用組策略管理你的XP

　　作為一個系統管理員常常要為管理系統的事操心要保障系統的安全又要使某些操作更加簡便又要在網絡（WAN/LAN）中為某些用戶分配相應的權利……還常常要與注冊表打交道卻要提心吊膽生怕出錯毀了整個系統毀了自己長期努力的結果那是多麼不值的事啊！
　　
　　組策略是Windows XP Professional版提供的一個不可多得的好工具它涉及的管理范圍廣可以代替絕大部分的編輯注冊表的操作這樣一來就省去了在茫茫注冊表裡翻個不停也不用害怕弄錯注冊表釀成大錯
　　
　　本文主要對組策略做一個初步的認識和了解要一下子完全掌握它不太現實我也只是懂得一些比較基本的操作也正在不停地摸索和前進我會盡我所能使本文更加完善分類討論各個方面的設置
　　
　　由於組策略不是常用程序所以它不會出現在開始菜單或者程序欄裡它位於%systemroot%/system/文件夾下全名為gpeditmsc雙擊其即可運行或者直接運行gpeditmsc也可需要注意的是只有以系統管理員身份的用戶登錄才有權訪問組策略
　　
　　打開組策略讓我們來熟悉一下它的界面如圖一
　　　
　　圖一組策略基本界面
　　
　　是不是很熟悉？像Windows的資源管理器一樣很容易上手吧？左邊的控制台樹用來定位我們想要查看和修改的類別（就像資源管理器裡定位到硬盤分區下的某個文件夾一樣）右邊的細節窗口顯示該類別下的各個策略點擊相應的策略即可在中間的描述窗口看到對應策略的描述信息和實現該策略所需要的軟硬件要求
　　
　　現在回到控制台樹可以看到整個組策略就分為兩大類計算機配置和用戶配置計算機配置對應的注冊表子樹鍵是HKEY_LOCAL_MACHINE該設置對本地計算機上的所有用戶都生效用戶配置則對應HKEY_CURRENT_USER子樹鍵設置只對當前用戶生效
　　
　　安全設置請定位到 計算機配置|Windows設置|安全設置如圖二
　　　
　　圖二安全設置分支（部分）
　　
　　先來看看帳戶策略默認情況下Windows XP允許用戶在輸入錯誤密碼的情況下無限數次地輸入密碼這樣的話如果密碼過於簡單的話加上有足夠的時間很可能就被破解了這樣我們必須把密碼設得復雜一點那就啟用密碼策略裡的密碼必須符合復雜性要求吧（密碼復雜性的定義是指密碼由混合大小寫字母數字及特殊符號組成）另外想想到銀行自動取款機取款如果輸入三次密碼錯誤的話你的帳戶就會被鎖定一段時間這樣的話你就拿不到錢了同樣我們也可以在帳戶鎖定策略裡設置在輸入幾次無效密碼後自動鎖定帳戶以及鎖定時間的長短
　　
　　接下來定位到本地策略下的用戶權利指派我們可以在這裡為受限分配特殊的權限也可刪除用戶某些原有的權限比如關閉計算機（你可以設置只有你管理員才有權關閉計算機）遠程關閉計算機（設置允許用戶在局域網中別的機器上將本機關閉）更改系統時間等等幾十個策略大家慢慢看我喝杯水再繼續^_^
　　
　　大多數管理員出於安全的原因會對系統的內置帳戶Administartor和Guest改名這樣別人就很難知道用戶名從而無從猜測密碼要實現這個設置請點擊本地策略下的安全選項分支更改帳戶重命名系統管理員帳戶/來賓帳戶兩個策略如果這樣設置並且是通過Windows登錄框登錄系統的話上次登錄系統時的用戶名就會輕易暴露在登錄框上這樣也會被別人知道了所以最好同時也啟用交互式登錄不顯示上次的用戶名策略
　　
　　看到交互式登錄用戶試圖登錄時消息標題/文字兩個策略了嗎？這可以在用戶登錄系統前顯示相關的信息想到了什麼？惡作劇？——對以前聽朋友說看到別人在啟動時添加的警告信息就是這個！就是一些人以前常修改的注冊表中HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon下的LegalNoticeCaption和LegalNoticeText的鍵值
　　
　　再來看看管理模板裡的內容如圖三
　　　
　　圖三管理模板分支（部分）
　　
　　管理模板提供了對Windows組件系統網絡及打印機方面的設置寫到這裡我才發現我只寫了這麼一點而看到壯觀的目錄樹腳都軟了！這個就有待大家慢慢研究吧可以根據自己需求看著描述設置讓我也偷偷懶
　　
　　至此我們的計算機配置部分就告一個段落進入用戶配置部分
　　
　　用戶配置總體與計算機配置大同小異我們可以禁用IENetMeeting等組件的一些功能鎖定開始菜單桌面控制面板共享文件夾和其它軟件的界面以防被更改還可精簡開始菜單刪除其中的一些按鈕以達到屏蔽某些功能的目的具體請定位到用戶配置|管理模板進行相關設置
　　
　　值得一講的是組策略不僅可以使我們的計算機更加安全更方便管理還可以使IE更加個性化！如圖四
　　　
　　圖四Internet Explored維護
　　
　　用Internet Explorer維護可定義IE的界面收藏夾和連接設置等定位到浏覽器用戶界面定義IE的標題欄徽標工具欄如圖五
　　　
　　圖五定義IE界面設置——定義徽標
　　
　　設置重要URL如IE主頁搜索主頁幫助與支持頁面定位到URL如圖六
　　　
　　圖六定義URL設置——定義重要URL
　　
　　看過這些內容對於組策略的強大功能是不是已經為之汗顏了？而即將推出的Windows XP Professional SP的組策略還會改進功能將會更強大！不禁感歎學海無涯我們拭目以待吧！
　　
　　漸漸熟悉後你可能會發現計算機配置|Windows設置|安全設置中的公鑰策略和軟件限制策略等某些策略是空策略在日後我們可根據實際情況的需要自己嘗試添加策略
　　
　　無奈由於時間水平等眾多因素僅介紹了組策略中微不足道的一小部分內容當然根據不同的情況所要求的也會不同菜鳥我不能一一敘述但願我所寫到的能夠給大家一絲絲的幫助和啟示更多的組策略設置只能靠各位去挖掘去發現也歡迎大家與我共同探討！
From:http://tw.wingwit.com/Article/os/xtgl/201311/5223.html