无盘上网组策略配置说明

    无盘上网使用过程中，主要通过对组策略的编辑来控制终端用户对平台操作的权限。本配置是本着安全最优化的原则编写的，即只允许终端用户使用Internet Explorer浏览器上网浏览和注销登录，其余功能一概屏蔽。如果希望开放其中的部分权限，可以根据具体情况灵活调整。 网管网www.bitscn.com

调出控制台的方法如下：
点击开始→程序→管理工具→控制台（或控制台管理），就可以开启控制台。
控制台窗口分左右两部分。左边窗口为控制台根节点，下面包括一个到多个管理单元，你们要用到其中的”Defaule Domain Policy[tzzh-win2000.com]”策略。右边窗口是左窗口每一单项的策略组成，你们就是通过改变相应策略的设置来控制终端用户的使用权限。
以下是具体策略的配置情况：
①在左边窗口依次展开控制台根节点→”Default Domain Policy[tzzh-win2000.com]”策略→用户配置→管理模板→Windows资源管理器，在右边窗口会看到很多的策略条目，配置如下表：
启用传统外壳 未被配置
从“工具”菜单删除“文件夹选项”菜单 已启用
从Windows资源管理器中删除“文件”菜单 已启用
删除“映射网络驱动器”和“断开网络驱动器” 已启用
从Windows资源管理器上删除寻找按钮 已启用
禁用Windows资源管理器的默认上下文菜单 已启用
隐藏Windows资源管理器上下文菜单上的“管理”项目 已启用
只允许许可的扩展外壳程序 未被配置
漫游时不追踪外壳程序快捷方式 未被配置
隐藏“我的电脑”中的这些指定的驱动器（全部驱动器） 已启用
防止从“我的电脑”访问驱动器 已启用

网管bitscn_com

隐藏“硬件”选项卡 已启用
禁用更改菜单动画设置的UI 已启用
禁用更改键盘浏览指示器设置的UI 未被配置
禁用DFS选项卡 未被配置
“网上邻居”中没有“我附近的计算机” 已启用
“网上邻居”中不含“整个网络” 已启用
“最近的文档”的最大数目 未被配置
不要申请其它凭据 未被配置
为网络安装申请凭据 未被配置
②展开Windows组件→任务计划程序，配置如下表：
隐藏“属性”页面 已启用
防止任务运行或停止 已启用
禁用拖和放 已启用
禁用“创建新任务” 已启用
禁用“删除任务” 已启用
禁用“高级”菜单 已启用
禁止浏览 未被配置
③展开任务栏和开始菜单，配置如下表：
从[开始]菜单删除用户文件夹 已启用
禁用并删除”Windows Update”的链接 已启用
从[开始]菜单删除公用程序组 已启用
从[开始]菜单上删除“文档”菜单 已启用
在设置菜单上禁用程序（如果不用调整拨号网络） 已启用
从[开始]菜单删除“网络和拨号连接” 已启用
从[开始]菜单中删除“收藏夹”菜单 已启用
从[开始]菜单中删除“搜索”菜单 已启用
从[开始]菜单中删除“帮助”命令 已启用
从[开始]菜单中删除“运行”菜单 未被配置 网管网www_bitscn_com
将“注销”添加到[开始]菜单 已启用
禁用[开始]菜单上的“注销” 未被配置
禁用和删除“关机”命令 已启用
禁用[开始]菜单上的拖放上下文菜单 已启用
禁止更改“任务栏和[开始]菜单”设置 已启用
禁用任务栏的上下文菜单 未被配置
不要保留最近打开文档的记录 已启用
禁用个性化菜单 已启用
禁用用户跟踪 未被配置
将“在单独的内存空间运行”复选框添加到“运行”对话框 未被配置
解析外壳程序快捷方式时不要使用搜索方法 未被配置
解析外壳程序快捷方式时不要使用追踪方法 未被配置
从[开始]菜单禁用不可用的Windows安装服务程序的快捷方式 未被配置
④展开桌面，配置如下表：
隐藏桌面上的所有图标 未被配置
删除桌面上的“我的文档”图标 已启用
从[开始]菜单中删除“我的文档”图标 已启用
隐藏桌面上“网上邻居”图标 已启用
隐藏桌面上的Internet Explorer图标 未被配置
不要将最近打开的文档的共享添加到“网上邻居” 已启用
禁止用户更改“我的文档”路径 已启用
禁止添加、拖、放和关闭任务栏的工具栏 已启用
禁用调整桌面工具栏 已启用
退出时不保存设置 已启用
⑤展开控制面板，配置如下表：
禁用控制面板 已启用
隐藏指定的控制面板应用小程序 未被配置
只显示指定的控制面板应用小程序 未被配置
⑥展开系统，配置如下表：
登录时不要显示欢迎使用屏幕 已启用
2000年份转译 未被配置
设备驱动程序的代码签名 未被配置
自定义用户界面 未被配置
停用命令提示符 已启用
禁用注册表编辑工具 已启用
只运行许可的Windows应用程序 未被配置
不要运行指定的Windows应用程序 未被配置
停用自动播放 未被配置
下载丢失的COM组件 未被配置
⑦展开系统→登录/注销，配置如下表：
禁用任务管理器 已启用
禁用“锁定计算机” 已启用
禁止改变密码 已启用
禁止注销 未被配置
同步运行登录脚本 为被配置
以隐藏形式运行现用登录脚本 未被配置
以可见形式运行登录脚本 未被配置
显示注销脚本的运行状态 未被配置
将宿主目录连接到共享根目录 未被配置
限制配置文件大小 未被配置
不包括漫游配置文件中的目录 未被配置
在用户登录时运行这些程序 未被配置
禁用只运行一次列表 未被配置
禁用现用的“运行”列表 未被配置
以上就是需要配置的组策略明细。需要补充说明的是，经过以上配置，在开始菜单中仍然可以看到附件一栏。为了安全起见，我建议用户在配置策略前将tzzh-win2000用户的“附件”文件夹移到别的位置。这样用户除了使用Internet Explorer外，就无法使用其他Windows2000自带的程序。