组策略中的系统设置详解.docx

1、组策略中的系统设置详解组策略中的系统设置详解组策略基础知识（整理）=用户配置-管理模板-系统（以下各项默认设置均为“未被配置”）登录时不显示欢迎屏幕抑制欢迎屏幕。这项设置在每次用户登录时将 Windows 2000 Professional 和 Windows XP Professional 欢迎屏幕隐藏。用户仍旧可以通过在开始菜单选择或在运行对话框中键入“Welcome”来显示欢迎屏幕。这项设置时适用于 Windows 2000 Professional 和 Windows XP Professional。它不会影响到 Windows 2000 Server 上的“在 Windows 200

2、0 Server 上配置您的服务器”屏幕。注意: 这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设置，“计算机配置”中的设置比“用户配置”中的设置优先。窍门: 要显示欢迎屏幕，请单击开始、指向程序、指向附件指向系统工具然后单击“开始”。要在不指定设置的情况下抑制欢迎屏幕，请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”。2000 年份转译决定程序如何转译用两位数字表示的年份。这个设置将最大的两位数字的年份指定为以 20 打头。所有小于和等于指定数值的数字被转译成以 20 打头的。所有大于指定数值的数字被转译成以 19 打头的。例如，默认数值-2029 指定所有小于和等于 2

3、9 (00 到 29)的两位数字的年份被转译成以 20 打头的，即 2000 到 2029。相反，所有大于 29 (30 到 99)的两位数字的年份被转译成以 19 打头的，即 1930 到1999。这个设置只影响用这个 Windows 功能转译两位数字的年份的程序。如果程序无法正确转译两位数字的年份，请查阅程序的文档或询问制造商。配置驱动程序搜索位置此设置配置查找到新硬件时 Windows 将要搜索驱动程序的位置。默认情况下，Windows 将在下列位置搜索驱动程序: 本地安装、软盘驱动器、CD-ROM 驱动器、Windows Update。使用此设置，您可以从搜索范围删除软盘或 CD-RO

4、M 驱动器。如果启用此设置，您可以通过选择位置名称旁边的相关复选框，删除这三个位置中的任何位置。如果禁用或不配置此设置，Windows 将搜索安装位置、软盘驱动器、CD-ROM 驱动器。注意: 要阻止搜索 Windows Update 以查找驱动程序，您可以参阅“管理模板/系统/Internet 通信管理/Internet 通信设置”中的“关闭 Windows Update 设备驱动程序搜索”。设备驱动程序的代码签名决定用户安装没有经过数字签名的设备驱动程序文件时系统如何响应。这个设置建立组用户的系统上所允许的最不安全的响应。用户可以用“控制面板”中的“系统”来选择一个更安全的设置；但当这个设

5、置被启用时，系统不会使用任何比设置建立的设置更不安全的设置。启用这个设置时，用下拉框来指定需要的响应。-“忽略”指引系统在包括未经签名的文件的情况下继续安装。-“警告”通知用户文件没有经过数字签名，并让用户决定是否要停止还是继续安装并允许安装未经签名的文件。“警告”是默认值。-“阻碍”指引系统拒绝安装未经签名的文件。结果是，安装会停止，驱动程序包中的文件不会得到安装。不指定设置就改变驱动程序文件安全设置，请用“控制面板”中的“系统”。右键单击“我的电脑”，单击“属性”，单击“硬件”选项卡，然后单击“驱动程序签名”按钮。自定义用户界面为 Windows 2000 指定另一个用户界面。Explor

6、er 程序(%systemdrive%program filesinternet exploreriExplorer.exe)创建熟悉的 Windows 界面，但您可以使用这个设置指定另一个界面。如果启用这个设置，系统会启动您指定的界面，而不启动 Explorer.exe。要使用这个设置，将界面程序复制到网络共享或系统驱动器。然后，启用这个设置，在内壳名称文字框中键入界面程序的名称，包括文件扩展名。如果界面程序文件不在系统的路径环境变量中指定的文件夹中，则输入文件的完全合格的路径。如果停用或不配置这个设置，设置被忽略，系统不显示 Explorer 界面。提示: 要查找路径环境变量指定的文件夹，

7、请单击“控制面板”中的“系统属性”，单击“高级”选项卡，单击“环境变量”按钮，然后在“系统变量”框中单击 Path。阻止访问命令提示符防止用户运行交互式命令提示 Cmd.exe。这个设置还决定批文件(.cmd 和 .bat)是否可以在计算机上运行。如果启用这个设置，用户试图打开命令窗口，系统会显示一个消息，解释设置阻止这种操作。注意: 如果计算机使用登录、注销、启动或关闭批文件脚本，不防止计算机运行批文件；也不防止使用终端服务的用户运行批文件。阻止访问注册表编辑工具禁用 Windows 注册表编辑器 Regedit.exe。如果这个设置被启用，并且用户试图启动注册表编辑器，解释设置禁止这类操作

8、的消息会出现。要防止用户使用其它系统管理工具，请使用“只运行许可的 Windows 应用程序”设置。只运行许可的 Windows 应用程序限制用户可以在计算机上运行的 Windows 程序。如果您启用这个设置，用户只能运行您加入“允许运行的应用程序列表”中的程序。这个设置只能防止用户从 Windows 资源管理器启动程序。无法防止用户用其它方式启动程序，例如任务管理器，因为它是从系统启动程序。如果用户可以访问“命令提示符”(Cmd.exe) 的话，这个设置无法防止用户从命令窗口启动不允许在 Windows 资源管理器中运行的程序。注意: 对于有 Windows 2000 或更新版本的证明的第三

9、方应用程序，要求附加此设置。注意: 要创建允许的文件列表，单击“显示”，单击“添加”，然后输入应用程序的执行文件名称(例如，Winword.exe，Poledit.exe，Powerpnt.exe)。不要运行指定的 Windows 应用程序防止 Windows 运行您在这个设置中指定的程序。如果启用这个设置，用户则无法运行添加到不允许的应用程序列表的程序。这个设置只阻止用户运行 Windows 资源管理器启动的程序。不阻止用户运行由系统过程或其它过程启动的程序，如任务管理器。同时，如果您允许用户访问命令提示符 Cmd.exe，这个设置不防止用户在命令窗口启动他们不能用 Windows 资源管理

10、器启动的程序。注意: 要创建一个不允许的应用程序列表，单击“显示”，单击“添加”，然后输入应用程序的执行文件名称(例如，Winword.exe，Poledit.exe，Powerpnt.exe)。关闭自动播放关闭自动运行功能。一旦您将媒体插入驱动器，自动运行就开始从驱动器中读取。这会造成程序的设置文件和在音频媒体上的音乐会立即开始。在默认的情况下，自动运行在软盘驱动器和网络驱动器上禁用 (但不在 CD-ROM 驱动器上禁用)。如果您启动这项设置，您还可以在 CD-ROM 驱动器禁用自动运行或在所有驱动器上禁用自动运行。这项设置在驱动器的其它类别中禁用自动运行。您不能用这项设置在默认禁用的驱动器

11、上启用自动运行。注意: 这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。注意: 此设置不阻止自动播放音乐 CD。限制这些程序从帮助启动允许您限制程序从联机帮助中运行。如果启用这个设置，您可以阻止指定的程序被允许从帮助运行。启用这个设置时，输入您要限制的程序的列表。输入每个应用程序的执行文件名，并以逗号分隔。如果禁用或不配置这个设置，用户将可以从联机帮助运行应用程序。注意: 您也可以使用“计算机配置安全设置”中的软件限制设置来限制用户运行应用程注意: 这个设置位于计算机配置和用户配置。如果同时设置，每个设置中指定的程序

12、列表都将被限制。下载丢失的 COM 组件让系统在 Active Directory 中搜索丢失的、程序需要的“组件对象模式”(COM) 组件。许多 Windows 程序如: MMC 即插即用使用由 COM 提供的界面。除非 Windows 已经内部注册了所需的组件，这些程序不能提供所有的功能。如果您启用了这个设置但是缺少一个组件的注册，请让系统在 Active Directory 中寻找，如果找到了，请将其下载。寻找的结果可能会使某些程序开始或运行缓慢。如果您禁用这个设置或不配置它，程序会在没有注册的情况下继续。如果这样，该程序可能无法运行其全部功能，或者会终断。这个设置出现在“计算机配置”和

13、“用户配置”文件夹中。如果两个设置都配置，计算机配置中的设置比“用户配置”中的设置优先。Windows 自动更新此设置控制自动更新到用户的计算机。每当用户连接到 Internet，Windows 搜索用户计算机上的可用更新，并自动下载它们。此操作在后台发生，根据配置的具体情况，在下载的组件准备好安装时或在下载之前，用户会得到提示。如果启用此设置，它就禁止 Windows 搜索更新。如果禁用或不配置此设置，Windows 就搜索更新并自动下载它们。注意:Windows Update 是为包含诸如驱动程序、关键更新、帮助文件和 Internet 产品这样的项目自定义的联机目录，您可以下载 Inte

14、rnet 产品不断更新计算机。另请参阅“删除到 Windows Update 的链接和访问”设置。如果启用“删除到 Windows Update 的链接和访问”设置，同时也会删除到“开始菜单”上的“Windows Update”的链接。注意: 如果您安装了Windows 自动更新此设置控制自动更新到用户的计算机。每当用户连接到 Internet，Windows 搜索用户计算机上的可用更新，并自动下载它们。此操作在后台发生，根据配置的具体情况，在下载的组件准备好安装时或在下载之前，用户会得到提示。如果启用此设置，它就禁止 Windows 搜索更新。如果禁用或不配置此设置，Windows 就搜索更

15、新并自动下载它们。注意:Windows Update 是为包含诸如驱动程序、关键更新、帮助文件和 Internet 产品这样的项目自定义的联机目录，您可以下载 Internet 产品不断更新计算机。另请参阅“删除到 Windows Update 的链接和访问”设置。如果启用“删除到 Windows Update 的链接和访问”设置，同时也会删除到“开始菜单”上的“Windows Update”的链接。注意: 如果您安装了 Windows XP Service Pack 1 或者安装了在 Windows XP 发布后所发布的自动更新，则您应该使用新的自动更新设置，位于: 计算机配置 / 管理模板

16、 / Windows Update关闭 Windows Update 设备驱动程序搜索提示指定是否提示管理员即将使用 Internet 搜索 Windows Update 以查找设备驱动程序。注意: 此设置仅在“管理模板/系统/Internet 通信管理/Internet 通信设置”中的“关闭 Windows Update 设备驱动程序搜索”禁用或未配置时起作用。如果启用此设置，则不会提示管理员即将搜索 Windows Update。如果禁用或不配置此设置并且“关闭 Windows Update 设备驱动程序搜索”被禁用或未配置，将提示管理员即将转到 Windows Update 搜索设备驱动

17、程序。用户配置-管理模板-系统-用户配置文件将宿主目录连接到共享根目录将环境变量 %HOMESHARE% 和 %HOMEPATH% 的定义还原成 Windows NT 4.0 和以前版本使用的定义。如果您启用该设置，系统将使用 Windows NT 4.0 的定义。如果您禁用该设置或者没有配置它，系统使用 Windows 2000 操作系统的新定义。与 %HOMEDRIVE% 一起，这些变量定义了用户配置文件的主目录。主目录是本地或远程目录到本地计算机上磁盘驱动器号的永久映射。在默认情况下，Windows 2000 Server 家族中，%HOMESHARE% 存储指向主目录的完整合法路径 (

18、例如 serversharedir1dir2homedir)。用户可以从主驱动器号访问主目录以及其任何子目录，但不能看到或者访问其父目录。%HOMEPATH% 存储最终的反斜杠，并且用于与以前版本兼容。在 Windows NT 4.0 以前版本中，%HOMESHARE% 仅存储网络共享名 (例如 servershare)。%HOMEPATH% 存储主目录完整合法路径的其余部分 (例如 dir1dir2homedir)。结果是，用户可以使用主目录驱动器号访问主共享上的任何目录。提示: 要在 Windows 2000 Server 家族中指定主目录，在“ Active Directory 用户和计

19、算机”或者“本地用户和组”中，右键单击某个用户帐号，单击“属性”，单击“配置文件”选项卡，在“主文件夹”段中，选择“连接”选项并且选择驱动器号和主目录。示例: 驱动器 Z 被映射到 serversharedir1dir2homedir。如果该设置被禁用或者没有配置 (Windows 2000 行为):- %HOMEDRIVE% = Z: (映射到 serversharedir1dir2homedir)- %HOMESHARE% = serversharedir1dir2homedir- %HOMEPATH% = 如果该设置被启用 (Windows NT 4.0 行为):- %HOMEDRIVE

20、% = Z: (映射到 servershare)- %HOMESHARE% = servershare- %HOMEPATH% = dir1dir2homedir限制配置文件大小设置每个用户配置文件的最大值并决定系统在用户配置文件达到最大值时如何响应。如果停用或不配置这个设置，系统不限制用户配置文件的大小。如果启用这个设置，您可以执行以下操作:- 设置允许的用户配置文件最大值；- 决定注册表文件是否包括在配置文件大小的计算中；- 决定在配置文件超出所允许的最大值时是否通知用户；- 指定自定义消息，通知用户有超过大小的配置文件；- 决定显示自定义消息的频率。注意: 此设置同时影响本地和漫游配置文

21、件。不包括漫游配置文件中的目录允许您添加到从漫游用户配置文件排除的文件夹的列表。这个设置允许您排除通常包括在用户的配置文件中的文件夹。结果是，这些文件夹不需要储存在配置文件所在网络服务器，并且不跟随用户到其它计算机上。在默认情况下，“历史”、“本地设置”、Temp 和“临时 Internet 文件”文件夹都从用户的漫游配置文件被排除。如果启用这个设置，您可以排除其它文件夹。如果停用或不配置这个设置，只有默认文件夹被排除。注意: 您不能用这个设置将默认文件夹包括到漫游用户配置文件中。用户配置-管理模板-系统-脚本同步运行登录脚本指示系统在开始 Windows 资源管理器界面程序和创建桌面之前等待

22、标识脚本完成运行。如果您启用了这项设置，Windows 资源管理器在标识脚本完成运行之前不会开始。这个设置保证在用户开始工作之前完成标识脚本处理，但是它会延缓桌面的显示。如果您禁用或不配置这项设置，标识脚本和 Windows 资源管理器不同步并可以同时运行。这项设置出现在“计算机配置”和“用户配置”文件夹中。如果两项设置都启用，在“计算机配置”中的设置比“用户配置”中的设置优先。以隐藏形式运行现用登录脚本隐藏为 Windows NT 4.0 和更早版本写的登录脚本的说明。登录脚本是指当用户登录试运行的说明批文件。在默认情况下，在运行时 Windows 2000 在命令窗口中显示为 Window

23、s NT 4.0 和更早版本写的登录脚本的说明，虽然它不显示为 Windows 2000 写的登录脚本。如果您启用这项设置，Windows 2000 不会显示为 Windows NT 4.0 和更早版本写的登录脚本。还可参阅“以可见形式运行登录脚本”设置。以可见形式运行登录脚本在登录脚本运行期间显示其中的指令。登录脚本是用户登录时运行的指令批文件。在默认情况下，系统不显示登录脚本中的指令。如果启用这个设置，系统会在登录脚本运行时显示每个指令。指令出现在命令窗口。这个设置是为高级用户设计的。如果停用或不配置这个设置，指令则不会显示。显示注销脚本的运行状态在注销脚本运行期间显示其中的指令。注销脚本

24、是用户注销时运行的指令批文件。在默认情况下，系统不显示注销脚本中的指令。如果启用这个设置，系统会在注销脚本运行时显示每个指令。指令出现在命令窗口。这个设置是为高级用户设计的。如果停用或不配置这个设置，指令则不会显示。用户配置-管理模板-系统-Ctrl+Alt+Del选项删除“任务管理器”防止用户启动“任务管理器”(Taskmgr.exe)。如果该设置被启用，并且用户试图启动任务管理器，系统会显示消息，解释是一个策略禁止了这个操作。任务管理器让用户启动或终止程序，监视计算机性能，查看及监视计算机上所有运行中的程序 (包含系统服务)，搜索程序的执行文件名，及更改程序运行的优先顺序。删除“锁定计算机

25、”防止用户锁定系统。锁定后，桌面会被隐藏，而且系统无法使用。只有锁定系统的用户或系统管理员才能解除锁定。提示: 不配置设置而锁定计算机，请按 Ctrl+Alt+Delete，然后单击“锁定计算机”。删除“更改密码”防止用户按需更改他们的 Windows 密码。这个设置停用 Windows 安全设置对话框上的“更改密码”按钮(按 Ctrl+Alt+Del 时，该按钮会出现)。但是，用户在得到系统提示时依旧可以更改密码。管理员要求新密码和密码要过期时，系统会提示用户输入新密码。删除注销防止用户注销。这个设置不允许用户使用任何方法从系统注销，包括从命令行运行的程序，如脚本。该设置同时还停用或删除所有

26、注销用户的菜单项目和按钮。同时，参阅“删除开始菜单上的注销”设置。用户配置-管理模板-系统-登录在用户登录时运行这些程序当用户在系统上登录，指定 Windows 自动开始的额外的程序或文件。要使用这项设置，请单击“显示”，单击“添加”并且在文字栏中键入可执行程序 (.exe) 文件或文档文件的名称。您必须指定到此文件的完全合格的路径，除非它位于%Systemroot% 目录。注意: 这个设置出现在“计算机配置”和“用户配置”文件夹中。如果两个设置都配置，系统会先开始计算机配置中的设置然后才开始用户配置中的设置。还可参阅“不处理旧的运行列表”和“不处理只运行一次列表”设置。不处理只运行一次列表忽

27、略自定义只运行一次列表。您可创建一个在系统下一次开始时(但仅此一次)自动开始的额外程序和文档自定义列表。这些程序添加到由系统开始的标准程序和服务列表中。如果您启用这项设置，系统忽略只运行一次的列表。如果您禁用或不配置这个设置，系统就会运行在只运行一次的列表中的程序。这项设置出现在“计算机配置”和“用户配置”文件夹中。如果两项设置都配置，那么“计算机配置”中的设置比“用户配置”优先。注意: 自定义只运行一次列表保存在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce 中的注册表中。还可参阅“不处理旧的运行列表”设置。不

28、处理旧的运行列表忽略自定义运行列表。在 Windows XP Professional 、Windows 2000 Professional 、Windows NT Workstation 4.0 及其更低版本上，您可以创建一个自定义的附加程序和文档列表，列表中的程序和文档可在系统运行时自动启动。这些程序被添加到系统启动的程序和服务的标准运行列表中。如果启用此设置，系统将忽略为 Windows NT Workstation 4.0、Windows 2000 Professional 和 Windows XP Professional 配置的运行列表。如果禁用或不配置此设置，Windows 20

29、00 将把为 Windows NT 4.0 及更低版本配置的自定义运行列表添加到其运行列表中。此策略出现在“计算机配置”文件夹和“用户配置”文件夹中。如果配置了两项策略，则“计算机配置”中的设置优先于“用户配置”。注意:要通过使用策略创建自定义运行列表，请使用“启动时运行这些应用程序”设置。Windows NT 4.0 及更低版本的自定义运行列表存储在注册表的 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 和 HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersi

30、onWindowsRun 中。可以使用 Windows NT 4.0 及更低版本的系统策略编辑程序中的“运行”策略进行配置。另请参阅“不处理只运行一次列表”设置。用户配置-管理模板-系统-组策略用户组策略刷新间隔指定当计算机在使用中时，用户策略的后台更新频率。这个策略只指定在“用户配置”文件夹中的组策略的后台更新频率。除了后台更新之外，在系统启动时也会进行计算机组策略更新。在默认情况下，计算机组策略会每隔 90 分钟更新一次，并将时间作 0 到 30 分钟的随机调整。您可以指定 0 到 64,800 分钟 (45 天) 的时间间隔。如果您选择 0 分钟，计算机会试图每隔 7 秒进行组策略更新。但是更新操作会影响用户工作，而且会增加网络流量，请尽量不要设置太短的更新间隔。如果您禁用这个策略，组策略会每隔 90 分钟更新一次(默认值)。如果您不想在计算机使用时进行策略更新，请选择“禁用组策略的后台刷新”策略。这个策略也可以让您指定实际的更新速度变化。为了阻止数个客户端同时发出更新请求，系统会使用随机数值来调整更新时间。您在随机时间框中所键入的数值将会成为随机调整的时间上限。例如如果您键入 30 分钟，系统会选择 0 到 30 分钟的随机时间。键入较大的数值会放宽时间上限，而且会减少客户端更新要求重叠的机会，但是会导致明显的更新延迟。重要须知: 如果启用“停用组策