吕四洋死亡人数:什么是策略?

一,什么是组策略
(一)组策略有什么用
说到组策略,就不得不提注册表.注册表是Windows系统中保存系统,应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多.很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂.而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的
二,组策略中的管理模板
在Windows 2000/XP/2003目录中包含了几个 .adm 文件.这些文件是文本文件,称为"管理模板",它们为组策略管理模板项目提供策略信息.
在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中.而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为:
1)System.adm:默认情况下安装在"组策略"中,用于系统设置.
2)Inetres.adm:默认情况下安装在"组策略"中;用于Internet Explorer策略设置.
3)Wmplayer.adm:用于Windows Media Player 设置.
4)Conf.adm:用于NetMeeting 设置
首先运行"组策略"程序,然后选择"计算机配置"或者"用户配置"下的"管理模板",按下鼠标右键,在弹出的菜单中选择"添加/删除模板",则弹出如图1所示的对话框
Windows 2000/XP/2003组策略控制台
如果是Windows 2000/XP/2003系统,那么系统默认已经安装了组策略程序,在"开始"菜单中,单击"运行"命令项,输入gpedit.msc并确定,即可运行程序.
"桌面"设置
Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌.下面就让我们来看看几个实用的配置实例:
位置:"组策略控制台→用户配置→管理模板→桌面
1.隐藏桌面的系统图标(Windows 2000/XP/2003)
虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险.而采用组策略配置的方法,可以方便快捷地达到此目的.
比如要隐藏桌面上的"网上邻居"和"Internet Explorer"图标,只要在右侧窗格中将"隐藏桌面上'网上邻居'图标"和"隐藏桌面上的Internet Explorer图标"两个策略选项启用即可(如图5);如果隐藏桌面上的所有图标,只要将"隐藏和禁用桌面上的所有项目"启用即可;当启用了"删除桌面上的'我的文档'图标"和"删除桌面上的'我的电脑'图标"两个选项以后,"我的电脑"和"我的文档"图标将从你的电脑桌面上消失;同样如果要让"回收站"图标消失,只须将"从桌面删除回收站"策略项启用即可.
2.退出时不保存桌面设置(Windows 2000/XP/2003)
此策略可以防止用户保存对桌面的某些更改.如果你启用这个策略,用户仍然可以对桌面做更改,但有些更改,如图标的位置,任务栏的位置及大小,在用户注销后都无法保存,不过任务栏上的快捷方式总可以被保存.
在右侧窗格中将"退出时不保存设置"这个策略选项启用即可.

3.启用/禁用"活动桌面"(Windows 2000/XP/2003)
"活动桌面"是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示.但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以轻松达到这一要求.具体操作方法:打开右侧窗格中的"禁用活动桌面"并启用此策略.
提示:如果同时启用"启用 Active Desktop"设置和"禁用 Active Desktop"设置,则"禁用 Active Desktop"设置会被忽略..
以上介绍了几个关于桌面的组策略配置项目,在"组策略控制台→用户配置→管理模板→桌面"下还有其他若干组策略配置项目.
个性化"任务栏"和"开始"菜单

1.给"开始"菜单减肥(Windows2000/XP/2003)
如果觉得Windows的"开始"菜单太臃肿的话,可以将不需要的菜单项从"开始"菜单中删除.在组策略右侧窗格中,提供了"从开始菜单删除用户文件夹","删除到'Windows Update'的访问和链接","从开始菜单删除公用程序组","从开始菜单中删除'我的文档'图标"等多种组策略配置项目.你只要将不需要的菜单项所对应的策略启用即可
2.保护好"任务栏"和"开始"菜单(Windows 2000/XP/2003)
如果你不想随意让他人更改"任务栏"和"开始"菜单的设置,你只要将组策略控制台右侧窗格中的"阻止更改'任务栏和开始菜单'设置"和"阻止访问任务栏的上下文菜单"两个策略项启用即可.这样,当你用鼠标右键单击任务栏并单击"属性"时,系统会出现一个错误消息(图7),且当鼠标右键单击任务栏及任务栏上的项目时,例如"开始"按钮,时钟和"任务栏"按钮,弹出菜单会隐藏.
3.禁止"注销"和"关机"(Windows 2000/XP/2003)
当计算机启动以后,如果你不希望这个用户再进行"关机"和"注销"操作,那么可将组策略控制台右侧窗格中的"删除开始菜单上的'注销'"和"删除和阻止访问'关机'命令"两个策略启用.
这个设置会从开始菜单删除"关机"选项,并禁用"Windows 任务管理器"对话框?按"Ctrl+Alt+Del"会出现这个对话框 中的"关机"选项 .另外需要注意的是,此设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭

4.利用组策略保护个人文档隐私(Windows 2000/XP/2003)
Windows有个高级智能功能,即可以记录你曾经访问过的文件.虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能.利用组策略,只要在右侧窗格中将"不要保留最近打开文档的记录"和"退出时清除最近打开的文档的记录"两个策略启用即可.
IE设置手到擒来
微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好.在IE浏览器的"Internet选项"窗口中,提供了比较全面的设置选项(例如:"首页","临时文件夹","安全级别"和"分级审查"等项目),但部分高级功能没有提供,而通过组策略即可轻松实现这些功能.下面来看具体实例:
位置:"组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer(需添加inetres.adm模板文件)"

1.禁用"在新窗口中打开"菜单项(Windows 2000/XP/2003)
出于对安全的考虑,有时候我们有必要屏蔽IE的一些功能菜单,组策略提供了丰富的设置项目,比如禁用"另存为...","文件","新建"等.下面以"禁用'在新窗口中打开'菜单项"为例介绍具体的设置方法.
打开"组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏览器菜单",然后打开"禁用'在新窗口中打开'菜单项"并设置为"启用"
2,禁用"Internet 选项"控制面板(Windows 2000/XP/2003)
上面提到了"禁用Internet选项"的功能,使用该功能可以达到阻止别人对IE随便设置的目的.而这种方法无法具体禁用Internet选项中的控制模板项目,因此给具体应用带来麻烦.通过下面的组策略设置方法,则可以实现这一要求:
打开"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet 控制面板",在右边窗格中我们可以看到"禁用常规页","禁用安全页"等组策略项目.下面以"禁用常规页"为例进行说明:打开右边窗格中的"禁用常规页"并设置为"启用".然后我们再打开Internet选项控制面板,会发现"常规"项目已经没有了(图9),这样一来用户将无法看到和更改主页,缓存,历史记录,网页外观以及辅助功能的设置,因为该策略将删除界面上的"常规"选项卡,所以如果设置了该策略,则无须设置位于 "用户配置→管理模板→Windows 组件→Internet Explorer"中的诸如"禁用更改主页设置","禁用更改颜色设置"等策略.

3.禁止修改IE浏览器的主页(Windows 2000/XP/2003)
如果不希望他人对自己设定的IE浏览器主页进行随意更改的话,可以打开"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏",然后选择"禁用更改主页设置"组策略并启用即可.另外在这个窗格中,还提供了"更改历史记录设置","更改颜色设置"和"更改Internet临时文件设置"等项目的禁用功能.
启用此策略后,在IE浏览器的"Internet 选项"对话框中,其"常规"选项卡的"主页"区域的设置将变灰.
提示:如果设置了位于"组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制面板"中的"禁用常规页"策略,则无须设置该策略,因为"禁用常规页"策略将删除界面上的"常规"选项卡.
.禁止使用命令提示符(Windows 2000/XP/2003)
在Windows 2000/XP/2003下,我们可以运行cmd.exe进入命令提示符状态,并可以继续运行一些DOS命令和其他命令行程序.出于对安全的考虑,有些系统应该屏蔽此功能.
打开"组策略控制台→用户配置→管理模板→系统"中的"阻止访问命令提示符"并启用此策略
禁止更改显示属性(Windows 2000/XP/2003)
选择"控制面板"中的"显示"或在Windows桌面的空白处单击右键选择"属性",可进入"显示设置"对话框,可以对桌面主题,桌面背景,屏保程序,显示设置等各项进行设置,如果你不想让别人随意更改各项设置,可以通过组策略将它隐藏起来.
打开"组策略控制台→用户配置→管理模板→控制面板→显示",然后可以看到隐藏桌面选项卡,隐藏主题选项卡,隐藏保护程序选项卡,隐藏设置选项卡等策略配置,可根据需要对这些项目进行配置.比如启用了"隐藏'桌面'选项卡"策略后,再打开"显示属性"对话框,就看不到"桌面"标签了,这样自然就无法再对桌面属性进行更改了
限制使用应用程序(Windows 2000/XP/2003)
如果你的电脑设置了多个用户,有些程序我们可能不希望其他用户随意运行,也能在组策略中设置.
打开"组策略控制台→用户配置→管理模板→系统"中的"只运行许可的Windows应用程序"并启用此策略,然后点击下面的"允许的应用程序列表"边的"显示"按钮,弹出一个"显示内容"对话框,在此单击"添加"按钮来添加允许运行的应用程序即可.以后一般用户只能运行"允许的应用程序列表"中的程序.
禁用注册表编辑器(Windows 2000/XP/2003)
为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置.具体操作方法:打开"组策略控制台→用户配置→系统"中的"阻止访问注册表编辑工具"并启用此策略.
此策略被启用后,用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息.

在Windows XP/2003中实现远程关机(Windows XP/2003)
在Windows XP/2003中,新增了一条命令行工具"shutdown",它可以关闭或重新启动本地或远程计算机.利用它,我们不但可以注销用户,关闭或重新启动计算机,还可以实现定时关机,远程关机.该命令的语法格式如下:
shutdown [-i |-l|-s |-r |-a][-f][-m[\\ComputerName]][-t xx][-c 〃message〃][-d[u][p]:xx:yy]
该命令具体的使用参数和技巧请参考Windows的帮助系统,帮助系统里面有全面的资料.我们现在简单地看一下该命令的一些基本用法
1)注销当前用户
shutdown - l
该命令只能注销本机用户,对远程计算机不适用.
2)关闭本地计算机
shutdown - s
3)重启本地计算机
shutdown - r
4)定时关机
shutdown - s -t 30
指定在30秒之后自动关闭计算机.
5)中止计算机的关闭.有时我们设定了计算机定时关机后,如果出于某种原因又想取消这次关机操作,就可以用shutdown - a来中止.
在该命令的格式中,有一个参数[-m [\\ComputerName],用它可以指定将要关闭或重启的计算机名称,若省略的话则默认为对本机操作.你可以用以下命令来试一下:
shutdown -s -m \\Anyes-solon -t 30
在30秒内关闭计算机名为Anyes-solon(Anyes-solon为局域网内一台同样装有Windows XP/2003)的电脑.
该命令执行后,计算机Anyes-solon一点反应都没有,屏幕上却提示"Access is denied (拒绝访问)".

出现这种情况是因为Windows XP默认的安全策略中,只有管理员组的用户才有权从远端关闭计算机,而一般情况下我们从局域网内的其他电脑访问该计算机时,则只有guest用户权限,所以当我们执行上述命令时,便会出现"拒绝访问"的情况.
而我们利用组策略即可赋予guest用户远程关机的权限.打开"组策略控制台→计算机配置→Windows 设置→安全设置→本地策略→用户权利指派中的从远端系统强制关机",在弹出的对话框中显示目前只有"Administrators"组的成员才有权从远程关机;单击对话框下方的"添加用户或组"按钮,然后在新弹出的对话框中输入"guest"
用组策略提升系统性能
1.让Windows 的上网速率提升20%(Windows XP/2003)
默认情况下,Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内,这对带宽较小的网络来说,无疑是笔不小的开支.我们可以通过组策略设置来替代默认值,让我们的上网速率提高20%!
打开"组策略控制台→计算机配置→管理模板→网络"中的"QoS数据包调度程序"并启用此策略,然后使用下面"带宽限制"框来调整系统可保留的带宽比例,将它设置为0%即可,然后按确定退出,之后我们就可以使用另外20%的带宽了
2.关闭缩略图的缓存(Windows XP/2003)
Windows XP/20003系统具有缩略图视图功能,且为了加快那些被频繁浏览的缩略图显示速度,系统会将这些被显示过的图片进行缓存,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的.但如果我们不希望系统进行缓冲的话(比如只浏览一次的图片),则可以利用组策略关闭缩略图缓存的功能,这样第一次浏览速度反而会大大加快(因为不进行缓存处理).
打开"组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器"中的"关闭缩略图的缓存"并启用此策略.