组策略

woshiyix

　有这样一种说法，玩电脑，玩的就是注册表。但对于大多数用户来说，修改注册表，还是一件可望而不可及的事情。其实，只要你使用的是Windows XP系统，这一切就不再是问题了。从Windows 2000开始，微软引入了一个名为“组策略”的程序，它是介于控制面板和注册表之间的一个配置程序。
　　那么，组策略应该如何使用呢?
　　在运行中输入“gpedit.msc”，就会打开“组策略”。(如图1)利用它，可以对系统进行各种各样的设置。　
图1
　　一、本地设置
　　1、关闭自动播放
　　可移动磁盘是病毒传播的一个重要途径，尤其是一些盗取密码的木马，一般都是利用磁盘的“自动运行”功能来进行传播。亡羊补牢，虽然可以减轻受到的危害，但防患于未然才是更好的方法。那么，怎么才能防患于未然呢?答案就是关闭可移动磁盘的“自动运行“功能，使利用这些漏洞的病毒程序失效。
　　在“组策略”中依次展开“计算机设置→管理模板→系统”，找到右侧的“关闭自动播放”，将其属性设置为“已启用”，并且选项为“所有驱动器”。在“用户设置”中也有这个选项，它们的不同在于“用户设置”只是对某一个特定的用户，而不能对整个计算机进行设置。
　　2、隐藏个人隐私
　　在使用电脑的过程中，不可避免的要遇到个人隐私的问题，比如不想被其它人看到自己电脑某些磁盘中的文件，在“我最近打开的文档”中也会显示以前访问过的内容。某些别有用心的人通过这些，就可以了解到你平时的使用习惯。那么，我们怎么才能防范这些呢?
　　依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，将右侧的“隐藏我的电脑的的这些驱动器”和“防止从我的电脑访问驱动器”的属性分别改为“已启用”。并且选中要隐藏或禁止访问的盘符，再次打开资源管理器，就会发现有些盘符已经不见了。
　　依次展开“用户配置→管理模板→任务栏和开始菜单”，将右侧的“退出时清除最近打开的文档的记录”的属性设置为“已启用”。这样，就可以有效的避免泄露个人隐私
3、禁止设置电脑设置
　　不管是在学校，还是在网吧，电脑都是公用的。那就不可避免的被其它人设置电脑的设置。要实现只有管理员才能设置电脑设置的方法也很简单。
　　依次展开“用户配置→管理模板→控制面板”，将右侧的“禁止访问控制面板”的属性设置为“已启用”。
　　依次展开“用户配置→管理模板→系统”，将右侧的“阻止访问注册表编辑工具”的属性设置为“已启用”。经过这样的设置后，可以有效的减少其它人对系统的更改，有效的减轻机房管理人员的工作强度。
　　4、只运行许可的应用程序
　　有些情况下，我们要求用户只能运行某些程序，而其它的程序不能运行，我们也可以在组策略里进行相应的设置来答到目的。
　　依次展开“用户配置→管理模板→系统”，将“只运行许可的Windows应用程序”的属性设置为“已启用”，并且在“允许的应用程序列表”中填入相应的程序，如winword、excel等。这样，就能让用户只运行许可的程序，从而大大减少病毒程序的运行，使我们的电脑更安全。
　　二、网络设置
　　1、局域网互访
　　从Windows 2000开始，微软增加了系统对网络方面的支持。在局域网互访中，虽然启用了Guest用户，但有些情况下还是不能在局域网中进行访问，出现的提示可能是“您没有权限访问这台服务器，请与这台服务器的管理员联系”。有人会问，这是什么原因呢?其实，打开组策略，你就会明白了。
　　依次展开“计算机设置→Windows设置→安全设置→本地策略→用户权利指派”，在右侧找到“从网络访问此计算机”，将Guest用户添加进去;再找到“拒绝从网络访问这台计算机”，将里面的Guest删掉。经过这样的设置后，就可以在局域网中正常访问其它电脑了。
　　2、关闭P2P协议
　　每个网络管理人员，都对P2P软件占用的网络带宽很烦恼。其实，利用组策略，可以封闭P2P软件的协议，从根本上减少P2P软件的使用。
　　依次展开“计算机设置→管理模板→网络→Microsoft点对点网络服务”，将右侧的“关闭Microsoft点对点网络服务”设置为“已启用”，这样将完整地关闭Microsoft点对点网络服务并将使所有依赖于它的应用程序停止工作。
　　3、管理Internet Explorer的加载项
　　许多Active 控件都是通过IE的加载项来实现安装并应用的，而它又是病毒和木马蔓延的主要途径，一些第三方软件如360安全卫士、瑞星卡卡上网助手等都有管理加载项的功能。不过，Windows本身就可以管理这些加载项。
　　依次展开“计算机设置→管理模板→Windows组件→Internet Explorer”，将右侧的“禁用Internet Explorer组件的自动安装”和“禁止用户启动或禁用加载项”的属性都设置为“已启用”，则可防止用户下载到一些有害的IE组件，提高系统的安全性。
　　4、禁用更改分级审查
　　随着电脑走进千家万户，儿童也成了主要的电脑用户。现在网络上的许多东西又良莠不齐，在上网冲浪时，许多黄色或是暴力的内容会进入我们的视野，虽然有第三方软件和利用分级审查功能可以阻止这些内容，但只要拥有管理员权限，分级审查是可以更改的。利用组策略，可以禁止更改分级审查。
　　依次展开“用户配置→管理模板→Windows组件→Internet Explorer”，将右侧的“禁用更改分级设置”的属性设为“已启用”，则可以禁止更改分级审查。当然，它的前提是分级审查的设置已经完成。
　　通过以上对组策略的设置，我们就能让电脑更好的为我们服务。
　　IT专家网原创文章，未经许可，严禁转载!

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/32981/showart_400562.html