poledit目錄。
3.單擊“確認”按鈕,然後再次單擊對話框中的“確認”按鈕。
4.在從磁盤安裝對話框中,選擇“系統策略編輯器”和“組策略”複選框,然後單擊“安裝”按鈕。
安裝完成後,單擊“運行”命令項,輸入poledit,然後單擊“確認”按鈕,管理員可以以兩種不同的方式使用系統策略編輯器:註冊表方式和策略文件方式。
1.以註冊表方式使用系統策略編輯器。在系統策略編輯器中的文件菜單中,單擊打開註冊表編輯器,然後雙擊相應的本地用戶或本地計算機圖標。這取決於要編輯註冊表中的哪個部分。在使用註冊表方式時,可以直接編輯本地或遠程計算機的註冊表。這樣,所做的改變將立即反映出來。在做出修改之後,必須關機並重新啓動計算機以使所做修改生效。
2.以策略文件方式使用系統策略編輯器。在系統策略編輯器中的文件菜單中,單擊新建或打開來打開一個策略文件。在使用策略文件方式時,可以創建和修改用於其它計算機的系統策略文件(POL),在這種方式下,註冊表被間接地修改。這項改變將在用戶登錄時策略文件被下載後反映出來。當以策略文件方式編輯設置值時,單擊一個註冊表選項,可以看到三種可能狀態之一:選中、清除、變灰。每當選擇一個選項時,將會循環顯示下一個可能的狀態,這與選擇一個標準的複選框不同。標準的複選框只有選中或清除兩個選項。
如果一個設置值需要附加信息,那麼缺省用戶屬性對話框的底部將出現一個編輯控制。通常,如果選中了一個策略,而又不想強制使用它,應當清除該複選框來取消該策略。
(二)Windows 2000/XP/2003組策略控制檯
如果是Windows 2000/XP/2003系統,那麼系統默認已經安裝了組策略程序,在“開始”菜單中,單擊“運行”命令項,輸入gpedit.msc並確定,即可運行程序
使用上面的方法,打開的組策略對象就是當前的計算機,而如果需要配置其他的計算機組策略對象的話,則需要將組策略作爲獨立的控制檯管理程序來打開,具體步驟如下:
1)打開 Microsoft 管理控制檯(可在“開始”菜單的“運行”對話框中直接輸入MMC並回車,運行控制檯程序)。
2)在“文件”菜單上,單擊“添加/刪除管理單元”。
3)在“獨立”選項卡上,單擊“添加”。
4)在“可用的獨立管理單元”對話框中,單擊“組策略”,然後單擊“添加”。
5)在“選擇組策略對象”對話框中,單擊“本地計算機”編輯本地計算機對象,或通過單擊“瀏覽”查找所需的組策略對象。
6)單擊“完成”,單擊“關閉”,然後單擊“確定”。組策略管理單元即打開要編輯的組策略對象。
對於不包含域的計算機系統來說,在上面第5步的界面中,只有“計算機”標籤,而沒有其他標籤項目。
通過上面的方法,我們就可以使用Windows 2000/XP/2003組策略系統強大的網絡配置功能,讓管理員的工作更輕鬆和高效。
在上面我們介紹了Windows 9X下的策略編輯器配置項目有“選中、清除、變灰”三種狀態,Windows 2000/XP/2003組策略管理控制檯同樣也有三種狀態,只不過名字變了。它們分別是:已啓用、未配置、已禁用。
四、“桌面”設置
Windows的桌面就像我們的辦公桌一樣,需要經常進行整理和清潔,而組策略就如同我們的貼身祕書,讓桌面管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置實例:
位置:“組策略控制檯→用戶配置→管理模板→桌面”
1.隱藏桌面的系統圖標(Windows 2000/XP/2003)
雖然通過修改註冊表的方式可以實現隱藏桌面上的系統圖標的功能,但這樣比較麻煩,也有一定的風險。而採用組策略配置的方法,可以方便快捷地達到此目的。
比如要隱藏桌面上的“網上鄰居”和“Internet Explorer”圖標,只要在右側窗格中將“隱藏桌面上‘網上鄰居’圖標”和“隱藏桌面上的Internet Explorer圖標”兩個策略選項啓用即可;如果隱藏桌面上的所有圖標,只要將“隱藏和禁用桌面上的所有項目”啓用即可;當啓用了“刪除桌面上的‘我的文檔’圖標”和“刪除桌面上的‘我的電腦’圖標”兩個選項以後,“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失;同樣如果要讓“回收站”圖標消失,只須將“從桌面刪除回收站”策略項啓用即可。
2.退出時不保存桌面設置(Windows 2000/XP/2003)
此策略可以防止用戶保存對桌面的某些更改。如果你啓用這個策略,用戶仍然可以對桌面做更改,但有些更改,如圖標的位置、任務欄的位置及大小,在用戶註銷後都無法保存,不過任務欄上的快捷方式總可以被保存。
在右側窗格中將“退出時不保存設置”這個策略選項啓用即可。
3.屏蔽“清理桌面嚮導”功能(Windows XP/2003)
“清理桌面嚮導”會每隔 60 天自動在用戶的電腦上運行,以清除那些用戶不經常使用或者從不使用的桌面圖標。如果啓用此策略設置,則可以屏蔽“清理桌面嚮導”,如果你禁用或不配置此設置,“清理桌面嚮導”會按照默認設置每隔60天運行一次。
打開右側窗格中的“刪除清理桌面嚮導”,根據需要設置策略選項即可。
4.啓用/禁用“活動桌面”(Windows 2000/XP/2003)
“活動桌面”是Windows 98(及以後版本)或安裝了IE 4.0的系統中自帶的高級功能,最大的特點是可以設置各種圖片格式的牆紙,甚至可以將網頁作爲牆紙顯示。但出於對安全和性能的考慮,有時候我們需要禁用這一功能(並且禁止用戶啓用它),通過策略設置可以輕鬆達到這一要求。具體操作方法:打開右側窗格中的“禁用活動桌面”並啓用此策略。
提示:如果同時啓用“啓用 Active Desktop”設置和“禁用 Active Desktop”設置,則“禁用 Active Desktop”設置會被忽略。如果 “禁用 Active Desktop 和 Web 視圖”設置(在“用戶配置→管理模板→Windows組件→Windows資源管理器”中)被啓用,Active Desktop 就會被禁用,並且這兩個策略都會被忽略。
以上介紹了幾個關於桌面的組策略配置項目,在“組策略控制檯→用戶配置→管理模板→桌面”下還有其他若干組策略配置項目,讀者可根據需要進行配置,這裏不再贅述。
五、個性化“任務欄”和“開始”菜單
顯示了“任務欄”和“開始”菜單的有關組策略配置項目。下面我們來看具體的實例:
位置:“組策略控制檯→用戶配置→管理模板→任務欄和開始菜單”
1.給“開始”菜單減肥(Windows 2000/XP/2003)
如果覺得Windows的“開始”菜單太臃腫的話,可以將不需要的菜單項從“開始”菜單中刪除。在組策略右側窗格中,提供了“從開始菜單刪除用戶文件夾”、“刪除到‘Windows Update’的訪問和鏈接”、“從開始菜單刪除公用程序組”、“從開始菜單中刪除‘我的文檔’圖標”等多種組策略配置項目。你只要將不需要的菜單項所對應的策略啓用即可。
2.保護好“任務欄”和“開始”菜單(Windows 2000/XP/2003)
如果你不想隨意讓他人更改“任務欄”和“開始”菜單的設置,你只要將組策略控制檯右側窗格中的“阻止更改‘任務欄和開始菜單’設置”和“阻止訪問任務欄的上下文菜單”兩個策略項啓用即可。這樣,當你用鼠標右鍵單擊任務欄並單擊“屬性”時,系統會出現一個錯誤消息,且當鼠標右鍵單擊任務欄及任務欄上的項目時,例如“開始”按鈕、時鐘和“任務欄”按鈕,彈出菜單會隱藏。
3.禁止“註銷”和“關機”(Windows 2000/XP/2003)
當計算機啓動以後,如果你不希望這個用戶再進行“關機”和“註銷”操作,那麼可將組策略控制檯右側窗格中的“刪除開始菜單上的‘註銷’”和“刪除和阻止訪問‘關機’命令”兩個策略啓用。
這個設置會從開始菜單刪除“關機”選項,並禁用“Windows 任務管理器”對話框按“Ctrl+Alt+Del”會出現這個對話框中的“關機”選項 。另外需要注意的是,此設置雖然可防止用戶用 Windows界面來關機,但無法防止用戶用其他第三方工具程序來將 Windows 關閉。
提示:如果啓用了“刪除開始菜單上的‘註銷’”,則會從“開始菜單選項”刪除“顯示註銷”項目。用戶無法將“註銷<用戶名>”項目還原到開始菜單(只能通過手工修改註冊表的方法)。這個設置隻影響開始菜單,它不影響 “Windows 任務管理器”對話框上的“註銷”項目(因此需要同時啓用“刪除和阻止訪問‘關機’命令”),而且不妨礙用戶用其它方法註銷。
4.利用組策略保護個人文檔隱私(Windows 2000/XP/2003)
Windows有個高級智能功能,即可以記錄你曾經訪問過的文件。雖然這個功能可以方便用戶再次打開該文件,但出於安全和性能的考慮(例如不想讓人知道自己瀏覽過哪些網頁和打開過哪些文件),有時需要屏蔽此功能。利用組策略,只要在右側窗格中將“不要保留最近打開文檔的記錄”和“退出時清除最近打開的文檔的記錄”兩個策略啓用即可。
另外需要注意的是,如果啓用此策略設置但不啓用“從開始菜單中刪除文檔菜單”策略設置,“文檔”菜單還會出現在“開始”菜單上,但是該菜單爲空菜單。如果啓用此策略設置,後來又禁用它並將它設置爲“未配置”,則啓用策略設置之前保存的文檔快捷方式會重新出現在“文檔”菜單和應用程序的“文件”菜單中。
六、IE設置手到擒來
微軟的Internet Explorer讓我們可以輕鬆地在互聯網上遨遊,但要想用好Internet Explorer,則必須將它配置好。在IE瀏覽器的“Internet選項”窗口中,提供了比較全面的設置選項(例如:“首頁”、“臨時文件夾”、“安全級別”和“分級審查”等項目),但部分高級功能沒有提供,而通過組策略即可輕鬆實現這些功能。下面來看具體實例:
位置:“組策略控制檯→用戶配置→管理模板→Windows 組件→Internet Explorer(需添加inetres.adm模板文件)”
1.禁用“在新窗口中打開”菜單項(Windows 2000/XP/2003)
出於對安全的考慮,有時候我們有必要屏蔽IE的一些功能菜單,組策略提供了豐富的設置項目,比如禁用“另存爲...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打開’菜單項”爲例介紹具體的設置方法。
打開“組策略控制檯→用戶配置→管理模板→Windows 組件→Internet Explorer→瀏覽器菜單”,然後打開“禁用‘在新窗口中打開’菜單項”並設置爲“啓用”。啓用該策略後,用戶在某個鏈接上單擊鼠標右鍵,然後單擊“在新窗口中打開”時,該命令將不起作用。該策略可與“‘文件’菜單禁用‘新建’菜單項”一起使用,後者禁止用戶通過單擊“文件”菜單,指向“新建”,然後單擊“窗口”在新窗口中打開瀏覽器。
提示:啓用該策略後,單擊“在新窗口中打開”命令,將無法在新窗口中打開鏈接,系統會提示用戶該命令無效,網頁自動打開的窗口也全部被禁止,其實這樣也可達到屏蔽彈出廣告窗口的效果。
2.限制IE瀏覽器的保存功能(Windows 2000/XP/2003)
在使用IE瀏覽網頁過程中,當遇到好的圖片、文章等資源時可以使用“另存爲”功能將它保存到本地硬盤中,當多人共用一臺計算機時,爲了保持硬盤的整潔,需要對瀏覽器的保存功能進行限制。那麼如何才能實現呢?可以這樣操作:打開“組策略控制檯→用戶配置→管理模板→Windows組件→Internet Explorer→瀏覽器菜單”,然後將右側窗格中的“‘文件’菜單:禁用‘另存爲...’菜單項”、“‘文件’菜單:禁用另存爲網頁菜單項”、“‘查看’菜單:禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目全部啓用即可。
如果不希望別人對IE瀏覽器的設置隨意更改,可以將“‘工具’菜單:禁用‘Internet選項...’”策略啓用。另外,根據個人的需要,在該窗格中還可以禁用其他項目。
3.禁用“Internet 選項”控制面板(Windows 2000/XP/2003)
上面提到了“禁用Internet選項”的功能,使用該功能可以達到阻止別人對IE隨便設置的目的。而這種方法無法具體禁用Internet選項中的控制模板項目,因此給具體應用帶來麻煩。通過下面的組策略設置方法,則可以實現這一要求:
打開“組策略控制檯→用戶配置→管理模板→Windows組件→Internet Explorer→Internet 控制面板”,在右邊窗格中我們可以看到“禁用常規頁”、“禁用安全頁”等組策略項目。下面以“禁用常規頁”爲例進行說明:打開右邊窗格中的“禁用常規頁”並設置爲“啓用”。然後我們再打開Internet選項控制面板,會發現“常規”項目已經沒有了,這樣一來用戶將無法看到和更改主頁、緩存、歷史記錄、網頁外觀以及輔助功能的設置,因爲該策略將刪除界面上的“常規”選項卡,所以如果設置了該策略,則無須設置位於 “用戶配置→管理模板→Windows 組件→Internet Explorer”中的諸如“禁用更改主頁設置”、“禁用更改顏色設置”等策略。
4.禁止修改IE瀏覽器的主頁(Windows 2000/XP/2003)
如果不希望他人對自己設定的IE瀏覽器主頁進行隨意更改的話,可以打開“組策略控制檯→用戶配置→管理模板→Windows組件→Internet Explorer→工具欄”,然後選擇“禁用更改主頁設置”組策略並啓用即可。另外在這個窗格中,還提供了“更改歷史記錄設置”、“更改顏色設置”和“更改Internet臨時文件設置”等項目的禁用功能。
啓用此策略後,在IE瀏覽器的“Internet 選項”對話框中,其“常規”選項卡的“主頁”區域的設置將變灰。
提示:如果設置了位於“組策略控制檯→用戶配置→管理模板→Windows組件→Internet Explorer→Internet Explorer控制面板”中的“禁用常規頁”策略,則無須設置該策略,因爲“禁用常規頁”策略將刪除界面上的“常規”選項卡。
5.自定義IE工具欄(Windows 2000/XP/2003)
IE工具欄的背景和上面的按鈕都是可以自定義的,以前我們大多使用手動修改註冊表的方法,不過並不直觀,現在我們用“組策略”可以更方便地達到效果,打造屬於我們自己的IE。
打開“組策略控制檯→用戶配置→Windows設置→Internet Explorer維護→瀏覽器用戶界面”下的“瀏覽器工具欄按鈕自定義”策略配置項目,在這裏,可以自定義瀏覽器工具欄的背景圖片,點擊“瀏覽”選擇一個BMP的位圖文件即可(注意:工具欄背景應該與工具欄大小相同,而亮度應該足以顯示黑色文字,否則實際效果並不理想)。
接下來,我們要在IE的工具欄上添加自己的快捷方式,比如添加“我的QQ”,在這裏也可以很輕鬆地完成。
點擊“添加”,在“工具欄標題”中輸人“我的QQ”,在“工具欄操作”中選擇QQ程序的路徑,最後再選擇好“顏色圖標”和“灰度圖標”的路徑(如果你不知道怎麼提取這兩個圖標,可以請EXeScope這個軟件來幫忙,在各大站點都可以下載)。設置完成後點“確定”,再次打開IE後就可以看到修改的效果了。
七、輕鬆實現Windows高級功能
1.設置並鎖定Windows Media Player外觀(Windows 2000/XP/2003)
Windows Media Player是目前最流行的多媒體播放器之一,如果不希望其他用戶隨意更改其界面外觀的話,利用組策略可以輕鬆實現。打開“組策略控制檯→用戶配置→管理模板→Windows 組件→Windows Media Player→用戶界面中的設置並鎖定外觀”啓用此策略。
啓用此策略後,將使 Windows Media Player 只以指定的外觀模式顯示,具體可以使用在“策略”選項卡上的“外觀”框中指定的外觀。你必須爲外觀使用完整的文件名例如miniplayer.wmz。如果外觀文件在用戶的計算機上沒有安裝,播放器將以Windows Media Player外觀打開。
提示:本策略設置軟件版本至少爲Windows Media Player v8.00,ADM文件爲wmplayer.adm。
2.禁止Windows Media Player播放時運行屏保(Windows 2000/XP/2003)
屏幕保護程序可以有效地保護我們的顯示器,但是當我們使用播放器觀看精彩影片時,經常會出現屏幕保護程序突然運行而中斷觀看的尷尬局面。現在我們可以通過組策略來解決屏幕保護程序使Windows Media Player播放中斷的麻煩問題了。打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows Media Player→播放中的允許運行屏幕保護程序”並將它設置爲“已禁用”狀態。
3.優化配置Windows Media Player網絡緩衝(Windows 2000/XP/2003)
當我們使用Windows Media Player播放流式媒體時,播放器會在播放前對流式媒體進行緩衝處理,以便可以流暢地進行播放。在實際應用中,根據網絡帶寬和服務器的連接速度,緩存的時間長短並不一樣,但Windows Media Player卻是在使用同一設置,這無疑與實際網絡情況不匹配,因此我們可以根據具體的網絡帶寬情況自己優化配置網絡緩衝。打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows Media Player→網絡中的配置網絡緩衝”並設置爲啓用狀態,在出現的緩衝時間(秒數)配置選項中,根據網絡的帶寬情況進行自定義(最多 60 秒)。
提示:如果此策略已啓用,那麼Windows Media Player“性能”選項卡上的緩存選項將不能再配置。
4.屏蔽使用所有 Windows Update 功能的訪問(Windows 2000/XP/2003)
Windows Update可以自動連接Microsoft網站並下載更新內容,這對大部分用戶來說是比較實用的,但對於不需要更新或者帶寬緊張的電腦用戶來說,此功能就顯得多餘了,而且經常傳聞Windows Update會將計算機用戶信息“祕密”發往Microsoft,因此也可以屏蔽這一“智能”高級功能。打開“組策略控制檯→用戶配置→管理模板→Windows 組件→Windows Update”中的“刪除使用所有 Windows Update 功能的訪問”組策略並啓用此策略。
提示:如果你啓用此設置,所有 Windows Update功能(其中包括阻止訪問Windows Update網站http//windowsupdate.microsoft.com、開始菜單上的 Windows Update的超鏈接和Internet資源管理器上的工具菜單)將被刪除。Windows自動更新也被禁用,你將不會收到有關更新的通知,也不會接到Windows Update的重要更新。此設置還會阻止設備管理器自動從Windows Update網站下載安裝驅動程序的更新。
5.在Windows XP/2003中實現遠程關機(Windows XP/2003)
在Windows XP/2003中,新增了一條命令行工具“shutdown”,它可以關閉或重新啓動本地或遠程計算機。利用它,我們不但可以註銷用戶、關閉或重新啓動計算機,還可以實現定時關機、遠程關機。該命令的語法格式如下:
shutdown [-i |-l|-s |-r |-a][-f][-m[//ComputerName]][-t xx][-c ″message″][-d[p]:xx:yy]
該命令具體的使用參數和技巧請參考Windows的幫助系統,幫助系統裏面有全面的資料。我們現在簡單地看一下該命令的一些基本用法:
1)註銷當前用戶
shutdown - l
該命令只能註銷本機用戶,對遠程計算機不適用。
2)關閉本地計算機
shutdown - s
3)重啓本地計算機
shutdown - r
4)定時關機
shutdown - s -t 30
指定在30秒之後自動關閉計算機。
5)中止計算機的關閉。有時我們設定了計算機定時關機後,如果出於某種原因又想取消這次關機操作,就可以用shutdown - a來中止。
在該命令的格式中,有一個參數[-m [//ComputerName],用它可以指定將要關閉或重啓的計算機名稱,若省略的話則默認爲對本機操作。你可以用以下命令來試一下:
shutdown -s -m //Anyes-solon -t 30
在30秒內關閉計算機名爲Anyes-solon(Anyes-solon爲局域網內一臺同樣裝有Windows XP/2003)的電腦。
該命令執行後,計算機Anyes-solon一點反應都沒有,屏幕上卻提示“Access is denied (拒絕訪問)”。
出現這種情況是因爲Windows XP默認的安全策略中,只有管理員組的用戶纔有權從遠端關閉計算機,而一般情況下我們從局域網內的其他電腦訪問該計算機時,則只有guest用戶權限,所以當我們執行上述命令時,便會出現“拒絕訪問”的情況。
而我們利用組策略即可賦予guest用戶遠程關機的權限。打開“組策略控制檯→計算機配置→Windows 設置→安全設置→本地策略→用戶權利指派中的從遠端系統強制關機”,在彈出的對話框中顯示目前只有“Administrators”組的成員纔有權從遠程關機;單擊對話框下方的“添加用戶或組”按鈕,然後在新彈出的對話框中輸入“guest”,再單擊“確定”按鈕。
通過上述操作後,我們便給計算機Anyes-solon的guest用戶授予了遠程關機的權限。以後,倘若你要遠程關閉計算機Anyes-solon,只要在網絡中其他裝有Windows XP/2003的計算機中輸入以下命令shutdown -s -m //Anyes-solon -t 60即可。
這時,在Anyes-solon計算機的屏幕上將顯示一個“系統關機”的對話框,在對話框下方還有一個計時器,顯示離關機還有多少時間。在等待關機的時間裏,用戶還可以執行其他的任務,如關閉程序、打開文件等,但無法關閉該對話框,除非你用shutdown -a命令來中止關機任務。
八、用組策略提升系統性能
1.讓Windows 的上網速率提升20%(Windows XP/2003)
默認情況下,Windows網絡連接數據包調度程序將系統限制在80%的連接帶寬之內,這對帶寬較小的網絡來說,無疑是筆不小的開支。我們可以通過組策略設置來替代默認值,讓我們的上網速率提高20%!
打開“組策略控制檯→計算機配置→管理模板→網絡”中的“QoS數據包調度程序”並啓用此策略,然後使用下面“帶寬限制”框來調整系統可保留的帶寬比例,將它設置爲0%即可,然後按確定退出,之後我們就可以使用另外20%的帶寬了。
2.關閉縮略圖的緩存(Windows XP/2003)
Windows XP/20003系統具有縮略圖視圖功能,且爲了加快那些被頻繁瀏覽的縮略圖顯示速度,系統會將這些被顯示過的圖片進行緩存,以便下次打開時直接讀取緩存中的信息,從而達到快速顯示的目的。但如果我們不希望系統進行緩衝的話(比如只瀏覽一次的圖片),則可以利用組策略關閉縮略圖緩存的功能,這樣第一次瀏覽速度反而會大大加快(因爲不進行緩存處理)。
打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“關閉縮略圖的緩存”並啓用此策略。
3.屏蔽系統自帶的CD刻錄功能(Windows XP/2003)
Windows XP/2003系統自帶CD刻錄功能,如果你有CD刻錄機接在計算機上,Windows 資源管理器允許你製作並修改可重寫式CD。但這樣無疑會影響系統性能和資源管理器的執行速度,因此我們可以利用組策略來屏蔽此功能(大部分用戶都使用專用的CD刻錄軟件)。
打開“組策略控制檯→用戶配置→管理模板→網絡→”中的“刪除CD刻錄功能”並啓用此策略。
4.關閉系統還原功能(Windows XP/2003)
系統還原是Windows XP/2003中集成的強大功能,它在系統運行的同時,備份那些被更改的文件和數據,如果出現問題,系統還原使用戶能夠在不丟失個人數據文件的情況下,將計算機還原到以前的狀態。默認情況下,系統還原處於打開狀態。
但爲這一功能付出的代價也是相當大的,系統性能會明顯下降,磁盤空間也會被佔用很多。對於配置不高的計算機來說,強烈建議關閉此功能。
打開“組策略控制檯→計算機配置→管理模板→系統→系統還原”中的“關閉系統還原”並啓用此策略。啓用此設置後即可關閉系統還原功能,並且不能訪問“系統還原嚮導”和“配置界面”。
5.禁止Windows Messenger自動運行(Windows XP/2003)
在Windows系統中集成的優秀應用軟件越來越多,但這些系統內置的軟件都沒有卸載選項,引起很多電腦用戶的不滿。比如Windows XP自帶的Windows Messenger,不但卸載不方便而且還隨系統一起自動運行。對於不上網的計算機用戶或者根本就不用Windows Messenger的用戶來說,當然要屏蔽此軟件的自動運行功能。
打開“組策略控制檯→計算機配置→管理模板→Windows組件→Windows Messenger”中的“不允許運行Windows Messenger ”並啓用此策略。
提示:這個設置出現在“計算機配置”和“用戶配置”文件夾中。如果兩個設置都配置,“計算機配置”中的設置比“用戶配置”中的設置優先。
九、用組策略打造系統銅牆鐵壁級功能
1.隱藏“我的電腦”中指定的驅動器(Windows XP/2003)
此組策略可以從“我的電腦”和“Windows 資源管理器”上刪除代表所選硬件驅動器的圖標。並且驅動器號代表的所有驅動器不出現在標準的打開對話框上。
打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“隱藏‘我的電腦’中的這些指定的驅動器”並啓用此策略,並在下面列表框中選擇一個驅動器或幾個驅動器。
提示:這項策略只刪除驅動器圖標。用戶仍可通過使用其它方式繼續訪問驅動器的內容。同時這項策略不會防止用戶使用程序訪問這些驅動器或其內容。並且也不會防止用戶使用磁盤管理即插即用來查看並更改驅動器特性。
2.防止從“我的電腦”訪問驅動器(Windows 2000/XP/2003)
此策略讓用戶無法查看在“我的電腦”或“Windows 資源管理器”中所選驅動器的內容。同時它也禁止使用運行對話框、鏡像網絡驅動器對話框或Dir命令查看在這些驅動器上的目錄。
打開“組策略控制檯→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“防止從‘我的電腦’訪問驅動器”並啓用此策略,並在下面列表框中選擇一個驅動器或幾個驅動器。
提示:這些代表指定驅動器的圖標仍舊會出現在“我的電腦”中,但是如果用戶雙擊圖標,會出現一條消息解釋設置防止這一操作。同時這些設置不會防止用戶使用其它程序訪問本地和網絡驅動器。並且不防止他們使用磁盤管理即插即用查看和更改驅動器特性。
3.禁止使用命令提示符(Windows 2000/XP/2003)
在Windows 2000/XP/2003下,我們可以運行cmd.exe進入命令提示符狀態,並可以繼續運行一些DOS命令和其他命令行程序。出於對安全的考慮,有些系統應該屏蔽此功能。
打開“組策略控制檯→用戶配置→管理模板→系統”中的“阻止訪問命令提示符”並啓用此策略,並在下面列表框中選擇是否“也停用命令提示符腳本處理”,這個設置還決定批處理文件 .cmd和.bat是否可以在計算機上運行。
如果啓用這個設置,在用戶試圖打開命令窗口時,系統會顯示一條消息,解釋設置阻止這一操作。
4.禁止更改顯示屬性(Windows 2000/XP/2003)
選擇“控制面板”中的“顯示”或在Windows桌面的空白處單擊右鍵選擇“屬性”,可進入“顯示設置”對話框,可以對桌面主題、桌面背景、屏保程序、顯示設置等各項進行設置,如果你不想讓別人隨意更改各項設置,可以通過組策略將它隱藏起來。
打開“組策略控制檯→用戶配置→管理模板→控制面板→顯示”,然後可以看到隱藏桌面選項卡、隱藏主題選項卡、隱藏保護程序選項卡、隱藏設置選項卡等策略配置,可根據需要對這些項目進行配置。比如啓用了“隱藏‘桌面’選項卡”策略後,再打開“顯示屬性”對話框,就看不到“桌面”標籤了,這樣自然就無法再對桌面屬性進行更改了。
5.禁用註冊表編輯器(Windows 2000/XP/2003)
爲了防止他人進入電腦後對註冊表文件進行修改,可以在組策略中對註冊表編輯器做禁止訪問設置。具體操作方法:打開“組策略控制檯→用戶配置→系統”中的“阻止訪問註冊表編輯工具”並啓用此策略。
此策略被啓用後,用戶試圖啓動註冊表編輯器(Regedit.exe 及 Regedt32.exe)的時候,系統會禁止這類操作並彈出警告消息。
6.徹底禁止訪問“控制面板”(Windows 2000/XP/2003)
如果不希望其他用戶訪問計算機的“控制面板”,同樣可以使用組策略來實現。打開“組策略控制檯→用戶配置→管理模板→擴展面板”中的“禁止訪問控制面板”並啓用此策略。
此策略啓用後可以防止“控制面板”程序文件(Control.exe)的啓動。他人將無法啓動“控制面板”(或運行任何“控制面板”項目)。另外,這個設置將從“開始”菜單中刪除“控制面板”。同時這個設置還從“Windows資源管理器”中刪除“控制面板”文件夾。
7.禁止建立新的撥號連接(Windows 2000/XP/2003)
如果不想讓別人在計算機中建立新連接來撥號上網的話,組策略也可以做到。打開“組策略控制檯→用戶配置→管理模板→網絡→網絡連接”中的“禁止訪問新建連接嚮導”並啓用此策略。
啓用此策略後,在“網絡連接”文件夾和“開始菜單”中就不會出現“建立新連接”。
提示:此設置無法阻止用戶使用諸如 Internet Explorer 這樣的其它程序來繞過此設置。另外此設置必須重新啓動計算機後才能生效。
8.禁用“添加/刪除程序”(Windows 2000/XP/2003)
“控制面板”中“添加或刪除程序”項目允許你安裝、卸載、修復並添加和刪除 Windows 的功能和組件以及種類很多的 Windows 程序。如果你想阻止其他用戶安裝或卸載程序,可利用組策略來實現。
打開“組策略控制檯→用戶配置→管理模板→控制面板→添加→刪除程序”中的“刪除‘添加/刪除程序’程序”並啓用此策略,當我們再打開“控制面板”中“添加/刪除程序”模塊的時候,會自動彈出警告窗口,而“添加/刪除程序”則無法運行。
此外,在“添加/刪除程序”分支中還可以對Windows“添加/刪除程序”項中的“添加新程序”、“從CD-ROM或軟盤添加程序”、“從Microsoft添加程序”、“從網絡添加程序”等項進行隱藏,通過這些策略項目的設置,起到了保護計算機中系統文件及應用程序的作用。
9.限制使用應用程序(Windows 2000/XP/2003)
如果你的電腦設置了多個用戶,有些程序我們可能不希望其他用戶隨意運行,也能在組策略中設置。
打開“組策略控制檯→用戶配置→管理模板→系統”中的“只運行許可的Windows應用程序”並啓用此策略,然後點擊下面的“允許的應用程序列表”邊的“顯示”按鈕,彈出一個“顯示內容”對話框,在此單擊“添加”按鈕來添加允許運行的應用程序即可。以後一般用戶只能運行“允許的應用程序列表”中的程序。,
