在今天的极客学校课程中，我们将解释如何使用本地组策略编辑器对您的PC进行任何其他方式都不可用的更改。

我们应该首先注意到，组策略编辑器仅在Windows专业版中可用-家庭版或家庭高级版用户将无法访问它。不过，这仍然值得我们学习。

组策略是一种非常强大的方法，可以在锁定每台计算机的情况下设置公司网络，这样用户就不会因为不想要的更改而搞砸它们，并阻止它们运行未经批准的软件，以及许多其他用途。

然而，在家庭环境中，您可能不想设置密码长度限制或强制自己更改密码。而且您可能不需要锁定您的计算机来只运行特定的经批准的可执行文件。

不过，您还可以配置许多其他功能，比如禁用您不喜欢的Windows功能，阻止某些应用程序运行，或者创建在登录或注销期间运行的脚本。

了解界面

界面与其他所有管理工具非常相似-左侧的TreeView允许您在分层文件夹结构中查找设置，它有一个设置列表和一个预览面板，可为您提供有关特定设置的更多信息。

有两个顶级文件夹需要注意：

计算机配置-保留应用于计算机的设置，而不管哪个用户正在登录。 用户配置-保存应用于用户帐户的设置。

在每个文件夹下都有几个文件夹，您可以通过它们进一步深入查看可用的设置：

软件设置-此文件夹用于与软件相关的配置，在客户端Windows上默认为空。 Windows设置-此文件夹保存用于登录/注销和启动/关闭的安全设置和脚本。 管理模板-此文件夹包含基于注册表的配置，本质上是调整计算机或用户帐户设置的一种快捷方式。有很多可用的设置。

调整安全规则

如果您从上面的屏幕截图中双击“禁止访问命令提示符”项，您将看到一个类似于此的窗口-事实上，“管理模板”下的大多数设置看起来都很相似。

此特定设置将允许您阻止PC上的用户访问命令提示符。您还可以在对话框中配置设置，以阻止批处理文件。

同一文件夹中的另一个选项允许您为“仅运行指定的Windows应用程序”创建设置-您可以将该设置配置为“已启用”，然后提供允许的应用程序列表。其他的一切都会被阻止运行。

在这种情况下，如果您要运行不在列表中的应用程序，您将收到类似下面这样的错误消息。

值得注意的是，如果你做错了什么，这样处理规则可能会将你锁在电脑之外，所以要小心。

调整UAC安全设置

在“计算机配置”->“Windows设置”->“安全设置”->“本地策略”->“安全选项”文件夹下，您会发现一些有趣的设置，可以使您的计算机更加安全。

第一个选项可以在该文件夹中找到，名为“User Account Control：Behavior of the Elevation Prompt for Administrators”，如果您选择“在安全桌面上提示凭据”，则每当您尝试在管理员模式下运行某些操作时，它都会强制您(或其他用户)输入密码。

此选项使Windows的工作方式更像Linux或Mac，在这两个系统中，当您需要进行更改时，系统会要求您提供密码，而且由于Secure Desktop不允许任何其他应用程序扰乱对话框，因此它的安全性要高得多。

其他有用的选项：

用户帐户控制：仅提升已签名和验证的可执行文件-此选项禁止未数字签名的应用程序以管理员身份运行。 恢复控制台，允许自动管理登录-当您需要使用恢复控制台执行系统任务时，通常需要提供管理员密码。如果您碰巧忘记了该密码，这将允许您更轻松地进入以重新设置它。(因为你可以很容易地擦除Windows密码，所以它的安全性并不会降低。)

值得注意的一点是，列表中的许多策略实际上并不适用于所有Windows版本。例如，在下面的屏幕截图中，“删除我的文档图标”设置仅适用于Windows XP和2000。某些其他策略会说“至少是Windows XP”或类似的内容，这意味着它们将继续在所有版本上工作。

组策略编辑器中有大量的设置，因此如果您很好奇，花点时间浏览它们绝对是值得的。大多数设置都允许您禁用不是特别喜欢的Windows功能--很少会给您提供默认情况下没有的功能。

将脚本设置为在登录、注销、启动或关闭时运行

您只能使用组策略编辑器执行的另一个示例是设置注销或关机脚本，使其在每次重新启动PC时运行。

这对于清理系统或在每次关机时快速备份某些文件非常有用，您可以使用批处理文件甚至PowerShell脚本。唯一需要注意的是，这些脚本必须静默运行，否则它们将锁定注销过程。

您可以运行两种不同类型的脚本。

启动/关闭脚本-这些脚本位于“计算机配置”->“Windows设置”->“脚本”下，并将在本地系统帐户下运行，因此它们可以操作系统文件，但不会以您的用户帐户运行。 登录/注销脚本-这些脚本位于“用户配置”->“Windows设置”->“脚本”下，并将在您的用户帐户下运行。

值得注意的是，除非您完全禁用了UAC，否则登录和注销脚本不允许您运行需要管理员访问的实用程序。

对于今天的示例，我们将创建一个注销脚本，方法是进入用户配置->Windows设置->脚本，然后双击注销。

注销属性窗口允许您添加多个要运行的注销脚本。

您也可以改为配置PowerShell脚本。

这里需要注意的真正重要的一点是，您的脚本需要位于特定的文件夹中才能正常工作。

登录和注销脚本需要位于以下文件夹中：

C：\Windows\System32\GroupPolicy\User\Scripts\Logoff。 C：\Windows\System32\GroupPolicy\User\Scripts\Logon

虽然启动和关闭脚本需要位于以下文件夹中：

C：\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown。 C：\Windows\System32\GroupPolicy\Machine\Scripts\Startup

一旦您配置了注销脚本，您就可以对其进行测试-我们设置了一个简单的脚本，该脚本在桌面上创建一个文本文件，然后注销并重新登录。但你可以让它做任何你想做的事。

当然，如果您使用的是登录脚本，那么它实际上可以启动应用程序。

需要注意的重要一点是，如果您的脚本提示用户输入，Windows将在关闭或注销期间挂起10分钟，然后脚本将被终止，并且Windows可以重新启动。这是您在设计脚本时绝对应该牢记的事情。

组策略不会在此结束

我们只是触及了组策略真正能做什么的皮毛，在企业域环境中，它是您可以使用的最强大和最重要的工具之一。因为本系列不是关于IT用户的，所以我们不会深入其余的所有内容，但是您自己做一些研究是值得的。