如何從策略組件中關閉網路

① 電腦組策略 怎麼隱藏組 拒絕訪問 自己想用的時候在點出來

對於大部分計算機用戶來說，管理計算機基本上是藉助某些第三方工具，甚至是自己手工修改注冊表來實現。其實Windows
XP組策略已經把這些功能集於一體，通過組策略及相關工具完全可以實現我們所需要的功能。
一、組策略基礎
1.什麼是組策略
注冊表是Windows系統中保存系統軟體和應用軟體配置的資料庫，而隨著Windows功能越來越豐富，注冊表裡的配置項目也越來越多，很多配置都可以自定義設置，但這些配置分布在注冊表的各個角落，如果是手工配置，可以想像是多麼困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達到方便管理計算機的目的。
其實簡單地說，組策略設置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。
2.組策略的版本
對於Windows 9X/NT用戶來說，都知道「系統策略」的概念，其實組策略就是系統策略的高級擴展，它是自Windows
9X/NT的「系統策略」發展而來的，具有更多的管理模板、更靈活的設置對象及更多的功能，目前主要應用於Windows
2000/XP/2003操作系統中。
早期系統策略的運行機制是通過策略管理模板，定義特定的POL(通常是Config.pol)文件。當用戶登錄時，它會重寫注冊表中的設置值。當然，系統策略編輯器也支持對當前注冊表的修改，另外也支持連接網路計算機並對其注冊表進行設置。
而組策略及其工具，則是對當前注冊表進行直接修改。顯然，Windows
2000/XP/2003系統的網路功能是其最大的特色之處，所以其網路功能自然是不可少的，因此組策略工具還可以打開網路上的計算機進行配置，甚至可以打開某個Active
Directory(活動目錄)對象(即站點、域或組織單位)並對其進行設置。這是以前「系統策略編輯器」工具無法做到的。
當然，無論是「系統策略」還是「組策略」，它們的基本原理都是修改注冊表中相應的配置項目，從而達到配置計算機的目的，只是它們的一些運行機制發生了變化和擴展而已。
3.在Windows
XP中運行組策略
在Windows
2000/XP/2003系統中，系統默認已經安裝了組策略程序，在「開始」菜單中，單擊「運行」選項，在打開的對話框中輸入「gpedit.msc」並確定，即可運行組策略。如圖1所示。
使用上面的方法，打開的組策略對象是當前的計算機，而如果需要配置其他的計算機組策略對象，則需要將組策略作為獨立的MMC管理單元打開：
(1)打開Microsoft管理控制台(可在「開始」菜單的「運行」對話框中直接輸入「MMC」並確定)。
(2)單擊「文件→添加/刪除管理單元」菜單命令，在打開的對話框中單擊「添加」按鈕。
(3)在「可用的獨立管理單元」對話框中，單擊「組策略」選項，然後單擊「添加」按鈕。
(4)在「選擇組策略對象」對話框中，單擊「本地計算機」選項編輯本地計算機對象，或通過單擊「瀏覽」查找所需的組策略對象。
(5)單擊「完成」按鈕，組策略管理單元即打開要編輯的組策略對象。
(6)在左窗格中定位需要更改的選項的位置，在右窗格中右鍵單擊需要更改的具體選項，單擊「屬性」命令，即可打開其屬性對話框，從中選擇「已啟用」、「未配置」、「已禁用」選項即可對計算機策略進行管理。
4.組策略中的管理模板
在Windows
2000/XP/2003中包含幾個ADM文件。這些文件是文本文件，被稱為「管理模板」，它們為組策略管理單元的控制樹中「管理模板」文件夾下的項目提供策略信息。
在Windows
2000/XP/2003中，默認的Admin.adm管理模板位於系統文件夾的INF文件夾中，包含了默認安裝下的4個模板文件，分別為：
(1)System.adm：默認安裝在「組策略」中，用於系統設置。
(2)Inetres.adm：默認安裝在「組策略」中，用於Internet
Explorer(IE)策略設置。
(3)Wmplayer.adm：用於Windows Media
Player設置。
(4)Conf.adm：用於NetMeeting設置。
在策略管理控制台中，可以多次添加「策略模板」，下面讓我們來看看具體操作：
首先運行「組策略」程序，然後選擇「計算機配置」或者「用戶配置」下的「管理模板」，單擊滑鼠右鍵，選擇「添加/刪除模板」命令，然後在打開的對話框中單擊「添加」按鈕，在打開的對話框中選擇相應的ADM文件。單擊「打開」按鈕，則在系統策略編輯器中打開選定的腳本文件，並等待用戶執行。
返回到「組策略」編輯器主界面後，依次打開目錄「本地計算機策略→用戶配置→管理模板」選項，再單擊相應的目錄樹，就會看到我們新添加的管理模板所產生的配置項目了。
注意：下面的操作均在Windows
XP中進行。
二、個性化我的電腦
1.刪除「開始」菜單中的「文檔」菜單項
在多人使用的計算機中，有的用戶不希望其他用戶看到自己曾經編輯過的文檔或其他信息。因此，為了刪除用於記錄歷史文檔的「文檔」菜單項，我們可以通過修改組策略來實現。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
啟用此設置，則系統保存「文檔」快捷方式，但不在「文檔」菜單中顯示它們。如果以後禁用此設置或把它設置為未配置，則啟用設置之前及其生效之時保存的「文檔」快捷方式會出現在「文檔」菜單項中。如圖2所示。
注意：此設置不會阻止Windows程序在最近打開的文檔中顯示快捷方式。
另外，你也可以設置在退出系統時自動清除最近打開的文檔的歷史記錄。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
如果禁用該策略設置，系統就會在用戶退出時刪除快捷方式。因此，用戶登錄時，「開始」菜單上的文檔菜單總是空的。如果禁用或不配置此設置，系統將保留文檔快捷方式，並且用戶登錄時的文檔菜單看起來與用戶退出系統時完全相同。
注意：系統在\Documents
and
Settings\\Recent文件夾中的用戶配置文件中保存文檔快捷方式。
2.刪除「開始」菜單中的「運行」菜單項
在「開始」菜單中有「運行」菜單項，可以輸入程序名稱來啟動程序。我們可以將「運行」菜單項從「開始」菜單中刪除。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
如果啟用該設置，發生如下更改：
(1)「運行」命令從「開始」菜單中刪除。
(2)新建任務(運行)命令從任務管理器刪除。
(3)阻止用戶在IE地址欄中輸入下列項：
UNC路徑：\\＜server＞\＜share＞。
訪問本地驅動器：例如，C:。
訪問本地文件夾：例如，\temp＞。
同時，使用WIN+R組合鍵將無法顯示「運行」對話框。如果禁用或不配置此設置，用戶可以訪問「開始」菜單和任務管理器的「運行」命令，以及使用IE地址欄。
注意：這個策略隻影響指定的界面。不會防止用戶使用其他方法運行程序。
3.給「開始」菜單減肥
如果覺得Windows的「開始」菜單太臃腫，你完全可以通過組策略設置將不需要的菜單項從「開始」菜單中刪除。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
在組策略右側窗格中，提供「從『開始』菜單刪除用戶文件夾」、「刪除到『Windows
Update』的訪問和鏈接」、從『開始』菜單刪除公用程序組、從『開始』菜單中刪除「我的文檔」圖標等配置項目。你只要將不需要的菜單項所對應的策略啟用即可。
4.隱藏和禁用桌面上的所有項目
該策略可以從桌面上刪除圖標、快捷方式和其他默認的和用戶定義的項目。
位置：\用戶配置\管理模板\桌面\
該策略刪除圖標和快捷方式不防止用戶用另一種方法啟動程序或打開圖標和快捷方式所代表的項目。
5.退出時不保存用戶設置
該策略用於防止用戶保存對桌面的某些更改。
位置：\用戶配置\管理模板\桌面\
如果你啟用這個設置，用戶可以對桌面做某些更改，但有些更改，比如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷後都無法保存。
6.啟用/禁用「活動桌面」(Active
Desktop)
活動桌面是Windows 98(及以後版本)或安裝了IE
4.0的系統中自帶的高級功能，它最大的特點是可以設置各種圖片格式的牆紙，甚至可以將網頁作為牆紙顯示。但出於對安全和性能的考慮，有時候我們需要禁用這一功能(並且防止用戶啟用它)。
位置：\用戶配置\管理模板\桌面\Active
Desktop
提示：如果同時啟用「啟用Active Desktop」設置和「禁用Active Desktop」設置，「禁用Active
Desktop」設置會被忽略。如果「禁用Active Desktop和Web視圖」設置(在「用戶配置\管理模板\Windows組件\Windows資源管理器」)被啟用，Active
Desktop就會被禁用，並且這兩個策略都會被忽略。
7.從「我的電腦」中刪除共享文檔
當Windows用戶在一個工作組中，一個「共享文檔」圖標會以Windows資源管理器的Web視圖出現在「其他位置」和「在這台計算機上存儲的其他文件」中。使用此設置，你可選擇不顯示這些項目。
位置：\用戶配置\管理模板\Windows組件\Windows資源管理器\
如果啟用此設置，「共享文檔」文件夾將不會以Web視圖方式顯示或在「我的電腦」中出現。如果禁用或不配置此設置，當用戶是「工作組」的一部分時，「共享文檔」文件夾將會以Web視圖方式顯示或在「我的電腦」中出現。
8.不要將已刪除的文件移到「回收站」
當Windows資源管理器中的一個文件或文件夾被刪除時，該文件或文件夾的副本會被放在「回收站」里。使用此策略，你能改變此行為。
位置：\用戶配置\管理模板\Windows組件\Windows資源管理器\
如果啟用此設置，使用Windows資源管理器刪除的文件或文件夾不會被放在「回收站」里，因此被永久刪除。如果禁用或不配置此設置，使用Windows資源管理器刪除的文件或文件夾會被放在「回收站」里。
三、利用組策略進行系統設置
1.登錄時不顯示歡迎屏幕
為了加快計算機啟動的速度，我們完全可以通過組策略設置在每次用戶登錄時將Windows
XP歡迎屏幕隱藏。
位置：\用戶配置\管理模板\系統\
要顯示歡迎屏幕，請依次單擊「開始→程序→附件→系統工具」選項，然後單擊「開始」選項。要在不指定設置的情況下不顯示歡迎屏幕，請在歡迎屏幕上的復選框中清除「在開始顯示這個屏幕」選項。
注意：這項設置出現在「計算機配置」和「用戶配置」文件夾中。如果配置這項設置，「計算機配置」中的設置比「用戶配置」中的設置優先。
2.配置驅動程序查找位置
默認情況下，Windows將從本地安裝、軟盤驅動器、光碟驅動器、Windows
Update等位置搜索驅動程序。此設置配置查找到新硬體時Windows將要搜索驅動程序的位置。
位置：\用戶配置\管理模板\系統\
如果啟用此設置，你可以通過檢查位置名稱的相關復選框，刪除這三個位置中的任何位置。如果禁用或不配置此設置，Windows將從本地安裝、軟盤驅動器、光碟驅動器和Windows
Update等位置中搜索驅動程序。
3.關閉自動播放
一旦你將媒體插入驅動器，自動運行就開始從驅動器中讀取。這會造成程序的設置文件和在音頻媒體上的音樂立即開始。該策略將關閉自動運行功能。
位置：\用戶配置\管理模板\系統\
如果你啟動這項設置，你還可以在CD-ROM驅動器禁用自動運行或在所有驅動器上禁用自動運行。
注意：這個設置出現在「計算機配置」和「用戶配置」兩個文件夾中。如果兩個設置都配置，「計算機配置」中的設置比「用戶配置」中的設置優先。
另外，此設置不阻止自動播放音樂
CD。
4.只運行許可的Windows應用程序
該策略可以限制用戶可以運行的Windows程序。
位置：\用戶配置\管理模板\系統\
如果你啟用這個設置，用戶只能運行你加入「允許運行的應用程序列表」中的程序。
這個設置只能防止用戶從Windows資源管理器啟動程序。無法防止用戶用其他方式啟動程序，例如任務管理器。如果用戶可以訪問命令提示符窗口，這個設置無法防止用戶從命令窗口啟動不允許在Windows資源管理器中運行的程序。
注意：要創建允許的文件列表，請單擊「顯示」按鈕，在打開的對話框中單擊「添加」按鈕，然後輸入應用程序的執行文件名稱(例如，Winword.exe、Poledit.exe、Powerpnt.exe)。如圖3所示。
5.刪除任務管理器
當我們同時按下Ctrl+Alt+Del組合鍵將顯示「Windows任務管理器」對話框。任務管理器可以讓用戶啟動或終止程序、監視計算機性能、查看及監視計算機上所有運行中的程序(包含系統服務)、搜索程序的執行文件名、更改程序運行的優先順序。在這里，我們可以通過組策略刪除任務管理器。
位置：\用戶配置\管理模板\系統\Ctrl+Alt+Del選項\
如果該設置被啟用，並且用戶試圖啟動任務管理器，系統會顯示消息，解釋是一個策略禁止了這個操作。
6.刪除改變「密碼」選項
該策略可以防止用戶通過任務管理器更改系統密碼。
位置：\用戶配置\管理模板\系統\Ctrl+Alt+Del選項\
這個設置停用Windows安全設置對話框上的「更改密碼」按鈕。但是，用戶在得到系統提示時依舊可以更改密碼。管理員要求新密碼和密碼作廢時，系統會提示用戶輸入新密碼。
7.不允許運行Windows
Messenger
Windows XP自帶有聊天工具Windows Messenger，但是，我們也有可能在系統中安裝MSN
Messenger。該策略允許你禁用Windows Messenger。
位置：\用戶配置\管理模板\Windows組件\Windows Messenger
如果啟用該策略，Windows
Messenger將不會運行。如果禁止或不配置該策略，Windows
Messenger可以被使用。
注意：如果啟用這個策略，遠程協助無法使用Windows
Messenger。另外，這個策略也會出現在「計算機配置」中。如果兩個設置都配置，「計算機配置」中的設置比「用戶配置」中的設置優先。
8.關閉系統還原功能
系統還原是Windows
XP/2003中集成的強大功能，它在系統運行的同時，備份被更改的文件和數據，如果出現問題，系統還原使用戶能夠在不丟失個人數據文件的情況下，將計算機還原到以前的狀態。默認情況下，系統還原處於打開狀態。
但這一功能付出的代價也是相當大的，系統性能會明顯下降，磁碟空間也會被佔用很多。對於配置不高的計算機來說，強烈建議關閉此功能。
位置：\計算機配置\管理模板\系統\系統還原\關閉系統還原
啟用此設置後即可關閉系統還原功能，並且不能訪問「系統還原向導」和「配置界面」。
四、利用組策略調整上網設置
1.禁用導入和導出收藏夾
禁止用戶使用「導入/導出向導」菜單項導入或導出收藏夾鏈接。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，「導入/導出向導」菜單項將無法導入/導出收藏夾鏈接和Cookie。如果禁用該功能或不對其進行配置，則用戶可以通過單擊「文件」菜單上的「導入和導出」菜單項，然後運行「導入/導出向導」，導入/導出IE中的收藏夾。
注意：如果啟用該策略，用戶仍然可以查看「導入/導出向導」，但當用戶單擊「完成」按鈕時，將出現說明該功能已被禁用的提示信息。
2.禁用更改「高級」選項卡的設置
禁止用戶更改「Internet
選項」對話框中「高級」選項卡上的設置。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，則用戶無法更改高級Internet設置，如安全、多媒體和列印。用戶無法選中「高級」選項卡上的復選框，也不能清除這些復選框的復選標記。如果禁用該策略或不對其進行配置，則用戶可以選擇或清除「高級」選項卡上的設置。
如果設置了位於\用戶配置\管理模板\Windows組件\Internet
Explorer\Internet控制面板中的「禁用高級頁」策略，則無需設置該策略，因為「禁用高級頁」策略將刪除界面上的「高級」選項卡。
3.對撥號連接使用「自動檢測」屬性
自動檢測在瀏覽器第一次啟動時使用
DHCP(動態主機配置協議)或DNS伺服器來自定義瀏覽器。該策略指定自動檢測用於用戶的撥號設置的配置。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該設置，自動檢測將配置用戶的撥號設置。如果禁用該配置或不配置，自動檢測不會配置用戶的撥號設置，除非用戶指定。
4.禁用Internet連接向導
禁止用戶運行Internet連接向導。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，「Internet選項」對話框中「連接」選項卡上的「建立連接」按鈕將變灰。用戶也無法通過單擊桌面上的「連接到 Internet」圖標或單擊「開始→程序→附件→通訊」，然後單擊「Internet連接向導」運行Internet連接向導。如果禁用該策略或不對其進行配置，則用戶可以通過運行Internet連接向導，更改連接設置。
注意：該策略與位於＼用戶配置＼管理模板＼Windows
組件＼Internet
Explorer＼Internet控制面板中的「禁用連接頁」策略有相似之處，後者將刪除界面上的「連接」選項卡。從界面上刪除「連接」選項卡並不會妨礙用戶從桌面或「開始」菜單中運行Internet連接向導。
5.禁用表單的自動完成功能
禁止IE自動完成表單，如填寫用戶以前在網頁中輸入過的姓名或密碼。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，「表單」復選框將變灰。單擊「Internet選項」對話框中「內容」選項卡上的「自動完成」按鈕，即可出現「表單」復選框。如果禁用該策略或不對其進行配置，則用戶可以啟用表單的自動完成功能。
位於\用戶配置\管理模板\Windows組件\Internet
Explorer\Internet控制面板中的「禁用內容頁」策略的優先順序高於該策略。如果啟用了「禁用內容頁」策略，該策略將被忽略，因為「禁用內容頁」策略將刪除「控制面板」中「Internet
Explorer屬性」對話框中的「內容」選項卡。
注意：如果用戶已開始使用啟用了表單自動完成功能的瀏覽器後，再啟用該策略，則不會清除用戶已經使用表單自動完成功能在表單中所填寫的內容。
6.配置媒體瀏覽欄屬性
媒體瀏覽器欄播放來自Internet的音樂和視頻內容，該策略允許管理員啟用和禁用媒體瀏覽器欄和設置默認自動播放。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果禁用媒體瀏覽器欄，用戶無法顯示媒體瀏覽器欄。自動播放功能也被禁用。當用戶在IE中單擊一個鏈接，系統中的默認媒體客戶端將播放內容。如果啟用媒體瀏覽器欄或不配置，用戶可以顯示和隱藏媒體瀏覽器欄。
管理員也可以打開和關閉自動播放功能。該設置只在媒體瀏覽器欄啟用時應用。如果選擇，媒體瀏覽器欄將在用戶單擊媒體鏈接時自動顯示和播放媒體內容。如果不選擇，系統上的默認媒體客戶端將播放內容。
7.禁用右鍵快捷菜單
禁止在用戶使用IE過程中單擊滑鼠右鍵時出現快捷菜單。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer\瀏覽器菜單
如果啟用該策略，在用戶指向網頁，然後單擊滑鼠右鍵時將不出現快捷菜單。如果禁用該策略或不對其進行配置，則用戶可以使用快捷菜單。
8.自定義IE標題欄
我們可以利用組策略自定義出現在IE和OE標題欄中的文本。無論軟體包中是否有OE或者用戶計算機上已經安裝了OE，都將更新OE標題欄。
位置：\用戶配置\管理模板\Windows設置\Internet
Explorer維護\瀏覽器用戶界面\瀏覽器標題
請在打開的對話框中選中「自定義標題欄」選項，然後在「標題欄文本」框中鍵入希望的文本。
注意：在選擇某個點陣圖時，要確保顏色與文本的對比度。這為用戶確保了更高程度的可讀性。
9.自定義IE工具按鈕
我們可以利用該策略個性化出現在IE中的工具欄，給你一定的靈活性和設計機會。可以使用的元素包括用於標准工具欄按鈕(例如「搜索」和「歷史」)的工具欄背景和圖標外觀。
位置：＼用戶配置＼管理模板＼Windows設置＼Internet
Explorer維護＼瀏覽器用戶界面＼瀏覽器工具欄自定義
在打開的對話框中單擊「添加」按鈕，然後在打開的對話框中在「工具欄標題(必需)」框中，鍵入用戶滑鼠懸停在工具欄按鈕上時出現的文本。必須指定該按鈕的標題或標簽。建議的最大長度是10個字元。
在「工具欄操作(作為腳本文件或可執行文件，必需)」框中，鍵入腳本文件或可執行文件的名稱，或者單擊「瀏覽」按鈕查找文件。必須指定用戶單擊工具欄按鈕時運行的腳本文件或可執行文件。
在「工具欄顏色圖標(必需)」框中，鍵入表示按鈕為活動狀態的文件的名稱，或者單擊「瀏覽」按鈕查找該文件。必須指定出現在工具欄上的按鈕的彩色圖標。圖標由活動和非活動狀態的20×20像素的圖像組成。
在「工具欄灰度圖標(必需)」框中，鍵入出現在黑白監視器上的工具欄的灰度圖標文件名和位置，或者單擊「瀏覽」按鈕查找文件。必須指定顯示在工具欄上按鈕的灰度圖標。
選中「默認情況下，該按鈕應顯示在工具欄上」復選框來顯示默認情況下用戶瀏覽器中的工具欄按鈕。
五、利用組策略設置優化網路環境
1.禁止訪問網路連接組件的屬性
「本地連接屬性」對話框包括連接時使用的網路組件列表。要查看或更改組件屬性，請單擊組件名稱，然後單擊組件列表下面的「屬性」按鈕，如圖4所示。該策略確定用戶是否可以更改由網路連接使用的組件屬性，它確定是否啟用用於網路連接組件的「屬性」按鈕。
位置：\用戶配置\管理模板\網路\網路連接\
如果啟用此設置(並啟用「為管理員啟用網路連接設置」設置)，就會為管理員禁用「屬性」按鈕。無論「為管理員啟用網路連接設置」設置啟用與否，用戶都不可以訪問連接組件。如果禁用或不配置「為管理員啟用網路連接設置」。
如果禁用或不配置此設置，將為用戶啟用「屬性」按鈕。
2.禁用TCP/IP高級配置
確定用戶是否可以配置TCP/IP
設置。
位置：\用戶配置\管理模板\網路\網路連接\
如果啟用此設置(並啟用「為管理員啟用網路連接設置」設置)，就對所有用戶(包括管理員)禁用「Internet協議(TCP/IP)
屬性」對話框上的「高級」按鈕。因此，用戶不能打開「高級TCP/IP設置」對話框並修改IP設置(例如，DNS和WINS伺服器信息)。如果禁用此設置，則啟用「高級」按鈕，並且所有用戶均可打開「高級TCP/IP設置」對話框。
注意：此設置會由禁止訪問連接屬性或連接組件屬性的設置取代。如果將這些策略設置為拒絕訪問連接屬性對話框或用於連接組件的「屬性」按鈕，用戶就無法訪問用於TCP/IP配置的「高級」按鈕。不管此設置如何，非管理員用戶均不具有訪問用於網路連接的TCP/IP高級配置的許可權。在用戶退出系統之前，將此設置從「啟用」更改為「未配置」不會啟用「高級」按鈕。
3.禁止添加或刪除用於網路連接

② 怎麼樣關"組策略"

組策略是管理員為計算機和用戶定義的，用來控制應用程序、系統設置和管理模板的一種機制。通俗一點說，是介於控制面板和注冊表之間的一種修改系統、設置程序的工具。微軟自Windows NT 4.0開始便採用了組策略這一機制，經過Windows 2000發展到Windows XP已相當完善。利用組策略可以修改Windows的桌面、開始菜單、登錄方式、組件、網路及IE瀏覽器等許多設置。

平時像一些常用的系統、外觀、網路設置等我們可通過控制面板修改，但大家對此肯定都有不滿意，因為通過控制面板能修改的東西太少；水平稍高點的用戶進而使用修改注冊表的方法來設置，但注冊表涉及內容又太多，修改起來也不方便。組策略正好介於二者之間，涉及的內容比控制面板中的多，安全性和控制面板一樣非常高，而條理性、可操作性則比注冊表強。

本文主要介紹Windows XP Professional本地組策略的應用。本地計算機組策略主要可進行兩個方面的配置：計算機配置和用戶配置。其下所有設置項的配置都將保存到注冊表的相關項目中。其中計算機配置保存到注冊表的HKEY_LOCAL_MACHINE子樹中，用戶配置保存到HKEY_CURRENT_USER。

一、訪問組策略

有兩種方法可以訪問組策略：一是通過gpedit.msc命令直接進入組策略窗口；二是打開控制台，將組策略添加進去。

1. 輸入gpedit.msc命令訪問

選擇「開始」→「運行」，在彈出窗口中輸入「gpedit.msc」，回車後進入組策略窗口（圖1）。組策略窗口的結構和資源管理器相似，左邊是樹型目錄結構，由「計算機配置」、「用戶配置」兩大節點組成。這兩個節點下分別都有「軟體設置」、「Windows設置」和「管理模板」三個節點，節點下面還有更多的節點和設置。此時點擊右邊窗口中的節點或設置，便會出現關於此節點或設置的適用平台和作用描述。「計算機配置」、「用戶配置」兩大節點下的子節點和設置有很多是相同的，那麼我們該改哪一處？「計算機配置」節點中的設置應用到整個計算機策略，在此處修改後的設置將應用到計算機中的所有用戶。「用戶配置」節點中的設置一般只應用到當前用戶，如果你用別的用戶名登錄計算機，設置就不會管用了。但一般情況下建議在「用戶配置」節點下修改，本文也將主要講解「用戶配置」節點的各項設置的修改，附帶講解「計算機配置」節點下的一些設置。其中「管理模板」設置最多、應用最廣，因此也是本文的重中之重。

2. 通過控制台訪問組策略

單擊「開始」→「運行」，輸入「mmc」，回車後進入控制台窗口。單擊控制台窗口的「文件」→「添加/刪除管理單元」，在彈出窗口單擊「添加」（圖2），之後選擇「組策略」並單擊「添加」（圖3），在下一步的「選擇組策略對象」對話框中選擇對象。由於我們組策略對象就是「本地計算機」，因此不用更改，如果是網路上的另一台計算機，那麼單擊「瀏覽」選擇此計算機即可。另外，如果你希望保存組策略控制台，並希望能夠選擇通過命令行在控制台中打開組策略對象，請選中「當從命令行開始時，允許更改『組策略管理單元』的焦點」復選框（圖4）。最後添加進來的組策略如圖5所示。

二、任務欄和「開始」菜單項目設置

本節點允許你為開始菜單、任務欄和通知區域添加、刪除或禁用某一功能項目。依次展開「用戶配置」→「管理模板」→「任務欄和『開始』菜單」，在右邊窗口便能看到「任務欄和『開始』菜單」節點下的具體設置，其狀態都處在「未被配置」（圖6）。

1. 給「開始」菜單減肥

Windows XP的「開始」菜單的菜單項很多，可通過組策略將不需要的刪除掉。以刪除開始菜單中的「我的文檔」圖標為例看看其具體操作方法：在右邊窗口中雙擊「從『開始』菜單上刪除『我的文檔』圖標」項，在彈出對話框的「設置」標簽中點選「已啟用」，然後單擊「確定」（圖7），這樣在「開始」菜單中「我的文檔」圖標將會隱藏。

2. 防止隱私泄漏

在開始菜單中有一個「我最近的文檔」菜單項，別人可通過此菜單訪問你最近打開的文檔，為安全起見，可刪除此菜單項，並設置不保存最近打開的文檔記錄。雙擊「不要保留最近打開文檔的記錄」、「退出時清除最近打開的文檔記錄」、「從『開始』菜單上刪除『文檔』菜單」3項，在彈出對話框中點選「已啟動」並確定即可。

3. 禁止隨意修改任務欄和「開始」菜單

為保護自己好不容易設置好的任務欄和「開始」菜單，可雙擊啟用下列各設置。

「阻止更改『任務欄和『開始』菜單 』設置」：即從「開始」菜單的「設置」菜單項中刪除「任務欄和『開始』菜單」項目，這個設置也可阻止用戶打開「任務欄屬性」對話框。「阻止訪問任務欄的上下文菜單」（上下文菜單即單擊右鍵彈出的快捷菜單）：當滑鼠右鍵單擊任務欄及任務欄上項目時隱藏菜單，例如「開始」按鈕、時鍾和任務欄按鈕，但不能禁止用戶在其他地方更改。「鎖定任務欄」：啟用此設置，可阻止用戶移動任務欄或調整任務欄的大小，但自動隱藏和其他任務欄選項仍然在「任務欄屬性」中可用。

4. 去掉Windows XP「開始」菜單中的圖形化設置

Windows XP的「開始」菜單增添了許多圖形化設置，其實可在組策略中將這些功能關閉。

「關閉個性化菜單」：Windows XP會自動將最近使用的菜單項移動到開始菜單頂部，並且隱藏最近沒有使用的菜單項，以此實現個性化菜單，啟用此設置將關閉個性化菜單。「強制典型菜單」：啟用此設置，開始菜單就以Windows 2000樣式顯示典型的開始菜單，並且顯示標准桌面圖標。

5. 禁止「注銷」和「關機」

進行三維動畫設計和視頻處理的朋友經常會為導出一個大型動畫、視頻文件而花幾個小時，這時如果有人重新啟動電腦或注銷用戶，那麼前面所做的工作就會白白浪費，因此有必要禁止「開始」菜單中的「注銷」、「關機」菜單項。你只需雙擊啟用「刪除『開始』菜單上的『注銷』」和「刪除和阻止訪問『關機』命令」兩項即可。後一設置不僅將從「開始」菜單中刪除「關閉計算機」項，而且還會禁用「Windows 任務管理器」對話框中的「關機」選項（圖8）。

三、桌面項目設置

在「組策略」的左窗口依次展開「用戶配置」→「管理模板」→「桌面」節點，便能看到有關桌面的所有設置（圖9）。此節點主要作用在於管理用戶使用桌面的權利和隱藏桌面圖標。

1. 隱藏不必要的桌面圖標

桌面上的一些快捷方式我們可以輕而易舉地刪除，但要刪除「我的電腦」、「回收站」、「網上鄰居」等默認圖標，就需要依靠「組策略」了。例如要刪除「我的文檔」，只需在「刪除桌面上的『我的文檔』圖標」一項中設置即可。

2. 禁止對桌面的改動

利用組策略可達到禁止別人改動桌面某些設置的目的。「禁止用戶更改『我的文檔』路徑」項可防止用戶更改「我的文檔」文件夾的路徑。「禁止添加、拖、放和關閉任務欄的工具欄」項可阻止用戶從桌面上添加或刪除任務欄。雙擊啟用「退出時不保存設置」後，用戶將不能保存對桌面的更改。最後，雙擊啟用「隱藏和禁用桌面上的所有項目」設置項，將從桌面上刪除圖標、快捷方式以及其他默認的和用戶定義的所有項目，連桌面右鍵菜單都將被禁止。

3. 啟用或禁止活動桌面

利用「Active Desktop」項，可根據自己的需要設置活動桌面的各種屬性。「啟用活動桌面」項可啟用活動桌面並防止用戶禁用它。「活動桌面牆紙」項可指定在所有用戶的桌面上顯示的桌面牆紙（圖10）。而啟用「不允許更改」項便可防止用戶更改活動桌面配置。

四、隱藏或禁止控制面板項目

這里講到的控制面板項目設置是指配置控制面板程序的各項設置，主要用於隱藏或禁止控制面板項目。在組策略左邊窗口依次展開「用戶配置」→「管理模板」→「控制面板」項，便可看到「控制面板」節點下面的所有設置和子節點（圖11）。

1. 隱藏或禁止「添加/刪除程序」項

展開「添加/刪除程序」項：雙擊啟用「刪除『添加/刪除程序』程序」設置項後，控制面板中的「添加/刪除程序」項將被刪除。此外在「添加或刪除程序」對話框中共有3個頁面：「更改或刪除程序」、「添加新程序」以及「添加/刪除Windows組件」；而當你進入「添加新程序」頁面時，會發現有3個選項：「從CD-ROM或軟盤添加程序」、「從 Microsoft添加程序」以及「從網路中添加程序」（圖12），如果你想這些具體頁面或選項隱藏，可直接在組策略「添加/刪除程序」項中將相應隱藏功能啟用。

2. 隱藏或禁止「顯示」項

展開「顯示」項，發現這一項和上一項一樣，可隱藏「顯示屬性」對話框中的選項卡。這里就不細講了，例如雙擊啟用「隱藏『桌面』選項卡」後，「顯示窗口」中將不再出現「桌面」項（圖13）。此外，在這里用戶還可啟用「刪除控制面板中的『顯示』」，這樣在控制面板中雙擊打開「顯示」項時，就會彈出一個對話框提示你：系統管理員禁止使用「顯示」控制面板（圖14）。

3. 其他

依次展開「顯示」→「桌面主題」項，雙擊啟用「刪除主題選項」、「阻止選擇窗口和按鈕式樣」、「禁止選擇字體大小」項後，可阻止他人更改主題、窗口和按鈕式樣、字體。展開「列印機」項，雙擊啟用「阻止添加列印機」或「阻止刪除列印機」可防止別的用戶添加或刪除列印機。最後，直接在「控制面板」一項下啟用「禁止訪問控制面板」，控制面板將無法啟動。

五、系統項目設置

這一項在「用戶配置」→「管理模板」→「系統」中設置（圖15）。組策略中對系統的設置涉及到登錄、電源管理、組策略、腳本等很多項目，下面把和我們聯系緊密的部分清理出來分類列舉如下：

1. 登錄時不顯示歡迎屏幕界面

Windows 2000和Windows XP系統登錄時默認情況下都有歡迎屏幕，雖然漂亮但也麻煩且延長登錄時間，通過組策略便可將其除去。雙擊啟用「系統」節點下的「登錄時不顯示歡迎屏幕」，則每次用戶登錄時歡迎屏幕將隱藏。

2. 禁用注冊表編輯器

為防止他人修改注冊表，可在組策略中禁止訪問注冊表編輯器。雙擊啟用「系統」節點下的「阻止訪問注冊表編輯器」項後，用戶試圖啟動注冊表編輯器時，系統將提示：注冊編輯已被管理員停用（圖16）。另外，如果你的注冊表編輯器被鎖死，也可雙擊此設置，在彈出對話框的「設置」標簽中點選「未被配置」項，這樣你的注冊表便解鎖了。如果要防止用戶使用其他注冊表編輯工具打開注冊表，請雙擊啟用「只運行許可的Windows應用程序」。

3. 關閉系統自動播放功能

一旦你將光碟插入光碟機中，Windows XP就會開始讀取光碟機，並啟動相關的應用程序。這樣雖然給我們的工作帶來了便利，在某些時候也帶來了不少麻煩。在「系統」節點下有一項為「關閉自動播放」設置項，雙擊其並在彈出對話框的「設置」標簽中點選「已啟用」，在「關閉自動播放」框中選擇「CD-ROM啟動器」或「所有驅動器」項即可（圖17）。

注意：此設置不阻止自動播放音樂CD。

4. 關閉Windows自動更新

每當用戶連接到Internet，Windows XP就會搜索用戶計算機上的可用更新，根據配置的具體情況，在下載的組件准備好安裝時或在下載之前，給用戶以提示。如果你不喜歡比爾老大這種自作主張的態度，可通過組策略關閉這一功能。只須雙擊「系統」節點下的「Windows自動更新」設置項，在彈出來的對話框中點選「已禁用」並確定即可。

5. Ctrl+Alt+Del選項

若Windows XP用戶已取消「使用歡迎屏幕」項，若同時按下「Ctrl+Alt+Del」鍵，便會彈出一個「Windows安全」對話框，此對話框中有「鎖定計算機」、「注銷」、「關機」、「更改密碼」、「任務管理器」、「取消」6個功能按鈕（圖18）。大家都知道這里的每個按鈕對系統都起著關鍵的作用。為了阻止別人操作，可通過組策略屏蔽這些按鈕。

找到「系統」下的「Ctrl+Alt+Del選項」，雙擊啟用「刪除任務管理器」、「刪除『鎖定計算機』」、「刪除改變密碼」、「刪除注銷」項便能屏蔽掉「Windows安全」對話框的「任務管理器」、「鎖定計算機」、「更改密碼」、「取消」4個功能按鈕。

注意：「注銷」、「關機」兩個菜單項的屏蔽，在「用戶配置」→「管理模板」→「任務欄和『開始』菜單」節點下。

六、隱藏或刪除Windows XP資源管理器中的項目

一直以來，資源管理器就是Windows系統中最重要的工具，如何高效、安全地管理資源也一直是電腦用戶的不懈追求。依次展開「用戶配置」→「管理模板」→「Windows組件」→「Windows資源管理器」項，可以看到「Windows資源管理器」節點下的所有設置（圖19）。下面就來看看怎樣通過組策略實現資源管理器個性化。

1. 刪除「文件夾選項」

「文件夾選項」是資源管理器中一個重要的菜單項，通過它可修改文件的查看方式，編輯文件類型的打開方式（圖20）。我們自己對其設定好後，為了防止他人隨意更改，可將此菜單項刪除，你只須雙擊啟用「從『工具』菜單刪除『文件夾選項』菜單」便能完成這一設置。

2. 隱藏「管理」菜單項

在資源管理器中右鍵單擊「我的電腦」出現的快捷菜單中有一個「管理」菜單項，通過此菜單項，可以打開一個包含「事件查看器」、「本地用戶和組」、「設備管理器」、「磁碟管理」等眾多工具的「計算機管理」窗口（圖21）。為了保障你的計算機免受他人無意破壞，可通過雙擊啟用「隱藏Windows資源管理器上下文菜單上的『管理』項目」項來屏蔽此菜單項。

3. 其他項目的隱藏

此外通過啟用「隱藏『我的電腦』中的這些指定的驅動器」可隱藏你指定的驅動器（圖22）。還可通過啟用「『網上鄰居』中不含『整個網路』」屏蔽掉「整個網路」項。雙擊啟用「刪除CD燒錄功能」刪除Windows XP自帶的光碟刻錄功能。雙擊啟用「不要將已刪除的文件移到『回收站』」則以後刪除文件時將不進入回收站直接刪除掉。當然還有不少項目這里沒有講到，大家可根據需要自行探討，進行適當的配置。

七、IE瀏覽器項目設置

在組策略左邊窗口中依次展開「用戶配置」→「管理模板」→「Windows組件」→「Internet Explorer」項，在右邊窗口中便能看到「Internet Explorer」節點下的所有設置和子節點（圖23）。IE是Windows XP自帶的網頁瀏覽器，也是大多數用戶採用的瀏覽器，但其安全性也為人所詬病，下面就通過組策略來對其進行「改造」。

1. 在IE工具欄添加快捷方式

不知道大家注意到了沒有，不少軟體在安裝完之後都會在IE工具欄上添加圖標，單擊其便能啟用相應程序。其實用組策略可以在IE工具欄上為任何程序添加快捷方式，這里舉例說明如何添加一個ICQ的啟動圖標。展開「Internet Explorer維護」下的「瀏覽器用戶界面」，雙擊「瀏覽器工具欄自定義」設置項，在彈出來的對話框中單擊「添加」按鈕，在「瀏覽器工具欄按鈕信息」對話框的「工具欄標題」中輸入：ICQ，在「工具欄操作」中輸入D:\Fun\ICQLite\ICQLite.exe，然後再隨便選擇一個「顏色圖標」和「灰度圖標」（圖24，當然你也可以用ExeScope等來提取ICQ的圖標）。單擊「確定」後IE工具欄中便多了一個ICQ圖標！

2. 讓IE插件不再騷擾你

我們平常上網瀏覽網頁時，總會彈出一些諸如「是否安裝Flash插件」、「是否安裝3721網路實名」的提示，就像廣告窗口一樣煩人。實際上我們可在組策略中通過啟用「Internet Explorer」節點下的「禁用Internet Explorer組件的自動安裝」來禁止這種提示的出現。不過有時這一功能也是很用的，所以在禁止此功能之前請稍加考慮。

3. 保護好你的個人隱私

一般通過單擊IE工具欄上的「歷史」按鈕，便可了解以前瀏覽過的網頁和文件。為保密起見，你可以通過雙擊啟用「Internet Explorer」節點下的「不要保留最近打開文檔的記錄」和「退出時清除最近打開的文檔記錄」兩個設置項，這樣再單擊IE工具欄上的「歷史」按鈕，你訪問過的歷史網頁記錄將全部消失。

4. 禁止項

如果不希望他人對你的主頁進行修改，可啟用「Internet Explorer」節點下的「禁用更改主頁設置」設置項禁止別人更改你的主頁（圖25）。你也可通過訪問「瀏覽器菜單」，啟用其中的設置項對IE瀏覽器的若乾菜單項進行屏蔽。最後，在「Internet控制面板」節點下，你還可對「Internet選項」對話框中的部分選項卡進行隱藏（圖26）。

八、系統安全設置

自有計算機以來，安全一直就是人們關注的焦點問題，Windows XP也不例外。在組策略中，系統安全配置一般在「計算機配置」→「Windows設置」→「安全設置」中進行。

1. 密碼策略

這一策略在「賬戶策略」→「密碼策略」節點中配置（圖27）。口令是系統安全的一大隱患，可通過組策略設置密碼（口令）的最小長度：雙擊啟用「密碼必須符合復雜性要求」設置項，確定後雙擊「密碼長度最小值」設置項，在彈出來的對話框中將密碼長度最小值設為8或更大，這樣以後設置賬戶密碼時就必須輸入8位以上，安全性就高多了。

2. 用戶權利指派

展開「本地策略」→「用戶權利指派」節點，在右邊窗口中便能看到「用戶權利指派」節點下的所有設置（圖28）。合適地指派用戶權利可以解決一些奇怪的問題，例如在區域網中使用Windows XP系統的朋友一般會發現一個奇怪的現象，那就是即使你啟用guest用戶並給予許可權，區域網中的其他Win9X操作系統的用戶還是無法訪問Windows XP系統中的共享資源。這個問題可在組策略中通過修改有關設置解決：雙擊「用戶權利指派」節點下的「拒絕從網路訪問這台計算機」設置項，在彈出對話框中點選「guest」，然後單擊「刪除」，最後確定即可（圖29）。在「用戶權利指派」節點下還可給用戶添加許多許可權，例如給guest添加遠程關機許可權、給一般用戶添加更改系統時間的許可權，限於篇幅，在此不再贅述

③ 區域網老是ip沖突,在組策略中可以用禁止訪問LAN連接組件的屬性,怎麼修改注冊表達到上面效果

區域網內ip沖突問題,你可以設置自動獲得ip;或者在伺服器上設置一下,把你電腦的ip不自動分配給別人;或者自行修改為其它的ip

你可以打開組策略--用戶配置--網路--網路連接--禁止訪問lan連接的屬性

就可以了

補充:用組策略可擋住一般的菜鳥吧
不過沒有什麼辦法是可以擋的住高手的,你可以把那個組策略備份一下,然後刪除或者改名字就可以了,或者用其它軟體把組策略禁用.

④ 組策略的WINDOWS組件沒有Internet Explorer選項。。。

組策略中Internet Explorer選項查看步驟如下：

1、點擊開始，點擊運行；

2、輸入gpedit.msc，點擊確定；

3、依次展開用戶配置---管理模板--windows組件---internet explorer；

4、右側即可查看internet explorer選項。

⑤ 怎樣通過組策略限制某網站的瀏覽

在本篇技術指南中，將概要介紹你如何修改最重要的組策略安全設置。

在本篇技術指南中，將概要介紹你如何修改最重要的組策略安全設置。

你可以在採用Windows XP、2000和Server 2003操作系統的本地計算機上使用這些方法，或者在Server 2003和2000中的OU域名級上使用這些方法。為了簡明扼要和提供最新的信息，我准備介紹一下如何設置基於Windows Server 2003的域名。請記住，這些只是你在你的域名中能夠設置的組策略對象中最有可能出現問題的。按照我的觀點，這些設置可以保持或者破壞Windows的安全。而且由於設置的不同，你的進展也不同。因此，我鼓勵你在使用每一個設置之前都進行深入的研究，以確保這些設置能夠兼容你的網路。如果有可能的話，對這些設置進行試驗(如果你很幸運有一個測試環境的話)。

如果你沒有進行測試，我建議你下載和安裝微軟的組策略管理控制台(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程，你就上載GPMC，擴展你的域名，用滑鼠右鍵點擊「預設域名策略」，然後選擇「編輯」。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者「次企業級」的方式編輯你的域名組策略對象，你可以在「開始」菜單中運行「gpedit.msc」。

1.確定一個預設的口令策略，使你的機構設置位於「計算機配置/Windows設置/安全設置/賬號策略/口令策略」之下。

2.為了防止自動口令破解，在「計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略」中進行如下設置:

·賬號關閉持續時間(確定至少5-10分鍾)

·賬號關閉極限(確定最多允許5至10次非法登錄)

·隨後重新啟動關閉的賬號(確定至少10-15分鍾以後)

3.在「計算機配置/Windows設置/安全設置/本地策略/檢查策略」中啟用如下功能:

·檢查賬號管理

·檢查登錄事件

·檢查策略改變

·檢查許可權使用

·檢查系統事件

理想的情況是，你要啟用記錄成功和失敗的登錄。但是，這取決於你要保留什麼類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住，啟用每一種類型的記錄都需要你的系統處理器和硬碟提供更多的資源。

4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊，你可以在「計算機配置/Windows設置/安全設置/本地策略/安全選項」中進行如下設置:

·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)

·賬號:重新命名客戶賬號(確定一個新名字)

·互動式登錄:不要顯示最後一個用戶的名字(設置為啟用)

·互動式登錄:不需要最後一個用戶的名字(設置為關閉)

·互動式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本)，內容大致為「這是專用和受控的系統。

如果你濫用本系統，你將受到制裁。--首先讓你的律師運行這個程序)

·互動式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!後面寫的東西

·網路接入:不允許SAM賬號和共享目錄(設置為「啟用」)

·網路接入:將「允許每一個人申請匿名用戶」設置為關閉

·網路安全:「不得存儲區域網管理員關於下一個口令變化的散列值」設置為「啟用」

·關機:「允許系統在沒有登錄的情況下關閉」設置為「關閉」

·關機:「清除虛擬內存的頁面文件」設置為「啟用」

如果你沒有Windows Server 2003域名控制器，你在這里可以找到有哪些Windows XP本地安全設置的細節，以及這里有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息，請查看微軟的專門網頁。

十一、如何設置IE中的安全設置選項按鈕？
問:我在Windows 2000桌面右擊IE圖標並選擇「屬性」，選擇了「安全」標簽後，發現「自定義級別」和「默認級別」按鈕變成灰色不可選狀態，無法改變IE的安全等級。請問該如何解決？

答:出現這個問題的原因是系統在注冊表中添加了一個「SecChangeSettings」鍵進行了限制。請打開注冊表編輯器，找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]，將右側窗口中的「SecChangeSettings」鍵刪除後，重啟IE即可解決問題。

十二、FAT32轉換為NTFS
如果要使用文件訪問許可權，文件還必須位於NTFS文件系統的分區上。跟FAT和FAT32文件系統相比，NTFS文件系統可以在保持簇大小不變的情況下支持更大的分區，還有一系列的安全特性，建議使用。不過DOS和Windows 9x操作系統並不能支持這種文件系統。有兩種方法獲得NTFS文件系統的分區：創建一個分區，然後格式化為NTFS文件系統；或者把現有的FAT或者FAT32文件系統的分區在保留數據的前提下轉化為NTFS文件系統。這個轉化可以使用Windows自帶的convert.exe程序，在命令行狀態下輸入「convert c:/fs:ntfs」並回車就可以把C盤轉換，其他盤需要替換C為相應的盤符。另外要注意，轉換系統盤可能需要你重啟動系統才能完成。

十三、用組策略從十大方面保護Windows安全
Windows操作系統中組策略的應用無處不在，如何讓系統更安全，也是一個常論不休的話題，下面就讓我們一起來看看通過組策略如何給Windows系統練就一身金鍾罩。

一、給我們的IP添加安全策略

在「計算機配置」→「Windows設置」→「安全設置」→「IP 安全策略，在本地計算機」下與有與網路有關的幾個設置項目(如圖1)。如果大家對Internet較為熟悉，那也可以通過它來添加或修改更多的網路安全設置，這樣在Windows上運行網路程序或者暢游Internet時將會更加安全。
小提示 :由於此項較為專業，其間會涉及到很多的專業概念，一般用戶用不到，在這里只是給網路管理員們提個醒，因此在此略過。

二、隱藏驅動器

平時我們隱藏文件夾後，別人只需在文件夾選項里顯示所有文件，就可以看見了，我們可以在組策略里刪除這個選項：選擇「用戶配置→管理模板→Windows組件→Windows資源管理器」。

三、禁用指定的文件類型

在「組策略」中，我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型，而且不影響系統的正常運行。這里假設我們要禁用注冊表的REG文件，不讓系統運行REG文件，具體操作方法如下：

1. 打開組策略，點擊「計算機配置→Windows設置→安全設置→軟體限制策略」，在彈出的右鍵菜單上選擇「創建軟體限制策略」，即生成「安全級別」、「其他規則」及「強制」、「指派的文件類型」、「受信任的出版商」項。

2. 雙擊「指派的文件類型」打開「指派的文件類型屬性」窗口，只留下REG文件類型，將其他的文件全部刪除，如果還有其他的文件類型要禁用，可以再次打開這個窗口，在「文件擴展名」空白欄里輸入要禁用的文件類型，將它添加上去。

3. 雙擊「安全級別→不允許的」項，點擊「設為默認」按鈕。然後注銷系統或者重新啟動系統，此策略即生效，運行REG文件時，會提示「由於一個軟體限制策略的阻止，Windows無法打開此程序」。

4.要取消此軟體限制策略的話，雙擊「安全級別→不受限的」，打開「不受限的屬性」窗口，按「設為默認值」即可。

如果你滑鼠右鍵點擊「計算機配置→Windows設置→安全設置→軟體限制策略→其他規則」，你會看到它可以建立哈希規則、Internet 區域規則、路徑規則等策略，利用這些規則我們可以讓系統更加安全，比如利用「路徑規則」可以為電子郵件程序用來運行附件的文件夾創建路徑規則，並將安全級別設置為「不允許的」，以防止電子郵件病毒。

提示：為了避免「軟體限制策略」將系統管理員也限制，我們可以雙擊「強制」，選擇「除本地管理員以外的所有用戶」。如果用你的是文件類型限制策略，此選項可以確保管理員有權運行被限制的文件類型，而其他用戶無權運行。

四、未經許可，不得在本機登錄

使用電腦時，我們有時要離開座位一段時間。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等，為了避免有人動用電腦，我們一般會把電腦鎖定。但是在區域網中，為了方便網路登錄，我們有時候會建立一些來賓賬戶，如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶，那就麻煩了。既然我們不能刪除或禁用這些賬戶，那麼我們可以通過「組策略」來禁止一些賬戶在本機上登錄，讓對方只能通過網路登錄。

在「組策略」窗口中依次打開「計算機配置→Windows設置→安全設置→本地策略→用戶許可權分配」，然後雙擊右側窗格的「拒絕本地登錄」項，在彈出的窗口中添加要禁止的用戶或組即可實現。

如果我們想反其道而行之，禁止用戶從網路登錄，只能從本地登錄，可以雙擊「拒絕從網路訪問這台計算機」項將用戶加上去。

五、給「休眠」和「待機」加個密碼

只有「屏幕保護」有密碼是遠遠不夠安全的，我們還要給「休眠」和「待機」加上密碼，這樣才會更安全。讓我們來給「休眠」和「待機」加上密碼吧。在「組策略」窗口中展開「用戶配置→管理模板→系統→電源管理」，在右邊的窗格中雙擊「從休眠/掛起恢復時提示輸入密碼」，將其設置為「已啟用」(圖5)，那麼當我們從「待機」或「休眠」狀態返回時將會要求你輸入用戶密碼。

六、自動給操作做個記錄

在「計算機配置→Windows設置→安全設置→本地策略→審核策略」上，我們可以看到它可以審核策略更改、登錄事件、對象訪問、過程追蹤、目錄服務訪問、特權使用等(圖6)。這些審核可以記錄下你某年某月某日某時某分某秒做過了什麼操作：幾時登錄、關閉系統或更改過哪些策略等等。

我們應該養成經常在「控制面板→管理工具→事件查看器」里查看事件的好習慣。比如，當你修改過「組策略」後，系統就發生了問題，此時「事件查看器」就會及時告訴你改了哪些策略。在「登錄事件」里，你可以查看到詳細的登錄事件，知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核，只要雙擊相應的項目，選中「成功」和「失敗」兩個選項即可。

注意：Windows XP Home Edition沒有「組策略」，只有Windows XP Professional版本才有「組策略」，這一點注意。

七、限制IE瀏覽器的保存功能

當多人共用一台計算機時，為了保持硬碟的整潔，需要對瀏覽器的保存功能進行限制使用，那麼如何才能實現呢?具體方法為：選擇「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」→「瀏覽器菜單」分支。雙擊右側窗格中的「『文件』菜單：禁用『另存為…』菜單項」，在打開的設置窗口中選中「已啟用」單選按鈕(如圖7)。
提示 : 我們還可以對「『文件』菜單：禁用另存為網頁菜單項」、「『查看』菜單：禁用『源文件』菜單項」和「禁用上下文菜單」等策略項目進行修改，這樣我們的IE將會安全一些。

八、禁止修改IE瀏覽器的主頁

如果您不希望他人或網路上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話，我們可以選擇「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」分支，然後在右側窗格中，雙擊「禁用更改主頁設置」策略啟用即可。
(1)在圖8，還提供了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。如果啟用了這個策略，在IE瀏覽器的「Internet 選項」對話框中，其「常規」選項卡的「主頁」區域的設置將變灰。

(2)如果設置了位於「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」→「Internet 控制面板」中的「禁用常規頁」策略，則無需設置該策略，因為「禁用常規頁」策略將刪除界面上的「常規」選項卡。

(3)逐級展開「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」分支，我們可以在其下發現「Internet控制面板」、「離線頁」、「瀏覽器菜單」、「工具欄」、「持續行為」和「管理員認可的控制項」等策略選項。利用它可以充分打造一個極有個性和安全的IE。

九、把Administrator藏起來

Windows系統默認的系統管理員賬戶名是Administrator。因此，為了避免有人惡意破解系統管理員Administrator賬戶的密碼，我們可以將Administrator改為其他名字以加強安全。點擊「開始→運行」，輸入gpedit.msc，打開「組策略」，如圖9所示，選擇「計算機配置→Windows設置→安全設置→本地策略→安全選項」，在右邊窗格里雙擊「賬戶：重命名系統管理員賬戶」項，在上面輸入你想要的用戶名。重新啟動計算機後，輸入的新用戶名即刻生效。如果再新建一個Guest用戶，用戶名為Administrator，然後再加上十分復雜的密碼就更安全。

提示：為了避免讓人在Windows的登錄框中看到曾經登錄過的用戶名，就要雙擊「互動式登錄：不顯示上次的用戶名」子項，選擇「已啟用」將該策略啟用。這樣上次登錄到計算機的用戶名就不會顯示在Windows的登錄畫面中。

十.禁用IE組件自動安裝

選擇「計算機配置」→「管理模板」→「Windows組件」→「Internet Explorer」項目，雙擊右邊窗口中「禁用Internet Explorer組件的自動安裝」項目，在打開的窗口中選擇「已啟用」單選按鈕(如圖10)，將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件，篡改IE的行為也會得到遏制!相對來說IE也會安全許多!

小提示

如果禁用該策略或不對其進行配置，則用戶在訪問需要某個組件的網站時，將會收到一則消息，提示用戶下載並安裝該組件。有時用戶看也不看就選擇「安裝」則往往會出問題。網上的很多惡意代碼往往都是這樣工作的。

十四、Windows 2000 安全檢查清單
在網上偶爾看到這篇關於Window 2000安全的問題，雖然有點老了，但覺得還是挺實用的，於是就轉過來了，希望大家有所幫助。注意：很多操作請不要在伺服器上直接嘗試，因為操作不當可能會引起伺服器很多功能出錯或無法使用，建議您在個人的機器上操作成功後再試。 ---51windows(海娃)

前段時間，中美網路大戰，我看了一些被黑的伺服器，發現絕大部分被黑的伺服器都是Nt/win2000的機器，真是慘不忍睹。Windows2000 真的那麼不安全么？其實，Windows2000 含有很多的安全功能和選項，如果你合理的配置它們，那麼windows 2000將會是一個很安全的操作系統.我抽空翻了一些網站，翻譯加湊數的整理了一篇checklist出來。希望對win2000管理員有些幫助。本文並沒有什麼高深的東西，所謂的清單，也並不完善，很多東西要等以後慢慢加了，希望能給管理員作一參考。

具體清單如下：

初級安全篇

1.物理安全

伺服器應該安放在安裝了監視器的隔離房間內，並且監視器要保留15天以上的攝像記錄。另外，機箱,鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的安全的地方。

2.停掉Guest 帳號

在計算機管理的用戶裡面把guest帳號停用掉，任何時候都不允許guest帳號登陸系統。為了保險起見，最好給guest 加一個復雜的密碼，你可以打開記事本，在裡面輸入一串包含特殊字元,數字，字母的長字元串，然後把它作為guest帳號的密碼拷進去。

3．限制不必要的用戶數量

去掉所有的plicate user 帳戶, 測試用帳戶, 共享帳號，普通部門帳號等等。用戶組策略設置相應許可權，並且經常檢查系統的帳戶，刪除已經不在使用的帳戶。這些帳戶很多時候都是黑客們入侵系統的突破口，系統的帳戶越多，黑客們得到合法用戶的許可權可能性一般也就越大。國內的nt/2000主機，如果系統帳戶超過10個，一般都能找出一兩個弱口令帳戶。我曾經發現一台主機197個帳戶中竟然有180個帳號都是弱口令帳戶。

4．創建2個管理員用帳號

雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規則的。創建一個一般許可權帳號用來收信以及處理一些日常事物，另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作，以方便管理。

5．把系統administrator帳號改名

大家都知道，windows 2000 的administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然，請不要使用Admin之類的名字，改了等於沒改，盡量把它偽裝成普通用戶，比如改成：guestone 。

6．創建一個陷阱帳號

什麼是陷阱帳號? Look!>創建一個名為」 Administrator」的本地帳戶，把它的許可權設置成最低，什麼事也幹不了的那種，並且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了，並且可以藉此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿，夠損！

7．把共享文件的許可權從」everyone」組改成「授權用戶」

「everyone」 在win2000中意味著任何有權進入你的網路的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成」everyone」組。包括列印共享，默認的屬性就是」everyone」組的，一定不要忘了改。

8．使用安全密碼

一個好的密碼對於一個網路是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經可以說明這一點了。一些公司的管理員創建帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的東西做用戶名，然後又把這些帳戶的密碼設置得N簡單，比如 「welcome」 「iloveyou」 「letmein」或者和用戶名相同等等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼，還要注意經常更改密碼。前些天在IRC和人討論這一問題的時候，我們給好密碼下了個定義：安全期內無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須改密碼。

9．設置屏幕保護密碼

很簡單也很有必要，設置屏幕保護密碼也是防止內部人員破壞伺服器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序，浪費系統資源，讓他黑屏就可以了。還有一點，所有系統用戶所使用的機器也最好加上屏幕保護密碼。

10． 使用NTFS格式分區

把伺服器的所有分區都改成NTFS格式。NTFS文件系統要比FAT,FAT32的文件系統安全得多。這點不必多說，想必大家得伺服器都已經是NTFS的了。

11．運行防毒軟體

我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的，其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒，還能查殺大量木馬和後門程序。這樣的話，「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫

12．保障備份盤的安全

一旦系統資料被破壞，備份盤將是你恢復資料的唯一途徑。備份完資料後，把備份盤防在安全的地方。千萬別把資料備份在同一台伺服器上，那樣的話，還不如不要備份。

中級安全篇：

1．利用win2000的安全配置工具來配置策略

微軟提供了一套的基於MMC(管理控制台)安全配置和分析工具，利用他們你可以很方便的配置你的伺服器以滿足你的要求。具體內容請參考微軟主頁：
www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp

2．關閉不必要的服務

windows 2000 的 Terminal Services（終端服務），IIS ,和RAS都可能給你的系統帶來安全漏洞。為了能夠在遠程方便的管理伺服器，很多機器的終端服務都是開著的，如果你的也開了，要確認你已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。要留意伺服器上面開啟的所有服務，中期性(每天)的檢查他們。下面是C2級別安裝的默認服務：
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log

3．關閉不必要的埠

關閉埠意味著減少功能，在安全和功能上面需要你作一點決策。如果伺服器安裝在防火牆的後面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用埠掃描器掃描系統所開放的埠，確定開放了哪些服務是黑客入侵你的系統的第一步。\system32\drivers\etc\services 文件中有知名埠和服務的對照表可供參考。具體方法為：
網上鄰居>屬性>本地連接>屬性>internet 協議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性打開tcp/ip篩選，添加需要的tcp,udp,協議即可。

4．打開審核策略

開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式（如嘗試用戶密碼,改變帳戶策略，未經許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道，直到系統遭到破壞。下面的這些審核是必須開啟的，其他的可以根據需要增加：
策略 設置
審核系統登陸事件 成功，失敗
審核帳戶管理 成功，失敗
審核登陸事件 成功，失敗
審核對象訪問 成功
審核策略更改 成功，失敗
審核特權使用 成功，失敗
審核系統事件 成功，失敗

5．開啟密碼密碼策略

策略 設置
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5 次
強制密碼歷史 42 天

6．開啟帳戶策略

策略 設置
復位帳戶鎖定計數器 20分鍾
帳戶鎖定時間 20分鍾
帳戶鎖定閾值 3次

7．設定安全記錄的訪問許可權

安全記錄在默認情況下是沒有保護的，把他設置成只有Administrator和系統帳戶才有權訪問。

8．把敏感文件存放在另外的文件伺服器中

雖然現在伺服器的硬碟容量都很大，但是你還是應該考慮是否有必要把一些重要的用戶數據(文件，數據表，項目文件等)存放在另外一個安全的伺服器中，並且經常備份它們。

9.不讓系統顯示上次登陸的用戶名

默認情況下，終端服務接入伺服器時，登陸對話框中會顯示上次登陸的帳戶明，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名，進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名，具體是： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的鍵值改成 1 .

10．禁止建立空連接

默認情況下，任何用戶通過通過空連接連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。

11．到微軟網站下載最新的補丁程序

很多網路管理員沒有訪問安全站點的習慣，以至於一些漏洞都出了很久了，還放著伺服器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的2000不出一點安全漏洞，經常訪問微軟和一些安全站點，下載最新的service pack和漏洞補丁，是保障伺服器長久安全的唯一方法。

⑥ 怎樣在組策略里設置：啟用控制面板

1、點擊「開始」菜單，點擊「運行」。

⑦ 本地安全策略怎樣設置,才能不用殺毒軟體安全上網.

對於大部分計算機用戶來說，管理計算機基本上是藉助某些第三方工具，甚至是自己手工修改注冊表來實現。其實Windows
XP組策略已經把這些功能集於一體，通過組策略及相關工具完全可以實現我們所需要的功能。
一、組策略基礎
1.什麼是組策略
注冊表是Windows系統中保存系統軟體和應用軟體配置的資料庫，而隨著Windows功能越來越豐富，注冊表裡的配置項目也越來越多，很多配置都可以自定義設置，但這些配置分布在注冊表的各個角落，如果是手工配置，可以想像是多麼困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達到方便管理計算機的目的。
其實簡單地說，組策略設置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。
2.組策略的版本
對於Windows 9X/NT用戶來說，都知道「系統策略」的概念，其實組策略就是系統策略的高級擴展，它是自Windows
9X/NT的「系統策略」發展而來的，具有更多的管理模板、更靈活的設置對象及更多的功能，目前主要應用於Windows
2000/XP/2003操作系統中。
早期系統策略的運行機制是通過策略管理模板，定義特定的POL(通常是Config.pol)文件。當用戶登錄時，它會重寫注冊表中的設置值。當然，系統策略編輯器也支持對當前注冊表的修改，另外也支持連接網路計算機並對其注冊表進行設置。
而組策略及其工具，則是對當前注冊表進行直接修改。顯然，Windows
2000/XP/2003系統的網路功能是其最大的特色之處，所以其網路功能自然是不可少的，因此組策略工具還可以打開網路上的計算機進行配置，甚至可以打開某個Active
Directory(活動目錄)對象(即站點、域或組織單位)並對其進行設置。這是以前「系統策略編輯器」工具無法做到的。
當然，無論是「系統策略」還是「組策略」，它們的基本原理都是修改注冊表中相應的配置項目，從而達到配置計算機的目的，只是它們的一些運行機制發生了變化和擴展而已。
3.在Windows
XP中運行組策略
在Windows
2000/XP/2003系統中，系統默認已經安裝了組策略程序，在「開始」菜單中，單擊「運行」選項，在打開的對話框中輸入「gpedit.msc」並確定，即可運行組策略。如圖1所示。
使用上面的方法，打開的組策略對象是當前的計算機，而如果需要配置其他的計算機組策略對象，則需要將組策略作為獨立的MMC管理單元打開：
(1)打開Microsoft管理控制台(可在「開始」菜單的「運行」對話框中直接輸入「MMC」並確定)。
(2)單擊「文件→添加/刪除管理單元」菜單命令，在打開的對話框中單擊「添加」按鈕。
(3)在「可用的獨立管理單元」對話框中，單擊「組策略」選項，然後單擊「添加」按鈕。
(4)在「選擇組策略對象」對話框中，單擊「本地計算機」選項編輯本地計算機對象，或通過單擊「瀏覽」查找所需的組策略對象。
(5)單擊「完成」按鈕，組策略管理單元即打開要編輯的組策略對象。
(6)在左窗格中定位需要更改的選項的位置，在右窗格中右鍵單擊需要更改的具體選項，單擊「屬性」命令，即可打開其屬性對話框，從中選擇「已啟用」、「未配置」、「已禁用」選項即可對計算機策略進行管理。
4.組策略中的管理模板
在Windows
2000/XP/2003中包含幾個ADM文件。這些文件是文本文件，被稱為「管理模板」，它們為組策略管理單元的控制樹中「管理模板」文件夾下的項目提供策略信息。
在Windows
2000/XP/2003中，默認的Admin.adm管理模板位於系統文件夾的INF文件夾中，包含了默認安裝下的4個模板文件，分別為：
(1)System.adm：默認安裝在「組策略」中，用於系統設置。
(2)Inetres.adm：默認安裝在「組策略」中，用於Internet
Explorer(IE)策略設置。
(3)Wmplayer.adm：用於Windows Media
Player設置。
(4)Conf.adm：用於NetMeeting設置。
在策略管理控制台中，可以多次添加「策略模板」，下面讓我們來看看具體操作：
首先運行「組策略」程序，然後選擇「計算機配置」或者「用戶配置」下的「管理模板」，單擊滑鼠右鍵，選擇「添加/刪除模板」命令，然後在打開的對話框中單擊「添加」按鈕，在打開的對話框中選擇相應的ADM文件。單擊「打開」按鈕，則在系統策略編輯器中打開選定的腳本文件，並等待用戶執行。
返回到「組策略」編輯器主界面後，依次打開目錄「本地計算機策略→用戶配置→管理模板」選項，再單擊相應的目錄樹，就會看到我們新添加的管理模板所產生的配置項目了。
注意：下面的操作均在Windows
XP中進行。
二、個性化我的電腦
1.刪除「開始」菜單中的「文檔」菜單項
在多人使用的計算機中，有的用戶不希望其他用戶看到自己曾經編輯過的文檔或其他信息。因此，為了刪除用於記錄歷史文檔的「文檔」菜單項，我們可以通過修改組策略來實現。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
啟用此設置，則系統保存「文檔」快捷方式，但不在「文檔」菜單中顯示它們。如果以後禁用此設置或把它設置為未配置，則啟用設置之前及其生效之時保存的「文檔」快捷方式會出現在「文檔」菜單項中。如圖2所示。
注意：此設置不會阻止Windows程序在最近打開的文檔中顯示快捷方式。
另外，你也可以設置在退出系統時自動清除最近打開的文檔的歷史記錄。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
如果禁用該策略設置，系統就會在用戶退出時刪除快捷方式。因此，用戶登錄時，「開始」菜單上的文檔菜單總是空的。如果禁用或不配置此設置，系統將保留文檔快捷方式，並且用戶登錄時的文檔菜單看起來與用戶退出系統時完全相同。
注意：系統在\Documents
and
Settings\\Recent文件夾中的用戶配置文件中保存文檔快捷方式。
2.刪除「開始」菜單中的「運行」菜單項
在「開始」菜單中有「運行」菜單項，可以輸入程序名稱來啟動程序。我們可以將「運行」菜單項從「開始」菜單中刪除。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
如果啟用該設置，發生如下更改：
(1)「運行」命令從「開始」菜單中刪除。
(2)新建任務(運行)命令從任務管理器刪除。
(3)阻止用戶在IE地址欄中輸入下列項：
UNC路徑：\\＜server＞\＜share＞。
訪問本地驅動器：例如，C:。
訪問本地文件夾：例如，\temp＞。
同時，使用WIN+R組合鍵將無法顯示「運行」對話框。如果禁用或不配置此設置，用戶可以訪問「開始」菜單和任務管理器的「運行」命令，以及使用IE地址欄。
注意：這個策略隻影響指定的界面。不會防止用戶使用其他方法運行程序。
3.給「開始」菜單減肥
如果覺得Windows的「開始」菜單太臃腫，你完全可以通過組策略設置將不需要的菜單項從「開始」菜單中刪除。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
在組策略右側窗格中，提供「從『開始』菜單刪除用戶文件夾」、「刪除到『Windows
Update』的訪問和鏈接」、從『開始』菜單刪除公用程序組、從『開始』菜單中刪除「我的文檔」圖標等配置項目。你只要將不需要的菜單項所對應的策略啟用即可。
4.隱藏和禁用桌面上的所有項目
該策略可以從桌面上刪除圖標、快捷方式和其他默認的和用戶定義的項目。
位置：\用戶配置\管理模板\桌面\
該策略刪除圖標和快捷方式不防止用戶用另一種方法啟動程序或打開圖標和快捷方式所代表的項目。
5.退出時不保存用戶設置
該策略用於防止用戶保存對桌面的某些更改。
位置：\用戶配置\管理模板\桌面\
如果你啟用這個設置，用戶可以對桌面做某些更改，但有些更改，比如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷後都無法保存。
6.啟用/禁用「活動桌面」(Active
Desktop)
活動桌面是Windows 98(及以後版本)或安裝了IE
4.0的系統中自帶的高級功能，它最大的特點是可以設置各種圖片格式的牆紙，甚至可以將網頁作為牆紙顯示。但出於對安全和性能的考慮，有時候我們需要禁用這一功能(並且防止用戶啟用它)。
位置：\用戶配置\管理模板\桌面\Active
Desktop
提示：如果同時啟用「啟用Active Desktop」設置和「禁用Active Desktop」設置，「禁用Active
Desktop」設置會被忽略。如果「禁用Active Desktop和Web視圖」設置(在「用戶配置\管理模板\Windows組件\Windows資源管理器」)被啟用，Active
Desktop就會被禁用，並且這兩個策略都會被忽略。
7.從「我的電腦」中刪除共享文檔
當Windows用戶在一個工作組中，一個「共享文檔」圖標會以Windows資源管理器的Web視圖出現在「其他位置」和「在這台計算機上存儲的其他文件」中。使用此設置，你可選擇不顯示這些項目。
位置：\用戶配置\管理模板\Windows組件\Windows資源管理器\
如果啟用此設置，「共享文檔」文件夾將不會以Web視圖方式顯示或在「我的電腦」中出現。如果禁用或不配置此設置，當用戶是「工作組」的一部分時，「共享文檔」文件夾將會以Web視圖方式顯示或在「我的電腦」中出現。
8.不要將已刪除的文件移到「回收站」
當Windows資源管理器中的一個文件或文件夾被刪除時，該文件或文件夾的副本會被放在「回收站」里。使用此策略，你能改變此行為。
位置：\用戶配置\管理模板\Windows組件\Windows資源管理器\
如果啟用此設置，使用Windows資源管理器刪除的文件或文件夾不會被放在「回收站」里，因此被永久刪除。如果禁用或不配置此設置，使用Windows資源管理器刪除的文件或文件夾會被放在「回收站」里。
三、利用組策略進行系統設置
1.登錄時不顯示歡迎屏幕
為了加快計算機啟動的速度，我們完全可以通過組策略設置在每次用戶登錄時將Windows
XP歡迎屏幕隱藏。
位置：\用戶配置\管理模板\系統\
要顯示歡迎屏幕，請依次單擊「開始→程序→附件→系統工具」選項，然後單擊「開始」選項。要在不指定設置的情況下不顯示歡迎屏幕，請在歡迎屏幕上的復選框中清除「在開始顯示這個屏幕」選項。
注意：這項設置出現在「計算機配置」和「用戶配置」文件夾中。如果配置這項設置，「計算機配置」中的設置比「用戶配置」中的設置優先。
2.配置驅動程序查找位置
默認情況下，Windows將從本地安裝、軟盤驅動器、光碟驅動器、Windows
Update等位置搜索驅動程序。此設置配置查找到新硬體時Windows將要搜索驅動程序的位置。
位置：\用戶配置\管理模板\系統\
如果啟用此設置，你可以通過檢查位置名稱的相關復選框，刪除這三個位置中的任何位置。如果禁用或不配置此設置，Windows將從本地安裝、軟盤驅動器、光碟驅動器和Windows
Update等位置中搜索驅動程序。
3.關閉自動播放
一旦你將媒體插入驅動器，自動運行就開始從驅動器中讀取。這會造成程序的設置文件和在音頻媒體上的音樂立即開始。該策略將關閉自動運行功能。
位置：\用戶配置\管理模板\系統\
如果你啟動這項設置，你還可以在CD-ROM驅動器禁用自動運行或在所有驅動器上禁用自動運行。
注意：這個設置出現在「計算機配置」和「用戶配置」兩個文件夾中。如果兩個設置都配置，「計算機配置」中的設置比「用戶配置」中的設置優先。
另外，此設置不阻止自動播放音樂
CD。
4.只運行許可的Windows應用程序
該策略可以限制用戶可以運行的Windows程序。
位置：\用戶配置\管理模板\系統\
如果你啟用這個設置，用戶只能運行你加入「允許運行的應用程序列表」中的程序。
這個設置只能防止用戶從Windows資源管理器啟動程序。無法防止用戶用其他方式啟動程序，例如任務管理器。如果用戶可以訪問命令提示符窗口，這個設置無法防止用戶從命令窗口啟動不允許在Windows資源管理器中運行的程序。
注意：要創建允許的文件列表，請單擊「顯示」按鈕，在打開的對話框中單擊「添加」按鈕，然後輸入應用程序的執行文件名稱(例如，Winword.exe、Poledit.exe、Powerpnt.exe)。如圖3所示。
5.刪除任務管理器
當我們同時按下Ctrl+Alt+Del組合鍵將顯示「Windows任務管理器」對話框。任務管理器可以讓用戶啟動或終止程序、監視計算機性能、查看及監視計算機上所有運行中的程序(包含系統服務)、搜索程序的執行文件名、更改程序運行的優先順序。在這里，我們可以通過組策略刪除任務管理器。
位置：\用戶配置\管理模板\系統\Ctrl+Alt+Del選項\
如果該設置被啟用，並且用戶試圖啟動任務管理器，系統會顯示消息，解釋是一個策略禁止了這個操作。
6.刪除改變「密碼」選項
該策略可以防止用戶通過任務管理器更改系統密碼。
位置：\用戶配置\管理模板\系統\Ctrl+Alt+Del選項\
這個設置停用Windows安全設置對話框上的「更改密碼」按鈕。但是，用戶在得到系統提示時依舊可以更改密碼。管理員要求新密碼和密碼作廢時，系統會提示用戶輸入新密碼。
7.不允許運行Windows
Messenger
Windows XP自帶有聊天工具Windows Messenger，但是，我們也有可能在系統中安裝MSN
Messenger。該策略允許你禁用Windows Messenger。
位置：\用戶配置\管理模板\Windows組件\Windows Messenger
如果啟用該策略，Windows
Messenger將不會運行。如果禁止或不配置該策略，Windows
Messenger可以被使用。
注意：如果啟用這個策略，遠程協助無法使用Windows
Messenger。另外，這個策略也會出現在「計算機配置」中。如果兩個設置都配置，「計算機配置」中的設置比「用戶配置」中的設置優先。
8.關閉系統還原功能
系統還原是Windows
XP/2003中集成的強大功能，它在系統運行的同時，備份被更改的文件和數據，如果出現問題，系統還原使用戶能夠在不丟失個人數據文件的情況下，將計算機還原到以前的狀態。默認情況下，系統還原處於打開狀態。
但這一功能付出的代價也是相當大的，系統性能會明顯下降，磁碟空間也會被佔用很多。對於配置不高的計算機來說，強烈建議關閉此功能。
位置：\計算機配置\管理模板\系統\系統還原\關閉系統還原
啟用此設置後即可關閉系統還原功能，並且不能訪問「系統還原向導」和「配置界面」。
四、利用組策略調整上網設置
1.禁用導入和導出收藏夾
禁止用戶使用「導入/導出向導」菜單項導入或導出收藏夾鏈接。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，「導入/導出向導」菜單項將無法導入/導出收藏夾鏈接和Cookie。如果禁用該功能或不對其進行配置，則用戶可以通過單擊「文件」菜單上的「導入和導出」菜單項，然後運行「導入/導出向導」，導入/導出IE中的收藏夾。
注意：如果啟用該策略，用戶仍然可以查看「導入/導出向導」，但當用戶單擊「完成」按鈕時，將出現說明該功能已被禁用的提示信息。
2.禁用更改「高級」選項卡的設置
禁止用戶更改「Internet
選項」對話框中「高級」選項卡上的設置。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，則用戶無法更改高級Internet設置，如安全、多媒體和列印。用戶無法選中「高級」選項卡上的復選框，也不能清除這些復選框的復選標記。如果禁用該策略或不對其進行配置，則用戶可以選擇或清除「高級」選項卡上的設置。
如果設置了位於\用戶配置\管理模板\Windows組件\Internet
Explorer\Internet控制面板中的「禁用高級頁」策略，則無需設置該策略，因為「禁用高級頁」策略將刪除界面上的「高級」選項卡。
3.對撥號連接使用「自動檢測」屬性
自動檢測在瀏覽器第一次啟動時使用
DHCP(動態主機配置協議)或DNS伺服器來自定義瀏覽器。該策略指定自動檢測用於用戶的撥號設置的配置。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該設置，自動檢測將配置用戶的撥號設置。如果禁用該配置或不配置，自動檢測不會配置用戶的撥號設置，除非用戶指定。
4.禁用Internet連接向導
禁止用戶運行Internet連接向導。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，「Internet選項」對話框中「連接」選項卡上的「建立連接」按鈕將變灰。用戶也無法通過單擊桌面上的「連接到 Internet」圖標或單擊「開始→程序→附件→通訊」，然後單擊「Internet連接向導」運行Internet連接向導。如果禁用該策略或不對其進行配置，則用戶可以通過運行Internet連接向導，更改連接設置。
注意：該策略與位於＼用戶配置＼管理模板＼Windows
組件＼Internet
Explorer＼Internet控制面板中的「禁用連接頁」策略有相似之處，後者將刪除界面上的「連接」選項卡。從界面上刪除「連接」選項卡並不會妨礙用戶從桌面或「開始」菜單中運行Internet連接向導。
5.禁用表單的自動完成功能
禁止IE自動完成表單，如填寫用戶以前在網頁中輸入過的姓名或密碼。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，「表單」復選框將變灰。單擊「Internet選項」對話框中「內容」選項卡上的「自動完成」按鈕，即可出現「表單」復選框。如果禁用該策略或不對其進行配置，則用戶可以啟用表單的自動完成功能。
位於\用戶配置\管理模板\Windows組件\Internet
Explorer\Internet控制面板中的「禁用內容頁」策略的優先順序高於該策略。如果啟用了「禁用內容頁」策略，該策略將被忽略，因為「禁用內容頁」策略將刪除「控制面板」中「Internet
Explorer屬性」對話框中的「內容」選項卡。
注意：如果用戶已開始使用啟用了表單自動完成功能的瀏覽器後，再啟用該策略，則不會清除用戶已經使用表單自動完成功能在表單中所填寫的內容。
6.配置媒體瀏覽欄屬性
媒體瀏覽器欄播放來自Internet的音樂和視頻內容，該策略允許管理員啟用和禁用媒體瀏覽器欄和設置默認自動播放。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果禁用媒體瀏覽器欄，用戶無法顯示媒體瀏覽器欄。自動播放功能也被禁用。當用戶在IE中單擊一個鏈接，系統中的默認媒體客戶端將播放內容。如果啟用媒體瀏覽器欄或不配置，用戶可以顯示和隱藏媒體瀏覽器欄。
管理員也可以打開和關閉自動播放功能。該設置只在媒體瀏覽器欄啟用時應用。如果選擇，媒體瀏覽器欄將在用戶單擊媒體鏈接時自動顯示和播放媒體內容。如果不選擇，系統上的默認媒體客戶端將播放內容。
7.禁用右鍵快捷菜單
禁止在用戶使用IE過程中單擊滑鼠右鍵時出現快捷菜單。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer\瀏覽器菜單
如果啟用該策略，在用戶指向網頁，然後單擊滑鼠右鍵時將不出現快捷菜單。如果禁用該策略或不對其進行配置，則用戶可以使用快捷菜單。
8.自定義IE標題欄
我們可以利用組策略自定義出現在IE和OE標題欄中的文本。無論軟體包中是否有OE或者用戶計算機上已經安裝了OE，都將更新OE標題欄。
位置：\用戶配置\管理模板\Windows設置\Internet
Explorer維護\瀏覽器用戶界面\瀏覽器標題
請在打開的對話框中選中「自定義標題欄」選項，然後在「標題欄文本」框中鍵入希望的文本。
注意：在選擇某個點陣圖時，要確保顏色與文本的對比度。這為用戶確保了更高程度的可讀性。
9.自定義IE工具按鈕
我們可以利用該策略個性化出現在IE中的工具欄，給你一定的靈活性和設計機會。可以使用的元素包括用於標准工具欄按鈕(例如「搜索」和「歷史」)的工具欄背景和圖標外觀。
位置：＼用戶配置＼管理模板＼Windows設置＼Internet
Explorer維護＼瀏覽器用戶界面＼瀏覽器工具欄自定義
在打開的對話框中單擊「添加」按鈕，然後在打開的對話框中在「工具欄標題(必需)」框中，鍵入用戶滑鼠懸停在工具欄按鈕上時出現的文本。必須指定該按鈕的標題或標簽。建議的最大長度是10個字元。
在「工具欄操作(作為腳本文件或可執行文件，必需)」框中，鍵入腳本文件或可執行文件的名稱，或者單擊「瀏覽」按鈕查找文件。必須指定用戶單擊工具欄按鈕時運行的腳本文件或可執行文件。
在「工具欄顏色圖標(必需)」框中，鍵入表示按鈕為活動狀態的文件的名稱，或者單擊「瀏覽」按鈕查找該文件。必須指定出現在工具欄上的按鈕的彩色圖標。圖標由活動和非活動狀態的20×20像素的圖像組成。
在「工具欄灰度圖標(必需)」框中，鍵入出現在黑白監視器上的工具欄的灰度圖標文件名和位置，或者單擊「瀏覽」按鈕查找文件。必須指定顯示在工具欄上按鈕的灰度圖標。
選中「默認情況下，該按鈕應顯示在工具欄上」復選框來顯示默認情況下用戶瀏覽器中的工具欄按鈕。
五、利用組策略設置優化網路環境
1.禁止訪問網路連接組件的屬性
「本地連接屬性」對話框包括連接時使用的網路組件列表。要查看或更改組件屬性，請單擊組件名稱，然後單擊組件列表下面的「屬性」按鈕，如圖4所示。該策略確定用戶是否可以更改由網路連接使用的組件屬性，它確定是否啟用用於網路連接組件的「屬性」按鈕。
位置：\用戶配置\管理模板\網路\網路連接\
如果啟用此設置(並啟用「為管理員啟用網路連接設置」設置)，就會為管理員禁用「屬性」按鈕。無論「為管理員啟用網路連接設置」設置啟用與否，用戶都不可以訪問連接組件。如果禁用或不配置「為管理員啟用網路連接設置」。
如果禁用或不配置此設置，將為用戶啟用「屬性」按鈕。
2.禁用TCP/IP高級配置
確定用戶是否可以配置TCP/IP
設置。
位置：\用戶配置\管理模板\網路\網路連接\
如果啟用此設置(並啟用「為管理員啟用網路連接設置」設置)，就對所有用戶(包括管理員)禁用「Internet協議(TCP/IP)
屬性」對話框上的「高級」按鈕。因此，用戶不能打開「高級TCP/IP設置」對話框並修改IP設置(例如，DNS和WINS伺服器信息)。如果禁用此設置，則啟用「高級」按鈕，並且所有用戶均可打開「高級TCP/IP設置」對話框。
注意：此設置會由禁止訪問連接屬性或連接組件屬性的設置取代。如果將這些策略設置為拒絕訪問連接屬性對話框或用於連接組件的「屬性」按鈕，用戶就無法訪問用於TCP/IP配置的「高級」按鈕。不管此設置如何，非管理員用戶均不具有訪問用於網路連接的TCP/IP高級配置的許可權。在用戶退出系統之前，將此設置從「啟用」更改為「未配置」不會啟用「高級」按鈕。
3.禁止添加或刪除用於網路連接
……