Windows XP組策略應用完全手冊
孫元 張燕 附錄文章
對於大部分電腦使用者來說,管理電腦基本上是藉助某些第三方工具,甚至是自己手工修改註冊表來實現。其實Windows XP組策略已經把這些功能集於一體,通過組策略及相關工具完全可以實現我們所需要的功能。
一、組策略基礎
1.什麼是組策略
註冊表是Windows系統中儲存系統軟體和應用軟體配置的資料庫,而隨著Windows功能越來越豐富,註冊表裡的設定項目也越來越多,很多配置都可以自訂設定,但這些配置分布在註冊表的各個角落,如果是手工配置,可以想像是多麼困難和煩雜。而組策略則將系統重要的配置功能彙集成各種配置模組,供使用者直接使用,從而達到方便管理電腦的目的。
其實簡單地說,組原則設定就是在修改註冊表中的配置。當然,組策略使用了更完善的管理組織方法,可以對各種對象中的設定進行管理和配置,遠比手工修改註冊表方便、靈活,功能也更加強大。
2.組策略的版本
對於Windows 9X/NT使用者來說,都知道“系統策略”的概念,其實組策略就是系統策略的進階擴充,它是自Windows 9X/NT的“系統策略”發展而來的,具有更多的系統管理範本、更靈活的設定對象及更多的功能,目前主要應用於Windows 2000/XP/2003作業系統中。
早期系統策略的運行機制是通過策略系統管理範本,定義特定的POL(通常是Config.pol)檔案。當使用者登入時,它會重寫註冊表中的設定值。當然,系統策略編輯器也支援對當前註冊表的修改,另外也支援串連網路電腦並對其註冊表進行設定。
而組策略及其工具,則是對當前註冊表進行直接修改。顯然,Windows 2000/XP/2003系統的網路功能是其最大的特色之處,所以其網路功能自然是不可少的,因此組策略工具還可以開啟網路上的電腦進行配置,甚至可以開啟某個Active Directory(活動目錄)對象(即網站、域或組織單位)並對其進行設定。這是以前“系統策略編輯器”工具無法做到的。
當然,無論是“系統策略”還是“組策略”,它們的基本原理都是修改註冊表中相應的設定項目,從而達到配置電腦的目的,只是它們的一些運行機制發生了變化和擴充而已。
3.在Windows XP中運行組策略
在Windows 2000/XP/2003系統中,系統預設已經安裝了組策略程式,在“開始”菜單中,單擊“運行”選項,在開啟的對話方塊中輸入“gpedit.msc”並確定,即可運行組策略。1所示。
使用上面的方法,開啟的組策略對象是當前的電腦,而如果需要配置其他的電腦群組策略對象,則需要將組策略作為獨立的MMC嵌入式管理單元開啟:
(1)開啟Microsoft管理主控台(可在“開始”菜單的“運行”對話方塊中直接輸入“MMC”並確定)。
(2)單擊“檔案→添加/刪除嵌入式管理單元”功能表命令,在開啟的對話方塊中單擊“添加”按鈕。
(3)在“可用的獨立嵌入式管理單元”對話方塊中,單擊“組策略”選項,然後單擊“添加”按鈕。
(4)在“選擇組策略對象”對話方塊中,單擊“本機電腦”選項編輯本機電腦對象,或通過單擊“瀏覽”尋找所需的組策略對象。
(5)單擊“完成”按鈕,組策略嵌入式管理單元即開啟要編輯的組策略對象。
(6)在左窗格中定位需要更改的選項的位置,在右窗格中按右鍵需要更改的具體選項,單擊“屬性”命令,即可開啟其屬性對話方塊,從中選擇“已啟用”、“未配置”、“已禁用”選項即可對電腦策略進行管理。
4.組策略中的系統管理範本
在Windows 2000/XP/2003中包含幾個ADM檔案。這些檔案是文字檔,被稱為“系統管理範本”,它們為組策略嵌入式管理單元的控制樹中“系統管理範本”檔案夾下的項目提供策略資訊。
在Windows 2000/XP/2003中,預設的Admin.adm系統管理範本位於系統檔案夾的INF檔案夾中,包含了預設安裝下的4個模板檔案,分別為:
(1)System.adm:預設安裝在“組策略”中,用於系統設定。
(2)Inetres.adm:預設安裝在“組策略”中,用於Internet Explorer(IE)原則設定。
(3)Wmplayer.adm:用於Windows Media Player設定。
(4)Conf.adm:用於NetMeeting設定。
在策略管理主控台中,可以多次添加“原則範本”,下面讓我們來看看具體操作:
首先運行“組策略”程式,然後選擇“電腦配置”或者“使用者配置”下的“系統管理範本”,單擊滑鼠右鍵,選擇“添加/刪除模板”命令,然後在開啟的對話方塊中單擊“添加”按鈕,在開啟的對話方塊中選擇相應的ADM檔案。單擊“開啟”按鈕,則在系統策略編輯器中開啟選定的指令檔,並等待使用者執行。
返回到“組策略”編輯器主介面後,依次開啟目錄“本機電腦策略→使用者配置→系統管理範本”選項,再單擊相應的分類樹,就會看到我們新添加的系統管理範本所產生的設定項目了。
注意:下面的操作均在Windows XP中進行。
二、個人化我的電腦
1.刪除“開始”菜單中的“文檔”功能表項目
在多人使用的電腦中,有的使用者不希望其他使用者看到自己曾經編輯過的文檔或其他資訊。因此,為了刪除用於記錄曆史文檔的“文檔”功能表項目,我們可以通過修改組策略來實現。
位置:/使用者配置/系統管理範本/工作列和“開始”菜單/
啟用此設定,則系統儲存“文檔”捷徑,但不在“文檔”菜單中顯示它們。如果以後禁用此設定或把它設定為未配置,則啟用設定之前及其生效之時儲存的“文檔”捷徑會出現在“文檔”功能表項目中。2所示。
注意:此設定不會阻止Windows程式在最近開啟的文檔中顯示捷徑。
另外,你也可以設定在退出系統時自動清除最近開啟的文檔的記錄。
位置:/使用者配置/系統管理範本/工作列和“開始”菜單/
如果禁用該原則設定,系統就會在使用者退出時刪除捷徑。因此,使用者登入時,“開始”菜單上的文檔菜單總是空的。如果禁用或不配置此設定,系統將保留文檔捷徑,並且使用者登入時的文檔菜單看起來與使用者退出系統時完全相同。
注意:系統在/Documents and Settings/<使用者名稱>/Recent檔案夾中的使用者設定檔中儲存文檔捷徑。
2.刪除“開始”菜單中的“運行”功能表項目
在“開始”菜單中有“運行”功能表項目,可以輸入程式名稱來啟動程式。我們可以將“運行”功能表項目從“開始”菜單中刪除。
位置:/使用者配置/系統管理範本/工作列和“開始”菜單/
如果啟用該設定,發生如下更改:
(1)“運行”命令從“開始”菜單中刪除。
(2)建立任務(運行)命令從工作管理員刪除。
(3)阻止使用者在IE地址欄中輸入下列項:
UNC路徑://<server>/<share>。
訪問本地磁碟機:例如,C:。
訪問本地檔案夾:例如,/temp>。
同時,使用WIN+R按鍵組合將無法顯示“運行”對話方塊。如果禁用或不配置此設定,使用者可以訪問“開始”菜單和工作管理員的“運行”命令,以及使用IE地址欄。
注意:這個策略隻影響指定的介面。不會防止使用者使用其他方法運行程式。
3.給“開始”菜單減肥
如果覺得Windows的“開始”菜單太臃腫,你完全可以通過組原則設定將不需要的功能表項目從“開始”菜單中刪除。
位置:/使用者配置/系統管理範本/工作列和“開始”菜單/
在組策略右側邊窗格中,提供“從‘開始’菜單刪除使用者檔案夾”、“刪除到‘Windows Update’的訪問和連結”、從‘開始’菜單刪除公用程式組、從‘開始’菜單中刪除“我的文件”表徵圖等設定項目。你只要將不需要的功能表項目所對應的策略啟用即可。
4.隱藏和禁用案頭上的所有項目
該策略可以從案頭上刪除表徵圖、捷徑和其他預設的和使用者定義的項目。
位置:/使用者配置/系統管理範本/案頭/
該策略刪除表徵圖和捷徑不防止使用者用另一種方法啟動程式或開啟表徵圖和捷徑所代表的項目。
5.退出時不儲存使用者佈建
該策略用於防止使用者儲存對案頭的某些更改。
位置:/使用者配置/系統管理範本/案頭/
如果你啟用這個設定,使用者可以對案頭做某些更改,但有些更改,比標和開啟視窗的位置、工作列的位置及大小在使用者登出後都無法儲存。
6.啟用/禁用“活動案頭”(Active Desktop)
活動案頭是Windows 98(及以後版本)或安裝了IE 4.0的系統中內建的進階功能,它最大的特點是可以設定各種圖片格式的牆紙,甚至可以將網頁作為牆紙顯示。但出於對安全和效能的考慮,有時候我們需要禁用這一功能(並且防止使用者啟用它)。
位置:/使用者配置/系統管理範本/案頭/Active Desktop
提示:如果同時啟用“啟用Active Desktop”設定和“禁用Active Desktop”設定,“禁用Active Desktop”設定會被忽略。如果“禁用Active Desktop和Web視圖”設定(在“使用者配置/系統管理範本/Windows組件/Windows資源管理員”)被啟用,Active Desktop就會被禁用,並且這兩個策略都會被忽略。
7.從“我的電腦”中刪除共用文檔
當Windows使用者在一個工作群組中,一個“共用文檔”表徵圖會以Windows資源管理員的Web視圖出現在“其他位置”和“在這台電腦上儲存的其他檔案”中。使用此設定,你可選擇不顯示這些項目。
位置:/使用者配置/系統管理範本/Windows組件/Windows資源管理員/
如果啟用此設定,“共用文檔”檔案夾將不會以Web視圖方式顯示或在“我的電腦”中出現。如果禁用或不配置此設定,當使用者是“工作群組”的一部分時,“共用文檔”檔案夾將會以Web視圖方式顯示或在“我的電腦”中出現。
8.不要將已刪除的檔案移到“資源回收筒”
當Windows資源管理員中的一個檔案或檔案夾被刪除時,該檔案或檔案夾的副本會被放在“資源回收筒”裡。使用此策略,你能改變此行為。
位置:/使用者配置/系統管理範本/Windows組件/Windows資源管理員/
如果啟用此設定,使用Windows資源管理員刪除的檔案或檔案夾不會被放在“資源回收筒”裡,因此被永久刪除。如果禁用或不配置此設定,使用Windows資源管理員刪除的檔案或檔案夾會被放在“資源回收筒”裡。
三、利用組策略進行系統設定
1.登入時不顯示歡迎畫面
為了加快電腦啟動的速度,我們完全可以通過組原則設定在每次使用者登入時將Windows XP歡迎畫面隱藏。
位置:/使用者配置/系統管理範本/系統/
要顯示歡迎畫面,請依次單擊“開始→程式→附件→系統工具”選項,然後單擊“開始”選項。要在不指定設定的情況下不顯示歡迎畫面,請在歡迎畫面上的複選框中清除“在開始顯示這個螢幕”選項。
注意:這項設定出現在“電腦配置”和“使用者配置”檔案夾中。如果配置這項設定,“電腦配置”中的設定比“使用者配置”中的設定優先。
2.配置驅動程式尋找位置
預設情況下,Windows將從本地安裝、軟碟機、光碟片磁碟機、Windows Update等位置搜尋驅動程式。此設定配置尋找到新硬體時Windows將要搜尋驅動程式的位置。
位置:/使用者配置/系統管理範本/系統/
如果啟用此設定,你可以通過檢查位置名稱的相關複選框,刪除這三個位置中的任何位置。如果禁用或不配置此設定,Windows將從本地安裝、軟碟機、光碟片磁碟機和Windows Update等位置中搜尋驅動程式。
3.關閉自動播放
一旦你將媒體插入磁碟機,自動運行就開始從磁碟機中讀取。這會造成程式的設定檔案和在音頻媒體上的音樂立即開始。該策略將關閉自動運行功能。
位置:/使用者配置/系統管理範本/系統/
如果你啟動這項設定,你還可以在CD-ROM磁碟機禁用自動運行或在所有磁碟機上禁用自動運行。
注意:這個設定出現在“電腦配置”和“使用者配置”兩個檔案夾中。如果兩個設定都配置,“電腦配置”中的設定比“使用者配置”中的設定優先。
另外,此設定不阻止自動播放音樂 CD。
4.只運行許可的Windows應用程式
該策略可以限制使用者可以啟動並執行Windows程式。
位置:/使用者配置/系統管理範本/系統/
如果你啟用這個設定,使用者只能運行你加入“允許啟動並執行應用程式列表”中的程式。
這個設定只能防止使用者從Windows資源管理員啟動程式。無法防止使用者用其他方式啟動程式,例如工作管理員。如果使用者可以訪問命令提示字元視窗,這個設定無法防止使用者從命令視窗啟動不允許在Windows資源管理員中啟動並執行程式。
注意:要建立允許的檔案清單,請單擊“顯示”按鈕,在開啟的對話方塊中單擊“添加”按鈕,然後輸入應用程式的執行檔案名稱(例如,Winword.exe、Poledit.exe、Powerpnt.exe)。3所示。
5.刪除工作管理員
當我們同步選取Ctrl+Alt+Del按鍵組合將顯示“Windows工作管理員”對話方塊。工作管理員可以讓使用者啟動或終止程式、監視電腦效能、查看及監視電腦上所有運行中的程式(包含系統服務)、搜尋程式的執行檔案名稱、更改程式啟動並執行優先順序。在這裡,我們可以通過組策略刪除工作管理員。
位置:/使用者配置/系統管理範本/系統/Ctrl+Alt+Del選項/
如果該設定被啟用,並且使用者試圖啟動工作管理員,系統會顯示訊息,解釋是一個策略禁止了這個操作。
6.刪除改變“密碼”選項
該策略可以防止使用者通過工作管理員更改系統密碼。
位置:/使用者配置/系統管理範本/系統/Ctrl+Alt+Del選項/
這個設定停用Windows安全設定對話方塊上的“更改密碼”按鈕。但是,使用者在得到系統提示時依舊可以更改密碼。管理員要求新密碼和密碼作廢時,系統會提示使用者輸入新密碼。
7.不允許運行Windows Messenger
Windows XP內建有聊天工具Windows Messenger,但是,我們也有可能在系統中安裝MSN Messenger。該策略允許你禁用Windows Messenger。
位置:/使用者配置/系統管理範本/Windows組件/Windows Messenger
如果啟用該策略,Windows Messenger將不會運行。如果禁止或不配置該策略,Windows Messenger可以被使用。
注意:如果啟用這個策略,遠程協助無法使用Windows Messenger。另外,這個策略也會出現在“電腦配置”中。如果兩個設定都配置,“電腦配置”中的設定比“使用者配置”中的設定優先。
8.關閉系統還原功能
系統還原是Windows XP/2003中整合的強大功能,它在系統啟動並執行同時,備份被更改的檔案和資料,如果出現問題,系統還原使使用者能夠在不丟失個人資料檔案的情況下,將電腦還原到以前的狀態。預設情況下,系統還原處於開啟狀態。
但這一功能付出的代價也是相當大的,系統效能會明顯下降,磁碟空間也會被佔用很多。對於配置不高的電腦來說,強烈建議關閉此功能。
位置:/電腦配置/系統管理範本/系統/系統還原/關閉系統還原
啟用此設定後即可關閉系統還原功能,並且不能訪問“系統還原嚮導”和“配置介面”。
四、利用組策略調整上網設定
1.禁用匯入和匯出收藏夾
禁止使用者使用“匯入/匯出嚮導”功能表項目匯入或匯出收藏夾連結。
位置:/使用者配置/系統管理範本/Windows組件/Internet Explorer
如果啟用該策略,“匯入/匯出嚮導”功能表項目將無法匯入/匯出收藏夾連結和Cookie。如果禁用該功能或不對其進行配置,則使用者可以通過單擊[檔案] 功能表上的“匯入和匯出”功能表項目,然後運行“匯入/匯出嚮導”,匯入/匯出IE中的收藏夾。
注意:如果啟用該策略,使用者仍然可以查看“匯入/匯出嚮導”,但當使用者單擊“完成”按鈕時,將出現說明該功能已被禁用的提示資訊。
2.禁用更改“進階”選項卡的設定
禁止使用者更改“Internet 選項”對話方塊中“進階”選項卡上的設定。
位置:/使用者配置/系統管理範本/Windows組件/Internet Explorer
如果啟用該策略,則使用者無法更改進階Internet設定,如安全、多媒體和列印。使用者無法選中“進階”選項卡上的複選框,也不能清除這些複選框的核取記號。如果禁用該策略或不對其進行配置,則使用者可以選擇或清除“進階”選項卡上的設定。
如果設定了位於/使用者配置/系統管理範本/Windows組件/Internet Explorer/Internet控制台中的“禁用進階頁”策略,則無需設定該策略,因為“禁用進階頁”策略將刪除介面上的“進階”選項卡。
3.對撥號連線使用“自動檢測”屬性
自動檢測在瀏覽器第一次啟動時使用 DHCP(動態主機設定通訊協定)或DNS伺服器來自訂瀏覽器。該策略指定自動檢測用於使用者的撥號設定的配置。
位置:/使用者配置/系統管理範本/Windows組件/Internet Explorer
如果啟用該設定,自動檢測將配置使用者的撥號設定。如果禁用該配置或不配置,自動檢測不會配置使用者的撥號設定,除非使用者指定。
4.禁用Internet取得連線精靈
禁止使用者運行Internet取得連線精靈。
位置:/使用者配置/系統管理範本/Windows組件/Internet Explorer
如果啟用該策略,“Internet選項”對話方塊中“串連”選項卡上的“建立串連”按鈕將變灰。使用者也無法通過單擊案頭上的“串連到Internet”表徵圖或單擊“開始→程式→附件→通訊”,然後單擊“Internet取得連線精靈”運行Internet取得連線精靈。如果禁用該策略或不對其進行配置,則使用者可以通過運行Internet取得連線精靈,更改串連設定。
注意:該策略與位於\使用者配置\系統管理範本\Windows 組件\Internet Explorer\Internet控制台中的“禁用串連頁”策略有相似之處,後者將刪除介面上的“串連”選項卡。從介面上刪除“串連”選項卡並不會妨礙使用者從案頭或“開始”菜單中運行Internet取得連線精靈。
5.禁用表單的自動完成功能
禁止IE自動完成表單,如填寫使用者以前在網頁中輸入過的姓名或密碼。
位置:/使用者配置/系統管理範本/Windows組件/Internet Explorer
如果啟用該策略,“表單”複選框將變灰。單擊“Internet選項”對話方塊中“內容”選項卡上的“自動完成”按鈕,即可出現“表單”複選框。如果禁用該策略或不對其進行配置,則使用者可以啟用表單的自動完成功能。
位於/使用者配置/系統管理範本/Windows組件/Internet Explorer/Internet控制台中的“禁用內容頁”策略的優先順序高於該策略。如果啟用了“禁用內容頁”策略,該策略將被忽略,因為“禁用內容頁”策略將刪除“控制台”中“Internet Explorer屬性”對話方塊中的“內容”選項卡。
注意:如果使用者已開始使用啟用了表單自動完成功能的瀏覽器後,再啟用該策略,則不會清除使用者已經使用表單自動完成功能在表單中所填寫的內容。
6.配置媒體瀏覽欄屬性
媒體瀏覽器欄播放來自Internet的音樂和視頻內容,該策略允許管理員啟用和禁用媒體瀏覽器欄和設定預設自動播放。
位置:/使用者配置/系統管理範本/Windows組件/Internet Explorer
如果禁用媒體瀏覽器欄,使用者無法顯示媒體瀏覽器欄。自動播放功能也被禁用。當使用者在IE中單擊一個連結,系統中的預設媒體用戶端將播放內容。如果啟用媒體瀏覽器欄或不配置,使用者可以顯示和隱藏媒體瀏覽器欄。
管理員也可以開啟和關閉自動播放功能。該設定只在媒體瀏覽器欄啟用時應用。如果選擇,媒體瀏覽器欄將在使用者單擊媒體連結時自動顯示和播放媒體內容。如果不選擇,系統上的預設媒體用戶端將播放內容。
7.禁用右鍵捷徑功能表
禁止在使用者使用IE過程中單擊滑鼠右鍵時出現捷徑功能表。
位置:/使用者配置/系統管理範本/Windows組件/Internet Explorer/瀏覽器菜單
如果啟用該策略,在使用者指向網頁,然後單擊滑鼠右鍵時將不出現捷徑功能表。如果禁用該策略或不對其進行配置,則使用者可以使用捷徑功能表。
8.自訂IE標題列
我們可以利用組策略自訂出現在IE和OE標題列中的文本。無論軟體包中是否有OE或者使用者電腦上已經安裝了OE,都將更新OE標題列。
位置:/使用者配置/系統管理範本/Windows設定/Internet Explorer維護/瀏覽器使用者介面/瀏覽器標題
請在開啟的對話方塊中選中“自訂標題列”選項,然後在“標題列文本”框中鍵入希望的文本。
注意:在選擇某個位元影像時,要確保顏色與文本的對比。這為使用者確保了更高程度的可讀性。
9.自訂IE工具按鈕
我們可以利用該策略個人化出現在IE中的工具列,給你一定的靈活性和設計機會。可以使用的元素包括用於標準工具列按鈕(例如“搜尋”和“曆史”)的工具列背景和表徵圖外觀。
位置:\使用者配置\系統管理範本\Windows設定\Internet Explorer維護\瀏覽器使用者介面\瀏覽器工具列自訂
在開啟的對話方塊中單擊“添加”按鈕,然後在開啟的對話方塊中在“工具列標題(必需)”框中,鍵入使用者滑鼠移至上方在工具列按鈕上時出現的文本。必須指定該按鈕的標題或標籤。建議的最大長度是10個字元。
在“工具列操作(作為指令檔或可執行檔,必需)”框中,鍵入指令檔或可執行檔的名稱,或者單擊“瀏覽”按鈕尋找檔案。必須指定使用者單擊工具列按鈕時啟動並執行指令檔或可執行檔。
在“工具列顏色表徵圖(必需)”框中,鍵入表示按鈕為活動狀態的檔案的名稱,或者單擊“瀏覽”按鈕尋找該檔案。必須指定出現在工具列上的按鈕的彩色表徵圖。表徵圖由活動和非使用中的20×20像素的映像組成。
在“工具列灰階表徵圖(必需)”框中,鍵入出現在黑白監視器上的工具列的灰階表徵圖檔案名稱和位置,或者單擊“瀏覽”按鈕尋找檔案。必須指定顯示在工具列上按鈕的灰階表徵圖。
選中“預設情況下,該按鈕應顯示在工具列上”複選框來顯示預設情況下使用者瀏覽器中的工具列按鈕。
五、利用組原則設定最佳化網路環境
1.禁止訪問網路連接組件的屬性
“本地串連屬性”對話方塊包括串連時使用的網路組件列表。要查看或更改組件屬性,請單擊組件名稱,然後單擊組件列表下面的“屬性”按鈕,4所示。該策略確定使用者是否可以更改由網路連接使用的組件屬性,它確定是否啟用用於網路連接組件的“屬性”按鈕。
位置:/使用者配置/系統管理範本/網路/網路連接/
如果啟用此設定(並啟用“為管理員啟用網路連接設定”設定),就會為管理員禁用“屬性”按鈕。無論“為管理員啟用網路連接設定”設定啟用與否,使用者都不可以訪問串連組件。如果禁用或不配置“為管理員啟用網路連接設定”。
如果禁用或不配置此設定,將為使用者啟用“屬性”按鈕。
2.禁用TCP/IP進階配置
確定使用者是否可以配置TCP/IP 設定。
位置:/使用者配置/系統管理範本/網路/網路連接/
如果啟用此設定(並啟用“為管理員啟用網路連接設定”設定),就對所有使用者(包括管理員)禁用“Internet協議(TCP/IP) 屬性”對話方塊上的“進階”按鈕。因此,使用者不能開啟“進階TCP/IP設定”對話方塊並修改IP設定(例如,DNS和WINS伺服器資訊)。如果禁用此設定,則啟用“進階”按鈕,並且所有使用者均可開啟“進階TCP/IP設定”對話方塊。
注意:此設定會由禁止訪問串連屬性或串連組件屬性的設定取代。如果將這些原則設定為拒絕訪問串連屬性對話方塊或用於串連組件的“屬性”按鈕,使用者就無法訪問用於TCP/IP配置的“進階”按鈕。不管此設定如何,非管理使用者均不具有訪問用於網路連接的TCP/IP進階配置的許可權。在使用者退出系統之前,將此設定從“啟用”更改為“未配置”不會啟用“進階”按鈕。
3.禁止添加或刪除用於網路連接或遠端存取串連的組件
“安裝”按鈕可開啟用來添加網路組件的對話方塊。單擊“卸載”按鈕可刪除群組件列表中的選定組件。“安裝”和“卸載”按鈕出現在用於串連的“屬性”對話方塊之中。這些按鈕位於“常規”選項卡和“網路”選項卡上。該策略確定管理員是否可以添加和刪除用於網路連接或遠端存取串連的網路組件。
位置:/使用者配置/系統管理範本/網路/網路連接/
如果啟用此設定(並啟用“為管理員啟用網路連接設定”設定),就會禁用用於串連組件的“安裝”和“卸載”按鈕,並且不允許使用者訪問“Windows組件嚮導”中的網路組件。如果禁用或不配置此設定,就會啟用用於“網路連接”檔案夾中串連組件的“安裝”和“卸載”按鈕。同樣地,使用者可以訪問“Windows組件嚮導”中的網路組件。
4.禁止訪問網路連接的屬性
按右鍵“網路位置”表徵圖,在開啟的捷徑功能表中可以看到“屬性”功能表項目,用於開啟網路連接屬性對話方塊,該策略確定使用者是否可以更改網路連接的屬性。
位置:/使用者配置/系統管理範本/網路/網路連接/
如果啟用此設定(並啟用“為管理員啟用網路連接設定”設定),就對所有使用者禁用“屬性”功能表項目,而且使用者不能開啟“串連屬性”對話方塊。如果禁用或不配置此設定,按右鍵“網路位置”的表徵圖時,就會出現“屬性”功能表項目。同樣地,當使用者選擇此串連時,就會啟用[檔案] 功能表上的“屬性”功能表項目。
注意:此設定優先於操作“局域串連屬性”對話方塊內的功能的可用性設定。如果啟用此設定,使用者將不可使用網路連接的屬性對話方塊內的任何功能。
5.更改所有使用者遠端存取串連的屬性
該策略用於確定使用者是否可以查看和更改對電腦所有使用者可用的遠端存取串連的屬性。此設定確定是否啟用“屬性”功能表項目,以及遠端存取串連屬性對話方塊是否對使用者可用。
位置:/使用者配置/系統管理範本/網路/網路連接/
如果啟用此設定,任何使用者按右鍵用來進行遠端存取串連的表徵圖時,就會出現“屬性”功能表項目。同樣地,當任何使用者選擇串連時,[檔案] 功能表上就出現“屬性”。如果禁用此設定(並啟用“為管理員啟用網路連接設定”設定),就會禁用“屬性”功能表項目,並且使用者(包括管理員)無法開啟遠端存取串連對話方塊。如果不配置此設定,則只有管理員才可以更改所有使用者遠端存取串連的屬性。
注意:此設定優先於操作遠端存取串連屬性對話方塊內的功能的可用性設定。如果禁用此設定,則使用者不可使用用於遠端存取串連的屬性對話方塊內的任何功能。
6.為管理員啟用Windows XP網路連接設定
該策略確定Windows XP中的已有設定是否適用於管理員。預設情況下,Windows XP中的“網路連接”組設定不具有禁止管理員使用功能的能力。
位置:/使用者配置/系統管理範本/網路/網路連接/
如果啟用此設定,已存在於Windows XP中的設定會具有阻止管理員使用某些功能的能力。這些設定為包括:“重新命名所有使用者可以使用的網路連接或遠端存取串連的能力”、“禁止訪問網路連接組件的屬性”、“禁止訪問遠端存取串連組件的屬性”、“訪問TCP/IP進階配置的能力”、“禁止訪問進階菜單上的進階設定項”、“禁止添加和刪除用來進行網路連接或遠端存取串連的組件”、“禁止訪問網路連接的屬性”、“禁止啟用/禁用網路連接組件”、“更改所有使用者遠端存取串連的屬性的能力”、“禁止更改專用遠端存取串連的屬性”、“禁止刪除遠端存取串連”、“刪除所有使用者遠端存取串連的能力”、“禁止串連和中斷連線遠端存取串連”、“啟用/禁用網路連接的能力”、“禁止訪問新增連線精靈 (NCW)”、“禁止重新命名專用遠端存取串連”、“禁止訪問進階菜單上的撥號參數選擇項”、“禁止查看活動串連的狀態”。啟用此設定時,上述設定對管理員的行為有效。如果禁用或不配置此設定,上述設定將不適用於管理員。
注意:此設定是專用於正在應用這些設定的組策略對象同時包含Windows 2000和Windows XP電腦的情形中,並且在所有Windows 2000和Windows XP電腦之間必需相同的網路連接策略行為。
六、精心維護系統安全
1.防止從“我的電腦”中訪問磁碟機
該策略可以防止使用者使用“我的電腦”訪問所選磁碟機的內容。
位置:/使用者配置/系統管理範本/Windows組件/Windows資源管理員/
如果啟用了這項設定,使用者無法查看在“我的電腦”或Windows資源管理員中所選磁碟機的內容。同時它也無法使用運行對話方塊、鏡像網路磁碟機對話方塊、或使用Dir命令查看在這些磁碟機上的目錄。要利用這些設定,請選擇一個磁碟機或幾個磁碟機。要允許訪問所有磁碟機目錄,請禁用這項設定或選擇“不要限制磁碟機”選項。
注意:磁碟機的表徵圖仍會出現在我的電腦中,但是如果使用者雙擊表徵圖,會出現一個訊息解釋設定防止這一操作。同時這以設定不會防止使用者使用程式訪問本地和網路磁碟機。
2.禁止“登出”和“關機”
當電腦啟動以後,如果你不希望該使用者進行關機和登出操作,可以通過組策略來完成設定。
位置:/使用者配置/系統管理範本/工作列和“開始”菜單/
這個設定會從“開始”菜單刪除“關機”選項,並禁用“Windows工作管理員”對話方塊中的“關機”選項(按Ctrl+Alt+Del會出現該對話方塊)。另外需要注意的是,此設定雖然可防止使用者用Windows介面來關機,但無法防止使用者用其他第三方工具程式來將Windows關閉。
提示:如果啟用“刪除‘開始’菜單上的‘登出’”策略,則還從“‘開始’菜單選項”刪除“顯示登出”項目。結果是使用者無法將“登出<使用者名稱>”項目還原到“開始”菜單(只能通過手動修改註冊表的方法)。這個設定隻影響“開始”菜單。它不影響“Windows 安全性”對話方塊中的“登出”選項(因此需要同時啟用“刪除和阻止訪問‘關機’命令”);而且不防止使用者用其他方法登出。
3.阻止訪問命令提示字元
防止使用者運行命令提示字元視窗(Cmd.exe)。這個設定還決定批檔案(.cmd和.bat)是否可以在電腦上運行。
位置:/使用者配置/系統管理範本/系統/
如果啟用這個設定,使用者試圖開啟命令視窗,系統會顯示一個訊息,解釋設定阻止這種操作。
注意:如果電腦使用登入、登出、啟動或關閉批檔案指令碼,不防止電腦運行批檔案;也不防止使用終端服務的使用者運行批檔案。
4.阻止訪問註冊表編輯工具
該策略將禁用Regedit.exe,以禁用Windows登錄編輯程式。
位置:/使用者配置/系統管理範本/系統/
如果這個設定被啟用,並且使用者試圖啟動登錄編輯程式,解釋設定禁止這類操作的訊息會出現。要防止使用者使用其他系統管理工具,請使用“只運行許可的Windows應用程式”原則設定。
5.禁止存取控制面板
控制台允許使用者配置其電腦、添加或刪除程式和更改設定。該策略用於防止“控制台”的程式檔案Control.exe的啟動,使用者無法啟動“控制台”或運行任何“控制台”項目。
位置:/使用者配置/系統管理範本/控制台/
該策略還從“開始”菜單中刪除“控制台”功能表項目,也將“控制台”檔案夾從Windows資源管理員中刪除。如果使用者想從右鍵捷徑功能表的“屬性”選項中選擇一個“控制台”項目,會出現一個訊息,說明該設定防止這個操作。
6.隱藏指定的控制台程式
該策略將控制板面的項目(如顯示)和檔案夾從控製版面和“開始”菜單中刪除。它可以刪除Windows XP中包含的控制板面的項目,也可以刪除你在系統裡添加的控制台項目。
位置:/使用者配置/系統管理範本/控制台/
若想隱藏一個控制台項目,請在開啟的對話方塊中,單擊“已啟用”選項,然後單擊“顯示”按鈕,在開啟的對話方塊中,單擊“添加”按鈕,輸入該項目的檔案名稱即可,如Ncpa.cpl(用於網路)。若想隱藏一個檔案夾,輸入該檔案夾名即可,如“字型”。
此設定隻影響“開始”菜單和控制台視窗。它不會阻止使用者使用“運行”對話方塊來運行控制台項目。
注意:要尋找控制台項目的檔案名稱,請在/System32目錄中尋找.cpl檔案名稱的擴充。
7.密碼保護螢幕保護裝置程式
該策略確定電腦上使用的螢幕保護裝置程式是否受密碼保護。
位置:/使用者配置/系統管理範本/控制台/顯示/
如果你啟用了這項設定,所有螢幕保護裝置程式都是有密碼保護。如果你禁用了這項設定,密碼保護就不能在任何螢幕保護裝置程式上設定。這項設定也禁用了“控制台”中“顯示”項中的“螢幕保護裝置程式”的“密碼保護”複選框,防止使用者更改密碼保護策略。如果你不配置該策略,使用者選擇使用在每個螢幕保護裝置程式上設定密碼保護。
注意:只有當在電腦上指定螢幕保護裝置程式時才可使用這項設定。
七、用組策略完善Windows娛樂功能
1.防止CD和DVD媒體資訊檢索
該策略防止Windows Media Player 9.0運行時從Internet檢索有關CD及DVD的媒體資訊。另外,首次使用對話方塊的“隱私選項”選項卡和播放機“隱私”選項卡中的“從Internet檢索CD和DVD媒體資訊”複選框都未選中,並且不可用。
位置:/使用者配置/系統管理範本/Windows組件/Windows Media Player
如果未配置或禁用了該策略,則使用者可以對“從Internet檢索CD和DVD媒體資訊”複選框的設定變更。
2.防止音樂檔案媒體資訊檢索
該策略防止Windows Media Player 9.0自動從Internet擷取有關音樂檔案(例如Windows Media Audio (WMA)和MP3)的媒體資訊。另外,在首次使用對話方塊和播放機的“隱私”及“媒體庫”選項卡中的“通過從 Internet 檢索缺少的媒體資訊來更新音樂檔案(WMA 和 MP3 檔案)”都未選中,並且不可用。
位置:/使用者配置/系統管理範本/Windows組件/Windows Media Player
如果未配置或禁用了該策略,則使用者可以對“通過從Internet檢索缺少的媒體資訊來更新音樂檔案(WMA和 MP3檔案)”複選框的設定變更。
3.指定流媒體協議
該策略指定了可以使用在“設定”選項卡中選中的協議從Windows Media伺服器接收流媒體。該策略還指定了在“設定”選項卡中選中“多播”複選框時可以接收多播流。
如果在“設定”選項卡中選中了“UDP”複選框,並且“UDP 連接埠”框為空白,則Windows Media Player將使用預設連接埠播放來自Windows Media伺服器的內容。如果未選中“UDP”複選框,“UDP 連接埠”框中的資訊將被忽略。
如果未選擇任何協議並啟用了該策略,將無法播放來自Windows Media伺服器的內容。
位置:/使用者配置/系統管理範本/Windows組件/Windows Media Player/網路
如果啟用或禁用了該策略,播放機“網路”選項卡中的“流協議”部分將不可用。如果啟用了“隱藏‘網路’選項卡”策略,則整個“網路”選項卡將隱藏起來。如果禁用該策略,播放機將無法從Windows Media伺服器接收流媒體。如果有必要控制所接收的流媒體的類型,建議使用其他方法,如防火牆。如果未配置該策略,並且未啟用“隱藏‘網路’選項卡”策略,則使用者可以對“網路”選項卡中“流協議”部分的設定變更。
4.配置HTTP代理
該策略指定了HTTP協議的Proxy 伺服器設定。如果啟用該策略,必須選擇一種代理類型(自動檢測、自訂或使用瀏覽器Proxy 伺服器設定)。自動檢測即系統自動檢查Proxy 伺服器設定。自訂即使用惟一的Proxy 伺服器設定。使用瀏覽器Proxy 伺服器設定則意味著使用瀏覽器的Proxy 伺服器設定。
如果選擇自訂Proxy 伺服器類型,則必須指定“設定”選項卡中的其餘選項,這是因為Proxy 伺服器沒有預設設定。如果選擇“自動檢測”或“瀏覽器”,則可以忽略這些選項。
播放器“網路”選項卡中的“配置”按鈕對HTTP協議無效,因此無法配置Proxy 伺服器。如果還啟用了“隱藏網路選項卡”策略,則整個“網路”選項卡都不可見。
如果啟用了“流媒體協議”策略,且未選擇HTTP協議,該策略將被忽略。
位置:/使用者配置/系統管理範本/Windows組件/Windows Media Player/網路
如果禁用該策略,HTTPProxy 伺服器將無法使用,使用者也將無法配置HTTPProxy 伺服器。如果未配置該策略,使用者便可以配置HTTPProxy 伺服器設定。
5.配置MMSProxy 伺服器
該策略指定了MMS協議的Proxy 伺服器設定。如果啟用該策略,必須選擇一種代理類型(自動檢測或自訂)。“自動檢測”表示系統自動檢測Proxy 伺服器設定。“自訂”表示使用惟一的Proxy 伺服器設定。
如果選擇“自訂”代理類型,則必須指定“設定”選項卡中的其餘選項。否則,將使用預設設定。如果選擇“自動檢測”,這些選項將被忽略。
播放器“網路”選項卡中的“配置”按鈕不可用,並且無法配置協議。如果還啟用了“隱藏‘網路’選項卡”策略,則整個“網路”選項卡將隱藏起來。
如果啟用了“流媒體協議”策略,並且未選擇“多播”,該策略將被忽略。
位置:/使用者配置/系統管理範本/Windows組件/Windows Media Player/網路
如果禁用該策略,MMSProxy 伺服器將無法使用,使用者將無法配置MMSProxy 伺服器設定。如果未配置該策略,則使用者可以配置MMSProxy 伺服器設定。