Windows作業系統組策略應用全攻略

標籤：mic   one   讀者   選中   div   介紹   版本   工具   滑鼠   

 佚名出處：IT專家網論壇2007-07-23 13:31

　　一、什麼是組策略

　　(一)組策略有什麼用?

　　說到組策略，就不得不提註冊表。註冊表是Windows系統中儲存系統、應用軟體配置的資料庫，隨著Windows功能的越來越豐富，註冊表裡的設定項目也越來越多。很多配置都是 可以自訂設定的，但這些配置發布在註冊表的各個角落，如果是手工配置，可想是多麼困難和煩雜。而組策略則將系統重要的配置功能彙集成各種配置模組，供管理員直接使用，從而達到方便管理電腦的目的。

　　簡單點說，組策略就是修改註冊表中的配置。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設定進行管理和配置，遠比手工修改註冊表方便、靈活，功能也更加強大。

　　(二)組策略的版本

　　大部分Windows 9X/NT使用者可能聽過“系統策略”的概念，而我們現在大部分聽到的則是“組策略”這個名字。其實組策略是系統策略的更進階擴充，它是由Windows 9X/NT的“系統策略”發展而來的，具有更多的系統管理範本和更靈活的設定對象及更多的功能，目前主要應用於Windows 2000/XP/2003系統。

　　早期系統策略的運行機制是通過策略系統管理範本，定義特定的.POL(通常是Config.pol)檔案。當使用者登入的時候，它會重寫註冊表中的設定值。當然，系統策略編輯器也支援對當前註冊表的修改，另外也支援串連網路電腦並對其註冊表進行設定。而組策略及其工具，則是對當前註冊表進行直接修改。顯然，Windows 2000/XP/2003系統的網路功能是其最大的特色之處，其網路功能自然是不可少的，因此組策略工具還可以開啟網路上的電腦進行配置，甚至可以開啟某個Active Directory 對象(即網站、域或組織單位)並對它進行設定。這是以前“系統策略編輯器”工具無法做到的。

　　無論是系統策略還是組策略，它們的基本原理都是修改註冊表中相應的設定項目，從而達到配置電腦的目的，只是它們的一些運行機制發生了變化和擴充而已。

　　二、組策略中的系統管理範本

　　在Windows 2000/XP/2003目錄中包含了幾個 .adm 檔案。這些檔案是文字檔，稱為“系統管理範本”，它們為組策略系統管理範本項目提供策略資訊。

　　在Windows 9X系統中，預設的admin.adm系統管理範本即儲存在策略編輯器同一個檔案夾中。而在Windows 2000/XP/2003的系統檔案夾的inf檔案夾中，包含了預設安裝下的4個模板檔案，分別為：

　　1)System.adm：預設情況下安裝在“組策略”中，用於系統設定。

　　2)Inetres.adm：預設情況下安裝在“組策略”中;用於Internet Explorer原則設定。

　　3)Wmplayer.adm：用於Windows Media Player 設定。

　　4)Conf.adm：用於NetMeeting 設定。

　　在Windows 2000/XP/2003的組策略控制台中，可以多次添加“原則範本”，而在Windows 9X下，則只允許當前開啟一個原則範本。下面介紹使用原則模板的方法。首先在Windows 2000/XP/2003組策略控制台中使用如下：

　　首先運行“組策略”程式，然後選擇“電腦配置”或者“使用者配置”下的“系統管理範本”，按下滑鼠右鍵，在彈出的菜單中選擇“添加/刪除模板”，則彈出1所示的對話方塊。

　　

　　                                                圖 1

　　然後單擊“添加”按鈕，在彈出的對話方塊中選擇相應的.adm檔案。單擊“開啟”按鈕，則在系統策略編輯器中開啟選定的指令檔，並等待使用者執行。

　　返回到“組策略”編輯器主介面後，依次開啟目錄“本機電腦策略→使用者配置→系統管理範本”，再點擊相應的分類樹，就會看到我們新添加的系統管理範本所產生的設定項目了(為了便於本文後面的執行個體大家能一起動手操作，建議添加除預設範本檔案的其它模板檔案)。

　　再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的[檔案] 功能表中選擇“關閉”，以便將當前指令碼關閉，然後再在“選項”菜單中選擇“模板”，則彈出2所示的對話方塊。

　　

　　                                                     圖 2

　　然後單擊“開啟模板”按鈕，在彈出的對話方塊中選擇相應的.adm檔案並單擊“開啟”按鈕，則在編輯器中開啟選定的指令檔並等待使用者執行。

三、運行組策略

　　(一)Windows 2000/XP/2003組策略控制台

　　如果是Windows 2000/XP/2003系統，那麼系統預設已經安裝了組策略程式，在“開始”菜單中，單擊“運行”命令項，輸入gpedit.msc並確定，即可運行程式(介面4所示)。

　　

　　                                                     圖 4

　　使用上面的方法，開啟的組策略對象就是當前的電腦，而如果需要配置其他的電腦群組策略對象的話，則需要將組策略作為獨立的控制台管理程式來開啟，具體步驟如下：

　　1)開啟 Microsoft 管理主控台(可在“開始”菜單的“運行”對話方塊中直接輸入MMC並斷行符號，運行控制台程式)。

　　2)在[檔案] 功能表上，單擊“添加/刪除嵌入式管理單元”。

　　3)在“獨立”選項卡上，單擊“添加”。

　　4)在“可用的獨立嵌入式管理單元”對話方塊中，單擊“組策略”，然後單擊“添加”。

　　5)在“選擇組策略對象”對話方塊中，單擊“本機電腦”編輯本機電腦對象，或通過單擊“瀏覽”尋找所需的組策略對象。

　　6)單擊“完成”，單擊“關閉”，然後單擊“確定”。組策略嵌入式管理單元即開啟要編輯的組策略對象。

　　對於不包含域的電腦系統來說，在上面第5步的介面中，只有“電腦”標籤，而沒有其他標籤項目。

　　通過上面的方法，我們就可以使用Windows 2000/XP/2003組策略系統強大的網路設定功能，讓管理員的工作更輕鬆和高效。

　　Windows 2000/XP/2003群組原則管理主控台具有“選中、清除、變灰”三種狀態三種狀態，它們分別是：已啟用、未配置、已禁用。

　　四、“案頭”設定

　　Windows的案頭就像我們的辦公桌一樣，需要經常進行整理和清潔，而組策略就如同我們的貼身秘書，讓案頭管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置執行個體：

　　位置：“組策略控制台→使用者配置→系統管理範本→案頭”

　　1.隱藏案頭的系統表徵圖(Windows 2000/XP/2003)

　　雖然通過修改註冊表的方式可以實現隱藏案頭上的系統表徵圖的功能，但這樣比較麻煩，也有一定的風險。而採用組策略配置的方法，可以方便快捷地達到此目的。

　　比如要隱藏案頭上的“網路位置”和“Internet Explorer”表徵圖，只要在右側邊窗格中將“隱藏案頭上‘網路位置’表徵圖”和“隱藏案頭上的Internet Explorer表徵圖”兩個策略選項啟用即可(5);如果隱藏案頭上的所有表徵圖，只要將“隱藏和禁用案頭上的所有項目”啟用即可;當啟用了“刪除案頭上的‘我的文件’表徵圖”和“刪除案頭上的‘我的電腦’表徵圖”兩個選項以後，“我的電腦”和“我的文件”表徵圖將從你的電腦案頭上消失;同樣如果要讓“資源回收筒”表徵圖消失，只須將“從案頭刪除資源回收筒”策略項啟用即可。

　　

　　                                                         圖 5

 

2.退出時不儲存案頭設定(Windows 2000/XP/2003)

　　此策略可以防止使用者儲存對案頭的某些更改。如果你啟用這個策略，使用者仍然可以對案頭做更改，但有些更改，標的位置、工作列的位置及大小，在使用者登出後都無法儲存，不過工作列上的捷徑總可以被儲存。

　　在右側邊窗格中將“退出時不儲存設定”這個策略選項啟用即可。

　　3.屏蔽“清理案頭嚮導”功能(Windows XP/2003)

　　“清理案頭嚮導”會每隔 60 天自動在使用者的電腦上運行，以清除那些使用者不經常使用或者從不使用的案頭表徵圖。如果啟用此原則設定，則可以屏蔽“清理案頭嚮導”，如果你禁用或不配置此設定，“清理案頭嚮導”會按照預設設定每隔60天運行一次。

　　開啟右側邊窗格中的“刪除清理案頭嚮導”，根據需要設定策略選項即可。

　　4.啟用/禁用“活動案頭”(Windows 2000/XP/2003)

　　“活動案頭”是Windows 98(及以後版本)或安裝了IE 4.0的系統中內建的進階功能，最大的特點是可以設定各種圖片格式的牆紙，甚至可以將網頁作為牆紙顯示。但出於對安全和效能的考慮，有時候我們需要禁用這一功能(並且禁止使用者啟用它)，通過原則設定可以輕鬆達到這一要求。具體操作方法：開啟右側邊窗格中的“禁用活動案頭”並啟用此策略。

　　提示：如果同時啟用“啟用 Active Desktop”設定和“禁用 Active Desktop”設定，則“禁用 Active Desktop”設定會被忽略。如果 “禁用 Active Desktop 和 Web 視圖”設定(在“使用者配置→系統管理範本→Windows組件→Windows資源管理員”中)被啟用，Active Desktop 就會被禁用，並且這兩個策略都會被忽略。

　　以上介紹了幾個關於案頭的組策略設定項目，在“組策略控制台→使用者配置→系統管理範本→案頭”下還有其他若干組策略設定項目，讀者可根據需要進行配置，這裡不再贅述。

　　五、個人化“工作列”和“開始”菜單

　　在圖6所示視窗的右側，顯示了“工作列”和“開始”菜單的有關組策略設定項目。下面我們來看具體的執行個體：

　　

　　                                                       圖 6

　　位置：“組策略控制台→使用者配置→系統管理範本→工作列和開始菜單”

　　1.給“開始”菜單減肥(Windows 2000/XP/2003)

　　如果覺得Windows的“開始”菜單太臃腫的話，可以將不需要的功能表項目從“開始”菜單中刪除。在組策略右側邊窗格中，提供了“從開始菜單刪除使用者檔案夾”、“刪除到‘Windows Update’的訪問和連結”、“從開始菜單刪除公用程式組”、“從開始菜單中刪除‘我的文件’表徵圖”等多種組策略設定項目。你只要將不需要的功能表項目所對應的策略啟用即可。

　　2.保護好“工作列”和“開始”菜單(Windows 2000/XP/2003)

　　如果你不想隨意讓他人更改“工作列”和“開始”菜單的設定，你只要將組策略控制台右側邊窗格中的“阻止更改‘工作列和開始菜單’設定”和“阻止訪問工作列的操作功能表”兩個策略項啟用即可。這樣，當你用滑鼠右鍵單擊工作列並單擊“屬性”時，系統會出現一個錯誤訊息(圖7)，且當滑鼠右鍵單擊工作列及工作列上的項目時，例如[開始] 按鈕、時鐘和“工作列”按鈕，快顯功能表會隱藏。

　　

　　                                                    圖 7

　　3.禁止“登出”和“關機”(Windows 2000/XP/2003)

　　當電腦啟動以後，如果你不希望這個使用者再進行“關機”和“登出”操作，那麼可將組策略控制台右側邊窗格中的“刪除開始菜單上的‘登出’”和“刪除和阻止訪問‘關機’命令”兩個策略啟用。

　　這個設定會從開始菜單刪除“關機”選項，並禁用“Windows 工作管理員”對話方塊

Windows作業系統組策略應用全攻略