组策略应用大全.docx

组策略应用大全.docx

《组策略应用大全.docx》由会员分享，可在线阅读，更多相关《组策略应用大全.docx（29页珍藏版）》请在冰点文库上搜索。

组策略应用大全

组策略应用大全专题

　　先给初学的扫扫盲：

说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。

很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

　　简单点说，组策略就是修改注册表中的配置。

当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

　　运行组策略的方法：

在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行组策略。

先看看组策略的全貌，如图。

安全设置包括：

帐户策略，本地策略，公钥策略，软件限制策略，IP安全策略。

账户策略：

在WindowsServer2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：

密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：

审核策略、用户权限分配和安全选项三部分。

本地策略：

倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢？

原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢？

其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访问WinXP工作站的共享资源；下面就是让WinXP被随意共享的具体实现步骤：

　　首先在WinXP工作站中，依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令，在弹出的计算机管理界面中，再逐步展开“系统工具”、“本地用户和组”、“用户”分支，在对应“用户”分支的右边子窗口中，再双击“guest”选项，在弹出的帐号属性设置界面中，取消“帐号已停用”选项，再单击“确定”按钮，“guest”帐号就能被重新启用了；

　　接着打开系统的组策略编辑窗口，再用鼠标逐步展开其中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”分支，在弹出的图2界面中，双击右侧子窗口中的“拒绝从网络访问这台计算机”项目，在接着出现的界面中，将guest帐号选中并删除掉，然后再单击一下“确定”按钮，那么WinXP工作站中的共享资源就能被随意访问了。

在WindowsXP/2003中实现远程关机（WindowsXP/2003）

　　在WindowsXP/2003中，新增了一条命令行工具“shutdown”，它可以关闭或重新启动本地或远程计算机。

利用它，我们不但可以注销用户、关闭或重新启动计算机，还可以实现定时关机、远程关机。

该命令的语法格式如下：

　　shutdown[-i|-l|-s|-r|-a][-f][-m[\\ComputerName]][-txx][-c″message″][-d[u][p]:

xx:

yy]

　　该命令具体的使用参数和技巧请参考Windows的帮助系统，帮助系统里面有全面的资料。

我们现在简单地看一下该命令的一些基本用法：

　　1）注销当前用户

　　shutdown-l

　　该命令只能注销本机用户，对远程计算机不适用。

　　2）关闭本地计算机

　　shutdown-s

　　3）重启本地计算机

　　shutdown-r

　　4）定时关机

　　shutdown-s-t30

　　指定在30秒之后自动关闭计算机。

　　5）中止计算机的关闭。

有时我们设定了计算机定时关机后，如果出于某种原因又想取消这次关机操作，就可以用shutdown-a来中止。

　　在该命令的格式中，有一个参数[-m[\\ComputerName]，用它可以指定将要关闭或重启的计算机名称，若省略的话则默认为对本机操作。

你可以用以下命令来试一下：

　　shutdown-s-m\\Anyes-solon-t30

　　在30秒内关闭计算机名为Anyes-solon（Anyes-solon为局域网内一台同样装有WindowsXP/2003）的电脑。

　　该命令执行后，计算机Anyes-solon一点反应都没有，屏幕上却提示“Accessisdenied（拒绝访问）”。

　　出现这种情况是因为WindowsXP默认的安全策略中，只有管理员组的用户才有权从远端关闭计算机，而一般情况下我们从局域网内的其他电脑访问该计算机时，则只有guest用户权限，所以当我们执行上述命令时，便会出现“拒绝访问”的情况。

　　而我们利用组策略即可赋予guest用户远程关机的权限。

打开“组策略控制台→计算机配置→Windows设置→安全设置→本地策略→用户权利指派中的从远端系统强制关机”，在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机；单击对话框下方的“添加用户或组”按钮，然后在新弹出的对话框中输入“guest”，再单击“确定”按钮。

　　通过上述操作后，我们便给计算机Anyes-solon的guest用户授予了远程关机的权限。

以后，倘若你要远程关闭计算机Anyes-solon，只要在网络中其他装有WindowsXP/2003的计算机中输入以下命令shutdown-s-m\\Anyes-solon-t60即可。

　　这时，在Anyes-solon计算机的屏幕上将显示一个“系统关机”的对话框，在对话框下方还有一个计时器，显示离关机还有多少时间。

在等待关机的时间里，用户还可以执行其他的任务，如关闭程序、打开文件等，但无法关闭该对话框，除非你用shutdown-a命令来中止关机任务.

公钥策略：

加密文件系统（EFS）是Windows2000、WindowsXPProfessional和WindowsServer2003的NTFS文件系统的一个组件。

（WindowsXPHome不包含EFS。

）EFS采用高级的标准加密算法实现透明的文件加密和解密。

任何不拥有合适密钥的个人或者程序都不能读取加密数据。

即便是物理拥有驻留加密文件的计算机，加密文件仍然受到保护。

甚至是有权访问计算机及其文件系统的用户，也无法读取这些数据。

还应该采取其他防御策略，加密这种解决方法不是解决每种威胁的恰当对策，加密只是其他防御策略之外的又一种有力措施。

EFS是Windows文件系统的内置文件加密工具。

EFS加密文件夹无法打开怎么办

Windows系统EFS加密出了问题怎么办？

重要文件的铠甲:

EFS加密

|__软件限制策略：

在WindowsXP里的软件限制策略提供了一种透明的方式来隔离和使用不可靠的，有潜在危险的代码，这在某种程度上保护你的计算机免受各种通过电子邮件或网页传播的病毒、木马程序和蠕虫等。

这些策略荣允许你选择如何管理你系统里的软件。

软件可以被严格管理，你可以决定：

如何、什么时间、什么地点执行；或者软件可以被设置为不予管理、禁止指定代码运行等。

通过在一个隔离区执行不可靠的代码和脚本，你可以获得那些被证明是良性的不可靠代码和脚本的功能，而那些受感染的代码是不能对你的系统造成任何危害的。

例如，不可靠的代码在未被证明是安全代码之前，是被阻止发送电子邮件，访问文件，或是做其它的正常计算功能的。

　　软件限制策略保护你免受感染的电子邮件附件的攻击，包括存储在临时文件夹的文件，对象，和脚本。

同时，也可以保护你的系统免受嵌入式不可靠脚本的URL/UNC连接、网上下载的ActiveX的危害。

IP安全策略,在本地计算机：

IP安全性（InternetProtocolSecurity）是Windows2000/2003中提供的一种安全技术，它是一种基于点到点的安全模型，可以实现更高层次局域网数据的安全性。

|__用户配置

　　　|

　　　|__Windows设置

自定义IE工具栏（Windows2000/XP/2003）

　　通过组策略我们还可以自定义IE工具栏，打造属于我们自己的IE。

方法如下：

打开“组策略控制台→用户配置→Windows设置→InternetExplorer维护→浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目，在这里，我们可以自定义浏览器工具栏的背景图片，点击“浏览”选择一个BMP的位图文件即可。

另外我们还可以在IE的工具栏上添加自己的快捷方式，比如添加“我的QQ”，在这里也可以很轻松地完成。

，打开组策略的“用户配置→Windows设置→InternetExplorer维护→浏览器工具栏自定义”对话框，点击“添加”按钮，弹出“浏览器工具栏按钮信息”对话框，在这里就可对QQ按钮进行详细设置了，输入按钮的标题，找到QQ安装执行程序路径，并将制作好的QQ两个明暗头像，分别输入到颜色图标栏和灰色图标栏中，点击“确定”，再次打开IE后就可以看到修改的效果了。

清除上网的痕迹

　　每次冲浪过后，系统都会“自做主张”地记录下上网的痕迹，其他人很容易通过这些痕迹，偷窥到自己的上网隐私。

为了避免自己的隐私不被外人非法偷窥到，你或许会在每次冲浪结束后，用手工清除的方法将各种上网痕迹逐一抹除掉，很显然这种方法不但烦琐，而且也不大容易记住。

其实，你可以通过下面的方法，让系统在注销的那一刻自动抹除所有的上网痕迹：

　　首先创建一个批处理文件，确保在执行完该文件后，能自动将所有的上网痕迹全部清除掉。

在创建这样的批处理文件时，可以先打开记事本之类的文本编辑工具，然后在编辑界面中输入下面的命令代码：

　　@echooff

　　cdc:

\windows\localsettings\temporaryinternetfiles

　　c:

\windows\command\deltree.\*.*/y

　　之后，依次执行文本编辑界面中的“文件”/“保存”命令，将前面的命令代码保存成扩展名为“bat”的批处理文件，例如这里笔者将它保存为“autodel.bat”文件，当然该文件只对Win98或WinMe系统有效，如果要想自动清除Win2000以上版本系统中的上网痕迹时，就必须在文本编辑界面中输入下面的命令代码：

　　@echooff

　　cdc:

\documentsadsettings\administrator\localsettings\temporaryinternetfiles

　　c:

\winnt\system32\deltree.\*.*/y

　　而且要想让上面的批处理文件执行成功的话，还需要事先将Win98系统下的“Deltree.exe”命令，直接复制到Win2000以上版本系统的“c:

\winnt\system32”目录下；当然如果Windows系统并没有按照默认设置来安装时，还需要将批处理文件中的系统安装路径，设置成实际的安装路径。

　　其次，依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入组策略编辑命令“Gpedit.msc”，单击“确定”按钮后，再依次展开组策略编辑窗口中的“用户配置”、“Windows设置”、“脚本（登录/注销）”分支；

　　然后在弹出的图1界面中，双击“注销”选项，在接着打开的注销属性设置窗口中，单击一下“添加”按钮，在弹出的文件选择对话框中导入“autodel.bat”文件，最后单击“确定”按钮，这样的话你以后每次在退出计算机系统时，“autodel.bat”文件就会被自动执行，以便让冲浪痕迹自动抹除。

|__管理模板

　　　　　|__任务栏和[开始]菜单

1、给“开始”菜单减肥（Windows2000/XP/2003）

　　如果觉得Windows的“开始”菜单项太多，可以通过组策略将不需要的菜单项从“开始”菜单中删除。

在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“删除到‘WindowsUpdate’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。

你只要将不需要的菜单项所对应的策略启用即可。

　　2、禁止随意修改任务栏和“开始”菜单（Windows2000/XP/2003）

　　为保护自己好不容易设置好的任务栏和“开始”菜单，你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。

这样，当你用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，且当鼠标右键单击任务栏及任务栏上的项目时，例如“开始”按钮、时钟和“任务栏”按钮，弹出菜单会隐藏。

　　3．禁止“注销”和“关机”（Windows2000/XP/2003）

　　如果你不想让他人再进行“关机”和“注销”操作的话，可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。

这个设置会从开始菜单删除“关机”选项，并禁用“Windows任务管理器”对话框　按“Ctrl+Alt+Del”会出现这个对话框　中的“关机”选项。

应注意的是，该设置虽然可防止用户用Windows界面来关机，但无法防止用户用其他第三方工具程序来将Windows关闭。

　　4、防止隐私泄漏（Windows2000/XP/2003）

　　在开始菜单中有一个“我最近的文档”菜单项，可以记录你曾经访问过的文件。

这个功能可以方便用户再次打开该文件，但别人也可通过此菜单访问你最近打开的文档，为安全起见，有时需要屏蔽此功能。

利用组策略，只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。

同时要注意如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。

如果启用此策略设置，后来又禁用它并将它设置为“未配置”，则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。

　　5、去掉WindowsXP“开始”菜单中的图形化设置

　　WindowsXP的“开始”菜单增添了许多图形化设置，其实可在组策略中将这些功能关闭。

“关闭个性化菜单”：

WindowsXP会自动将最近使用的菜单项移动到开始菜单顶部，并且隐藏最近没有使用的菜单项，以此实现个性化菜单，启用此设置将关闭个性化菜单。

“强制典型菜单”：

启用此设置，开始菜单就以Windows2000样式显示典型的开始菜单，并且显示标准桌面图标。

桌面：

Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。

下面就让我们来看看几个实用的配置实例：

　　位置：

“组策略控制台→用户配置→管理模板→桌面”

　　1．隐藏桌面的系统图标（Windows2000/XP/2003）

　　虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。

而采用组策略配置的方法，可以方便快捷地达到此目的。

　　比如要隐藏桌面上的“网上邻居”和“InternetExplorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的InternetExplorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；同样如果要让“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。

　　2．退出时不保存桌面设置（Windows2000/XP/2003）

　　此策略可以防止用户保存对桌面的某些更改。

如果你启用这个策略，用户仍然可以对桌面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，不过任务栏上的快捷方式总可以被保存。

　　在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。

　　3．屏蔽“清理桌面向导”功能（WindowsXP/2003）

　　“清理桌面向导”会每隔60天自动在用户的电脑上运行，以清除那些用户不经常使用或者从不使用的桌面图标。

如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁用或不配置此设置，“清理桌面向导”会按照默认设置每隔60天运行一次。

　　打开右侧窗格中的“删除清理桌面向导”，根据需要设置策略选项即可。

　　4．启用/禁用“活动桌面”（Windows2000/XP/2003）

　　“活动桌面”是Windows98（及以后版本）或安装了IE4.0的系统中自带的高级功能，最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。

但出于对安全和性能的考虑，有时候我们需要禁用这一功能（并且禁止用户启用它），通过策略设置可以轻松达到这一要求。

具体操作方法：

打开右侧窗格中的“禁用活动桌面”并启用此策略。

　　提示：

如果同时启用“启用ActiveDesktop”设置和“禁用ActiveDesktop”设置，则“禁用ActiveDesktop”设置会被忽略。

如果“禁用ActiveDesktop和Web视图”设置（在“用户配置→管理模板→Windows组件→Windows资源管理器”中）被启用，ActiveDesktop就会被禁用，并且这两个策略都会被忽略。

　　以上介绍了几个关于桌面的组策略配置项目，在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目，读者可根据需要进行配置，这里不再赘述。

控制面板：

禁止更改显示属性（Windows2000/XP/2003）

　　选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”，可进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置，如果你不想让别人随意更改各项设置，可以通过组策略将它隐藏起来。

　　打开“组策略控制台→用户配置→管理模板→控制面板→显示”，然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置，可根据需要对这些项目进行配置。

比如启用了“隐藏‘桌面’选项卡”策略后，再打开“显示属性”对话框，就看不到“桌面”标签了，这样自然就无法再对桌面属性进行更改了。

彻底禁止访问“控制面板”（Windows2000/XP/2003）

　　如果不希望其他用户访问计算机的“控制面板”，同样可以使用组策略来实现。

打开“组策略控制台→用户配置→管理模板→控制面板”中的“禁止访问控制面板”并启用此策略。

　　此策略启用后可以防止“控制面板”程序文件（Control.exe）的启动。

他人将无法启动“控制面板”（或运行任何“控制面板”项目）。

另外，这个设置将从“开始”菜单中删除“控制面板”。

同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。

禁用“添加/删除程序”（Windows2000/XP/2003）

　　“控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除Windows的功能和组件以及种类很多的Windows程序。

如果你想阻止其他用户安装或卸载程序，可利用组策略来实现。

　　打开“组策略控制台→用户配置→管理模板→控制面板→添加→删除程序”中的“删除‘添加/删除程序’程序”并启用此策略，当我们再打开“控制面板”中“添加/删除程序”模块的时候，会自动弹出警告窗口，而“添加/删除程序”则无法运行。

　　此外，在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏，通过这些策略项目的设置，起到了保护计算机中系统文件及应用程序的作用。

网络：

禁止建立新的拨号连接（Windows2000/XP/2003）

　　如果不想让别人在计算机中建立新连接来拨号上网的话，组策略也可以做到。

打开“组策略控制台→用户配置→管理模板→网络→网络连接”中的“禁止访问新建连接向导”并启用此策略。

　　启用此策略后，在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。

　　提示：

此设置无法阻止用户使用诸如InternetExplorer这样的其它程序来绕过此设置。

另外此设置必须重新启动计算机后才能生效。

系统：

禁止使用命令提示符（Windows2000/XP/2003）

　　在Windows2000/XP/2003下，我们可以运行cmd.exe进入命令提示符状态，并可以继续运行一些DOS命令和其他命令行程序。

出于对安全的考虑，有些系统应该屏蔽此功能。

　　打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件.cmd和.bat是否可以在计算机上运行。

　　如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止这一操作。

禁用注册表编辑器（Windows2000/XP/2003）

　　为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。

具体操作方法：

打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。

　　此策略被启用后，用户试图启动注册表编辑器（Regedit.exe及Regedt32.exe）的时候，系统会禁止这类操作并弹出警告消息。

限制使用应用程序（Windows2000/XP/2003）

　　如果你的电脑设置了多个用户，有些程序我们可能不希望其他用户随意运行，也能在组策略中设置。

　　打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略，然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可。

以后一般用户只能运行“允许的应用程序列表”中的程序。

Windows组件：

关闭缩略图的缓存

屏蔽系统自带的CD刻录功能

限制IE浏览器的保存功能

禁止修改IE浏览器的主页

禁用“Internet选项”控制面板

禁用“在新