技巧gpeditmsc 组策略应用大全.docx

1、技巧gpeditmsc 组策略应用大全技巧gpedt.m 组策略应用大全gpedit.msc组策略应用全攻略 一、什么是组策略 （一)组策略有什么用？ 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Widos功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用,从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法，可以对各种

2、对象中的设置进行管理和配置，远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Widws 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Wndows 9XNT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于iows 20/XP/0系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的O(通常是Confgol）文件。当用户登录的时候，它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行

3、设置。而组策略及其工具，则是对当前注册表进行直接修改。显然,Wndows 2000/P/003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Activ Dictry 对象(即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Winws 200/XP/003目录中包含了几个 .ad文件。这些文件是文本文件,称为“管理模板”

4、，它们为组策略管理模板项目提供策略信息。 在idows 9系统中,默认的adndm管理模板即保存在策略编辑器同一个文件夹中。而在Wdow 000XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的个模板文件，分别为: 1)Sysem.dm：默认情况下安装在“组策略”中，用于系统设置。 2)Iet.adm：默认情况下安装在“组策略”中；用于Itent Explorer策略设置。 3）Wmplayradm:用于Widow Mdia ler 设置。 4）Conf.dm：用于NetMeetig 设置。 在Windows200/203的组策略控制台中,可以多次添加“策略模板”,而在Window

5、s 9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在ndw 20/XP/组策略控制台中使用如下: 首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加删除模板”. 然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。 返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略用户配置管理模板”，再点击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了(为了便于本文后面的实例大家能一起动手操作，建议添加除默认模板

6、文件的其它模板文件)。 再来看indos9X下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择“关闭”,以便将当前脚本关闭,然后再在“选项”菜单中选择“模板” 然后单击“打开模板”按钮，在弹出的对话框中选择相应的.ad文件并单击“打开”按钮,则在编辑器中打开选定的脚本文件并等待用户执行。 三、运行组策略 (一)Wdos 9X策略编辑器 按操作系统的不同，策略编辑工具分为两种，一种为Windos20/XP/03组策略管理控制台,它在系统安装时已经默认安装上了；另外一种就是Wndow 9X的系统策略编辑器，它在系统安装时并不被安装，程序文件在Windos安装盘上的tolsskitneadp

7、led目录下,它包括Polit.exe、Poleditinf、idowsadm等文件。 如果是Wndws 9系统通过下面的方法,则可以进行正规的安装过程。 1.在控制面板中，双击“添加/删除程序”图标，单击“安装Winow”标签，然后单击“从磁盘安装”选项。 .在从磁盘安装对话框中,单击“浏览”按钮并指定dows X安装光盘的toolsreskiteamnpoldit目录。 3.单击“确认”按钮,然后再次单击对话框中的“确认”按钮。 4.在从磁盘安装对话框中,选择“系统策略编辑器”和“组策略”复选框，然后单击“安装”按钮。 安装完成后,单击“运行”命令项,输入polit，然后单击“确认”按钮,

8、管理员可以以两种不同的方式使用系统策略编辑器:注册表方式和策略文件方式。 1以注册表方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中，单击打开注册表编辑器,然后双击相应的本地用户或本地计算机图标。这取决于要编辑注册表中的哪个部分。在使用注册表方式时,可以直接编辑本地或远程计算机的注册表。这样,所做的改变将立即反映出来。在做出修改之后,必须关机并重新启动计算机以使所做修改生效。 2.以策略文件方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击新建或打开来打开一个策略文件。在使用策略文件方式时,可以创建和修改用于其它计算机的系统策略文件(POL)，在这种方式下,注册表被间接地修改。

9、这项改变将在用户登录时策略文件被下载后反映出来。当以策略文件方式编辑设置值时，单击一个注册表选项，可以看到三种可能状态之一:选中、清除、变灰。每当选择一个选项时，将会循环显示下一个可能的状态，这与选择一个标准的复选框不同。标准的复选框只有选中或清除两个选项。 如果一个设置值需要附加信息,那么缺省用户属性对话框的底部将出现一个编辑控制。通常,如果选中了一个策略，而又不想强制使用它，应当清除该复选框来取消该策略。 (二）inows 2000/X/00组策略控制台 如果是Wdws 0/200系统,那么系统默认已经安装了组策略程序，在“开始”菜单中,单击“运行”命令项,输入edims并确定，即可运行程

10、序 使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下: ）打开 Micrsof 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MM并回车，运行控制台程序)。 2)在“文件”菜单上,单击“添加/删除管理单元”。 3）在“独立”选项卡上,单击“添加”。 ）在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。 5)在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。 6）单击“完成”，单击“关闭”，然后单击“确定”。组策

11、略管理单元即打开要编辑的组策略对象。 对于不包含域的计算机系统来说，在上面第5步的界面中,只有“计算机”标签,而没有其他标签项目。 通过上面的方法，我们就可以使用Windows 000/XP/200组策略系统强大的网络配置功能,让管理员的工作更轻松和高效。 在上面我们介绍了WindwsX下的策略编辑器配置项目有“选中、清除、变灰”三种状态,Windos20XP/00组策略管理控制台同样也有三种状态，只不过名字变了。它们分别是:已启用、未配置、已禁用。 四、“桌面”设置 inows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。下面就

12、让我们来看看几个实用的配置实例: 位置:“组策略控制台用户配置管理模板桌面” 1隐藏桌面的系统图标(Windo 200/P/03） 虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦,也有一定的风险。而采用组策略配置的方法，可以方便快捷地达到此目的。 比如要隐藏桌面上的“网上邻居”和“Internet Explore”图标，只要在右侧窗格中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的InerntExpor图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两

13、个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。 2.退出时不保存桌面设置（Widows00/P/003) 此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌面做更改，但有些更改,如图标的位置、任务栏的位置及大小，在用户注销后都无法保存,不过任务栏上的快捷方式总可以被保存。 在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。 3.屏蔽“清理桌面向导”功能（WowsXP/203） “清理桌面向导”会每隔 天自动在用户的电脑上运行,以清除那些用户不经常使用或者从不使用的桌面图

14、标。如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁用或不配置此设置,“清理桌面向导”会按照默认设置每隔60天运行一次。 打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。 启用/禁用“活动桌面”(Windos 2000/XP/203) “活动桌面”是idow 98（及以后版本)或安装了IE 40的系统中自带的高级功能，最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁用这一功能（并且禁止用户启用它)，通过策略设置可以轻松达到这一要求。具体操作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。 提示:如果同时启

15、用“启用 Acie Desktop”设置和“禁用 Active Deskto”设置，则“禁用Active Deskto”设置会被忽略。如果“禁用 Act Destp 和eb 视图”设置(在“用户配置管理模板Winows组件Widows资源管理器”中）被启用,Activesktop 就会被禁用,并且这两个策略都会被忽略。 以上介绍了几个关于桌面的组策略配置项目,在“组策略控制台用户配置管理模板桌面”下还有其他若干组策略配置项目,读者可根据需要进行配置,这里不再赘述。 五、个性化“任务栏”和“开始”菜单 显示了“任务栏”和“开始”菜单的有关组策略配置项目。下面我们来看具体的实例: 位置：“组策略控

16、制台用户配置管理模板任务栏和开始菜单” .给“开始”菜单减肥(Wows 2000/X/2003) 如果觉得Windos的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到Windo Update的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除我的文档图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。 2.保护好“任务栏”和“开始”菜单（Window200P/03) 如果你不想随意让他人更改“任务栏”和“开始”菜单的设置,你只要将组策略控制台右侧窗格中的“阻止更改任务栏和开始菜单

17、设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样，当你用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息，且当鼠标右键单击任务栏及任务栏上的项目时，例如“开始”按钮、时钟和“任务栏”按钮，弹出菜单会隐藏。 3.禁止“注销”和“关机”(Widows00/XP/2003) 当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”操作,那么可将组策略控制台右侧窗格中的“删除开始菜单上的注销”和“删除和阻止访问关机命令”两个策略启用。 这个设置会从开始菜单删除“关机”选项，并禁用“Wiows 任务管理器”对话框 按“rl+AltDe”会出现这个对话框 中的“关机”选项 。

18、另外需要注意的是,此设置虽然可防止用户用 Widows界面来关机，但无法防止用户用其他第三方工具程序来将 Wiows 关闭。提示:如果启用了“删除开始菜单上的注销”，则会从“开始菜单选项”删除“显示注销”项目。用户无法将“注销”项目还原到开始菜单（只能通过手工修改注册表的方法)。这个设置只影响开始菜单,它不影响“Widos任务管理器”对话框上的“注销”项目（因此需要同时启用“删除和阻止访问关机命令”),而且不妨碍用户用其它方法注销。 4.利用组策略保护个人文档隐私（Winows200/XP/2003) ins有个高级智能功能，即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件

19、,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。利用组策略，只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。 另外需要注意的是,如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。如果启用此策略设置，后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。 六、IE设置手到擒来微软的nernt Exporer让我们可以轻松地在互联网上遨游,但要想用好It

20、entxplorr，则必须将它配置好。在IE浏览器的“Ineret选项”窗口中,提供了比较全面的设置选项（例如:“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目)，但部分高级功能没有提供,而通过组策略即可轻松实现这些功能。下面来看具体实例： 位置:“组策略控制台用户配置管理模板Wndws 组件Ierne porer（需添加ntrs.adm模板文件）” 1禁用“在新窗口中打开”菜单项(Wndws 20/P/2003） 出于对安全的考虑,有时候我们有必要屏蔽IE的一些功能菜单,组策略提供了丰富的设置项目,比如禁用“另存为.”、“文件”、“新建”等。下面以“禁用在新窗口中打开菜单项”为例介

21、绍具体的设置方法。 打开“组策略控制台用户配置管理模板Widws 组件ntrnt Explorr浏览器菜单”,然后打开“禁用在新窗口中打开菜单项”并设置为“启用”。启用该策略后,用户在某个链接上单击鼠标右键，然后单击“在新窗口中打开”时,该命令将不起作用。该策略可与“文件菜单禁用新建菜单项”一起使用，后者禁止用户通过单击“文件”菜单，指向“新建”,然后单击“窗口”在新窗口中打开浏览器。 提示:启用该策略后，单击“在新窗口中打开”命令，将无法在新窗口中打开链接，系统会提示用户该命令无效，网页自动打开的窗口也全部被禁止,其实这样也可达到屏蔽弹出广告窗口的效果。 2限制IE浏览器的保存功能（Wido

22、ws 000/XP3) 在使用IE浏览网页过程中,当遇到好的图片、文章等资源时可以使用“另存为”功能将它保存到本地硬盘中，当多人共用一台计算机时,为了保持硬盘的整洁，需要对浏览器的保存功能进行限制。那么如何才能实现呢?可以这样操作:打开“组策略控制台用户配置管理模板Windows组件Internet Explrr浏览器菜单”，然后将右侧窗格中的“文件菜单：禁用另存为.菜单项”、“文件菜单：禁用另存为网页菜单项”、“查看菜单:禁用源文件菜单项”和“禁用上下文菜单”等策略项目全部启用即可。 如果不希望别人对I浏览器的设置随意更改，可以将“工具菜单：禁用Interne选项.”策略启用。另外,根据个人

23、的需要，在该窗格中还可以禁用其他项目。 禁用“Itnet 选项”控制面板（Widows 00XP/2003) 上面提到了“禁用Interne选项”的功能,使用该功能可以达到阻止别人对IE随便设置的目的。而这种方法无法具体禁用ntere选项中的控制模板项目,因此给具体应用带来麻烦。通过下面的组策略设置方法，则可以实现这一要求: 打开“组策略控制台用户配置管理模板ndows组件InterntExploreIntrne 控制面板”,在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明:打开右边窗格中的“禁用常规页”并设置为“启用”。然后我们再打开Int

24、rnt选项控制面板，会发现“常规”项目已经没有了,这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置,因为该策略将删除界面上的“常规”选项卡,所以如果设置了该策略,则无须设置位于 “用户配置管理模板ndows组件eret xplorr”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。 4.禁止修改IE浏览器的主页(ndws0/XP/2003） 如果不希望他人对自己设定的IE浏览器主页进行随意更改的话，可以打开“组策略控制台用户配置管理模板Windos组件ntrnet Explrr工具栏”,然后选择“禁用更改主页设置”组策略并启用即可。另外在这个窗格中，还提供

25、了“更改历史记录设置”、“更改颜色设置”和“更改Iteret临时文件设置”等项目的禁用功能。 启用此策略后，在IE浏览器的“Intenet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。 提示：如果设置了位于“组策略控制台用户配置管理模板ndows组件InternetExploerInternet Explorer控制面板”中的“禁用常规页”策略，则无须设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。 5自定义I工具栏(dows 000/XP203） E工具栏的背景和上面的按钮都是可以自定义的，以前我们大多使用手动修改注册表的方法，不过并不直观，现在我们用“组策略

26、”可以更方便地达到效果，打造属于我们自己的IE。打开“组策略控制台用户配置Windows设置nternetExplre维护浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目,在这里,可以自定义浏览器工具栏的背景图片,点击“浏览”选择一个BP的位图文件即可(注意:工具栏背景应该与工具栏大小相同,而亮度应该足以显示黑色文字，否则实际效果并不理想）。 接下来,我们要在的工具栏上添加自己的快捷方式，比如添加“我的Q”,在这里也可以很轻松地完成。 点击“添加”，在“工具栏标题”中输人“我的Q”，在“工具栏操作”中选择QQ程序的路径，最后再选择好“颜色图标”和“灰度图标”的路径(如果你不知道怎么提

27、取这两个图标,可以请XSp这个软件来帮忙,在各大站点都可以下载)。设置完成后点“确定”，再次打开I后就可以看到修改的效果了。七、轻松实现Widow高级功能 .设置并锁定Wnowsedi Play外观(Wndows 000X/00） Wiows Media laye是目前最流行的多媒体播放器之一，如果不希望其他用户随意更改其界面外观的话，利用组策略可以轻松实现。打开“组策略控制台用户配置管理模板Windows 组件Widows edia layer用户界面中的设置并锁定外观”启用此策略。 启用此策略后，将使 ndw ed Pye 只以指定的外观模式显示，具体可以使用在“策略”选项卡上的“外观”框

28、中指定的外观。你必须为外观使用完整的文件名 例如minlyer.mz 。如果外观文件在用户的计算机上没有安装，播放器将以Windows Media lyer外观打开。 提示:本策略设置软件版本至少为Windws Meia layr v00,DM文件为wmplayer.am。 2禁止WinowsMi Play播放时运行屏保(Widows 200/P/2003) 屏幕保护程序可以有效地保护我们的显示器，但是当我们使用播放器观看精彩影片时，经常会出现屏幕保护程序突然运行而中断观看的尴尬局面。现在我们可以通过组策略来解决屏幕保护程序使Wndows Mdia Player播放中断的麻烦问题了。打开“组策

29、略控制台用户配置管理模板Widos组件Windws MeiaPlayer播放中的允许运行屏幕保护程序”并将它设置为“已禁用”状态。 优化配置WindwMeda Player网络缓冲(Winos 200XP/203) 当我们使用Wndows di Playe播放流式媒体时，播放器会在播放前对流式媒体进行缓冲处理,以便可以流畅地进行播放。在实际应用中，根据网络带宽和服务器的连接速度，缓存的时间长短并不一样，但WdwMedi Player却是在使用同一设置,这无疑与实际网络情况不匹配,因此我们可以根据具体的网络带宽情况自己优化配置网络缓冲。打开“组策略控制台用户配置管理模板Windows组件Wind

30、o Mdia Per网络中的配置网络缓冲”并设置为启用状态,在出现的缓冲时间（秒数)配置选项中,根据网络的带宽情况进行自定义(最多 6 秒)。 提示：如果此策略已启用,那么no diaPyer“性能”选项卡上的缓存选项将不能再配置。 4屏蔽使用所有 idows date功能的访问（Wow 000/X/03） Wdos Update可以自动连接Mcrost网站并下载更新内容,这对大部分用户来说是比较实用的，但对于不需要更新或者带宽紧张的电脑用户来说，此功能就显得多余了,而且经常传闻indow Update会将计算机用户信息“秘密”发往Microsof，因此也可以屏蔽这一“智能”高级功能。打开“组策略控制台