Windows操作系统组策略应用全攻略

Windows 操作系统组策略应用全攻略一、什么是组策略（一）组策略有什么用?说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置 的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置 都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是 多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接 使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织 方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也 更加强大。（二）组策略的版本大部分Wi ndows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则 是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系 统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应 用于 Windows 2000/XP/2003 系统。早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.poI）文 件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前 注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则 是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的 特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配 置，甚至可以打开某个 Active Directory 对象（即站点、域或组织单位）并对它进行设置。这 是以前“系统策略编辑器”工具无法做到的。无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而 达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。二、组策略中的管理模板在Windows 2000/XP/2003目录中包含了几个.adm文件。这些文件是文本文件，称 为“管理模板”，它们为组策略管理模板项目提供策略信息。在Windows 9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件 夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4 个模板文件，分别为：1）System.adm :默认情况下安装在组策略”中，用于系统设置。2）1 netres.adm：默认情况下安装在组策略”中;用于In ter net Explorer策略设置。3) Wmplayer.adm:用于 Windows Media Player 设置。4) Conf.adm：用于 NetMeeting 设置。在Windows 2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Win dows 9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Wi ndows 2000/XP/2003组策略控制台中使用如下： in 2003-5-20 :0T j已修改首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠 标右键，在弹出的菜单中选择“添加/删除模板”，则弹出如图1 所示的对话框。浮血til金蕊区 当前策略模橇ins t coirplnetres inet set5y5ten.回2001- 9-5 5:002002- 7-1 12:21001-9-5 5:002002-8- 6:06歸大小5EB 140KB l&KB 621KB唸加(A). j |删際迅匚图1然后单击“添加”按钮，在弹出的对话框中选择相应的adm文件。单击“打开”按钮，则在 系统策略编辑器中打开选定的脚本文件，并等待用户执行。返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略-用户配置-管理模 板”，再点击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了(为了便于 本文后面的实例大家能一起动手操作，建议添加除默认模板文件的其它模板文件)。再来看Wi ndows 9X下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择“关 闭”，以便将当前脚本关闭，然后再在“选项”菜单中选择“模板”，则弹出如图2所示的对话框。洁动模板；C?fOLED IT VkdniLiL. adm2SJ关闭打开模板.打开模複文件3冋型也Bffl厶 搜寻辽）：dFMudit阖 Adiri n. a dm播板文件企如町打开取消1图2然后单击“打开模板”按钮，在弹出的对话框中选择相应的.adm文件并单击“打开”按钮， 则在编辑器中打开选定的脚本文件并等待用户执行。三、运行组策略（一）Windows 2O00/XP/2003 组策略控制台如果是Windows 2000/XP/2003系统，那么系统默认已经安装了组策略程序，在“开始” 菜单中，单击运行命令项，输入gpedit.msc并确定，即可运行程序（界面如图4所示）。黑止思户鼻LnterTi 矍单中打开克何時却I站瀚U址忡”亲事癢币打幵至单磺.4卫 件崇恥 妄书奁弄乱.TS单理.审农岸宾伞非黑載淮喘卓瑙Zi： J- 1*|MTW 产 FTl.匸p* TT LiiTPII:i测範器栗闻i+ Bfr柞也 ay? h? .扌|目EH Gff画I常二| URL拳闺 LJ任务拦和阡启丿S-_l Ak._! Aclive DesHwT旳孵価勵册肋固G詡左全如 F胡鱼秋甬曙E HJ itHernet EJfptaref Sffte e 二1 S&iSS狂| 恢 thtefrwt ENnei JS8 二 J Wkndbm IS 枠 日 LJ CrttrnetExlMcrtr _l INferMt JS 二JJft机国 _J即號踌套单 二工且崔 二|芳蛙疗为 _|苕迎贾口旺眄一j 0 Wdmw 站步9 5. 虽 口 rtcrcraoft Lm.冲? 一I吊丄|同帧书 Wndwv 阳蕖. r I WxkW Mfi35CTTQ( Jj rtintkr uwloiie 言誨m Li U ifi迈蛙近?l _|PtCflDiftlGry 旦口 ISIS斑J曲Bl咽齡宦序P 何|尹和护右!朝鹽不盘: 击网更丄5捋, 卫科箱口中打壬T 上用户怏用胃偉営 幽 stninwi 穹L半启快復膜呼_ W上下？:班单点弐7;已&用（1? :己盘用皿）I 上t誉哟： Ta 匸更 弓匚里迪二；待 II凹且町UUA測聲 ff网25雯亦F垩歩Eplorr I辱 Q!图4使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机 组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：1）打开Microsoft管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC并回 车，运行控制台程序）。2）在“文件”菜单上，单击“添加/删除管理单元”。3）在“独立”选项卡上，单击“添加”。4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击 “浏览”查找所需的组策略对象。6）单击“完成”，单击“关闭”，然后单击“确定”。组策略管理单元即打开要编辑的组策略对 象。对于不包含域的计算机系统来说，在上面第5 步的界面中，只有“计算机”标签，而没有其他标签项目。通过上面的方法，我们就可以使用Wi ndows 2000/XP/2003组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。Windows 2000/XP/2003 组策略管理控制台具有“选中、清除、变灰”三种状态三种状态， 它们分别是：已启用、未配置、已禁用。四、“桌面”设置Windows 的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同 我们的贴身秘书，让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例位置：“组策略控制台T用户配置一管理模板T桌面”1隐藏桌面的系统图标(Windows 20OO/XP/2OO3)虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦 也有一定的风险。而采用组策略配置的方法，可以方便快捷地达到此目的。比如要隐藏桌面上的网上邻居”和In ternet Explorer”图标，只要在右侧窗格中将隐藏 桌面上网上邻居图标和隐藏桌面上的In ter net Explorer图标”两个策略选项启用即可(如图 5);如果隐藏桌面上的所有图标，只要将隐藏和禁用桌面上的所有项目”启用即可;当启用了 删除桌面上的我的文档图标”和删除桌面上的我的电脑图标”两个选项以后， 我的电脑” 和我的文档”图标将从你的电脑桌面上消失;同样如果要让回收站”图标消失，只须将从桌面 删除回收站”策略项启用即可。7亡的1.4 也7酉區鱼更-I -TrFtf r SLcJ-r 75ire（帧页j.醐JLill上的 臥hi联 和肛阳“ Sir爾騷耐沖imerreltkr.r阳洛阳虫rtf-.mpi-s!運 iMBlflcIE _| KfflBU: J計丑 _J a rrtwrrt Escteer Jfl秋R= _j wretowifl_日绘Ft_l一I iJfli聞街一一=i$细/电O 丄、JfJHferrftedexJj Adrri-DcAdEOfV_J .iCJjtffX:._J 嘶F： _i SU,l?f.Acln-rfiita为 FMSl%叩两 AJJl OLt 凱 F 対血 冷lAel ffillK如耳吕1BS.&从IL fillip包由詁 币梓手翩雄r上下*討单甲 闻此咖帧士 T；王其耶曹1 -逐RMeM 板_L 网LlnIS13&W陽嵐丿Si上fiFNt岳如I S=r? *不奏坯ins打更的賈因啓 8证 ；取黑止聊戸更理曙呦宜曲習IS 諮I孽止丰血按 駅砂闵总抖拦fir口vhT7：ffWa 曲畳腔砲K離屯召立鬲3 1*1111) 翼瞰生图52退出时不保存桌面设置(Windows 2000/XP/2003)此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌 面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存 不过任务栏上的快捷方式总可以被保存。在右侧窗格中将退出时不保存设置”这个策略选项启用即可。3屏蔽“清理桌面向导”功能（Windows XP/2003）“清理桌面向导”会每隔 60 天自动在用户的电脑上运行，以清除那些用户不经常使用或 者从不使用的桌面图标。如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁用或 不配置此设置，“清理桌面向导”会按照默认设置每隔60 天运行一次。打开右侧窗格中的“删除清理桌面向导”，根据需要设置策略选项即可。4启用/禁用“活动桌面 ”（Windows 2000/XP/2003）活动桌面”是Windows 98（及以后版本）或安装了 IE 4.0的系统中自带的高级功能，最 大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和 性能的考虑，有时候我们需要禁用这一功能（并且禁止用户启用它），通过策略设置可以轻松 达到这一要求。具体操作方法：打开右侧窗格中的“禁用活动桌面”并启用此策略。提示：如果同时启用启用Active Desktop”设置和禁用Active Desktop”设置，则禁用 Active Desktop设置会被忽略。如果禁用Active Desktop和Web视图”设置（在用户配 置管理模板Windows组件Windows资源管理器”中）被启用，Active Desktop就会被 禁用，并且这两个策略都会被忽略。以上介绍了几个关于桌面的组策略配置项目，在“组策略控制台用户配置管理模板桌面”下还有其他若干组策略配置项目，读者可根据需要进行配置，这里不再赘述。五、个性化“任务栏”和“开始”菜单在图 6 所示窗口的右侧，显示了“任务栏”和“开始”菜单的有关组策略配置项目。下面我 们来看具体的实例：*51翅计加Ele- 口 Wndowi iftfi glJB丰-住诙1劇E Si IrUwmrtGrpkrgr Jj 护 n u営眾iiwfi_i也IHttrwl展pkx收纶严口目轴克_|二（怦蟲站I?（二I宦匝 同一1 &制珑_|科犬井賢13 二J 丽13 二1 謎ST丈出口 tSlVi）垂看 Q WfflbfLD不宴解曽尼逬打幷口料爾芯靈 堂不雀年粹悬宗任冋n疋鬼工r拦 趣瑕开脑駕单甘同不町郦WMMkKf, .糾rj童卓El辩:眾帥-&尋 ;*从斤花I慕电跌网命辻擅- :强出开馆j離中bi孵.灌堂戌嗣| 护fffteJ班章n嘛书绎桶 郴 r ifte户丈特.也M时划填卓上H跆.文 测爪rjfte范获P昭wrtE贵X a出开殖慕单中険黴神川:或小 rfftei 电单中&.*刃的创菜卓中为S跖決伽 .iiM TffrtJ與睛中瞻E册序血 .期出口面柬电屮啣敢卞用 ；*丛开剧弦負屮赣帘岳罰瀬 S rffjsj東鼻中鱷时加報厚列悪 :* A r?F*sj来毕中 艦鋼可星时用 潜以幵尚坯邑屮n筋用尸呂，:*册笊曲糸庇富11時阳忖 盈iHHUHttLT 主 未時誉 主确去科羸ISAoeff sr蛾莊 乐娠畫魁陆蛊VXX.图6位置：“组策略控制台T用户配置一管理模板T任务栏和开始菜单”1给“开始”菜单减肥(Windows 20OO/XP/2OO3)如果觉得Windows的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜单中删 除。在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“删除到Windows Update 的访问和链接”、 “从开始菜单删除公用程序组”、 “从开始菜单中删除我的文档图标”等多种 组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。2保护好“任务栏”和“开始”菜单(Windows 2000/XP/2003)如果你不想随意让他人更改“任务栏”和“开始”菜单的设置，你只要将组策略控制台右侧 窗格中的“阻止更改任务栏和开始菜单设置”和“阻止访问任务栏的上下文菜单”两个策略项 启用即可。这样，当你用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息(图7) ，且当鼠标右键单击任务栏及任务栏上的项目时，例如“开始”按钮、时钟和“任务栏”按钮， 弹出菜单会隐藏。图73禁止“注销”和“关机” (Windows 2000/XP/2003)当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”操作，那么可将组策 略控制台右侧窗格中的“删除开始菜单上的注销”和“删除和阻止访问关机命令”两个策略启 用。这个设置会从开始菜单删除“关机”选项，并禁用“Windows任务管理器”对话框