本文并未从专业角度进行详细讲解,而是从应用的角度出发来普及一些代理服务器的基本知识。文章明显是搜集多方资料的拼凑,而且比较老了,但往往越老的东西越接近事物的本质,更容易窥探到原理,对于刚接触的人来说,看起来比专业理论资料更易懂哈~
扫盲篇:
什么是代理服务器?
代理服务器是介于浏览器和Web服务器之间的一台服务器,当你通过代理服务器上网浏览时,浏览器不是直接到Web服务器去取回网页,而是向代理服务器发出请求,由代理服务器来取回浏览器所需要的信息,并传送给你的浏览器。
什么是免费代理服务器 ?
在使用代理猎手等软件搜索代理服务器地址时,会在验证状态栏中出现类似“要密码”、“Free”等字样。如果你把“Free”的地址设置为代理服务器,那你就会发现访问网页时不会要求你输入密码了。这就是“免费的代理服务器”。为什么会出现free的呢?有以下几种情况:
1.是系统漏洞,一旦被网管发现就会被堵上;
2.是善良的网管和其他有机会接近主机的人,将机器设成了代理服务器;
3.是真正的好心人,就是将自己的机器作为免费代理,造福广大同仁。这真值得钦佩!但被查封关闭得也最快。
4.是ISP商为了提高影响,在一段时间内免费开放,一般很短。
使用代理服务器的好处 :
Proxy Server(代理服务器)是Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联(OSI)型的对话层,主要的功能有:
突破自身IP访问限制:
1.访问国外站点。教育网、169网等网络用户可以通过代理访问国外网站。
2.访问一些单位或团体内部资源,如某大学FTP(前提是该代理地址在该资源的允许访问范围之内),使用教育网内地址段免费代理服务器,就可以用于对教育网开放的各类FTP下载上传,以及各类资料查询共享等服务。
3.突破中国电信的IP*:中国电信用户有很多网站是被限制访问的,这种限制是人为的,不同Serve对地址的*是不同的。所以不能访问时可以换一个国外的代理服务器试试。
4.提高访问速度:通常代理服务器都设置一个较大的硬盘缓冲区,当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。
5.隐藏真实IP:上网者也可以通过这种方法隐藏自己的IP,免受攻击。
6.嘿嘿,免费全文。
上手篇:
Internet Explorer中代理的设置方法(适用于直接上internet的用户,否则请看二次或多次代理篇)
1.在IE4.0中的代理设置方法:
在主菜单上选择“查看”→“Internet选项”→“连接”→“通过代理服务器访问Internet”,此时将你找到的代理服务器地址和端口填入,然后点击“确定”,就可以通过代理服务器浏览网页了。
2. IE5.0的代理设置方法:
在主菜单上选择“工具”→“Internet选项”→“连接”→“设置”→“使用代理服务器”,这时将你找到的代理服务器地址和端口填入即可。
提示:对于局域网用户,应点击“连接‘标签下面的’局网域设置”来设置代理。
3. NETSCAPE 4.x的代理设置方法:
选择主菜单上的“Edit”→“Preferences”→“advanced”→“proxies”→“Manual proxy configuration”→“View”,将你找到的代理服务器地址和端口填入,按“OK”完成。
4. Opera的代理设置方法:
选择主菜单上的“设置”→“Proxy选项”,将你找到的代理服务器地址和端口填入即可。
5.网络蚂蚁的代理设置方法:
在主菜单上选择“选项设置”→“参数设置”→“代理”→“添加”,然后将可用的代理服务器地址根据类型填入,如该服务器需要输入用户名和密码,选中代理服务器选项下的“认证”,填入即可。大多数下载软件的代理设置与网络蚂蚁相似,如FlashGet。
进阶篇:
从哪里能找到代理 ?
最原始的方法就是用软件搜索某个网段(现在网上还有很多搜索代理的工具软件),不过这种搜索代理服务器可是很费时的活。通常大家是不会把自己经常使用的代理服务器告诉别人的,因为用的人多了速度自然就会慢。不过网上也有很多网站和BBS都提供免费代理服务器的地址,你可以自己用搜索引擎(如搜狐、新浪)查一下Proxy或者免费代理,就能发现很多类似的网站。
说到搜索代理软件那就首推代理猎手,向导式的在线帮助说明,就算你是第一次使用也应不存在太大的问题。具体步骤如下:
1.从网上收录到尽可能多的代理列表(最好都是可用的),保存为一个以.txt后缀的文本文件,格式如下:
10.19.193.109:1080@SOCKS4
10.19.193.109:1080@SOCKS5
10.19.193.109:21@ftp
10.19.193.109:80@http
10.19.193.109:8080@http
……
(以上地址皆为举例,不一定可用)
2.运用代理猎手到“搜索结果”页面中,点“导入结果”,将.txt格式的代理列表导入。
3.点击“系统”按钮,选择“参数设置”。
4.在“搜索验证设置”页面中对“验证设置”项中的两个超时时间参数进行设置。
5.最后当然是上网的校验。
什么样的代理是好代理?
代理好用的标准:速度快,稳定,当然前提是免费。
在代理猎手3.0以上版本,验证时间栏为“时间特性”,显示情况类似这样:“0.9│1.3│2.6”、“26.3│0.0│26.3”,这三个时间依次代表:连接时间、首次接收数据时间、总验证时间。当然也是越小越好了。决定一个代理的速度的因素有很多,主要有:
1.免费代理服务器所在的网路。大家用proxy主要还是为了出国,因而,四大网络的出口局的带宽就直接决定着其中的proxy的速度。
2.代理服务器的性能。前面的文章提到,proxy不过是一个大cache而已,因此它的硬盘大小、网路的带宽就会影响速度。这和你自己机器是一样的。
3.代理服务器与你的机器之间的距离。proxy主要是为特定对象服务的,其地理分布通常不会太广泛。而广大网友就不会与你所用的proxy之间的距离有多远了。自然,距离越远,速度也就越慢。
4.你所访问的站点的情况。这也是影响proxy速度的原因。你要访问对方的站点,自然要以对方的标准为主,就如同两架速度不同的Modem一样。可惜很多网友常常忽略这点。
高手篇:
怎样使用代理访问被屏蔽掉的网站?
由于某些原因,中国电信把一些国外网站屏蔽掉了,所有国内用户不能与之访问,比如以前非常红火的赔钱网站(Speida),还有一些国外的网站禁止中国的IP访问,解决方法就是使用国外的代理服务器。但是教育网用户不能访问国外网站,所有国外的代理也不能为之使用,是否我们便无能为力了呢?不,我们可以参照下面二次代理的使用方法解决。
1.去Download一个Sockscap32,在设置中填好Socks代理服务器地址。
2.将浏览器的快捷方式拖到SocksCap32的空白框中。
联网后,先启动Sockscap32。再在浏览器中填上国外代理服务器的地址,在SocksCap32中运行浏览器即可。
如何通过代理使用FoxMail收信?
可以使用sockscap32解决。前提:有一个好用的Socks代理,通过一个可以访问的Socks代理(Socks5或者Sock4代理),将FoxMail的快捷方式拖到SocksCap32的空白框中,你的Foxmail即可以畅通无阻了。同样的方法也适用于Cterm、Sterm等Telnet软件访问教育网内的各大BBS站点,加快速度,而又能隐藏真实IP地址等等。有时会出现不能解析服务器地址的现象,可以先使用ping pop.mail.yahoo.com命令,然后把解析到的IP地址填入Foxmal的POP3服务器选项。
另一法:假设你有POP3代理服务器,例如:203.95.7.196,你的账号为Algam@21cn.com;则在OutlookExpress或FOXMAIL30中应按如下设置:POP3服务器地址中填写:代理服务器地址,203.95.7.196(端口无须设定);SMTP服务器地址为:原来的SMTP服务器地址,smtp.21cn.com(实际上因为不需要用他发信,所以SMTP服务器地址可以随便填写);帐号为:原来账号Algam#21cn.com(既用'#'取代原来的'@'符号);口令为:原来的账号口令。
QQ可以使用代理吗?
有一次笔者的同学在QQ上说:“你怎么跑到深圳去了,你不是在厦门吗?”其实笔者知道这家伙爱卖弄,不就是装了个可以看IP的QQ版本吗,现在有几个人用的QQ不是可以看IP的。QQ使用代理可以隐藏真实IP,这样可以避免一些不必要的骚扰。QQ的会员可以能够使用HTTP代理的功能,而非会员就只能使用Socks代理了。有些公司网络只能上网浏览不能使用QQ,主要是封了Socks端口,避免员工上班的时候用QQ聊天。其实这种情况也有办法解决。首先下载一个SocksOnline软件,是将普通HTTP代理转换为“万能”的Socks5代理的工具,SocksOnline代理是利用了CommOnline的在线通讯能力,进行Socks代理转接。SocksOnline代理使用非常简单,只要将客户端应用的Socks5代理设置到SocksOnline的地址,客户端即能正常使用。
使用代理上QQ
假设你有Socks5代理服务器,例如:202.96.58.241;则在oicq系统菜单==>系统参数==>网络设置下,在使用Proxy Socks5 防火墙前面打勾==>在防火墙地址中填入代理的地址==> 端口号中填入socks5的端口号(一般是1080),如果不确定代理服务器是否可用,可以按校验用户密码边上的测试按钮进行测试。
使用FTP代理服务器(上传/下载文档)
一般FTP软件设置;服务器栏:代理服务器地址,账号为:账号@原FTP服务器地址,密码为:原来的账号口令。以CUTE FTP之中使用FTP代理为例子。菜单栏“FPT”==〉“SETTINGS”==〉“OPTIONS”==〉“FIRE WALL==〉HOST:代理服务器地址==〉PORT:21==〉TYPE:USERuser@site==〉选择“Enable firewall...”
CUTE FTP中使用socks代理服务器(上传/下载文档)
以CUTE FTP4.0为例:Edit==>Settings...==>Connection==>Socks==>选择“socks4”或
“socks5”==>在Host旁边填写上socks4或socks5代理服务器的地址(鉴于socks5十分紧俏,又不稳定,请使用socks4为好)==>选择“Firewall”把“Enable fire ac..”旁边的复选框中的钩去掉。==>点击确定。现在就可以大大方方的使用socks4代理服务器上传主页了。(虽然多数socks代理都能上传主页,但有部分socks代理由于不允许同一ip重复联接,可能不能上传,出现这种情况时,请换一个socks代理)
在网络蚂蚁中设置代理服务器
点击“网络蚂蚁”的菜单“选项”==〉 参数设置==〉 “代理”==〉点击“添加”==〉在“类型”下拉式列表中选择http(get)==>在“地址”中填写http代理服务器的地址;端口填写代理服务器的端口(例如80);在“名称”中随便起个名字==〉一路选择“确定”当下载东西时,选择好了文件存放的本地文件夹之后,不要忙于点“确定”。应该点“代理”选择希望使用的代理服务器的名称,然后再点击“确定”,就可以使用这个代理服务器下载了。顺便说一句,本站长用“蚂蚁+自己专用的http代理”下载1M以上东西通常也都是能稳定在6k/s左右。
CTERM2000中使用telnet代理访问BBS
文件==>地址簿==>选择自己要去的bbs或者自己增加新的bbs站==>将原来放置在“地址”栏中的bbs的地址(例如:网易的bbs.nease.net)剪贴到“自动登陆”栏中,原来的地方填写telnet代理服务器的ip地址(例如:203.93.37.248)==>然后最好在“自动登陆”栏中bbs.nease.net后面加上“/n”表示回车,如果知道进入时需要键入什么用户名之类的还可以加上其他的转意符和字符。(具体可以看他的Help)==>为了方便,建议点击“输出到文档”按钮,将设置存入文档,方便以后使用==>然后就可以按“连接站点”了。顺便说一句:我对cterm2000的印象很好,使用也很简单,建议要上bbs的用户使用。
二级代理篇:
对于在教育网和科技网内的朋友,直接从国外下载需要支付高额流量费,或机器不能直接连出国,所以要使用国外的代理,还得先学会用二级代理。二级代理的设置方法参见 "Httport"的说明文章。"socks2http + Sockscap" 设置,参见其它代理设置网站。有一点需要注意的是:并不是所有的代理都能用作一级代理,只有支持SSL的HTTP代理才行。 论坛代理专业版中有很多. 一句话:一级代理用支持SSL的免费HTTP代理,二级代理用下载文献的国外代理!
Httport中二级代理设置简介
如果只是想使用二级代理的话,这个软件比socks2http+SocksCap32要方便得多。至于Httport的其它功用,自己慢慢摸索吧,对于这方面的询问,恕不回复!当然有一个前提,就是你所用的一级代理得要支持SSL,其实在socks2http里设的代理也有这个要求。这也就是为什么有些代理不能用在socks2http里的原因.
以202.120.25.36:8080作为一级代理为例,首先在代理页面将202.120.25.36填入主机名或IP地址栏中,别忘了填端口。勾选身份验证,填入用户名和密码(免费代理随便填)。用户代理选IE,用过SSL连接模式,其余不填。二级代理设置在端口映射菜单。"外部HTTP代理"下面的就是你要用的二级代理了,比如2.25.56.58:80。即"远程主机"里填上2.25.56.58,"远程端口"就是80,至于那个"本地端口",比如用3128,那么你在IE里设代理localhost:3128 。点击左边那个的"开始"就行了.
将HTTP代理转为SOCKS代理
首先向大家推荐两个软件:sockscap和socks2http。sockscap我想就不用多说了吧,如果你有socks代理,用了这个自然就能实现二级代理,不过socks代理倒是不多.而socks2http是用http代理模拟socks5代理. 比如用202.38.64.4:8080做socks代理,在socks2http设置中如是填入后,填入你的帐号和密码.再点击 "完成"即可.使用时,在你所用的软件中的socks5代理栏处 填入localhost,端口1080 .这样你所用的自然就是202.38.64.4的socks代理了. 或者运行sockscap,在socks代理设置中填localhost,注意只能用socks5,不能做socks4代理. 但用http模拟的socks代理限于很少的一些网络软件.http浏览没什么问题(注意IE4不支持sockacap),可telnet,ftp就不一定了,好像只有本身支持socks代理的软件才行.建议在telnet时使用Sterm1.0,在ftp时用Absoluteftp.(注意需要使用二级代理的软件,一定要在sockscap里运行,你所用的第一级代理才能生效)。
哇塞,用了这个法子,好处可多多哟!特别是使用64.4的大侠们.用它telnet,ftp前面已述.当教育网那条路断了时,用64.4还是可以的说.特别是可以不再有什么几条线程的限制了,也没有什么不能下载mp3及rm文件的限制了,不信你试试看!只是有点遗憾不能用这个方法上oicq! 我想有了这个方法后,大家再也不用愁什么二级代理的问题了吧.象你如果用64.4模拟成socks5后,照上述方法,再用一个国内的免费代理,连出国,速度也还不马马虎虎,只是你的钞票会哗啦哗啦往外流得少一点了吧!
对于一些没有出校IP,只有学校proxy的朋友,得要用三级代理。设置三级代理就得要httport +socks2http+ sockscap一起用了。先搜索校内可用的代理,例如:202.120.25.36(假设),在httport中用第一级202.120.25.36;或申请国内浏览服务器(注意要填上你的帐号和密码)。第二级用支持SSL的免费代理,在httport的"端口映射"--->外部http代理"中设定。然后在socks2http里用代理localhost,端口就是你在上述"外部http代理"中你用的本地端口(202.120.25.36)。下面就是用sockscap,在里面启动IE,那个能下载文献的代理就往IE里设代理的地方填吧.
二次代理进阶篇:
其实二次代理就是两个代理的级联,有很多Proxy Server本来就支持级联,如 Winproxy、Wingate,不是我们自己开代理,只是使用代理,所以不讨论这个问题,(只讨论如何使用代理,建立代理的问题看看WINGATE等的说明,很容易的。)
先说说要用到的一些软件,Sockscap、Httport、MProxy,这几个软件在网上都能很方便的找到,代理级联一般有http代理和socks代理为基础来进行,常用代理级联大概有以下几种方式:
1、http代理之间的级联。
2、socks代理之间的级联。
3、http代理和其他代理的级联。
4、socks代理和其他代理的级联。
5、tlenet代理之间的级联。
一、http代理之间的级联
http代理级联可以有多种方式来实现,我说说简单的两种吧,最简单的方法就是使用Mproxy,它支持三级http代理级联,支持输入前两级代理的地址和端口即可,然 后就可以使用本地127.0.0.1:888作为代理来访问,不如这个方法的缺陷就是不支持 http代理的认证,不能使用需要认证http代理;另外一种方法使用Httport,其实这个代理功能很强大,现在只是用来http代理间的级联,打开Httport,在proxy页 输入第一级http代理的地址和端口,如果需要认证就选择上认证,输入用户名和密码, 然后到port mapping页,点击Add按钮,在列表中出现New mapping,然后在Remote Host里输入第二级http代理的地址,Remote port里输入第二级http代理的端口, local port里输入本地监听的端口,如3128、8080等端口,在Proxy页点start按钮 后就可以使用本地127.0.0.1:3128作为代理来访问了,需要注意的是第一级http代理 必须支持ssl连接,否则不能级联第二级http代理。
(所谓SSL,是指Secure Sockets Layer,是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。需要说明的是,虽然你浏览的内容是加密的,不过连接站点在代理服务器上边的是可见的。另外,站点的URL和IP在代理服务器上仍然是可见的。找SSL的代理很简单,可以使用AATools之类的软件,也可以直接用FLASHGAT来验证)
需要补充一点的就是,上面的二次代理可以供别人使用,因为是在本地所有ip上进 行监听的,如在你的机器ip是10.9.1.11,本地端口是888,别人能访问10.9.0.11:888 作为二次代理使用,这样你就可以与别人共享你的二次代理了,这里介绍的Mproxy不是 Multiproxy,Multiproxy是做代理验证和调度用的。
二、socks代理之间的级联
socks代理级联也有几种方式,常用的方法是使用sockscap来实现,在sockscap的 Setting对话框中输入socks代理地址、端口,如是socks5还有用户和密码,然后加入 可使用socks代理的软件(FREE的SOCKS更好了!!),如IE,在Internet选项里socks里设置二级socks代理的地址 和端口,在sockscap里运行IE就可以使用上二次socks代理了,像其他的Flashfxp、 Sterm和Leapftp里也一样,在这些软件上设置二级socks代理,然后在sockscap里运行 就可以使用二次socks代理了;另外也可以使用SkSockServer来实现,这个软件支持256 级socks代理的级联,本身也可以作为socks proxy server来使用,跟mproxy差不多, 只要加入各级socks代理地址和端口即可,另外sockschain也是做socks级联的工具。
(SOCKS代理本身的安全性就高。但仍然有可能通过技术手段来监控到实际IP!)
三、http代理和其他代理的级联
http代理跟别的代理级联,这里用的是上面提到的httport,注意第一级http代理 一定要求ssl连接(一定是SSL的代理呀,否则不行的!!),在proxy页输入http代理的地址和端口,然后在 port mapping页加入其他要级联的代理,如telnet代理,在remote host和remote port里输入分别telnet代理的地址和端口,在local port输入本地监听端口,如23, 在proxy页点击start,这样telnet 127.0.0.1 23就是连接到二次代理上,接着输入 要远程登录地址和端口即可,级联socks代理也一样,在port mapping页输入二次代理 的地址、端口和本地监听端口(如1080),这样你就可以在其他软件上使用127.0.0.1:1080 作为二次代理使用了,其他的如ftp、pop3代理也一样这样作为二级代理与http代理级联。
四、socks代理和其他代理的级联
socks代理与其他代理级联,这里介绍的是sockscap,跟上面介绍的一样,在setting 对话框里输入socks代理的地址和端口,然后add其他需要用二次代理的软件,如IE,OE 和flashfxp等软件,只要在internet选项里输入第二级http和ftp代理的地址和端口, 在sockscap里运行IE就能使用二级的http和ftp代理,其他的软件也一样,设置上二级 代理在sockscap里运行即可使用二级代理。
五、tlenet代理之间的级联
其实telnet代理之间的级联很简单,以常用的wingate代理为例,当我们telnet到 代理时出现 Wingate> 的提示,直接输入另外一个telnet代理的地址和端口即可,一般是"ip port",有些代 理是"iport"(如CSM Proxy Server),输入即可连到二次代理上,在二次代理输入 要telnet登录的地址就可以了。
上面介绍了几种常用代理的级联方法,其实就是灵活使用上面的httport、
sockscap等几个软件,只要熟练掌握软件的使用,能够玩出很多的花样来,比如跟 其它的软件配合使用,至于国外的二次代理,http代理可以到multiproxy的主页上 去找,其他代理可以在google上输入free proxy http socks来搜索,最新软件 可以到软件的主页获得,最后说一句,学好httport软件的使用大有前途, 对那些 只开了http代理,其他端口被封的人大有用处,对了大家别用这些方法干坏事哦
三级代理
用httport + s2h + sockscap即:在httport中用第一级代理(注意要填上你的帐号和密码)第二级用支持SSL的免费代理,在httport的"端口映射"--->外部http代理"中设。
然后在socks2http里用代理localhost 端口就是你在上述"外部http代理"中你用的本地端口了下面步骤的就是用sockscap,在里面启动IE,那个能下载文献的代理就往IE里设代理的地方填吧.
对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础
1.什么是组策略
注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2.组策略的版本
对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。
当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
3.在Windows XP中运行组策略
在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。如图1所示。
使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开:
(1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。
(2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。
(3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。
(4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
(5)单击“完成”按钮,组策略管理单元即打开要编辑的组策略对象。
(6)在左窗格中定位需要更改的选项的位置,在右窗格中右键单击需要更改的具体选项,单击“属性”命令,即可打开其属性对话框,从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。
4.组策略中的管理模板
在Windows 2000/XP/2003中包含几个ADM文件。这些文件是文本文件,被称为“管理模板”,它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。
在Windows 2000/XP/2003中,默认的Admin.adm管理模板位于系统文件夹的INF文件夹中,包含了默认安装下的4个模板文件,分别为:
(1)System.adm:默认安装在“组策略”中,用于系统设置。
(2)Inetres.adm:默认安装在“组策略”中,用于Internet Explorer(IE)策略设置。
(3)Wmplayer.adm:用于Windows Media Player设置。
(4)Conf.adm:用于NetMeeting设置。
在策略管理控制台中,可以多次添加“策略模板”,下面让我们来看看具体操作:
首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,单击鼠标右键,选择“添加/删除模板”命令,然后在打开的对话框中单击“添加”按钮,在打开的对话框中选择相应的ADM文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”选项,再单击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了。
注意:下面的操作均在Windows XP中进行。
二、个性化我的电脑
1.删除“开始”菜单中的“文档”菜单项
在多人使用的计算机中,有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息。因此,为了删除用于记录历史文档的“文档”菜单项,我们可以通过修改组策略来实现。
位置:/用户配置/管理模板/任务栏和“开始”菜单/
启用此设置,则系统保存“文档”快捷方式,但不在“文档”菜单中显示它们。如果以后禁用此设置或把它设置为未配置,则启用设置之前及其生效之时保存的“文档”快捷方式会出现在“文档”菜单项中。如图2所示。
注意:此设置不会阻止Windows程序在最近打开的文档中显示快捷方式。
另外,你也可以设置在退出系统时自动清除最近打开的文档的历史记录。
位置:/用户配置/管理模板/任务栏和“开始”菜单/
如果禁用该策略设置,系统就会在用户退出时删除快捷方式。因此,用户登录时,“开始”菜单上的文档菜单总是空的。如果禁用或不配置此设置,系统将保留文档快捷方式,并且用户登录时的文档菜单看起来与用户退出系统时完全相同。
注意:系统在/Documents and Settings/<用户名>/Recent文件夹中的用户配置文件中保存文档快捷方式。
2.删除“开始”菜单中的“运行”菜单项
在“开始”菜单中有“运行”菜单项,可以输入程序名称来启动程序。我们可以将“运行”菜单项从“开始”菜单中删除。
位置:/用户配置/管理模板/任务栏和“开始”菜单/
如果启用该设置,发生如下更改:
(1)“运行”命令从“开始”菜单中删除。
(2)新建任务(运行)命令从任务管理器删除。
(3)阻止用户在IE地址栏中输入下列项:
UNC路径://<server>/<share>。
访问本地驱动器:例如,C:。
访问本地文件夹:例如,/temp>。
同时,使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设置,用户可以访问“开始”菜单和任务管理器的“运行”命令,以及使用IE地址栏。
注意:这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。
3.给“开始”菜单减肥
如果觉得Windows的“开始”菜单太臃肿,你完全可以通过组策略设置将不需要的菜单项从“开始”菜单中删除。
位置:/用户配置/管理模板/任务栏和“开始”菜单/
在组策略右侧窗格中,提供“从‘开始’菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、从‘开始’菜单删除公用程序组、从‘开始’菜单中删除“我的文档”图标等配置项目。你只要将不需要的菜单项所对应的策略启用即可。
4.隐藏和禁用桌面上的所有项目
该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目。
位置:/用户配置/管理模板/桌面/
该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和快捷方式所代表的项目。
5.退出时不保存用户设置
该策略用于防止用户保存对桌面的某些更改。
位置:/用户配置/管理模板/桌面/
如果你启用这个设置,用户可以对桌面做某些更改,但有些更改,比如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
6.启用/禁用“活动桌面”(Active Desktop)
活动桌面是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能,它最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且防止用户启用它)。
位置:/用户配置/管理模板/桌面/Active Desktop
提示:如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置,“禁用Active Desktop”设置会被忽略。如果“禁用Active Desktop和Web视图”设置(在“用户配置/管理模板/Windows组件/Windows资源管理器”)被启用,Active Desktop就会被禁用,并且这两个策略都会被忽略。
7.从“我的电脑”中删除共享文档
当Windows用户在一个工作组中,一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置,你可选择不显示这些项目。
位置:/用户配置/管理模板/Windows组件/Windows资源管理器/
如果启用此设置,“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设置,当用户是“工作组”的一部分时,“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现。
8.不要将已删除的文件移到“回收站”
当Windows资源管理器中的一个文件或文件夹被删除时,该文件或文件夹的副本会被放在“回收站”里。使用此策略,你能改变此行为。
位置:/用户配置/管理模板/Windows组件/Windows资源管理器/
如果启用此设置,使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里,因此被永久删除。如果禁用或不配置此设置,使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里。
三、利用组策略进行系统设置
1.登录时不显示欢迎屏幕
为了加快计算机启动的速度,我们完全可以通过组策略设置在每次用户登录时将Windows XP欢迎屏幕隐藏。
位置:/用户配置/管理模板/系统/
要显示欢迎屏幕,请依次单击“开始→程序→附件→系统工具”选项,然后单击“开始”选项。要在不指定设置的情况下不显示欢迎屏幕,请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”选项。
注意:这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设置,“计算机配置”中的设置比“用户配置”中的设置优先。
2.配置驱动程序查找位置
默认情况下,Windows将从本地安装、软盘驱动器、光盘驱动器、Windows Update等位置搜索驱动程序。此设置配置查找到新硬件时Windows将要搜索驱动程序的位置。
位置:/用户配置/管理模板/系统/
如果启用此设置,你可以通过检查位置名称的相关复选框,删除这三个位置中的任何位置。如果禁用或不配置此设置,Windows将从本地安装、软盘驱动器、光盘驱动器和Windows Update等位置中搜索驱动程序。
3.关闭自动播放
一旦你将媒体插入驱动器,自动运行就开始从驱动器中读取。这会造成程序的设置文件和在音频媒体上的音乐立即开始。该策略将关闭自动运行功能。
位置:/用户配置/管理模板/系统/
如果你启动这项设置,你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行。
注意:这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。
另外,此设置不阻止自动播放音乐 CD。
4.只运行许可的Windows应用程序
该策略可以限制用户可以运行的Windows程序。
位置:/用户配置/管理模板/系统/
如果你启用这个设置,用户只能运行你加入“允许运行的应用程序列表”中的程序。
这个设置只能防止用户从Windows资源管理器启动程序。无法防止用户用其他方式启动程序,例如任务管理器。如果用户可以访问命令提示符窗口,这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序。
注意:要创建允许的文件列表,请单击“显示”按钮,在打开的对话框中单击“添加”按钮,然后输入应用程序的执行文件名称(例如,Winword.exe、Poledit.exe、Powerpnt.exe)。如图3所示。
5.删除任务管理器
当我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框。任务管理器可以让用户启动或终止程序、监视计算机性能、查看及监视计算机上所有运行中的程序(包含系统服务)、搜索程序的执行文件名、更改程序运行的优先顺序。在这里,我们可以通过组策略删除任务管理器。
位置:/用户配置/管理模板/系统/Ctrl+Alt+Del选项/
如果该设置被启用,并且用户试图启动任务管理器,系统会显示消息,解释是一个策略禁止了这个操作。
6.删除改变“密码”选项
该策略可以防止用户通过任务管理器更改系统密码。
位置:/用户配置/管理模板/系统/Ctrl+Alt+Del选项/
这个设置停用Windows安全设置对话框上的“更改密码”按钮。但是,用户在得到系统提示时依旧可以更改密码。管理员要求新密码和密码作废时,系统会提示用户输入新密码。
7.不允许运行Windows Messenger
Windows XP自带有聊天工具Windows Messenger,但是,我们也有可能在系统中安装MSN Messenger。该策略允许你禁用Windows Messenger。
位置:/用户配置/管理模板/Windows组件/Windows Messenger
如果启用该策略,Windows Messenger将不会运行。如果禁止或不配置该策略,Windows Messenger可以被使用。
注意:如果启用这个策略,远程协助无法使用Windows Messenger。另外,这个策略也会出现在“计算机配置”中。如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。
8.关闭系统还原功能
系统还原是Windows XP/2003中集成的强大功能,它在系统运行的同时,备份被更改的文件和数据,如果出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将计算机还原到以前的状态。默认情况下,系统还原处于打开状态。
但这一功能付出的代价也是相当大的,系统性能会明显下降,磁盘空间也会被占用很多。对于配置不高的计算机来说,强烈建议关闭此功能。
位置:/计算机配置/管理模板/系统/系统还原/关闭系统还原
启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界面”。
四、利用组策略调整上网设置
1.禁用导入和导出收藏夹
禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。
位置:/用户配置/管理模板/Windows组件/Internet Explorer
如果启用该策略,“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置,则用户可以通过单击“文件”菜单上的“导入和导出”菜单项,然后运行“导入/导出向导”,导入/导出IE中的收藏夹。
注意:如果启用该策略,用户仍然可以查看“导入/导出向导”,但当用户单击“完成”按钮时,将出现说明该功能已被禁用的提示信息。
2.禁用更改“高级”选项卡的设置
禁止用户更改“Internet 选项”对话框中“高级”选项卡上的设置。
位置:/用户配置/管理模板/Windows组件/Internet Explorer
如果启用该策略,则用户无法更改高级Internet设置,如安全、多媒体和打印。用户无法选中“高级”选项卡上的复选框,也不能清除这些复选框的复选标记。如果禁用该策略或不对其进行配置,则用户可以选择或清除“高级”选项卡上的设置。
如果设置了位于/用户配置/管理模板/Windows组件/Internet Explorer/Internet控制面板中的“禁用高级页”策略,则无需设置该策略,因为“禁用高级页”策略将删除界面上的“高级”选项卡。
3.对拨号连接使用“自动检测”属性
自动检测在浏览器第一次启动时使用 DHCP(动态主机配置协议)或DNS服务器来自定义浏览器。该策略指定自动检测用于用户的拨号设置的配置。
位置:/用户配置/管理模板/Windows组件/Internet Explorer
如果启用该设置,自动检测将配置用户的拨号设置。如果禁用该配置或不配置,自动检测不会配置用户的拨号设置,除非用户指定。
4.禁用Internet连接向导
禁止用户运行Internet连接向导。
位置:/用户配置/管理模板/Windows组件/Internet Explorer
如果启用该策略,“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将变灰。用户也无法通过单击桌面上的“连接到Internet”图标或单击“开始→程序→附件→通讯”,然后单击“Internet连接向导”运行Internet连接向导。如果禁用该策略或不对其进行配置,则用户可以通过运行Internet连接向导,更改连接设置。
注意:该策略与位于\用户配置\管理模板\Windows 组件\Internet Explorer\Internet控制面板中的“禁用连接页”策略有相似之处,后者将删除界面上的“连接”选项卡。从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”菜单中运行Internet连接向导。
5.禁用表单的自动完成功能
禁止IE自动完成表单,如填写用户以前在网页中输入过的姓名或密码。
位置:/用户配置/管理模板/Windows组件/Internet Explorer
如果启用该策略,“表单”复选框将变灰。单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮,即可出现“表单”复选框。如果禁用该策略或不对其进行配置,则用户可以启用表单的自动完成功能。
位于/用户配置/管理模板/Windows组件/Internet Explorer/Internet控制面板中的“禁用内容页”策略的优先级高于该策略。如果启用了“禁用内容页”策略,该策略将被忽略,因为“禁用内容页”策略将删除“控制面板”中“Internet Explorer属性”对话框中的“内容”选项卡。
注意:如果用户已开始使用启用了表单自动完成功能的浏览器后,再启用该策略,则不会清除用户已经使用表单自动完成功能在表单中所填写的内容。
6.配置媒体浏览栏属性
媒体浏览器栏播放来自Internet的音乐和视频内容,该策略允许管理员启用和禁用媒体浏览器栏和设置默认自动播放。
位置:/用户配置/管理模板/Windows组件/Internet Explorer
如果禁用媒体浏览器栏,用户无法显示媒体浏览器栏。自动播放功能也被禁用。当用户在IE中单击一个链接,系统中的默认媒体客户端将播放内容。如果启用媒体浏览器栏或不配置,用户可以显示和隐藏媒体浏览器栏。
管理员也可以打开和关闭自动播放功能。该设置只在媒体浏览器栏启用时应用。如果选择,媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容。如果不选择,系统上的默认媒体客户端将播放内容。
7.禁用右键快捷菜单
禁止在用户使用IE过程中单击鼠标右键时出现快捷菜单。
位置:/用户配置/管理模板/Windows组件/Internet Explorer/浏览器菜单
如果启用该策略,在用户指向网页,然后单击鼠标右键时将不出现快捷菜单。如果禁用该策略或不对其进行配置,则用户可以使用快捷菜单。
8.自定义IE标题栏
我们可以利用组策略自定义出现在IE和OE标题栏中的文本。无论软件包中是否有OE或者用户计算机上已经安装了OE,都将更新OE标题栏。
位置:/用户配置/管理模板/Windows设置/Internet Explorer维护/浏览器用户界面/浏览器标题
请在打开的对话框中选中“自定义标题栏”选项,然后在“标题栏文本”框中键入希望的文本。
注意:在选择某个位图时,要确保颜色与文本的对比度。这为用户确保了更高程度的可读性。
9.自定义IE工具按钮
我们可以利用该策略个性化出现在IE中的工具栏,给你一定的灵活性和设计机会。可以使用的元素包括用于标准工具栏按钮(例如“搜索”和“历史”)的工具栏背景和图标外观。
位置:\用户配置\管理模板\Windows设置\Internet Explorer维护\浏览器用户界面\浏览器工具栏自定义
在打开的对话框中单击“添加”按钮,然后在打开的对话框中在“工具栏标题(必需)”框中,键入用户鼠标悬停在工具栏按钮上时出现的文本。必须指定该按钮的标题或标签。建议的最大长度是10个字符。
在“工具栏操作(作为脚本文件或可执行文件,必需)”框中,键入脚本文件或可执行文件的名称,或者单击“浏览”按钮查找文件。必须指定用户单击工具栏按钮时运行的脚本文件或可执行文件。
在“工具栏颜色图标(必需)”框中,键入表示按钮为活动状态的文件的名称,或者单击“浏览”按钮查找该文件。必须指定出现在工具栏上的按钮的彩色图标。图标由活动和非活动状态的20×20像素的图像组成。
在“工具栏灰度图标(必需)”框中,键入出现在黑白监视器上的工具栏的灰度图标文件名和位置,或者单击“浏览”按钮查找文件。必须指定显示在工具栏上按钮的灰度图标。
选中“默认情况下,该按钮应显示在工具栏上”复选框来显示默认情况下用户浏览器中的工具栏按钮。
五、利用组策略设置优化网络环境
1.禁止访问网络连接组件的属性
“本地连接属性”对话框包括连接时使用的网络组件列表。要查看或更改组件属性,请单击组件名称,然后单击组件列表下面的“属性”按钮,如图4所示。该策略确定用户是否可以更改由网络连接使用的组件属性,它确定是否启用用于网络连接组件的“属性”按钮。
位置:/用户配置/管理模板/网络/网络连接/
如果启用此设置(并启用“为管理员启用网络连接设置”设置),就会为管理员禁用“属性”按钮。无论“为管理员启用网络连接设置”设置启用与否,用户都不可以访问连接组件。如果禁用或不配置“为管理员启用网络连接设置”。
如果禁用或不配置此设置,将为用户启用“属性”按钮。
2.禁用TCP/IP高级配置
确定用户是否可以配置TCP/IP 设置。
位置:/用户配置/管理模板/网络/网络连接/
如果启用此设置(并启用“为管理员启用网络连接设置”设置),就对所有用户(包括管理员)禁用“Internet协议(TCP/IP) 属性”对话框上的“高级”按钮。因此,用户不能打开“高级TCP/IP设置”对话框并修改IP设置(例如,DNS和WINS服务器信息)。如果禁用此设置,则启用“高级”按钮,并且所有用户均可打开“高级TCP/IP设置”对话框。
注意:此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮,用户就无法访问用于TCP/IP配置的“高级”按钮。不管此设置如何,非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限。在用户退出系统之前,将此设置从“启用”更改为“未配置”不会启用“高级”按钮。
3.禁止添加或删除用于网络连接或远程访问连接的组件
“安装”按钮可打开用来添加网络组件的对话框。单击“卸载”按钮可删除组件列表中的选定组件。“安装”和“卸载”按钮出现在用于连接的“属性”对话框之中。这些按钮位于“常规”选项卡和“网络”选项卡上。该策略确定管理员是否可以添加和删除用于网络连接或远程访问连接的网络组件。
位置:/用户配置/管理模板/网络/网络连接/
如果启用此设置(并启用“为管理员启用网络连接设置”设置),就会禁用用于连接组件的“安装”和“卸载”按钮,并且不允许用户访问“Windows组件向导”中的网络组件。如果禁用或不配置此设置,就会启用用于“网络连接”文件夹中连接组件的“安装”和“卸载”按钮。同样地,用户可以访问“Windows组件向导”中的网络组件。
4.禁止访问网络连接的属性
右键单击“网上邻居”图标,在打开的快捷菜单中可以看到“属性”菜单项,用于打开网络连接属性对话框,该策略确定用户是否可以更改网络连接的属性。
位置:/用户配置/管理模板/网络/网络连接/
如果启用此设置(并启用“为管理员启用网络连接设置”设置),就对所有用户禁用“属性”菜单项,而且用户不能打开“连接属性”对话框。如果禁用或不配置此设置,右键单击“网上邻居”的图标时,就会出现“属性”菜单项。同样地,当用户选择此连接时,就会启用“文件”菜单上的“属性”菜单项。
注意:此设置优先于操作“局域连接属性”对话框内的功能的可用性设置。如果启用此设置,用户将不可使用网络连接的属性对话框内的任何功能。
5.更改所有用户远程访问连接的属性
该策略用于确定用户是否可以查看和更改对计算机所有用户可用的远程访问连接的属性。此设置确定是否启用“属性”菜单项,以及远程访问连接属性对话框是否对用户可用。
位置:/用户配置/管理模板/网络/网络连接/
如果启用此设置,任何用户右键单击用来进行远程访问连接的图标时,就会出现“属性”菜单项。同样地,当任何用户选择连接时,“文件”菜单上就出现“属性”。如果禁用此设置(并启用“为管理员启用网络连接设置”设置),就会禁用“属性”菜单项,并且用户(包括管理员)无法打开远程访问连接对话框。如果不配置此设置,则只有管理员才可以更改所有用户远程访问连接的属性。
注意:此设置优先于操作远程访问连接属性对话框内的功能的可用性设置。如果禁用此设置,则用户不可使用用于远程访问连接的属性对话框内的任何功能。
6.为管理员启用Windows XP网络连接设置
该策略确定Windows XP中的已有设置是否适用于管理员。默认情况下,Windows XP中的“网络连接”组设置不具有禁止管理员使用功能的能力。
位置:/用户配置/管理模板/网络/网络连接/
如果启用此设置,已存在于Windows XP中的设置会具有阻止管理员使用某些功能的能力。这些设置为包括:“重命名所有用户可以使用的网络连接或远程访问连接的能力”、“禁止访问网络连接组件的属性”、“禁止访问远程访问连接组件的属性”、“访问TCP/IP高级配置的能力”、“禁止访问高级菜单上的高级设置项”、“禁止添加和删除用来进行网络连接或远程访问连接的组件”、“禁止访问网络连接的属性”、“禁止启用/禁用网络连接组件”、“更改所有用户远程访问连接的属性的能力”、“禁止更改专用远程访问连接的属性”、“禁止删除远程访问连接”、“删除所有用户远程访问连接的能力”、“禁止连接和断开连接远程访问连接”、“启用/禁用网络连接的能力”、“禁止访问新建连接向导”、“禁止重命名专用远程访问连接”、“禁止访问高级菜单上的拨号参数选择项”、“禁止查看活动连接的状态”。启用此设置时,上述设置对管理员的行为有效。如果禁用或不配置此设置,上述设置将不适用于管理员。
注意:此设置是专用于正在应用这些设置的组策略对象同时包含Windows 2000和Windows XP计算机的情形中,并且在所有Windows 2000和Windows XP计算机之间必需相同的网络连接策略行为。
六、精心维护系统安全
1.防止从“我的电脑”中访问磁盘驱动器
该策略可以防止用户使用“我的电脑”访问所选驱动器的内容。
位置:/用户配置/管理模板/Windows组件/Windows资源管理器/
如果启用了这项设置,用户无法查看在“我的电脑”或Windows资源管理器中所选驱动器的内容。同时它也无法使用运行对话框、镜像网络驱动器对话框、或使用Dir命令查看在这些驱动器上的目录。要利用这些设置,请选择一个驱动器或几个驱动器。要允许访问所有驱动器目录,请禁用这项设置或选择“不要限制驱动器”选项。
注意:驱动器的图标仍会出现在我的电脑中,但是如果用户双击图标,会出现一个消息解释设置防止这一操作。同时这以设置不会防止用户使用程序访问本地和网络驱动器。
2.禁止“注销”和“关机”
当计算机启动以后,如果你不希望该用户进行关机和注销操作,可以通过组策略来完成设置。
位置:/用户配置/管理模板/任务栏和“开始”菜单/
这个设置会从“开始”菜单删除“关机”选项,并禁用“Windows任务管理器”对话框中的“关机”选项(按Ctrl+Alt+Del会出现该对话框)。另外需要注意的是,此设置虽然可防止用户用Windows界面来关机,但无法防止用户用其他第三方工具程序来将Windows关闭。
提示:如果启用“删除‘开始’菜单上的‘注销’”策略,则还从“‘开始’菜单选项”删除“显示注销”项目。结果是用户无法将“注销<用户名>”项目还原到“开始”菜单(只能通过手动修改注册表的方法)。这个设置只影响“开始”菜单。它不影响“Windows 安全性”对话框中的“注销”选项(因此需要同时启用“删除和阻止访问‘关机’命令”);而且不防止用户用其他方法注销。
3.阻止访问命令提示符
防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在计算机上运行。
位置:/用户配置/管理模板/系统/
如果启用这个设置,用户试图打开命令窗口,系统会显示一个消息,解释设置阻止这种操作。
注意:如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件;也不防止使用终端服务的用户运行批文件。
4.阻止访问注册表编辑工具
该策略将禁用Regedit.exe,以禁用Windows注册表编辑器。
位置:/用户配置/管理模板/系统/
如果这个设置被启用,并且用户试图启动注册表编辑器,解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管理工具,请使用“只运行许可的Windows应用程序”策略设置。
5.禁止访问控制面板
控制面板允许用户配置其计算机、添加或删除程序和更改设置。该策略用于防止“控制面板”的程序文件Control.exe的启动,用户无法启动“控制面板”或运行任何“控制面板”项目。
位置:/用户配置/管理模板/控制面板/
该策略还从“开始”菜单中删除“控制面板”菜单项,也将“控制面板”文件夹从Windows资源管理器中删除。如果用户想从右键快捷菜单的“属性”选项中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。
6.隐藏指定的控制面板程序
该策略将控制板面的项目(如显示)和文件夹从控制版面和“开始”菜单中删除。它可以删除Windows XP中包含的控制板面的项目,也可以删除你在系统里添加的控制面板项目。
位置:/用户配置/管理模板/控制面板/
若想隐藏一个控制面板项目,请在打开的对话框中,单击“已启用”选项,然后单击“显示”按钮,在打开的对话框中,单击“添加”按钮,输入该项目的文件名即可,如Ncpa.cpl(用于网络)。若想隐藏一个文件夹,输入该文件夹名即可,如“字体”。
此设置只影响“开始”菜单和控制面板窗口。它不会阻止用户使用“运行”对话框来运行控制面板项目。
注意:要寻找控制面板项目的文件名称,请在/System32目录中寻找.cpl文件名称的扩展。
7.密码保护屏幕保护程序
该策略确定计算机上使用的屏幕保护程序是否受密码保护。
位置:/用户配置/管理模板/控制面板/显示/
如果你启用了这项设置,所有屏幕保护程序都是有密码保护。如果你禁用了这项设置,密码保护就不能在任何屏幕保护程序上设置。这项设置也禁用了“控制面板”中“显示”项中的“屏幕保护程序”的“密码保护”复选框,防止用户更改密码保护策略。如果你不配置该策略,用户选择使用在每个屏幕保护程序上设置密码保护。
注意:只有当在计算机上指定屏幕保护程序时才可使用这项设置。
七、用组策略完善Windows娱乐功能
1.防止CD和DVD媒体信息检索
该策略防止Windows Media Player 9.0运行时从Internet检索有关CD及DVD的媒体信息。另外,首次使用对话框的“隐私选项”选项卡和播放机“隐私”选项卡中的“从Internet检索CD和DVD媒体信息”复选框都未选中,并且不可用。
位置:/用户配置/管理模板/Windows组件/Windows Media Player
如果未配置或禁用了该策略,则用户可以对“从Internet检索CD和DVD媒体信息”复选框的设置进行更改。
2.防止音乐文件媒体信息检索
该策略防止Windows Media Player 9.0自动从Internet获取有关音乐文件(例如Windows Media Audio (WMA)和MP3)的媒体信息。另外,在首次使用对话框和播放机的“隐私”及“媒体库”选项卡中的“通过从 Internet 检索缺少的媒体信息来更新音乐文件(WMA 和 MP3 文件)”都未选中,并且不可用。
位置:/用户配置/管理模板/Windows组件/Windows Media Player
如果未配置或禁用了该策略,则用户可以对“通过从Internet检索缺少的媒体信息来更新音乐文件(WMA和 MP3文件)”复选框的设置进行更改。
3.指定流媒体协议
该策略指定了可以使用在“设置”选项卡中选中的协议从Windows Media服务器接收流媒体。该策略还指定了在“设置”选项卡中选中“多播”复选框时可以接收多播流。
如果在“设置”选项卡中选中了“UDP”复选框,并且“UDP 端口”框为空,则Windows Media Player将使用默认端口播放来自Windows Media服务器的内容。如果未选中“UDP”复选框,“UDP 端口”框中的信息将被忽略。
如果未选择任何协议并启用了该策略,将无法播放来自Windows Media服务器的内容。
位置:/用户配置/管理模板/Windows组件/Windows Media Player/网络
如果启用或禁用了该策略,播放机“网络”选项卡中的“流协议”部分将不可用。如果启用了“隐藏‘网络’选项卡”策略,则整个“网络”选项卡将隐藏起来。如果禁用该策略,播放机将无法从Windows Media服务器接收流媒体。如果有必要控制所接收的流媒体的类型,建议使用其他方法,如防火墙。如果未配置该策略,并且未启用“隐藏‘网络’选项卡”策略,则用户可以对“网络”选项卡中“流协议”部分的设置进行更改。
4.配置HTTP代理
该策略指定了HTTP协议的代理服务器设置。如果启用该策略,必须选择一种代理类型(自动检测、自定义或使用浏览器代理服务器设置)。自动检测即系统自动检查代理服务器设置。自定义即使用惟一的代理服务器设置。使用浏览器代理服务器设置则意味着使用浏览器的代理服务器设置。
如果选择自定义代理服务器类型,则必须指定“设置”选项卡中的其余选项,这是因为代理服务器没有默认设置。如果选择“自动检测”或“浏览器”,则可以忽略这些选项。
播放器“网络”选项卡中的“配置”按钮对HTTP协议无效,因此无法配置代理服务器。如果还启用了“隐藏网络选项卡”策略,则整个“网络”选项卡都不可见。
如果启用了“流媒体协议”策略,且未选择HTTP协议,该策略将被忽略。
位置:/用户配置/管理模板/Windows组件/Windows Media Player/网络
如果禁用该策略,HTTP代理服务器将无法使用,用户也将无法配置HTTP代理服务器。如果未配置该策略,用户便可以配置HTTP代理服务器设置。
5.配置MMS代理服务器
该策略指定了MMS协议的代理服务器设置。如果启用该策略,必须选择一种代理类型(自动检测或自定义)。“自动检测”表示系统自动检测代理服务器设置。“自定义”表示使用惟一的代理服务器设置。
如果选择“自定义”代理类型,则必须指定“设置”选项卡中的其余选项。否则,将使用默认设置。如果选择“自动检测”,这些选项将被忽略。
播放器“网络”选项卡中的“配置”按钮不可用,并且无法配置协议。如果还启用了“隐藏‘网络’选项卡”策略,则整个“网络”选项卡将隐藏起来。
如果启用了“流媒体协议”策略,并且未选择“多播”,该策略将被忽略。
位置:/用户配置/管理模板/Windows组件/Windows Media Player/网络
如果禁用该策略,MMS代理服务器将无法使用,用户将无法配置MMS代理服务器设置。如果未配置该策略,则用户可以配置MMS代理服务器设置。
转载自:http://blog.csdn.net/xiaoxiaorenky/article/details/6229734,感谢原作者以及分享者!