六、精心维护
系统安全
1.防止从“我的
电脑”中访问磁盘驱动器
该策略可以防止用户使用“我的电脑”访问所选驱动器的内容。
位置:\用户配置\管理模板\Windows组件\Windows资源管理器
如果启用了这项设置,用户无法查看在“我的电脑”或Windows资源管理器中所选驱动器的内容。同时它也无法使用运行对话框、镜像
网络驱动器对话框、或使用Dir命令查看在这些驱动器上的目录。要利用这些设置,请选择一个驱动器或几个驱动器。要允许访问所有驱动器目录,请禁用这项设置或选择“不要限制驱动器”选项。
注意:驱动器的图标仍会出现在我的电脑中,但是如果用户双击图标,会出现一个消息解释设置防止这一操作。同时这以设置不会防止用户使用程序访问本地和网络驱动器。
2.禁止“注销”和“关机”
当
计算机启动以后,如果你不希望该用户进行关机和注销操作,可以通过组策略来完成设置。
位置:\用户配置\管理模板\任务栏和“开始”菜单
这个设置会从“开始”菜单删除“关机”选项,并禁用“Windows任务管理器”对话框中的“关机”选项(按Ctrl+Alt+Del会出现该对话框)。另外需要注意的是,此设置虽然可防止用户用Windows界面来关机,但无法防止用户用其他第三方工具程序来将Windows关闭。
提示:如果启用“删除‘开始’菜单上的‘注销’”策略,则还从“‘开始’菜单选项”删除“显示注销”项目。结果是用户无法将“注销<用户名>”项目还原到“开始”菜单(只能通过手动修改注册表的方法)。这个设置只影响“开始”菜单。它不影响“Windows 安全性”对话框中的“注销”选项(因此需要同时启用“删除和阻止访问‘关机’命令”);而且不防止用户用其他方法注销。
3.阻止访问命令提示符
防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在计算机上运行。
位置:\用户配置\管理模板\系统
如果启用这个设置,用户试图打开命令窗口,系统会显示一个消息,解释设置阻止这种操作。
注意:如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件;也不防止使用终端服务的用户运行批文件。
4.阻止访问注册表编辑工具
该策略将禁用Regedit.exe,以禁用Windows注册表编辑器。
位置:\用户配置\管理模板\系统
如果这个设置被启用,并且用户试图启动注册表编辑器,解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管理工具,请使用“只运行许可的Windows应用程序”策略设置。
5.禁止访问控制面板
控制面板允许用户配置其计算机、添加或删除程序和更改设置。该策略用于防止“控制面板”的程序文件Control.exe的启动,用户无法启动“控制面板”或运行任何“控制面板”项目。
位置:\用户配置\管理模板\控制面板
该策略还从“开始”菜单中删除“控制面板”菜单项,也将“控制面板”文件夹从Windows资源管理器中删除。如果用户想从右键快捷菜单的“属性”选项中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。
6.隐藏指定的控制面板程序
该策略将控制板面的项目(如显示)和文件夹从控制版面和“开始”菜单中删除。它可以删除Windows XP中包含的控制板面的项目,也可以删除你在系统里添加的控制面板项目。
位置:\用户配置\管理模板\控制面板
若想隐藏一个控制面板项目,请在打开的对话框中,单击“已启用”选项,然后单击“显示”按钮,在打开的对话框中,单击“添加”按钮,输入该项目的文件名即可,如Ncpa.cpl(用于网络)。若想隐藏一个文件夹,输入该文件夹名即可,如“字体”。
此设置只影响“开始”菜单和控制面板窗口。它不会阻止用户使用“运行”对话框来运行控制面板项目。
注意:要寻找控制面板项目的文件名称,请在\System32目录中寻找.cpl文件名称的扩展。
7.密码保护屏幕保护程序
该策略确定计算机上使用的屏幕保护程序是否受密码保护。
位置:\用户配置\管理模板\控制面板\显示
如果你启用了这项设置,所有屏幕保护程序都是有密码保护。如果你禁用了这项设置,密码保护就不能在任何屏幕保护程序上设置。这项设置也禁用了“控制面板”中“显示”项中的“屏幕保护程序”的“密码保护”复选框,防止用户更改密码保护策略。如果你不配置该策略,用户选择使用在每个屏幕保护程序上设置密码保护。
注意:只有当在计算机上指定屏幕保护程序时才可使用这项设置。
七、用组策略完善Windows娱乐功能
1.防止CD和DVD媒体信息检索
该策略防止Windows Media Player 9.0运行时从Internet检索有关CD及DVD的媒体信息。另外,首次使用对话框的“隐私选项”选项卡和播放机“隐私”选项卡中的“从Internet检索CD和DVD媒体信息”复选框都未选中,并且不可用。
位置:\用户配置\管理模板\Windows组件\Windows Media Player
如果未配置或禁用了该策略,则用户可以对“从Internet检索CD和DVD媒体信息”复选框的设置进行更改。
2.防止音乐文件媒体信息检索
该策略防止Windows Media Player 9.0自动从Internet获取有关音乐文件(例如Windows Media Audio (WMA)和MP3)的媒体信息。另外,在首次使用对话框和播放机的“隐私”及“媒体库”选项卡中的“通过从 Internet 检索缺少的媒体信息来更新音乐文件(WMA 和 MP3 文件)”都未选中,并且不可用。
位置:\用户配置\管理模板\Windows组件\Windows Media Player
如果未配置或禁用了该策略,则用户可以对“通过从Internet检索缺少的媒体信息来更新音乐文件(WMA和 MP3文件)”复选框的设置进行更改。
3.指定流媒体协议
该策略指定了可以使用在“设置”选项卡中选中的协议从Windows Media服务器接收流媒体。该策略还指定了在“设置”选项卡中选中“多播”复选框时可以接收多播流。
如果在“设置”选项卡中选中了“UDP”复选框,并且“UDP 端口”框为空,则Windows Media Player将使用默认端口播放来自Windows Media服务器的内容。如果未选中“UDP”复选框,“UDP 端口”框中的信息将被忽略。
如果未选择任何协议并启用了该策略,将无法播放来自Windows Media服务器的内容。
位置:\用户配置\管理模板\Windows组件\Windows Media Player\网络
如果启用或禁用了该策略,播放机“网络”选项卡中的“流协议”部分将不可用。如果启用了“隐藏‘网络’选项卡”策略,则整个“网络”选项卡将隐藏起来。如果禁用该策略,播放机将无法从Windows Media服务器接收流媒体。如果有必要控制所接收的流媒体的类型,建议使用其他方法,如防火墙。如果未配置该策略,并且未启用“隐藏‘网络’选项卡”策略,则用户可以对“网络”选项卡中“流协议”部分的设置进行更改。
4.配置HTTP代理
该策略指定了HTTP协议的代理服务器设置。如果启用该策略,必须选择一种代理类型(自动检测、自定义或使用浏览器代理服务器设置)。自动检测即系统自动检查代理服务器设置。自定义即使用惟一的代理服务器设置。使用浏览器代理服务器设置则意味着使用浏览器的代理服务器设置。
如果选择自定义代理服务器类型,则必须指定“设置”选项卡中的其余选项,这是因为代理服务器没有默认设置。如果选择“自动检测”或“浏览器”,则可以忽略这些选项。
播放器“网络”选项卡中的“配置”按钮对HTTP协议无效,因此无法配置代理服务器。如果还启用了“隐藏网络选项卡”策略,则整个“网络”选项卡都不可见。
如果启用了“流媒体协议”策略,且未选择HTTP协议,该策略将被忽略。
位置:\用户配置\管理模板\Windows组件\Windows Media Player\网络
如果禁用该策略,HTTP代理服务器将无法使用,用户也将无法配置HTTP代理服务器。如果未配置该策略,用户便可以配置HTTP代理服务器设置。
5.配置MMS代理服务器
该策略指定了MMS协议的代理服务器设置。如果启用该策略,必须选择一种代理类型(自动检测或自定义)。“自动检测”表示系统自动检测代理服务器设置。“自定义”表示使用惟一的代理服务器设置。
如果选择“自定义”代理类型,则必须指定“设置”选项卡中的其余选项。否则,将使用默认设置。如果选择“自动检测”,这些选项将被忽略。
播放器“网络”选项卡中的“配置”按钮不可用,并且无法配置协议。如果还启用了“隐藏‘网络’选项卡”策略,则整个“网络”选项卡将隐藏起来。
如果启用了“流媒体协议”策略,并且未选择“多播”,该策略将被忽略。
位置:\用户配置\管理模板\Windows组件\Windows Media Player\网络
如果禁用该策略,MMS代理服务器将无法使用,用户将无法配置MMS代理服务器设置。如果未配置该策略,则用户可以配置MMS代理服务器设置