Windows XP群組原則應用(一) 
 

群組原則是管理員為用戶和電腦定義並控制程序、網路資源及操作系統行為的主要工具。通過使用群組原則可以設置各種軟
體、電腦和用戶策略。例如,可使用「群組原則」從桌面刪除圖示、自定義「開始」功能表並簡化「控制台」。此外,還可增加
在電腦上(在電腦啟動或停止時,以及用戶登錄或註銷時)執行的腳本,甚至可配置Internet Explorer。

  本文重點介紹的是Windows XP Professional的本機群組原則的應用。群組原則對本機電腦可以進行兩個方面的設置:本機電
腦配置和本機用戶配置。所有策略的設置都將儲存到註冊表的相關項目中。對電腦策略的設置儲存到註冊表的
HKEY_LOCAL_MACHINE的相關項中,對用戶的策略設置將儲存到HKEY_CURRENT_USER相關項中。

  訪問本機群組原則的方法有兩種:第一種方法是命令行方式;第二種方法是通過在MMC控制台中選擇GPE插件來實現的。

  1、群組原則編輯器的命令行啟動

  您只需單擊選擇「開始」→「執行」命令,在「執行」對話視窗的「開啟」欄中輸入「gpedit.msc」,然後單擊「確定」按
扭即可啟動Windows XP群組原則編輯器。(註:這個「群組原則」程序位於「C:\WINNT\SYSTEM32」中,檔案名為
「gpedit.msc」。) 

  在開啟的群組原則視窗中,可以發現左側窗格中是以樹狀結構給出的控制對象,右側窗格中則是針對左邊某一配置可以設
置的具體策略。另外,您或許已經注意到,左側窗格中的「本機電腦」策略是由「電腦配置」和「用戶配置」兩大子鍵構成,
並且這兩者中的部分項目是重複的,如兩者下面都含有「軟體設置」、「Windows設置」等。那麼在不同子鍵下進行相同項目
的設置有何區別呢?這裡的「電腦配置」是對整個電腦中的系統配置進行設置的,它對當前電腦中所有用戶的執行環境都起作
用;而「用戶配置」則是對當前用戶的系統配置進行設置的,它僅對當前用戶起作用。例如,二者都提供了「停用自動播放」
功能的設置,如果是在「電腦配置」中選擇了該功能,那麼所有用戶的光碟自動執行功能都會失效;如果是在「用戶配置」中
選擇了此項功能,那麼僅僅是該用戶的光碟自動執行功能失效,其他用戶則不受影響。設置時需注意這一點。
2、將群組原則作為獨立的MMC管理單元開啟

  若要在MMC控制台中通過選擇GPE插件來開啟群組原則編輯器,具體方法如下:

  (1)單擊選擇「開始」→「執行」命令,在彈出的對話視窗中鍵入「mmc」,然後單擊「確定」按扭。開啟Microsoft管理
控制台視窗。所示。
  (2)選擇「文件」功能表下的「增加/刪除管理單元」命令。
  (3)在「增加/刪除管理單元」視窗的「獨立」選擇項中,單擊「增加」按扭。
  (4)彈出「增加獨立管理單元」對話視窗,並在「可用的獨立管理單元」列表中選擇「群組原則」選項,單擊「增加」
按鈕。



5)由於是將群組原則應用到本機電腦中,故在「選擇群組原則對像」對話視窗中,單擊「本機電腦」,編輯本機電腦對象,
或通過單擊「瀏覽」按扭搜尋所需的群組原則對象。
  (6)單擊「完成」→「關閉」→「確定」按扭,群組原則管理單元即可開啟要編輯的群組原則對象。

  特別提示:倘若您希望儲存群組原則控制台,並希望能夠選擇通過命令行在控制台中開啟群組原則對象,請在「選擇群組
原則對像」對話視窗中選「允許在從命令行啟動時更改群組原則管理單元的焦點」復選框。


二、「工作管理欄」和「開始」功能表相關選項的刪除和禁用

  在「『本機電腦』策略」中,逐級展開「用戶配置」→「管理模板」→「工作管理欄和「開始」功能表」分支,在右側窗
格中,提供了 「工作管理欄」和「開始功能表」的有關策略。

  1、給「開始」功能表瘦瘦身

  如果您覺得Windows XP的「開始」功能表太臃腫的話,可以將不需要的功能表項從「開始」功能表中刪除。在右側窗格
中,提供了刪除「開始」功能表中的公用程序組、「我的文件」圖示、「我的文件」功能表、「網路連接」、「收藏夾」功能
表、「搜尋」功能表、「幫助」命令、「執行」功能表、「我的圖片」圖示、「我的音樂」圖示和「網路芳鄰」圖示等策略。
您只要將不需要的功能表項所對應的策略啟用即可。現在以刪除「我的文件」圖示為例,具體操作步驟為:
(1)在策略列表窗格中用滑鼠雙擊「從「開始」功能表中刪除『我的文件』圖示」設置選項。
(2)在彈出視窗的「設置」選擇項中,選擇「已啟用」單選按扭,然後單擊「確定」按扭即可。

  2、保護好你的個人隱私

  出於某種安全的需要,例如不想讓人知道自己瀏覽過哪些網頁和開啟過哪些文件,您只要在右側窗格中將「不要保留最近
開啟我的文件的記錄」和「退出時清除最近開啟的我的文件的記錄」兩個策略啟用即可。

  3、保護好「工作管理欄」和「開始」功能表的設置

  倘若您不想隨意讓他人更改「工作管理欄」和「開始」功能表的設置,您只要將右側窗格中的「阻止更改『工作管理欄和
「開始」功能表』設置」和「阻止訪問工作管理欄的上下文功能表」兩個策略項啟用即可。這樣,當您用滑鼠右鍵單擊工作管
理欄並單擊「屬性」時,系統會出現一個錯誤消息,提示信息是某個設置禁止了這個操作。
、禁止「註銷」和關機

  當電腦啟動以後,倘若您不希望這個用戶再進去行關機和註銷操作,那麼必須將右側窗格中的「刪除「開始」功能表上的
『註銷』」和「刪除和阻止訪問『關機』命令」兩個策略啟用。

  提示:倘若您在「開始」功能表上刪除了「註銷」,「註銷<用戶名>」項目就不會出現在「開始」功能表。這個設置還從
「『開始』功能表選項」刪除「顯示註銷」項目。結果是,您無法將「註銷<用戶名>」項目還原到「開始」功能表。
 三、桌面相關選項的刪除和禁用

  Windows XP的桌面就像你的辦公桌一樣,有時需要進行整理和清潔,有了群組原則編輯器,這項工作將變得易如反掌,您
只要在「『本機電腦』策略」中,逐級展開「用戶配置」→「管理模板」→「桌面」分支,即可在右側窗格中顯示相應的策略
選項。

  1、隱藏桌面的系統圖示

  倘若隱藏桌面上的系統圖示,傳統的方法是通過採用修改註冊表的方式來實現,這勢必造成一定的風險性,採用群組原則
編輯器,即可方便快捷地達到此目的。


 若要隱藏桌面上的「網路芳鄰」和「Internet Explorer」圖示,只要在右側窗格中將「隱藏桌面上『網路芳鄰』圖示」和「隱
藏桌面上的Internet Explorer圖示」兩個策略選項啟用即可;如果隱藏桌面上的所有圖示,只要將「隱藏和禁用桌面上的所有項
目」啟用即可;當啟用了「刪除桌面上的『我的文件』圖示」和「刪除桌面上的『我的電腦』圖示」兩個選項以後,「我的電
腦」和「我的文件」圖示將從你的電腦桌面上消失了;如果在桌面上你不再喜歡「資源回收桶」這個圖示,那麼也可以把它給
刪除,具體方法是將「從桌面刪除資源回收桶」策略項啟用。

  2、禁止對桌面的某些更改

  如果您不希望別人隨意改變電腦桌面的設置,請在右側窗格中將「退出時不儲存設置」這個策略選項啟用。當您啟用這個
了設置以後,其他用戶可以對桌面做某些更改,但有些更改,開啟視窗的位置、工作管理欄的位置及大小在用戶註銷後都無法
儲存。

四、禁止訪問「控制台」

  如果您不希望其他用戶訪問電腦的「控制台」,您只要執行群組原則編輯器(gpedit.msc),在左側窗格中逐極展開「『本
機電腦』策略」→「用戶配置」→「管理模板」→「控制台」分支,然後將右側窗格的「禁止訪問控制台」策略啟用即可。

  此項設置可以防止「控制台」程序文件(Control.exe)的啟動。其結果是,他人將無法啟動「控制台」(或執行任何「控
制台」項目)。另外,這個設置將從「開始」功能表中刪除「控制台」。同時這個設置還從 Windows 資源管理器中刪除「控制
台」資料夾。

  特別提示:如果您想從上下文功能表的屬性項目中選擇一個「控制台」項目,會出現一個消息,說明該設置防止這個操
作。

  五、防止用戶使用「增加或刪除程式」

  在「控制台」中,「增加或刪除程式」項目允許您安裝、卸載、修復並增加和刪除 Windows XP 的功能和組件以及種類很
廣的 Windows 程序。發行或分配給用戶的程序將出現在「增加或刪除程式」中。倘若您阻止其他用戶安裝和卸載程序,請在
「『本機電腦』策略」→「用戶配置」→「管理模板」→「控制台」分支的右側窗格中啟用「刪除『增加/刪除程式』程序」策
略選項。

  啟用這個設置將從「控制台」刪除「增加或刪除程式」並從功能表刪除「增加或刪除程式」項目;這個設置不防止用戶用
其他工具和方法安裝或卸載程序。
六、在Windows Xp中設置用戶權限

  當多人共用一台電腦時,在Windows XP中設置用戶權限,可以按照以下步驟進行:

  1、執行群組原則編輯器程序(gpedit.msc)。 

  2、在編輯器視窗的左側窗格中逐級展開「電腦配置」→「Windows設置」→「安全設置」→「本機策略」→「用戶權限指
派」分支。

  3、雙擊需要改變的用戶權限。單擊「增加」,然後雙擊想指派給權限的用戶帳號。.如所示。 連續兩次單擊「確定」按
扭。
七、在Windows XP中實現遠端關機

  在Windows XP中,新增了一條命令行工具「shutdown」,其作用是「關閉或重新啟動本機或遠端電腦」。利用它,我們不
但可以註銷用戶,關閉或重新啟動電腦,還可以實現定時關機、遠端關機。

  該命令的語法格式如下:

  shutdown [-i |-l|-s |-r |-a] [-f] [-m [\\ComputerName]] [-t xx] [-c "message"] [-d[u][p]:xx:yy] 

  其中,各參數的含義為:

  -i 顯示圖形界面的對話視窗。
  -l 註銷當前用戶,這是預設設置。
  -m ComputerName優先。
  -s 電腦關機。
  -r 關閉之後重新啟動。
  -a 中止關閉。除了-l 和ComputerName 外,系統將忽略其它參數。在超時期間,您只可以使用-a。
  -f 強制執行要關閉的應用程式。
  -m [\\ComputerName] 指定要關閉的電腦。
  -t xx 將用於系統關閉的定時器設置為 xx 秒。預設值是20秒。
  -c "message" 指定將在「系統關閉」視窗中的「消息」區域顯示的消息。最多可以使用127 個字串。引號中必須包含消息。
  -d [u][p]:xx:yy 列出系統關閉的原因代碼。

  首先,我們來看一下該命令的一些基本用法:

  1、註銷當前用戶
  shutdown - l
  該命令只能註銷本機用戶,對遠端電腦不適用。

  2、關閉本機電腦 
  shutdown - s

  3、重啟本機電腦
  shutdown - r

  4、定時關機
  shutdown - s -t 30
  指定在30秒之後自動電腦關機。
5、中止電腦的關閉

  有時我們設定了電腦定時關機後,如果出於某種原因又想取消這次關機操作,就可以用 shutdown - a 來中止。如:

  shutdown -s - t 300 設定電腦在5分鐘後關閉。
  Shutdown - a 取消上述關機操作。

  以上是shutdown命令在本機中的一些基本應用。前面我們已經介紹過,該命令除了關閉、重啟本機電腦外,更重要的是它
還能對遠端電腦進行操作,但是如何才能實現呢?

  在該命令的格式中,有一個參數[-m [\\ComputerName],用它可以指定將要關閉或重啟的電腦名稱,省略的話則預設為對本
機操作。您可以用以下命令來試一下:

  shutdown -s -m \\sunbird -t 30

  在30秒內電腦關機名為sunbird的機器;註:sunbird為區域網路內一台同樣裝有Windows XP的電腦。

  但該命令執行後,電腦sunbird一點反應都沒有,但螢幕上卻提示「Access is denied (拒絕訪問)」。

  為什麼會出現這種情況呢?原來在Windows XP預設的安全策略中,只有管理員組的用戶才有權從遠端電腦關機,而一般情
況下我們從區域網路內的其他電腦來訪問該電腦時,則只有guest用戶權限,所以當我們執行上述命令時,便會出現「拒絕訪
問」的情況。

  找到了問題的根源之後,解決的辦法也很簡單,您只要在客戶電腦(能夠被遠端關閉的電腦,如上述的sunbird)中賦予
guest用戶遠端關機的權限即可。這可利用Windows XP的「群組原則」或「管理工具」中的「本機安全策略」來實現。下面以
「群組原則」為例進行介紹:

  1、單擊「開始」按鈕,選擇「執行」,在對話視窗中輸入「gpedit.msc」,然後單擊「確定」,即可開啟群組原則編輯
器。

  2、在「群組原則」視窗的左側窗格中逐級展開「電腦配置」→「Windows 設置」→「安全設置」→「本機策略」→「用
戶權利指派」。

  3、在「群組原則」視窗的右側窗格中選擇「從遠端系統強制關機」,通過雙擊將其開啟。

  4、在彈出的對話視窗中顯示目前只有「Administrators」組的成員才有權從遠端關機;單擊對話視窗下方的「增加用戶或
組」按鈕,然後在新彈出的對話視窗中輸入「guest」,再單擊「確定」按扭。

  5、這時在「從遠端系統強制關機」的屬性中便增加了一個「guest」用戶,單擊「確定」即可。

  6、關閉「群組原則」視窗。

  通過上述操作後,我們便給電腦sunbird的guest用戶授予了遠端關機的權限。以後,倘若您要遠端電腦關機sunbird,只要在
網路中其他裝有Windows XP的電腦中輸入以下命令即可:

  shutdown -s -m \\sunbird -t 30 (其他參數用法同上)

  
  圖9

  這時,在sunbird電腦的螢幕上將顯示一個「系統關機」的對話視窗,提示「系統即將關機。請儲存所有正在執行的工作,
然後註銷。未儲存的改動將會丟失。關機是由sunbird\guest初始的。」在對話視窗下方還有一個計時器,顯示離關機還有多少時
間。在等待關機的時間裡,用戶還可以執行其他的任務,如關閉程序、開啟文件等,但無法關閉該對話視窗,除非你用
shutdown -a命令來中止關機任務。

  八、Windows 98訪問Windows XP共享目錄被拒絕的問題解決

  在區域網路內,經常可以遇到裝有Windows 2000的電腦開了共享目錄,而裝有Windows 98的電腦卻無法訪問的問題。這個
在微軟的官方網頁上可以找到答案,提示開啟Windows 2000的GUEST用戶就行了。可是Windows XP出來以後,同樣的又面臨這
個問題,結果有些人發現這個方法不靈了,從網路芳鄰訪問Windows XP的共享目錄不一定能被允許。原因何在?這個問題本也
困擾過我好幾天,後來在無意中發現了問題的答案,也許這是Windows XP的一個BUG?

  在開啟了系統Guest用戶的情況下,執行群組原則編輯器程序,在「本機電腦策略」→「電腦配置」→「Windows設置」→
「安全設置」→「本機策略」→「用戶權利指派」→「拒絕從網路訪問這台電腦」中赫然可以看到有Guest用戶!如果在這裡刪
除Guest用戶,那麼其他電腦就可以從網路芳鄰中檢視這台電腦的共享目錄了。

  環境:中文Windows XP,採用傳統登錄方式並且關閉了「資料夾選項」中的「使用簡單文件共享」。

  九、讓Windows XP Professional的上網速率提升20%

  1、首先必須以系統管理員身份登入系統。

  2、執行群組原則編輯器程序(gpedit.msc)。在「『本機電腦』策略」中,逐級展開「電腦配置」→「管理模板」→「網
路」→「QoS資料包調度程序」分支。在螢幕右邊會出現「QoS資料包調度程序」策略。接著單擊右邊子項目的「限制可保留
帶寬」。這時,左邊會顯示「限制可保留帶寬」的詳細描述。從這裡我們可瞭解到「限制可保留帶寬」的一些基本情況。
瞭解之後我們就可以對「限制可保留帶寬」進行設置了。單擊「限制可保留帶寬」下「顯示」旁邊的「屬性」(或者選擇子項
目「限制可保留帶寬」,再點擊右鍵→「屬性」也可),出現「限制可保留帶寬」對話視窗,先點擊「說明」,再進去一步瞭
解「限制可保留帶寬」確定系統可保留的連接帶寬的百分比情況。

  之後我們就可以對另外20%帶寬進入設置了。點擊「設置」。「設置」為我們提供了三個選擇(未配置、已啟用、已禁
用),選擇「已啟用」,接著再將帶寬限制旁邊的%設置為0%即可,然後按確定退出。

  3、單擊「開始」→「連線到」→「顯示所有連接」。

  選你所建立的連接,用滑鼠右鍵單擊屬性,在出現的連接屬性中單擊網路,在顯示的網路對話視窗中,檢查「此連接使用
下列項目」中「QoS資料包調度程序」是否已打了勾,沒問題就按確定退出。

  4、最後重新啟動系統便完成對另外20%的頻寬利用了

  十、禁止MSN Messenger自執行

  在Windows XP Professional中,有許多系統內裝的軟體都沒有卸載選項,引起很多電腦用戶的不滿。若要禁止Windows 
Messenger(4.0以上版本)的自動執行。您只要在「群組原則」程序視窗中。依次通過雙擊展開「電腦配置」→「管理模板」
→「Windows組件」→「Windows Messenger」分支,再從右邊的視窗上,雙擊「不允許執行Windows Messenger」,在彈出的
「不允許執行Windows Messenger屬性」對話視窗中點擊「已啟用」,再單擊「確定「按扭退出即可。

  十一、禁用IE6瀏覽器的相關設置、功能表項和工具欄

  在IE瀏覽器的「Internet選項」視窗中,提供了比較全面的設置選項(例如:首頁、臨時資料夾、安全級別和分級審查等項
目),這將極大方便我們網上衝浪。為了不使他人隨意改變您對瀏覽器的設置以及對IE的某些功能限制使用,有必要將你的設
置選項進行隱藏或禁止使用。過去在Windows 9x系統中,一般是通過修改註冊表來實現的,不過這會對系統的安全性帶來一定
的風險。當您選擇了Windows XP後,這種風險幾乎降低到了零。現在就為您介紹一下如何利用Windows XP提供的群組原則來進
行設置IE6。

  在群組原則設置視窗的左側窗格中,逐級展開「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」分
支,在其下面您會發現「Internet控制台」、「離線頁」、「瀏覽器功能表」、「工具欄」、「持續行為」和「管理員認可的控
件」等策略選項。

  1、限制IE瀏覽器的儲存功能

  當多人共用一台電腦時,為了保持硬碟的整潔,需要對瀏覽器的儲存功能進行限制使用,那麼如何才能實現呢?具體方法
為:選擇「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」→「瀏覽器功能表」分支,然後將右側窗格
中的「『文件』功能表:禁用『另存為…』功能表項」、「『文件』功能表:禁用另存為網頁功能表項」、「『檢視』功能
表:禁用『來源文件』功能表項」和「禁用上下文功能表」等策略項目啟用即可。

  另外,倘若您不希望別人對IE瀏覽器的設置進行隨意更改,您只要將「『工具』功能表:禁用『Internet選項…』」策略啟
用即可。另外,根據您個人的需要,在該窗格中還可以對其他項目進行禁用。



  2、給工具欄減肥 

  倘若您要隱藏工具欄中的工具按扭,具體方法是:選擇「用戶設置」→「管理模板」→「Windows組件」→「Internet 
Explorer」→「工具欄」分支,然後在右側窗格中雙擊「配置工具欄按扭」策略,彈出「配置工具欄按扭屬性」視窗,在「設
置」選擇項中選擇「已啟用」單選按扭,將列表中將要顯示按扭名稱前面的復選框打上勾選標記,若要隱藏某些按扭,則不要
將其前面的復選框進行勾選。然後單擊「確定」按扭即可。

  
  圖10

  3、禁止修改IE瀏覽器的主頁

  如果您不希望他人對自己設定的IE瀏覽器主頁進行隨意更改的話,您只要選擇「用戶配置」→「管理模板」→「Windows 
組件」→「Internet Explorer」分支,然後在右側窗格中,將「禁用更改主頁設置」策略啟用即可。另外在這個窗格中,還提供
了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。

  倘若啟用了這個策略,在IE瀏覽器的「Internet 選項」對話視窗中,其「一般」選擇項的「主頁」區域的設置將變灰。

  特別提示:如果設置了位於「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」→「Internet 控制台」
中的「禁用一般頁」策略,則無需設置該策略,因為「禁用一般頁」策略將刪除界面上的「一般」選擇項。
十二、文件和資料夾設置審核

  Windows XP Professional可以使用審核跟蹤用於訪問文件或其他對象的用戶賬戶、登錄嘗試、系統關閉或重新啟動以及類似
的事件。審核文件、資料夾(只適用於 NTFS文件系統)可以保證文件和資料夾的安全。在審核發生之前,您必須使用「群組
原則」指定要審核的事件類型。為文件和資料夾設置審核的步驟如下。

  1、單擊選擇「開始」→「執行」命令,在彈出的「執行」對話視窗中鍵入「gpedit.msc」命令,然後單擊「確定」按扭即
可;當然你也可以在桌面上新增一個相應的快捷方式。

  2、在彈出的「群組原則」視窗中,逐級展開右側窗格中的「電腦配置」→「Windows設置」→「安全設置」→「本機策
略」分支,然後在該分支下選擇「審核策略」選項。


  3、在右側窗格中用滑鼠雙擊「審核對像訪問」選項,在彈出的「本機安全策略設置」視窗中,將「本機策略設置」框內
的「成功」和「失敗」復選框都打上勾選標記。然後單擊「確定」按扭。

  4、用滑鼠右鍵單擊想要審核的文件(或資料夾)。選擇快捷功能表的「屬性」命令,然後在彈出的視窗中選擇「安全」
選擇項。

  5、單擊「進階」按扭,然後選擇「審核」選擇項。

  6、根據具體情況選擇您的操作: 

  (1)倘若對一個新組(或用戶)設置審核, 請單擊「增加」按扭,在「名稱」框中鍵入新用戶名,然後單擊「確定」按扭,
將開啟「審核項目」對話視窗。
  (2)要檢視(或更改)原有的組(或用戶)審核, 選擇用戶名,然後單擊「檢視/編輯」按扭。
  (3)要刪除原有的組(或用戶)審核, 選擇用戶名,然後單擊「刪除」按扭即可。 

  7、如有必要的話,在「審核項目」對話視窗中的「應用到」列表中選取您希望審核的地方(「應用到」列表僅對資料夾
有效)。 

  8、如果您想禁止目錄樹中的文件和子資料夾繼承這些審核項目,選擇「僅對此容器內的對象和/或容器應用這些審核項」
復選框。 

  如果在「審核項目」對話視窗中的「訪問」之下的復選框變暗,或在「訪問控制設置」對話視窗中「刪除」按鈕不可用,
那麼說明已經繼承了來自父資料夾的審核。

  需要注意的是:必須是管理員組成員或在群組原則中被授權有「管理審核和安全日誌」權限的用戶可以審核文件或資料
夾。在Windows XP審核文件、資料夾之前,您必須啟用「群組原則」中「審核策略」的「審核對像訪問」。否則,當您設置完
文件、資料夾審核時會返回一個錯誤消息,並且文件、資料夾都沒有被審核。通過事件檢視器(Event Viewer)可以檢查那些訪
問審核過的文件和資料夾的成功或失敗的嘗試。

  Windows XP Professional還提供了許多安全控制方法可以有效地保護電腦資源,我們在這裡就不一一向您介紹了,希望您能
夠通過自己的實踐發現更多更好的方法。