組策略是管理員為計算機和用戶定義的,用來控制應用程序、系統設置和管理模板的一種機制。通俗一點說,是介於控制面板和注冊表之間的一種修改系統、設置程序的工具。微軟自Windows NT 4.0開始便采用了組策略這一機制,經過Windows 2000發展到Windows XP已相當完善。利用組策略可以修改Windows的桌面、開始菜單、登錄方式、組件、網絡及IE浏覽器等許多設置。
平時像一些常用的系統、外觀、網絡設置等我們可通過控制面板修改,但大家對此肯定都有不滿意,因為通過控制面板能修改的東西太少;水平稍高點的用戶進而使用修改注冊表的方法來設置,但注冊表涉及內容又太多,修改起來也不方便。組策略正好介於二者之間,涉及的內容比控制面板中的多,安全性和控制面板一樣非常高,而條理性、可操作性則比注冊表強。
本文主要介紹Windows XP Professional本地組策略的應用。本地計算機組策略主要可進行兩個方面的配置:計算機配置和用戶配置。其下所有設置項的配置都將保存到注冊表的相關項目中。其中計算機配置保存到注冊表的HKEY_LOCAL_MACHINE子樹中,用戶配置保存到HKEY_CURRENT_USER。
一、訪問組策略
有兩種方法可以訪問組策略:一是通過gpedit.msc命令直接進入組策略窗口;二是打開控制台,將組策略添加進去。
1. 輸入gpedit.msc命令訪問
選擇“開始”→“運行”,在彈出窗口中輸入“gpedit.msc”,回車後進入組策略窗口(圖1)。組策略窗口的結構和資源管理器相似,左邊是樹型目錄結構,由“計算機配置”、“用戶配置”兩大節點組成。這兩個節點下分別都有“軟件設置”、“Windows設置”和“管理模板”三個節點,節點下面還有更多的節點和設置。此時點擊右邊窗口中的節點或設置,便會出現關於此節點或設置的適用平台和作用描述。“計算機配置”、“用戶配置”兩大節點下的子節點和設置有很多是相同的,那麼我們該改哪一處?“計算機配置”節點中的設置應用到整個計算機策略,在此處修改後的設置將應用到計算機中的所有用戶。“用戶配置”節點中的設置一般只應用到當前用戶,如果你用別的用戶名登錄計算機,設置就不會管用了。但一般情況下建議在“用戶配置”節點下修改,本文也將主要講解“用戶配置”節點的各項設置的修改,附帶講解“計算機配置”節點下的一些設置。其中“管理模板”設置最多、應用最廣,因此也是本文的重中之重。
2. 通過控制台訪問組策略
單擊“開始”→“運行”,輸入“mmc”,回車後進入控制台窗口。單擊控制台窗口的“文件”→“添加/刪除管理單元”,在彈出窗口單擊“添加”(圖2),之後選擇“組策略”並單擊“添加”(圖3),在下一步的“選擇組策略對象”對話框中選擇對象。由於我們組策略對象就是“本地計算機”,因此不用更改,如果是網絡上的另一台計算機,那麼單擊“浏覽”選擇此計算機即可。另外,如果你希望保存組策略控制台,並希望能夠選擇通過命令行在控制台中打開組策略對象,請選中“當從命令行開始時,允許更改‘組策略管理單元’的焦點”復選框(圖4)。最後添加進來的組策略如圖5所示。
二、任務欄和“開始”菜單項目設置
本節點允許你為開始菜單、任務欄和通知區域添加、刪除或禁用某一功能項目。依次展開“用戶配置”→“管理模板”→“任務欄和‘開始’菜單”,在右邊窗口便能看到“任務欄和‘開始’菜單”節點下的具體設置,其狀態都處在“未被配置”(圖6)。
1. 給“開始”菜單減肥
Windows XP的“開始”菜單的菜單項很多,可通過組策略將不需要的刪除掉。以刪除開始菜單中的“我的文檔”圖標為例看看其具體操作方法:在右邊窗口中雙擊“從‘開始’菜單上刪除‘我的文檔’圖標”項,在彈出對話框的“設置”標簽中點選“已啟用”,然後單擊“確定”(圖7),這樣在“開始”菜單中“我的文檔”圖標將會隱藏。
2. 防止隱私洩漏
在開始菜單中有一個“我最近的文檔”菜單項,別人可通過此菜單訪問你最近打開的文檔,為安全起見,可刪除此菜單項,並設置不保存最近打開的文檔記錄。雙擊“不要保留最近打開文檔的記錄”、“退出時清除最近打開的文檔記錄”、“從‘開始’菜單上刪除‘文檔’菜單”3項,在彈出對話框中點選“已啟動”並確定即可。
3. 禁止隨意修改任務欄和“開始”菜單
為保護自己好不容易設置好的任務欄和“開始”菜單,可雙擊啟用下列各設置。
“阻止更改‘任務欄和‘開始’菜單 ’設置”:即從“開始”菜單的“設置”菜單項中刪除“任務欄和‘開始’菜單”項目,這個設置也可阻止用戶打開“任務欄屬性”對話框。“阻止訪問任務欄的上下文菜單”(上下文菜單即單擊右鍵彈出的快捷菜單):當鼠標右鍵單擊任務欄及任務欄上項目時隱藏菜單,例如“開始”按鈕、時鐘和任務欄按鈕,但不能禁止用戶在其他地方更改。“鎖定任務欄”:啟用此設置,可阻止用戶移動任務欄或調整任務欄的大小,但自動隱藏和其他任務欄選項仍然在“任務欄屬性”中可用。
4. 去掉Windows XP“開始”菜單中的圖形化設置
Windows XP的“開始”菜單增添了許多圖形化設置,其實可在組策略中將這些功能關閉。
“關閉個性化菜單”:Windows XP會自動將最近使用的菜單項移動到開始菜單頂部,並且隱藏最近沒有使用的菜單項,以此實現個性化菜單,啟用此設置將關閉個性化菜單。“強制典型菜單”:啟用此設置,開始菜單就以Windows 2000樣式顯示典型的開始菜單,並且顯示標准桌面圖標。
5. 禁止“注銷”和“關機”
進行三維動畫設計和視頻處理的朋友經常會為導出一個大型動畫、視頻文件而花幾個小時,這時如果有人重新啟動電腦或注銷用戶,那麼前面所做的工作就會白白浪費,因此有必要禁止“開始”菜單中的“注銷”、“關機”菜單項。你只需雙擊啟用“刪除‘開始’菜單上的‘注銷’”和“刪除和阻止訪問‘關機’命令”兩項即可。後一設置不僅將從“開始”菜單中刪除“關閉計算機”項,而且還會禁用“Windows 任務管理器”對話框中的“關機”選項(圖8)。
三、桌面項目設置
在“組策略”的左窗口依次展開“用戶配置”→“管理模板”→“桌面”節點,便能看到有關桌面的所有設置(圖9)。此節點主要作用在於管理用戶使用桌面的權利和隱藏桌面圖標。
1. 隱藏不必要的桌面圖標
桌面上的一些快捷方式我們可以輕而易舉地刪除,但要刪除“我的電腦”、“回收站”、“網上鄰居”等默認圖標,就需要依靠“組策略”了。例如要刪除“我的文檔”,只需在“刪除桌面上的‘我的文檔’圖標”一項中設置即可。
2. 禁止對桌面的改動
利用組策略可達到禁止別人改動桌面某些設置的目的。“禁止用戶更改‘我的文檔’路徑”項可防止用戶更改“我的文檔”文件夾的路徑。“禁止添加、拖、放和關閉任務欄的工具欄”項可阻止用戶從桌面上添加或刪除任務欄。雙擊啟用“退出時不保存設置”後,用戶將不能保存對桌面的更改。最後,雙擊啟用“隱藏和禁用桌面上的所有項目”設置項,將從桌面上刪除圖標、快捷方式以及其他默認的和用戶定義的所有項目,連桌面右鍵菜單都將被禁止。
3. 啟用或禁止活動桌面
利用“Active Desktop”項,可根據自己的需要設置活動桌面的各種屬性。“啟用活動桌面”項可啟用活動桌面並防止用戶禁用它。“活動桌面牆紙”項可指定在所有用戶的桌面上顯示的桌面牆紙。而啟用“不允許更改”項便可防止用戶更改活動桌面配置。
四、隱藏或禁止控制面板項目
這裡講到的控制面板項目設置是指配置控制面板程序的各項設置,主要用於隱藏或禁止控制面板項目。在組策略左邊窗口依次展開“用戶配置”→“管理模板”→“控制面板”項,便可看到“控制面板”節點下面的所有設置和子節點(圖11)。
1. 隱藏或禁止“添加/刪除程序”項
展開“添加/刪除程序”項:雙擊啟用“刪除‘添加/刪除程序’程序”設置項後,控制面板中的“添加/刪除程序”項將被刪除。此外在“添加或刪除程序”對話框裡共有3個頁面:“更改或刪除程序”、“添加新程序”以及“添加/刪除Windows組件”;而當你進入“添加新程序”頁面時,會發現有3個選項:“從CD-ROM或軟盤添加程序”、“從 Microsoft添加程序”以及“從網絡中添加程序”(圖12),如果你想這些具體頁面或選項隱藏,可直接在組策略“添加/刪除程序”項中將相應隱藏功能啟用。
2. 隱藏或禁止“顯示”項
展開“顯示”項,發現這一項和上一項一樣,可隱藏“顯示屬性”對話框中的選項卡。這裡就不細講了,例如雙擊啟用“隱藏‘桌面’選項卡”後,“顯示窗口”中將不再出現“桌面”項(圖13)。此外,在這裡用戶還可啟用“刪除控制面板中的‘顯示’”,這樣在控制面板中雙擊打開“顯示”項時,就會彈出一個對話框提示你:系統管理員禁止使用“顯示”控制面板(圖14)。
3. 其他
依次展開“顯示”→“桌面主題”項,雙擊啟用“刪除主題選項”、“阻止選擇窗口和按鈕式樣”、“禁止選擇字體大小”項後,可阻止他人更改主題、窗口和按鈕式樣、字體。展開“打印機”項,雙擊啟用“阻止添加打印機”或“阻止刪除打印機”可防止別的用戶添加或刪除打印機。最後,直接在“控制面板”一項下啟用“禁止訪問控制面板”,控制面板將無法啟動。
五、系統項目設置
這一項在“用戶配置”→“管理模板”→“系統”中設置(圖15)。組策略中對系統的設置涉及到登錄、電源管理、組策略、腳本等很多項目,下面把和我們聯系緊密的部分清理出來分類列舉如下:
1. 登錄時不顯示歡迎屏幕界面
Windows 2000和Windows XP系統登錄時默認情況下都有歡迎屏幕,雖然漂亮但也麻煩且延長登錄時間,通過組策略便可將其除去。雙擊啟用“系統”節點下的“登錄時不顯示歡迎屏幕”,則每次用戶登錄時歡迎屏幕將隱藏。
2. 禁用注冊表編輯器
為防止他人修改注冊表,可在組策略中禁止訪問注冊表編輯器。雙擊啟用“系統”節點下的“阻止訪問注冊表編輯器”項後,用戶試圖啟動注冊表編輯器時,系統將提示:注冊編輯已被管理員停用(圖16)。另外,如果你的注冊表編輯器被鎖死,也可雙擊此設置,在彈出對話框的“設置”標簽中點選“未被配置”項,這樣你的注冊表便解鎖了。如果要防止用戶使用其他注冊表編輯工具打開注冊表,請雙擊啟用“只運行許可的Windows應用程序”。
3. 關閉系統自動播放功能
一旦你將光盤插入光驅中,Windows XP就會開始讀取光驅,並啟動相關的應用程序。這樣雖然給我們的工作帶來了便利,在某些時候也帶來了不少麻煩。在“系統”節點下有一項為“關閉自動播放”設置項,雙擊其並在彈出對話框的“設置”標簽中點選“已啟用”,在“關閉自動播放”框中選擇“CD-ROM啟動器”或“所有驅動器”項即可(圖17)。
注意:此設置不阻止自動播放音樂CD。
4. 關閉Windows自動更新
每當用戶連接到Internet,Windows XP就會搜索用戶計算機上的可用更新,根據配置的具體情況,在下載的組件准備好安裝時或在下載之前,給用戶以提示。如果你不喜歡比爾老大這種自作主張的態度,可通過組策略關閉這一功能。只須雙擊“系統”節點下的“Windows自動更新”設置項,在彈出來的對話框中點選“已禁用”並確定即可。
5. Ctrl+Alt+Del選項
若Windows XP用戶已取消“使用歡迎屏幕”項,若同時按下“Ctrl+Alt+Del”鍵,便會彈出一個“Windows安全”對話框,此對話框中有“鎖定計算機”、“注銷”、“關機”、“更改密碼”、“任務管理器”、“取消”6個功能按鈕(圖18)。大家都知道這裡的每個按鈕對系統都起著關鍵的作用。為了阻止別人操作,可通過組策略屏蔽這些按鈕。
找到“系統”下的“Ctrl+Alt+Del選項”,雙擊啟用“刪除任務管理器”、“刪除‘鎖定計算機’”、“刪除改變密碼”、“刪除注銷”項便能屏蔽掉“Windows安全”對話框的“任務管理器”、“鎖定計算機”、“更改密碼”、“取消”4個功能按鈕。
注意:“注銷”、“關機”兩個菜單項的屏蔽,在“用戶配置”→“管理模板”→“任務欄和‘開始’菜單”節點下。
六、隱藏或刪除Windows XP資源管理器中的項目
一直以來,資源管理器就是Windows系統中最重要的工具,如何高效、安全地管理資源也一直是電腦用戶的不懈追求。依次展開“用戶配置”→“管理模板”→“Windows組件”→“Windows資源管理器”項,可以看到“Windows資源管理器”節點下的所有設置(圖19)。下面就來看看怎樣通過組策略實現資源管理器個性化。
1. 刪除“文件夾選項”
“文件夾選項”是資源管理器中一個重要的菜單項,通過它可修改文件的查看方式,編輯文件類型的打開方式(圖20)。我們自己對其設定好後,為了防止他人隨意更改,可將此菜單項刪除,你只須雙擊啟用“從‘工具’菜單刪除‘文件夾選項’菜單”便能完成這一設置。
2. 隱藏“管理”菜單項
在資源管理器中右鍵單擊“我的電腦”出現的快捷菜單中有一個“管理”菜單項,通過此菜單項,可以打開一個包含“事件查看器”、“本地用戶和組”、“設備管理器”、“磁盤管理”等眾多工具的“計算機管理”窗口(圖21)。為了保障你的計算機免受他人無意破壞,可通過雙擊啟用“隱藏Windows資源管理器上下文菜單上的‘管理’項目”項來屏蔽此菜單項。
3. 其他項目的隱藏
此外通過啟用“隱藏‘我的電腦’中的這些指定的驅動器”可隱藏你指定的驅動器(圖22)。還可通過啟用“‘網上鄰居’中不含‘整個網絡’”屏蔽掉“整個網絡”項。雙擊啟用“刪除CD燒錄功能”刪除Windows XP自帶的光盤刻錄功能。雙擊啟用“不要將已刪除的文件移到‘回收站’”則以後刪除文件時將不進入回收站直接刪除掉。當然還有不少項目這裡沒有講到,大家可根據需要自行探討,進行適當的配置。
七、IE浏覽器項目設置
在組策略左邊窗口中依次展開“用戶配置”→“管理模板”→“Windows組件”→“Internet Explorer”項,在右邊窗口中便能看到“Internet Explorer”節點下的所有設置和子節點(圖23)。IE是Windows XP自帶的網頁浏覽器,也是大多數用戶采用的浏覽器,但其安全性也為人所诟病,下面就通過組策略來對其進行“改造”。
1. 在IE工具欄添加快捷方式
不知道大家注意到了沒有,不少軟件在安裝完之後都會在IE工具欄上添加圖標,單擊其便能啟用相應程序。其實用組策略可以在IE工具欄上為任何程序添加快捷方式,這裡舉例說明如何添加一個ICQ的啟動圖標。展開“Internet Explorer維護”下的“浏覽器用戶界面”,雙擊“浏覽器工具欄自定義”設置項,在彈出來的對話框中單擊“添加”按鈕,在“浏覽器工具欄按鈕信息”對話框的“工具欄標題”中輸入:ICQ,在“工具欄操作”中輸入D:\Fun\ICQLite\ICQLite.exe,然後再隨便選擇一個“顏色圖標”和“灰度圖標”(圖24,當然你也可以用ExeScope等來提取ICQ的圖標)。單擊“確定”後IE工具欄中便多了一個ICQ圖標!
2. 讓IE插件不再騷擾你
我們平常上網浏覽網頁時,總會彈出一些諸如“是否安裝Flash插件”、“是否安裝3721網絡實名”的提示,就像廣告窗口一樣煩人。實際上我們可在組策略中通過啟用“Internet Explorer”節點下的“禁用Internet Explorer組件的自動安裝”來禁止這種提示的出現。不過有時這一功能也是很用的,所以在禁止此功能之前請稍加考慮。
3. 保護好你的個人隱私
一般通過單擊IE工具欄上的“歷史”按鈕,便可了解以前浏覽過的網頁和文件。為保密起見,你可以通過雙擊啟用“Internet Explorer”節點下的“不要保留最近打開文檔的記錄”和“退出時清除最近打開的文檔記錄”兩個設置項,這樣再單擊IE工具欄上的“歷史”按鈕,你訪問過的歷史網頁記錄將全部消失。
4. 禁止項
如果不希望他人對你的主頁進行修改,可啟用“Internet Explorer”節點下的“禁用更改主頁設置”設置項禁止別人更改你的主頁(圖25)。你也可通過訪問“浏覽器菜單”,啟用其中的設置項對IE浏覽器的若干菜單項進行屏蔽。最後,在“Internet控制面板”節點下,你還可對“Internet選項”對話框中的部分選項卡進行隱藏(圖26)。
八、系統安全設置
自有計算機以來,安全一直就是人們關注的焦點問題,Windows XP也不例外。在組策略中,系統安全配置一般在“計算機配置”→“Windows設置”→“安全設置”中進行。
1. 密碼策略
這一策略在“賬戶策略”→“密碼策略”節點中配置(圖27)。口令是系統安全的一大隱患,可通過組策略設置密碼(口令)的最小長度:雙擊啟用“密碼必須符合復雜性要求”設置項,確定後雙擊“密碼長度最小值”設置項,在彈出來的對話框中將密碼長度最小值設為8或更大,這樣以後設置賬戶密碼時就必須輸入8位以上,安全性就高多了。
2. 用戶權利指派
展開“本地策略”→“用戶權利指派”節點,在右邊窗口中便能看到“用戶權利指派”節點下的所有設置(圖28)。合適地指派用戶權利可以解決一些奇怪的問題,例如在局域網中使用Windows XP系統的朋友一般會發現一個奇怪的現象,那就是即使你啟用guest用戶並給予權限,局域網中的其他Win9X操作系統的用戶還是無法訪問Windows XP系統中的共享資源。這個問題可在組策略中通過修改有關設置解決:雙擊“用戶權利指派”節點下的“拒絕從網絡訪問這台計算機”設置項,在彈出對話框中點選“guest”,然後單擊“刪除”,最後確定即可(圖29)。在“用戶權利指派”節點下還可給用戶添加許多權限,例如給guest添加遠程關機權限、給一般用戶添加更改系統時間的權限,限於篇幅,在此不再贅述,有興趣的朋友可以通過E-mail([email protected])和我私下探討。
編者注:更多關於網絡配置的組策略修改請參考本期“網絡時代”欄目的《高手過招——使用Windows XP組策略修改網絡設置》一文。