什么是組策略?
組策略我想大家都聽過,但是組策略有什么功能,它又是如何應用的呢?本文給出了詳細的解答。
過去,我們要配置系統時,都會動不動就拿注冊表“開刀”,好像一切都需要修改注冊表來實現。其實我們不需要完全依賴修改注冊表來實現,使用Windows的組策略就可以方便地修改注冊表,遠比手工修改注冊表方便、靈活,功能也更加強大,除了能修改注冊表,還能修改計算機的網絡安全設置、軟件安裝和維護、腳本選項。
一、認識Windows的幕后主管——組策略
按操作系統的不同,組策略分為兩種,一種為Windows 2000/XP/2003系統默認安裝的“組策略管理控制臺”,只要點擊“開始→運行”命令,輸入“gpedit.msc”并回車即可打開組策略(注意:Home版無組策略);另外一種就是Windows 98的“系統策略編輯器”,默認沒有安裝,只有在Windows 98安裝盤上的\tools\reskit\netadmin\poledit目錄下,雙擊poledit.exe文件才可以直接運行“系統策略編輯器”。
以Windows 2000/XP/2003組策略為例說明一下它的具體構造,可以看到組策略界面左邊顯示的是組策略的組織結構,右邊顯示的是針對左邊窗格的某一配置的具體策略。右邊可以按“擴展”和“標準”切換顯示,以“擴展”的方式顯示,則單擊任一策略選項時,其左邊的描述欄會顯示有關該策略選項的一些相關說明;以“標準”方式顯示,則不顯示描述欄。
“本地計算機”策略主要分為“計算機配置”和“用戶配置”兩大設置項。“計算機配置”是用來設置應用到計算機的策略,作用范圍是整個系統、所有用戶;“用戶配置”僅對當前用戶有效。如果兩者的設置沖突,則“計算機配置”的設置優先。
二、組策略實例應用
組策略的功能真的非常強大,設置項目眾多,選項非常豐富實用。下面讓我們來看看幾個實用的配置實例(本文以Windows XP的組策略為例),希望能夠讓大家深入地了解組策略,舉一反三,盡情地享受個性化Windows系統的樂趣。
1.個性化“開始”菜單和任務欄
在Windows XP組策略的左邊窗格依次單擊“用戶配置→管理模板→任務欄和「開始」菜單”,此時在右邊的窗格中,提供了“任務欄”和“開始菜單”的有關策略,你可以在上面對臃腫的“開始”菜單減肥,刪除“收藏夾”、“注銷”、“我的文檔”等菜單項目;刪除任務欄上的時鐘、禁止任務欄的“分組”功能等等。
比如你想保護你的個人隱私,不想讓人輕易地知道你最近打開過什么文檔,可以在右邊的窗格中找到“不要保留最近打開文檔的記錄”策略選項,雙擊該策略選項,如圖3所示,在彈出的“屬性”對話框中,選中“已啟用”項,即可禁止“我最近的文檔”顯示最近打開的文檔。如果不能啟用“不要保留最近打開文檔的記錄”策略選項,可以啟用“退出時清除最近打開的文檔的記錄”策略。
2.我的控制面板我做主
如果不希望別人使用“控制面板”,啟用“禁止訪問控制面板”策略。也可以隱藏或者只顯示指定的控制面板組件。比如要隱藏“管理工具”:
Step1:雙擊“隱藏指定的控制面板程序”策略選項,在打開的“屬性”對話框中,選中“已啟用”。
Step2:接著點擊下面的“顯示”按鈕,打開“顯示”列表。
Step3:點擊“添加”按鈕,在彈出的“添加項目”對話框里輸入“管理工具”,點擊兩次“確定”按鈕即可完成設置。
在右邊的窗格里,除了控制面板的策略選項外,還有“顯示”、“添加或刪除程序”、“打印機”、“區域和語言選項”等設置,如果要設置桌面主題、禁止更改墻紙、隱藏屏幕保護等,都可以在這里設置。
3.讓Windows賬戶更安全
為了保護Administrator系統管理員賬戶的安全,可以點擊“計算機配置→Windows設置→安全設置→本地策略→安全選項”,可以在右邊的窗格中雙擊“賬戶:重命名系統管理員賬戶”策略選項,把Administrator的賬戶改名,然后重新啟動或注銷系統。再新建一個只有user權限的“Administrator”賬戶。
為了進一步保證密碼的安全,避免有人用反復輸入密碼的方法來破解,可以設置輸入密碼時重試的次數,這樣,如果有人想通過不斷地重試來猜測密碼就不可能了。單擊“計算機配置→Windows設置→安全設置→賬戶策略→賬戶鎖定策略”,雙擊“賬戶鎖定閾值”策略選項,在彈出的窗口中設定輸入密碼時重試的次數(比如5),那么系統就會在連續5次輸入錯誤密碼后進行鎖定。為了能夠讓正確的用戶在賬戶被鎖后,還有機會打開賬戶輸入正確的密碼登錄,系統默認30分鐘之后就會解除對賬戶的鎖定。如果覺得這個解除鎖定的時間過長或過短,可以雙擊“賬戶鎖定時間”和“復位賬戶鎖定計數器”策略選項來設置。
此外,如果不從網絡登錄計算機,只從本機上登錄,可以點擊“Windows 設置→安全設置→本地策略→用戶權限指派”,在右邊的窗格中雙擊“拒絕從網絡訪問這臺計算機”,將自己的管理員賬戶加進去。
如果密碼過于簡單,防護再好,也容易給人“黑掉”,因此,還要點擊“計算機配置→Windows設置→安全設置→賬戶策略→密碼策略”來強制使用復雜的密碼、設置密碼的最長、最短使用期限。
阿萌小提示:
如果不小心禁用了組策略,導致無法使用組策略,也無法使用組策略來解除禁用,此時,可以通過修改注冊表來解決問題。
Step1:在“開始→運行”中輸入“Regedit”打開注冊表編輯器。選中HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC,將MMC鍵刪除。
Step2:在“開始→運行”中輸入“gpedit.msc”打開組策略。
Step3:點擊組策略的“用戶配置→管理模板→Windows組件→Microsoft Management Console→受限的/許可的管理單元→組策略”,在右邊的窗格中雙擊“組策略對象編輯器”策略選項,在“屬性”窗口中選擇“未配置”或者“已啟用”即可解除對組策略的禁用。
組策略是什么我想大家應該有一個大致的了解了,而更多有關組策略的知識還有待于讀者去學習和鞏固。
【編輯推薦】
