组策略我想大家都听过,但是组策略有什么功能,它又是如何应用的呢?本文给出了详细的解答。
过去,我们要配置系统时,都会动不动就拿注册表“开刀”,好像一切都需要修改注册表来实现。其实我们不需要完全依赖修改注册表来实现,使用Windows的组策略就可以方便地修改注册表,远比手工修改注册表方便、灵活,功能也更加强大,除了能修改注册表,还能修改计算机的网络安全设置、软件安装和维护、脚本选项。
一、认识Windows的幕后主管——组策略
按操作系统的不同,组策略分为两种,一种为Windows 2000/XP/2003系统默认安装的“组策略管理控制台”,只要点击“开始→运行”命令,输入“gpedit.msc”并回车即可打开组策略(注意:Home版无组策略);另外一种就是Windows 98的“系统策略编辑器”,默认没有安装,只有在Windows 98安装盘上的\tools\reskit\netadmin\poledit目录下,双击poledit.exe文件才可以直接运行“系统策略编辑器”。
以Windows 2000/XP/2003组策略为例说明一下它的具体构造,可以看到组策略界面左边显示的是组策略的组织结构,右边显示的是针对左边窗格的某一配置的具体策略。右边可以按“扩展”和“标准”切换显示,以“扩展”的方式显示,则单击任一策略选项时,其左边的描述栏会显示有关该策略选项的一些相关说明;以“标准”方式显示,则不显示描述栏。
“本地计算机”策略主要分为“计算机配置”和“用户配置”两大设置项。“计算机配置”是用来设置应用到计算机的策略,作用范围是整个系统、所有用户;“用户配置”仅对当前用户有效。如果两者的设置冲突,则“计算机配置”的设置优先。
二、组策略实例应用
组策略的功能真的非常强大,设置项目众多,选项非常丰富实用。下面让我们来看看几个实用的配置实例(本文以Windows XP的组策略为例),希望能够让大家深入地了解组策略,举一反三,尽情地享受个性化Windows系统的乐趣。
1.个性化“开始”菜单和任务栏
在Windows XP组策略的左边窗格依次单击“用户配置→管理模板→任务栏和「开始」菜单”,此时在右边的窗格中,提供了“任务栏”和“开始菜单”的有关策略,你可以在上面对臃肿的“开始”菜单减肥,删除“收藏夹”、“注销”、“我的文档”等菜单项目;删除任务栏上的时钟、禁止任务栏的“分组”功能等等。
比如你想保护你的个人隐私,不想让人轻易地知道你最近打开过什么文档,可以在右边的窗格中找到“不要保留最近打开文档的记录”策略选项,双击该策略选项,如图3所示,在弹出的“属性”对话框中,选中“已启用”项,即可禁止“我最近的文档”显示最近打开的文档。如果不能启用“不要保留最近打开文档的记录”策略选项,可以启用“退出时清除最近打开的文档的记录”策略。
2.我的控制面板我做主
如果不希望别人使用“控制面板”,启用“禁止访问控制面板”策略。也可以隐藏或者只显示指定的控制面板组件。比如要隐藏“管理工具”:
Step1:双击“隐藏指定的控制面板程序”策略选项,在打开的“属性”对话框中,选中“已启用”。
Step2:接着点击下面的“显示”按钮,打开“显示”列表。
Step3:点击“添加”按钮,在弹出的“添加项目”对话框里输入“管理工具”,点击两次“确定”按钮即可完成设置。
在右边的窗格里,除了控制面板的策略选项外,还有“显示”、“添加或删除程序”、“打印机”、“区域和语言选项”等设置,如果要设置桌面主题、禁止更改墙纸、隐藏屏幕保护等,都可以在这里设置。
3.让Windows账户更安全
为了保护Administrator系统管理员账户的安全,可以点击“计算机配置→Windows设置→安全设置→本地策略→安全选项”,可以在右边的窗格中双击“账户:重命名系统管理员账户”策略选项,把Administrator的账户改名,然后重新启动或注销系统。再新建一个只有user权限的“Administrator”账户。
为了进一步保证密码的安全,避免有人用反复输入密码的方法来破解,可以设置输入密码时重试的次数,这样,如果有人想通过不断地重试来猜测密码就不可能了。单击“计算机配置→Windows设置→安全设置→账户策略→账户锁定策略”,双击“账户锁定阈值”策略选项,在弹出的窗口中设定输入密码时重试的次数(比如5),那么系统就会在连续5次输入错误密码后进行锁定。为了能够让正确的用户在账户被锁后,还有机会打开账户输入正确的密码登录,系统默认30分钟之后就会解除对账户的锁定。如果觉得这个解除锁定的时间过长或过短,可以双击“账户锁定时间”和“复位账户锁定计数器”策略选项来设置。
此外,如果不从网络登录计算机,只从本机上登录,可以点击“Windows 设置→安全设置→本地策略→用户权限指派”,在右边的窗格中双击“拒绝从网络访问这台计算机”,将自己的管理员账户加进去。
如果密码过于简单,防护再好,也容易给人“黑掉”,因此,还要点击“计算机配置→Windows设置→安全设置→账户策略→密码策略”来强制使用复杂的密码、设置密码的最长、最短使用期限。
阿萌小提示:
如果不小心禁用了组策略,导致无法使用组策略,也无法使用组策略来解除禁用,此时,可以通过修改注册表来解决问题。
Step1:在“开始→运行”中输入“Regedit”打开注册表编辑器。选中HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC,将MMC键删除。
Step2:在“开始→运行”中输入“gpedit.msc”打开组策略。
Step3:点击组策略的“用户配置→管理模板→Windows组件→Microsoft Management Console→受限的/许可的管理单元→组策略”,在右边的窗格中双击“组策略对象编辑器”策略选项,在“属性”窗口中选择“未配置”或者“已启用”即可解除对组策略的禁用。
组策略是什么我想大家应该有一个大致的了解了,而更多有关组策略的知识还有待于读者去学习和巩固。
【编辑推荐】
