win XP 组策略-应用全过程

五、利用组策略设置优化网络环境
　　1.禁止访问网络连接组件的属性
　　“本地连接属性”对话框包括连接时使用的网络组件列表。要查看或更改组件属性，请单击组件名称，然后单击组件列表下面的“属性”按钮。该策略确定用户是否可以更改由网络连接使用的组件属性，它确定是否启用用于网络连接组件的“属性”按钮。



　　位置：\用户配置\管理模板\网络\网络连接
　　如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就会为管理员禁用“属性”按钮。无论“为管理员启用网络连接设置”设置启用与否，用户都不可以访问连接组件。如果禁用或不配置“为管理员启用网络连接设置”。

　　如果禁用或不配置此设置，将为用户启用“属性”按钮。

　　2.禁用TCP/IP高级配置
　　确定用户是否可以配置TCP/IP 设置。

　　位置：\用户配置\管理模板\网络\网络连接
　　如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就对所有用户(包括管理员)禁用“Internet协议(TCP/IP) 属性”对话框上的“高级”按钮。因此，用户不能打开“高级TCP/IP设置”对话框并修改IP设置(例如，DNS和WINS服务器信息)。如果禁用此设置，则启用“高级”按钮，并且所有用户均可打开“高级TCP/IP设置”对话框。

　　注意：此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮，用户就无法访问用于TCP/IP配置的“高级”按钮。不管此设置如何，非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限。在用户退出系统之前，将此设置从“启用”更改为“未配置”不会启用“高级”按钮。

　　3.禁止添加或删除用于网络连接或远程访问连接的组件
　　“安装”按钮可打开用来添加网络组件的对话框。单击“卸载”按钮可删除组件列表中的选定组件。“安装”和“卸载”按钮出现在用于连接的“属性”对话框之中。这些按钮位于“常规”选项卡和“网络”选项卡上。该策略确定管理员是否可以添加和删除用于网络连接或远程访问连接的网络组件。

　　位置：\用户配置\管理模板\网络\网络连接
　　如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就会禁用用于连接组件的“安装”和“卸载”按钮，并且不允许用户访问“Windows组件向导”中的网络组件。如果禁用或不配置此设置，就会启用用于“网络连接”文件夹中连接组件的“安装”和“卸载”按钮。同样地，用户可以访问“Windows组件向导”中的网络组件。

　　4.禁止访问网络连接的属性
　　右键单击“网上邻居”图标，在打开的快捷菜单中可以看到“属性”菜单项，用于打开网络连接属性对话框，该策略确定用户是否可以更改网络连接的属性。

　　位置：\用户配置\管理模板\网络\网络连接
　　如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就对所有用户禁用“属性”菜单项，而且用户不能打开“连接属性”对话框。如果禁用或不配置此设置，右键单击“网上邻居”的图标时，就会出现“属性”菜单项。同样地，当用户选择此连接时，就会启用“文件”菜单上的“属性”菜单项。

　　注意：此设置优先于操作“局域连接属性”对话框内的功能的可用性设置。如果启用此设置，用户将不可使用网络连接的属性对话框内的任何功能。

　5.更改所有用户远程访问连接的属性
　　该策略用于确定用户是否可以查看和更改对计算机所有用户可用的远程访问连接的属性。此设置确定是否启用“属性”菜单项，以及远程访问连接属性对话框是否对用户可用。

　　位置：\用户配置\管理模板\网络\网络连接
　　如果启用此设置，任何用户右键单击用来进行远程访问连接的图标时，就会出现“属性”菜单项。同样地，当任何用户选择连接时，“文件”菜单上就出现“属性”。如果禁用此设置(并启用“为管理员启用网络连接设置”设置)，就会禁用“属性”菜单项，并且用户(包括管理员)无法打开远程访问连接对话框。如果不配置此设置，则只有管理员才可以更改所有用户远程访问连接的属性。

　　注意：此设置优先于操作远程访问连接属性对话框内的功能的可用性设置。如果禁用此设置，则用户不可使用用于远程访问连接的属性对话框内的任何功能。

　　6.为管理员启用Windows XP网络连接设置
　　该策略确定Windows XP中的已有设置是否适用于管理员。默认情况下，Windows XP中的“网络连接”组设置不具有禁止管理员使用功能的能力。

　　位置：\用户配置\管理模板\网络\网络连接
　　如果启用此设置，已存在于Windows XP中的设置会具有阻止管理员使用某些功能的能力。这些设置为包括：“重命名所有用户可以使用的网络连接或远程访问连接的能力”、“禁止访问网络连接组件的属性”、“禁止访问远程访问连接组件的属性”、“访问TCP/IP高级配置的能力”、“禁止访问高级菜单上的高级设置项”、“禁止添加和删除用来进行网络连接或远程访问连接的组件”、“禁止访问网络连接的属性”、“禁止启用/禁用网络连接组件”、“更改所有用户远程访问连接的属性的能力”、“禁止更改专用远程访问连接的属性”、“禁止删除远程访问连接”、“删除所有用户远程访问连接的能力”、“禁止连接和断开连接远程访问连接”、“启用/禁用网络连接的能力”、“禁止访问新建连接向导”、“禁止重命名专用远程访问连接”、“禁止访问高级菜单上的拨号参数选择项”、“禁止查看活动连接的状态”。启用此设置时，上述设置对管理员的行为有效。如果禁用或不配置此设置，上述设置将不适用于管理员。

　　注意：此设置是专用于正在应用这些设置的组策略对象同时包含Windows 2000和Windows XP计算机的情形中，并且在所有Windows 2000和Windows XP计算机之间必需相同的网络连接策略行为。

六、精心维护系统安全
　　1.防止从“我的电脑”中访问磁盘驱动器
　　该策略可以防止用户使用“我的电脑”访问所选驱动器的内容。

　　位置：\用户配置\管理模板\Windows组件\Windows资源管理器
　　如果启用了这项设置，用户无法查看在“我的电脑”或Windows资源管理器中所选驱动器的内容。同时它也无法使用运行对话框、镜像网络驱动器对话框、或使用Dir命令查看在这些驱动器上的目录。要利用这些设置，请选择一个驱动器或几个驱动器。要允许访问所有驱动器目录，请禁用这项设置或选择“不要限制驱动器”选项。

　　注意：驱动器的图标仍会出现在我的电脑中，但是如果用户双击图标，会出现一个消息解释设置防止这一操作。同时这以设置不会防止用户使用程序访问本地和网络驱动器。

　　2.禁止“注销”和“关机”
　　当计算机启动以后，如果你不希望该用户进行关机和注销操作，可以通过组策略来完成设置。

　　位置：\用户配置\管理模板\任务栏和“开始”菜单
　　这个设置会从“开始”菜单删除“关机”选项，并禁用“Windows任务管理器”对话框中的“关机”选项(按Ctrl+Alt+Del会出现该对话框)。另外需要注意的是，此设置虽然可防止用户用Windows界面来关机，但无法防止用户用其他第三方工具程序来将Windows关闭。

　　提示：如果启用“删除‘开始’菜单上的‘注销’”策略，则还从“‘开始’菜单选项”删除“显示注销”项目。结果是用户无法将“注销<用户名>”项目还原到“开始”菜单(只能通过手动修改注册表的方法)。这个设置只影响“开始”菜单。它不影响“Windows 安全性”对话框中的“注销”选项(因此需要同时启用“删除和阻止访问‘关机’命令”)；而且不防止用户用其他方法注销。

　　3.阻止访问命令提示符
　　防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在计算机上运行。

　　位置：\用户配置\管理模板\系统
　　如果启用这个设置，用户试图打开命令窗口，系统会显示一个消息，解释设置阻止这种操作。

　　注意：如果计算机使用登录、注销、启动或关闭批文件脚本，不防止计算机运行批文件；也不防止使用终端服务的用户运行批文件。

　　4.阻止访问注册表编辑工具
　　该策略将禁用Regedit.exe，以禁用Windows注册表编辑器。

　　位置：\用户配置\管理模板\系统
　　如果这个设置被启用，并且用户试图启动注册表编辑器，解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管理工具，请使用“只运行许可的Windows应用程序”策略设置。

5.禁止访问控制面板
　　控制面板允许用户配置其计算机、添加或删除程序和更改设置。该策略用于防止“控制面板”的程序文件Control.exe的启动，用户无法启动“控制面板”或运行任何“控制面板”项目。

　　位置：\用户配置\管理模板\控制面板
　　该策略还从“开始”菜单中删除“控制面板”菜单项，也将“控制面板”文件夹从Windows资源管理器中删除。如果用户想从右键快捷菜单的“属性”选项中选择一个“控制面板”项目，会出现一个消息，说明该设置防止这个操作。

　　6.隐藏指定的控制面板程序
　　该策略将控制板面的项目(如显示)和文件夹从控制版面和“开始”菜单中删除。它可以删除Windows XP中包含的控制板面的项目，也可以删除你在系统里添加的控制面板项目。

　　位置：\用户配置\管理模板\控制面板
　　若想隐藏一个控制面板项目，请在打开的对话框中，单击“已启用”选项，然后单击“显示”按钮，在打开的对话框中，单击“添加”按钮，输入该项目的文件名即可，如Ncpa.cpl(用于网络)。若想隐藏一个文件夹，输入该文件夹名即可，如“字体”。

　　此设置只影响“开始”菜单和控制面板窗口。它不会阻止用户使用“运行”对话框来运行控制面板项目。

　　注意：要寻找控制面板项目的文件名称，请在\System32目录中寻找.cpl文件名称的扩展。

　　7.密码保护屏幕保护程序
　　该策略确定计算机上使用的屏幕保护程序是否受密码保护。

　　位置：\用户配置\管理模板\控制面板\显示
　　如果你启用了这项设置，所有屏幕保护程序都是有密码保护。如果你禁用了这项设置，密码保护就不能在任何屏幕保护程序上设置。这项设置也禁用了“控制面板”中“显示”项中的“屏幕保护程序”的“密码保护”复选框，防止用户更改密码保护策略。如果你不配置该策略，用户选择使用在每个屏幕保护程序上设置密码保护。

　　注意：只有当在计算机上指定屏幕保护程序时才可使用这项设置。

七、用组策略完善Windows娱乐功能
　　1.防止CD和DVD媒体信息检索
　　该策略防止Windows Media Player 9.0运行时从Internet检索有关CD及DVD的媒体信息。另外，首次使用对话框的“隐私选项”选项卡和播放机“隐私”选项卡中的“从Internet检索CD和DVD媒体信息”复选框都未选中，并且不可用。

　　位置：\用户配置\管理模板\Windows组件\Windows Media Player

　　如果未配置或禁用了该策略，则用户可以对“从Internet检索CD和DVD媒体信息”复选框的设置进行更改。

　　2.防止音乐文件媒体信息检索
　　该策略防止Windows Media Player 9.0自动从Internet获取有关音乐文件(例如Windows Media Audio (WMA)和MP3)的媒体信息。另外，在首次使用对话框和播放机的“隐私”及“媒体库”选项卡中的“通过从 Internet 检索缺少的媒体信息来更新音乐文件(WMA 和 MP3 文件)”都未选中，并且不可用。

　　位置：\用户配置\管理模板\Windows组件\Windows Media Player

　　如果未配置或禁用了该策略，则用户可以对“通过从Internet检索缺少的媒体信息来更新音乐文件(WMA和 MP3文件)”复选框的设置进行更改。

　　3.指定流媒体协议
　　该策略指定了可以使用在“设置”选项卡中选中的协议从Windows Media服务器接收流媒体。该策略还指定了在“设置”选项卡中选中“多播”复选框时可以接收多播流。

　　如果在“设置”选项卡中选中了“UDP”复选框，并且“UDP 端口”框为空，则Windows Media Player将使用默认端口播放来自Windows Media服务器的内容。如果未选中“UDP”复选框，“UDP 端口”框中的信息将被忽略。

　　如果未选择任何协议并启用了该策略，将无法播放来自Windows Media服务器的内容。

　　位置：\用户配置\管理模板\Windows组件\Windows Media Player\网络

　　如果启用或禁用了该策略，播放机“网络”选项卡中的“流协议”部分将不可用。如果启用了“隐藏‘网络’选项卡”策略，则整个“网络”选项卡将隐藏起来。如果禁用该策略，播放机将无法从Windows Media服务器接收流媒体。如果有必要控制所接收的流媒体的类型，建议使用其他方法，如防火墙。如果未配置该策略，并且未启用“隐藏‘网络’选项卡”策略，则用户可以对“网络”选项卡中“流协议”部分的设置进行更改。

　　4.配置HTTP代理
　　该策略指定了HTTP协议的代理服务器设置。如果启用该策略，必须选择一种代理类型(自动检测、自定义或使用浏览器代理服务器设置)。自动检测即系统自动检查代理服务器设置。自定义即使用惟一的代理服务器设置。使用浏览器代理服务器设置则意味着使用浏览器的代理服务器设置。

　　如果选择自定义代理服务器类型，则必须指定“设置”选项卡中的其余选项，这是因为代理服务器没有默认设置。如果选择“自动检测”或“浏览器”，则可以忽略这些选项。

　　播放器“网络”选项卡中的“配置”按钮对HTTP协议无效，因此无法配置代理服务器。如果还启用了“隐藏网络选项卡”策略，则整个“网络”选项卡都不可见。

　　如果启用了“流媒体协议”策略，且未选择HTTP协议，该策略将被忽略。

　　位置：\用户配置\管理模板\Windows组件\Windows Media Player\网络

　　如果禁用该策略，HTTP代理服务器将无法使用，用户也将无法配置HTTP代理服务器。如果未配置该策略，用户便可以配置HTTP代理服务器设置。

　5.配置MMS代理服务器
　　该策略指定了MMS协议的代理服务器设置。如果启用该策略，必须选择一种代理类型(自动检测或自定义)。“自动检测”表示系统自动检测代理服务器设置。“自定义”表示使用惟一的代理服务器设置。

　　如果选择“自定义”代理类型，则必须指定“设置”选项卡中的其余选项。否则，将使用默认设置。如果选择“自动检测”，这些选项将被忽略。

　　播放器“网络”选项卡中的“配置”按钮不可用，并且无法配置协议。如果还启用了“隐藏‘网络’选项卡”策略，则整个“网络”选项卡将隐藏起来。

　　如果启用了“流媒体协议”策略，并且未选择“多播”，该策略将被忽略。

　　位置：\用户配置\管理模板\Windows组件\Windows Media Player\网络

　　如果禁用该策略，MMS代理服务器将无法使用，用户将无法配置MMS代理服务器设置。如果未配置该策略，则用户可以配置MMS代理服务器设置。