組策略應(yīng)用大全

歡迎閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭g迎閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！感謝閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭「兄x閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！歡迎閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！感謝閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！組策略應(yīng)用大全專題

先給初學的掃掃盲：說到組策略，就不得不提注冊表。注冊表是Windows系統(tǒng)中保存系統(tǒng)、應(yīng)用軟件配置的數(shù)據(jù)庫，隨著Windows功能的越來越豐富，注冊表里的配置項目也越來越多。很多配置都是可以自定義設(shè)置的，但這些配置發(fā)布在注冊表的各個角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達到方便管理計算機的目的。

簡單點說，組策略就是修改注冊表中的配置。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設(shè)置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。運行組策略的方法：在“開始”菜單中，單擊“運行”命令項，輸入gpedit.msc并確定，即可運行組策略。先看看組策略的全貌，如圖。

安全設(shè)置包括：帳戶策略，本地策略，公鑰策略，軟件限制策略，IP安全策略。賬戶策略：在WindowsServer2003系統(tǒng)的“帳戶和本地策略”中包括“帳戶策略”和“本地策略”兩個方面，而其中的“帳戶策略”又包括：密碼策略、帳戶鎖定策略和Kerberos策略三個方面；另外的“本地策略”也包括：審核策略、用戶權(quán)限分配和安全選項三部分。

本地策略：倘若在Win98工作站中通過“網(wǎng)上鄰居”窗口，來訪問WinXP操作系統(tǒng)的話，你會發(fā)現(xiàn)WinXP工作站會拒絕你的共享請求，這是怎么回事呢？原來WinXP系統(tǒng)在默認狀態(tài)下是不允許以guest方式登錄系統(tǒng)的，那么是不是將WinXP系統(tǒng)下的guest帳號“激活”，就能讓WinXP工作站被隨意共享了呢？其實不然，除了要將guest帳號啟用起來，還需要指定guest帳號可以通過網(wǎng)絡(luò)訪問WinXP工作站的共享資源；下面就是讓WinXP被隨意共享的具體實現(xiàn)步驟：

首先在WinXP工作站中，依次單擊“開始”/“程序”/“管理工具”/“計算機管理”命令，在彈出的計算機管理界面中，再逐步展開“系統(tǒng)工具”、“本地用戶和組”、“用戶”分支，在對應(yīng)“用戶”分支的右邊子窗口中，再雙擊“guest”選項，在彈出的帳號屬性設(shè)置界面中，取消“帳號已停用”選項，再單擊“確定”按鈕，“guest”帳號就能被重新啟用了；

接著打開系統(tǒng)的組策略編輯窗口，再用鼠標逐步展開其中的“本地計算機策略”、“計算機配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“用戶權(quán)利指派”分支，在彈出的圖2界面中，雙擊右側(cè)子窗口中的“拒絕從網(wǎng)絡(luò)訪問這臺計算機”項目，在接著出現(xiàn)的界面中，將guest帳號選中并刪除掉，然后再單擊一下“確定”按鈕，那么WinXP工作站中的共享資源就能被隨意訪問了。

在WindowsXP/2003中實現(xiàn)遠程關(guān)機（WindowsXP/2003）

在WindowsXP/2003中，新增了一條命令行工具“shutdown”，它可以關(guān)閉或重新啟動本地或遠程計算機。利用它，我們不但可以注銷用戶、關(guān)閉或重新啟動計算機，還可以實現(xiàn)定時關(guān)機、遠程關(guān)機。該命令的語法格式如下：

shutdown[-i|-l|-s|-r|-a][-f][-m[\\ComputerName]][-txx][-c″message″][-d[u][p]:xx:yy]

該命令具體的使用參數(shù)和技巧請參考Windows的幫助系統(tǒng)，幫助系統(tǒng)里面有全面的資料。我們現(xiàn)在簡單地看一下該命令的一些基本用法：

1）注銷當前用戶

shutdown-l

該命令只能注銷本機用戶，對遠程計算機不適用。

2）關(guān)閉本地計算機

shutdown-s

3）重啟本地計算機

shutdown-r

4）定時關(guān)機

shutdown-s-t30

指定在30秒之后自動關(guān)閉計算機。

5）中止計算機的關(guān)閉。有時我們設(shè)定了計算機定時關(guān)機后，如果出于某種原因又想取消這次關(guān)機操作，就可以用shutdown-a來中止。

在該命令的格式中，有一個參數(shù)[-m[\\ComputerName]，用它可以指定將要關(guān)閉或重啟的計算機名稱，若省略的話則默認為對本機操作。你可以用以下命令來試一下：

shutdown-s-m\\Anyes-solon-t30

在30秒內(nèi)關(guān)閉計算機名為Anyes-solon（Anyes-solon為局域網(wǎng)內(nèi)一臺同樣裝有WindowsXP/2003）的電腦。

該命令執(zhí)行后，計算機Anyes-solon一點反應(yīng)都沒有，屏幕上卻提示“Accessisdenied（拒絕訪問）”。

出現(xiàn)這種情況是因為WindowsXP默認的安全策略中，只有管理員組的用戶才有權(quán)從遠端關(guān)閉計算機，而一般情況下我們從局域網(wǎng)內(nèi)的其他電腦訪問該計算機時，則只有g(shù)uest用戶權(quán)限，所以當我們執(zhí)行上述命令時，便會出現(xiàn)“拒絕訪問”的情況。

而我們利用組策略即可賦予guest用戶遠程關(guān)機的權(quán)限。打開“組策略控制臺→計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)利指派中的從遠端系統(tǒng)強制關(guān)機”，在彈出的對話框中顯示目前只有“Administrators”組的成員才有權(quán)從遠程關(guān)機；單擊對話框下方的“添加用戶或組”按鈕，然后在新彈出的對話框中輸入“guest”，再單擊“確定”按鈕。

通過上述操作后，我們便給計算機Anyes-solon的guest用戶授予了遠程關(guān)機的權(quán)限。以后，倘若你要遠程關(guān)閉計算機Anyes-solon，只要在網(wǎng)絡(luò)中其他裝有WindowsXP/2003的計算機中輸入以下命令shutdown-s-m\\Anyes-solon-t60即可。

這時，在Anyes-solon計算機的屏幕上將顯示一個“系統(tǒng)關(guān)機”的對話框，在對話框下方還有一個計時器，顯示離關(guān)機還有多少時間。在等待關(guān)機的時間里，用戶還可以執(zhí)行其他的任務(wù)，如關(guān)閉程序、打開文件等，但無法關(guān)閉該對話框，除非你用shutdown-a命令來中止關(guān)機任務(wù).

公鑰策略：加密文件系統(tǒng)(EFS)是Windows2000、WindowsXPProfessional和WindowsServer2003的NTFS文件系統(tǒng)的一個組件。（WindowsXPHome不包含EFS。）EFS采用高級的標準加密算法實現(xiàn)透明的文件加密和解密。任何不擁有合適密鑰的個人或者程序都不能讀取加密數(shù)據(jù)。即便是物理擁有駐留加密文件的計算機，加密文件仍然受到保護。甚至是有權(quán)訪問計算機及其文件系統(tǒng)的用戶，也無法讀取這些數(shù)據(jù)。還應(yīng)該采取其他防御策略，加密這種解決方法不是解決每種威脅的恰當對策，加密只是其他防御策略之外的又一種有力措施。EFS是Windows文件系統(tǒng)的內(nèi)置文件加密工具。EFS加密文件夾無法打開怎么辦Windows系統(tǒng)EFS加密出了問題怎么辦？重要文件的鎧甲:EFS加密

|__軟件限制策略：在WindowsXP里的軟件限制策略提供了一種透明的方式來隔離和使用不可靠的，有潛在危險的代碼，這在某種程度上保護你的計算機免受各種通過電子郵件或網(wǎng)頁傳播的病毒、木馬程序和蠕蟲等。這些策略榮允許你選擇如何管理你系統(tǒng)里的軟件。軟件可以被嚴格管理，你可以決定：如何、什么時間、什么地點執(zhí)行；或者軟件可以被設(shè)置為不予管理、禁止指定代碼運行等。通過在一個隔離區(qū)執(zhí)行不可靠的代碼和腳本，你可以獲得那些被證明是良性的不可靠代碼和腳本的功能，而那些受感染的代碼是不能對你的系統(tǒng)造成任何危害的。例如，不可靠的代碼在未被證明是安全代碼之前，是被阻止發(fā)送電子郵件，訪問文件，或是做其它的正常計算功能的。

軟件限制策略保護你免受感染的電子郵件附件的攻擊，包括存儲在臨時文件夾的文件，對象，和腳本。同時，也可以保護你的系統(tǒng)免受嵌入式不可靠腳本的URL/UNC連接、網(wǎng)上下載的ActiveX的危害。

IP安全策略,在本地計算機：IP安全性(InternetProtocolSecurity)是Windows2000/2003中提供的一種安全技術(shù)，它是一種基于點到點的安全模型，可以實現(xiàn)更高層次局域網(wǎng)數(shù)據(jù)的安全性。

|__用戶配置

|

|__Windows設(shè)置自定義IE工具欄（Windows2000/XP/2003）

通過組策略我們還可以自定義IE工具欄，打造屬于我們自己的IE。方法如下：打開“組策略控制臺→用戶配置→Windows設(shè)置→InternetExplorer維護→瀏覽器用戶界面”下的“瀏覽器工具欄按鈕自定義”策略配置項目，在這里，我們可以自定義瀏覽器工具欄的背景圖片，點擊“瀏覽”選擇一個BMP的位圖文件即可。另外我們還可以在IE的工具欄上添加自己的快捷方式，比如添加“我的QQ”，在這里也可以很輕松地完成。，打開組策略的“用戶配置→Windows設(shè)置→InternetExplorer維護→瀏覽器工具欄自定義”對話框，點擊“添加”按鈕，彈出“瀏覽器工具欄按鈕信息”對話框，在這里就可對QQ按鈕進行詳細設(shè)置了，輸入按鈕的標題，找到QQ安裝執(zhí)行程序路徑，并將制作好的QQ兩個明暗頭像，分別輸入到顏色圖標欄和灰色圖標欄中，點擊“確定”，再次打開IE后就可以看到修改的效果了。

清除上網(wǎng)的痕跡

每次沖浪過后，系統(tǒng)都會“自做主張”地記錄下上網(wǎng)的痕跡，其他人很容易通過這些痕跡，偷窺到自己的上網(wǎng)隱私。為了避免自己的隱私不被外人非法偷窺到，你或許會在每次沖浪結(jié)束后，用手工清除的方法將各種上網(wǎng)痕跡逐一抹除掉，很顯然這種方法不但煩瑣，而且也不大容易記住。其實，你可以通過下面的方法，讓系統(tǒng)在注銷的那一刻自動抹除所有的上網(wǎng)痕跡：

首先創(chuàng)建一個批處理文件，確保在執(zhí)行完該文件后，能自動將所有的上網(wǎng)痕跡全部清除掉。在創(chuàng)建這樣的批處理文件時，可以先打開記事本之類的文本編輯工具，然后在編輯界面中輸入下面的命令代碼：

@echooff

cdc:\windows\localsettings\temporaryinternetfiles

c:\windows\command\deltree.\*.*/y

之后，依次執(zhí)行文本編輯界面中的“文件”/“保存”命令，將前面的命令代碼保存成擴展名為“bat”的批處理文件，例如這里筆者將它保存為“autodel.bat”文件，當然該文件只對Win98或WinMe系統(tǒng)有效，如果要想自動清除Win2000以上版本系統(tǒng)中的上網(wǎng)痕跡時，就必須在文本編輯界面中輸入下面的命令代碼：

@echooff

cdc:\documentsadsettings\administrator\localsettings\temporaryinternetfiles

c:\winnt\system32\deltree.\*.*/y

而且要想讓上面的批處理文件執(zhí)行成功的話，還需要事先將Win98系統(tǒng)下的“Deltree.exe”命令，直接復制到Win2000以上版本系統(tǒng)的“c:\winnt\system32”目錄下；當然如果Windows系統(tǒng)并沒有按照默認設(shè)置來安裝時，還需要將批處理文件中的系統(tǒng)安裝路徑，設(shè)置成實際的安裝路徑。

其次，依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入組策略編輯命令“Gpedit.msc”，單擊“確定”按鈕后，再依次展開組策略編輯窗口中的“用戶配置”、“Windows設(shè)置”、“腳本(登錄/注銷)”分支；

然后在彈出的圖1界面中，雙擊“注銷”選項，在接著打開的注銷屬性設(shè)置窗口中，單擊一下“添加”按鈕，在彈出的文件選擇對話框中導入“autodel.bat”文件，最后單擊“確定”按鈕，這樣的話你以后每次在退出計算機系統(tǒng)時，“autodel.bat”

|__管理模板

|__任務(wù)欄和[開始]菜單1、給“開始”菜單減肥（Windows2000/XP/2003）

如果覺得Windows的“開始”菜單項太多，可以通過組策略將不需要的菜單項從“開始”菜單中刪除。在組策略右側(cè)窗格中，提供了“從開始菜單刪除用戶文件夾”、“刪除到‘WindowsUpdate’的訪問和鏈接”、“從開始菜單刪除公用程序組”、“從開始菜單中刪除‘我的文檔’圖標”等多種組策略配置項目。你只要將不需要的菜單項所對應(yīng)的策略啟用即可。

2、禁止隨意修改任務(wù)欄和“開始”菜單（Windows2000/XP/2003）

為保護自己好不容易設(shè)置好的任務(wù)欄和“開始”菜單，你只要將組策略控制臺右側(cè)窗格中的“阻止更改‘任務(wù)欄和開始菜單’設(shè)置”和“阻止訪問任務(wù)欄的上下文菜單”兩個策略項啟用即可。這樣，當你用鼠標右鍵單擊任務(wù)欄并單擊“屬性”時，系統(tǒng)會出現(xiàn)一個錯誤消息，且當鼠標右鍵單擊任務(wù)欄及任務(wù)欄上的項目時，例如“開始”按鈕、時鐘和“任務(wù)欄”按鈕，彈出菜單會隱藏。

3．禁止“注銷”和“關(guān)機”（Windows2000/XP/2003）

如果你不想讓他人再進行“關(guān)機”和“注銷”操作的話，可將組策略控制臺右側(cè)窗格中的“刪除開始菜單上的‘注銷’”和“刪除和阻止訪問‘關(guān)機’命令”兩個策略啟用。這個設(shè)置會從開始菜單刪除“關(guān)機”選項，并禁用“Windows任務(wù)管理器”對話框按“Ctrl+Alt+Del”會出現(xiàn)這個對話框中的“關(guān)機”選項。應(yīng)注意的是，該設(shè)置雖然可防止用戶用Windows界面來關(guān)機，但無法防止用戶用其他第三方工具程序來將Windows關(guān)閉。

4、防止隱私泄漏（Windows2000/XP/2003）

在開始菜單中有一個“我最近的文檔”菜單項，可以記錄你曾經(jīng)訪問過的文件。這個功能可以方便用戶再次打開該文件，但別人也可通過此菜單訪問你最近打開的文檔，為安全起見，有時需要屏蔽此功能。利用組策略，只要在右側(cè)窗格中將“不要保留最近打開文檔的記錄”和“退出時清除最近打開的文檔的記錄”兩個策略啟用即可。同時要注意如果啟用此策略設(shè)置但不啟用“從開始菜單中刪除文檔菜單”策略設(shè)置，“文檔”菜單還會出現(xiàn)在“開始”菜單上，但是該菜單為空菜單。如果啟用此策略設(shè)置，后來又禁用它并將它設(shè)置為“未配置”，則啟用策略設(shè)置之前保存的文檔快捷方式會重新出現(xiàn)在“文檔”菜單和應(yīng)用程序的“文件”菜單中。

5、去掉WindowsXP“開始”菜單中的圖形化設(shè)置

WindowsXP的“開始”菜單增添了許多圖形化設(shè)置，其實可在組策略中將這些功能關(guān)閉?！瓣P(guān)閉個性化菜單”：WindowsXP會自動將最近使用的菜單項移動到開始菜單頂部，并且隱藏最近沒有使用的菜單項，以此實現(xiàn)個性化菜單，啟用此設(shè)置將關(guān)閉個性化菜單?！皬娭频湫筒藛巍保簡⒂么嗽O(shè)置，開始菜單就以Windows2000樣式顯示典型的開始菜單，并且顯示標準桌面圖標。桌面：Windows的桌面就像我們的辦公桌一樣，需要經(jīng)常進行整理和清潔，而組策略就如同我們的貼身秘書，讓桌面管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置實例：

位置：“組策略控制臺→用戶配置→管理模板→桌面”

1．隱藏桌面的系統(tǒng)圖標（Windows2000/XP/2003）

雖然通過修改注冊表的方式可以實現(xiàn)隱藏桌面上的系統(tǒng)圖標的功能，但這樣比較麻煩，也有一定的風險。而采用組策略配置的方法，可以方便快捷地達到此目的。

比如要隱藏桌面上的“網(wǎng)上鄰居”和“InternetExplorer”圖標，只要在右側(cè)窗格中將“隱藏桌面上‘網(wǎng)上鄰居’圖標”和“隱藏桌面上的InternetExplorer圖標”兩個策略選項啟用即可；如果隱藏桌面上的所有圖標，只要將“隱藏和禁用桌面上的所有項目”啟用即可；當啟用了“刪除桌面上的‘我的文檔’圖標”和“刪除桌面上的‘我的電腦’圖標”兩個選項以后，“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失；同樣如果要讓“回收站”圖標消失，只須將“從桌面刪除回收站”策略項啟用即可。

2．退出時不保存桌面設(shè)置（Windows2000/XP/2003）

此策略可以防止用戶保存對桌面的某些更改。如果你啟用這個策略，用戶仍然可以對桌面做更改，但有些更改，如圖標的位置、任務(wù)欄的位置及大小，在用戶注銷后都無法保存，不過任務(wù)欄上的快捷方式總可以被保存。

在右側(cè)窗格中將“退出時不保存設(shè)置”這個策略選項啟用即可。

3．屏蔽“清理桌面向?qū)А惫δ埽╓indowsXP/2003）

“清理桌面向?qū)А睍扛?0天自動在用戶的電腦上運行，以清除那些用戶不經(jīng)常使用或者從不使用的桌面圖標。如果啟用此策略設(shè)置，則可以屏蔽“清理桌面向?qū)А?，如果你禁用或不配置此設(shè)置，“清理桌面向?qū)А睍凑漳J設(shè)置每隔60天運行一次。

打開右側(cè)窗格中的“刪除清理桌面向?qū)А保鶕?jù)需要設(shè)置策略選項即可。

4．啟用/禁用“活動桌面”（Windows2000/XP/2003）

“活動桌面”是Windows98（及以后版本）或安裝了IE4.0的系統(tǒng)中自帶的高級功能，最大的特點是可以設(shè)置各種圖片格式的墻紙，甚至可以將網(wǎng)頁作為墻紙顯示。但出于對安全和性能的考慮，有時候我們需要禁用這一功能（并且禁止用戶啟用它），通過策略設(shè)置可以輕松達到這一要求。具體操作方法：打開右側(cè)窗格中的“禁用活動桌面”并啟用此策略。

提示：如果同時啟用“啟用ActiveDesktop”設(shè)置和“禁用ActiveDesktop”設(shè)置，則“禁用ActiveDesktop”設(shè)置會被忽略。如果“禁用ActiveDesktop和Web視圖”設(shè)置（在“用戶配置→管理模板→Windows組件→Windows資源管理器”中）被啟用，ActiveDesktop就會被禁用，并且這兩個策略都會被忽略。

以上介紹了幾個關(guān)于桌面的組策略配置項目，在“組策略控制臺→用戶配置→管理模板→桌面”下還有其他若干組策略配置項目，讀者可根據(jù)需要進行配置，這里不再贅述?？刂泼姘澹?/p>

禁止更改顯示屬性（Windows2000/XP/2003）

選擇“控制面板”中的“顯示”或在Windows桌面的空白處單擊右鍵選擇“屬性”，可進入“顯示設(shè)置”對話框，可以對桌面主題、桌面背景、屏保程序、顯示設(shè)置等各項進行設(shè)置，如果你不想讓別人隨意更改各項設(shè)置，可以通過組策略將它隱藏起來。

打開“組策略控制臺→用戶配置→管理模板→控制面板→顯示”，然后可以看到隱藏桌面選項卡、隱藏主題選項卡、隱藏保護程序選項卡、隱藏設(shè)置選項卡等策略配置，可根據(jù)需要對這些項目進行配置。比如啟用了“隱藏‘桌面’選項卡”策略后，再打開“顯示屬性”對話框，就看不到“桌面”標簽了，這樣自然就無法再對桌面屬性進行更改了。

徹底禁止訪問“控制面板”（Windows2000/XP/2003）

如果不希望其他用戶訪問計算機的“控制面板”，同樣可以使用組策略來實現(xiàn)。打開“組策略控制臺→用戶配置→管理模板→控制面板”中的“禁止訪問控制面板”并啟用此策略。

此策略啟用后可以防止“控制面板”程序文件（Control.exe）的啟動。他人將無法啟動“控制面板”（或運行任何“控制面板”項目）。另外，這個設(shè)置將從“開始”菜單中刪除“控制面板”。同時這個設(shè)置還從“Windows資源管理器”中刪除“控制面板”文件夾。

禁用“添加/刪除程序”（Windows2000/XP/2003）

“控制面板”中“添加或刪除程序”項目允許你安裝、卸載、修復并添加和刪除Windows的功能和組件以及種類很多的Windows程序。如果你想阻止其他用戶安裝或卸載程序，可利用組策略來實現(xiàn)。

打開“組策略控制臺→用戶配置→管理模板→控制面板→添加→刪除程序”中的“刪除‘添加/刪除程序’程序”并啟用此策略，當我們再打開“控制面板”中“添加/刪除程序”模塊的時候，會自動彈出警告窗口，而“添加/刪除程序”則無法運行。

此外，在“添加/刪除程序”分支中還可以對Windows“添加/刪除程序”項中的“添加新程序”、“從CD-ROM或軟盤添加程序”、“從Microsoft添加程序”、“從網(wǎng)絡(luò)添加程序”等項進行隱藏，通過這些策略項目的設(shè)置，起到了保護計算機中系統(tǒng)文件及應(yīng)用程序的作用。

網(wǎng)絡(luò)：禁止建立新的撥號連接（Windows2000/XP/2003）

如果不想讓別人在計算機中建立新連接來撥號上網(wǎng)的話，組策略也可以做到。打開“組策略控制臺→用戶配置→管理模板→網(wǎng)絡(luò)→網(wǎng)絡(luò)連接”中的“禁止訪問新建連接向?qū)А辈⒂么瞬呗浴?/p>

啟用此策略后，在“網(wǎng)絡(luò)連接”文件夾和“開始菜單”中就不會出現(xiàn)“建立新連接”。

提示：此設(shè)置無法阻止用戶使用諸如InternetExplorer這樣的其它程序來繞過此設(shè)置。另外此設(shè)置必須重新啟動計算機后才能生效。

系統(tǒng)：禁止使用命令提示符（Windows2000/XP/2003）

在Windows2000/XP/2003下，我們可以運行cmd.exe進入命令提示符狀態(tài)，并可以繼續(xù)運行一些DOS命令和其他命令行程序。出于對安全的考慮，有些系統(tǒng)應(yīng)該屏蔽此功能。

打開“組策略控制臺→用戶配置→管理模板→系統(tǒng)”中的“阻止訪問命令提示符”并啟用此策略，并在下面列表框中選擇是否“也停用命令提示符腳本處理”，這個設(shè)置還決定批處理文件.cmd和.bat是否可以在計算機上運行。

如果啟用這個設(shè)置，在用戶試圖打開命令窗口時，系統(tǒng)會顯示一條消息，解釋設(shè)置阻止這一操作。

禁用注冊表編輯器（Windows2000/XP/2003）

為了防止他人進入電腦后對注冊表文件進行修改，可以在組策略中對注冊表編輯器做禁止訪問設(shè)置。具體操作方法：打開“組策略控制臺→用戶配置→系統(tǒng)”中的“阻止訪問注冊表編輯工具”并啟用此策略。

此策略被啟用后，用戶試圖啟動注冊表編輯器（Regedit.exe及Regedt32.exe）的時候，系統(tǒng)會禁止這類操作并彈出警告消息。

限制使用應(yīng)用程序（Windows2000/XP/2003）

如果你的電腦設(shè)置了多個用戶，有些程序我們可能不希望其他用戶隨意運行，也能在組策略中設(shè)置。

打開“組策略控制臺→用戶配置→管理模板→系統(tǒng)”中的“只運行許可的Windows應(yīng)用程序”并啟用此策略，然后點擊下面的“允許的應(yīng)用程序列表”邊的“顯示”按鈕，彈出一個“顯示內(nèi)容”對話框，在此單擊“添加”按鈕來添加允許運行的應(yīng)用程序即可。以后一般用戶只能運行“允許的應(yīng)用程序列表”中的程序。Windows組件：關(guān)閉縮略圖的緩存屏蔽系統(tǒng)自帶的CD刻錄功能限制IE瀏覽器的保存功能禁止修改IE瀏覽器的主頁禁用“Internet選項”控制面板禁用“在新窗口中打開”菜單項限制IE瀏覽器的保存功能自定義IE工具欄設(shè)置并鎖定WindowsMediaPlayer外觀禁止WindowsMediaPlayer播放時運行屏保優(yōu)化配置WindowsMediaPlayer網(wǎng)絡(luò)緩沖屏蔽使用所有WindowsUpdate功能的訪問隱藏“我的電腦”中指定的驅(qū)動器防止從“我的電腦”訪問驅(qū)動器

關(guān)閉縮略圖的緩存（WindowsXP/2003）

WindowsXP/20003系統(tǒng)系統(tǒng)具有縮略圖的功能，為加快那些被頻繁瀏覽的縮略圖顯示速度，系統(tǒng)還會將這些顯示過的圖片置于緩存中，以便下次打開時直接讀取緩存中的信息，從而達到快速顯示的目的。若你不希望系統(tǒng)進行緩存的話，則可利用組策略輕松地關(guān)閉緩存功能。由于不進行緩存處理，反而會大大加快第一次瀏覽的速度。方法如下：打開“組策略控制臺→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“關(guān)閉縮略圖的緩存”并啟用此策略。提示：若你的電腦是一個網(wǎng)絡(luò)中的共享工作站，為了數(shù)據(jù)安全，建議你啟用該設(shè)置以關(guān)閉縮略圖視圖緩存，因為縮略圖視圖緩存可以被任何人讀取。

屏蔽系統(tǒng)自帶的CD刻錄功能（WindowsXP/2003）

WindowsXP/2003系統(tǒng)自帶CD刻錄功能，若你有刻錄機連接在電腦上，在Windows資源管理器中可以直接將數(shù)據(jù)猶如復制一樣寫到CD－R上。這樣雖然方便，但是會影響系統(tǒng)性能和資源管理器的執(zhí)行速度，再加之大部分用戶都習慣了運用專用刻錄軟件進行刻錄，所以我們建議無論電腦上有無刻錄機，都可以利用組策略來屏蔽此功。方法如下：打開“組策略控制臺→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“刪除CD刻錄功能”并啟用此策略。提示：該設(shè)置不會阻止用戶使用第三方應(yīng)用程序來刻錄或修改CD－R。

限制IE瀏覽器的保存功能（Windows2000/XP/2003）

當多人共用一臺計算機時，為了保持硬盤的整潔，對瀏覽器的保存功能進行限制使用是很有必要。那么怎樣才能實現(xiàn)呢？具體步驟如下：打開“組策略控制臺→用戶配置→管理模板→Windows組件→InternetExplorer→瀏覽器菜單”，然后將右側(cè)窗格中的“‘文件’菜單：禁用‘另存為...’菜單項”、“‘文件’菜單：禁用另存為網(wǎng)頁菜單項”、“‘查看’菜單：禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目全部啟用即可。如果不希望別人對IE瀏覽器的設(shè)置隨意更改，可以將“‘工具’菜單：禁用‘Internet選項...’”策略啟用。此外，如果個人需要的話，還可以在該窗格中禁用其他項目。

禁止修改IE瀏覽器的主頁（Windows2000/XP/2003）

在IE瀏覽器中可以設(shè)置默認主頁，如果不希望他人對自己設(shè)定的IE瀏覽器主頁進行隨意更改的話，可以打開“組策略控制臺→用戶配置→管理模板→Windows組件→InternetExplorer→工具欄”，然后選擇“禁用更改主頁設(shè)置”組策略并啟用即可。另外在這個窗格中，還提供了“更改歷史記錄設(shè)置”、“更改顏色設(shè)置”和“更改Internet臨時文件設(shè)置”等項目的禁用功能。啟用此策略后，在IE瀏覽器的“Internet選項”對話框中，其“常規(guī)”選項卡的“主頁”區(qū)域的設(shè)置將變灰，即不可修改。

提示：如果您已經(jīng)設(shè)置了位于“組策略控制臺→用戶配置→管理模板→Windows組件→InternetExplorer→InternetExplorer控制面板”中的“禁用常規(guī)頁”策略，則無須再設(shè)置該策略。

禁用“Internet選項”控制面板（Windows2000/XP/2003）

如果你對“控制面板”中的選項禁用得較多，不如一步到位——干脆禁止訪問“控制面板”，通過下面的組策略設(shè)置方法即可實現(xiàn)這一要求：打開“組策略控制臺→用戶配置→管理模板→Windows組件→InternetExplorer→Internet控制面板”，在右邊窗格中我們可以看到“禁用常規(guī)頁”、“禁用安全頁”等組策略項目。下面以“禁用常規(guī)頁”為例進行說明：打開右邊窗格中的“禁用常規(guī)頁”并設(shè)置為“啟用”。然后我們再打開Internet選項控制面板，會發(fā)現(xiàn)“常規(guī)”項目已經(jīng)沒有了，這樣一來用戶將無法看到和更改主頁、緩存、歷史記錄、網(wǎng)頁外觀以及輔助功能的設(shè)置，因為該策略將刪除界面上的“常規(guī)”選項卡，所以如果設(shè)置了該策略，則無須設(shè)置位于“用戶配置→管理模板→Windows組件→InternetExplorer”中的諸如“禁用更改主頁設(shè)置”、“禁用更改顏色設(shè)置”等策略。

IE設(shè)置手到擒來

微軟的InternetExplorer讓我們可以輕松地在互聯(lián)網(wǎng)上遨游，但要想用好InternetExplorer，則必須將它配置好。在IE瀏覽器的“Internet選項”窗口中，提供了比較全面的設(shè)置選項（例如：“首頁”、“臨時文件夾”、“安全級別”和“分級審查”等項目），但部分高級功能沒有提供，而通過組策略即可輕松實現(xiàn)這些功能。下面來看具體實例：

位置：“組策略控制臺→用戶配置→管理模板→Windows組件→InternetExplorer（需添加inetres.adm模板文件）”

禁用“在新窗口中打開”菜單項（Windows2000/XP/2003）

出于對安全的考慮，有時候我們有必要屏蔽IE的一些功能菜單，組策略提供了豐富的設(shè)置項目，比如禁用“另存為...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打開’菜單項”為例介紹具體的設(shè)置方法。

打開“組策略控制臺→用戶配置→管理模板→Windows組件→InternetExplorer→瀏覽器菜單”，然后打開“禁用‘在新窗口中打開’菜單項”并設(shè)置為“啟用”。啟用該策略后，用戶在某個鏈接上單擊鼠標右鍵，然后單擊“在新窗口中打開”時，該命令將不起作用。該策略可與“‘文件’菜單禁用‘新建’菜單項”一起使用，后者禁止用戶通過單擊“文件”菜單，指向“新建”，然后單擊“窗口”在新窗口中打開瀏覽器（“新建→窗口”項目已經(jīng)無法使用）。

提示：啟用該策略后，單擊“在新窗口中打開”命令，將無法在新窗口中打開鏈接，系統(tǒng)會提示用戶該命令無效，網(wǎng)頁自動打開的窗口也全部被禁止，其實這樣也可達到屏蔽彈出廣告窗口的效果。

限制IE瀏覽器的保存功能（Windows2000/XP/2003）

在使用IE瀏覽網(wǎng)頁過程中，當遇到好的圖片、文章等資源時可以使用“另存為”功能將它保存到本地硬盤中，當多人共用一臺計算機時，為了保持硬盤的整潔，需要對瀏覽器的保存功能進行限制。那么如何才能實現(xiàn)呢?可以這樣操作：打開“組策略控制臺→用戶配置→管理模板→Windows組件→InternetExplorer→瀏覽器菜單”，然后將右側(cè)窗格中的“‘文件’菜單：禁用‘另存為...’菜單項”、“‘文件’菜單：禁用另存為網(wǎng)頁菜單項”、“‘查看’菜單：禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目全部啟用即可。

如果不希望別人對IE瀏覽器的設(shè)置隨意更改，可以將“‘工具’菜單：禁用‘Internet選項...’”策略啟用。另外，根據(jù)個人的需要，在該窗格中還可以禁用其他項目。

自定義IE工具欄（Windows2000/XP/2003）

IE工具欄的背景和上面的按鈕都是可以自定義的，以前我們大多使用手動修改注冊表的方法，不過并不直觀，現(xiàn)在我們用“組策略”可以更方便地達到效果，打造屬于我們自己的IE。

打開“組策略控制臺→用戶配置→Windows設(shè)置→InternetExplorer維護→瀏覽器用戶界面”下的“瀏覽器工具欄按鈕自定義”策略配置項目，在這里，可以自定義瀏覽器工具欄的背景圖片，點擊“瀏覽”選擇一個BMP的位圖文件即可（注意：工具欄背景應(yīng)該與工具欄大小相同，而亮度應(yīng)該足以顯示黑色文字，否則實際效果并不理想）。

接下來，我們要在IE的工具欄上添加自己的快捷方式，比如添加“我的QQ”，在這里也可以很輕松地完成。

點擊“添加”，在“工具欄標題”中輸人“我的QQ”，在“工具欄操作”中選擇QQ程序的路徑，最后再選擇好“顏色圖標”和“灰度圖標”的路徑（如果你不知道怎么提取這兩個圖標，可以請EXeScope這個軟件來幫忙，在各大站點都可以下載）。設(shè)置完成后點“確定”，再次打開IE后就可以看到修改的效果了。

設(shè)置并鎖定WindowsMediaPlayer外觀（Windows2000/XP/2003）

WindowsMediaPlayer是目前最流行的多媒體播放器之一，如果不希望其他用戶隨意更改其界面外觀的話，利用組策略可以輕松實現(xiàn)。打開“組策略控制臺→用戶配置→管理模板→Windows組件→WindowsMediaPlayer→用戶界面中的設(shè)置并鎖定外觀”啟用此策略。

啟用此策略后，將使WindowsMediaPlayer只以指定的外觀模式顯示，具體可以使用在“策略”選項卡上的“外觀”框中指定的外觀。你必須為外觀使用完整的文件名例如miniplayer.wmz。如果外觀文件在用戶的計算機上沒有安裝，播放器將以WindowsMediaPlayer外觀打開。

提示：本策略設(shè)置軟件版本至少為WindowsMediaPlayerv8.00，ADM文件為wmplayer.adm。

禁止WindowsMediaPlayer播放時運行屏保（Windows2000/XP/2003）

屏幕保護程序可以有效地保護我們的顯示器，但是當我們使用