组策略应用大全Word格式.docx

组策略应用大全Word格式.docx

《组策略应用大全Word格式.docx》由会员分享，可在线阅读，更多相关《组策略应用大全Word格式.docx（12页珍藏版）》请在冰豆网上搜索。

首先在

Windows2000/XP/2003组策略控制台中使用如下：

首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模

板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”，则弹出对话框。

然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。

单击“打开”按钮，

则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理

模板”，再点击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了（为了

便于本文后面的实例大家能一起动手*作，建议添加除默认模板文件的其它模板文件）。

再来看Windows9X下的组策略编辑器。

首先在组策略编辑器中的“文件”菜单中选择

“关闭”，以便将当前脚本关闭，然后再在“选项”菜单中选择“模板”，则弹出对话框。

然后单击“打开模板”按钮，在弹出的对话框中选择相应的.adm文件并单击“打开”

按钮，则在编辑器中打开选定的脚本文件并等待用户执行。

三、运行组策略

Windows2000/XP/2003组策略控制台

如果是Windows2000/XP/2003系统，那么系统默认已经安装了组策略程序，在“开始”

菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序。

使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机

组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：

1）打开Microsoft管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC

并回车，运行控制台程序）。

2）在“文件”菜单上，单击“添加/删除管理单元”。

3）在“独立”选项卡上，单击“添加”。

4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通

过单击“浏览”查找所需的组策略对象。

6）单击“完成”，单击“关闭”，然后单击“确定”。

组策略管理单元即打开要编辑

的组策略对象。

对于不包含域的计算机系统来说，在上面第5步的界面中，只有“计算机”标签，而没

有其他标签项目。

通过上面的方法，我们就可以使用Windows2000/XP/2003组策略系统强大的网络配置

功能，让管理员的工作更轻松和高效。

在上面我们介绍了Windows9X下的策略编辑器配置项目有“选中、清除、变灰”三种状

态，Windows2000/XP/2003组策略管理控制台同样也有三种状态，只不过名字变了。

它们

分别是：

已启用、未配置、已禁用。

四、“桌面”设置

Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我

们的贴身秘书，让桌面管理工作变得易如反掌。

下面就让我们来看看几个实用的配置实例：

位置：

“组策略控制台→用户配置→管理模板→桌面”

1．隐藏桌面的系统图标（Windows2000/XP/2003）

虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，

也有一定的风险。

而采用组策略配置的方法，可以方便快捷地达到此目的。

比如要隐藏桌面上的“网上邻居”和“InternetExplorer”图标，只要在右侧窗格中

将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的InternetExplorer图标”两个策略

选项启用即可；

如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用

即可；

当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”

两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；

同样如果要让

“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。

2．退出时不保存桌面设置（Windows2000/XP/2003）

此策略可以防止用户保存对桌面的某些更改。

如果你启用这个策略，用户仍然可以对桌

面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，

不过任务栏上的快捷方式总可以被保存。

在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。

3．屏蔽“清理桌面向导”功能（WindowsXP/2003）

“清理桌面向导”会每隔60天自动在用户的电脑上运行，以清除那些用户不经常使用

或者从不使用的桌面图标。

如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁

用或不配置此设置，“清理桌面向导”会按照默认设置每隔60天运行一次。

打开右侧窗格中的“删除清理桌面向导”，根据需要设置策略选项即可。

4．启用/禁用“活动桌面”（Windows2000/XP/2003）

“活动桌面”是Windows98（及以后版本）或安装了IE4.0的系统中自带的高级功能，

最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。

但出于对安全

和性能的考虑，有时候我们需要禁用这一功能（并且禁止用户启用它），通过策略设置可以

轻松达到这一要求。

具体*作方法：

打开右侧窗格中的“禁用活动桌面”并启用此策略。

提示：

如果同时启用“启用ActiveDesktop”设置和“禁用ActiveDesktop”设置，

则“禁用ActiveDesktop”设置会被忽略。

如果“禁用ActiveDesktop和Web视图”

设置（在“用户配置→管理模板→Windows组件→Windows资源管理器”中）被启用，Active

Desktop就会被禁用，并且这两个策略都会被忽略。

以上介绍了几个关于桌面的组策略配置项目，在“组策略控制台→用户配置→管理模板

→桌面”下还有其他若干组策略配置项目，读者可根据需要进行配置，这里不再赘述。

五、个性化“任务栏”和“开始”菜单

在图6所示窗口的右侧，显示了“任务栏”和“开始”菜单的有关组策略配置项目。

下

面我们来看具体的实例：

“组策略控制台→用户配置→管理模板→任务栏和开始菜单”

1．给“开始”菜单减肥（Windows2000/XP/2003）

如果觉得Windows的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜单

中删除。

在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“删除到‘Windows

Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文

档’图标”等多种组策略配置项目。

你只要将不需要的菜单项所对应的策略启用即可。

2．保护好“任务栏”和“开始”菜单（Windows2000/XP/2003）

如果你不想随意让他人更改“任务栏”和“开始”菜单的设置，你只要将组策略控制台

右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜

单”两个策略项启用即可。

这样，当你用鼠标右键单击任务栏并单击“属性”时，系统会出

现一个错误消息，且当鼠标右键单击任务栏及任务栏上的项目时，例如“开始”按钮、时钟

和“任务栏”按钮，弹出菜单会隐藏。

3．禁止“注销”和“关机”（Windows2000/XP/2003）

当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”*作，那么可将

组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’

命令”两个策略启用。

这个设置会从开始菜单删除“关机”选项，并禁用“Windows任务管理器”对话框□按

“Ctrl+Alt+Del”会出现这个对话框□中的“关机”选项。

另外需要注意的是，此设置虽

然可防止用户用Windows界面来关机，但无法防止用户用其他第三方工具程序来将

Windows关闭。

如果启用了“删除开始菜单上的‘注销’”，则会从“开始菜单选项”删除“显

示注销”项目。

用户无法将“注销”项目还原到开始菜单（只能通过手工修改注册表的方

法）。

这个设置只影响开始菜单，它不影响“Windows任务管理器”对话框上的“注销”

项目（因此需要同时启用“删除和阻止访问‘关机’命令”），而且不妨碍用户用其它方法

注销。

4．利用组策略保护个人文档隐私（Windows2000/XP/2003）

Windows有个高级智能功能，即可以记录你曾经访问过的文件。

虽然这个功能可以方便

用户再次打开该文件，但出于安全和性能的考虑（例如不想让人知道自己浏览过哪些网页和

打开过哪些文件），有时需要屏蔽此功能。

利用组策略，只要在右侧窗格中将“不要保留最

近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。

另外需要注意的是，如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略

设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。

如果启用此策略设

置，后来又禁用它并将它设置为“未配置”，则启用策略设置之前保存的文档快捷方式会重

新出现在“文档”菜单和应用程序的“文件”菜单中。

六、IE设置手到擒来

微软的InternetExplorer让我们可以轻松地在互联网上遨游，但要想用好Internet

Explorer，则必须将它配置好。

在IE浏览器的“Internet选项”窗口中，提供了比较全面

的设置选项（例如：

“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目），

但部分高级功能没有提供，而通过组策略即可轻松实现这些功能。

下面来看具体实例：

“组策略控制台→用户配置→管理模板→Windows组件→InternetExplorer（需

添加inetres.adm模板文件）”

1．禁用“在新窗口中打开”菜单项（Windows2000/XP/2003）

出于对安全的考虑，有时候我们有必要屏蔽IE的一些功能菜单，组策略提供了丰富的

设置项目，比如禁用“另存为...”、“文件”、“新建”等。

下面以“禁用‘在新窗口中

打开’菜单项”为例介绍具体的设置方法。

打开“组策略控制台→用户配置→管理模板→Windows组件→InternetExplorer→浏

览器菜单”，然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。

启用该策略

后，用户在某个链接上单击鼠标右键，然后单击“在新窗口中打开”时，该命令将不起作用。

该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用，后者禁止用户通过单击“文

件”菜单，指向“新建”，然后单击“窗口”在新窗口中打开浏览器（“新建→窗口”项目

已经无法使用）。

启用该策略后，单击“在新窗口中打开”命令，将无法在新窗口中打开链接，系

统会提示用户该命令无效，网页自动打开的窗口也全部被禁止，其实这样也可达到屏蔽弹出

广告窗口的效果。

2．限制IE浏览器的保存功能（Windows2000/XP/2003）

在使用IE浏览网页过程中，当遇到好的图片、文章等资源时可以使用“另存为”功能

将它保存到本地硬盘中，当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的

保存功能进行限制。

那么如何才能实现呢?

可以这样*作：

打开“组策略控制台→用户配置

→管理模板→Windows组件→InternetExplorer→浏览器菜单”，然后将右侧窗格中的

“‘文件’菜单：

禁用‘另存为...’菜单项”、“‘文件’菜单：

禁用另存为网页菜单项”、

“‘查看’菜单：

禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即

可。

如果不希望别人对IE浏览器的设置随意更改，可以将“‘工具’菜单：

禁用‘Internet

选项...’”策略启用。

另外，根据个人的需要，在该窗格中还可以禁用其他项目。

3．禁用“Internet选项”控制面板（Windows2000/XP/2003）

上面提到了“禁用Internet选项”的功能，使用该功能可以达到阻止别人对IE随便设

置的目的。

而这种方法无法具体禁用Internet选项中的控制模板项目，因此给具体应用带

来麻烦。

通过下面的组策略设置方法，则可以实现这一要求：

打开“组策略控制台→用户配置→管理模板→Windows组件→Internet

Explorer→Internet控制面板”，在右边窗格中我们可以看到“禁用常规页”、“禁用安

全页”等组策略项目。

下面以“禁用常规页”为例进行说明：

打开右边窗格中的“禁用常规

页”并设置为“启用”。

然后我们再打开Internet选项控制面板，会发现“常规”项目已

经没有了，这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能

的设置，因为该策略将删除界面上的“常规”选项卡，所以如果设置了该策略，则无须设置

位于“用户配置→管理模板→Windows组件→InternetExplorer”中的诸如“禁用更改

主页设置”、“禁用更改颜色设置”等策略。

4．禁止修改IE浏览器的主页（Windows2000/XP/2003）

如果不希望他人对自己设定的IE浏览器主页进行随意更改的话，可以打开“组策略控

制台→用户配置→管理模板→Windows组件→InternetExplorer→工具栏”，然后选择“禁

用更改主页设置”组策略并启用即可。

另外在这个窗格中，还提供了“更改历史记录设置”、

“更改颜色设置”和“更改Internet临时文件设置”等项目的禁用功能。

启用此策略后，在IE浏览器的“Internet选项”对话框中，其“常规”选项卡的“主

页”区域的设置将变灰。

如果设置了位于“组策略控制台→用户配置→管理模板→Windows组件

→InternetExplorer→InternetExplorer控制面板”中的“禁用常规页”策略，则无须

设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。

5．自定义IE工具栏（Windows2000/XP/2003）

IE工具栏的背景和上面的按钮都是可以自定义的，以前我们大多使用手动修改注册表

的方法，不过并不直观，现在我们用“组策略”可以更方便地达到效果，打造属于我们自己

的IE。

打开“组策略控制台→用户配置→Windows设置→InternetExplorer维护→浏览器用

户界面”下的“浏览器工具栏按钮自定义”策略配置项目，在这里，可以自定义浏览器工具

栏的背景图片，点击“浏览”选择一个BMP的位图文件即可（注意：

工具栏背景应该与工具

栏大小相同，而亮度应该足以显示黑色文字，否则实际效果并不理想）。

接下来，我们要在IE的工具栏上添加自己的快捷方式，比如添加“我的QQ”，在这里

也可以很轻松地完成。

点击“添加”，在“工具栏标题”中输人“我的QQ”，在“工具栏*作”中选择QQ程序

的路径，最后再选择好“颜色图标”和“灰度图标”的路径（如果你不知道怎么提取这两个图标，

可以请EXeScope这个软件来帮忙，在各大站点都可以下载）。

设置完成后点“确定”，再次

打开IE后就可以看到修改的效果了。

七、轻松实现Windows高级功能

1．设置并锁定WindowsMediaPlayer外观（Windows2000/XP/2003）

WindowsMediaPlayer是目前最流行的多媒体播放器之一，如果不希望其他用户随意

更改其界面外观的话，利用组策略可以轻松实现。

打开“组策略控制台→用户配置→管理模

板→Windows组件→WindowsMediaPlayer→用户界面中的设置并锁定外观”启用此策略。

启用此策略后，将使WindowsMediaPlayer只以指定的外观模式显示，具体可以使用

在“策略”选项卡上的“外观”框中指定的外观。

你必须为外观使用完整的文件名□例如

miniplayer.wmz□。

如果外观文件在用户的计算机上没有安装，播放器将以WindowsMedia

Player外观打开。

本策略设置软件版本至少为WindowsMediaPlayerv8.00，ADM文件为

wmplayer.adm。

2．禁止WindowsMediaPlayer播放时运行屏保（Windows2000/XP/2003）

屏幕保护程序可以有效地保护我们的显示器，但是当我们使用播放器观看精彩影片时，

经常会出现屏幕保护程序突然运行而中断观看的尴尬局面。

现在我们可以通过组策略来解决

屏幕保护程序使WindowsMediaPlayer播放中断的麻烦问题了。

打开“组策略控制台→用

户配置→管理模板→Windows组件→WindowsMediaPlayer→播放中的允许运行屏幕保护程

序”并将它设置为“已禁用”状态。

3．优化

配置WindowsMediaPlayer网络缓冲（Windows2000/XP/2003）

当我们使用WindowsMediaPlayer播放流式媒体时，播放器会在播放前对流式媒体进

行缓冲处理，以便可以流畅地进行播放。

在实际应用中，根据网络带宽和服务器的连接速度，

缓存的时间长短并不一样，但WindowsMediaPlayer却是在使用同一设置，这无疑与实际

网络情况不匹配，因此我们可以根据具体的网络带宽情况自己优化配置网络缓冲。

打开“组

策略控制台→用户配置→管理模板→Windows组件→WindowsMediaPlayer→网络中的配置

网络缓冲”并设置为启用状态，在出现的缓冲时间（秒数）配置选项中，根据网络的带宽情

况进行自定义（最多60秒）。

如果此策略已启用，那么WindowsMediaPlayer“性能”选项卡上的缓存选项

将不能再配置。

4．屏蔽使用所有WindowsUpdate功能的访问（Windows2000/XP/2003）

WindowsUpdate可以自动连接Microsoft网站并下载更新内容，这对大部分用户来说

是比较实用的，但对于不需要更新或者带宽紧张的电脑用户来说，此功能就显得多余了，而

且经常传闻WindowsUpdate会将计算机用户信息“秘密”发往Microsoft，因此也可以屏

蔽这一“智能”高级功能。

打开“组策略控制台→用户配置→管理模板→Windows组件

→WindowsUpdate”中的“删除使用所有WindowsUpdate功能的访问”组策略并启用此策

略。

如果你启用此设置，所有WindowsUpdate功能（其中包括阻止访问Windows

Update网站http□//、开始菜单上的WindowsUpdate的超

链接和Internet资源管理器上的工具菜单）将被删除。

Windows自动更新也被禁用，你将

不会收到有关更新的通知，也不会接到WindowsUpdate的重要更新。

此设置还会阻止设备

管理器自动从WindowsUpdate网站下载安装驱动程序的更新。

5．在WindowsXP/2003中实现远程关机（WindowsXP/2003）

在WindowsXP/2003中，新增了一条命令行工具“shutdown”，它可以关闭或重新启动

本地或远程计算机。

利用它，我们不但可以注销用户、关闭或重新启动计算机，还可以实现

定时关机、远程关机。

该命令的语法格式如下：

shutdown[-i|-l|-s|-r|-a][-f][-m[\\ComputerName]][-txx][-c

″message″][-d[u][p]:

xx:

yy]

该命令具体的使用参数和技巧请参考Windows的帮助系统，帮助系统里面有全面的资

料。

我们现在简单地看一下该命令的一些基本用法：

1）注销当前用户

shutdown-l

该命令只能注销本机用户，对远程计算机不适用。

2）关闭本地计算机

shutdown-s

3）重启本地计算机

shutdown-r

4）定时关机

shutdown-s-t30

指定在30秒之后自动关闭计算机。

5）中止计算机的关闭。

有时我们设定了计算机定时关机后，如果出于某种原因又想取

消这次关机*作，就可以用shutdown-a来中止。

在该命令的格式中，有一个参数[-m[\\ComputerName]，用它可以指定将要关闭或重启

的计算机名称，若省略的话则默认为对本机*作。

你可以用以下命令来试一下：

shutdown-s-m\\Anyes-solon-t30

在30秒内关闭计算机名为Anyes-solon（Anyes-solon为局域网内一台同样装有

WindowsXP/2003）的电脑。

该命令执行后，计算机Anyes-solon一点反应都没有，屏幕上却提示“Accessisdenied

（拒绝访问）”。

出现这种情况是因为WindowsXP默认的安全策略中，只有管理员组的用户才有权从远

端关闭计算机，而一般情况下我们从局域网内的其他电脑访问该计算机时，则只有guest

用户权限，所以当我们执行上述命令时，便会出现“拒绝访问”的情况。

而我们利用组策略即可赋予guest用户远程关机的权限。

打开“组策略控制台→计算机

配置→Windows设置→安全设置→本地策略→用户权利指派中的从远端系统强制关机”，在

弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机；

单击对话框

下方的“添加用户或组”按钮，然后在新弹出的对话框中输入“guest”，再单击“确定”

按钮。

通过上述*作后，我们便给计算机Anyes-solon的gue