驯服电脑从“组策略”开始
技巧与实践
如果你想通过修改系统的一些默认属性来让系统听从你的安排,若在动用了控制面板后仍无济于事而你又懒得修改注册表或担心因为修改不当而导致系统受损,此时便是“组策略”大显神通的时候了。
周末,正当比比在家里吹着冷气,吃着冰激凌,看着HDVT来抵挡炎炎夏日的时候,接到了以前的同学——素有“冰美人”之称的樱樱打来的电话,说她的计算机被她“懂”电脑的侄儿动过了,现在她虽然拥有管理员权限,但只能使用Word,而不能使用QQ等软件。一旦想使用其他软件,系统就会弹出提示对话框说“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”
听着她焦急的声音,完全和“冰美人”这个称号联系不起来。比比窃喜——想当年,比比想和她搭讪的时候,她那副爱理不理的神情能拒人于千里之外。不过既然有求于比比,我当然还是很乐意回答她。从弹出提示对话框的内容来看,应该是她侄儿在什么地方设置了一下。比比很自然地就想到了在Windows中,一个常常被人们所忽视的组件——“组策略”。
组策略是何方高人?
组策略诞生于微软的Windows NT 4.0,在Windows 2000中得到发展,到了Windows XP便日臻完善了。它其实是为方便管理员配置计算机的一种管理方式,其功能和使用的灵活程度介于“控制面板”与“注册表”之间,设置项目多于控制面板,而可操作性远比注册表方便。
比比的很多朋友是修改注册表的高手,动不动就要“修改注册表”。我们得承认,正确地修改注册表的确能达到目的,但有时完全不必“杀鸡用牛刀”,在组策略编辑窗口中,点三两下鼠标便能完成的设置,何必劳师动众、舍近求远呢?
组策略中“两个配置”释疑
打开编辑器窗口,可见在“本地计算机”策略中有“计算机配置”和“用户配置”两大类策略。
“计算机配置”是对整个计算机系统进行设置的,它的修改结果会影响计算机中所有用户的运行环境。而“用户配置”只是针对当前用户的系统配置进行设置,仅对当前用户起作用。(你可以看到“计算机配置”和“用户配置”都提供了某些相同的功能项,但最终的效果是明显不同的。)
因此,在配置前,需要搞清楚是要对某个用户进行配置还是对所有人进行设置,这一点很重要。
“高人”现身——访问组策略的两种方法
“组策略”工具所对应的程序位于系统所在目录(Windows 2000中为Winnt文件夹,而Windows XP/2003则是Windows文件夹)的“System32”子文件夹中,文件名为“gpedit.msc”。请这位“高人”现身的方法有两种:
方法一:直接调用组策略编辑工具
每当需要“施法”让“组策略”现身的时候,通常都是打开“开始”菜单的“运行”项,然后在文本框中输入“gpedit.msc”并“确定”,就能打开了它的编辑窗口(图1)。
对各个组策略的编辑设置操作是非常简单的。现在,你更应该了解的是如何配置各个项目才能让系统按照你的要求去工作了吧。
方法二:在控制台中编辑组策略
若不能用“gpedit.msc”打开组策略(比如将对应的文件误删除了),则可通过在系统控制台中添加这个管理工具来完成组策略的编辑工作,步骤为:
1.在“运行”对话框中输入“MMC”命令打开Microsoft 管理控制台(Microsoft Management Console)窗口。
2.点击“文件”菜单下的“添加/删除管理单元”,在“添加/删除管理单元”窗口的“独立”标签下,点击“添加”按扭。
3.在弹出的“添加独立管理单元”对话框的“可用的独立管理单元”列表中选“组策略对象编辑器”(图2),点击“添加”按钮,随后在“选择组策略对象”对话框中点“完成”。返回后点击“关闭”按钮。随后,便可以在控制台中编辑组策略了。
提示:如果你想编辑其他电脑的组策略,则应在“选择组策略对象”对话框中浏览“另一台计算机”,并输入远程计算机的机器名。
魅力四射组策略:谈谈与组策略相关的几个“为什么”
此前樱樱的困惑就属于组策略方面的设置问题——人们往往有一种错觉,认为凡是有管理员权限的账户都可以“恣意妄为”,运行电脑中任何一个程序都应该是畅通无阻的。其实不然,像樱樱便是“中了组策略的招”——要实现禁用程序的效果,只要在组策略控制台中展开“用户配置→管理模板→系统”,将右侧“只运行许可的Windows应用程序”策略选择为“已启用”,并在对话框中点“允许的应用程序列表”旁的“显示”按钮,在弹出的“显示内容”对话框中单击“添加”按钮之后输入允许运行的应用程序名称即可,例如输入“winword.exe”,则只能运行Word程序了(图3)。经过设置后,只要试图运行其他未被允许的程序,系统就会毫不客气地弹出 “本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”的提示对话框。
解决方法也很简单,在“只运行许可的Windows应用程序”选择“未配置”即可解除锁定。
提示:本分支下的另一策略“不要运行指定的Windows 应用程序”与本策略恰好相反,在列表中添加的程序不能运行。这个策略适合于不允许运行的程序较少的时候。
听了比比这么详细的解释,樱樱更感兴趣了,一高兴,就把她以前所遇到的电脑问题全都提了出来……
1.为什么不能访问网上邻居中的Windows XP系统?
樱樱:和我同处于一个局域网的邻居小王的电脑安装了Windows 98,而我的是Windows XP。在一切正常的情况下,她无论如何也访问不到我电脑中的共享目录,即使是在我启用了Windows XP的“Guest”账户后仍然无效。
比比:可以很负责任地告诉你,这是在组策略中权利配置不对所导致的,先保证开启了Windows XP中的Guest账户,在组策略编辑器窗口中选“计算机配置→Windows设置→安全设置→本地策略→用户权利指派,双击右侧“拒绝从网络访问这台计算机”,在对话框中显示有“Guest”用户(图4)——Guest用户被拒绝从网络访问这台计算机了,当然看不到共享目录!
解决的办法很简单:选中“Guest”用户,然后点“删除”即可。
提示:很明显,你要拒绝其他用户从网络访问这台计算机,完全可以将他的计算机加入该列表中(例如,本地账户有多个,不希望其他电脑以某个账户名来访问你的共享资源)。
2.为什么我不能在你的电脑中导出IE收藏夹?
樱樱:我发现小李的收藏夹中有不少好网站,于是想趁他不在的时候导出来让我也能使用,可是,当我点击IE中“文件”菜单下的“导入和导出”项时,系统却提示“本机上禁用导出收藏夹”(图5),让我百思不得其解。
比比:其实这是小李在组策略中玩了一点“雕虫小技”,你也能做到:依次展开“用户配置→管理模板→Windows组件→Internet Explorer”,双击右侧的“禁用导入和导出收藏夹”,在它的属性对话框中点“已启用”就OK了。
当然,要解除禁用只要将它设置为“已禁用”或“未配置”即可。
3.IE为什么不能保存网页?
樱樱:同事小刘的IE中居然没有“另存为”项,让她不能保存该网页,很郁闷……
比比:让小刘郁闷的,同样是组策略在“作怪”,因为此前曾被管理员设置了一下:在组策略控制台中展开“用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,将右侧的“‘文件’菜单:禁用‘另存为...’菜单项”策略设置为“已启用”,即可达到上述效果。当然,要让“另存为”在IE菜单中显示出来,只要禁用该策略就行了。
4.为什么“我的电脑”中没有C盘驱动器图标?
樱樱:为了不让学生在电脑中看到系统盘符C:\,我的朋友杜老师想在注册表中修改,却又怕弄出问题,组策略可以帮她解决这个问题吗?
比比:这需要在学生机中编辑组策略:打开学生机的组策略控制台,然后展开“用户配置→管理模板→Windows组件→Windows资源管理器”,双击右侧“隐藏‘我的电脑’中的这些指定的驱动器”,将它改为“已启用”,然后在下拉列表框中选择“仅限制驱动器C”(图6)。
当然,要将全部驱动器都隐藏起来也是非常容易的。和修改注册表相比,这是不是简单快速多了?
听完比比这番详细的解释后,“冰美人”好像很满意,语气也变温柔了许多,在挂断电话的前一秒,“冰美人”突然邀约比比出去吃饭……
比比有话说:大家可以研究一下组策略,你会发现巧妙设置组策略会让系统更听你的“吩咐”,让你自如地进行系统的各种调配,从而离“电脑高手”的目标更近一步。