Windows XP 组策略修改系统配置的使用

组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。
4 q2 U, e$ ]3 a
0 l( o! O- M: c. e! H8 o　　平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强。
7 r2 ^2 r9 N- b8 t( Y5 g% i# Q
　　本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到HKEY_CURRENT_USER。
& `" o# U. ~& d8 [. T* {　　
0 `% k- m, F8 K* k3 v7 x0 l

一、访问组策略

　　有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是打开控制台，将组策略添加进去。
  R, r1 j% M" {. [/ c' d' Y3 z
! v3 c5 A# D% c, M: r7 W% ?% z; H　1. 输入gpedit.msc命令访问

　　选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也是本文的重中之重。
( x5 n! L) d: @' _) l
1 E% F9 n' Q2 h9 m　2. 通过控制台访问组策略
% E$ C0 J" d# A
　　单击“开始”→“运行”，输入“mmc”，回车后进入控制台窗口。单击控制台窗口的“文件”→“添加/删除管理单元”，在弹出窗口单击“添加”，之后选择“组策略”并单击“添加”，在下一步的“选择组策略对象”对话框中选择对象。由于我们组策略对象就是“本地计算机”，因此不用更改，如果是网络上的另一台计算机，那么单击“浏览”选择此计算机即可。另外，如果你希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请选中“当从命令行开始时，允许更改‘组策略管理单元’的焦点”复选框。最后添加进来的组策略如图5所示。

二、任务栏和“开始”菜单项目设置
5 O1 n8 Q# _$ j% f
/ L* ]" H* j+ g, X. j　　本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目。依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”，在右边窗口便能看到“任务栏和‘开始’菜单”节点下的具体设置，其状态都处在“未被配置”。
& S0 l/ ?3 Z; B" ?8 E3 n
　1. 给“开始”菜单减肥

: @4 @. n8 s8 u$ N; b( ^$ b( O　　Windows XP的“开始”菜单的菜单项很多，可通过组策略将不需要的删除掉。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法：在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项，在弹出对话框的“设置”标签中点选“已启用”，然后单击“确定”，这样在“开始”菜单中“我的文档”图标将会隐藏。

　2. 防止隐私泄漏

" b0 M1 `1 z: E0 g9 p( d$ W　　在开始菜单中有一个“我最近的文档”菜单项，别人可通过此菜单访问你最近打开的文档，为安全起见，可删除此菜单项，并设置不保存最近打开的文档记录。双击“不要保留最近打开文档的记录”、“退出时清除最近打开的文档记录”、“从‘开始’菜单上删除‘文档’菜单”3项，在弹出对话框中点选“已启动”并确定即可。

1 ^  p! M/ M# y　3. 禁止随意修改任务栏和“开始”菜单
4 g: z3 X( B+ |0 T  N3 ?' ]5 v
- F5 l2 o  Y1 X! h% o0 |　　为保护自己好不容易设置好的任务栏和“开始”菜单，可双击启用下列各设置。

+ o) h# U2 Z' \- d0 M$ F* Z( G　　“阻止更改‘任务栏和‘开始’菜单 ’设置”：即从“开始”菜单的“设置”菜单项中删除“任务栏和‘开始’菜单”项目，这个设置也可阻止用户打开“任务栏属性”对话框。“阻止访问任务栏的上下文菜单”（上下文菜单即单击右键弹出的快捷菜单）：当鼠标右键单击任务栏及任务栏上项目时隐藏菜单，例如“开始”按钮、时钟和任务栏按钮，但不能禁止用户在其他地方更改。“锁定任务栏”：启用此设置，可阻止用户移动任务栏或调整任务栏的大小，但自动隐藏和其他任务栏选项仍然在“任务栏属性”中可用。
! a1 q/ u' E" C0 `% ^
+ @9 Z  R. x$ l+ _9 _' B　4. 去掉Windows XP“开始”菜单中的图形化设置

　　Windows XP的“开始”菜单增添了许多图形化设置，其实可在组策略中将这些功能关闭。
/ O3 E" U( k& f# Z: d
& m; [9 U3 p7 O) ]/ y, [　　“关闭个性化菜单”：Windows XP会自动将最近使用的菜单项移动到开始菜单顶部，并且隐藏最近没有使用的菜单项，以此实现个性化菜单，启用此设置将关闭个性化菜单。“强制典型菜单”：启用此设置，开始菜单就以Windows 2000样式显示典型的开始菜单，并且显示标准桌面图标。

　5. 禁止“注销”和“关机”
8 g. q% u* H) p, A
7 J. L( ?' ?/ S/ ^9 }  @　　进行三维动画设计和视频处理的朋友经常会为导出一个大型动画、视频文件而花几个小时，这时如果有人重新启动电脑或注销用户，那么前面所做的工作就会白白浪费，因此有必要禁止“开始”菜单中的“注销”、“关机”菜单项。你只需双击启用“删除‘开始’菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两项即可。后一设置不仅将从“开始”菜单中删除“关闭计算机”项，而且还会禁用“Windows 任务管理器”对话框中的“关机”选项。
+ W, l- H2 h6 J9 L  w　　
7 |0 k" O. k+ ^3 S' p9 E( I! S* ~9 A三、桌面项目设置

: j2 D3 j1 p& d$ x　　在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

　1. 隐藏不必要的桌面图标
  O8 @  `) b5 ~2 }
　　桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。例如要删除“我的文档”，只需在“删除桌面上的‘我的文档’图标”一项中设置即可。

　2. 禁止对桌面的改动
7 K" D+ R4 P$ c. [4 ?* t
　　利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后，用户将不能保存对桌面的更改。最后，双击启用“隐藏和禁用桌面上的所有项目”设置项，将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目，连桌面右键菜单都将被禁止。

1 b) ]$ e6 Z; A　3. 启用或禁止活动桌面
2 n( B6 E, g4 n7 C, q
& T) ]( o6 A/ r' v  |' W0 N　　利用“Active Desktop”项，可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。
　　
四、隐藏或禁止控制面板项目

　　这里讲到的控制面板项目设置是指配置控制面板程序的各项设置，主要用于隐藏或禁止控制面板项目。在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项，便可看到“控制面板”节点下面的所有设置和子节点。
- q9 `6 x7 T* p" s9 H
　1. 隐藏或禁止“添加/删除程序”项
9 U/ o* k6 x1 Z1 n
3 Z' P# i: m! M0 C( _$ _　　展开“添加/删除程序”项：双击启用“删除‘添加/删除程序’程序”设置项后，控制面板中的“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3个页面：“更改或删除程序”、“添加新程序”以及“添加/删除Windows组件”；而当你进入“添加新程序”页面时，会发现有3个选项：“从CD-ROM或软盘添加程序”、“从 Microsoft添加程序”以及“从网络中添加程序”，如果你想这些具体页面或选项隐藏，可直接在组策略“添加/删除程序”项中将相应隐藏功能启用。

0 J5 y* _0 _( p: E+ J" W# ^　2. 隐藏或禁止“显示”项
) m0 t) K$ X% F2 }6 ~+ J
　　展开“显示”项，发现这一项和上一项一样，可隐藏“显示属性”对话框中的选项卡。这里就不细讲了，例如双击启用“隐藏‘桌面’选项卡”后，“显示窗口”中将不再出现“桌面”项。此外，在这里用户还可启用“删除控制面板中的‘显示’”，这样在控制面板中双击打开“显示”项时，就会弹出一个对话框提示你：系统管理员禁止使用“显示”控制面板。
, `& F* T8 Y! `' u, p/ E/ B
9 y& Z9 P6 C: c! H) d　3. 其他
. G! d4 }6 K0 Z. q+ M# d
　　依次展开“显示”→“桌面主题”项，双击启用“删除主题选项”、“阻止选择窗口和按钮式样”、“禁止选择字体大小”项后，可阻止他人更改主题、窗口和按钮式样、字体。展开“打印机”项，双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户添加或删除打印机。最后，直接在“控制面板”一项下启用“禁止访问控制面板”，控制面板将无法启动。
　　
/ J& q, v: }! c  l+ n五、系统项目设置

　　这一项在“用户配置”→“管理模板”→“系统”中设置。组策略中对系统的设置涉及到登录、电源管理、组策略、脚本等很多项目，下面把和我们联系紧密的部分清理出来分类列举如下：
/ n5 h2 [! M/ O3 X  `
　1. 登录时不显示欢迎屏幕界面

% [' v4 u  P! n0 v& t- N; Q　　Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕，虽然漂亮但也麻烦且延长登录时间，通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示欢迎屏幕”，则每次用户登录时欢迎屏幕将隐藏。

# `6 R5 F) O0 g　2. 禁用注册表编辑器

　　为防止他人修改注册表，可在组策略中禁止访问注册表编辑器。双击启用“系统”节点下的“阻止访问注册表编辑器”项后，用户试图启动注册表编辑器时，系统将提示：注册编辑已被管理员停用。另外，如果你的注册表编辑器被锁死，也可双击此设置，在弹出对话框的“设置”标签中点选“未被配置”项，这样你的注册表便解锁了。如果要防止用户使用其他注册表编辑工具打开注册表，请双击启用“只运行许可的Windows应用程序”。
' s* H8 T3 n& k0 j
  B  `! q. W5 V# Q1 U3 m　3. 关闭系统自动播放功能

　　一旦你将光盘插入光驱中，Windows XP就会开始读取光驱，并启动相关的应用程序。这样虽然给我们的工作带来了便利，在某些时候也带来了不少麻烦。在“系统”节点下有一项为“关闭自动播放”设置项，双击其并在弹出对话框的“设置”标签中点选“已启用”，在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。
7 O+ k* X/ f, n6 g! M: Y
( T4 A. J/ ?8 a2 G$ w! @8 S, P　　注意：此设置不阻止自动播放音乐CD。
$ g- v9 K  i% n) \+ `8 `
　4. 关闭Windows自动更新

　　每当用户连接到Internet，Windows XP就会搜索用户计算机上的可用更新，根据配置的具体情况，在下载的组件准备好安装时或在下载之前，给用户以提示。如果你不喜欢比尔老大这种自作主张的态度，可通过组策略关闭这一功能。只须双击“系统”节点下的“Windows自动更新”设置项，在弹出来的对话框中点选“已禁用”并确定即可。

( ~' T: P( W/ ^; T　5. Ctrl+Alt+Del选项
* Q$ z" G4 J) p) v' H
+ u4 s. _5 J+ H7 H# \- Z# W' P　　若Windows XP用户已取消“使用欢迎屏幕”项，若同时按下“Ctrl+Alt+Del”键，便会弹出一个“Windows安全”对话框，此对话框中有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务管理器”、“取消”6个功能按钮。大家都知道这里的每个按钮对系统都起着关键的作用。为了阻止别人操作，可通过组策略屏蔽这些按钮。

　　找到“系统”下的“Ctrl+Alt+Del选项”，双击启用“删除任务管理器”、“删除‘锁定计算机’”、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。

4 D  T2 a( V$ I9 K- W　　注意：“注销”、“关机”两个菜单项的屏蔽，在“用户配置”→“管理模板”→“任务栏和‘开始’菜单”节点下。
　　
六、隐藏或删除Windows XP资源管理器中的项目
  Y+ j/ H1 N( P/ I9 g
　　一直以来，资源管理器就是Windows系统中最重要的工具，如何高效、安全地管理资源也一直是电脑用户的不懈追求。依次展开“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”项，可以看到“Windows资源管理器”节点下的所有设置。下面就来看看怎样通过组策略实现资源管理器个性化。

" v- g  h9 D6 R4 L　1. 删除“文件夹选项”

' R' G& @  E( N; c& v' O1 W　　“文件夹选项”是资源管理器中一个重要的菜单项，通过它可修改文件的查看方式，编辑文件类型的打开方式。我们自己对其设定好后，为了防止他人随意更改，可将此菜单项删除，你只须双击启用“从‘工具’菜单删除‘文件夹选项’菜单”便能完成这一设置。
, g9 B4 [) F- K. e, g6 ^
0 _' t, X4 G( T7 B3 E　2. 隐藏“管理”菜单项

　　在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项，通过此菜单项，可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁盘管理”等众多工具的“计算机管理”窗口。为了保障你的计算机免受他人无意破坏，可通过双击启用“隐藏Windows资源管理器上下文菜单上的‘管理’项目”项来屏蔽此菜单项。
9 f+ P# q4 d- D4 Z
　3. 其他项目的隐藏
' J; L  u, z; z0 Y* l9 z% |
　　此外通过启用“隐藏‘我的电脑’中的这些指定的驱动器”可隐藏你指定的驱动器。还可通过启用“‘网上邻居’中不含‘整个网络’”屏蔽掉“整个网络”项。双击启用“删除CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的文件移到‘回收站’”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有讲到，大家可根据需要自行探讨，进行适当的配置。
　　
七、IE浏览器项目设置
2 f' b! f8 S3 D0 J' }; y6 ~
' t4 Q, S# G3 l" v　　在组策略左边窗口中依次展开“用户配置”→“管理模板”→“Windows组件”→“Internet Explorer”项，在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子节点。IE是Windows XP自带的网页浏览器，也是大多数用户采用的浏览器，但其安全性也为人所诟病，下面就通过组策略来对其进行“改造”。

　1. 在IE工具栏添加快捷方式

# S4 O3 G, ]4 [) M# [　　不知道大家注意到了没有，不少软件在安装完之后都会在IE工具栏上添加图标，单击其便能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式，这里举例说明如何添加一个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器用户界面”，双击“浏览器工具栏自定义”设置项，在弹出来的对话框中单击“添加”按钮，在“浏览器工具栏按钮信息”对话框的“工具栏标题”中输入：ICQ，在“工具栏操作”中输入D:\Fun\ICQLite\ICQLite.exe，然后再随便选择一个“颜色图标”和“灰度图标”，当然你也可以用ExeScope等来提取ICQ的图标）。单击“确定”后IE工具栏中便多了一个ICQ图标！
1 y  n8 `# k- b' A/ R, T" W5 ^2 m
　2. 让IE插件不再骚扰你
* O' Q+ r; O. ]
+ m/ c! B0 z' X3 }: a9 I　　我们平常上网浏览网页时，总会弹出一些诸如“是否安装Flash插件”、“是否安装3721网络实名”的提示，就像广告窗口一样烦人。实际上我们可在组策略中通过启用“Internet Explorer”节点下的“禁用Internet Explorer组件的自动安装”来禁止这种提示的出现。不过有时这一功能也是很用的，所以在禁止此功能之前请稍加考虑。

; f7 O; l$ q  J4 w$ i* W6 D　3. 保护好你的个人隐私

* l& O) Q) b4 D% p8 H9 l! d　　一般通过单击IE工具栏上的“历史”按钮，便可了解以前浏览过的网页和文件。为保密起见，你可以通过双击启用“Internet Explorer”节点下的“不要保留最近打开文档的记录”和“退出时清除最近打开的文档记录”两个设置项，这样再单击IE工具栏上的“历史”按钮，你访问过的历史网页记录将全部消失。
( T5 Y; B9 H% y4 W6 h% P  ^
　4. 禁止项
% q2 w. j- |/ p# J+ E
　　如果不希望他人对你的主页进行修改，可启用“Internet Explorer”节点下的“禁用更改主页设置”设置项禁止别人更改你的主页。你也可通过访问“浏览器菜单”，启用其中的设置项对IE浏览器的若干菜单项进行屏蔽。最后，在“Internet控制面板”节点下，你还可对“Internet选项”对话框中的部分选项卡进行隐藏。
( p& X# F! _* i4 }/ W　　
% p8 ~4 l- Y, u八、系统安全设置

　　自有计算机以来，安全一直就是人们关注的焦点问题，Windows XP也不例外。在组策略中，系统安全配置一般在“计算机配置”→“Windows设置”→“安全设置”中进行。
% s" X* I% a2 }: x: c3 K
　1. 密码策略

　　这一策略在“账户策略”→“密码策略”节点中配置。口令是系统安全的一大隐患，可通过组策略设置密码（口令）的最小长度：双击启用“密码必须符合复杂性要求”设置项，确定后双击“密码长度最小值”设置项，在弹出来的对话框中将密码长度最小值设为8或更大，这样以后设置账户密码时就必须输入8位以上，安全性就高多了。
" g3 g6 W! S3 ^/ q2 C: j
　2. 用户权利指派
" e. r8 D4 N2 L8 T4 ]1 S! Y9 p
* L; B; }; G, x: G3 ?. J　　展开“本地策略”→“用户权利指派”节点，在右边窗口中便能看到“用户权利指派”节点下的所有设置（图28）。合适地指派用户权利可以解决一些奇怪的问题，例如在局域网中使用Windows XP系统的朋友一般会发现一个奇怪的现象，那就是即使你启用guest用户并给予权限，局域网中的其他Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个问题可在组策略中通过修改有关设置解决：双击“用户权利指派”节点下的“拒绝从网络访问这台计算机”设置项，在弹出对话框中点选“guest”，然后单击“删除”，最后确定即可（图29）。在“用户权利指派”节点下还可给用户添加许多权限，例如给guest添加远程关机权限、给一般用户添加更改系统时间的权限.