熟悉Windows XP組策略(一)
日期:2017/2/8 15:11:03 編輯:XP系統基礎知識
對於大部分計算機用戶來說,管理計算機基本上是借助某些第三方工具,甚至是自己手工修改注冊表來實現。其實Windows XP組策略已經把這些功能集於一體,通過組策略及相關工具完全可以實現我們所需要的功能。
一、組策略基礎
1.什麼是組策略
注冊表是Windows系統中保存系統軟件和應用軟件配置的數據庫,而隨著Windows功能越來越豐富,注冊表裡的配置項目也越來越多,很多配置都可以自定義設置,但這些配置分布在注冊表的各個角落,如果是手工配置,可以想像是多麼困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊,供用戶直接使用,從而達到方便管理計算機的目的。
其實簡單地說,組策略設置就是在修改注冊表中的配置。當然,組策略使用了更完善的管理組織方法,可以對各種對象中的設置進行管理和配置,遠比手工修改注冊表方便、靈活,功能也更加強大。
2.組策略的版本
對於Windows 9X/NT用戶來說,都知道“系統策略”的概念,其實組策略就是系統策略的高級擴展,它是自Windows
9X/NT的“系統策略”發展而來的,具有更多的管理模板、更靈活的設置對象及更多的功能,目前主要應用於Windows
2000/XP/2003操作系統中。
早期系統策略的運行機制是通過策略管理模板,定義特定的POL(通常是Config.pol)文件。當用戶登錄時,它會重寫注冊表中的設置值。當然,系統策略編輯器也支持對當前注冊表的修改,另外也支持連接網絡計算機並對其注冊表進行設置。
而組策略及其工具,則是對當前注冊表進行直接修改。顯然,Windows
2000/XP/2003系統的網絡功能是其最大的特色之處,所以其網絡功能自然是不可少的,因此組策略工具還可以打開網絡上的計算機進行配置,甚至可以打開某個Active
Directory(活動目錄)對象(即站點、域或組織單位)並對其進行設置。這是以前“系統策略編輯器”工具無法做到的。
當然,無論是“系統策略”還是“組策略”,它們的基本原理都是修改注冊表中相應的配置項目,從而達到配置計算機的目的,只是它們的一些運行機制發生了變化和擴展而已。
3.在Windows
XP中運行組策略
在Windows
2000/XP/2003系統中,系統默認已經安裝了組策略程序,在“開始”菜單中,單擊“運行”選項,在打開的對話框中輸入“gpedit.msc”並確定,即可運行組策略。如圖1所示。
使用上面的方法,打開的組策略對象是當前的計算機,而如果需要配置其他的計算機組策略對象,則需要將組策略作為獨立的MMC管理單元打開:
(1)打開Microsoft管理控制台(可在“開始”菜單的“運行”對話框中直接輸入“MMC”並確定)。
(2)單擊“文件→添加/刪除管理單元”菜單命令,在打開的對話框中單擊“添加”按鈕。
(3)在“可用的獨立管理單元”對話框中,單擊“組策略”選項,然後單擊“添加”按鈕。
(4)在“選擇組策略對象”對話框中,單擊“本地計算機”選項編輯本地計算機對象,或通過單擊“浏覽”查找所需的組策略對象。
(5)單擊“完成”按鈕,組策略管理單元即打開要編輯的組策略對象。
(6)在左窗格中定位需要更改的選項的位置,在右窗格中右鍵單擊需要更改的具體選項,單擊“屬性”命令,即可打開其屬性對話框,從中選擇“已啟用”、“未配置”、“已禁用”選項即可對計算機策略進行管理。
4.組策略中的管理模板
在Windows
2000/XP/2003中包含幾個ADM文件。這些文件是文本文件,被稱為“管理模板”,它們為組策略管理單元的控制樹中“管理模板”文件夾下的項目提供策略信息。
在Windows
2000/XP/2003中,默認的Admin.adm管理模板位於系統文件夾的INF文件夾中,包含了默認安裝下的4個模板文件,分別為:
(1)System.adm:默認安裝在“組策略”中,用於系統設置。
(2)Inetres.adm:默認安裝在“組策略”中,用於Internet
Explorer(IE)策略設置。
(3)Wmplayer.adm:用於Windows Media
Player設置。
(4)Conf.adm:用於NetMeeting設置。
在策略管理控制台中,可以多次添加“策略模板”,下面讓我們來看看具體操作:
首先運行“組策略”程序,然後選擇“計算機配置”或者“用戶配置”下的“管理模板”,單擊鼠標右鍵,選擇“添加/刪除模板”命令,然後在打開的對話框中單擊“添加”按鈕,在打開的對話框中選擇相應的ADM文件。單擊“打開”按鈕,則在系統策略編輯器中打開選定的腳本文件,並等待用戶執行。
返回到“組策略”編輯器主界面後,依次打開目錄“本地計算機策略→用戶配置→管理模板”選項,再單擊相應的目錄樹,就會看到我們新添加的管理模板所產生的配置項目了。
注意:下面的操作均在Windows
XP中進行。
二、個性化我的電腦
1.刪除“開始”菜單中的“文檔”菜單項
在多人使用的計算機中,有的用戶不希望其他用戶看到自己曾經編輯過的文檔或其他信息。因此,為了刪除用於記錄歷史文檔的“文檔”菜單項,我們可以通過修改組策略來實現。
位置:\\用戶配置\\管理模板\\任務欄和“開始”菜單\\
啟用此設置,則系統保存“文檔”快捷方式,但不在“文檔”菜單中顯示它們。如果以後禁用此設置或把它設置為未配置,則啟用設置之前及其生效之時保存的“文檔”快捷方式會出現在“文檔”菜單項中。如圖2所示。
注意:此設置不會阻止Windows程序在最近打開的文檔中顯示快捷方式。
另外,你也可以設置在退出系統時自動清除最近打開的文檔的歷史記錄。
位置:\\用戶配置\\管理模板\\任務欄和“開始”菜單\\
如果禁用該策略設置,系統就會在用戶退出時刪除快捷方式。因此,用戶登錄時,“開始”菜單上的文檔菜單總是空的。如果禁用或不配置此設置,系統將保留文檔快捷方式,並且用戶登錄時的文檔菜單看起來與用戶退出系統時完全相同。
注意:系統在\\Documents
and
Settings\\\\Recent文件夾中的用戶配置文件中保存文檔快捷方式。
2.刪除“開始”菜單中的“運行”菜單項
在“開始”菜單中有“運行”菜單項,可以輸入程序名稱來啟動程序。我們可以將“運行”菜單項從“開始”菜單中刪除。
位置:\\用戶配置\\管理模板\\任務欄和“開始”菜單\\
如果啟用該設置,發生如下更改:
(1)“運行”命令從“開始”菜單中刪除。
(2)新建任務(運行)命令從任務管理器刪除。
(3)阻止用戶在IE地址欄中輸入下列項:
UNC路徑:\\\\<server>\\<share>。
訪問本地驅動器:例如,C:。
訪問本地文件夾:例如,\\temp>。
同時,使用WIN+R組合鍵將無法顯示“運行”對話框。如果禁用或不配置此設置,用戶可以訪問“開始”菜單和任務管理器的“運行”命令,以及使用IE地址欄。
注意:這個策略只影響指定的界面。不會防止用戶使用其他方法運行程序。
3.給“開始”菜單減肥
如果覺得Windows的“開始”菜單太臃腫,你完全可以通過組策略設置將不需要的菜單項從“開始”菜單中刪除。
位置:\\用戶配置\\管理模板\\任務欄和“開始”菜單\\
在組策略右側窗格中,提供“從‘開始’菜單刪除用戶文件夾”、“刪除到‘Windows
Update’的訪問和鏈接”、從‘開始’菜單刪除公用程序組、從‘開始’菜單中刪除“我的文檔”圖標等配置項目。你只要
將不需要的菜單項所對應的策略啟用即可。
4.隱藏和禁用桌面上的所有項目
該策略可以從桌面上刪除圖標、快捷方式和其他默認的和用戶定義的項目。
位置:\\用戶配置\\管理模板\\桌面\\
該策略刪除圖標和快捷方式不防止用戶用另一種方法啟動程序或打開圖標和快捷方式所代表的項目。
5.退出時不保存用戶設置
該策略用於防止用戶保存對桌面的某些更改。
位置:\\用戶配置\\管理模板\\桌面\\
如果你啟用這個設置,用戶可以對桌面做某些更改,但有些更改,比如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷後都無法保存。
6.啟用/禁用“活動桌面”(Active
Desktop)
活動桌面是Windows 98(及以後版本)或安裝了IE
4.0的系統中自帶的高級功能,它最大的特點是可以設置各種圖片格式的牆紙,甚至可以將網頁作為牆紙顯示。但出於對安全和性能的考慮,有時候我們需要禁用這一功能(並且防止用戶啟用它)。
位置:\\用戶配置\\管理模板\\桌面\\Active
Desktop
提示:如果同時啟用“啟用Active Desktop”設置和“禁用Active Desktop”設置,“禁用Active
Desktop”設置會被忽略。如果“禁用Active Desktop和Web視圖”設置(在“用戶配置\\管理模板\\Windows組件\\Windows資源管理器”)被啟用,Active
Desktop就會被禁用,並且這兩個策略都會被忽略。
7.從“我的電腦”中刪除共享文檔
當Windows用戶在一個工作組中,一個“共享文檔”圖標會以Windows資源管理器的Web視圖出現在“其他位置”和“在這台計算機上存儲的其他文件”中。使用此設置,你可選擇不顯示這些項目。
位置:\\用戶配置\\管理模板\\Windows組件\\Windows資源管理器\\
如果啟用此設置,“共享文檔”文件夾將不會以Web視圖方式顯示或在“我的電腦”中出現。如果禁用或不配置此設置,當用戶是“工作組”的一部分時,“共享文檔”文件夾將會以Web視圖方式顯示或在“我的電腦”中出現。
8.不要將已刪除的文件移到“回收站”
當Windows資源管理器中的一個文件或文件夾被刪除時,該文件或文件夾的副本會被放在“回收站”裡。使用此策略,你能改變此行為。
位置:\\用戶配置\\管理模板\\Windows組件\\Windows資源管理器\\
如果啟用此設置,使用Windows資源管理器刪除的文件或文件夾不會被放在“回收站”裡,因此被永久刪除。如果禁用或不配置此設置,使用Windows資源管理器刪除的文件或文件夾會被放在“回收站”裡。
