伺服器組策略管理登錄什麼意思

① 什麼叫組策略作用是什麼怎麼應用

首先告訴你，組策略高於注冊表，如果修改了組策略，改注冊表也還是受到組策略限制，所以高手修改組策略！

對於大部分計算機用戶來說，管理計算機基本上是藉助某些第三方工具，甚至是自己手工修改注冊表來實現。其實Windows
XP組策略已經把這些功能集於一體，通過組策略及相關工具完全可以實現我們所需要的功能。
一、組策略基礎
1.什麼是組策略
注冊表是Windows系統中保存系統軟體和應用軟體配置的資料庫，而隨著Windows功能越來越豐富，注冊表裡的配置項目也越來越多，很多配置都可以自定義設置，但這些配置分布在注冊表的各個角落，如果是手工配置，可以想像是多麼困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達到方便管理計算機的目的。
其實簡單地說，組策略設置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。
2.組策略的版本
對於Windows 9X/NT用戶來說，都知道「系統策略」的概念，其實組策略就是系統策略的高級擴展，它是自Windows
9X/NT的「系統策略」發展而來的，具有更多的管理模板、更靈活的設置對象及更多的功能，目前主要應用於Windows
2000/XP/2003操作系統中。
早期系統策略的運行機制是通過策略管理模板，定義特定的POL(通常是Config.pol)文件。當用戶登錄時，它會重寫注冊表中的設置值。當然，系統策略編輯器也支持對當前注冊表的修改，另外也支持連接網路計算機並對其注冊表進行設置。
而組策略及其工具，則是對當前注冊表進行直接修改。顯然，Windows
2000/XP/2003系統的網路功能是其最大的特色之處，所以其網路功能自然是不可少的，因此組策略工具還可以打開網路上的計算機進行配置，甚至可以打開某個Active
Directory(活動目錄)對象(即站點、域或組織單位)並對其進行設置。這是以前「系統策略編輯器」工具無法做到的。
當然，無論是「系統策略」還是「組策略」，它們的基本原理都是修改注冊表中相應的配置項目，從而達到配置計算機的目的，只是它們的一些運行機制發生了變化和擴展而已。
3.在Windows
XP中運行組策略
在Windows
2000/XP/2003系統中，系統默認已經安裝了組策略程序，在「開始」菜單中，單擊「運行」選項，在打開的對話框中輸入「gpedit.msc」並確定，即可運行組策略。如圖1所示。
使用上面的方法，打開的組策略對象是當前的計算機，而如果需要配置其他的計算機組策略對象，則需要將組策略作為獨立的MMC管理單元打開：
(1)打開Microsoft管理控制台(可在「開始」菜單的「運行」對話框中直接輸入「MMC」並確定)。
(2)單擊「文件→添加/刪除管理單元」菜單命令，在打開的對話框中單擊「添加」按鈕。
(3)在「可用的獨立管理單元」對話框中，單擊「組策略」選項，然後單擊「添加」按鈕。
(4)在「選擇組策略對象」對話框中，單擊「本地計算機」選項編輯本地計算機對象，或通過單擊「瀏覽」查找所需的組策略對象。
(5)單擊「完成」按鈕，組策略管理單元即打開要編輯的組策略對象。
(6)在左窗格中定位需要更改的選項的位置，在右窗格中右鍵單擊需要更改的具體選項，單擊「屬性」命令，即可打開其屬性對話框，從中選擇「已啟用」、「未配置」、「已禁用」選項即可對計算機策略進行管理。
4.組策略中的管理模板
在Windows
2000/XP/2003中包含幾個ADM文件。這些文件是文本文件，被稱為「管理模板」，它們為組策略管理單元的控制樹中「管理模板」文件夾下的項目提供策略信息。
在Windows
2000/XP/2003中，默認的Admin.adm管理模板位於系統文件夾的INF文件夾中，包含了默認安裝下的4個模板文件，分別為：
(1)System.adm：默認安裝在「組策略」中，用於系統設置。
(2)Inetres.adm：默認安裝在「組策略」中，用於Internet
Explorer(IE)策略設置。
(3)Wmplayer.adm：用於Windows Media
Player設置。
(4)Conf.adm：用於NetMeeting設置。
在策略管理控制台中，可以多次添加「策略模板」，下面讓我們來看看具體操作：
首先運行「組策略」程序，然後選擇「計算機配置」或者「用戶配置」下的「管理模板」，單擊滑鼠右鍵，選擇「添加/刪除模板」命令，然後在打開的對話框中單擊「添加」按鈕，在打開的對話框中選擇相應的ADM文件。單擊「打開」按鈕，則在系統策略編輯器中打開選定的腳本文件，並等待用戶執行。
返回到「組策略」編輯器主界面後，依次打開目錄「本地計算機策略→用戶配置→管理模板」選項，再單擊相應的目錄樹，就會看到我們新添加的管理模板所產生的配置項目了。
注意：下面的操作均在Windows
XP中進行。
二、個性化我的電腦
1.刪除「開始」菜單中的「文檔」菜單項
在多人使用的計算機中，有的用戶不希望其他用戶看到自己曾經編輯過的文檔或其他信息。因此，為了刪除用於記錄歷史文檔的「文檔」菜單項，我們可以通過修改組策略來實現。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
啟用此設置，則系統保存「文檔」快捷方式，但不在「文檔」菜單中顯示它們。如果以後禁用此設置或把它設置為未配置，則啟用設置之前及其生效之時保存的「文檔」快捷方式會出現在「文檔」菜單項中。如圖2所示。
注意：此設置不會阻止Windows程序在最近打開的文檔中顯示快捷方式。
另外，你也可以設置在退出系統時自動清除最近打開的文檔的歷史記錄。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
如果禁用該策略設置，系統就會在用戶退出時刪除快捷方式。因此，用戶登錄時，「開始」菜單上的文檔菜單總是空的。如果禁用或不配置此設置，系統將保留文檔快捷方式，並且用戶登錄時的文檔菜單看起來與用戶退出系統時完全相同。
注意：系統在\Documents
and
Settings\\Recent文件夾中的用戶配置文件中保存文檔快捷方式。
2.刪除「開始」菜單中的「運行」菜單項
在「開始」菜單中有「運行」菜單項，可以輸入程序名稱來啟動程序。我們可以將「運行」菜單項從「開始」菜單中刪除。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
如果啟用該設置，發生如下更改：
(1)「運行」命令從「開始」菜單中刪除。
(2)新建任務(運行)命令從任務管理器刪除。
(3)阻止用戶在IE地址欄中輸入下列項：
UNC路徑：\\＜server＞\＜share＞。
訪問本地驅動器：例如，C:。
訪問本地文件夾：例如，\temp＞。
同時，使用WIN+R組合鍵將無法顯示「運行」對話框。如果禁用或不配置此設置，用戶可以訪問「開始」菜單和任務管理器的「運行」命令，以及使用IE地址欄。
注意：這個策略隻影響指定的界面。不會防止用戶使用其他方法運行程序。
3.給「開始」菜單減肥
如果覺得Windows的「開始」菜單太臃腫，你完全可以通過組策略設置將不需要的菜單項從「開始」菜單中刪除。
位置：\用戶配置\管理模板\任務欄和「開始」菜單\
在組策略右側窗格中，提供「從『開始』菜單刪除用戶文件夾」、「刪除到『Windows
Update』的訪問和鏈接」、從『開始』菜單刪除公用程序組、從『開始』菜單中刪除「我的文檔」圖標等配置項目。你只要將不需要的菜單項所對應的策略啟用即可。
4.隱藏和禁用桌面上的所有項目
該策略可以從桌面上刪除圖標、快捷方式和其他默認的和用戶定義的項目。
位置：\用戶配置\管理模板\桌面\
該策略刪除圖標和快捷方式不防止用戶用另一種方法啟動程序或打開圖標和快捷方式所代表的項目。
5.退出時不保存用戶設置
該策略用於防止用戶保存對桌面的某些更改。
位置：\用戶配置\管理模板\桌面\
如果你啟用這個設置，用戶可以對桌面做某些更改，但有些更改，比如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷後都無法保存。
6.啟用/禁用「活動桌面」(Active
Desktop)
活動桌面是Windows 98(及以後版本)或安裝了IE
4.0的系統中自帶的高級功能，它最大的特點是可以設置各種圖片格式的牆紙，甚至可以將網頁作為牆紙顯示。但出於對安全和性能的考慮，有時候我們需要禁用這一功能(並且防止用戶啟用它)。
位置：\用戶配置\管理模板\桌面\Active
Desktop
提示：如果同時啟用「啟用Active Desktop」設置和「禁用Active Desktop」設置，「禁用Active
Desktop」設置會被忽略。如果「禁用Active Desktop和Web視圖」設置(在「用戶配置\管理模板\Windows組件\Windows資源管理器」)被啟用，Active
Desktop就會被禁用，並且這兩個策略都會被忽略。
7.從「我的電腦」中刪除共享文檔
當Windows用戶在一個工作組中，一個「共享文檔」圖標會以Windows資源管理器的Web視圖出現在「其他位置」和「在這台計算機上存儲的其他文件」中。使用此設置，你可選擇不顯示這些項目。
位置：\用戶配置\管理模板\Windows組件\Windows資源管理器\
如果啟用此設置，「共享文檔」文件夾將不會以Web視圖方式顯示或在「我的電腦」中出現。如果禁用或不配置此設置，當用戶是「工作組」的一部分時，「共享文檔」文件夾將會以Web視圖方式顯示或在「我的電腦」中出現。
8.不要將已刪除的文件移到「回收站」
當Windows資源管理器中的一個文件或文件夾被刪除時，該文件或文件夾的副本會被放在「回收站」里。使用此策略，你能改變此行為。
位置：\用戶配置\管理模板\Windows組件\Windows資源管理器\
如果啟用此設置，使用Windows資源管理器刪除的文件或文件夾不會被放在「回收站」里，因此被永久刪除。如果禁用或不配置此設置，使用Windows資源管理器刪除的文件或文件夾會被放在「回收站」里。
三、利用組策略進行系統設置
1.登錄時不顯示歡迎屏幕
為了加快計算機啟動的速度，我們完全可以通過組策略設置在每次用戶登錄時將Windows
XP歡迎屏幕隱藏。
位置：\用戶配置\管理模板\系統\
要顯示歡迎屏幕，請依次單擊「開始→程序→附件→系統工具」選項，然後單擊「開始」選項。要在不指定設置的情況下不顯示歡迎屏幕，請在歡迎屏幕上的復選框中清除「在開始顯示這個屏幕」選項。
注意：這項設置出現在「計算機配置」和「用戶配置」文件夾中。如果配置這項設置，「計算機配置」中的設置比「用戶配置」中的設置優先。
2.配置驅動程序查找位置
默認情況下，Windows將從本地安裝、軟盤驅動器、光碟驅動器、Windows
Update等位置搜索驅動程序。此設置配置查找到新硬體時Windows將要搜索驅動程序的位置。
位置：\用戶配置\管理模板\系統\
如果啟用此設置，你可以通過檢查位置名稱的相關復選框，刪除這三個位置中的任何位置。如果禁用或不配置此設置，Windows將從本地安裝、軟盤驅動器、光碟驅動器和Windows
Update等位置中搜索驅動程序。
3.關閉自動播放
一旦你將媒體插入驅動器，自動運行就開始從驅動器中讀取。這會造成程序的設置文件和在音頻媒體上的音樂立即開始。該策略將關閉自動運行功能。
位置：\用戶配置\管理模板\系統\
如果你啟動這項設置，你還可以在CD-ROM驅動器禁用自動運行或在所有驅動器上禁用自動運行。
注意：這個設置出現在「計算機配置」和「用戶配置」兩個文件夾中。如果兩個設置都配置，「計算機配置」中的設置比「用戶配置」中的設置優先。
另外，此設置不阻止自動播放音樂
CD。
4.只運行許可的Windows應用程序
該策略可以限制用戶可以運行的Windows程序。
位置：\用戶配置\管理模板\系統\
如果你啟用這個設置，用戶只能運行你加入「允許運行的應用程序列表」中的程序。
這個設置只能防止用戶從Windows資源管理器啟動程序。無法防止用戶用其他方式啟動程序，例如任務管理器。如果用戶可以訪問命令提示符窗口，這個設置無法防止用戶從命令窗口啟動不允許在Windows資源管理器中運行的程序。
注意：要創建允許的文件列表，請單擊「顯示」按鈕，在打開的對話框中單擊「添加」按鈕，然後輸入應用程序的執行文件名稱(例如，Winword.exe、Poledit.exe、Powerpnt.exe)。如圖3所示。
5.刪除任務管理器
當我們同時按下Ctrl+Alt+Del組合鍵將顯示「Windows任務管理器」對話框。任務管理器可以讓用戶啟動或終止程序、監視計算機性能、查看及監視計算機上所有運行中的程序(包含系統服務)、搜索程序的執行文件名、更改程序運行的優先順序。在這里，我們可以通過組策略刪除任務管理器。
位置：\用戶配置\管理模板\系統\Ctrl+Alt+Del選項\
如果該設置被啟用，並且用戶試圖啟動任務管理器，系統會顯示消息，解釋是一個策略禁止了這個操作。
6.刪除改變「密碼」選項
該策略可以防止用戶通過任務管理器更改系統密碼。
位置：\用戶配置\管理模板\系統\Ctrl+Alt+Del選項\
這個設置停用Windows安全設置對話框上的「更改密碼」按鈕。但是，用戶在得到系統提示時依舊可以更改密碼。管理員要求新密碼和密碼作廢時，系統會提示用戶輸入新密碼。
7.不允許運行Windows
Messenger
Windows XP自帶有聊天工具Windows Messenger，但是，我們也有可能在系統中安裝MSN
Messenger。該策略允許你禁用Windows Messenger。
位置：\用戶配置\管理模板\Windows組件\Windows Messenger
如果啟用該策略，Windows
Messenger將不會運行。如果禁止或不配置該策略，Windows
Messenger可以被使用。
注意：如果啟用這個策略，遠程協助無法使用Windows
Messenger。另外，這個策略也會出現在「計算機配置」中。如果兩個設置都配置，「計算機配置」中的設置比「用戶配置」中的設置優先。
8.關閉系統還原功能
系統還原是Windows
XP/2003中集成的強大功能，它在系統運行的同時，備份被更改的文件和數據，如果出現問題，系統還原使用戶能夠在不丟失個人數據文件的情況下，將計算機還原到以前的狀態。默認情況下，系統還原處於打開狀態。
但這一功能付出的代價也是相當大的，系統性能會明顯下降，磁碟空間也會被佔用很多。對於配置不高的計算機來說，強烈建議關閉此功能。
位置：\計算機配置\管理模板\系統\系統還原\關閉系統還原
啟用此設置後即可關閉系統還原功能，並且不能訪問「系統還原向導」和「配置界面」。
四、利用組策略調整上網設置
1.禁用導入和導出收藏夾
禁止用戶使用「導入/導出向導」菜單項導入或導出收藏夾鏈接。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，「導入/導出向導」菜單項將無法導入/導出收藏夾鏈接和Cookie。如果禁用該功能或不對其進行配置，則用戶可以通過單擊「文件」菜單上的「導入和導出」菜單項，然後運行「導入/導出向導」，導入/導出IE中的收藏夾。
注意：如果啟用該策略，用戶仍然可以查看「導入/導出向導」，但當用戶單擊「完成」按鈕時，將出現說明該功能已被禁用的提示信息。
2.禁用更改「高級」選項卡的設置
禁止用戶更改「Internet
選項」對話框中「高級」選項卡上的設置。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，則用戶無法更改高級Internet設置，如安全、多媒體和列印。用戶無法選中「高級」選項卡上的復選框，也不能清除這些復選框的復選標記。如果禁用該策略或不對其進行配置，則用戶可以選擇或清除「高級」選項卡上的設置。
如果設置了位於\用戶配置\管理模板\Windows組件\Internet
Explorer\Internet控制面板中的「禁用高級頁」策略，則無需設置該策略，因為「禁用高級頁」策略將刪除界面上的「高級」選項卡。
3.對撥號連接使用「自動檢測」屬性
自動檢測在瀏覽器第一次啟動時使用
DHCP(動態主機配置協議)或DNS伺服器來自定義瀏覽器。該策略指定自動檢測用於用戶的撥號設置的配置。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該設置，自動檢測將配置用戶的撥號設置。如果禁用該配置或不配置，自動檢測不會配置用戶的撥號設置，除非用戶指定。
4.禁用Internet連接向導
禁止用戶運行Internet連接向導。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，「Internet選項」對話框中「連接」選項卡上的「建立連接」按鈕將變灰。用戶也無法通過單擊桌面上的「連接到Internet」圖標或單擊「開始→程序→附件→通訊」，然後單擊「Internet連接向導」運行Internet連接向導。如果禁用該策略或不對其進行配置，則用戶可以通過運行Internet連接向導，更改連接設置。
注意：該策略與位於＼用戶配置＼管理模板＼Windows
組件＼Internet
Explorer＼Internet控制面板中的「禁用連接頁」策略有相似之處，後者將刪除界面上的「連接」選項卡。從界面上刪除「連接」選項卡並不會妨礙用戶從桌面或「開始」菜單中運行Internet連接向導。
5.禁用表單的自動完成功能
禁止IE自動完成表單，如填寫用戶以前在網頁中輸入過的姓名或密碼。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果啟用該策略，「表單」復選框將變灰。單擊「Internet選項」對話框中「內容」選項卡上的「自動完成」按鈕，即可出現「表單」復選框。如果禁用該策略或不對其進行配置，則用戶可以啟用表單的自動完成功能。
位於\用戶配置\管理模板\Windows組件\Internet
Explorer\Internet控制面板中的「禁用內容頁」策略的優先順序高於該策略。如果啟用了「禁用內容頁」策略，該策略將被忽略，因為「禁用內容頁」策略將刪除「控制面板」中「Internet
Explorer屬性」對話框中的「內容」選項卡。
注意：如果用戶已開始使用啟用了表單自動完成功能的瀏覽器後，再啟用該策略，則不會清除用戶已經使用表單自動完成功能在表單中所填寫的內容。
6.配置媒體瀏覽欄屬性
媒體瀏覽器欄播放來自Internet的音樂和視頻內容，該策略允許管理員啟用和禁用媒體瀏覽器欄和設置默認自動播放。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer
如果禁用媒體瀏覽器欄，用戶無法顯示媒體瀏覽器欄。自動播放功能也被禁用。當用戶在IE中單擊一個鏈接，系統中的默認媒體客戶端將播放內容。如果啟用媒體瀏覽器欄或不配置，用戶可以顯示和隱藏媒體瀏覽器欄。
管理員也可以打開和關閉自動播放功能。該設置只在媒體瀏覽器欄啟用時應用。如果選擇，媒體瀏覽器欄將在用戶單擊媒體鏈接時自動顯示和播放媒體內容。如果不選擇，系統上的默認媒體客戶端將播放內容。
7.禁用右鍵快捷菜單
禁止在用戶使用IE過程中單擊滑鼠右鍵時出現快捷菜單。
位置：\用戶配置\管理模板\Windows組件\Internet
Explorer\瀏覽器菜單
如果啟用該策略，在用戶指向網頁，然後單擊滑鼠右鍵時將不出現快捷菜單。如果禁用該策略或不對其進行配置，則用戶可以使用快捷菜單。
8.自定義IE標題欄
我們可以利用組策略自定義出現在IE和OE標題欄中的文本。無論軟體包中是否有OE或者用戶計算機上已經安裝了OE，都將更新OE標題欄。
位置：\用戶配置\管理模板\Windows設置\Internet
Explorer維護\瀏覽器用戶界面\瀏覽器標題
請在打開的對話框中選中「自定義標題欄」選項，然後在「標題欄文本」框中鍵入希望的文本。
注意：在選擇某個點陣圖時，要確保顏色與文本的對比度。這為用戶確保了更高程度的可讀性。
9.自定義IE工具按鈕
我們可以利用該策略個性化出現在IE中的工具欄，給你一定的靈活性和設計機會。可以使用的元素包括用於標准工具欄按鈕(例如「搜索」和「歷史」)的工具欄背景和圖標外觀。
位置：＼用戶配置＼管理模板＼Windows設置＼Internet
Explorer維護＼瀏覽器用戶界面＼瀏覽器工具欄自定義
在打開的對話框中單擊「添加」按鈕，然後在打開的對話框中在「工具欄標題(必需)」框中，鍵入用戶滑鼠懸停在工具欄按鈕上時出現的文本。必須指定該按鈕的標題或標簽。建議的最大長度是10個字元。
在「工具欄操作(作為腳本文件或可執行文件，必需)」框中，鍵入腳本文件或可執行文件的名稱，或者單擊「瀏覽」按鈕查找文件。必須指定用戶單擊工具欄按鈕時運行的腳本文件或可執行文件。
在「工具欄顏色圖標(必需)」框中，鍵入表示按鈕為活動狀態的文件的名稱，或者單擊「瀏覽」按鈕查找該文件。必須指定出現在工具欄上的按鈕的彩色圖標。圖標由活動和非活動狀態的20×20像素的圖像組成。
在「工具欄灰度圖標(必需)」框中，鍵入出現在黑白監視器上的工具欄的灰度圖標文件名和位置，或者單擊「瀏覽」按鈕查找文件。必須指定顯示在工具欄上按鈕的灰度圖標。
選中「默認情況下，該按鈕應顯示在工具欄上」復選框來顯示默認情況下用戶瀏覽器中的工具欄按鈕。
五、利用組策略設置優化網路環境
1.禁止訪問網路連接組件的屬性
「本地連接屬性」對話框包括連接時使用的網路組件列表。要查看或更改組件屬性，請單擊組件名稱，然後單擊組件列表下面的「屬性」按鈕，如圖4所示。該策略確定用戶是否可以更改由網路連接使用的組件屬性，它確定是否啟用用於網路連接組件的「屬性」按鈕。
位置：\用戶配置\管理模板\網路\網路連接\
如果啟用此設置(並啟用「為管理員啟用網路連接設置」設置)，就會為管理員禁用「屬性」按鈕。無論「為管理員啟用網路連接設置」設置啟用與否，用戶都不可以訪問連接組件。如果禁用或不配置「為管理員啟用網路連接設置」。
如果禁用或不配置此設置，將為用戶啟用「屬性」按鈕。
2.禁用TCP/IP高級配置
確定用戶是否可以配置TCP/IP
設置。
位置：\用戶配置\管理模板\網路\網路連接\
如果啟用此設置(並啟用「為管理員啟用網路連接設置」設置)，就對所有用戶(包括管理員)禁用「Internet協議(TCP/IP)
屬性」對話框上的「高級」按鈕。因此，用戶不能打開「高級TCP/IP設置」對話框並修改IP設置(例如，DNS和WINS伺服器信息)。如果禁用此設置，則啟用「高級」按鈕，並且所有用戶均可打開「高級TCP/IP設置」對話框。
注意：此設置會由禁止訪問連接屬性或連接組件屬性的設置取代。如果將這些策略設置為拒絕訪問連接屬性對話框或用於連接組件的「屬性」按鈕，用戶就無法訪問用於TCP/IP配置的「高級」按鈕。不管此設置如何，非管理員用戶均不具有訪問用於網路連接的TCP/IP高級配置的許可權。在用戶退出系統之前，將此設置從「啟用」更改為「未配置」不會啟用「高級」按鈕。
3.禁止添加或刪除用於網路連接

② 「組策略」有什麼用

組策略
zsy8764 發表於 2006-4-5 13:18:00

一、什麼是組策略
（一）組策略有什麼用?

說到組策略，就不得不提注冊表。注冊表是Windows系統中保存系統、應用軟體配置的資料庫，隨著 Windows功能的越來越豐富，注冊表裡的配置項目也越來越多。很多配置都是可以自定義設置的，但這些配置發布在注冊表的各個角落，如果是手工配置，可想是多麼困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達到方便管理計算機的目的。

簡單點說，組策略就是修改注冊表中的配置。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。

（二）組策略的版本

大部分Windows 9X/NT用戶可能聽過「系統策略」的概念，而我們現在大部分聽到的則是「組策略」這個名字。其實組策略是系統策略的更高級擴展，它是由Windows 9X/NT的「系統策略」發展而來的，具有更多的管理模板和更靈活的設置對象及更多的功能，目前主要應用於Windows 2000/XP/2003系統。

早期系統策略的運行機制是通過策略管理模板，定義特定的.POL（通常是Config.pol）文件。當用戶登錄的時候，它會重寫注冊表中的設置值。當然，系統策略編輯器也支持對當前注冊表的修改，另外也支持連接網路計算機並對其注冊表進行設置。而組策略及其工具，則是對當前注冊表進行直接修改。顯然，Windows 2000/XP/2003系統的網路功能是其最大的特色之處，其網路功能自然是不可少的，因此組策略工具還可以打開網路上的計算機進行配置，甚至可以打開某個Active Directory 對象（即站點、域或組織單位）並對它進行設置。這是以前「系統策略編輯器」工具無法做到的。

無論是系統策略還是組策略，它們的基本原理都是修改注冊表中相應的配置項目，從而達到配置計算機的目的，只是它們的一些運行機制發生了變化和擴展而已。

二、組策略中的管理模板

在Windows 2000/XP/2003目錄中包含了幾個 .adm 文件。這些文件是文本文件，稱為「管理模板」，它們為組策略管理模板項目提供策略信息。

在Windows 9X系統中，默認的admin.adm管理模板即保存在策略編輯器同一個文件夾中。而在Windows 2000/XP/2003的系統文件夾的inf文件夾中，包含了默認安裝下的4個模板文件，分別為：

1）System.adm：默認情況下安裝在「組策略」中，用於系統設置。
2）Inetres.adm：默認情況下安裝在「組策略」中；用於Internet Explorer策略設置。
3）Wmplayer.adm：用於Windows Media Player 設置。
4）Conf.adm：用於NetMeeting 設置。

在Windows 2000/XP/2003的組策略控制台中，可以多次添加「策略模板」，而在Windows 9X下，則只允許當前打開一個策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制台中使用如下：
首先運行「組策略」程序，然後選擇「計算機配置」或者「用戶配置」下的「管理模板」，按下滑鼠右鍵，在彈出的菜單中選擇「添加/刪除模板」.

然後單擊「添加」按鈕，在彈出的對話框中選擇相應的.adm文件。單擊「打開」按鈕，則在系統策略編輯器中打開選定的腳本文件，並等待用戶執行。

返回到「組策略」編輯器主界面後，依次打開目錄「本地計算機策略→用戶配置→管理模板」，再點擊相應的目錄樹，就會看到我們新添加的管理模板所產生的配置項目了（為了便於本文後面的實例大家能一起動手操作，建議添加除默認模板文件的其它模板文件）。

再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的「文件」菜單中選擇「關閉」，以便將當前腳本關閉，然後再在「選項」菜單中選擇「模板」

然後單擊「打開模板」按鈕，在彈出的對話框中選擇相應的.adm文件並單擊「打開」按鈕，則在編輯器中打開選定的腳本文件並等待用戶執行。

三、運行組策略

（一）Windows 9X策略編輯器

按操作系統的不同，策略編輯工具分為兩種，一種為Windows 2000/XP/2003組策略管理控制台，它在系統安裝時已經默認安裝上了；另外一種就是Windows 9X的系統策略編輯器，它在系統安裝時並不被安裝，程序文件在Windows安裝盤上的\tools\reskit\netadmin\poledit目錄下，它包括Poledit.exe、Poledit.inf、Windows.adm等文件。

如果是Windows 9X系統通過下面的方法，則可以進行正規的安裝過程。

1．在控制面板中，雙擊「添加/刪除程序」圖標，單擊「安裝Windows」標簽，然後單擊「從磁碟安裝」選項。
2．在從磁碟安裝對話框中，單擊「瀏覽」按鈕並指定Windows 9X安裝光碟的tools\reskit\netadmin\poledit目錄。
3．單擊「確認」按鈕，然後再次單擊對話框中的「確認」按鈕。
4．在從磁碟安裝對話框中，選擇「系統策略編輯器」和「組策略」復選框，然後單擊「安裝」按鈕。

安裝完成後，單擊「運行」命令項，輸入poledit，然後單擊「確認」按鈕,管理員可以以兩種不同的方式使用系統策略編輯器：注冊表方式和策略文件方式。

1．以注冊表方式使用系統策略編輯器。在系統策略編輯器中的文件菜單中，單擊打開注冊表編輯器，然後雙擊相應的本地用戶或本地計算機圖標。這取決於要編輯注冊表中的哪個部分。在使用注冊表方式時，可以直接編輯本地或遠程計算機的注冊表。這樣，所做的改變將立即反映出來。在做出修改之後，必須關機並重新啟動計算機以使所做修改生效。

2．以策略文件方式使用系統策略編輯器。在系統策略編輯器中的文件菜單中，單擊新建或打開來打開一個策略文件。在使用策略文件方式時，可以創建和修改用於其它計算機的系統策略文件（POL），在這種方式下，注冊表被間接地修改。這項改變將在用戶登錄時策略文件被下載後反映出來。當以策略文件方式編輯設置值時，單擊一個注冊表選項，可以看到三種可能狀態之一：選中、清除、變灰。每當選擇一個選項時，將會循環顯示下一個可能的狀態，這與選擇一個標準的復選框不同。標準的復選框只有選中或清除兩個選項。

如果一個設置值需要附加信息，那麼預設用戶屬性對話框的底部將出現一個編輯控制。通常，如果選中了一個策略，而又不想強制使用它，應當清除該復選框來取消該策略。

（二）Windows 2000/XP/2003組策略控制台

如果是Windows 2000/XP/2003系統，那麼系統默認已經安裝了組策略程序，在「開始」菜單中，單擊「運行」命令項，輸入gpedit.msc並確定，即可運行程序

使用上面的方法，打開的組策略對象就是當前的計算機，而如果需要配置其他的計算機組策略對象的話，則需要將組策略作為獨立的控制台管理程序來打開，具體步驟如下：

1）打開 Microsoft 管理控制台（可在「開始」菜單的「運行」對話框中直接輸入MMC並回車，運行控制台程序）。
2）在「文件」菜單上，單擊「添加/刪除管理單元」。
3）在「獨立」選項卡上，單擊「添加」。
4）在「可用的獨立管理單元」對話框中，單擊「組策略」，然後單擊「添加」。
5）在「選擇組策略對象」對話框中，單擊「本地計算機」編輯本地計算機對象，或通過單擊「瀏覽」查找所需的組策略對象。
6）單擊「完成」，單擊「關閉」，然後單擊「確定」。組策略管理單元即打開要編輯的組策略對象。

對於不包含域的計算機系統來說，在上面第5步的界面中，只有「計算機」標簽，而沒有其他標簽項目。

通過上面的方法，我們就可以使用Windows 2000/XP/2003組策略系統強大的網路配置功能，讓管理員的工作更輕松和高效。

在上面我們介紹了Windows 9X下的策略編輯器配置項目有「選中、清除、變灰」三種狀態，Windows 2000/XP/2003組策略管理控制台同樣也有三種狀態，只不過名字變了。它們分別是：已啟用、未配置、已禁用。

四、「桌面」設置

Windows的桌面就像我們的辦公桌一樣，需要經常進行整理和清潔，而組策略就如同我們的貼身秘書，讓桌面管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置實例：

位置：「組策略控制台→用戶配置→管理模板→桌面」

1．隱藏桌面的系統圖標（Windows 2000/XP/2003）

雖然通過修改注冊表的方式可以實現隱藏桌面上的系統圖標的功能，但這樣比較麻煩，也有一定的風險。而採用組策略配置的方法，可以方便快捷地達到此目的。

比如要隱藏桌面上的「網上鄰居」和「Internet Explorer」圖標，只要在右側窗格中將「隱藏桌面上『網上鄰居』圖標」和「隱藏桌面上的Internet Explorer圖標」兩個策略選項啟用即可；如果隱藏桌面上的所有圖標，只要將「隱藏和禁用桌面上的所有項目」啟用即可；當啟用了「刪除桌面上的『我的文檔』圖標」和「刪除桌面上的『我的電腦』圖標」兩個選項以後，「我的電腦」和「我的文檔」圖標將從你的電腦桌面上消失；同樣如果要讓「回收站」圖標消失，只須將「從桌面刪除回收站」策略項啟用即可。

2．退出時不保存桌面設置（Windows 2000/XP/2003）

此策略可以防止用戶保存對桌面的某些更改。如果你啟用這個策略，用戶仍然可以對桌面做更改，但有些更改，如圖標的位置、任務欄的位置及大小，在用戶注銷後都無法保存，不過任務欄上的快捷方式總可以被保存。

在右側窗格中將「退出時不保存設置」這個策略選項啟用即可。

3．屏蔽「清理桌面向導」功能（Windows XP/2003）

「清理桌面向導」會每隔 60 天自動在用戶的電腦上運行，以清除那些用戶不經常使用或者從不使用的桌面圖標。如果啟用此策略設置，則可以屏蔽「清理桌面向導」，如果你禁用或不配置此設置，「清理桌面向導」會按照默認設置每隔60天運行一次。

打開右側窗格中的「刪除清理桌面向導」，根據需要設置策略選項即可。

4．啟用/禁用「活動桌面」（Windows 2000/XP/2003）

「活動桌面」是Windows 98（及以後版本）或安裝了IE 4.0的系統中自帶的高級功能，最大的特點是可以設置各種圖片格式的牆紙，甚至可以將網頁作為牆紙顯示。但出於對安全和性能的考慮，有時候我們需要禁用這一功能（並且禁止用戶啟用它），通過策略設置可以輕松達到這一要求。具體操作方法：打開右側窗格中的「禁用活動桌面」並啟用此策略。

提示：如果同時啟用「啟用 Active Desktop」設置和「禁用 Active Desktop」設置，則「禁用 Active Desktop」設置會被忽略。如果 「禁用 Active Desktop 和 Web 視圖」設置（在「用戶配置→管理模板→Windows組件→Windows資源管理器」中）被啟用，Active Desktop 就會被禁用，並且這兩個策略都會被忽略。

以上介紹了幾個關於桌面的組策略配置項目，在「組策略控制台→用戶配置→管理模板→桌面」下還有其他若干組策略配置項目，讀者可根據需要進行配置，這里不再贅述。

五、個性化「任務欄」和「開始」菜單

顯示了「任務欄」和「開始」菜單的有關組策略配置項目。下面我們來看具體的實例：
位置：「組策略控制台→用戶配置→管理模板→任務欄和開始菜單」

1．給「開始」菜單減肥（Windows 2000/XP/2003）

如果覺得Windows的「開始」菜單太臃腫的話，可以將不需要的菜單項從「開始」菜單中刪除。在組策略右側窗格中，提供了「從開始菜單刪除用戶文件夾」、「刪除到『Windows Update』的訪問和鏈接」、「從開始菜單刪除公用程序組」、「從開始菜單中刪除『我的文檔』圖標」等多種組策略配置項目。你只要將不需要的菜單項所對應的策略啟用即可。

2．保護好「任務欄」和「開始」菜單（Windows 2000/XP/2003）

如果你不想隨意讓他人更改「任務欄」和「開始」菜單的設置，你只要將組策略控制台右側窗格中的「阻止更改『任務欄和開始菜單』設置」和「阻止訪問任務欄的上下文菜單」兩個策略項啟用即可。這樣，當你用滑鼠右鍵單擊任務欄並單擊「屬性」時，系統會出現一個錯誤消息，且當滑鼠右鍵單擊任務欄及任務欄上的項目時，例如「開始」按鈕、時鍾和「任務欄」按鈕，彈出菜單會隱藏。

3．禁止「注銷」和「關機」（Windows 2000/XP/2003）

當計算機啟動以後，如果你不希望這個用戶再進行「關機」和「注銷」操作，那麼可將組策略控制台右側窗格中的「刪除開始菜單上的『注銷』」和「刪除和阻止訪問『關機』命令」兩個策略啟用。

這個設置會從開始菜單刪除「關機」選項，並禁用「Windows 任務管理器」對話框�按「Ctrl+Alt+Del」會出現這個對話框 中的「關機」選項 。另外需要注意的是，此設置雖然可防止用戶用 Windows界面來關機，但無法防止用戶用其他第三方工具程序來將 Windows 關閉。

提示：如果啟用了「刪除開始菜單上的『注銷』」，則會從「開始菜單選項」刪除「顯示注銷」項目。用戶無法將「注銷<用戶名>」項目還原到開始菜單（只能通過手工修改注冊表的方法）。這個設置隻影響開始菜單，它不影響 「Windows 任務管理器」對話框上的「注銷」項目（因此需要同時啟用「刪除和阻止訪問『關機』命令」），而且不妨礙用戶用其它方法注銷。

4．利用組策略保護個人文檔隱私（Windows 2000/XP/2003）

Windows有個高級智能功能，即可以記錄你曾經訪問過的文件。雖然這個功能可以方便用戶再次打開該文件，但出於安全和性能的考慮（例如不想讓人知道自己瀏覽過哪些網頁和打開過哪些文件），有時需要屏蔽此功能。利用組策略，只要在右側窗格中將「不要保留最近打開文檔的記錄」和「退出時清除最近打開的文檔的記錄」兩個策略啟用即可。

另外需要注意的是，如果啟用此策略設置但不啟用「從開始菜單中刪除文檔菜單」策略設置，「文檔」菜單還會出現在 「開始」菜單上，但是該菜單為空菜單。如果啟用此策略設置，後來又禁用它並將它設置為「未配置」，則啟用策略設置之前保存的文檔快捷方式會重新出現在「文檔」菜單和應用程序的「文件」菜單中。

六、IE設置手到擒來

微軟的Internet Explorer讓我們可以輕松地在互聯網上遨遊，但要想用好Internet Explorer，則必須將它配置好。在IE瀏覽器的「Internet選項」窗口中，提供了比較全面的設置選項（例如：「首頁」、「臨時文件夾」、「安全級別」和「分級審查」等項目），但部分高級功能沒有提供，而通過組策略即可輕松實現這些功能。下面來看具體實例：

位置：「組策略控制台→用戶配置→管理模板→Windows 組件→Internet Explorer（需添加inetres.adm模板文件）」

1．禁用「在新窗口中打開」菜單項（Windows 2000/XP/2003）

出於對安全的考慮，有時候我們有必要屏蔽IE的一些功能菜單，組策略提供了豐富的設置項目，比如禁用「另存為...」、「文件」、「新建」等。下面以「禁用『在新窗口中打開』菜單項」為例介紹具體的設置方法。

打開「組策略控制台→用戶配置→管理模板→Windows 組件→Internet Explorer→瀏覽器菜單」，然後打開「禁用『在新窗口中打開』菜單項」並設置為「啟用」。啟用該策略後，用戶在某個鏈接上單擊滑鼠右鍵，然後單擊 「在新窗口中打開」時，該命令將不起作用。該策略可與「『文件』菜單禁用『新建』菜單項」一起使用，後者禁止用戶通過單擊「文件」菜單，指向「新建」，然後單擊「窗口」在新窗口中打開瀏覽器。

提示：啟用該策略後，單擊「在新窗口中打開」命令，將無法在新窗口中打開鏈接，系統會提示用戶該命令無效，網頁自動打開的窗口也全部被禁止，其實這樣也可達到屏蔽彈出廣告窗口的效果。

2．限制IE瀏覽器的保存功能（Windows 2000/XP/2003）

在使用IE瀏覽網頁過程中，當遇到好的圖片、文章等資源時可以使用「另存為」功能將它保存到本地硬碟中，當多人共用一台計算機時，為了保持硬碟的整潔，需要對瀏覽器的保存功能進行限制。那麼如何才能實現呢?可以這樣操作：打開「組策略控制台→用戶配置→管理模板 →Windows組件→Internet Explorer→瀏覽器菜單」，然後將右側窗格中的「『文件』菜單：禁用『另存為...』菜單項」、「『文件』菜單：禁用另存為網頁菜單項」、「『查看 』菜單：禁用『源文件』菜單項」和「禁用上下文菜單」等策略項目全部啟用即可。

如果不希望別人對IE瀏覽器的設置隨意更改，可以將「『工具』菜單：禁用『Internet選項...』」策略啟用。另外，根據個人的需要，在該窗格中還可以禁用其他項目。

3．禁用「Internet 選項」控制面板（Windows 2000/XP/2003）

上面提到了「禁用Internet選項」的功能，使用該功能可以達到阻止別人對IE隨便設置的目的。而這種方法無法具體禁用Internet選項中的控制模板項目，因此給具體應用帶來麻煩。通過下面的組策略設置方法，則可以實現這一要求：

打開「組策略控制台→用戶配置→管理模板→Windows組件→Internet Explorer→Internet 控制面板」，在右邊窗格中我們可以看到「禁用常規頁」、「禁用安全頁」等組策略項目。下面以「禁用常規頁」為例進行說明：打開右邊窗格中的「禁用常規頁」 並設置為「啟用」。然後我們再打開Internet選項控制面板，會發現「常規」項目已經沒有了，這樣一來用戶將無法看到和更改主頁、緩存、歷史記錄、網頁外觀以及輔助功能的設置，因為該策略將刪除界面上的「常規」選項卡，所以如果設置了該策略，則無須設置位於 「用戶配置→管理模板→Windows 組件→Internet Explorer」中的諸如「禁用更改主頁設置」、「禁用更改顏色設置」等策略。

4．禁止修改IE瀏覽器的主頁（Windows 2000/XP/2003）

如果不希望他人對自己設定的IE瀏覽器主頁進行隨意更改的話，可以打開「組策略控制台→用戶配置→管理模板 →Windows組件→Internet Explorer→工具欄」，然後選擇「禁用更改主頁設置」組策略並啟用即可。另外在這個窗格中，還提供了「更改歷史記錄設置」、「更改顏色設置」和「更改Internet臨時文件設置」等項目的禁用功能。

啟用此策略後，在IE瀏覽器的「Internet 選項」對話框中，其「常規」選項卡的「主頁」區域的設置將變灰。

提示：如果設置了位於「組策略控制台→用戶配置→管理模板→Windows組件→Internet Explorer→Internet Explorer控制面板」中的「禁用常規頁」策略，則無須設置該策略，因為「禁用常規頁」策略將刪除界面上的「常規」選項卡。

5．自定義IE工具欄（Windows 2000/XP/2003）

IE工具欄的背景和上面的按鈕都是可以自定義的，以前我們大多使用手動修改注冊表的方法，不過並不直觀，現在我們用「組策略」可以更方便地達到效果，打造屬於我們自己的IE。

打開「組策略控制台→用戶配置→Windows設置→Internet Explorer維護→瀏覽器用戶界面」下的「瀏覽器工具欄按鈕自定義」策略配置項目，在這里，可以自定義瀏覽器工具欄的背景圖片，點擊「瀏覽」選擇一個 BMP的點陣圖文件即可（注意：工具欄背景應該與工具欄大小相同，而亮度應該足以顯示黑色文字，否則實際效果並不理想）。

接下來，我們要在IE的工具欄上添加自己的快捷方式，比如添加「我的QQ」，在這里也可以很輕松地完成。

點擊「添加」，在「工具欄標題」中輸人「我的QQ」，在「工具欄操作」中選擇QQ程序的路徑，最後再選擇好「顏色圖標」和「灰度圖標」的路徑（如果你不知道怎麼提取這兩個圖標，可以請EXeScope這個軟體來幫忙，在各大站點都可以下載）。設置完成後點「確定」，再次打開IE後就可以看到修改的效果了。

七、輕松實現Windows高級功能

1．設置並鎖定Windows Media Player外觀（Windows 2000/XP/2003）

Windows Media Player是目前最流行的多媒體播放器之一，如果不希望其他用戶隨意更改其界面外觀的話，利用組策略可以輕松實現。打開「組策略控制台→用戶配置→管理模板→Windows 組件→Windows Media Player→用戶界面中的設置並鎖定外觀」啟用此策略。

啟用此策略後，將使 Windows Media Player 只以指定的外觀模式顯示，具體可以使用在「策略」選項卡上的「外觀」框中指定的外觀。你必須為外觀使用完整的文件名�例如miniplayer.wmz 。如果外觀文件在用戶的計算機上沒有安裝，播放器將以Windows Media Player外觀打開。

提示：本策略設置軟體版本至少為Windows Media Player v8.00，ADM文件為wmplayer.adm。

2．禁止Windows Media Player播放時運行屏保（Windows 2000/XP/2003）

屏幕保護程序可以有效地保護我們的顯示器，但是當我們使用播放器觀看精彩影片時，經常會出現屏幕保護程序突然運行而中斷觀看的尷尬局面。現在我們可以通過組策略來解決屏幕保護程序使Windows Media Player播放中斷的麻煩問題了。打開「組策略控制台→用戶配置→管理模板→Windows組件→Windows Media Player→播放中的允許運行屏幕保護程序」並將它設置為「已禁用」狀態。

3．優化配置Windows Media Player網路緩沖（Windows 2000/XP/2003）

當我們使用Windows Media Player播放流式媒體時，播放器會在播放前對流式媒體進行緩沖處理，以便可以流暢地進行播放。在實際應用中，根據網路帶寬和伺服器的連接速度，緩存的時間長短並不一樣，但Windows Media Player卻是在使用同一設置，這無疑與實際網路情況不匹配，因此我們可以根據具體的網路帶寬情況自己優化配置網路緩沖。打開「組策略控制台→用戶配置 →管理模板→Windows組件→Windows Media Player→網路中的配置網路緩沖」並設置為啟用狀態，在出現的緩沖時間（秒數）配置選項中，根據網路的帶寬情況進行自定義（最多 60 秒）。

提示：如果此策略已啟用，那麼Windows Media Player「性能」選項卡上的緩存選項將不能再配置。

4．屏蔽使用所有 Windows Update 功能的訪問（Windows 2000/XP/2003）

Windows Update可以自動連接Microsoft網站並下載更新內容，這對大部分用戶來說是比較實用的，但對於不需要更新或者帶寬緊張的電腦用戶來說，此功能就顯得多餘了，而且經常傳聞Windows Update會將計算機用戶信息「秘密」發往Microsoft，因此也可以屏蔽這一「智能」高級功能。打開「組策略控制台→用戶配置→管理模板 →Windows 組件→Windows Update」中的「刪除使用所有 Windows Update 功能的訪問」組策略並啟用此策略。

提示：如果你啟用此設置，所有 Windows Update功能（其中包括阻止訪問Windows Update網站http�//windowsupdate.microsoft.com、開始菜單上的 Windows Update的超鏈接和Internet資源管理器上的工具菜單）將被刪除。Windows自動更新也被禁用，你將不會收到有關更新的通知，也不會接到 Windows Update的重要更新。此設置還會阻止設備管理器自動從Windows Update網站下載安裝驅動程序的更新。

5．在Windows XP/2003中實現遠程關機（Windows XP/2003）

在Windows XP/2003中，新增了一條命令行工具「shutdown」，它可以關閉或重新啟動本地或遠程計算機。利用它，我們不但可以注銷用戶、關閉或重新啟動計算機，還可以實現定時關機、遠程關機。該命令的語法格式如下：

shutdown [-i |-l|-s |-r |-a][-f][-m[\\ComputerName]][-t xx][-c 〃message〃][-d[u][p]:xx:yy]

該命令具體的使用參數和技巧請參考Windows的幫助系統，幫助系統裡面有全面的資料。我們現在簡單地看一下該命令的一些基本用法：

1）注銷當前用戶

shutdown - l

該命令只能注銷本機用戶，對遠程計算機不適用。

2）關閉本地計算機

shutdown - s

3）重啟本地計算機

shutdown - r

4）定時關機

shutdown - s -t 30

指定在30秒之後自動關閉計算機。

5）中止計算機的關閉。有時我們設定了計算機定時關機後，如果出於某種原因又想取消這次關機操作，就可以用shutdown - a來中止。

在該命令的格式中，有一個參數[-m [\\ComputerName]，用它可以指定將要關閉或重啟的計算機名稱，若省略的話則默認為對本機操作。你可以用以下命令來試一下：

shutdown -s -m \\Anyes-solon -t 30

在30秒內關閉計算機名為Anyes-solon（Anyes-solon為區域網內一台同樣裝有Windows XP/2003）的電腦。

該命令執行後，計算機Anyes-solon一點反應都沒有，屏幕上卻提示「Access is denied （拒絕訪問）」。

出現這種情況是因為Windows XP默認的安全策略中，只有管理員組的用戶才有權從遠端關閉計算機，而一般情況下我們從區域網內的其他電腦訪問該計算機時，則只有guest用戶許可權，所以當我們執行上述命令時，便會出現「拒絕訪問」的情況。

而我們利用組策略即可賦予guest用戶遠程關機的許可權。打開「組策略控制台→計算機配置→Windows 設置→安全設置→本地策略→用戶權利指派中的從遠端系統強制關機」，在彈出的對話框中顯示目前只有「Administrators」組的成員才有權從遠程關機；單擊對話框下方的「添加用戶或組」按鈕，然後在新彈出的對話框中輸入「guest」，再單擊「確定」按鈕。

通過上述操作後，我們便給計算機Anyes-solon的guest用戶授予了遠程關機的許可權。以後，倘若你要遠程關閉計算機Anyes-solon，只要在網路中其他裝有Wind

③ 什麼叫組策略

組策略是管理員為計算機和用戶定義的，用來控制應用程序、系統設置和管理模板的一種機制。通俗一點說，是介於控制面板和注冊表之間的一種修改系統、設置程序的工具。微軟自Windows NT 4.0開始便採用了組策略這一機制，經過Windows 2000發展到Windows XP已相當完善。利用組策略可以修改Windows的桌面、開始菜單、登錄方式、組件、網路及IE瀏覽器等許多設置。

平時像一些常用的系統、外觀、網路設置等我們可通過控制面板修改，但大家對此肯定都有不滿意，因為通過控制面板能修改的東西太少；水平稍高點的用戶進而使用修改注冊表的方法來設置，但注冊表涉及內容又太多，修改起來也不方便。組策略正好介於二者之間，涉及的內容比控制面板中的多，安全性和控制面板一樣非常高，而條理性、可操作性則比注冊表強。

本文主要介紹Windows XP Professional本地組策略的應用。本地計算機組策略主要可進行兩個方面的配置：計算機配置和用戶配置。其下所有設置項的配置都將保存到注冊表的相關項目中。其中計算機配置保存到注冊表的HKEY_LOCAL_MACHINE子樹中，用戶配置保存到HKEY_CURRENT_USER。

一、訪問組策略

有兩種方法可以訪問組策略：一是通過gpedit.msc命令直接進入組策略窗口；二是打開控制台，將組策略添加進去。

1. 輸入gpedit.msc命令訪問

選擇「開始」→「運行」，在彈出窗口中輸入「gpedit.msc」，回車後進入組策略窗口（圖1）。組策略窗口的結構和資源管理器相似，左邊是樹型目錄結構，由「計算機配置」、「用戶配置」兩大節點組成。這兩個節點下分別都有「軟體設置」、「Windows設置」和「管理模板」三個節點，節點下面還有更多的節點和設置。此時點擊右邊窗口中的節點或設置，便會出現關於此節點或設置的適用平台和作用描述。「計算機配置」、「用戶配置」兩大節點下的子節點和設置有很多是相同的，那麼我們該改哪一處？「計算機配置」節點中的設置應用到整個計算機策略，在此處修改後的設置將應用到計算機中的所有用戶。「用戶配置」節點中的設置一般只應用到當前用戶，如果你用別的用戶名登錄計算機，設置就不會管用了。但一般情況下建議在「用戶配置」節點下修改，本文也將主要講解「用戶配置」節點的各項設置的修改，附帶講解「計算機配置」節點下的一些設置。其中「管理模板」設置最多、應用最廣，因此也是本文的重中之重。

2. 通過控制台訪問組策略

單擊「開始」→「運行」，輸入「mmc」，回車後進入控制台窗口。單擊控制台窗口的「文件」→「添加/刪除管理單元」，在彈出窗口單擊「添加」（圖2），之後選擇「組策略」並單擊「添加」（圖3），在下一步的「選擇組策略對象」對話框中選擇對象。由於我們組策略對象就是「本地計算機」，因此不用更改，如果是網路上的另一台計算機，那麼單擊「瀏覽」選擇此計算機即可。另外，如果你希望保存組策略控制台，並希望能夠選擇通過命令行在控制台中打開組策略對象，請選中「當從命令行開始時，允許更改『組策略管理單元』的焦點」復選框（圖4）。最後添加進來的組策略如圖5所示。

二、任務欄和「開始」菜單項目設置

本節點允許你為開始菜單、任務欄和通知區域添加、刪除或禁用某一功能項目。依次展開「用戶配置」→「管理模板」→「任務欄和『開始』菜單」，在右邊窗口便能看到「任務欄和『開始』菜單」節點下的具體設置，其狀態都處在「未被配置」（圖6）。

1. 給「開始」菜單減肥

Windows XP的「開始」菜單的菜單項很多，可通過組策略將不需要的刪除掉。以刪除開始菜單中的「我的文檔」圖標為例看看其具體操作方法：在右邊窗口中雙擊「從『開始』菜單上刪除『我的文檔』圖標」項，在彈出對話框的「設置」標簽中點選「已啟用」，然後單擊「確定」（圖7），這樣在「開始」菜單中「我的文檔」圖標將會隱藏。

2. 防止隱私泄漏

在開始菜單中有一個「我最近的文檔」菜單項，別人可通過此菜單訪問你最近打開的文檔，為安全起見，可刪除此菜單項，並設置不保存最近打開的文檔記錄。雙擊「不要保留最近打開文檔的記錄」、「退出時清除最近打開的文檔記錄」、「從『開始』菜單上刪除『文檔』菜單」3項，在彈出對話框中點選「已啟動」並確定即可。

3. 禁止隨意修改任務欄和「開始」菜單

為保護自己好不容易設置好的任務欄和「開始」菜單，可雙擊啟用下列各設置。

「阻止更改『任務欄和『開始』菜單 』設置」：即從「開始」菜單的「設置」菜單項中刪除「任務欄和『開始』菜單」項目，這個設置也可阻止用戶打開「任務欄屬性」對話框。「阻止訪問任務欄的上下文菜單」（上下文菜單即單擊右鍵彈出的快捷菜單）：當滑鼠右鍵單擊任務欄及任務欄上項目時隱藏菜單，例如「開始」按鈕、時鍾和任務欄按鈕，但不能禁止用戶在其他地方更改。「鎖定任務欄」：啟用此設置，可阻止用戶移動任務欄或調整任務欄的大小，但自動隱藏和其他任務欄選項仍然在「任務欄屬性」中可用。

4. 去掉Windows XP「開始」菜單中的圖形化設置

Windows XP的「開始」菜單增添了許多圖形化設置，其實可在組策略中將這些功能關閉。

「關閉個性化菜單」：Windows XP會自動將最近使用的菜單項移動到開始菜單頂部，並且隱藏最近沒有使用的菜單項，以此實現個性化菜單，啟用此設置將關閉個性化菜單。「強制典型菜單」：啟用此設置，開始菜單就以Windows 2000樣式顯示典型的開始菜單，並且顯示標准桌面圖標。

5. 禁止「注銷」和「關機」

進行三維動畫設計和視頻處理的朋友經常會為導出一個大型動畫、視頻文件而花幾個小時，這時如果有人重新啟動電腦或注銷用戶，那麼前面所做的工作就會白白浪費，因此有必要禁止「開始」菜單中的「注銷」、「關機」菜單項。你只需雙擊啟用「刪除『開始』菜單上的『注銷』」和「刪除和阻止訪問『關機』命令」兩項即可。後一設置不僅將從「開始」菜單中刪除「關閉計算機」項，而且還會禁用「Windows 任務管理器」對話框中的「關機」選項（圖8）。

三、桌面項目設置

在「組策略」的左窗口依次展開「用戶配置」→「管理模板」→「桌面」節點，便能看到有關桌面的所有設置（圖9）。此節點主要作用在於管理用戶使用桌面的權利和隱藏桌面圖標。

1. 隱藏不必要的桌面圖標

桌面上的一些快捷方式我們可以輕而易舉地刪除，但要刪除「我的電腦」、「回收站」、「網上鄰居」等默認圖標，就需要依靠「組策略」了。例如要刪除「我的文檔」，只需在「刪除桌面上的『我的文檔』圖標」一項中設置即可。

2. 禁止對桌面的改動

利用組策略可達到禁止別人改動桌面某些設置的目的。「禁止用戶更改『我的文檔』路徑」項可防止用戶更改「我的文檔」文件夾的路徑。「禁止添加、拖、放和關閉任務欄的工具欄」項可阻止用戶從桌面上添加或刪除任務欄。雙擊啟用「退出時不保存設置」後，用戶將不能保存對桌面的更改。最後，雙擊啟用「隱藏和禁用桌面上的所有項目」設置項，將從桌面上刪除圖標、快捷方式以及其他默認的和用戶定義的所有項目，連桌面右鍵菜單都將被禁止。

3. 啟用或禁止活動桌面

利用「Active Desktop」項，可根據自己的需要設置活動桌面的各種屬性。「啟用活動桌面」項可啟用活動桌面並防止用戶禁用它。「活動桌面牆紙」項可指定在所有用戶的桌面上顯示的桌面牆紙（圖10）。而啟用「不允許更改」項便可防止用戶更改活動桌面配置。

四、隱藏或禁止控制面板項目

這里講到的控制面板項目設置是指配置控制面板程序的各項設置，主要用於隱藏或禁止控制面板項目。在組策略左邊窗口依次展開「用戶配置」→「管理模板」→「控制面板」項，便可看到「控制面板」節點下面的所有設置和子節點（圖11）。

1. 隱藏或禁止「添加/刪除程序」項

展開「添加/刪除程序」項：雙擊啟用「刪除『添加/刪除程序』程序」設置項後，控制面板中的「添加/刪除程序」項將被刪除。此外在「添加或刪除程序」對話框中共有3個頁面：「更改或刪除程序」、「添加新程序」以及「添加/刪除Windows組件」；而當你進入「添加新程序」頁面時，會發現有3個選項：「從CD-ROM或軟盤添加程序」、「從 Microsoft添加程序」以及「從網路中添加程序」（圖12），如果你想這些具體頁面或選項隱藏，可直接在組策略「添加/刪除程序」項中將相應隱藏功能啟用。

2. 隱藏或禁止「顯示」項

展開「顯示」項，發現這一項和上一項一樣，可隱藏「顯示屬性」對話框中的選項卡。這里就不細講了，例如雙擊啟用「隱藏『桌面』選項卡」後，「顯示窗口」中將不再出現「桌面」項（圖13）。此外，在這里用戶還可啟用「刪除控制面板中的『顯示』」，這樣在控制面板中雙擊打開「顯示」項時，就會彈出一個對話框提示你：系統管理員禁止使用「顯示」控制面板（圖14）。

3. 其他

依次展開「顯示」→「桌面主題」項，雙擊啟用「刪除主題選項」、「阻止選擇窗口和按鈕式樣」、「禁止選擇字體大小」項後，可阻止他人更改主題、窗口和按鈕式樣、字體。展開「列印機」項，雙擊啟用「阻止添加列印機」或「阻止刪除列印機」可防止別的用戶添加或刪除列印機。最後，直接在「控制面板」一項下啟用「禁止訪問控制面板」，控制面板將無法啟動。

五、系統項目設置

這一項在「用戶配置」→「管理模板」→「系統」中設置（圖15）。組策略中對系統的設置涉及到登錄、電源管理、組策略、腳本等很多項目，下面把和我們聯系緊密的部分清理出來分類列舉如下：

1. 登錄時不顯示歡迎屏幕界面

Windows 2000和Windows XP系統登錄時默認情況下都有歡迎屏幕，雖然漂亮但也麻煩且延長登錄時間，通過組策略便可將其除去。雙擊啟用「系統」節點下的「登錄時不顯示歡迎屏幕」，則每次用戶登錄時歡迎屏幕將隱藏。

2. 禁用注冊表編輯器

為防止他人修改注冊表，可在組策略中禁止訪問注冊表編輯器。雙擊啟用「系統」節點下的「阻止訪問注冊表編輯器」項後，用戶試圖啟動注冊表編輯器時，系統將提示：注冊編輯已被管理員停用（圖16）。另外，如果你的注冊表編輯器被鎖死，也可雙擊此設置，在彈出對話框的「設置」標簽中點選「未被配置」項，這樣你的注冊表便解鎖了。如果要防止用戶使用其他注冊表編輯工具打開注冊表，請雙擊啟用「只運行許可的Windows應用程序」。

3. 關閉系統自動播放功能

一旦你將光碟插入光碟機中，Windows XP就會開始讀取光碟機，並啟動相關的應用程序。這樣雖然給我們的工作帶來了便利，在某些時候也帶來了不少麻煩。在「系統」節點下有一項為「關閉自動播放」設置項，雙擊其並在彈出對話框的「設置」標簽中點選「已啟用」，在「關閉自動播放」框中選擇「CD-ROM啟動器」或「所有驅動器」項即可（圖17）。

注意：此設置不阻止自動播放音樂CD。

4. 關閉Windows自動更新

每當用戶連接到Internet，Windows XP就會搜索用戶計算機上的可用更新，根據配置的具體情況，在下載的組件准備好安裝時或在下載之前，給用戶以提示。如果你不喜歡比爾老大這種自作主張的態度，可通過組策略關閉這一功能。只須雙擊「系統」節點下的「Windows自動更新」設置項，在彈出來的對話框中點選「已禁用」並確定即可。

5. Ctrl+Alt+Del選項

若Windows XP用戶已取消「使用歡迎屏幕」項，若同時按下「Ctrl+Alt+Del」鍵，便會彈出一個「Windows安全」對話框，此對話框中有「鎖定計算機」、「注銷」、「關機」、「更改密碼」、「任務管理器」、「取消」6個功能按鈕（圖18）。大家都知道這里的每個按鈕對系統都起著關鍵的作用。為了阻止別人操作，可通過組策略屏蔽這些按鈕。

找到「系統」下的「Ctrl+Alt+Del選項」，雙擊啟用「刪除任務管理器」、「刪除『鎖定計算機』」、「刪除改變密碼」、「刪除注銷」項便能屏蔽掉「Windows安全」對話框的「任務管理器」、「鎖定計算機」、「更改密碼」、「取消」4個功能按鈕。

注意：「注銷」、「關機」兩個菜單項的屏蔽，在「用戶配置」→「管理模板」→「任務欄和『開始』菜單」節點下。

六、隱藏或刪除Windows XP資源管理器中的項目

一直以來，資源管理器就是Windows系統中最重要的工具，如何高效、安全地管理資源也一直是電腦用戶的不懈追求。依次展開「用戶配置」→「管理模板」→「Windows組件」→「Windows資源管理器」項，可以看到「Windows資源管理器」節點下的所有設置（圖19）。下面就來看看怎樣通過組策略實現資源管理器個性化。

1. 刪除「文件夾選項」

「文件夾選項」是資源管理器中一個重要的菜單項，通過它可修改文件的查看方式，編輯文件類型的打開方式（圖20）。我們自己對其設定好後，為了防止他人隨意更改，可將此菜單項刪除，你只須雙擊啟用「從『工具』菜單刪除『文件夾選項』菜單」便能完成這一設置。

2. 隱藏「管理」菜單項

在資源管理器中右鍵單擊「我的電腦」出現的快捷菜單中有一個「管理」菜單項，通過此菜單項，可以打開一個包含「事件查看器」、「本地用戶和組」、「設備管理器」、「磁碟管理」等眾多工具的「計算機管理」窗口（圖21）。為了保障你的計算機免受他人無意破壞，可通過雙擊啟用「隱藏Windows資源管理器上下文菜單上的『管理』項目」項來屏蔽此菜單項。

3. 其他項目的隱藏

此外通過啟用「隱藏『我的電腦』中的這些指定的驅動器」可隱藏你指定的驅動器（圖22）。還可通過啟用「『網上鄰居』中不含『整個網路』」屏蔽掉「整個網路」項。雙擊啟用「刪除CD燒錄功能」刪除Windows XP自帶的光碟刻錄功能。雙擊啟用「不要將已刪除的文件移到『回收站』」則以後刪除文件時將不進入回收站直接刪除掉。當然還有不少項目這里沒有講到，大家可根據需要自行探討，進行適當的配置。

七、IE瀏覽器項目設置

在組策略左邊窗口中依次展開「用戶配置」→「管理模板」→「Windows組件」→「Internet Explorer」項，在右邊窗口中便能看到「Internet Explorer」節點下的所有設置和子節點（圖23）。IE是Windows XP自帶的網頁瀏覽器，也是大多數用戶採用的瀏覽器，但其安全性也為人所詬病，下面就通過組策略來對其進行「改造」。

1. 在IE工具欄添加快捷方式

不知道大家注意到了沒有，不少軟體在安裝完之後都會在IE工具欄上添加圖標，單擊其便能啟用相應程序。其實用組策略可以在IE工具欄上為任何程序添加快捷方式，這里舉例說明如何添加一個ICQ的啟動圖標。展開「Internet Explorer維護」下的「瀏覽器用戶界面」，雙擊「瀏覽器工具欄自定義」設置項，在彈出來的對話框中單擊「添加」按鈕，在「瀏覽器工具欄按鈕信息」對話框的「工具欄標題」中輸入：ICQ，在「工具欄操作」中輸入D:\Fun\ICQLite\ICQLite.exe，然後再隨便選擇一個「顏色圖標」和「灰度圖標」（圖24，當然你也可以用ExeScope等來提取ICQ的圖標）。單擊「確定」後IE工具欄中便多了一個ICQ圖標！

2. 讓IE插件不再騷擾你

我們平常上網瀏覽網頁時，總會彈出一些諸如「是否安裝Flash插件」、「是否安裝3721網路實名」的提示，就像廣告窗口一樣煩人。實際上我們可在組策略中通過啟用「Internet Explorer」節點下的「禁用Internet Explorer組件的自動安裝」來禁止這種提示的出現。不過有時這一功能也是很用的，所以在禁止此功能之前請稍加考慮。

3. 保護好你的個人隱私

一般通過單擊IE工具欄上的「歷史」按鈕，便可了解以前瀏覽過的網頁和文件。為保密起見，你可以通過雙擊啟用「Internet Explorer」節點下的「不要保留最近打開文檔的記錄」和「退出時清除最近打開的文檔記錄」兩個設置項，這樣再單擊IE工具欄上的「歷史」按鈕，你訪問過的歷史網頁記錄將全部消失。

4. 禁止項

如果不希望他人對你的主頁進行修改，可啟用「Internet Explorer」節點下的「禁用更改主頁設置」設置項禁止別人更改你的主頁（圖25）。你也可通過訪問「瀏覽器菜單」，啟用其中的設置項對IE瀏覽器的若乾菜單項進行屏蔽。最後，在「Internet控制面板」節點下，你還可對「Internet選項」對話框中的部分選項卡進行隱藏（圖26）。

八、系統安全設置

自有計算機以來，安全一直就是人們關注的焦點問題，Windows XP也不例外。在組策略中，系統安全配置一般在「計算機配置」→「Windows設置」→「安全設置」中進行。

1. 密碼策略

這一策略在「賬戶策略」→「密碼策略」節點中配置（圖27）。口令是系統安全的一大隱患，可通過組策略設置密碼（口令）的最小長度：雙擊啟用「密碼必須符合復雜性要求」設置項，確定後雙擊「密碼長度最小值」設置項，在彈出來的對話框中將密碼長度最小值設為8或更大，這樣以後設置賬戶密碼時就必須輸入8位以上，安全性就高多了。

2. 用戶權利指派

展開「本地策略」→「用戶權利指派」節點，在右邊窗口中便能看到「用戶權利指派」節點下的所有設置（圖28）。合適地指派用戶權利可以解決一些奇怪的問題，例如在區域網中使用Windows XP系統的朋友一般會發現一個奇怪的現象，那就是即使你啟用guest用戶並給予許可權，區域網中的其他Win9X操作系統的用戶還是無法訪問Windows XP系統中的共享資源。這個問題可在組策略中通過修改有關設置解決：雙擊「用戶權利指派」節點下的「拒絕從網路訪問這台計算機」設置項，在彈出對話框中點選「guest」，然後單擊「刪除」，最後確定即可（圖29）。在「用戶權利指派」節點下還可給用戶添加許多許可權，例如給guest添加遠程關機許可權、給一般用戶添加更改系統時間的許可權，限於篇幅，在此不再贅述

④ 安全策略登錄限制

這是管理員在伺服器那頭通過組策略限制了你的訪問.你可以通過一些軟體來訪問.
還有一個辦法,不知道行不行的通.那就是通過qq傳送文件的功能,在瀏覽對話框中打開伺服器,再把你想訪問的文件復制到桌面上

⑤ 如何管理伺服器登錄賬戶

1、在伺服器的「計算機」單擊滑鼠右鍵，選擇「管理」進入，

5、在該用戶上單擊滑鼠右鍵選擇「屬性」--「隸屬於」點擊「添加」，在「輸入對象名稱來選擇」中輸入「administrators」然後點擊「檢索名稱」，點擊確定即可把該用戶加入管理員組，擁有管理員的許可權。

⑥ 組策略作用是什麼

組策略有哪些作用？

組策略是管理員為計算機和用戶定義的，用來控制應用程序、系統設置和管理模板的一種機制。通俗一點說，是介於控制面板和注冊表之間的一種修改系統、設置程序的工具。微軟自Windows NT 4.0開始便採用了組策略這一機制，經過Windows 2000發展到Windows XP已相當完善。利用組策略可以修改Windows的桌面、開始菜單、登錄方式、組件、網路及IE瀏覽器等許多設置。

平時像一些常用的系統、外觀、網路設置等我們可通過控制面板修改，但大家對此肯定都有不滿意，因為通過控制面板能修改的東西太少；水平稍高點的用戶進而使用修改注冊表的方法來設置，但注冊表涉及內容又太多，修改起來也不方便。組策略正好介於二者之間，涉及的內容比控制面板中的多，安全性和控制面板一樣非常高，而條理性、可操作性則比注冊表強。

⑦ 組策略中：互動式登錄~不需要按Ctrl+Alt+Del 是干什麼的啊，啟用有什麼作用呢

啟用這個就是注銷時，在注銷界面，Ctrl+Alt在按兩次DeL你就可以看見叫你輸入用戶名了！試下你就明白了！

⑧ 組策略是什麼

組策略概述

組策略設置定義了系統管理員需要管理的用戶桌面環境的多種組件，例如，用戶可用的程序、用戶桌面上出現的程序以及「開始」菜單選項。要為特定用戶組創建特殊的桌面配置，請使用組策略管理單元。您指定的組策略設置包含在組策略對象中，而組策略對象又與選定的 Active Directory 對象（即站點、域或組織單位）相關聯。

組策略不僅應用於用戶和客戶機，還應用於成員伺服器、域控制器以及管理范圍內的任何其他 Windows 2000 計算機。默認情況下，應用於域（即，在域級別應用，剛好在 Active Directory 用戶和計算機管理單元的根目錄之上）的組策略會影響域中的所有計算機和用戶。Active Directory 用戶和計算機管理單元還提供內置的域控制器組織單位。如果將在那裡保存域控制器帳戶，則可以使用組策略對象「默認域控制器策略」將域控制器與其他計算機分開管理。

組策略包括影響用戶的「用戶配置」策略設置和影響計算機的「計算機配置」策略設置。有關詳細信息，請參閱用戶配置和計算機配置。
參考資料：Windows幫助支持中心

⑨ 組策略是什麼

所謂組策略，就是基於組的策略。它以Windows中的一個MMC管理單元的形式存在，可以幫助系統管理員針對整個計算機或是特定 組策略界面圖
用戶來設置多種配置，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定製可用的程序、桌面上的內容，以及「開始」菜單選項等，也可以在整個計算機范圍內創建特殊的桌面配置。簡而言之，組策略是Windows中的一套系統更改和配置管理工具的集合。 注冊表是Windows系統中保存系統軟體和應用軟體配置的資料庫，而隨著Windows功能越來越豐富，注冊表裡的配置項目也越來越多，很多配置都可以自定義設置，但這些配置分布在注冊表的各個角落，如果是手工配置，可以想像是多麼困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達到方便管理計算機的目的。
其實簡單地說，組策略設置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。

⑩ 組策略是什麼

組策略是管理員為計算機和用戶定義的，用來控制應用程序、系統設置和管理模板的一種機制。通俗一點說，是介於控制面板和注冊表之間的一種修改系統、設置程序的工具。微軟自Windows NT 4.0開始便採用了組策略這一機制，經過Windows 2000發展到Windows XP已相當完善。利用組策略可以修改Windows的桌面、開始菜單、登錄方式、組件、網路及IE瀏覽器等許多設置。

平時像一些常用的系統、外觀、網路設置等我們可通過控制面板修改，但大家對此肯定都有不滿意，因為通過控制面板能修改的東西太少；水平稍高點的用戶進而使用修改注冊表的方法來設置，但注冊表涉及內容又太多，修改起來也不方便。組策略正好介於二者之間，涉及的內容比控制面板中的多，安全性和控制面板一樣非常高，而條理性、可操作性則比注冊表強。

本文主要介紹Windows XP Professional本地組策略的應用。本地計算機組策略主要可進行兩個方面的配置：計算機配置和用戶配置。其下所有設置項的配置都將保存到注冊表的相關項目中。其中計算機配置保存到注冊表的HKEY_LOCAL_MACHINE子樹中，用戶配置保存到HKEY_CURRENT_USER。

一、訪問組策略

有兩種方法可以訪問組策略：一是通過gpedit.msc命令直接進入組策略窗口；二是打開控制台，將組策略添加進去。

1. 輸入gpedit.msc命令訪問

選擇「開始」→「運行」，在彈出窗口中輸入「gpedit.msc」，回車後進入組策略窗口（圖1）。組策略窗口的結構和資源管理器相似，左邊是樹型目錄結構，由「計算機配置」、「用戶配置」兩大節點組成。這兩個節點下分別都有「軟體設置」、「Windows設置」和「管理模板」三個節點，節點下面還有更多的節點和設置。此時點擊右邊窗口中的節點或設置，便會出現關於此節點或設置的適用平台和作用描述。「計算機配置」、「用戶配置」兩大節點下的子節點和設置有很多是相同的，那麼我們該改哪一處？「計算機配置」節點中的設置應用到整個計算機策略，在此處修改後的設置將應用到計算機中的所有用戶。「用戶配置」節點中的設置一般只應用到當前用戶，如果你用別的用戶名登錄計算機，設置就不會管用了。但一般情況下建議在「用戶配置」節點下修改，本文也將主要講解「用戶配置」節點的各項設置的修改，附帶講解「計算機配置」節點下的一些設置。其中「管理模板」設置最多、應用最廣，因此也是本文的重中之重。

2. 通過控制台訪問組策略

單擊「開始」→「運行」，輸入「mmc」，回車後進入控制台窗口。單擊控制台窗口的「文件」→「添加/刪除管理單元」，在彈出窗口單擊「添加」（圖2），之後選擇「組策略」並單擊「添加」（圖3），在下一步的「選擇組策略對象」對話框中選擇對象。由於我們組策略對象就是「本地計算機」，因此不用更改，如果是網路上的另一台計算機，那麼單擊「瀏覽」選擇此計算機即可。另外，如果你希望保存組策略控制台，並希望能夠選擇通過命令行在控制台中打開組策略對象，請選中「當從命令行開始時，允許更改『組策略管理單元』的焦點」復選框（圖4）。最後添加進來的組策略如圖5所示。

二、任務欄和「開始」菜單項目設置

本節點允許你為開始菜單、任務欄和通知區域添加、刪除或禁用某一功能項目。依次展開「用戶配置」→「管理模板」→「任務欄和『開始』菜單」，在右邊窗口便能看到「任務欄和『開始』菜單」節點下的具體設置，其狀態都處在「未被配置」（圖6）。

1. 給「開始」菜單減肥

Windows XP的「開始」菜單的菜單項很多，可通過組策略將不需要的刪除掉。以刪除開始菜單中的「我的文檔」圖標為例看看其具體操作方法：在右邊窗口中雙擊「從『開始』菜單上刪除『我的文檔』圖標」項，在彈出對話框的「設置」標簽中點選「已啟用」，然後單擊「確定」（圖7），這樣在「開始」菜單中「我的文檔」圖標將會隱藏。

2. 防止隱私泄漏

在開始菜單中有一個「我最近的文檔」菜單項，別人可通過此菜單訪問你最近打開的文檔，為安全起見，可刪除此菜單項，並設置不保存最近打開的文檔記錄。雙擊「不要保留最近打開文檔的記錄」、「退出時清除最近打開的文檔記錄」、「從『開始』菜單上刪除『文檔』菜單」3項，在彈出對話框中點選「已啟動」並確定即可。

3. 禁止隨意修改任務欄和「開始」菜單

為保護自己好不容易設置好的任務欄和「開始」菜單，可雙擊啟用下列各設置。

「阻止更改『任務欄和『開始』菜單 』設置」：即從「開始」菜單的「設置」菜單項中刪除「任務欄和『開始』菜單」項目，這個設置也可阻止用戶打開「任務欄屬性」對話框。「阻止訪問任務欄的上下文菜單」（上下文菜單即單擊右鍵彈出的快捷菜單）：當滑鼠右鍵單擊任務欄及任務欄上項目時隱藏菜單，例如「開始」按鈕、時鍾和任務欄按鈕，但不能禁止用戶在其他地方更改。「鎖定任務欄」：啟用此設置，可阻止用戶移動任務欄或調整任務欄的大小，但自動隱藏和其他任務欄選項仍然在「任務欄屬性」中可用。

4. 去掉Windows XP「開始」菜單中的圖形化設置

Windows XP的「開始」菜單增添了許多圖形化設置，其實可在組策略中將這些功能關閉。

「關閉個性化菜單」：Windows XP會自動將最近使用的菜單項移動到開始菜單頂部，並且隱藏最近沒有使用的菜單項，以此實現個性化菜單，啟用此設置將關閉個性化菜單。「強制典型菜單」：啟用此設置，開始菜單就以Windows 2000樣式顯示典型的開始菜單，並且顯示標准桌面圖標。

5. 禁止「注銷」和「關機」

進行三維動畫設計和視頻處理的朋友經常會為導出一個大型動畫、視頻文件而花幾個小時，這時如果有人重新啟動電腦或注銷用戶，那麼前面所做的工作就會白白浪費，因此有必要禁止「開始」菜單中的「注銷」、「關機」菜單項。你只需雙擊啟用「刪除『開始』菜單上的『注銷』」和「刪除和阻止訪問『關機』命令」兩項即可。後一設置不僅將從「開始」菜單中刪除「關閉計算機」項，而且還會禁用「Windows 任務管理器」對話框中的「關機」選項（圖8）。

三、桌面項目設置

在「組策略」的左窗口依次展開「用戶配置」→「管理模板」→「桌面」節點，便能看到有關桌面的所有設置（圖9）。此節點主要作用在於管理用戶使用桌面的權利和隱藏桌面圖標。

1. 隱藏不必要的桌面圖標

桌面上的一些快捷方式我們可以輕而易舉地刪除，但要刪除「我的電腦」、「回收站」、「網上鄰居」等默認圖標，就需要依靠「組策略」了。例如要刪除「我的文檔」，只需在「刪除桌面上的『我的文檔』圖標」一項中設置即可。

2. 禁止對桌面的改動

利用組策略可達到禁止別人改動桌面某些設置的目的。「禁止用戶更改『我的文檔』路徑」項可防止用戶更改「我的文檔」文件夾的路徑。「禁止添加、拖、放和關閉任務欄的工具欄」項可阻止用戶從桌面上添加或刪除任務欄。雙擊啟用「退出時不保存設置」後，用戶將不能保存對桌面的更改。最後，雙擊啟用「隱藏和禁用桌面上的所有項目」設置項，將從桌面上刪除圖標、快捷方式以及其他默認的和用戶定義的所有項目，連桌面右鍵菜單都將被禁止。

3. 啟用或禁止活動桌面

利用「Active Desktop」項，可根據自己的需要設置活動桌面的各種屬性。「啟用活動桌面」項可啟用活動桌面並防止用戶禁用它。「活動桌面牆紙」項可指定在所有用戶的桌面上顯示的桌面牆紙（圖10）。而啟用「不允許更改」項便可防止用戶更改活動桌面配置。

四、隱藏或禁止控制面板項目

這里講到的控制面板項目設置是指配置控制面板程序的各項設置，主要用於隱藏或禁止控制面板項目。在組策略左邊窗口依次展開「用戶配置」→「管理模板」→「控制面板」項，便可看到「控制面板」節點下面的所有設置和子節點（圖11）。

1. 隱藏或禁止「添加/刪除程序」項

展開「添加/刪除程序」項：雙擊啟用「刪除『添加/刪除程序』程序」設置項後，控制面板中的「添加/刪除程序」項將被刪除。此外在「添加或刪除程序」對話框中共有3個頁面：「更改或刪除程序」、「添加新程序」以及「添加/刪除Windows組件」；而當你進入「添加新程序」頁面時，會發現有3個選項：「從CD-ROM或軟盤添加程序」、「從 Microsoft添加程序」以及「從網路中添加程序」（圖12），如果你想這些具體頁面或選項隱藏，可直接在組策略「添加/刪除程序」項中將相應隱藏功能啟用。

2. 隱藏或禁止「顯示」項

展開「顯示」項，發現這一項和上一項一樣，可隱藏「顯示屬性」對話框中的選項卡。這里就不細講了，例如雙擊啟用「隱藏『桌面』選項卡」後，「顯示窗口」中將不再出現「桌面」項（圖13）。此外，在這里用戶還可啟用「刪除控制面板中的『顯示』」，這樣在控制面板中雙擊打開「顯示」項時，就會彈出一個對話框提示你：系統管理員禁止使用「顯示」控制面板（圖14）。

3. 其他

依次展開「顯示」→「桌面主題」項，雙擊啟用「刪除主題選項」、「阻止選擇窗口和按鈕式樣」、「禁止選擇字體大小」項後，可阻止他人更改主題、窗口和按鈕式樣、字體。展開「列印機」項，雙擊啟用「阻止添加列印機」或「阻止刪除列印機」可防止別的用戶添加或刪除列印機。最後，直接在「控制面板」一項下啟用「禁止訪問控制面板」，控制面板將無法啟動。

五、系統項目設置

這一項在「用戶配置」→「管理模板」→「系統」中設置（圖15）。組策略中對系統的設置涉及到登錄、電源管理、組策略、腳本等很多項目，下面把和我們聯系緊密的部分清理出來分類列舉如下：

1. 登錄時不顯示歡迎屏幕界面

Windows 2000和Windows XP系統登錄時默認情況下都有歡迎屏幕，雖然漂亮但也麻煩且延長登錄時間，通過組策略便可將其除去。雙擊啟用「系統」節點下的「登錄時不顯示歡迎屏幕」，則每次用戶登錄時歡迎屏幕將隱藏。

2. 禁用注冊表編輯器

為防止他人修改注冊表，可在組策略中禁止訪問注冊表編輯器。雙擊啟用「系統」節點下的「阻止訪問注冊表編輯器」項後，用戶試圖啟動注冊表編輯器時，系統將提示：注冊編輯已被管理員停用（圖16）。另外，如果你的注冊表編輯器被鎖死，也可雙擊此設置，在彈出對話框的「設置」標簽中點選「未被配置」項，這樣你的注冊表便解鎖了。如果要防止用戶使用其他注冊表編輯工具打開注冊表，請雙擊啟用「只運行許可的Windows應用程序」。

3. 關閉系統自動播放功能

一旦你將光碟插入光碟機中，Windows XP就會開始讀取光碟機，並啟動相關的應用程序。這樣雖然給我們的工作帶來了便利，在某些時候也帶來了不少麻煩。在「系統」節點下有一項為「關閉自動播放」設置項，雙擊其並在彈出對話框的「設置」標簽中點選「已啟用」，在「關閉自動播放」框中選擇「CD-ROM啟動器」或「所有驅動器」項即可（圖17）。

注意：此設置不阻止自動播放音樂CD。

4. 關閉Windows自動更新

每當用戶連接到Internet，Windows XP就會搜索用戶計算機上的可用更新，根據配置的具體情況，在下載的組件准備好安裝時或在下載之前，給用戶以提示。如果你不喜歡比爾老大這種自作主張的態度，可通過組策略關閉這一功能。只須雙擊「系統」節點下的「Windows自動更新」設置項，在彈出來的對話框中點選「已禁用」並確定即可。

5. Ctrl+Alt+Del選項

若Windows XP用戶已取消「使用歡迎屏幕」項，若同時按下「Ctrl+Alt+Del」鍵，便會彈出一個「Windows安全」對話框，此對話框中有「鎖定計算機」、「注銷」、「關機」、「更改密碼」、「任務管理器」、「取消」6個功能按鈕（圖18）。大家都知道這里的每個按鈕對系統都起著關鍵的作用。為了阻止別人操作，可通過組策略屏蔽這些按鈕。

找到「系統」下的「Ctrl+Alt+Del選項」，雙擊啟用「刪除任務管理器」、「刪除『鎖定計算機』」、「刪除改變密碼」、「刪除注銷」項便能屏蔽掉「Windows安全」對話框的「任務管理器」、「鎖定計算機」、「更改密碼」、「取消」4個功能按鈕。

注意：「注銷」、「關機」兩個菜單項的屏蔽，在「用戶配置」→「管理模板」→「任務欄和『開始』菜單」節點下。

六、隱藏或刪除Windows XP資源管理器中的項目

一直以來，資源管理器就是Windows系統中最重要的工具，如何高效、安全地管理資源也一直是電腦用戶的不懈追求。依次展開「用戶配置」→「管理模板」→「Windows組件」→「Windows資源管理器」項，可以看到「Windows資源管理器」節點下的所有設置（圖19）。下面就來看看怎樣通過組策略實現資源管理器個性化。

1. 刪除「文件夾選項」

「文件夾選項」是資源管理器中一個重要的菜單項，通過它可修改文件的查看方式，編輯文件類型的打開方式（圖20）。我們自己對其設定好後，為了防止他人隨意更改，可將此菜單項刪除，你只須雙擊啟用「從『工具』菜單刪除『文件夾選項』菜單」便能完成這一設置。

2. 隱藏「管理」菜單項

在資源管理器中右鍵單擊「我的電腦」出現的快捷菜單中有一個「管理」菜單項，通過此菜單項，可以打開一個包含「事件查看器」、「本地用戶和組」、「設備管理器」、「磁碟管理」等眾多工具的「計算機管理」窗口（圖21）。為了保障你的計算機免受他人無意破壞，可通過雙擊啟用「隱藏Windows資源管理器上下文菜單上的『管理』項目」項來屏蔽此菜單項。

3. 其他項目的隱藏

此外通過啟用「隱藏『我的電腦』中的這些指定的驅動器」可隱藏你指定的驅動器（圖22）。還可通過啟用「『網上鄰居』中不含『整個網路』」屏蔽掉「整個網路」項。雙擊啟用「刪除CD燒錄功能」刪除Windows XP自帶的光碟刻錄功能。雙擊啟用「不要將已刪除的文件移到『回收站』」則以後刪除文件時將不進入回收站直接刪除掉。當然還有不少項目這里沒有講到，大家可根據需要自行探討，進行適當的配置。

七、IE瀏覽器項目設置

在組策略左邊窗口中依次展開「用戶配置」→「管理模板」→「Windows組件」→「Internet Explorer」項，在右邊窗口中便能看到「Internet Explorer」節點下的所有設置和子節點（圖23）。IE是Windows XP自帶的網頁瀏覽器，也是大多數用戶採用的瀏覽器，但其安全性也為人所詬病，下面就通過組策略來對其進行「改造」。

1. 在IE工具欄添加快捷方式

不知道大家注意到了沒有，不少軟體在安裝完之後都會在IE工具欄上添加圖標，單擊其便能啟用相應程序。其實用組策略可以在IE工具欄上為任何程序添加快捷方式，這里舉例說明如何添加一個ICQ的啟動圖標。展開「Internet Explorer維護」下的「瀏覽器用戶界面」，雙擊「瀏覽器工具欄自定義」設置項，在彈出來的對話框中單擊「添加」按鈕，在「瀏覽器工具欄按鈕信息」對話框的「工具欄標題」中輸入：ICQ，在「工具欄操作」中輸入D:\Fun\ICQLite\ICQLite.exe，然後再隨便選擇一個「顏色圖標」和「灰度圖標」（圖24，當然你也可以用ExeScope等來提取ICQ的圖標）。單擊「確定」後IE工具欄中便多了一個ICQ圖標！

2. 讓IE插件不再騷擾你

我們平常上網瀏覽網頁時，總會彈出一些諸如「是否安裝Flash插件」、「是否安裝3721網路實名」的提示，就像廣告窗口一樣煩人。實際上我們可在組策略中通過啟用「Internet Explorer」節點下的「禁用Internet Explorer組件的自動安裝」來禁止這種提示的出現。不過有時這一功能也是很用的，所以在禁止此功能之前請稍加考慮。

3. 保護好你的個人隱私

一般通過單擊IE工具欄上的「歷史」按鈕，便可了解以前瀏覽過的網頁和文件。為保密起見，你可以通過雙擊啟用「Internet Explorer」節點下的「不要保留最近打開文檔的記錄」和「退出時清除最近打開的文檔記錄」兩個設置項，這樣再單擊IE工具欄上的「歷史」按鈕，你訪問過的歷史網頁記錄將全部消失。

4. 禁止項

如果不希望他人對你的主頁進行修改，可啟用「Internet Explorer」節點下的「禁用更改主頁設置」設置項禁止別人更改你的主頁（圖25）。你也可通過訪問「瀏覽器菜單」，啟用其中的設置項對IE瀏覽器的若乾菜單項進行屏蔽。最後，在「Internet控制面板」節點下，你還可對「Internet選項」對話框中的部分選項卡進行隱藏（圖26）。

八、系統安全設置

自有計算機以來，安全一直就是人們關注的焦點問題，Windows XP也不例外。在組策略中，系統安全配置一般在「計算機配置」→「Windows設置」→「安全設置」中進行。

1. 密碼策略

這一策略在「賬戶策略」→「密碼策略」節點中配置（圖27）。口令是系統安全的一大隱患，可通過組策略設置密碼（口令）的最小長度：雙擊啟用「密碼必須符合復雜性要求」設置項，確定後雙擊「密碼長度最小值」設置項，在彈出來的對話框中將密碼長度最小值設為8或更大，這樣以後設置賬戶密碼時就必須輸入8位以上，安全性就高多了。

2. 用戶權利指派

展開「本地策略」→「用戶權利指派」節點，在右邊窗口中便能看到「用戶權利指派」節點下的所有設置（圖28）。合適地指派用戶權利可以解決一些奇怪的問題，例如在區域網中使用Windows XP系統的朋友一般會發現一個奇怪的現象，那就是即使你啟用guest用戶並給予許可權，區域網中的其他Win9X操作系統的用戶還是無法訪問Windows XP系統中的共享資源。這個問題可在組策略中通過修改有關設置解決：雙擊「用戶權利指派」節點下的「拒絕從網路訪問這台計算機」設置項，在彈出對話框中點選「guest」，然後單擊「刪除」，最後確定即可（圖29）。在「用戶權利指派」節點下還可給用戶添加許多許可權，例如給guest添加遠程關機許可權、給一般用戶添加更改系統時間的許可權，限於篇幅，在此不再贅述