一、什么是组策略
(一)组策略有什么用?
说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的
数据库,随着Windows 功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是
可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困
难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,
从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织
方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也
更加强大。
(二)组策略的版本
大部分Windows 9X/NT 用户可能听过“系统策略”的概念,而我们现在大部分听到的则
是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系
统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应
用于Windows 2000/XP/2003 系统。
早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)
文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当
前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,
则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003 系统的网络功能是其最大
的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行
配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设
置。这是以前“系统策略编辑器”工具无法做到的。
无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而
达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
三、组策略中的管理模板
在Windows 2000/XP/2003 目录中包含了几个 .adm 文件。这些文件是文本文件,称为
“管理模板”,它们为组策略管理模板项目提供策略信息。
在Windows 9X 系统中,默认的admin.adm 管理模板即保存在策略编辑器同一个文件夹
中。而在Windows 2000/XP/2003 的系统文件夹的inf 文件夹中,包含了默认安装下的4个
模板文件,分别为:
1)System.adm:默认情况下安装在“组策略”中,用于系统设置。
2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。
3)Wmplayer.adm:用于Windows Media Player 设置。
4)Conf.adm:用于NetMeeting 设置。
在Windows 2000/XP/2003 的组策略控制台中,可以多次添加“策略模板”,而在
Windows 9X 下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在
Windows 2000/XP/2003 组策略控制台中使用如下:
首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模
板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”,则弹出对话框。
然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,
则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理
模板”,再点击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了(为了
便于本文后面的实例大家能一起动手*作,建议添加除默认模板文件的其它模板文件)。
再来看Windows 9X 下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择
“关闭”,以便将当前脚本关闭,然后再在“选项”菜单中选择“模板”,则弹出对话框。
然后单击“打开模板”按钮,在弹出的对话框中选择相应的.adm 文件并单击“打开”
按钮,则在编辑器中打开选定的脚本文件并等待用户执行。
四、“桌面”设置
Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我
们的贴身秘书,让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例:
位置:“组策略控制台→用户配置→管理模板→桌面”
1.隐藏桌面的系统图标(Windows 2000/XP/2003)
虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,
也有一定的风险。而采用组策略配置的方法,可以方便快捷地达到此目的。
比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中
将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略
选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用
即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”
两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让
“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。
2.退出时不保存桌面设置(Windows 2000/XP/2003)
此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略,用户仍然可以对桌
面做更改,但有些更改,如图标的位置、任务栏的位置及大小,在用户注销后都无法保存,
不过任务栏上的快捷方式总可以被保存。
在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。
3.屏蔽“清理桌面向导”功能(Windows XP/2003)
“清理桌面向导”会每隔 60 天自动在用户的电脑上运行,以清除那些用户不经常使用
或者从不使用的桌面图标。如果启用此策略设置,则可以屏蔽“清理桌面向导”,如果你禁
用或不配置此设置,“清理桌面向导”会按照默认设置每隔60 天运行一次。
打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。
4.启用/禁用“活动桌面”(Windows 2000/XP/2003)
“活动桌面”是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能,
最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全
和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以
轻松达到这一要求。具体*作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。
提示:如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置,
则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”
设置(在“用户配置→管理模板→Windows组件→Windows资源管理器”中)被启用,Active
Desktop 就会被禁用,并且这两个策略都会被忽略。
以上介绍了几个关于桌面的组策略配置项目,在“组策略控制台→用户配置→管理模板
→桌面”下还有其他若干组策略配置项目,读者可根据需要进行配置,这里不再赘述。