一什么是组策略 (一)组策略有什么用? 说到组策略就不得不提注册表注册表是Windows系统中保存系统应用软件配置的数据库随着Windows功能的越来越丰富注册表里的配置项目也越来越多很多配置都是 可以自定义设置的但这些配置发布在注册表的各个角落如果是手工配置可想是多么困难和烦杂而组策略则将系统重要的配置功能汇集成各种配置模块供管理人员直接使用从而达到方便管理计算机的目的 简单点说组策略就是修改注册表中的配置当然组策略使用自己更完善的管理组织方法可以对各种对象中的设置进行管理和配置远比手工修改注册表方便灵活功能也更加强大 (二)组策略的版本 大部分Windows X/NT用户可能听过系统策略的概念而我们现在大部分听到的则是组策略这个名字其实组策略是系统策略的更高级扩展它是由Windows X/NT的系统策略发展而来的具有更多的管理模板和更灵活的设置对象及更多的功能目前主要应用于Windows /XP/系统 早期系统策略的运行机制是通过策略管理模板定义特定的POL(通常是Configpol)文件当用户登录的时候它会重写注册表中的设置值当然系统策略编辑器也支持对当前注册表的修改另外也支持连接网络计算机并对其注册表进行设置而组策略及其工具则是对当前注册表进行直接修改显然Windows /XP/系统的网络功能是其最大的特色之处其网络功能自然是不可少的因此组策略工具还可以打开网络上的计算机进行配置甚至可以打开某个Active Directory 对象(即站点域或组织单位)并对它进行设置这是以前系统策略编辑器工具无法做到的 无论是系统策略还是组策略它们的基本原理都是修改注册表中相应的配置项目从而达到配置计算机的目的只是它们的一些运行机制发生了变化和扩展而已 二组策略中的管理模板 在Windows /XP/目录中包含了几个 adm 文件这些文件是文本文件称为管理模板它们为组策略管理模板项目提供策略信息 在Windows X系统中默认的adminadm管理模板即保存在策略编辑器同一个文件夹中而在Windows /XP/的系统文件夹的inf文件夹中包含了默认安装下的个模板文件分别为 )Systemadm默认情况下安装在组策略中用于系统设置 )Inetresadm默认情况下安装在组策略中用于Internet Explorer策略设置 )Wmplayeradm用于Windows Media Player 设置 )Confadm用于NetMeeting 设置 在Windows /XP/的组策略控制台中可以多次添加策略模板而在Windows X下则只允许当前打开一个策略模板下面介绍使用策略模板的方法首先在Windows /XP/组策略控制台中使用如下 首先运行组策略程序然后选择计算机配置或者用户配置下的管理模板按下鼠标右键在弹出的菜单中选择添加/删除模板则弹出如图所示的对话框 图 然后单击添加按钮在弹出的对话框中选择相应的adm文件单击打开按钮则在系统策略编辑器中打开选定的脚本文件并等待用户执行 返回到组策略编辑器主界面后依次打开目录本地计算机策略→用户配置→管理模板再点击相应的目录树就会看到我们新添加的管理模板所产生的配置项目了(为了便于本文后面的实例大家能一起动手操作建议添加除默认模板文件的其它模板文件) 再来看Windows X下的组策略编辑器首先在组策略编辑器中的文件菜单中选择关闭以便将当前脚本关闭然后再在选项菜单中选择模板则弹出如图所示的对话框 图 然后单击打开模板按钮在弹出的对话框中选择相应的adm文件并单击打开按钮则在编辑器中打开选定的脚本文件并等待用户执行 三运行组策略 (一)Windows X策略编辑器 按操作系统的不同策略编辑工具分为两种一种为Windows /XP/组策略管理控制台它在系统安装时已经默认安装上了另外一种就是Windows X的系统策略编辑器它在系统安装时并不被安装程序文件在Windows安装盘上的\tools\reskit\netadmin\poledit目录下它包括PoleditexePoleditinfWindowsadm等文件 如果是Windows X系统通过下面的方法则可以进行正规的安装过程 .在控制面板中双击添加/删除程序图标单击安装Windows标签然后单击从磁盘安装选项 .在从磁盘安装对话框中单击浏览按钮并指定Windows X安装光盘的tools\reskit\netadmin\poledit目录 .单击确认按钮然后再次单击对话框中的确认按钮 .在从磁盘安装对话框中选择系统策略编辑器和组策略复选框然后单击安装按钮 安装完成后单击运行命令项输入poledit然后单击确认按钮(运行后的界面如图所示) 图 管理员可以以两种不同的方式使用系统策略编辑器注册表方式和策略文件方式 .以注册表方式使用系统策略编辑器在系统策略编辑器中的文件菜单中单击打开注册表编辑器然后双击相应的本地用户或本地计算机图标这取决于要编辑注册表中的哪个部分在使用注册表方式时可以直接编辑本地或远程计算机的注册表这样所做的改变将立即反映出来在做出修改之后必须关机并重新启动计算机以使所做修改生效 .以策略文件方式使用系统策略编辑器在系统策略编辑器中的文件菜单中单击新建或打开来打开一个策略文件在使用策略文件方式时可以创建和修改用于其它计算机的系统策略文件(POL)在这种方式下注册表被间接地修改这项改变将在用户登录时策略文件被下载后反映出来当以策略文件方式编辑设置值时单击一个注册表选项可以看到三种可能状态之一选中清除变灰每当选择一个选项时将会循环显示下一个可能的状态这与选择一个标准的复选框不同标准的复选框只有选中或清除两个选项 如果一个设置值需要附加信息那么缺省用户属性对话框的底部将出现一个编辑控制通常如果选中了一个策略而又不想强制使用它应当清除该复选框来取消该策略 (二)Windows /XP/组策略控制台 如果是Windows /XP/系统那么系统默认已经安装了组策略程序在开始菜单中单击运行命令项输入gpeditmsc并确定即可运行程序(界面如图所示) 图 使用上面的方法打开的组策略对象就是当前的计算机而如果需要配置其他的计算机组策略对象的话则需要将组策略作为独立的控制台管理程序来打开具体步骤如下 )打开 Microsoft 管理控制台(可在开始菜单的运行对话框中直接输入MMC并回车运行控制台程序) )在文件菜单上单击添加/删除管理单元 )在独立选项卡上单击添加 )在可用的独立管理单元对话框中单击组策略然后单击添加 )在选择组策略对象对话框中单击本地计算机编辑本地计算机对象或通过单击浏览查找所需的组策略对象 )单击完成单击关闭然后单击确定组策略管理单元即打开要编辑的组策略对象 对于不包含域的计算机系统来说在上面第步的界面中只有计算机标签而没有其他标签项目 通过上面的方法我们就可以使用Windows /XP/组策略系统强大的网络配置功能让管理员的工作更轻松和高效 在上面我们介绍了Windows X下的策略编辑器配置项目有选中清除变灰三种状态Windows /XP/组策略管理控制台同样也有三种状态只不过名字变了它们分别是已启用未配置已禁用 四桌面设置 Windows的桌面就像我们的办公桌一样需要经常进行整理和清洁而组策略就如同我们的贴身秘书让桌面管理工作变得易如反掌下面就让我们来看看几个实用的配置实例 位置组策略控制台→用户配置→管理模板→桌面 .隐藏桌面的系统图标(Windows /XP/) 虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能但这样比较麻烦也有一定的风险而采用组策略配置的方法可以方便快捷地达到此目的 比如要隐藏桌面上的网上邻居和Internet Explorer图标只要在右侧窗格中将隐藏桌面上网上邻居图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可(如图)如果隐藏桌面上的所有图标只要将隐藏和禁用桌面上的所有项目启用即可当启用了删除桌面上的我的文档图标和删除桌面上的我的电脑图标两个选项以后我的电脑和 |