组策略编辑器的使用
使用组策略
在 Microsoft Windows XP 中,可以使用组策略为用户和计算机组定义用户和计算机配置。通过使用组策略 Microsoft Management Console (MMC) 管理单元,您可以为特定的用户和计算机组创建特定的桌面配置。您创建的组策略设置包含在组策略对象中,后者进而与选定的 Active Directory 容器(如站点、域或组织单位 (OU))关联。使用组策略管理单元,您可以为以下各项指定策略设置:•基于注册表的策略。
包括针对 Windows XP 操作系统及其组件以及针对所有程序的组策略。为管理这些设置,请使用组策略管理单元的“管理模板”节点。
•安全选项。
包括本地计算机、域和网络安全设置的选项。
•软件安装和维护选项。
用来集中管理程序的安装、更新和删除。
•脚本选项。
包括用于计算机启动和关闭以及用户登录和注销的脚本。
•文件夹重定向选项。
这些选项允许管理员将用户的特殊文件夹重定向到网络上。
使用组策略,您可以一次性地定义用户工作环境的状态,以后就可以靠系统来实施您定义的策略。
备注: 为了使用组策略编辑器,您必须使用一个有管理员权限的帐户登录到计算机。 1. 单击开始,然后单击运行。
2. 在打开框中,键入 mmc,然后单击确定。
3. 在文件菜单上,单击添加/删除管理单元。
4. 单击添加。
5. 在 Available Stand-alone Snap-ins(可用的独立管理单元)菜单上,单击组策略,然后单击添加。
6. 如果您不希望编辑“本地计算机”策略,请单击浏览以找到您希望的组策略。如果提示您输入用户名和密码,请输入,然后在返回“选择组策略对象”对话框后单击完成。
备注:您可以使用浏览按钮来找到链接到站点、域、组织单位 (OU) 或计算机的组策略对象。使用默认的组策略对象 (GPO)(本地计算机)编辑本地计算机的设置。
7. 单击关闭,然后在添加/删除管理单元对话框中,单击确定。
选定的 GPO 即显示在控制台根节点下。
回到顶端
如何使用组策略编辑器
组策略管理单元包含以下主要分支:•计算机配置
管理员可以使用“计算机配置”来设置应用到计算机的策略,而不管谁登录到了计算机。“计算机配置”通常包含软件设置、Windows 设置以及管理模板的子项。
•用户配置
管理员可以使用“用户配置”来设置应用到用户的策略,而不管他们登录到哪台计算机。“用
户配置”通常包含软件设置、Windows 设置以及管理模板的子项。
若要使用组策略编辑器,请按照下列步骤操作: 1. 展开所需的 GPO。例如,本地计算机策略。
2. 展开所需的配置项。例如,计算机配置。
3. 展开所需的子项。例如,Windows 设置。
4. 导航到包含您希望的策略设置的文件夹。策略项显示在“组策略编辑器”管理单元的右窗格中。
备注:如果选定的项未定义策略,请右键单击您希望的文件夹,在出现的快捷菜单中,指向所有任务,然后单击所需的命令。在所有任务子菜单中出现的命令是上下文相关的。只有那些适用于所选策略文件夹的命令才出现在菜单中。
5. 在设置列表中,双击您希望的策略项。
备注:当您在管理模板文件夹中处理策略项时,如果您希望查看有关选定策略项的更多信息,请在 MMC 的右窗格中单击扩展选项卡。
6. 编辑出现的对话框中的设置,然后单击确定。
7. 完成之后,退出 MMC。
回到顶端
示例
下面的示例演示了如何使用“组策略编辑器”自定义 Windows XP 用户界面。在此示例中,我们将使用“组策略编辑器”来暂时从开始菜单中删除关闭计算机按钮。为此,请按照下列步骤操作: 1. 通过使用本文如何启动组策略编辑器一节中提供的步骤启动“组策略编辑器”并打开“本地计算机”策略。
备注:可以从命令行启动“组策略编辑器”管理单元。这将自动加载本地计算机 GPO。为此,请按照下列步骤操作: a. 单击开始,然后单击运行。
b. 在打开框中,键入 Gpedit.msc,然后单击确定。
2. 展开用户配置(如果它尚未展开)。
3. 在用户配置下,展开管理模板。
4. 单击“开始菜单和任务栏”。
5. 在右窗格中,双击“删除和禁用“关闭计算机”按钮”。
6. 单击启用,然后单击应用。
7. 单击开始。
您会注意到关闭计算机按钮已不再显示。
8. 选择“删除和禁用“关闭计算机”按钮”对话框。
9. 单击未配置,然后单击应用,然后单击确定。
10. 单击开始。
您会注意到关闭计算机按钮又显示在开始中。
11. 退出“组策略编辑器”管理单元。
Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。
一、给我们的IP添加安全策略
在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。
小提示 :由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
二、隐藏驱动器
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows资源管理器”。
三、禁用指定的文件类型
在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:
1. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。
2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
3. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。
4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的属性”窗口,按“设为默认值”即可。
如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。
提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
四、未经许可,不得在本机登录
使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现。
如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。
五、给“休眠”和“待机”加个密码
只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”(图5),那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。
六、自动给操作做个记录
在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。
我们应该养成经常在“控制面板→管理工具→事件查看器”里查看事件的好习惯。比如,当你修改过“组策略”后,系统就发生了问题,此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核,只要双击相应的项目,选中“成功”和“失败”两个选项即可。
注意:Windows XP Home Edition没有“组策略”,只有Windows XP Professional版本才有“组策略”,这一点注意。
七、限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”
→“浏览器菜单”分支。双击右侧窗格中的“…文件‟菜单:禁用…另存为…‟菜单项”,在打开的设置窗口中选中“已启用”单选按钮(如图7)。
提示:我们还可以对“…文件‟菜单:禁用另存为网页菜单项”、“…查看‟菜单:禁用…源文件‟菜单项”和“禁用上下文菜单”等策略项目进行修改,这样我们的IE将会安全一些。
八、禁止修改IE浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可。
(1)在图8,还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略,在IE浏览器的“Internet选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支,我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。
九、把Administrator藏起来
Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”,输入gpedit.msc,打开“组策略”,如图9所示,选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。
提示:为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击“交互式登录:不显示上次的用户名”子项,选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。
十.禁用IE组件自动安装
选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮(如图10),将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!
小提示
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。
注册表是Windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
恶意网站往往通过修改注册表来破坏我们的系统,甚至禁用注册表,也就是通过修改注册表来给注册表自身加锁,当注册表被锁定以后,我们也可以在系统中解除锁定。
一、单击“开始”-“运行”,输入“gpedit.msc”,打开组策略编辑器。
二、在“组策略编辑器”对话框中,选择“…本地计算机‟策略”-“用户配置”-“管理模块”-“系统”。
三、在“系统”右边对应的选项列表中,选择“阻止访问注册表编辑工具”。
四、右键单击“阻止访问注册表编辑工具”,选择“属性”。
五、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已启用”,单击“确定”按钮。锁定注册表编辑器。
六、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已禁用”,单击“确定”按钮。解除锁定注册表编辑器。
默认安装WINDOWS系统的情况下,所有的硬盘都是隐藏共享,据说是为了管理方便,把系统安装分区自动进行共享,这样可以在网络中访问你的资源,不过这些默认共享的目录是只有系统管理员才能够在网络中查看的,因为在在共享名后边加上了美元号($),除非别人知道这个共享,否则他是找不着的。虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
组策略编辑器的使用 使用组策略 在 Microsoft Windows XP 中,可以使用组策略为用户和计算机组定义用户和计算机配置。通过使用组策略 Microsoft Management Console (MMC) 管理单元,您可以为特定的用户和计算机组创建特定的桌面配置。您创建的组策略设置包含在组策略对象中,后者进而与选定的 Active Directory 容器(如站点、域或组织单位 (OU))关联。使用组策略管理单元,您可以为以下各项指定策略设置:•基于注册表的策略。 包括针对 Windows XP 操作系统及其组件以及针对所有程序的组策略。为管理这些设置,请使用组策略管理单元的“管理模板”节点。 •安全选项。 包括本地计算机、域和网络安全设置的选项。 •软件安装和维护选项。 用来集中管理程序的安装、更新和删除。 •脚本选项。 包括用于计算机启动和关闭以及用户登录和注销的脚本。 •文件夹重定向选项。 这些选项允许管理员将用户的特殊文件夹重定向到网络上。 使用组策略,您可以一次性地定义用户工作环境的状态,以后就可以靠系统来实施您定义的策略。 备注: 为了使用组策略编辑器,您必须使用一个有管理员权限的帐户登录到计算机。 1. 单击开始,然后单击运行。 2. 在打开框中,键入 mmc,然后单击确定。 3. 在文件菜单上,单击添加/删除管理单元。 4. 单击添加。 5. 在 Available Stand-alone Snap-ins(可用的独立管理单元)菜单上,单击组策略,然后单击添加。 6. 如果您不希望编辑“本地计算机”策略,请单击浏览以找到您希望的组策略。如果提示您输入用户名和密码,请输入,然后在返回“选择组策略对象”对话框后单击完成。 备注:您可以使用浏览按钮来找到链接到站点、域、组织单位 (OU) 或计算机的组策略对象。使用默认的组策略对象 (GPO)(本地计算机)编辑本地计算机的设置。 7. 单击关闭,然后在添加/删除管理单元对话框中,单击确定。 选定的 GPO 即显示在控制台根节点下。 回到顶端 如何使用组策略编辑器 组策略管理单元包含以下主要分支:•计算机配置 管理员可以使用“计算机配置”来设置应用到计算机的策略,而不管谁登录到了计算机。“计算机配置”通常包含软件设置、Windows 设置以及管理模板的子项。 •用户配置 管理员可以使用“用户配置”来设置应用到用户的策略,而不管他们登录到哪台计算机。“用
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。考虑到安全方面的原因,Windows 7已经开发了许多新的和增强的组策略功能和服务,帮助您更好地保护计算机上驻留的数据、功能和服务。这些功能的配置取决于您的具体要求和使用环境,本文将主要介绍Windows 7组策略的安全使用技巧,介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。 1. 禁止运行指定程序 系统启动时一些程序会在后台启动,这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止,操作起来非常不便,通过组策略则非常方便,这对减少系统资源占用非常有效。通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。具体步骤如下: (1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。 (2)在左边的窗格依次单击“用户配置→管理模板→系统”,然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。 图1 双击“不要运行指定的Windows应用程序” (3)选中“已启用”,单击“显示”按钮(如图2所示),添加要阻止的程序如“Wgatray.exe”即可。 图2 添加要阻止的程序 当用户试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中,仍然是不能运行的。要恢复指定的受限程序的运行能力,可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”,或者将指定的应用程序从不允许运行列表中删除(这要求删除后列表不会成为空白的)。 这种方式只阻止用户运行从Windows资源管理器中启动的程序,对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行,其用户对象的作用范围是所有的用户,不仅仅是受限用户,Administrators组中的账户甚至是内建的administrator帐户都将受到限制,因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时,需要先通过组策略编辑器将该应用程序从不运行运行列表中删除,在程序运行完成后,再将该程序添加到不允许运行
windows组策略 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自Windows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。 2. 通过控制台访问组策略 单击“开始”→“运行”,输入“mmc”,回车后进入控制台窗口。单击控制台窗口的“文件”→“添加/删除管理单元”,在弹出窗口单击“添加”,之后选择“组策略”并单击“添加”,在下一步的“选择组策略对象”对话框中选择对象。由于我们组策略对象就是“本地计算机”,因此不用更改,如果是网络上的另一台计算机,那么单击“浏览”选择此计算机即可。另外,如果你希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请选中“当从命令行开始时,允许更改‘组策略管理单元’的焦点”复选框。最后添加进来的组策略。
域控器的组策略应用设置大全 组策略应用设置大全 一、桌面项目设置 1、暗藏不必要的桌面图标 2、严禁对桌面的改动 3、投入使用或严禁活动桌面 4、给“已经开始”菜单瘦身 5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1.禁止访 问“控制面板” 2、暗藏或严禁“嵌入/删除程序”项 3、暗藏或严禁“表明”项 三、系统项目设置 1、登入时不表明热烈欢迎屏幕界面 2、停止使用注册表编辑器 3、关闭系统自动播放 功能4、停用windows自动更新5、删掉任务管理器 四、隐藏或删除windowsxp资源管理器中的项目1、删除“文件夹选项”2、隐藏“管理”菜单项五、ie浏览器项目设置 1、管制ie浏览器的留存功能 2、给工具栏瘦身 3、在ie工具栏添加快捷方式 4、让ie插件不再骚扰你 5、保护好你的个人隐私 6、严禁修正ie浏览器的主页 7、停止使用引入和求出收藏夹六、系统安全/共享资源/权限设置1、密码策略 2、用户权利指派 3、文件和文件夹设置审查 4、windows98访问windowsxp共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能 看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1、暗藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”, 只需在“删除桌面上的?我的文档?图标”一项中设置即可。若要隐藏桌面上的“网上邻居”
禁用Windows系统更新的简便方法与技巧在使用Windows操作系统的过程中,系统更新是非常重要的一环。通过更新系统,可以修复各种漏洞,提升系统的稳定性和安全性。但是,有时候我们也可能想要禁用系统更新,可能是因为想要停留在当前版本上,或者是避免更新发生过程中造成的不便。本文将为您介绍禁用Windows系统更新的简便方法与技巧。 1. 使用组策略编辑器禁用Windows更新 组策略编辑器是Windows系统中一个管理系统设置和配置的工具。通过组策略编辑器,我们可以对Windows更新进行详细的设置。以下是具体的步骤: 步骤一:按下 Win + R 键,打开运行对话框,输入"gpedit.msc"并点击确定。 步骤二:在组策略编辑器中,依次展开以下路径: 计算机配置 -> 管理模板 -> Windows组件 -> Windows更新 步骤三:在右侧窗口中,找到“配置自动更新”选项,双击打开。 步骤四:选择"已禁用",点击确定保存设置。 通过以上步骤,您已经成功禁用了Windows系统的自动更新。 2. 使用服务管理器禁用Windows更新服务
除了使用组策略编辑器,我们也可以通过服务管理器来禁用Windows更新服务。以下是具体的步骤: 步骤一:按下 Win + X 键,选择“运行”,或者使用快捷键 Win + R 来打开运行对话框。 步骤二:在运行对话框中,输入“services.msc”并点击确定。 步骤三:在服务管理器中,找到“Windows更新”服务。 步骤四:双击“Windows更新”服务,进入其属性窗口。 步骤五:在属性窗口中,将“启动类型”设置为“禁用”,点击确定保存设置。 通过以上步骤,您已经成功禁用了Windows系统的更新服务。 需要注意的是,禁用系统更新可能会导致系统漏洞无法及时修复,从而可能影响系统的安全性。因此,在禁用系统更新之前,请确保您有其他的安全措施来保护您的计算机和个人信息。 另外,如果您在未来想要重新启用系统更新,可以按照以上的步骤再次进入组策略编辑器或者服务管理器,重新启用相关设置即可。 总结: 通过使用组策略编辑器或者服务管理器,我们可以轻松地禁用Windows系统更新。然而,禁用系统更新可能会带来一定的风险,我们应该谨慎操作,并确保有其他的安全措施。希望以上的方法和技巧
win11gpedit.msc的解决方法-回复 [win11gpedit.msc的解决方法] Win11中的组策略编辑器(gpedit.msc)是一种系统工具,它可以用来管理计算机的组策略。然而,有时候用户可能会遇到找不到gpedit.msc 或无法访问它的问题。在本文中,我们将一步一步地回答如何解决这些问题。 第一步:确认您的Windows版本 首先要确定您正在运行的Windows版本是否支持组策略编辑器。在过去的Windows版本中(如Windows 7、Windows 8.1等),组策略编辑器只能在专业或企业版本中使用。然而,从Windows 10开始,微软将组策略编辑器引入到了家庭版本中。因此,如果您正在使用的是Windows 11家庭版本,您将无法直接访问gpedit.msc。 第二步:使用“运行”对话框访问gpedit.msc 如果您确认您的系统版本支持组策略编辑器,您可以通过以下步骤使用“运行”对话框访问它: 1. 按下Win + R键来打开“运行”对话框。 2. 在对话框中输入“gpedit.msc”(不带引号),然后按下Enter键。
如果这个方法没有成功运行gpedit.msc,您可以尝试下面的解决方法。 第三步:使用系统文件替换修复gpedit.msc 有时,gpedit.msc文件可能会破损或缺失,导致无法访问它。为了解决这个问题,您可以尝试使用系统文件替换工具修复它。请按照以下步骤进行操作: 1. 按下Win + X键,然后从菜单中选择“Windows PowerShell(管理员)”或“命令提示符(管理员)”。 2. 在弹出的提示框中,输入“sfc /scannow”(不带引号),然后按下Enter 键。 系统将开始扫描并修复任何文件系统错误。请耐心等待扫描完成。 第四步:使用其他工具来替代gpedit.msc 如果以上解决方法仍然无法解决问题,您可以考虑使用第三方工具来替代gpedit.msc。有些工具(如Policy Plus)提供了类似于组策略编辑器的功能,您可以使用它们来进行系统设置和管理。 要使用这些工具,您可以按照以下步骤进行操作: 1. 在浏览器中搜索并下载适合您的Windows版本的第三方组策略编辑
组策略的基本知识 一、组策略的基本知识 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。 本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置:本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。 访问本地组策略的方法有两种:第一种方法是命令行方式;第二种方法是通过在MMC控制台中选择GPE插件来实现的。 1、组策略编辑器的命令行启动 您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。) 在打开的组策略窗口中(如图1所示),可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢?这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。
windows7 共享组策略 Windows 7共享组策略 在公司或家庭网络中,共享是一种非常常见的方式,它使我们能够在不同设备之间共享文件和资源。然而,为了确保共享的安全性和可控性,我们需要使用Windows 7的共享组策略。本文将一步一步回答关于Windows 7共享组策略的问题,让您能够更好地了解和应用这个功能。 第一步:了解共享组策略的作用和优势 共享组策略是Windows 7操作系统中的一项功能,它允许管理员能够控制和管理共享文件夹和打印机的访问权限。它可以帮助我们避免非授权用户的访问,保护敏感信息和重要文件的安全。通过使用共享组策略,我们可以设置和管理访问权限,确保只有具备授权的用户才能够访问共享资源。 第二步:了解共享组策略的配置步骤 1. 打开组策略编辑器:在Windows 7操作系统中,按下“Win + R”组合键,输入“gpedit.msc”并按下回车键,就可以打开组策略编辑器。 2. 导航到共享的默认文件夹:在组策略编辑器中,展开“计算机配置”>“Windows设置”>“安全设置”>“共享”的选项。
3. 配置共享策略:右键点击“共享”选项,选择“属性”来进行共享策略的配置。在弹出的窗口中,您可以设置共享权限、访问控制和连接数目,还可以为共享资源设置高级选项。 第三步:设置共享权限和访问控制 1. 设置共享权限:在共享策略配置窗口的“共享权限”选项卡中,可以设置共享资源的权限。单击“添加”按钮,将用户或用户组添加到共享权限列表中。然后,选择用户或用户组,并设置相应的权限级别(完全控制、更改或只读)。 2. 设置访问控制:在共享策略配置窗口的“安全性”选项卡中,可以设置对共享资源的访问控制。单击“编辑”按钮,选择用户或用户组,并设置相应的访问权限(完全控制、更改、读取和执行等)。您还可以通过添加或删除用户或用户组来进一步调整访问控制。 第四步:设置共享资源的高级选项 1. 配置高级安全选项:在共享策略配置窗口的“高级”选项卡中,您可以设置高级的安全选项。例如,您可以启用或禁用文件和文件夹的密码保护、加密和压缩等功能。
组策略编辑器用法 1、组策略编辑器的命令行启动 您只需单击选择"开始"→"运行"命令,在"运行"对话框的" 打开"栏中输入"gpedit.msc",然后单击"确定"按扭即可启动 Windows XP组策略编辑器。(注:这个"组策略"程序位于"C: \WINNT\SYSTEM32"中,文件名为"gpedit.msc"。) 当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行: 1、运行组策略编辑器程序(gpedit.msc)。 2、在编辑器窗口的左侧窗格中逐级展开"计算机配 置"→"Windows设置"→"安全设置"→"本地策略"→"用户权限 指派"分支。 3、双击需要改变的用户权限。单击"增加",然后双击想指派给 权限的用户帐号。如图8所示。连续两次单击"确定"按扭。 在Windows XP中,新增了一条命令行工具"shutdown",其作用是"关 闭或重新启动本地或远程计算机"。利用它,我们不但可以注销用户,关闭或重新启动计算机,还可以实现定时关机、远程关机。 该命令的语法格式如下: shutdown[-i|-l|-s|-r|-a][-f][-m[\ComputerName]]
[-t xx][-c"message"][-d :xx:yy] 其中,各参数的含义为: -i显示图形界面的对话框。 -l注销当前用户,这是默认设置。 -m ComputerName优先。 -s关闭计算机。 -r关闭之后重新启动。 -a中止关闭。除了-l和ComputerName外,系统将忽略其它参数。在超时期间,您只可以使用-a。 -f强制运行要关闭的应用程序。 -m[\ComputerName]指定要关闭的计算机。 -t xx将用于系统关闭的定时器设置为xx秒。默认值是20秒。-c"message"指定将在"系统关闭"窗口中的"消息"区域显示 的消息。最多可以使用127个字符。引号中必须包含消息。 -d :xx:yy列出系统关闭的原因代码。 首先,我们来看一下该命令的一些基本用法: 1、注销当前用户
Windows系统本地组策略编辑器使用指南定 制系统设置 Windows操作系统是现代计算机的核心运行系统之一,为用户提供了强大的功能和广泛的定制性。本地组策略编辑器是Windows系统提供的一个工具,可以用于管理计算机的各种设置和配置。本文将为您详细介绍本地组策略编辑器的使用指南,帮助您定制适合您需求的系统设置。 一、打开本地组策略编辑器 本地组策略编辑器是一个系统隐藏功能,只能通过特定的方法进行打开。以下是打开本地组策略编辑器的步骤: 1.按下Win + R键,打开运行对话框。 2.在运行对话框中输入“gpedit.msc”,点击确定按钮。 3.本地组策略编辑器窗口将随即打开。 二、理解本地组策略编辑器的基本概念 在开始配置系统设置前,有几个基本的概念需要了解: 1.计算机配置:用于配置整个计算机的设置,如安全选项、操作系统设置等。 2.用户配置:用于配置指定用户的设置,如桌面背景、启动菜单设置等。
3.策略设置:用于定义特定配置的规则和要求。 三、使用本地组策略编辑器定制系统设置 本地组策略编辑器提供了众多的配置选项,可以根据用户需求进行个性化定制。以下是几个常见的系统设置示例: 1.禁用控制面板:选择“用户配置”→“管理模板”→“控制面板”,在右侧找到“禁用控制面板”策略设置,双击并选择已禁用,点击确定即可禁用控制面板。 2.设置密码策略:选择“计算机配置”→“Windows设置”→“安全设置”→“账户策略”,在右侧找到“密码必须符合复杂性要求”策略设置,双击并选择已启用,点击确定即可设置密码策略。 3.禁用USB驱动器:选择“计算机配置”→“管理模板”→“系统”→“可移动存储访问”,在右侧找到“所有可移动存储设备的阻止访问”策略设置,双击并选择已启用,点击确定即可禁用USB驱动器。 四、导出和导入策略设置 在完成一系列的系统设置后,您可以将这些策略设置导出并在其他计算机上导入,以实现快速部署和配置一致性。以下是导出和导入策略设置的步骤: 1.导出策略设置:选择“文件”→“导出”,选择一个保存位置和文件名,点击保存按钮即可导出策略设置。
组策略教程 组策略教程(1000字) 一、什么是组策略? 组策略是一种在大多数Windows操作系统中使用的管理工具,它的主要作用是通过安全设置和监控用户的计算机,从而实现对系统中的用户行为和系统资源进行控制和管理。组策略可以帮助管理员有效地管理和配置用户和计算机的权限、网络设置、软件安装等。本篇教程将重点介绍组策略的使用方法和常用功能。 二、如何打开组策略编辑器? 要打开组策略编辑器,首先需要以管理员身份登录到计算机。然后按下Win + R键,输入“gpedit.msc”,并按回车键。这将 打开组策略编辑器。 三、组策略的常用功能 1. 用户配置和计算机配置 组策略编辑器中有两个主要的配置项,即用户配置和计算机配置。用户配置主要用于配置用户的权限和设置,计算机配置则用于配置计算机的网络设置和系统行为。管理员可以根据需要,选择相应的配置项进行设置。 2. 禁用和启用功能 组策略编辑器中有很多配置选项,管理员可以根据需要禁用或启用某些功能。例如,可以禁用控制面板中的某个功能,防止用户对系统进行不必要的更改。
3. 定制开始菜单 组策略编辑器还可以用于定制开始菜单。管理员可以根据需要,添加或删除某些应用程序或文件夹,以满足用户的需求。 4. 软件安装和升级 通过组策略编辑器,管理员可以轻松地安装、升级和卸载软件。只需选择相应的配置选项,并指定软件的安装包路径,即可实现自动安装和升级。 5. 网络设置 组策略还可以用于配置网络设置,例如限制特定的网站访问、配置代理服务器等。管理员可以根据实际需求,灵活地配置网络设置。 四、如何使用组策略? 1. 打开组策略编辑器,选择用户配置或计算机配置中的相应项目。 2. 选择需要配置的选项并进行相应的设置。可根据具体需求,禁用或启用某些功能,添加或删除某些应用程序或文件夹等。 3. 配置完毕后,保存设置并退出组策略编辑器。 4. 重新启动计算机,使配置生效。 五、注意事项和常见问题 1. 使用组策略编辑器时,要以管理员身份登录计算机,否则可能无法保存设置或使配置生效。 2. 修改组策略后,要及时备份系统或创建系统还原点,以防出
取消Windows系统的自动更新提示Windows操作系统为了保证系统的安全性和稳定性,会自动检测和 安装最新的系统更新。然而,有时候自动更新的提示会打断我们的工 作或者消耗网络流量,因此,取消Windows系统的自动更新提示成为 一些用户的需求。本文将介绍如何取消Windows系统的自动更新提示 的方法,以便用户可以根据自己的时间和需求进行系统更新。 一、使用组策略编辑器取消自动更新提示 组策略编辑器是Windows系统中用于管理组策略的工具。通过使用组策略编辑器,我们可以对系统设置进行更加详细的配置。以下是具 体的操作步骤: 1. 使用快捷键 Win + R 打开运行对话框,输入 "gpedit.msc" 并点击 确定,打开组策略编辑器。 2. 在左侧的面板中,依次展开 "计算机配置"、"管理模板"、"Windows组件"、"Windows 更新"。 3. 在右侧的窗口中,找到 "自动更新的通知" 这个设置项,双击打开。 4. 在弹出的配置窗口中,选择 "已禁用",然后点击确定保存设置。 通过以上操作,Windows系统将不再提示自动更新。 二、使用服务管理器停止自动更新服务 除了使用组策略编辑器,我们还可以通过停止自动更新服务来取消 自动更新提示。以下是具体的操作步骤:
1. 使用快捷键 Win + R 打开运行对话框,输入 "services.msc" 并点 击确定,打开服务管理器。 2. 在服务管理器的窗口中,找到 "Windows 更新" 这个服务,右键 点击并选择 "停止"。 3. 双击打开 "Windows 更新" 这个服务的属性窗口,将 "启动类型" 设置为 "禁用",然后点击确定保存设置。 通过以上操作,自动更新服务将停止运行,Windows系统将不再提 示自动更新。 三、使用注册表编辑器修改自动更新设置 我们还可以通过修改系统的注册表来取消自动更新提示。以下是具 体的操作步骤: 1. 使用快捷键 Win + R 打开运行对话框,输入 "regedit" 并点击确定,打开注册表编辑器。 2. 在注册表编辑器中,依次展开 "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\W indowsUpdate"。 3. 右键点击 WindowsUpdate 文件夹,并选择 "新建" -> "DWORD (32 位)值"。 4. 将新创建的值命名为 "AUOptions",然后双击打开。
组策略应用设置大全 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器 四、隐藏或删除Windows XP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核 4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置
在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。 2、禁止对桌面的改动 利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。 3、启用或禁止活动桌面 利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。 4、给“开始”菜单减肥 Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。 5、保护好“任务栏”和“开始”菜单的设置 倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现
组策略(gpedit.msc)完全使用手册 组策略(gpedit.msc)完全使用手册 组策略(gpedit.msc)完全使用手册 对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
组策略命令大全如何打开组策略编辑器? 答:运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 答:1:看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。 2:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加,后面的你应该会了。看你要开哪个策略,就添加哪个策略。 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1.禁止访问“控制面板”
2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器 四、隐藏或删除WindowsXP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你
5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核 4、Windows98访问WindowsXP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在
一、什么是组策略 (一)组策略有什么用? 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL (通常是Config.pol)文件。当用户登录的时候,它会重写注册表 中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,
则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为:1)System.adm:默认情况下安装在“组策略”中,用于系统设置。 2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)Wmplayer.adm:用于Windows Media Player 设置。 4)Conf.adm:用于NetMeeting 设置。