迅雷快鸟客户端有用吗:Windows组策略

专治疑难杂症Windows组策略大揭密

编者按：Windows组策略和注册表一样，这可是个神奇的东西。不少看似复杂的系统问题，都能通过它而轻松解决。不过，遗憾的是，神奇的组策略。它的操作，它的使用，并不为许多菜鸟所知，久而久之，组策略也逐渐成为了高手的代名词。本期专题，就将围绕组策略的使用展开，破除神秘感，组策略不仅仅是高手的工具，同时也是菜鸟的好帮手。简单运用组策略设置，解决系统中各种问题。

Part1 解决电脑难题，请找组策略帮忙

    电脑用久了，难免会产生一系列问题。如何解决问题？当然根据具体情况对症下药，有通过第三方软件的，也有修改注册表的。但也有许多涉及系统的问题，即使你用尽了办法，却也始终奈何它不得。难道只能采用重装的办法？其实，使用组策略，便能轻松的解决许多看似复杂的系统问题。

    1、解决局域网互访问题

    如今，组建局域网已经变得非常普通，大到学校，小到寝室，出于文件共享的目的，纷纷组建了范围不一的局域网。不过，如果使用的操作系统是Windows XP，那就很容易出现局域网内不能互访的问题。
    关于这个问题，网络中的讨论非常多，相当多的用户认为这只是由于guest账户没有启用的原因，但大多数情况下，即使你启用到guest账户，想访问局域网内的资源仍然是不可行的。这究竟是怎么一回事呢？
    在Windows XP中，默认状态下，系统将guest账户定义为不能从网络中访问计算机的账号，因此无论你是否启用guest账户，均不能实现资源互访的问题，而是需要通过组策略，对相应的参数进行设置。下面，就来说说具体的解决办法。
    Step1 打开“控制面板”，双击其中的“用户帐户”项，单击Guest，并点击“启用来宾帐户”，在系统中启用Guest帐户。
    Step2 点击“开始→运行”，在“运行”对话框中输入“gpedit.msc”后回车，启动组策略。
    Step3 在组策略左侧栏中依次展开“本地计算机策略→计算机配置→Windows设置→本地策略→用户权利指派”，然后在右侧窗口中找到“拒绝从网络访问这台计算机”项并双击，在弹出的窗口中，将位于列表中的Guest帐户删除（如图1）。
图1 解决Guest帐户的网络访问限制    dtc21

    确认以上操作之后，局域网中的互访就会变得畅通无阻，困扰我们已久的难题被轻松解决。

    2、杜绝非法网络打印共享

    上面的问题，解决了局域网的互访难道，极大的方便了局域网用户间的资源共享。不过，网络通畅的同时，问题也随之而来，那就是出于协同办公的需求，不少局域网中都安装了网络打印机，通过“网上邻居”，局域网中的任何用户都能方便的使用共享打印机。
    但在实际的使用过程中，我们并不希望所有的局域网用户都能使用共享打印服务，而是只想让特定的几个用户使用。面对这样的需求，有没有便捷的解决办法呢？在组策略中，同样提供了相关的解决办法。

    Step1 安装好共享打印机，并为需要使用该服务的局域网用户安装网络打印机。
    Step2 在直接连接打印机的计算机中，打开组策略，使用依次展开“本地计算机策略→计算机配置→管理模板→打印机”。
    Step3 在右侧窗口中找到“打印机浏览”项并双击，在弹出的窗口中勾选“已禁用”（如图2），然后点击“确定”按钮确认操作。
提示：在大部分组策略设置窗口中，都会提供“未配置”、“已启用”、“已禁用”三种选项，“未配置”意为使用系统默认设置；“已启用”表示该策略已经处于使用状态；“已禁用”则表示该策略处于禁用状态。

图2 禁止网络打印机在局域网中显示    dtc22

    经过以上设置之后，即使局域网用户打开“网上邻居”，网络打印机也不会出现其中，使用它来执行打印操作，自然是无从谈起。而需要使用该项服务的用户，由于此前已经完成了网络打印机的安装，因此只需在相关程序中直接执行打印命令即可。

    3、实现局域网中远程关机

还是继续局域网的话题。在Windows XP中，新增了“shutdown”命令，它可以关闭或重启本地或远程计算机（中过“冲击波”的朋友想必不会对其感到陌生，病毒发作时便会进入60秒关机倒计时状态，此时调用的正是“shutdown”命令）。
    利用“shutdown”命令，我们便可以在局域网中实现各种远程操作，例如注销用户，关闭或重启计算机，以及定时开/关机等等（该命令的具体用法可参照Windows帮助文件）。这对于局域网管理员来说，是非常有用的。
    但在实际的应用中，使用shutdown命令，却也会出现不少问题。举个简单的例子，要在60秒内关闭局域网中一台计算机名为Chris的计算机，那么就可以在“运行”对话框中输入：
shutdown –s –m \\Chris –t 60
    按照正常的情况，局域网中的计算机Chris屏幕中应该跳出一个60秒关机的倒计时对话框，到了时间后，便会强制关机。但在很多时候，这样的情况却并不发生，反而会在发出远程指令的计算机中出现“Access is denide”（拒绝访问）的提示。
    这是什么原因造成的呢？原来，在Windows XP默认的安全策略中，只有管理员组的用户才有远程操作的权限，而一般情况下我们从局域网中进行远程访问时，使用的都是Guest帐户，因此就造成了“拒绝访问”的结果。
    知道了原因，要解决问题也就好办的。一来，我们可以使用管理员帐户访问局域网的计算机（方法很简单，在局域网其它计算机中添加本地计算机帐户为管理员即可）；二来，我们可以通过组策略授予Guest帐户相应的权限。
    打开组策略，依次展开“本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，然后在右侧窗口中双击“从远端系统强制关机”项，在弹出的窗口中单击“添加用户或组”按钮，在“选择用户或组”窗口中添加Guest帐户，点击“确定”按钮后，Guest帐户便拥有了远程关机的权限。

图3 选择用户组    dtc23

    现在再尝试着在“运行”对话框中输入“shutdown –s –m \\Chris –t 60”，计算机Chris的屏幕上将出现60秒倒计时的“系统关机”对话框，60秒后，计算机Chris便会被强制关机。最后，再教大家一招，要是局域网中有些无聊的人用该命令来搞破坏，那么在出现“系统关机”对话框中，我们只需在“运行”对话框中执行“shutdown -a”命令，即可以中止关机任务的执行。

Part2 巧用组策略，提升系统安全性

    面对越来越严峻的计算机安全形势，广大用户的安全意识也在逐步提高。各类杀毒软件、网络防火墙纷纷在系统中安家落户。但你是否又知道，除了这些辅助的手段以外，通过组策略的设置，我们同样可以在一定程度上提升系统安全级别，从而远离安全困扰。

    1、屏蔽插件安装提示   

      网络插件，一直是困扰上网用户的难题之一。即使是一些有益的插件，也会在每次打开相关页面时，都弹出ActiveX形式的安装提示，令人烦不胜烦。但是如果全面禁止ActiveX控制，又会对一些正常的功能造成不利影响。其实，在这个问题上，我们同样可以通过在组策略中的设置，部分的达到预定的目标。
    打开组策略，依次展开“本地计算机策略→用户配置→管理模板→Windows Components→Internet Explorer→Administrator Approved Controls”，可以看到，右侧窗口中列出了当前已经安装的所有ActiveX控件（如图4），双击需要屏蔽的项目，在弹出窗口中勾选“已禁用”项，就可以禁止该ActiveX控件再弹出安装提示。
    提示：
    1、由于笔者安装了IE7，因此组策略中的路径也发生了相应的变化，对于还在使用IE6的用户，正确的路径应该是“管理模板→Windows组件→Internet Explorer→管理员认可的控件”。
    2、该设置只是确保已经安装的ActiveX控件不再弹出安装提示，并不具备插件的免疫功能。
图4 对具体的ActiveX进行设置    dtc24

    2、关闭存在安全隐藏的端口

还记得当年令人闻风丧胆的“冲击波”么？其利用系统135、137、138、139、445、593端口，以及UDP端口69(TFTP))和TCP端口4444入侵系统，在世界范围内造成了极大的危害。当然，不仅仅是“冲击波”，越来越多的病毒正在利用系统端口漏洞，进而入侵用户的计算机。
    考虑到该类病毒发作时，都需要与服务端建立网络连接，然后才能从相应的网络端口对中损毁的计算机进行破坏，因此只要我们能够“拒绝”其它客户端通过网络访问计算机，就能够达到关闭相应网络端口的目的，从而确保计算机不再受到远程攻击。要实现这样的目标，同样可以在组策略中实现。
    运行组策略，依次展开“本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，双击右侧窗口中的“拒绝从网络访问这台计算机”项，在弹出的窗口中单击“添加用户或组”按钮，在“输入对象名称来选择”框内输入“everyone”（如图5），点击“确定”按钮以确认操作。
图5 不允许任何用户从网络进行连接    dtc25

    经过以上操作后，任何用户尝试从网络访问计算机时，都会因为没有相应权限而被拒绝，计算机所有可能存在漏洞的端口自然无法被病毒所利用，从而简单的实现了对计算机的安全保护。
    当然，这样的操作并不代表着万无一失，毕竟现如今的病毒种类层出不穷，出于安全的考虑，笔者还是建议安装杀毒软件与网络防火墙，例如Mcafee与ZoneAlarm，都是不错的选择。

    3、禁止非法用户修改计算机设置

    对于大部分朋友来说，都不希望自己的电脑被旁人搞的乱糟糟，但有些时候，却碍于面子，不好意思直接拒绝使用电脑的请求。看着心爱的电脑在别人手中惨遭蹂躏，心里可真不是个滋味。在这种情况下，我们不妨通过组策略，极大的限制其电脑使用权限，将损失降到最低。

    隐藏“我的电脑”中的驱动器

    出于隐私的原因，我们并不希望电脑中的一些文件被他人查看。当然，我们可以通过设置文件属性，加注密码等手段实现，但相对来说，操作有些麻烦，实际上，通过组策略，将驱动器隐藏，便能快捷而简单的实现保护隐私的目的。
    打开组策略，依次展开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”，双击右侧窗口中的“隐藏‘我的电脑’中的这些指定的驱动器”项，在弹出窗口中勾选“已启用”，然后在“选择下列组合中的一个”下拉菜单中选择需要隐藏的驱动器即可（如图6）。
图6 选择需要隐藏的驱动器    dtc26

    禁止修改显示属性

    很多时候，当朋友用完自己的电脑，总是会郁闷的发现，千挑万选的桌布、屏保都已经被换掉，虽说重新选择一下并不麻烦，但心理的不爽，却是不能用语言表达的。同样的，通过组策略，就可以避免此类事件的发生。
    运行组策略，依次展开“本地计算机策略→用户配置→管理模板→控制面板→显示”，可以看到，右侧窗口中列出了所有桌面相关的设置项，例如我们要禁止修改桌布，那么双击“阻止更改墙纸”项，在弹出窗口中勾选“已启用”即可。
    如果担心还不保险，那么索性双击“隐藏‘桌面’选项卡”项，并将其设置为“已启用”，这样一来，连“显示”项都会从控制面板中消失，修改桌面相关项更是无从说起了。

    禁止使用命令提示符

大家都知道，在“运行”对话框中输入cmd便能进入命令提示符状态，进行能够执行一些DOS命令执行程序，出于安全的考虑，自然不能将如此危险的漏洞暴露于其他用户面前，禁止它，将是没有疑问的。
    运行组策略，依次展开“本地计算机策略→用户配置→管理模板→系统”，双击右侧的“阻止访问命令提示符”项，在弹出窗口中勾选“已启用”项，即可以在系统中禁止用户进入命令提示符状态。
    此外，出于更全面的安全考虑，我们还应该在“也停用命令提示符脚本处理吗？”下拉菜单中选择“是”（如图7），以阻止.cmd和.bat程序的执行，在最大程度上保护系统的安全。
图7 禁止批处理程序运行    dtc27

    禁止使用注册表编辑器

    讲了半天组策略，实际上，组策略只不过是注册表的一个可视化操作平台，所有的操作还是会回到注册表而实现。为了防止他人对注册表进行修改，我们还需要在组策略中对禁止对注册编辑器的使用。
    运行组策略，依次展开“本地计算机策略→用户配置→系统”，双击右侧窗口中的“阻止访问注册表编辑工具”项，在弹出的窗口中勾选“已启用”项。当然，在此基础上，别忘了在“禁用后台运行regedit”处选择“是”（如图8），以避免对注册表的任何非法修改。
图8 禁止非法访问注册表    dtc28

Part3 优化系统设置，组策略轻松实现

    通过以上组策略的应用，想必读者朋友们已经对它有了相当程度的认识。不过，可别以为组策略的能耐仅限于此，除去解决系统问题和提升系统安全，通过在组策略中的设置，还能对提升系统性能有着不小的作用。

    1、解除限制，网速提升20％

    出于系统稳定的考虑，在Windows XP中，网络连接数据包调度程序将系统连接带宽强行限制为80％。也就是说，2M的宽带，用户实际可以使用的带宽仅仅是1.6M，这对于诸位下载狂来说，无疑是一个巨大的打击。实际上，我们可以通过在组策略中的设置，解放被扣留的20％带宽。
    打开组策略，依次展开“本地计算机策略→计算机配置→管理模板→网络→Qos数据包计划程序”，双击右侧窗口中的“限制可保留带宽”项，如图9所示，勾选“已禁用”项或者在“带宽限制”处填写0，都意味着关闭带宽限制功能，如若担心对系统造成影响，那么不妨在“带宽限制”处输入一个较小的值，例如5，在保证系统稳定的前提下，尽可能多的将带宽释放。
图9 解除带宽保留限制    dtc29

    2、优化Windows Media Player网络缓冲

    带宽的普及，使得在线收看各种视频节目成为了可能，但说实话，目前国内的网络环境并不令人满意，当晚间上网高峰时，要想流畅的观看在线视频节目，可就成了一件难事，时不时的缓冲，成为了家常便饭。
    面对此种情形，有些朋友或许想到了升级宽带，但实际上，播放的不流畅，除了受到用户自身的网络条件影响以外，还受限于服务端的带端，如果服务端的带宽不足，那么即使用户使用百M宽带也是无补于事的。
    鉴于此，我们只能寻求新的解决方法。打开组策略，依次展开“本地计算机策略→用户配置→管理模板→Windows组件→Windows Media Player→网络”，双击右侧窗口中的“配置网络缓冲”项，在弹出的窗口中，如图10所示，勾选“已启用”项，在“缓冲时间”下拉菜单中选择“自定义”，然后在“配置网络缓冲”栏中输入缓冲时间（单位为秒）。一般的，出于播放流畅的考虑，我们可以将缓冲时间设置为最大值，即60秒。
图10 设置WMP缓冲时间    dtc30

    完成以上设置后，当使用Windwos Media Player播放网络视频时，其都会在完成60内容下载后才开始播放，缓冲的时间长了，自然也就减小了播放中断的机率，从而能够提供尽可能流畅的视频播放画面。

    3、关闭一系列不必要的系统服务

从Windows XP开始，一些新增的功能，例如CD刻录、系统还原等都被集成在了系统中，但一般情况下，很多功能并不是我们所需要的，而开启这些服务，无疑占据了一定的系统资源，本着物以致用的原则，我们可以关闭这些服务，将有限的系统资源释放出来，从而提升系统的整体性能。

    关闭缩略图的缓存
    相信朋友们都有这样的经历，在打开一个包含了大量图片的文件夹时，需要等上一会，才会看到有图片显示，而如果电脑的配置比较差，那么等待的时间可就不是一小会了，如果在此期间进行其他操作，还容易产生“无响应”的状况。
    这个问题的产生，主要源于Windows XP的缩略图缓存功能，出于加快图片的缩略图显示速度，系统会先先图片进行缓存，以便下次打开时直接读取缓存中的信息，但结果却事与愿违，这个功能，反而对系统速度造成了影响。
    打开组策略，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右侧窗口中双击“关闭缩略图缓存”项，在弹出窗口中勾选“已启用”项（如图11），确认操作后便关闭了缩略图缓存功能。再打开一个图片目录，是不是发现打开速度被极大的提高了？
图11 关闭缩略图缓存功能    dtc31

    屏蔽系统自带的CD刻录功能
    从Windows XP开始，CD刻录功能便会集成于操作系统之中。微软的原意是为用户提供方便，但实际上，集成的刻录功能并不好用，绝大多数用户使用的仍然是Nero等专业的刻录软件，在这种情况下，CD刻录功能的存在便显得有些多余了。正所谓“眼不见为净”，如此鸡肋的CD刻录功能，自然是要想办法让其从视线中消失。
    运行组策略，依次展开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”，双击右侧窗口中的“删除CD刻录功能”项，在弹出窗口中勾选“已启用”项即可。

    关闭系统还原功能
    在Windows系统中，系统还原功能始于Windows Me，从功能上说，这是个了不起的功能，它允许用户犯错误，即使出现系统问题，也可以在不丢失数据的前提下，将计算机恢复到此前数天的状态，从而将用户的损失降到最低。
    但与此同时，使用系统还原的代价也不小，开启此项功能后，数G的磁盘空间将被占据，同时进行一些比较重要的操作时，系统都会自动建立还原点，这无疑也占用了相当多的系统资源。相对来对，系统还原对于商业用户的意义远大于个人用户，因此，很多朋友选择了将该功能关闭。
    运行组策略，依次展开“本地计算机策略→计算机配置→管理模板→系统→系统还原”，双击右侧窗口中的“关闭系统还原”项，在弹出窗口中勾选“已启用”项，即可以在系统中关闭系统还原功能。