组策略应用全攻略[转帖]

geely

一、什么是组策略
　　说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。
　　简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

　　无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。
　　二、组策略中的管理模板
　　在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。
　　在Windows 9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为：
　　1）System.adm：默认情况下安装在“组策略”中，用于系统设置。
　　2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet Explorer策略设置。
　　3）Wmplayer.adm：用于Windows Media Player 设置。
　　4）Conf.adm：用于NetMeeting 设置。
　　在Windows 2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows 9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows 2000/XP/2003组策略控制台中使用如下：
首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.
然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。
　　返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”，再点击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了（为了便于本文后面的实例大家能一起动手操作，建议添加除默认模板文件的其它模板文件）。
　　再来看Windows 9X下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择“关闭”，以便将当前脚本关闭，然后再在“选项”菜单中选择“模板”
然后单击“打开模板”按钮，在弹出的对话框中选择相应的.adm文件并单击“打开”按钮，则在编辑器中打开选定的脚本文件并等待用户执行。
　　三、运行组策略
　　Windows 2000/XP/2003组策略控制台
　　如果是Windows 2000/XP/2003系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序
使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：
　　1）打开 Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC并回车，运行控制台程序）。
　　2）在“文件”菜单上，单击“添加/删除管理单元”。
　　3）在“独立”选项卡上，单击“添加”。
　　4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。
　　5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。
　　6）单击“完成”，单击“关闭”，然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。
　　对于不包含域的计算机系统来说，在上面第5步的界面中，只有“计算机”标签，而没有其他标签项目。
　　通过上面的方法，我们就可以使用Windows 2000/XP/2003组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。
　　在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003组策略管理控制台同样也有三种状态，只不过名字变了。它们分别是：已启用、未配置、已禁用。
　　四、“桌面”设置
　　Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例：
　　位置：“组策略控制台→用户配置→管理模板→桌面”
　　1．隐藏桌面的系统图标（Windows 2000/XP/2003）
　　虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。而采用组策略配置的方法，可以方便快捷地达到此目的。
　　比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；同样如果要让“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。
2．退出时不保存桌面设置（Windows 2000/XP/2003）
　　此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，不过任务栏上的快捷方式总可以被保存。
　　在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。
　　3．屏蔽“清理桌面向导”功能（Windows XP/2003）
　　“清理桌面向导”会每隔 60 天自动在用户的电脑上运行，以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁用或不配置此设置，“清理桌面向导”会按照默认设置每隔60天运行一次。
　　打开右侧窗格中的“删除清理桌面向导”，根据需要设置策略选项即可。
　　4．启用/禁用“活动桌面”（Windows 2000/XP/2003）
　　“活动桌面”是Windows 98（及以后版本）或安装了IE 4.0的系统中自带的高级功能，最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能（并且禁止用户启用它），通过策略设置可以轻松达到这一要求。具体操作方法：打开右侧窗格中的“禁用活动桌面”并启用此策略。
　　提示：如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置，则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置（在“用户配置→管理模板→Windows组件→Windows资源管理器”中）被启用，Active Desktop 就会被禁用，并且这两个策略都会被忽略。
　　以上介绍了几个关于桌面的组策略配置项目，在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目，读者可根据需要进行配置，这里不再赘述。
　　五、个性化“任务栏”和“开始”菜单
　显示了“任务栏”和“开始”菜单的有关组策略配置项目。下面我们来看具体的实例：
位置：“组策略控制台→用户配置→管理模板→任务栏和开始菜单”
　　1．给“开始”菜单减肥（Windows 2000/XP/2003）
　　如果觉得Windows的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。
　　2．保护好“任务栏”和“开始”菜单（Windows 2000/XP/2003）
　　如果你不想随意让他人更改“任务栏”和“开始”菜单的设置，你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样，当你用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，且当鼠标右键单击任务栏及任务栏上的项目时，例如“开始”按钮、时钟和“任务栏”按钮，弹出菜单会隐藏。
3．禁止“注销”和“关机”（Windows 2000/XP/2003）
　　当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”操作，那么可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。
　　这个设置会从开始菜单删除“关机”选项，并禁用“Windows 任务管理器”对话框?按“Ctrl+Alt+Del”会出现这个对话框?中的“关机”选项 。另外需要注意的是，此设置虽然可防止用户用 Windows界面来关机，但无法防止用户用其他第三方工具程序来将 Windows 关闭。
　　提示：如果启用了“删除开始菜单上的‘注销’”，则会从“开始菜单选项”删除“显示注销”项目。用户无法将“注销<用户名>”项目还原到开始菜单（只能通过手工修改注册表的方法）。这个设置只影响开始菜单，它不影响 “Windows 任务管理器”对话框上的“注销”项目（因此需要同时启用“删除和阻止访问‘关机’命令”），而且不妨碍用户用其它方法注销。
　4．利用组策略保护个人文档隐私（Windows 2000/XP/2003）
　　Windows有个高级智能功能，即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件，但出于安全和性能的考虑（例如不想让人知道自己浏览过哪些网页和打开过哪些文件），有时需要屏蔽此功能。利用组策略，只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
　　另外需要注意的是，如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。如果启用此策略设置，后来又禁用它并将它设置为“未配置”，则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。