壹、桌面項目設置
1,隱藏不必要的桌面圖標
2、禁止修改桌面。
3.啟用或禁用活動桌面
4.為“開始”菜單減肥
5.保護任務欄和開始菜單的設置。
第二,隱藏或禁止控制面板項目
1.禁止接觸控制面板。
2.隱藏或禁止“添加/刪除程序”
3.隱藏或禁止項目“顯示”
三、系統項目設置
1.登錄時不顯示歡迎屏幕界面。
2.禁用註冊表編輯器
3.關閉系統的自動播放功能。
4.關閉Windows自動更新。
5.刪除任務管理器
第四,在Windows XP資源管理器中隱藏或刪除項目
1.刪除“文件夾選項”
2.隱藏“管理”菜單項
動詞 (verb的縮寫)IE瀏覽器項目設置
1.限制IE瀏覽器的保存功能
2.為工具欄減肥
3.向IE工具欄添加快捷方式。
4.讓IE插件不再騷擾妳。
5.保護妳的個人隱私。
6.禁止修改IE瀏覽器首頁。
7.禁用導入和導出收藏夾。
不及物動詞系統安全/* * *享受/權限設置
1,密碼策略
2、用戶權限分配
3、文件和文件夾設置審核
4、Windows 98訪問Windows XP***享受目錄拒絕解決問題。
5.阻止訪問命令提示符
6.阻止訪問註冊表編輯工具
壹、桌面項目設置
在組策略的左側窗口中,依次展開用戶配置→管理模板→桌面節點,可以看到關於桌面的所有設置。該節點的主要功能是管理用戶使用桌面的權限,隱藏桌面圖標。
1,隱藏不必要的桌面圖標
我們可以很容易地刪除桌面上的壹些快捷方式,但是要刪除“我的電腦”、“回收站”、“我的網上鄰居”等默認圖標,就需要依靠“組策略”了。比如刪除我的文檔,只需在“刪除桌面上我的文檔圖標”項中設置即可。要隱藏桌面上的“我的網上鄰居”和“Internet Explorer”圖標,只需在右窗格中啟用“隱藏桌面上的“我的網上鄰居”圖標和“隱藏桌面上的Internet Explorer圖標”兩個策略選項;如果隱藏桌面上的所有圖標,只需啟用“隱藏並禁用桌面上的所有項目”;當“刪除桌面上我的文檔圖標”和“刪除桌面上我的電腦圖標”選項被啟用時,“我的電腦”和“我的文檔”圖標將從您的電腦桌面上消失;如果您不再喜歡桌面上的圖標“回收站”,您也可以通過啟用“從桌面刪除回收站”策略項目來刪除它。
2、禁止修改桌面。
使用組策略可以達到禁止他人更改桌面上某些設置的目的。“禁止用戶更改我的文檔的路徑”項目可以防止用戶更改“我的文檔”文件夾的路徑。“禁止在任務欄中添加、拖放和關閉工具欄”項可以防止用戶從桌面添加或刪除任務欄。雙擊啟用“退出時不保存設置”後,用戶將無法保存對桌面的更改。最後雙擊“隱藏並禁用桌面上所有項目”設置項,將圖標、快捷方式等默認和自定義的項目從桌面上刪除,甚至桌面右鍵菜單也會被禁止。
3.啟用或禁用活動桌面
使用“活動桌面”項,您可以根據自己的需要設置活動桌面的各種屬性。“啟用活動桌面”項目啟用活動桌面,並防止用戶禁用它。“活動桌面壁紙”項目可以指定在所有用戶的桌面上顯示的桌面壁紙。啟用“不允許更改”項目可以防止用戶更改active desktop配置。
4.為“開始”菜單減肥
Windows XP的“開始”菜單中有很多菜單項,可以通過組策略刪除。它提供了在開始菜單中刪除公共程序組、我的文檔圖標、文檔菜單、網絡連接、收藏夾菜單、搜索菜單、幫助命令、運行菜單、我的圖片圖標、我的音樂圖標和網上鄰居圖標的策略。只要啟用了與不必要的菜單項相對應的策略。以在開始菜單中刪除我的文檔圖標為例來看具體操作方法:在右側窗口的開始菜單中雙擊刪除我的文檔圖標項,在彈出的對話框的設置選項卡中點擊啟用,然後點擊確定,這樣我的文檔圖標就會隱藏在開始菜單中。
5.保護任務欄和開始菜單的設置。
如果不希望別人隨意更改任務欄和開始菜單的設置,只需在右窗格中啟用“禁止更改任務欄和開始菜單的設置”和“禁止訪問任務欄的上下文菜單”兩個策略項。這樣,當妳右擊任務欄,點擊屬性時,會出現壹條錯誤信息,提示該操作被某些設置禁止。
第二,隱藏或禁止控制面板項目
這裏所說的控制面板項目設置是指配置控制面板程序的設置,主要用於隱藏或禁止控制面板項目。在組策略左側窗口中展開用戶配置→管理模板→控制面板,您會看到控制面板節點下的所有設置和子節點。
1.禁止接觸控制面板。
如果不想讓其他用戶訪問妳電腦的控制面板,只需要運行組策略編輯器(gpedit.msc),在左窗格展開本地電腦策略→用戶配置→管理模板→控制面板的分支,然後在右窗格啟用控制面板禁止訪問的策略。此設置可以阻止控制面板程序文件(Control.exe)的啟動。因此,其他人將無法啟動控制面板(或運行任何控制面板項目)。此外,此設置將從開始菜單中刪除控制面板。此設置還會從Windows資源管理器中刪除“控制面板”文件夾。
3.隱藏或禁止“添加/刪除程序”
展開“添加/刪除程序”項:雙擊“刪除添加/刪除程序”設置項後,控制面板中的“添加/刪除程序”項將被刪除。另外,在添加或刪除程序對話框中有三個頁面:更改或刪除程序、添加新程序和添加/刪除Windows組件;當妳進入“添加新程序”頁面時,妳會發現三個選項:“從光盤或軟盤添加程序”、“從微軟添加程序”和“從網絡添加程序”。如果要隱藏這些特定的頁面或選項,可以直接在組策略的“添加/刪除程序”項中啟用相應的隱藏功能。
3.隱藏或禁止項目“顯示”
展開顯示項,發現此項與前壹項壹樣,可以隱藏顯示屬性對話框中的選項卡。這
例如,雙擊啟用隱藏桌面選項卡後,桌面項目將不再出現在顯示窗口中。此外,用戶還可以在這裏啟用“刪除控制面板中的顯示”,這樣當在控制面板中雙擊打開“顯示”項時,會彈出壹個對話框,提醒您禁止系統管理員使用“顯示”控制面板。
4.其他人
自定義控制面板程序:隱藏指定的控制面板程序或只顯示指定的控制面板程序,根據提示隱藏或顯示控制面板項目。依次展開顯示→桌面主題項,雙擊刪除主題選項、防止選擇窗口和按鈕樣式、防止選擇字體大小以防止他人更改主題、窗口和按鈕樣式等項。展開“打印機”項,雙擊啟用“防止添加打印機”或“防止刪除打印機”,防止其他用戶添加或刪除打印機。最後,直接在“控制面板”下啟用“禁止訪問控制面板”,控制面板不會啟動。
三、系統項目設置
此項在【用戶配置】-【管理模板】-【系統】中設置(圖15)。組策略中的系統設置涉及登錄、電源管理、組策略、腳本等多項。這裏把與我們息息相關的部分整理出來,列舉如下:
1.登錄時不顯示歡迎屏幕界面。
Windows 2000和Windows XP系統在登錄時默認有歡迎屏幕。雖然很漂亮,但是也很麻煩,延長了登錄時間,可以通過組策略移除。雙擊“系統”節點下的“登錄時不顯示歡迎屏幕”,用戶每次登錄時歡迎屏幕都會隱藏。
2.禁用註冊表編輯器
為了防止其他人修改註冊表,可以在組策略中禁止對註冊表編輯器的訪問。雙擊“系統”節點下的“阻止訪問註冊表編輯器”項後,當用戶試圖啟動註冊表編輯器時,系統會提示註冊編輯已被管理員禁用(圖16)。此外,如果您的註冊表編輯器被鎖定,您可以雙擊此設置,並在彈出的對話框的“設置”選項卡中單擊“未配置”,這樣您的註冊表將被解鎖。如果要防止用戶使用其他註冊表編輯工具打開註冊表,請雙擊以啟用僅運行授權的Windows應用程序。
3.關閉系統的自動播放功能。
將光盤插入光驅後,Windows XP將開始讀取光驅並啟動相關應用程序。雖然這給我們的工作帶來了便利,但在某些時候也帶來了很多麻煩。在系統節點下,有壹個關閉自動播放的設置項。雙擊它,在彈出對話框的設置選項卡中單擊啟用,在關閉自動播放框中選擇CD-ROM launcher或所有驅動器。
註:此設置不會阻止音樂CD自動播放。
4.關閉Windows自動更新。
每當用戶連接到Internet時,Windows XP將在用戶的計算機上搜索可用的更新,並根據具體的配置,在下載的組件可以安裝時或在下載之前提示用戶。如果妳不喜歡比爾老板自作主張的態度,妳可以通過組策略關閉這個功能。只需雙擊“系統”節點下的“Windows自動更新”設置項,在彈出的對話框中點擊“禁用”並確認即可。
5.刪除任務管理器
如果Windows XP的用戶已經取消了“使用歡迎屏幕”這壹項,如果同時按下“Ctrl+Alt+Del”鍵,會彈出壹個Windows安全對話框,裏面有“鎖定電腦”、“註銷”、“關機”、“更改密碼”、“任務管理器”、“取消”六個功能按鈕。大家都知道,這裏的每個按鈕在系統中都起著關鍵作用。為了防止其他人操作,可以通過組策略阻止這些按鈕。找到系統下的Ctrl+Alt+Del選項,雙擊啟用刪除任務管理器、刪除鎖定電腦、刪除密碼更改、刪除註銷四項,這樣就可以屏蔽Windows安全對話框中的任務管理器、鎖定電腦、更改密碼、取消四項。註意:“註銷”和“關機”兩個菜單項的屏蔽在用戶配置→管理模板→任務欄和開始菜單的節點下。
第四,在Windows XP資源管理器中隱藏或刪除項目
資源管理器壹直是Windows系統中最重要的工具,如何高效安全地管理資源壹直是計算機用戶不懈的追求。展開用戶配置→管理模板→ Windows組件→ Windows資源管理器,可以看到Windows資源管理器節點下的所有設置。讓我們看看如何通過組策略來個性化資源管理器。
1.刪除“文件夾選項”
“文件夾選項”是資源管理器中的壹個重要菜單項,通過它可以修改文件的查看方式,編輯文件類型的打開方式。我們自己設置好之後,為了防止別人隨意更改,可以刪除這個菜單項。您只需雙擊啟用“從工具菜單中刪除文件夾選項菜單”即可完成此設置。
2.隱藏“管理”菜單項
在資源管理器中右擊“我的電腦”,出現“管理”菜單項。通過此菜單項,您可以打開壹個“計算機管理”窗口,其中包含許多工具,如事件查看器、本地用戶和組、設備管理器、磁盤管理等。為了保護您的計算機免受意外損壞,您可以雙擊啟用“隱藏Windows資源管理器上下文菜單上的‘管理’項目”來阻止此菜單項。
3.隱藏其他項目
此外,您可以通過啟用“在我的電腦中隱藏這些指定的驅動器”來隱藏指定的驅動器。您也可以通過啟用“我的網上鄰居不包含“整個網絡”來阻止“整個網絡”項目。雙擊啟用“刪除光盤刻錄功能”,刪除Windows XP自帶的光盤刻錄功能。雙擊啟用“不要把刪除的文件移到回收站”刪除文件,以後不用進入回收站。當然,這裏還有很多項目沒有提到。可以根據自己的需求自行討論,做出合適的配置。
動詞 (verb的縮寫)IE瀏覽器項目設置
在組策略的左側窗口中展開用戶配置→管理模板→“Windows組件→”Internet Explorer,在右側窗口中您會看到Internet Explorer節點下的所有設置和子節點。IE是Windows XP自帶的網頁瀏覽器,也是大多數用戶采用的瀏覽器,但其安全性也壹直為人詬病。在這裏,我們將通過組策略來“改造”它。
1.限制IE瀏覽器的保存功能
很多人在使用電腦的時候,為了保持硬盤的幹凈,需要限制使用瀏覽器的保存功能,那麽如何實現呢?具體方法是:選擇用戶設置→管理模板→“Windows組件”
”→“Internet Explorer”→瀏覽器菜單”分支,然後在右窗格中啟用文件菜單:禁用另存為…、文件菜單:禁用另存為網頁菜單、查看菜單:禁用源文件菜單、禁用上下文菜單等策略項。另外,如果不希望別人隨意更改IE瀏覽器的設置,只需要啟用“工具菜單:禁用‘互聯網選項……’的策略即可。此外,根據您的個人需要,可以在此窗格中禁用其他項目。
2.為工具欄減肥
如果想隱藏工具欄中的工具按鈕,具體方法是:選擇用戶設置→管理模板→“Windows組件”→“Internet Explorer”→工具欄分支,然後雙擊右窗格中的配置工具欄按鈕策略,打開配置工具欄按鈕屬性窗口,在設置選項卡中選擇已啟用的單選按鈕。然後點擊“確定”按鈕。
3.向IE工具欄添加快捷方式。
不知道大家有沒有註意到,很多軟件安裝後都會在IE工具欄上添加圖標。單擊它們以啟用相應的程序。事實上,妳可以用組策略在IE工具欄上添加任何程序的快捷方式。這裏有壹個例子來說明如何添加壹個ICQ啟動圖標。展開Internet Explorer維護下的瀏覽器用戶界面,雙擊瀏覽器工具欄定制的設置項,在彈出的對話框中點擊添加按鈕,在瀏覽器工具欄按鈕信息對話框的工具欄標題中輸入:ICQ,在工具欄操作中輸入D:\Fun\ICQLite\ICQLite.exe。點擊“確定”,IE工具欄會出現壹個ICQ圖標!
4.讓IE插件不再騷擾妳。
我們平時上網瀏覽網頁的時候,總會出現壹些“是否安裝Flash插件”、“是否安裝3721網絡實名”之類的提示,就像廣告窗口壹樣煩人。事實上,我們可以通過啟用組策略中“Internet Explorer”節點下的“禁用Internet Explorer組件的自動安裝”來禁止此提示。不過有時候這個功能也是很有用的,所以在禁用這個功能之前請好好想想。
5.保護妳的個人隱私。
壹般點擊IE工具欄上的“歷史”按鈕,就可以知道之前訪問過的網頁和文件。為了保密,可以雙擊“Internet Explorer”節點下的“不保留最近打開文檔的記錄”和“退出時清除最近打開文檔的記錄”設置,然後點擊IE工具欄上的“歷史”按鈕,所有妳訪問過的歷史網頁的記錄都會消失。
6.禁止修改IE瀏覽器首頁。
如果不希望別人修改妳的主頁,可以在“Internet Explorer”節點下啟用“禁止更改主頁設置”設置項,防止別人更改妳的主頁。也可以進入“瀏覽器菜單”,啟用其中的設置,屏蔽IE瀏覽器中的部分菜單項。最後,在Internet控制面板節點下,您還可以隱藏Internet選項對話框中的壹些選項卡。
如果啟用此策略,IE瀏覽器的“Internet選項”對話框中“常規”選項卡的主頁區域中的設置將呈灰色顯示。
特別提示:如果您在用戶配置→管理模板→“Windows組件→“Internet Explorer”→“Internet控制面板”中設置了禁用常規頁面策略,則不需要設置此策略,因為禁用常規頁面策略會刪除界面上的常規選項卡。
7.禁用導入和導出收藏夾。
禁止用戶使用導入/導出向導菜單項導入或導出收藏夾鏈接。\用戶配置\管理模板\Windows組件\Internet Explorer。
如果啟用此策略,導入/導出向導菜單項將無法導入/導出收藏夾鏈接和Cookie。如果禁用或未配置此功能,用戶可以在IE中導入/導出收藏夾,方法是單擊文件菜單上的導入和導出菜單項,然後運行導入/導出向導。
註意:如果啟用此策略,用戶仍然可以查看導入/導出向導,但是當他們單擊“完成”按鈕時,將出現壹條消息,說明此功能已被禁用。
不及物動詞系統安全/* * *享受/權限設置
自從計算機被擁有以來,安全性壹直是人們關註的焦點,Windows XP也不例外。在組策略中,系統安全配置壹般在計算機配置→“Windows設置→安全設置”中進行。
1,密碼策略
該策略在“帳戶策略”→“密碼策略”節點中配置。密碼是系統安全的壹大隱患。可以通過組策略設置密碼(密碼)的最小長度:雙擊設置項“密碼必須滿足復雜度要求”,確認後雙擊設置項“最小密碼長度”。在彈出的對話框中,設置最小密碼長度為8位以上,這樣以後設置賬號密碼時必須輸入8位以上的數字,安全性高很多。
2、用戶權限分配
展開“本地策略”→“用戶權限分配”節點,您將在右側窗口中看到“用戶權限分配”節點下的所有設置。適當分配用戶權限可以解決壹些奇怪的問題。比如在局域網中使用Windows XP的朋友,壹般會發現壹個奇怪的現象,那就是即使妳啟用了guest用戶,並賦予了權限,局域網中其他Win9X操作系統的用戶也無法訪問Windows XP系統中的* * *資源。這個問題可以通過修改組策略中的相關設置來解決:雙擊“用戶權限分配”節點下的“拒絕從網絡訪問此計算機”設置項,在彈出的對話框中點擊“來賓”,然後點擊“刪除”,最後確認即可。在用戶權限分配節點下,還可以給用戶添加很多權限,比如給guest添加遠程關機權限,給普通用戶更改系統時間。
3、文件和文件夾設置審核
Windows XP Professional可以使用審核來跟蹤用於訪問文件或其他對象的用戶帳戶、登錄嘗試、系統關閉或重新啟動以及類似事件。審核文件和文件夾(僅適用於NTFS文件系統)可以確保文件和文件夾的安全。在進行審核之前,您必須使用組策略來指定要審核的事件類型。要設置文件和文件夾的審核,請按照下列步驟操作。
A.點擊選擇開始→運行命令,在彈出的運行對話框中鍵入gpedit.msc命令,然後點擊確定。當然,妳也可以在桌面上創建相應的快捷方式。
B.在彈出的組策略窗口中,逐步展開右窗格中的計算機配置→“Windows設置→安全設置→本地策略”分支,然後選擇該分支下的審計策略選項。
C.雙擊右窗格中的“審計對象訪問”選項,在彈出的“本地安全策略設置”窗口中,選中“本地策略設置”框中的“成功”和“失敗”復選框。如圖12所示。然後單擊確定按鈕。
D.右鍵單擊要查看的文件(或文件夾)。選擇快捷菜單上的“屬性”命令,然後單擊快捷菜單上的“屬性”。
在彈出窗口中選擇“安全”選項卡。
E.單擊高級按鈕,然後選擇審計選項卡。
F.根據具體情況選擇您的操作:
(1)如果為新組(或用戶)設置了審計,請點擊“添加”按鈕,並在“名稱”框中輸入新名稱。
帳戶名,然後單擊“確定”按鈕打開“審計項目”對話框。
(2)要查看(或更改)原始組(或用戶)審計,選擇用戶名並單擊查看/編輯。
“按下按鈕。
(3)要刪除原審批組(或用戶),選擇用戶名,然後點擊刪除。
G.如有必要,在“審核項目”對話框的“應用於”列表中選擇要審核的位置(
“應用於”列表僅對文件夾有效)。
H.如果要防止目錄樹中的文件和子文件夾繼承這些審核項目,請選擇“僅用於此容器中的配對”
應用這些審核項目,如和/或容器復選框。
如果“審核項目”對話框或“訪問控制設置”對話框中“訪問”下的復選框變暗
框中的“刪除”按鈕不可用,因此來自父文件夾的審計已被繼承。
應該註意,您必須是管理員組的成員,或者被授權在組策略中擁有“管理審核和安全日誌”的權限。
的用戶可以審核文件或文件夾。在Windows XP可以審核文件和文件夾之前,您必須啟用組策略。
“審計策略”中的“審計對象訪問”。否則,當您完成設置文件和文件夾審核時,它將返回。
錯誤消息,並且不審核文件和文件夾。使用事件查看器,您可以
檢查成功或失敗的訪問審核文件和文件夾的嘗試。
4、Windows 98訪問Windows XP***享受目錄拒絕解決問題。
在局域網中,經常會遇到Windows 2000的電腦打開了目錄,而Windows 98的電腦卻無法訪問。答案可以在微軟的官方網頁上找到,只要提示打開Windows 2000的訪客用戶即可。不過Windows XP出來後,也面臨這個問題。結果有人發現這種方法無效,網上鄰居訪問Windows XP的* * *共享目錄可能不被允許。是什麽原因呢這個問題困擾了我好幾天,後來我意外的找到了它的答案。也許這是Windows XP的壹個BUG?打開系統訪客用戶,運行組策略編輯器程序,可以看到本地計算機策略→計算機配置→“Windows設置→安全設置→本地策略→用戶權限分配→拒絕從網絡訪問此計算機”中有壹個訪客用戶!如果您在此處刪除客人用戶,其他電腦可以從其在線鄰居處查看這臺電腦的* * *共享目錄。
5.阻止訪問命令提示符
防止用戶運行命令提示符窗口(Cmd.exe)。此設置還確定批處理文件(。cmd和。bat)可以在電腦上運行。位置:\用戶配置\管理模板\系統\如果啟用此設置,用戶嘗試打開壹個生活。
窗口中,系統將顯示壹條消息,說明該設置阻止了此操作。註意:如果計算機使用登錄、註銷、啟動或關閉批處理文件腳本,它不會阻止計算機運行批處理文件;它也不會阻止使用終端服務的用戶運行批處理文件。
6.阻止訪問註冊表編輯工具
此策略將禁用Regedit.exe來禁用Windows註冊表編輯器。這可以大大防止網頁上的惡意代碼篡改IE。location:\ User Configuration \ Management Template \ System \如果啟用了此設置,並且用戶嘗試啟動註冊表編輯器,則會出現壹條消息,說明該設置禁止此類操作。要防止用戶使用其他系統管理工具,請使用“僅運行授權的Windows應用程序”策略設置。
補充
1.程序被禁止後,組策略不能使用。
您可以恢復設置,方法是重新啟動計算機,在啟動菜單出現時按F8,在Windows高級選項菜單中選擇帶命令提示符的安全模式,然後在命令提示符下運行mmc.exe。在打開的控制臺窗口中,單擊文件→添加/刪除管理單元→添加→組策略→添加→完成→關閉→確定。現在您已經添加了壹個組策略控制臺,然後更改原始設置並重新進入Windows。
2.從“我的電腦”中刪除* * *共享文檔
當Windows用戶在工作組中時,圖標“* * *享受文檔”將出現在Windows資源管理器的Web視圖中的“其他位置”和“存儲在此計算機上的其他文件”中。通過此設置,您可以選擇不顯示這些項目。本地計算機策略->;用戶配置->;管理模板-> Windows組件->;Windows資源管理器\如果啟用此設置,則* * * Enjoy Documents文件夾不會顯示為Web視圖或出現在“我的電腦”中。如果禁用或未配置此設置,當用戶是工作組成員時,* * * Enjoy Documents文件夾將顯示為Web視圖或出現在“我的電腦”中。