组策略完全解析

1、组策略命令大全生活 2010-10-28 13:33:36 阅读 1262 评论 1 字号：大中小组策略命令大全如何打开组策略编辑器？答：运行里输入 gpedit.msc系统里提示没有打开组策略这条命令？ 答：1：看是不是注册表中锁住了组策略 “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer” ,把 “RestrictRun ” 的键值改为 0 即可。2：开始运行 MMC 文件添加删除管理单元添加组策略 添加，后面的你应该会了。看你要开哪个策略，就添加哪个策略。一、桌面项目设置1、隐藏不必要的桌面图

2、标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目禁止访问“控制面板”2、隐藏或禁止“添加 /删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭 Windows 自动更新5、删除任务管理器四、隐藏或删除 WindowsXP 资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制 IE 浏览器的保存功能2、给工具栏减肥3、在 IE 工具栏添加快捷方式4、让 IE 插件不再骚扰你5、保护好你的个人

3、隐私6、禁止修改 IE 浏览器的主页7、禁用导入和导出收藏夹六、系统安全 /共享 /权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows98 访问 WindowsXP 共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”7“管理模板”7“桌面”节点， 便能看到有关桌面的所有设置。 此节点主要作用在于管理用户使用桌面的权利和隐藏桌面 图标。1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、 “回 收站”、“网上邻居” 等默认图标， 就需要依靠“组策略”

4、了。例如要删除 “我的文档” ， 只需在“删除桌面上的我的文档图标”一项中设置即可。若要隐藏桌面上的“网上 邻居”和“ InternetExplorer ”图标，只要在右侧窗格中将“隐藏桌面上网上邻居图 标”和“隐藏桌面上的 InternetExplorer 图标”两个策略选项启用即可；如果隐藏桌面 上的所有图 标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上 的我的文档图标”和“删除桌面上的 我的电脑 图标” 两个选项以后， “我的电脑” 和“我 的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站” 这个图标，那么也可以把它给删除，具体方法是将“从桌面

5、删除回收站”策略项启用。2、禁止对桌面的改动利用组策略可达到禁止别人改动桌面某些设置的目的。 “禁止用户更改 我的文 档路径”项可防止用户更改“我的文档”文件夹的路径。 “禁止添加、拖、放和关闭任 务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。 双击启用“退出时不保存设置” 后，用户将不能保存对桌面的更改。最后，双击启用“隐藏和禁用桌面上的所有项目” 设置项，将从桌面上删除图标、 快捷方式以及其他默认的和用户定义的所有项目， 连桌面 右键菜单都将被禁止。3、启用或禁止活动桌面利用“ ActiveDesktop ”项，可根据自己的需要设置活动桌面的各种属性。 “启 用活动桌面”项可启用活动

6、桌面并防止用户禁用它。 “活动桌面墙纸” 项可指定在所有用 户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。4、给“开始”菜单减肥WindowsXP 的“开始”菜单的菜单项很多，可通过组策略将不需要的删除掉。 提供了删除“开始”菜单中的公用程序组、 “我的文档” 图标、“文档”菜单、“网络连接” 、 藏夹”菜单、 “搜索”菜单、 “帮助”命令、 “运行”菜单、 “图片收藏”图标、 “我的音乐”图标和“网上邻居” 图标等策略。 只要将不需要的菜单项所对应的策略启 用即可。以删除开始菜单中的 “我的文档” 图标为例看看其具体操作方法： 在右边窗口中 双击“从开始菜单上

7、删除我的文档图标”项，在弹出对话框的“设置”标签中点 选“已启用”，然后单击“确定”，这样在“开始”菜单中“我的文档”图标将会隐藏。5、保护好“任务栏”和“开始”菜单的设置倘若不想随意让他人更改“任务栏”和“开始”菜单的设置，只要将右侧窗格中 的“阻止更改任务栏和开始菜单设置”和“阻止访问任务栏的上下文菜单”两个 策略项启用即可。这样，当用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错 误消息，提示信息是某个设置禁止了这个操作。二、隐藏或禁止控制面板项目 这里讲到的控制面板项目设置是指配置控制面板程序的各项设置， 主要用于隐藏 或禁止控制面板项目。在组策略左边窗口依次展开“用户配置”7“

8、管理模板” 7“控制面板”项，便可看到“控制面板”节点下面的所有设置和子节点。禁止访问“控制面板”如果您不希望其他用户访问计算机的“控制面板”，您只要运行组策略编辑器(gpedit.msc )，在左侧窗格中逐极展开“ 本地计算机策略”“用户配 置”一“管理模板”一“控制面板”分支，然后将右侧窗格的“禁止访问控制面板”策略启用即可。此 项设置可以防止“控制面板”程序文件( Control.exe )的启动。其结果是，他 人将无法启动“控制 面板”(或运行任何“控制面板”项目)。另外，这个设置将从“开始”菜单中 删除“控制面板” 。同时这个设置还从 Windows 资源管理器中删除 “控制面板”

9、文件夹。3、隐藏或禁止“添加 /删除程序”项 展开“添加 /删除程序”项：双击启用“删除添加 /删除程序程序”设置项后， 控制面板中的“添加 /删除程序”项将被删除。此外在“添加或删除程序”对话 框中共有 3 个页面：“更改或删除程序”、“添加新程序”以及“添加 /删除 Windows 组件”； 而当你进入“添加新程序”页面时，会发现有 3 个选项：“从 CD-ROM 或软盘 添加程序”、“从 Microsoft 添加程序”以及“从网络中添加程序”，如果你想这些具体页面或选项隐藏， 可直接在组策略“添加 /删除程序”项中将相应隐藏功能启用。3、隐藏或禁止“显示”项 展开“显示”项，发现这一项和

10、上一项一样，可隐藏“显示属性”对话框中的选 项卡。这里就不细讲了，例如双击启用“隐藏桌面选项卡”后， “显示窗口”中将不 再出现“桌面”项。此外，在这里用户还可启用“删除控制面板中的显示”，这样在控制面板 中双击打开 “显示”项时，就会弹出一个对话框提示你： 系统管理员禁止使用 “显 示”控制面板。4、其他自定义控制面板程序 :“隐藏指定的控制面板程序”或“只显示指定的控制面板 程序” ,根据提示提示操作 ,隐藏或显示控制面板项目 .依次展开“显示”7“桌面主题”项，双击启用“删除主题选项”、“阻止选择 窗口和按钮式样” 、“禁止选择字体大小” 项后，可阻止他人更改主题、 窗口和按钮式样、 字

11、体。展开“打印机”项，双击启用“阻止添加打印机”或“阻止删除打印机”可防止 别的用户添加或删除打印机。 最后，直接在“控制面板” 一项下启用“禁止访问控制面板” ， 控制面板将无法启动。三、系统项目设置这一项在“用户配置”7“管理模板”7“系统”中设置（图15）。组策略中对系统的设置涉及到登录、 电源管理、 组策略、 脚本等很多项目， 下面把和我们联系紧密的 部分清理出来分类列举如下：1、登录时不显示欢迎屏幕界面 Windows2000 和 WindowsXP 系统登录时默认情况下都有欢迎屏幕，虽然漂 亮但也麻烦且延 长登录时间，通过组策略便可将其除去。双击启用“系统”节点下的“登录时不 显示

12、欢迎 屏幕”，则每次用户登录时欢迎屏幕将隐藏。2、禁用注册表编辑器 为防止他人修改注册表， 可在组策略中禁止访问注册表编辑器。 双击启用“系统” 节点下的“阻止访问注册表编辑器” 项后，用户试图启动注册表编辑器时， 系统将提示： 注册编辑已被管理员停用（图 16）。另外，如果你的注册表编辑器被锁死，也可双击 此设置，在 弹出对话框的“设置”标签中点选“未被配置”项，这样你的注册表便解锁了。 如果要防止用户使用其他注册表编辑工具打开注册表，请双击启用“只运行许可的 Windows 应用程序”。3、关闭系统自动播放功能 一旦你将光盘插入光驱中， WindowsXP 就会开始读取光驱， 并启动相关的

13、应用 程序。这样虽然给我们的工作带来了便利， 在某些时候也带来了不少麻烦。 在“系统” 节点 下有一项 为“关闭自动播放”设置项，双击其并在弹出对话框的“设置”标签中点选“已启用”，在“关闭自动播放”框中选择“ CD-ROM 启动器”或“所有驱动器”项即可。 注意：此设置不阻止自动播放音乐 CD 。4、关闭 Windows 自动更新每当用户连接到 Internet ，WindowsXP 就会搜索用户计算机上的可用更新， 根 据配置的具体情况， 在下载的组件准备好安装时或在下载之前， 给用户以提示。 如果你不喜 欢比尔老大这种自作主张的态度， 可通过组策略关闭这一功能。 只须双击“系统” 节点下

14、 的“ Windows 自动更新”设置项，在弹出来的对话框中点选“已禁用”并确定 即可。5、删除任务管理器若 WindowsXP 用户已取消“使用欢迎屏幕”项，若同时按下“ Ctrl+Alt+Del ” 键，便会弹出一个“ Windows 安全”对话框，此对话框中有“锁定计算机”、“注销”、 “关机”、“更改密码”、“任务管理器”、“取消” 6 个功能按钮。大家都知道这里的每个 按钮对系统 都起着关键的作用。为了阻止别人操作，可通过组策略屏蔽这些按钮。 找到“系统”下的“ Ctrl+Alt+Del 选项”，双击启用“删除任务管理器”、“删 除锁定计算机”、 “删除改变密码”、 “删除注销”项便

15、能屏蔽掉“ Windows 安全” 对话框的4 个功能按钮。任务管理器”、“锁定计算机”、“更改密码”、“取消” 注意：“注销”、“关机”两个菜单项的屏蔽，在“用户配置”7“4 个功能按钮。T“任务栏和开始菜单”节点下。四、隐藏或删除 WindowsXP 资源管理器中的项目一直以来，资源管理器就是 Windows 系统中最重要的工具， 如何高效、安全地 管理资源也一直是电脑用户的不懈追求。 依次展开 “用户配置” 7“管理模板” 7 “Windows 组件”7“Windows 资源管理器”项，可以看到“ Windows 资源管理器”节点下的所有 设置。下面就来看看怎样通过组策略实现资源管理器个

16、性化1、删除“文件夹选项”“文件夹选项” 是资源管理器中一个重要的菜单项， 通过它可修改文件的查看方 式，编辑文件类型的打开方式。 我们自己对其设定好后， 为了防止他人随意更改， 可将此 菜单项删除，你只须双击启用“从工具菜单删除文件夹选项菜单”便能完成这一 设置。2、隐藏“管理”菜单项在资源管理器中右键单击 “我的电脑” 出现的快捷菜单中有一个 “管理”菜单项， 通过此 菜单项，可以打开一个包含 “事件查看器” 、“本地用户和组” 、“设备管理器”“磁盘管理” 等众多工具的 “计算机管理” 窗口。为了保障你的计算机免受他人无意 破坏，可通过双击启用“隐藏 Windows 资源管理器上下文菜单

17、上的管理项目”项来 屏蔽此菜单项。3、其他项目的隐藏此外通过启用 “隐藏 我的电脑 中的这些指定的驱动器” 可隐藏你指定的驱动 器。还可通过启用“网上邻居中不含整个网络”屏蔽掉“整个网络”项。双击启 用“删除CD 烧录功能” 删除 WindowsXP 自带的光盘刻录功能。 双击启用 “不要将已删 除的文件移到回收站 ”则以后删除文件时将不进入回收站直接删除掉。 当然还有不少项目 这里没有讲到，大家可根据需要自行探讨，进行适当的配置。五、IE浏览器项目设置在组策略左边窗口中依次展开“用户配置” f “管理模板” f “Windows组件”“1 nternetExplorer ”项，在右边窗口中便

18、能看到“ In ternetExplorer ”节点 下的所有设置和子节点。 IE 是 WindowsXP 自带的网页浏览器，也是大多数用户采用的浏览器， 但其安全性也为人所诟病，下面就通过组策略来对其进行“改造”。1、限制 IE 浏览器的保存功能 当多人共用一台计算机时， 为了保持硬盘的整洁， 需要对浏览器的保存功能进行 限制使用，那么如何才能实现呢？具体方法为：选择“用户设置”7“管理模板”T“ Windows 组件”7“ InternetExplorer ”7“浏览器菜单”分支，然后将右侧窗格中的“文 件菜单:禁用另存为菜单项”、“文件菜单：禁用另存为网页菜单项”、“查 看 菜单：禁用源

19、文件菜单项”和“禁用上下文菜单”等策略项目启用即可。 另外，倘若您不希望别人对 IE 浏览器的设置进行随意更改，您只要将“工具 菜单：禁用Internet选项”策略启用即可。另外，根据您个人的需要，在该窗格中还可以对其他项目进行禁用。2、给工具栏减肥倘若您要隐藏工具栏中的工具按扭，具体方法是：选择“用户设置”7“管理模 板”7“Windows 组件”7“ InternetExplorer ”7“工具栏”分支，然后在右侧窗格 中双击“配置工具栏按扭”策略，弹出“配置工具栏按扭属性”窗口，在“设置”选项卡中 选择“已启用” 单选按扭， 将列表中将要显示按扭名称前面的复选框打上勾选标记， 若要隐藏某

20、些 按扭，则不要将其前面的复选框进行勾选。然后单击“确定”按扭即可3、在 IE 工具栏添加快捷方式 不知道大家注意到了没有， 不少软件在安装完之后都会在 IE 工具栏上添加图标， 单击其便能启用相应程序。其实用组策略可以在 IE 工具栏上为任何程序添加快捷方式， 这里举例说明如何添加一个 ICQ 的启动图标。展开“ InternetExplorer 维护”下的“浏览 器用户界面”，双击“浏览器工具栏自定义”设置项，在弹出来的对话框中单击“添加”按 钮，在“浏览器工具栏按钮信息”对话框的“工具栏标题”中输入：ICQ ，在“工具栏操作”中输入D:FunICQLiteICQLite.exe ，然后再

21、随便选择一个 “颜色图标” 和“灰度图标” ， 当然你也可以用 ExeScope 等来提取 ICQ 的图标）。单击“确定”后 IE 工具栏中便 多了一个 ICQ 图标！4、让 IE 插件不再骚扰你 我们平常上网浏览网页时，总会弹出一些诸如“是否安装 Flash 插件”、“是 否安装 3721 网 络实名”的提示，就像广告窗口一样烦人。实际上我们可在组策略中通过启用 “ InternetExplorer ”节点下的 “禁用 InternetExplorer 组件的自动安装” 来禁止这种提示的出现 。不过有时这一功能也是很用的，所以在禁止此功能之前请稍加考虑。5、保护好你的个人隐私一般通过单击 I

22、E 工具栏上的 “历史” 按钮， 便可了解以前浏览过的网页和文件。 为保密起见，你可以通过双击启用“ InternetExplorer ”节点下的“不要保留最近打开文 档的记录”和“退出时清除最近打开的文档记录”两个设置项，这样再单击 IE 工具栏上 的“历史”按钮，你访问过的历史网页记录将全部消失。6、禁止修改 IE 浏览器的主页 如果不希望他人对你的主页进行修改， 可启用“ InternetExplorer ”节点下的“禁 用更改 主页设置”设置项禁止别人更改你的主页。你也可通过访问“浏览器菜单”，启 用其中的设置项对 IE 浏览器的若干菜单项进行屏蔽。最后，在“ Internet 控制面

23、板”节 点下，你还可对“ Internet 选项”对话框中的部分选项卡进行隐藏。 倘若启用了这个策略，在 IE 浏览器的“ Internet 选项”对话框中，其“常规” 选项卡的“主页”区域的设置将变灰。特别提示：如果设置了位于“用户配置”“管理模板”宀“Windows组件”“1 nternetExplorer ”“|nternet控制面板”中的“禁用常规页”策略，则 无需设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。7、禁用导入和导出收藏夹 禁止用户使用“导入 /导出向导”菜单项导入或导出收藏夹链接。 用户配置 管理模板 Windows 组件 InternetExplore

24、r 。 如果启用该策略，“导入 /导出向导”菜单项将无法导入/导出收藏夹链接和Cookie 。如果禁用该功能或不对其进行配置， 则用户可以通过单击 “文件” 菜单上的“导入和 导出”菜单项，然后运行“导入 /导出向导”，导入 /导出 IE 中的收藏夹。 注意：如果启用该策略，用户仍然可以查看“导入/导出向导”，但当用户单击“完成”按钮时，将出现说明该功能已被禁用的提示信息。六、系统安全 /共享 /权限设置 自有计算机以来，安全一直就是人们关注的焦点问题， WindowsXP 也不例外。 在组策略中，系统安全配置一般在“计算机配置” “ Windows设置”宀“安全设置”中 进行。1、密码策略这

25、一策略在“账户策略”宀“密码策略”节点中配置。口令是系统安全的一大隐 患，可通过组策略设置密码（口令）的最小长度：双击启用“密码必须符合复杂性要求” 设置项，确定后双击 “密码长度最小值” 设置项， 在弹出来的对话框中将密码长度最小值 设为 8 或更大，这样以后设置账户密码时就必须输入8 位以上，安全性就高多了。2、用户权利指派展开“本地策略”7“用户权利指派”节点，在右边窗口中便能看到“用户权利 指派”节点下的所有设置。 合适地指派用户权利可以解决一些奇怪的问题， 例如在局域网 中使用 WindowsXP 系统的朋友一般会发现一个奇怪的现象，那就是即使你启用 guest 用户并给予权限，局域

26、网中的其他 Win9X 操作系统的用户还是无法访问 WindowsXP 系统中的 共享资源。这个问题可在组策略中通过修改有关设置解决： 双击“用户权利指派” 节点下的“拒 绝从网络访问这台计算机”设置项，在弹出对话框中点选“ guest ”，然后单击“删除”， 最后确定 即可。在“用户权利指派”节点下还可给用户添加许多权限，例如给 guest 添 加远程关机权限、给一般用户添加更改系统时间的权限。3、文件和文件夹设置审核WindowsXPProfessional 可以使用审核跟踪用于访问文件或其他对象的用户 账户、登录尝 试、系统关闭或重新启动以及类似的事件。审核文件、文件夹（只适用于 NTF

27、S 文件系统）可以保证文件和文件夹的安全。 在审核发生之前， 您必须使用 “组策略” 指定要 审核的事 件类型。为文件和文件夹设置审核的步骤如下。单击选择“开始” 运行”命令，在弹出的“运行”对话框中键入“gpedit.msc ; 命令，然后单击 “确定” 按扭即可； 当然你也可以在桌面上创建一个相应的快捷方 式。在弹出的“组策略”窗口中，逐级展开右侧窗格中的“计算机配置”宀“Windows 设置”-“安全设置”宀“本地策略”分支，然后在该分支下选择“审核策略”选项。在右侧窗格中用鼠标双击“审核对象访问”选项，在弹出的“本地安全策略设 置”窗口 中，将“本地策略设置”框内的“成功”和“失败”复

28、选框都打上勾选标记。如 图 12 所示。然后单击“确定”按扭用鼠标右键单击想要审核的文件 （或文件夹）。选择快捷菜单的“属性”命令, 然后在弹出的窗口中选择“安全”选项卡。单击“高级”按扭，然后选择“审核”选项卡。根据具体情况选择您的操作：（1）倘若对一个新组（或用户）设置审核 ,请单击“添加”按扭，在“名称”框中 键入新用户名，然后单击“确定”按扭，将打开“审核项目”对话框。（2）要查看（或更改）原有的组（或用户）审核 ,选择用户名，然后单击“查 看/编辑”按扭。要删除原有的组(或用户)审核 ,选择用户名，然后单击“删除”按扭即 可。如有必要的话，在“审核项目”对话框中的“应用到”列表中选取

29、您希望审核 的地方(“应用到”列表仅对文件夹有效)。如果您想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对象和 /或容器应用这些审核项”复选框。 如果在“审核项目”对话框中的“访问”之下的复选框变暗，或在“访问控制设 置”对话框中“删除”按钮不可用，那么说明已经继承了来自父文件夹的审核。 需要注意的是： 必须是管理员组成员或在组策略中被授权有 “管理审核和安全日 志”权限的用户可以审核文件或文件夹。在 WindowsXP 审核文件、文件夹之前，您必 须启用“组策略”中“审核策略”的“审核对象访问”。否则，当您设置完文件、文件夹审核 时会返回一个错误消息，并且文件、文件夹都

30、没有被审核。通过事件查看器(EventViewer ) 可以检查那些访问审核过的文件和文件夹的成功或失败的尝试。4、Windows98 访问 WindowsXP 共享目录被拒绝的问题解决 在局域网内，经常可以遇到装有 Windows2000 的电脑开了共享目录，而装有Windows98 的 电脑却无法访问的问题。这个在微软的官方网页上可以找到答案，提示开启Windows2000的 GUEST 用户就行了。可是 WindowsXP 出来以后，同样的又面临这个问题， 结果有些人发现这个方法不灵了，从网上邻居访问 WindowsXP 的共享目录不一定能被允许。 原因何在？这 个问题本也困扰过我好几天，后来在无意中发现了问题的答案，也许这是 WindowsXP 的一个 BUG ？在开启了系统 Guest