组策略用户配置管理模板系统Word文件下载.docx
- 文档编号:22315180
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:22
- 大小:26.61KB
组策略用户配置管理模板系统Word文件下载.docx
《组策略用户配置管理模板系统Word文件下载.docx》由会员分享,可在线阅读,更多相关《组策略用户配置管理模板系统Word文件下载.docx(22页珍藏版)》请在冰豆网上搜索。
如果启用此设置,您可以通过选择位置名称旁边的相关复选框,删除这三个位置中的任何位置。
如果禁用或不配置此设置,Windows将搜索安装位置、软盘驱动器、CD-ROM驱动器。
要阻止搜索WindowsUpdate以查找驱动程序,您可以参阅“管理模板/系统/Internet通信管理/Internet通信设置”中的“关闭WindowsUpdate设备驱动程序搜索”。
设备驱动程序的代码签名
决定用户安装没有经过数字签名的设备驱动程序文件时系统如何响应。
这个设置建立组用户的系统上所允许的最不安全的响应。
用户可以用“控制面板”中的“系统”来选择一个更安全的设置;
但当这个设置被启用时,系统不会使用任何比设置建立的设置更不安全的设置。
启用这个设置时,用下拉框来指定需要的响应。
--“忽略”指引系统在包括未经签名的文件的情况下继续安装。
--“警告”通知用户文件没有经过数字签名,并让用户决定是否要停止还是继续安装并允许安装未经签名的文件。
“警告”是默认值。
--“阻碍”指引系统拒绝安装未经签名的文件。
结果是,安装会停止,驱动程序包中的文件不会得到安装。
不指定设置就改变驱动程序文件安全设置,请用“控制面板”中的“系统”。
右键单击“我的电脑”,单击“属性”,单击“硬件”选项卡,然后单击“驱动程序签名”按钮。
自定义用户界面
为Windows2000指定另一个用户界面。
Explorer程序(%systemdrive%\programfiles\internetexplorer\iExplorer.exe)创建熟悉的Windows界面,但您可以使用这个设置指定另一个界面。
如果启用这个设置,系统会启动您指定的界面,而不启动Explorer.exe。
要使用这个设置,将界面程序复制到网络共享或系统驱动器。
然后,启用这个设置,在内壳名称文字框中键入界面程序的名称,包括文件扩展名。
如果界面程序文件不在系统的路径环境变量中指定的文件夹中,则输入文件的完全合格的路径。
如果停用或不配置这个设置,设置被忽略,系统不显示Explorer界面。
提示:
要查找路径环境变量指定的文件夹,请单击“控制面板”中的“系统属性”,单击“高级”选项卡,单击“环境变量”按钮,然后在“系统变量”框中单击Path。
阻止访问命令提示符
防止用户运行交互式命令提示Cmd.exe。
这个设置还决定批文件(.cmd和.bat)是否可以在计算机上运行。
如果启用这个设置,用户试图打开命令窗口,系统会显示一个消息,解释设置阻止这种操作。
如果计算机使用登录、注销、启动或关闭批文件脚本,不防止计算机运行批文件;
也不防止使用终端服务的用户运行批文件。
阻止访问注册表编辑工具
禁用Windows注册表编辑器Regedit.exe。
如果这个设置被启用,并且用户试图启动注册表编辑器,解释设置禁止这类操作的消息会出现。
要防止用户使用其它系统管理工具,请使用“只运行许可的Windows应用程序”设置。
只运行许可的Windows应用程序
限制用户可以在计算机上运行的Windows程序。
如果您启用这个设置,用户只能运行您加入“允许运行的应用程序列表”中的程序。
这个设置只能防止用户从Windows资源管理器启动程序。
无法防止用户用其它方式启动程序,例如任务管理器,因为它是从系统启动程序。
如果用户可以访问“命令提示符”(Cmd.exe)的话,这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序。
对于有Windows2000或更新版本的证明的第三方应用程序,要求附加此设置。
要创建允许的文件列表,单击“显示”,单击“添加”,然后输入应用程序的执行文件名称(例如,Winword.exe,Poledit.exe,Powerpnt.exe)。
不要运行指定的Windows应用程序
防止Windows运行您在这个设置中指定的程序。
如果启用这个设置,用户则无法运行添加到不允许的应用程序列表的程序。
这个设置只阻止用户运行Windows资源管理器启动的程序。
不阻止用户运行由系统过程或其它过程启动的程序,如任务管理器。
同时,如果您允许用户访问命令提示符Cmd.exe,这个设置不防止用户在命令窗口启动他们不能用Windows资源管理器启动的程序。
要创建一个不允许的应用程序列表,单击“显示”,单击“添加”,然后输入应用程序的执行文件名称(例如,Winword.exe,Poledit.exe,Powerpnt.exe)。
关闭自动播放
关闭自动运行功能。
一旦您将媒体插入驱动器,自动运行就开始从驱动器中读取。
这会造成程序的设置文件和在音频媒体上的音乐会立即开始。
在默认的情况下,自动运行在软盘驱动器和网络驱动器上禁用(但不在CD-ROM驱动器上禁用)。
如果您启动这项设置,您还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行。
这项设置在驱动器的其它类别中禁用自动运行。
您不能用这项设置在默认禁用的驱动器上启用自动运行。
这个设置出现在“计算机配置”和“用户配置”两个文件夹中。
如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。
此设置不阻止自动播放音乐CD。
限制这些程序从帮助启动
允许您限制程序从联机帮助中运行。
如果启用这个设置,您可以阻止指定的程序被允许从帮助运行。
启用这个设置时,输入您要限制的程序的列表。
输入每个应用程序的执行文件名,并以逗号分隔。
如果禁用或不配置这个设置,用户将可以从联机帮助运行应用程序。
您也可以使用“计算机配置\安全设置”中的软件限制设置来限制用户运行应用程
这个设置位于计算机配置和用户配置。
如果同时设置,每个设置中指定的程序列表都将被限制。
下载丢失的COM组件
让系统在ActiveDirectory中搜索丢失的、程序需要的“组件对象模式”(COM)组件。
许多Windows程序如:
MMC即插即用使用由COM提供的界面。
除非Windows已经内部注册了所需的组件,这些程序不能提供所有的功能。
如果您启用了这个设置但是缺少一个组件的注册,请让系统在ActiveDirectory中寻找,如果找到了,请将其下载。
寻找的结果可能会使某些程序开始或运行缓慢。
如果您禁用这个设置或不配置它,程序会在没有注册的情况下继续。
如果这样,该程序可能无法运行其全部功能,或者会终断。
这个设置出现在“计算机配置”和“用户配置”文件夹中。
如果两个设置都配置,计算机配置中的设置比“用户配置”中的设置优先。
Windows自动更新
此设置控制自动更新到用户的计算机。
每当用户连接到Internet,Windows搜索用户计算机上的可用更新,并自动下载它们。
此操作在后台发生,根据配置的具体情况,在下载的组件准备好安装时或在下载之前,用户会得到提示。
如果启用此设置,它就禁止Windows搜索更新。
如果禁用或不配置此设置,Windows就搜索更新并自动下载它们。
WindowsUpdate是为包含诸如驱动程序、关键更新、帮助文件和Internet产品这样的项目自定义的联机目录,您可以下载Internet产品不断更新计算机。
另请参阅“删除到WindowsUpdate的链接和访问”设置。
如果启用“删除到WindowsUpdate的链接和访问”设置,同时也会删除到“开始菜单”上的“WindowsUpdate”的链接。
如果您安装了WindowsXPServicePack1或者安装了在WindowsXP发布后所发布的自动更新,则您应该使用新的自动更新设置,位于:
计算机配置/管理模板/WindowsUpdate
关闭WindowsUpdate设备驱动程序搜索提示
指定是否提示管理员即将使用Internet搜索WindowsUpdate以查找设备驱动程序。
此设置仅在“管理模板/系统/Internet通信管理/Internet通信设置”中的“关闭WindowsUpdate设备驱动程序搜索”禁用或未配置时起作用。
如果启用此设置,则不会提示管理员即将搜索WindowsUpdate。
如果禁用或不配置此设置并且“关闭WindowsUpdate设备驱动程序搜索”被禁用或未配置,将提示管理员即将转到WindowsUpdate搜索设备驱动程序。
用户配置-管理模板-系统-用户配置文件
将宿主目录连接到共享根目录
将环境变量%HOMESHARE%和%HOMEPATH%的定义还原成WindowsNT4.0和以前版本使用的定义。
如果您启用该设置,系统将使用WindowsNT4.0的定义。
如果您禁用该设置或者没有配置它,系统使用Windows2000操作系统的新定义。
与%HOMEDRIVE%一起,这些变量定义了用户配置文件的主目录。
主目录是本地或远程目录到本地计算机上磁盘驱动器号的永久映射。
在默认情况下,Windows2000Server家族中,%HOMESHARE%存储指向主目录的完整合法路径(例如\\server\share\dir1\dir2\homedir)。
用户可以从主驱动器号访问主目录以及其任何子目录,但不能看到或者访问其父目录。
%HOMEPATH%存储最终的反斜杠,并且用于与以前版本兼容。
在WindowsNT4.0以前版本中,%HOMESHARE%仅存储网络共享名(例如\\server\share)。
%HOMEPATH%存储主目录完整合法路径的其余部分(例如\dir1\dir2\homedir)。
结果是,用户可以使用主目录驱动器号访问主共享上的任何目录。
要在Windows2000Server家族中指定主目录,在“ActiveDirectory用户和计算机”或者“本地用户和组”中,右键单击某个用户帐号,单击“属性”,单击“配置文件”选项卡,在“主文件夹”段中,选择“连接”选项并且选择驱动器号和主目录。
示例:
驱动器Z被映射到\\server\share\dir1\dir2\homedir。
如果该设置被禁用或者没有配置(Windows2000行为):
--%HOMEDRIVE%=Z:
(映射到\\server\share\dir1\dir2\homedir)
--%HOMESHARE%=\\server\share\dir1\dir2\homedir
--%HOMEPATH%=\
如果该设置被启用(WindowsNT4.0行为):
(映射到\\server\share)
--%HOMESHARE%=\\server\share
--%HOMEPATH%=\dir1\dir2\homedir
限制配置文件大小
设置每个用户配置文件的最大值并决定系统在用户配置文件达到最大值时如何响应。
如果停用或不配置这个设置,系统不限制用户配置文件的大小。
如果启用这个设置,您可以执行以下操作:
--设置允许的用户配置文件最大值;
--决定注册表文件是否包括在配置文件大小的计算中;
--决定在配置文件超出所允许的最大值时是否通知用户;
--指定自定义消息,通知用户有超过大小的配置文件;
--决定显示自定义消息的频率。
此设置同时影响本地和漫游配置文件。
不包括漫游配置文件中的目录
允许您添加到从漫游用户配置文件排除的文件夹的列表。
这个设置允许您排除通常包括在用户的配置文件中的文件夹。
结果是,这些文件夹不需要储存在配置文件所在网络服务器,并且不跟随用户到其它计算机上。
在默认情况下,“历史”、“本地设置”、Temp和“临时Internet文件”文件夹都从用户的漫游配置文件被排除。
如果启用这个设置,您可以排除其它文件夹。
如果停用或不配置这个设置,只有默认文件夹被排除。
您不能用这个设置将默认文件夹包括到漫游用户配置文件中。
用户配置-管理模板-系统-脚本
同步运行登录脚本
指示系统在开始Windows资源管理器界面程序和创建桌面之前等待标识脚本完成运行。
如果您启用了这项设置,Windows资源管理器在标识脚本完成运行之前不会开始。
这个设置保证在用户开始工作之前完成标识脚本处理,但是它会延缓桌面的显示。
如果您禁用或不配置这项设置,标识脚本和Windows资源管理器不同步并可以同时运行。
这项设置出现在“计算机配置”和“用户配置”文件夹中。
如果两项设置都启用,在“计算机配置”中的设置比“用户配置”中的设置优先。
以隐藏形式运行现用登录脚本
隐藏为WindowsNT4.0和更早版本写的登录脚本的说明。
登录脚本是指当用户登录试运行的说明批文件。
在默认情况下,在运行时Windows2000在命令窗口中显示为WindowsNT4.0和更早版本写的登录脚本的说明,虽然它不显示为Windows2000写的登录脚本。
如果您启用这项设置,Windows2000不会显示为WindowsNT4.0和更早版本写的登录脚本。
还可参阅“以可见形式运行登录脚本”设置。
以可见形式运行登录脚本
在登录脚本运行期间显示其中的指令。
登录脚本是用户登录时运行的指令批文件。
在默认情况下,系统不显示登录脚本中的指令。
如果启用这个设置,系统会在登录脚本运行时显示每个指令。
指令出现在命令窗口。
这个设置是为高级用户设计的。
如果停用或不配置这个设置,指令则不会显示。
显示注销脚本的运行状态
在注销脚本运行期间显示其中的指令。
注销脚本是用户注销时运行的指令批文件。
在默认情况下,系统不显示注销脚本中的指令。
如果启用这个设置,系统会在注销脚本运行时显示每个指令。
用户配置-管理模板-系统-Ctrl+Alt+Del选项
删除“任务管理器”
防止用户启动“任务管理器”(Taskmgr.exe)。
如果该设置被启用,并且用户试图启动任务管理器,系统会显示消息,解释是一个策略禁止了这个操作。
任务管理器让用户启动或终止程序,监视计算机性能,查看及监视计算机上所有运行中的程序(包含系统服务),搜索程序的执行文件名,及更改程序运行的优先顺序。
删除“锁定计算机”
防止用户锁定系统。
锁定后,桌面会被隐藏,而且系统无法使用。
只有锁定系统的用户或系统管理员才能解除锁定。
不配置设置而锁定计算机,请按Ctrl+Alt+Delete,然后单击“锁定计算机”。
删除“更改密码”
防止用户按需更改他们的Windows密码。
这个设置停用Windows安全设置对话框上的“更改密码”按钮(按Ctrl+Alt+Del时,该按钮会出现)。
但是,用户在得到系统提示时依旧可以更改密码。
管理员要求新密码和密码要过期时,系统会提示用户输入新密码。
删除注销
防止用户注销。
这个设置不允许用户使用任何方法从系统注销,包括从命令行运行的程序,如脚本。
该设置同时还停用或删除所有注销用户的菜单项目和按钮。
同时,参阅“删除「开始」菜单上的‘注销’”设置。
用户配置-管理模板-系统-登录
在用户登录时运行这些程序
当用户在系统上登录,指定Windows自动开始的额外的程序或文件。
要使用这项设置,请单击“显示”,单击“添加”并且在文字栏中键入可执行程序(.exe)文件或文档文件的名称。
您必须指定到此文件的完全合格的路径,除非它位于
%Systemroot%目录。
这个设置出现在“计算机配置”和“用户配置”文件夹中。
如果两个设置都配置,系统会先开始计算机配置中的设置然后才开始用户配置中的设置。
还可参阅“不处理旧的运行列表”和“不处理只运行一次列表”设置。
不处理只运行一次列表
忽略自定义只运行一次列表。
您可创建一个在系统下一次开始时(但仅此一次)自动开始的额外程序和文档自定义列表。
这些程序添加到由系统开始的标准程序和服务列表中。
如果您启用这项设置,系统忽略只运行一次的列表。
如果您禁用或不配置这个设置,系统就会运行在只运行一次的列表中的程序。
如果两项设置都配置,那么“计算机配置”中的设置比“用户配置”优先。
自定义只运行一次列表保存在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce中的注册表中。
还可参阅“不处理旧的运行列表”设置。
不处理旧的运行列表
忽略自定义运行列表。
在WindowsXPProfessional、Windows2000Professional、WindowsNTWorkstation4.0及其更低版本上,您可以创建一个自定义的附加程序和文档列表,列表中的程序和文档可在系统运行时自动启动。
这些程序被添加到系统启动的程序和服务的标准运行列表中。
如果启用此设置,系统将忽略为WindowsNTWorkstation4.0、Windows2000Professional和WindowsXPProfessional配置的运行列表。
如果禁用或不配置此设置,Windows2000将把为WindowsNT4.0及更低版本配置的自定义运行列表添加到其运行列表中。
此策略出现在“计算机配置”文件夹和“用户配置”文件夹中。
如果配置了两项策略,则“计算机配置”中的设置优先于“用户配置”。
要通过使用策略创建自定义运行列表,请使用“启动时运行这些应用程序”设置。
WindowsNT4.0及更低版本的自定义运行列表存储在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run中。
可以使用WindowsNT4.0及更低版本的系统策略编辑程序中的“运行”策略进行配置。
另请参阅“不处理只运行一次列表”设置。
用户配置-管理模板-系统-组策略
用户组策略刷新间隔
指定当计算机在使用中时,用户策略的后台更新频率。
这个策略只指定在“用户配置”文件夹中的组策略的后台更新频率。
除了后台更新之外,在系统启动时也会进行计算机组策略更新。
在默认情况下,计算机组策略会每隔90分钟更新一次,并将时间作0到30分钟的随机调整。
您可以指定0到64,800分钟(45天)的时间间隔。
如果您选择0分钟,计算机会试图每隔7秒进行组策略更新。
但是更新操作会影响用户工作,而且会增加网络流量,请尽量不要设置太短的更新间隔。
如果您禁用这个策略,组策略会每隔90分钟更新一次(默认值)。
如果您不想在计算机使用时进行策略更新,请选择“禁用组策略的后台刷新”策略。
这个策略也可以让您指定实际的更新速度变化。
为了阻止数个客户端同时发出更新请求,系统会使用随机数值来调整更新时间。
您在随机时间框中所键入的数值将会成为随机调整的时间上限。
例如如果您键入30分钟,系统会选择0到30分钟的随机时间。
键入较大的数值会放宽时间上限,而且会减少客户端更新要求重叠的机会,但是会导致明显的更新延迟。
重要须知:
如果启用“停用组策略后台刷新”策略,该策略则被忽略。
这个策略建立计算机组策略的更新频率,如果您要设置用户组策略的更新频率,请使用“计算机组更新间隔”策略(位于计算机配置\管理模板\系统\组策略)。
建议您通知用户会每隔一段时间更新策略。
当组策略更新时,Windows桌面会被刷新。
桌面可能会产生短暂闪烁并且会关闭打开的菜单。
组策略造成的限制可能会导致用户无法运行某些程序。
组策略慢速链接检测
为了应用和更新组策略而定义慢速连接。
如果从提供策略更新的域控制器到这个组中的计算机的数据传输速度低于这个设置指定的速度,系统则认为连接很慢。
介于策略之间,系统对慢速策略连接的反应不同。
执行策略的程序可以指定如果对慢速链接作出反应。
同时,这个文件夹中的“策略处理”设置允许您替代指定的程序对慢速链接的反应。
要使用这个设置,在“连接速度”对话框中,键入介于0和4,294,967,200(0xFFFFFFA0)之间的十进制数字,表明单位为每秒千比特的传输速度。
比这个速度慢的连接都被认为是慢的。
如果键入0,所有的连接都是较快的。
如果停用或不配置这个设置,系统则使用默认值,每秒500千位。
“计算机配置”中的设置为“计算机配置”文件夹中的策略定义慢速链接。
“用户配置”中的策略为“用户配置”文件
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 策略 用户 配置管理 模板 系统