史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   網路軟硬體架設技術文件 (http://forum.slime.com.tw/f133.html)
-   -   群組原則套用全攻略 (http://forum.slime.com.tw/thread65620.html)

psac 2003-08-31 08:15 PM

群組原則套用全攻略
 
一、什麼是群組原則
  (一)群組原則有什麼用?

  說到群組原則,就不得不提註冊表。註冊表是Windows系統中儲存系統、應用軟體配置的資料庫,隨著Windows功能的越來越豐富,註冊表裡的配置項目也越來越多。很多配置都是 可以自訂設定的,但這些配置發佈在註冊表的各個角落,如果是手工配置,可想是多麼困難和煩雜。而群組原則則將系統重要的配置功能彙集成各種配置模組,供管理人員直接使用,從而達到方便管理電腦的目的。

  簡單點說,群組原則就是修改註冊表中的配置。當然,群組原則使用自己更完善的管理組織方法,可以對各種對像中的設定進行管理和配置,遠比手工修改註冊表方便、靈活,功能也更加強大。

  (二)群組原則的版本

  大部分Windows 9X/NT用戶可能聽過「系統原則」的概念,而我們現在大部分聽到的則是「群組原則」這個名字。其實群組原則是系統原則的更進階擴展,它是由Windows 9X/NT的「系統原則」發展而來的,具有更多的管理範本和更靈活的設定對象及更多的功能,目前主要套用於Windows 2000/XP/2003系統。

  早期系統原則的執行機制是通過原則管理範本,定義特定的.POL(通常是Config.pol)文件。當用戶登入的時候,它會重寫註冊表中的設定值。當然,系統原則編輯器也支持對當前註冊表的修改,另外也支持連接網路電腦並對其註冊表進行設定。而群組原則及其工具,則是對當前註冊表進行直接修改。顯然,Windows 2000/XP/2003系統的網路功能是其最大的特色之處,其網路功能自然是不可少的,因此群組原則工具還可以開啟網路上的電腦進行配置,甚至可以開啟某個Active Directory 對像(即站點、域或組織服務機構)並對它進行設定。這是以前「系統原則編輯器」工具無法做到的。

  無論是系統原則還是群組原則,它們的基本原理都是修改註冊表中相應的配置項目,從而達到配置電腦的目的,只是它們的一些執行機制發生了變化和擴展而已。

  二、群組原則中的管理範本

  在Windows 2000/XP/2003目錄中包含了幾個 .adm 文件。這些文件是文本文件,稱為「管理範本」,它們為群組原則管理範本項目提供原則信息。

  在Windows 9X系統中,預設的admin.adm管理範本即儲存在原則編輯器同一個資料夾中。而在Windows 2000/XP/2003的系統檔案夾的inf資料夾中,包含了預設安裝下的4個範本文件,分別為:

  1)System.adm:預設情況下安裝在「群組原則」中,用於系統設定。
  2)Inetres.adm:預設情況下安裝在「群組原則」中;用於Internet Explorer原則設定。
  3)Wmplayer.adm:用於Windows Media Player 設定。
  4)Conf.adm:用於NetMeeting 設定。

  在Windows 2000/XP/2003的群組原則控制台中,可以多次增加「原則範本」,而在Windows 9X下,則只允許當前開啟一個原則範本。下面介紹使用原則範本的方法。首先在Windows 2000/XP/2003群組原則控制台中使用如下:
首先執行「群組原則」程序,然後選項「電腦配置」或者「用戶配置」下的「管理範本」,按下滑鼠右鍵,在彈出的功能表中選項「增加/刪除範本」.

然後按下「增加」按鈕,在彈出的對話視窗中選項相應的.adm文件。按下「開啟」按鈕,則在系統原則編輯器中開啟選定的指令碼文件,並等待用戶執行。

  返回到「群組原則」編輯器主界面後,依次開啟目錄「本機電腦原則→用戶配置→管理範本」,再點擊相應的目錄樹,就會看到我們新增加的管理範本所產生的配置項目了(為了便於本文後面的實例大家能一起動手操作,建議增加除預設範本文件的其它範本文件)。

  再來看Windows 9X下的群組原則編輯器。首先在群組原則編輯器中的「文件」功能表中選項「關閉」,以便將當前指令碼關閉,然後再在「選項」功能表中選項「範本」

然後按下「開啟範本」按鈕,在彈出的對話視窗中選項相應的.adm文件並按下「開啟」按鈕,則在編輯器中開啟選定的指令碼文件並等待用戶執行。

  三、執行群組原則

  (一)Windows 9X原則編輯器

  按操作系統的不同,原則編輯工具分為兩種,一種為Windows 2000/XP/2003群組原則管理控制台,它在系統安裝時已經預設安裝上了;另外一種就是Windows 9X的系統原則編輯器,它在系統安裝時並不被安裝,程式文件在Windows安裝碟上的\tools\reskit\netadmin\poledit目錄下,它包括Poledit.exe、Poledit.inf、Windows.adm等文件。

  如果是Windows 9X系統通過下面的方法,則可以進行正規的安裝程序。

  1.在控制台中,雙按「增加/刪除程式」圖示,按下「安裝Windows」標籤,然後按下「從磁牒安裝」選項。
  2.在從磁牒安裝對話視窗中,按下「瀏覽」按鈕並指定Windows 9X安裝光碟的tools\reskit\netadmin\poledit目錄。
  3.按下「驗證」按鈕,然後再次按下對話視窗中的「驗證」按鈕。
  4.在從磁牒安裝對話視窗中,選項「系統原則編輯器」和「群組原則」複選框,然後按下「安裝」按鈕。

  安裝完成後,按下「執行」指令項,輸入poledit,然後按下「驗證」按鈕,管理員可以以兩種不同的方式使用系統原則編輯器:註冊表方式和原則文件方式。

 1.以註冊表方式使用系統原則編輯器。在系統原則編輯器中的文件功能表中,按下開啟註冊表編輯器,然後雙按相應的本機用戶或本機電腦圖示。這取決於要編輯註冊表中的哪個部分。在使用註冊表方式時,可以直接編輯本機或遠端電腦的註冊表。這樣,所做的改變將立即反映出來。在做出修改之後,必須關機並重新啟動電腦以使所做修改生效。

  2.以原則文件方式使用系統原則編輯器。在系統原則編輯器中的文件功能表中,按下新增或開啟來開啟一個原則文件。在使用原則文件方式時,可以新增和修改用於其它電腦的系統原則文件(POL),在這種方式下,註冊表被間接地修改。這項改變將在用戶登入時原則文件被下載後反映出來。當以原則文件方式編輯設定值時,按下一個註冊表選項,可以看到三種可能狀態之一:選、清除、變灰。每當選項一個選項時,將會循環顯示下一個可能的狀態,這與選項一個標準的複選框不同。標準的複選框只有選或清除兩個選項。

  如果一個設定值需要附加信息,那麼預設用戶內容對話視窗的底部將出現一個編輯控制。通常,如果選了一個原則,而又不想強制使用它,應當清除該複選框來取消該原則。

  (二)Windows 2000/XP/2003群組原則控制台

  如果是Windows 2000/XP/2003系統,那麼系統預設已經安裝了群組原則程序,在「開始」功能表中,按下「執行」指令項,輸入gpedit.msc並確定,即可執行程序

使用上面的方法,開啟的群組原則對象就是當前的電腦,而如果需要配置其他的電腦群組原則對象的話,則需要將群組原則作為獨立的控制台管理程序來開啟,具體步驟如下:

  1)開啟 Microsoft 管理控制台(可在「開始」功能表的「執行」對話視窗中直接輸入MMC並Enter鍵,執行控制台程序)。
  2)在「文件」功能表上,按下「增加/刪除管理單元」。
  3)在「獨立」選擇項上,按下「增加」。
  4)在「可用的獨立管理單元」對話視窗中,按下「群組原則」,然後按下「增加」。
  5)在「選項群組原則對像」對話視窗中,按下「本機電腦」編輯本機電腦對象,或通過按下「瀏覽」搜尋所需的群組原則對象。
  6)按下「完成」,按下「關閉」,然後按下「確定」。群組原則管理單元即開啟要編輯的群組原則對象。

  對於不包含域的電腦系統來說,在上面第5步的界面中,只有「電腦」標籤,而沒有其他標籤項目。

  通過上面的方法,我們就可以使用Windows 2000/XP/2003群組原則系統強大的網路配置功能,讓管理員的工作更輕鬆和高效。

  在上面我們介紹了Windows 9X下的原則編輯器配置項目有「選、清除、變灰」三種狀態,Windows 2000/XP/2003群組原則管理控制台同樣也有三種狀態,只不過名字變了。它們分別是:已啟用、未配置、已禁用。

  四、「桌面」設定

  Windows的桌面就像我們的辦公桌一樣,需要經常進行整理和清潔,而群組原則就如同我們的貼身秘書,讓桌面管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置實例:

  位置:「群組原則控制台→用戶配置→管理範本→桌面」

  1.隱藏桌面的系統圖示(Windows 2000/XP/2003)

  雖然通過修改註冊表的方式可以實現隱藏桌面上的系統圖示的功能,但這樣比較麻煩,也有一定的風險。而採用群組原則配置的方法,可以方便快捷地達到此目的。

  比如要隱藏桌面上的「網路芳鄰」和「Internet Explorer」圖示,只要在右側視窗中將「隱藏桌面上『網路芳鄰』圖示」和「隱藏桌面上的Internet Explorer圖示」兩個原則選項啟用即可;如果隱藏桌面上的所有圖示,只要將「隱藏和禁用桌面上的所有項目」啟用即可;當啟用了「刪除桌面上的『我的文件』圖示」和「刪除桌面上的『我的電腦』圖示」兩個選項以後,「我的電腦」和「我的文件」圖示將從你的電腦桌面上消失;同樣如果要讓「資源回收桶」圖示消失,只須將「從桌面刪除資源回收桶」原則項啟用即可。

2.退出時不儲存桌面設定(Windows 2000/XP/2003)

  此原則可以防止用戶儲存對桌面的某些更改。如果你啟用這個原則,用戶仍然可以對桌面做更改,但有些更改,如圖示的位置、工作列的位置及大小,在用戶登出後都無法儲存,不過工作列上的建立捷逕總可以被儲存。

  在右側視窗中將「退出時不儲存設定」這個原則選項啟用即可。

  3.遮閉「清理桌面嚮導」功能(Windows XP/2003)

  「清理桌面嚮導」會每隔 60 天自動在用戶的電腦上執行,以清除那些用戶不經常使用或者從不使用的桌面圖示。如果啟用此原則設定,則可以遮閉「清理桌面嚮導」,如果你禁用或不配置此設定,「清理桌面嚮導」會按照預設設定每隔60天執行一次。

  開啟右側視窗中的「刪除清理桌面嚮導」,根據需要設定原則選項即可。

  4.啟用/禁用「活動桌面」(Windows 2000/XP/2003)

  「活動桌面」是Windows 98(及以後版本)或安裝了IE 4.0的系統中自帶的進階功能,最大的特點是可以設定各種圖片格式的牆紙,甚至可以將網頁作為牆紙顯示。但出於對安全和效能的考慮,有時候我們需要禁用這一功能(並且禁止用戶啟用它),通過原則設定可以輕鬆達到這一要求。具體操作方法:開啟右側視窗中的「禁用活動桌面」並啟用此原則。

  提示:如果同時啟用「啟用 Active Desktop」設定和「禁用 Active Desktop」設定,則「禁用 Active Desktop」設定會被忽略。如果 「禁用 Active Desktop 和 Web 視圖」設定(在「用戶配置→管理範本→Windows元件→Windows檔案總管」中)被啟用,Active Desktop 就會被禁用,並且這兩個原則都會被忽略。

  以上介紹了幾個關於桌面的群組原則配置項目,在「群組原則控制台→用戶配置→管理範本→桌面」下還有其他若干群組原則配置項目,讀者可根據需要進行配置,這裡不再贅述。

  五、個性化「工作列」和「開始」功能表

 顯示了「工作列」和「開始」功能表的有關群組原則配置項目。下面我們來看具體的實例:
位置:「群組原則控制台→用戶配置→管理範本→工作列和開始選單」

  1.給「開始」功能表減肥(Windows 2000/XP/2003)

  如果覺得Windows的「開始」功能表太臃腫的話,可以將不需要的功能表項從「開始」功能表中刪除。在群組原則右側視窗中,提供了「從開始選單刪除用戶資料夾」、「刪除到『Windows Update』的訪問和連結」、「從開始選單刪除公用程序組」、「從開始選單中刪除『我的文件』圖示」等多種群組原則配置項目。你只要將不需要的功能表項所對應的原則啟用即可。

  2.保護好「工作列」和「開始」功能表(Windows 2000/XP/2003)

  如果你不想隨意讓他人更改「工作列」和「開始」功能表的設定,你只要將群組原則控制台右側視窗中的「阻止更改『工作列和開始選單』設定」和「阻止訪問工作列的上下文功能表」兩個原則項啟用即可。這樣,當你用滑鼠右鍵按下工作列並按下「內容」時,系統會出現一個錯誤消息,且當滑鼠右鍵按下工作列及工作列上的項目時,例如「開始」按鈕、時鐘和「工作列」按鈕,彈出功能表會隱藏。

3.禁止「登出」和「關機」(Windows 2000/XP/2003)

  當電腦啟動以後,如果你不希望這個用戶再進去行「關機」和「登出」操作,那麼可將群組原則控制台右側視窗中的「刪除開始選單上的『登出』」和「刪除和阻止訪問『關機』指令」兩個原則啟用。

  這個設定會從開始選單刪除「關機」選項,並禁用「Windows 工作管理器」對話視窗虧騿uCtrl+Alt+Del」會出現這個對話視窗瞻云滿u關機」選項 。另外需要注意的是,此設定雖然可防止用戶用 Windows界面來關機,但無法防止用戶用其他第三方工具程序來將 Windows 關閉。

  提示:如果啟用了「刪除開始選單上的『登出』」,則會從「開始選單選項」刪除「顯示登出」項目。用戶無法將「登出<用戶名>」項目還原到開始選單(只能通過手工修改註冊表的方法)。這個設定只影響開始選單,它不影響 「Windows 工作管理器」對話視窗上的「登出」項目(因此需要同時啟用「刪除和阻止訪問『關機』指令」),而且不妨礙用戶用其它方法登出。

 4.利用群組原則保護個人我的文件隱私(Windows 2000/XP/2003)

  Windows有個進階智能功能,即可以記錄你曾經訪問過的文件。雖然這個功能可以方便用戶再次開啟該檔案,但出於安全和效能的考慮(例如不想讓人知道自己瀏覽過哪些網頁和開啟過哪些文件),有時需要遮閉此功能。利用群組原則,只要在右側視窗中將「不要保留最近開啟我的文件的記錄」和「退出時清除最近開啟的我的文件的記錄」兩個原則啟用即可。

  另外需要注意的是,如果啟用此原則設定但不啟用「從開始選單中刪除我的文件功能表」原則設定,「我的文件」功能表還會出現在「開始」功能表上,但是該功能表為空功能表。如果啟用此原則設定,後來又禁用它並將它設定為「未配置」,則啟用原則設定之前儲存的我的文件建立捷逕會重新出現在「我的文件」功能表和應用程式的「文件」功能表中。

  六、IE設定手到擒來

  微軟的Internet Explorer讓我們可以輕鬆地在網際網路上遨遊,但要想用好Internet Explorer,則必須將它配置好。在IE瀏覽器的「Internet選項」視窗中,提供了比較全面的設定選項(例如:「首頁」、「臨時資料夾」、「安全級別」和「分級審查」等項目),但部分進階功能沒有提供,而通過群組原則即可輕鬆實現這些功能。下面來看具體實例:

  位置:「群組原則控制台→用戶配置→管理範本→Windows 元件→Internet Explorer(需增加inetres.adm範本文件)」

  1.禁用「在新視窗中開啟」功能表項(Windows 2000/XP/2003)

  出於對安全的考慮,有時候我們有必要遮閉IE的一些功能功能表,群組原則提供了豐富的設定項目,比如禁用「另存為...」、「文件」、「新增」等。下面以「禁用『在新視窗中開啟』功能表項」為例介紹具體的設定方法。

  開啟「群組原則控制台→用戶配置→管理範本→Windows 元件→Internet Explorer→瀏覽器功能表」,然後開啟「禁用『在新視窗中開啟』功能表項」並設定為「啟用」。啟用該原則後,用戶在某個連結上按下滑鼠右鍵,然後按下「在新視窗中開啟」時,該指令將不起作用。該原則可與「『文件』功能表禁用『新增』功能表項」一起使用,後者禁止用戶通過按下「文件」功能表,指向「新增」,然後按下「視窗」在新視窗中開啟瀏覽器。

  提示:啟用該原則後,按下「在新視窗中開啟」指令,將無法在新視窗中開啟連結,系統會提示用戶該指令無效,網頁自動開啟的視窗也全部被禁止,其實這樣也可達到遮閉彈出廣告視窗的效果。

  2.限制IE瀏覽器的儲存功能(Windows 2000/XP/2003)

  在使用IE瀏覽網頁程序中,當遇到好的圖片、文章等資源時可以使用「另存為」功能將它儲存到本機硬碟中,當多人共用一台電腦時,為了保持硬碟的整潔,需要對瀏覽器的儲存功能進行限制。那麼如何才能實現呢?可以這樣操作:開啟「群組原則控制台→用戶配置→管理範本→Windows元件→Internet Explorer→瀏覽器功能表」,然後將右側視窗中的「『文件』功能表:禁用『另存為...』功能表項」、「『文件』功能表:禁用另存為網頁功能表項」、「『檢視』功能表:禁用『源文件』功能表項」和「禁用上下文功能表」等原則項目全部啟用即可。

  如果不希望別人對IE瀏覽器的設定隨意更改,可以將「『工具』功能表:禁用『Internet選項...』」原則啟用。另外,根據個人的需要,在該視窗中還可以禁用其他項目。

  3.禁用「Internet 選項」控制台(Windows 2000/XP/2003)

  上面提到了「禁用Internet選項」的功能,使用該功能可以達到阻止別人對IE隨便設定的目的。而這種方法無法具體禁用Internet選項中的控制範本項目,因此給具體套用帶來麻煩。通過下面的群組原則設定方法,則可以實現這一要求:

  開啟「群組原則控制台→用戶配置→管理範本→Windows元件→Internet Explorer→Internet 控制台」,在右邊視窗中我們可以看到「禁用一般頁」、「禁用安全頁」等群組原則項目。下面以「禁用一般頁」為例進行說明:開啟右邊視窗中的「禁用一般頁」並設定為「啟用」。然後我們再開啟Internet選項控制台,會發現「一般」項目已經沒有了,這樣一來用戶將無法看到和更改主頁、緩衝、歷史記錄、網頁外觀以及輔助功能的設定,因為該原則將刪除界面上的「一般」選擇項,所以如果設定了該原則,則無須設定位於 「用戶配置→管理範本→Windows 元件→Internet Explorer」中的諸如「禁用更改主頁設定」、「禁用更改顏色設定」等原則。

4.禁止修改IE瀏覽器的主頁(Windows 2000/XP/2003)

  如果不希望他人對自己設定的IE瀏覽器主頁進行隨意更改的話,可以開啟「群組原則控制台→用戶配置→管理範本→Windows元件→Internet Explorer→工作列」,然後選項「禁用更改主頁設定」群組原則並啟用即可。另外在這個視窗中,還提供了「更改歷史記錄設定」、「更改顏色設定」和「更改Internet臨時文件設定」等項目的禁用功能。

  啟用此原則後,在IE瀏覽器的「Internet 選項」對話視窗中,其「一般」選擇項的「主頁」區域的設定將變灰。

  提示:如果設定了位於「群組原則控制台→用戶配置→管理範本→Windows元件→Internet Explorer→Internet Explorer控制台」中的「禁用一般頁」原則,則無須設定該原則,因為「禁用一般頁」原則將刪除界面上的「一般」選擇項。

  5.自訂IE工作列(Windows 2000/XP/2003)

  IE工作列的背景和上面的按鈕都是可以自訂的,以前我們大多使用手動修改註冊表的方法,不過並不直觀,現在我們用「群組原則」可以更方便地達到效果,打造屬於我們自己的IE。

  開啟「群組原則控制台→用戶配置→Windows設定→Internet Explorer維護→瀏覽器用戶界面」下的「瀏覽器工作列按鈕自訂」原則配置項目,在這裡,可以自訂瀏覽器工作列的背景影像,點擊「瀏覽」選項一個BMP的位圖文件即可(注意:工作列背景應該與工作列大小相同,而亮度應該足以顯示黑色文字,否則實際效果並不理想)。

  接下來,我們要在IE的工作列上增加自己的建立捷逕,比如增加「我的QQ」,在這裡也可以很輕鬆地完成。

  點擊「增加」,在「工作列標題」中輸人「我的QQ」,在「工作列操作」中選項QQ程序的路徑,最後再選項好「顏色圖示」和「灰度圖示」的路徑(如果你不知道怎麼提取這兩個圖示,可以請EXeScope這個軟體來幫忙,在各大站點都可以下載)。設定完成後點「確定」,再次開啟IE後就可以看到修改的效果了。

  七、輕鬆實現Windows進階功能

  1.設定並鎖定Windows Media Player外觀(Windows 2000/XP/2003)

  Windows Media Player是目前最流行的多媒體播放器之一,如果不希望其他用戶隨意更改其界面外觀的話,利用群組原則可以輕鬆實現。開啟「群組原則控制台→用戶配置→管理範本→Windows 元件→Windows Media Player→用戶界面中的設定並鎖定外觀」啟用此原則。

  啟用此原則後,將使 Windows Media Player 只以指定的外觀模式顯示,具體可以使用在「原則」選擇項上的「外觀」框中指定的外觀。你必須為外觀使用完整的檔案名薇狾pminiplayer.wmz癒C如果外觀文件在用戶的電腦上沒有安裝,播放器將以Windows Media Player外觀開啟。

  提示:本原則設定軟體版本至少為Windows Media Player v8.00,ADM文件為wmplayer.adm。

  2.禁止Windows Media Player播放時執行螢幕保護程式(Windows 2000/XP/2003)

  螢幕保護程序可以有效地保護我們的顯示器,但是當我們使用播放器觀看精彩影片時,經常會出現螢幕保護程序突然執行而中斷觀看的尷尬局面。現在我們可以通過群組原則來解決螢幕保護程序使Windows Media Player播放中斷的麻煩問題了。開啟「群組原則控制台→用戶配置→管理範本→Windows元件→Windows Media Player→播放中的允許執行螢幕保護程序」並將它設定為「已禁用」狀態。

  3.最佳化配置Windows Media Player網路緩衝(Windows 2000/XP/2003)

  當我們使用Windows Media Player播放資料流媒體時,播放器會在播放前對資料流媒體進行緩衝處理,以便可以流暢地進行播放。在實際套用中,根據網路帶寬和伺服器的連接速度,緩衝的時間長短並不一樣,但Windows Media Player卻是在使用同一設定,這無疑與實際網路情況不匹配,因此我們可以根據具體的網路帶寬情況自己最佳化配置網路緩衝。開啟「群組原則控制台→用戶配置→管理範本→Windows元件→Windows Media Player→網路中的配置網路緩衝」並設定為啟用狀態,在出現的緩衝時間(秒數)配置選項中,根據網路的帶寬情況進行自訂(最多 60 秒)。

  提示:如果此原則已啟用,那麼Windows Media Player「效能」選擇項上的緩衝選項將不能再配置。

4.遮閉使用所有 Windows Update 功能的訪問(Windows 2000/XP/2003)

  Windows Update可以自動連接Microsoft網站並下載更新內容,這對大部分用戶來說是比較實用的,但對於不需要更新或者帶寬緊張的電腦用戶來說,此功能就顯得多餘了,而且經常傳聞Windows Update會將電腦用戶信息「秘密」發往Microsoft,因此也可以遮閉這一「智能」進階功能。開啟「群組原則控制台→用戶配置→管理範本→Windows 元件→Windows Update」中的「刪除使用所有 Windows Update 功能的訪問」群組原則並啟用此原則。

  提示:如果你啟用此設定,所有 Windows Update功能(其中包括阻止訪問Windows Update網站http//windowsupdate.microsoft.com、開始選單上的 Windows Update的超連結和Internet檔案總管上的工具功能表)將被刪除。Windows自動更新也被禁用,你將不會收到有關更新的通知,也不會接到Windows Update的重要更新。此設定還會阻止裝置管理員自動從Windows Update網站下載安裝驅動程式的更新。

  5.在Windows XP/2003中實現遠端關機(Windows XP/2003)

  在Windows XP/2003中,新增了一條指令行工具「shutdown」,它可以關閉或重新啟動本機或遠端電腦。利用它,我們不但可以登出用戶、關閉或重新啟動電腦,還可以實現定時關機、遠端關機。該指令的語法格式如下:

shutdown [-i |-l|-s |-r |-a][-f][-m[\\ComputerName]][-t xx][-c 〞message〞][-d[u][p]:xx:yy]

  該指令具體的使用參數和技巧請參考Windows的說明 系統,說明 系統裡面有全面的資料。我們現在簡單地看一下該指令的一些基本用法:

  1)登出當前用戶

  shutdown - l

  該指令只能登出本機用戶,對遠端電腦不適用。

  2)關閉本機電腦

  shutdown - s

  3)重啟本機電腦

  shutdown - r

  4)定時關機

  shutdown - s -t 30

  指定在30秒之後自動電腦關機。

  5)中止電腦的關閉。有時我們設定了電腦定時關機後,如果出於某種原因又想取消這次關機操作,就可以用shutdown - a來中止。

  在該指令的格式中,有一個參數[-m [\\ComputerName],用它可以指定將要關閉或重啟的電腦名稱稱,若省略的話則預設為對本機操作。你可以用以下指令來試一下:

  shutdown -s -m \\Anyes-solon -t 30

  在30秒內電腦關機名為Anyes-solon(Anyes-solon為區域網路內一台同樣裝有Windows XP/2003)的電腦。

  該指令執行後,電腦Anyes-solon一點反應都沒有,螢幕上卻提示「Access is denied (拒絕訪問)」。

  出現這種情況是因為Windows XP預設的安全原則中,只有管理員組的用戶才有權從遠端電腦關機,而一般情況下我們從區域網路內的其他電腦訪問該電腦時,則只有guest用戶權限,所以當我們執行上述指令時,便會出現「拒絕訪問」的情況。

  而我們利用群組原則即可賦予guest用戶遠端關機的權限。開啟「群組原則控制台→電腦配置→Windows 設定→安全性設定→本機原則→使用者權利指派中的從遠端系統強制關機」,在彈出的對話視窗中顯示目前只有「Administrators」組的成員才有權從遠端關機;按下對話視窗下方的「增加用戶或組」按鈕,然後在新彈出的對話視窗中輸入「guest」,再按下「確定」按鈕。


  通過上述操作後,我們便給電腦Anyes-solon的guest用戶授予了遠端關機的權限。以後,倘若你要遠端電腦關機Anyes-solon,只要在網路中其他裝有Windows XP/2003的電腦中輸入以下指令shutdown -s -m \\Anyes-solon -t 60即可。

這時,在Anyes-solon電腦的螢幕上將顯示一個「系統關機」的對話視窗,在對話視窗下方還有一個計時器,顯示離關機還有多少時間。在等待關機的時間裡,用戶還可以執行其他的工作,如關閉程序、開啟文件等,但無法關閉該對話視窗,除非你用shutdown -a指令來中止關機工作。


  八、用群組原則提升系統效能

  1.讓Windows 的上網速率提升20%(Windows XP/2003)

  預設情況下,Windows網路連接資料包調度程序將系統限制在80%的連接帶寬之內,這對帶寬較小的網路來說,無疑是筆不小的開支。我們可以通過群組原則設定來替代預設值,讓我們的上網速率提高20%!

  開啟「群組原則控制台→電腦配置→管理範本→網路」中的「QoS資料包調度程序」並啟用此原則,然後使用下面「帶寬限制」框來調整系統可保留的帶寬比例,將它設定為0%即可,然後按確定退出,之後我們就可以使用另外20%的帶寬了。

  2.關閉縮略圖的緩衝(Windows XP/2003)

  Windows XP/20003系統具有縮略圖視圖功能,且為了加快那些被頻繁瀏覽的縮略圖顯示速度,系統會將這些被顯示過的圖片進行緩衝,以便下次開啟時直接讀取緩衝中的信息,從而達到快速顯示的目的。但如果我們不希望系統進行緩衝的話(比如只瀏覽一次的圖片),則可以利用群組原則關閉縮略圖緩衝的功能,這樣第一次瀏覽速度反而會大大加快(因為不進行緩衝處理)。

  開啟「群組原則控制台→用戶配置→管理範本→Windows元件→Windows檔案總管」中的「關閉縮略圖的緩衝」並啟用此原則。

  3.遮閉系統自帶的CD燒錄功能(Windows XP/2003)

  Windows XP/2003系統自帶CD燒錄功能,如果你有CD燒錄機接在電腦上,Windows 檔案總管允許你製作並修改可重寫式CD。但這樣無疑會影響系統效能和檔案總管的執行速度,因此我們可以利用群組原則來遮閉此功能(大部分用戶都使用專用的CD燒錄軟體)。

  開啟「群組原則控制台→用戶配置→管理範本→網路→」中的「刪除CD燒錄功能」並啟用此原則。

  4.關閉系統還原功能(Windows XP/2003)

  系統還原是Windows XP/2003中集成的強大功能,它在系統執行的同時,制作備份那些被更改的文件和資料,如果出現問題,系統還原使用戶能夠在不丟失個人資料文件的情況下,將電腦還原到以前的狀態。預設情況下,系統還原處於開啟狀態。

  但為這一功能付出的代價也是相當大的,系統效能會明顯下降,磁牒空間也會被佔用很多。對於配置不高的電腦來說,強烈建議關閉此功能。

  開啟「群組原則控制台→電腦配置→管理範本→系統→系統還原」中的「關閉系統還原」並啟用此原則。啟用此設定後即可關閉系統還原功能,並且不能訪問「系統還原嚮導」和「配置界面」。

  5.禁止Windows Messenger自動執行(Windows XP/2003)

  在Windows系統中集成的優秀應用軟體越來越多,但這些系統內裝的軟體都沒有卸載選項,引起很多電腦用戶的不滿。比如Windows XP自帶的Windows Messenger,不但卸載不方便而且還隨系統一起自動執行。對於不上網的電腦用戶或者根本就不用Windows Messenger的用戶來說,當然要遮閉此軟體的自動執行功能。

  開啟「群組原則控制台→電腦配置→管理範本→Windows元件→Windows Messenger」中的「不允許執行Windows Messenger 」並啟用此原則。

  提示:這個設定出現在「電腦配置」和「用戶配置」資料夾中。如果兩個設定都配置,「電腦配置」中的設定比「用戶配置」中的設定優先。

  九、用群組原則打造系統銅牆鐵壁級功能

  1.隱藏「我的電腦」中指定的驅動器(Windows XP/2003)

  此群組原則可以從「我的電腦」和「Windows 檔案總管」上刪除代表所選硬體驅動器的圖示。並且驅動器號代表的所有驅動器不出現在標準的開啟對話視窗上。

  開啟「群組原則控制台→用戶配置→管理範本→Windows元件→Windows檔案總管」中的「隱藏『我的電腦』中的這些指定的驅動器」並啟用此原則,並在下面列表框中選項一個驅動器或幾個驅動器。

  提示:這項原則只刪除驅動器圖示。用戶仍可通過使用其它方式繼續訪問驅動器的內容。同時這項原則不會防止用戶使用程序訪問這些驅動器或其內容。並且也不會防止用戶使用磁牒管理即插即用來檢視並更改驅動器特性。

  2.防止從「我的電腦」訪問驅動器(Windows 2000/XP/2003)

  此原則讓用戶無法檢視在「我的電腦」或「Windows 檔案總管」中所選驅動器的內容。同時它也禁止使用執行對話視窗、鏡像網路驅動器對話視窗或Dir指令檢視在這些驅動器上的目錄。

  開啟「群組原則控制台→用戶配置→管理範本→Windows元件→Windows檔案總管」中的「防止從『我的電腦』訪問驅動器」並啟用此原則,並在下面列表框中選項一個驅動器或幾個驅動器。

提示:這些代表指定驅動器的圖示仍舊會出現在「我的電腦」中,但是如果用戶雙按圖示,會出現一條消息解釋設定防止這一操作。同時這些設定不會防止用戶使用其它程序訪問本機和網路驅動器。並且不防止他們使用磁牒管理即插即用檢視和更改驅動器特性。

  3.禁止使用命令提示字元(Windows 2000/XP/2003)

  在Windows 2000/XP/2003下,我們可以執行cmd.exe進入命令提示字元狀態,並可以繼續執行一些DOS指令和其他指令行程序。出於對安全的考慮,有些系統應該遮閉此功能。

  開啟「群組原則控制台→用戶配置→管理範本→系統」中的「阻止訪問命令提示字元」並啟用此原則,並在下面列表框中選項是否「也停用命令提示字元指令碼處理」,這個設定還決定批次處理文件 .cmd和.bat竅O否可以在電腦上執行。

  如果啟用這個設定,在用戶試突開啟指令視窗時,系統會顯示一條消息,解釋設定阻止這一操作。

  4.禁止更改內容(Windows 2000/XP/2003)

  選項「控制台」中的「顯示」或在Windows桌面的空白處按下右鍵選項「內容」,可進入「顯示設定」對話視窗,可以對桌面主旨、桌面背景、螢幕保護程式程序、顯示設定等各項進行設定,如果你不想讓別人隨意更改各項設定,可以通過群組原則將它隱藏起來。

  開啟「群組原則控制台→用戶配置→管理範本→控制台→顯示」,然後可以看到隱藏桌面選擇項、隱藏主旨選擇項、隱藏保護程序選擇項、隱藏設定選擇項等原則配置,可根據需要對這些項目進行配置。比如啟用了「隱藏『桌面』選擇項」原則後,再開啟「內容」對話視窗,就看不到「桌面」標籤了,這樣自然就無法再對桌面內容進行更改了。

  5.禁用註冊表編輯器(Windows 2000/XP/2003)

  為了防止他人進入電腦後對註冊表文件進行修改,可以在群組原則中對註冊表編輯器做禁止訪問設定。具體操作方法:開啟「群組原則控制台→用戶配置→系統」中的「阻止訪問註冊表編輯工具」並啟用此原則。

  此原則被啟用後,用戶試突啟動註冊表編輯器(Regedit.exe 及 Regedt32.exe)的時候,系統會禁止這類操作並彈出警告消息。

  6.徹底禁止訪問「控制台」(Windows 2000/XP/2003)

  如果不希望其他用戶訪問電腦的「控制台」,同樣可以使用群組原則來實現。開啟「群組原則控制台→用戶配置→管理範本→擴展面板」中的「禁止訪問控制台」並啟用此原則。

  此原則啟用後可以防止「控制台」程式文件(Control.exe)的啟動。他人將無法啟動「控制台」(或執行任何「控制台」項目)。另外,這個設定將從「開始」功能表中刪除「控制台」。同時這個設定還從「Windows檔案總管」中刪除「控制台」資料夾。

  7.禁止建立新的撥號連接(Windows 2000/XP/2003)

  如果不想讓別人在電腦中建立新連接來撥號上網的話,群組原則也可以做到。開啟「群組原則控制台→用戶配置→管理範本→網路→網路連接」中的「禁止訪問新增連接嚮導」並啟用此原則。

  啟用此原則後,在「網路連接」資料夾和「開始選單」中就不會出現「建立新連接」。

  提示:此設定無法阻止用戶使用諸如 Internet Explorer 這樣的其它程序來繞過此設定。另外此設定必須重新啟動電腦後才能生效。

  8.禁用「增加/刪除程式」(Windows 2000/XP/2003)

  「控制台」中「增加或刪除程式」項目允許你安裝、卸載、修復並增加和刪除 Windows 的功能和元件以及種類很多的 Windows 程序。如果你想阻止其他用戶安裝或卸載程序,可利用群組原則來實現。

  開啟「群組原則控制台→用戶配置→管理範本→控制台→增加→刪除程式」中的「刪除『增加/刪除程式』程序」並啟用此原則,當我們再開啟「控制台」中「增加/刪除程式」模組的時候,會自動彈出警告視窗,而「增加/刪除程式」則無法執行。

  此外,在「增加/刪除程式」分支中還可以對Windows「增加/刪除程式」項中的「增加新程序」、「從CD-ROM或軟碟增加程序」、「從Microsoft增加程序」、「從網路增加程序」等項進行隱藏,通過這些原則項目的設定,起到了保護電腦中系統檔案及應用程式的作用。

  9.限制使用應用程式(Windows 2000/XP/2003)

  如果你的電腦設定了多個用戶,有些程序我們可能不希望其他用戶隨意執行,也能在群組原則中設定。

  開啟「群組原則控制台→用戶配置→管理範本→系統」中的「只執行許可的Windows應用程式」並啟用此原則,然後點擊下面的「允許的應用程式列表」邊的「顯示」按鈕,彈出一個「顯示內容」對話視窗,在此按下「增加」按鈕來增加允許執行的應用程式即可。以後一般用戶只能執行「允許的應用程式列表」中的程序。

聖幻哇沙米 2003-09-01 02:35 AM

感謝教學^^

luen 2003-09-01 07:15 AM

謝謝,解決了我的問題
想關閉光碟自動撥放,結果在群組內竟找不到選項
經我手動加入system.adm
才看到原本應看到的東西


所有時間均為台北時間。現在的時間是 09:39 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1