组策略应用大全.docx

《组策略应用大全.docx》由会员分享，可在线阅读，更多相关《组策略应用大全.docx（27页珍藏版）》请在三一办公上搜索。

1、组策略应用大全 专题先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。运行组策略的方法：在“开始”菜单中

2、，单击“运行”命令项，输入gpedit.msc并确定，即可运行组策略。先看看组策略的全貌，如图。安全设置包括：帐户策略，本地策略，公钥策略，软件限制策略，IP安全策略。账户策略：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。本地策略：倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢？原来WinXP系统在默

3、认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢？其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访问WinXP工作站的共享资源；下面就是让 WinXP被随意共享的具体实现步骤： 首先在WinXP工作站中，依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令，在弹出的计算机管理界面中，再逐步展开“系统工具”、“本地用户和组”、“用户”分支，在对应“用户”分支的右边子窗口中，再双击“guest”选项，在弹出的帐号属性设置界面中，取消“帐号已停用”选项，再单击“确定”按钮，“

4、guest”帐号就能被重新启用了； 接着打开系统的组策略编辑窗口，再用鼠标逐步展开其中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”分支，在弹出的图2界面中，双击右侧子窗口中的“拒绝从网络访问这台计算机”项目，在接着出现的界面中，将guest帐号选中并删除掉，然后再单击一下“确定”按钮，那么WinXP工作站中的共享资源就能被随意访问了。 在Windows XP/2003中实现远程关机（Windows XP/2003） 在Windows XP/2003中，新增了一条命令行工具“shutdown”，它可以关闭或重新启动本地或远程计算机。利

5、用它，我们不但可以注销用户、关闭或重新启动计算机，还可以实现定时关机、远程关机。该命令的语法格式如下： shutdown -i |-l|-s |-r |-a-f-mComputerName-t xx-c message-dup:xx:yy 该命令具体的使用参数和技巧请参考Windows的帮助系统，帮助系统里面有全面的资料。我们现在简单地看一下该命令的一些基本用法： 1）注销当前用户 shutdown - l 该命令只能注销本机用户，对远程计算机不适用。 2）关闭本地计算机 shutdown - s 3）重启本地计算机 shutdown - r 4）定时关机 shutdown - s -t 30

6、 指定在30秒之后自动关闭计算机。 5）中止计算机的关闭。有时我们设定了计算机定时关机后，如果出于某种原因又想取消这次关机操作，就可以用shutdown - a来中止。 在该命令的格式中，有一个参数-m ComputerName，用它可以指定将要关闭或重启的计算机名称，若省略的话则默认为对本机操作。你可以用以下命令来试一下： shutdown -s -m Anyes-solon -t 30 在30秒内关闭计算机名为Anyes-solon（Anyes-solon为局域网内一台同样装有Windows XP/2003）的电脑。 该命令执行后，计算机Anyes-solon一点反应都没有，屏幕上却提示“

7、Access is denied （拒绝访问）”。 出现这种情况是因为Windows XP默认的安全策略中，只有管理员组的用户才有权从远端关闭计算机，而一般情况下我们从局域网内的其他电脑访问该计算机时，则只有guest用户权限，所以当我们执行上述命令时，便会出现“拒绝访问”的情况。 而我们利用组策略即可赋予guest用户远程关机的权限。打开“组策略控制台计算机配置Windows 设置安全设置本地策略用户权利指派中的从远端系统强制关机”，在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机；单击对话框下方的“添加用户或组”按钮，然后在新弹出的对话框中输入“gues

8、t”，再单击“确定”按钮。 通过上述操作后，我们便给计算机Anyes-solon的guest用户授予了远程关机的权限。以后，倘若你要远程关闭计算机Anyes-solon，只要在网络中其他装有Windows XP/2003的计算机中输入以下命令shutdown -s -m Anyes-solon -t 60即可。 这时，在Anyes-solon计算机的屏幕上将显示一个“系统关机”的对话框，在对话框下方还有一个计时器，显示离关机还有多少时间。在等待关机的时间里，用户还可以执行其他的任务，如关闭程序、打开文件等，但无法关闭该对话框，除非你用shutdown -a命令来中止关机任务. 公钥策略：加密文

9、件系统 (EFS) 是 Windows 2000、Windows XP Professional 和 Windows Server 2003 的 NTFS 文件系统的一个组件。（Windows XP Home 不包含 EFS。）EFS 采用高级的标准加密算法实现透明的文件加密和解密。任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理拥有驻留加密文件的计算机，加密文件仍然受到保护。甚至是有权访问计算机及其文件系统的用户，也无法读取这些数据。还应该采取其他防御策略，加密这种解决方法不是解决每种威胁的恰当对策，加密只是其他防御策略之外的又一种有力措施。EFS 是 Windows 文件系统

10、的内置文件加密工具。EFS加密文件夹无法打开怎么办Windows 系统EFS加密出了问题怎么办？重要文件的铠甲:EFS加密|_软件限制策略：在Windows XP里的软件限制策略提供了一种透明的方式来隔离和使用不可靠的，有潜在危险的代码，这在某种程度上保护你的计算机免受各种通过电子邮件或网页传播的病毒、木马程序和蠕虫等。这些策略荣允许你选择如何管理你系统里的软件。软件可以被严格管理，你可以决定：如何、什么时间、什么地点执行；或者软件可以被设置为不予管理、禁止指定代码运行等。通过在一个隔离区执行不可靠的代码和脚本，你可以获得那些被证明是良性的不可靠代码和脚本的功能，而那些受感染的代码是不能对你的

11、系统造成任何危害的。例如，不可靠的代码在未被证明是安全代码之前，是被阻止发送电子邮件，访问文件，或是做其它的正常计算功能的。 软件限制策略保护你免受感染的电子邮件附件的攻击，包括存储在临时文件夹的文件，对象，和脚本。同时，也可以保护你的系统免受嵌入式不可靠脚本的URL/UNC连接、网上下载的ActiveX的危害。IP安全策略,在本地计算机：IP安全性(Internet Protocol Security)是Windows 2000/2003中提供的一种安全技术，它是一种基于点到点的安全模型，可以实现更高层次局域网数据的安全性。|_用户配置|_Windows设置自定义IE工具栏（Windows

12、2000/XP/2003） 通过组策略我们还可以自定义IE工具栏，打造属于我们自己的IE。 方法如下：打开“组策略控制台用户配置Windows设置Internet Explorer维护浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目，在这里，我们可以自定义浏览器工具栏的背景图片，点击“浏览”选择一个BMP的位图文件即可。另外我们还可以在IE的工具栏上添加自己的快捷方式，比如添加“我的QQ”，在这里也可以很轻松地完成。，打开组策略的“用户配置Windows设置Internet Explorer维护浏览器工具栏自定义”对话框，点击“添加”按钮，弹出“浏览器工具栏按钮信息”对话框，在这里就

13、可对QQ按钮进行详细设置了，输入按钮的标题，找到QQ安装执行程序路径，并将制作好的QQ两个明暗头像，分别输入到颜色图标栏和灰色图标栏中，点击“确定”，再次打开IE后就可以看到修改的效果了。清除上网的痕迹 每次冲浪过后，系统都会“自做主张”地记录下上网的痕迹，其他人很容易通过这些痕迹，偷窥到自己的上网隐私。为了避免自己的隐私不被外人非法偷窥到，你或许会在每次冲浪结束后，用手工清除的方法将各种上网痕迹逐一抹除掉，很显然这种方法不但烦琐，而且也不大容易记住。其实，你可以通过下面的方法，让系统在注销的那一刻自动抹除所有的上网痕迹： 首先创建一个批处理文件，确保在执行完该文件后，能自动将所有的上网痕迹全

14、部清除掉。在创建这样的批处理文件时，可以先打开记事本之类的文本编辑工具，然后在编辑界面中输入下面的命令代码： echo off cd c:windowslocal settingstemporary internet files c:windowscommanddeltree .*.* /y 之后，依次执行文本编辑界面中的“文件”/“保存”命令，将前面的命令代码保存成扩展名为“bat”的批处理文件，例如这里笔者将它保存为 “autodel.bat”文件，当然该文件只对Win98或WinMe系统有效，如果要想自动清除Win2000以上版本系统中的上网痕迹时，就必须在文本编辑界面中输入下面的命令代

15、码： echo off cd c: documents ad settingsadministratorlocal settingstemporary internet files c:winntsystem32deltree .*.* /y 而且要想让上面的批处理文件执行成功的话，还需要事先将Win98系统下的“Deltree.exe”命令，直接复制到Win2000以上版本系统的“c:winntsystem32”目录下；当然如果Windows系统并没有按照默认设置来安装时，还需要将批处理文件中的系统安装路径，设置成实际的安装路径。 其次，依次单击“开始”/“运行”命令，在弹出的系统运行对话框

16、中，输入组策略编辑命令“Gpedit.msc”，单击“确定”按钮后，再依次展开组策略编辑窗口中的“用户配置”、“Windows设置”、“脚本(登录/注销)”分支； 然后在弹出的图1界面中，双击“注销”选项，在接着打开的注销属性设置窗口中，单击一下“添加”按钮，在弹出的文件选择对话框中导入 “autodel.bat”文件，最后单击“确定”按钮，这样的话你以后每次在退出计算机系统时，“autodel.bat”文件就会被自动执行，以便让冲浪痕迹自动抹除。 |_管理模板|_任务栏和开始菜单1、给“开始”菜单减肥（Windows 2000/XP/2003） 如果觉得Windows的“开始”菜单项太多，可

17、以通过组策略将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“删除到Windows Update的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除我的文档图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。 2、禁止随意修改任务栏和“开始”菜单 （Windows 2000/XP/2003） 为保护自己好不容易设置好的任务栏和“开始”菜单，你只要将组策略控制台右侧窗格中的“阻止更改任务栏和开始菜单设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样，当你用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错

18、误消息，且当鼠标右键单击任务栏及任务栏上的项目时，例如“开始”按钮、时钟和“任务栏”按钮，弹出菜单会隐藏。 3禁止“注销”和“关机”（Windows 2000/XP/2003） 如果你不想让他人再进行“关机”和“注销”操作的话，可将组策略控制台右侧窗格中的“删除开始菜单上的注销”和“删除和阻止访问关机命令”两个策略启用。 这个设置会从开始菜单删除“关机”选项，并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项 。应注意的是，该设置虽然可防止用户用 Windows界面来关机，但无法防止用户用其他第三方工具程序来将 Windows 关闭。 4、

19、防止隐私泄漏 （Windows 2000/XP/2003） 在开始菜单中有一个“我最近的文档”菜单项，可以记录你曾经访问过的文件。这个功能可以方便用户再次打开该文件，但别人也可通过此菜单访问你最近打开的文档，为安全起见，有时需要屏蔽此功能。利用组策略，只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。同时要注意如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。如果启用此策略设置，后来又禁用它并将它设置为“未配置”，则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜

20、单和应用程序的“文件”菜单中。 5、去掉Windows XP“开始”菜单中的图形化设置 Windows XP的“开始”菜单增添了许多图形化设置，其实可在组策略中将这些功能关闭。“关闭个性化菜单”：Windows XP会自动将最近使用的菜单项移动到开始菜单顶部，并且隐藏最近没有使用的菜单项，以此实现个性化菜单，启用此设置将关闭个性化菜单。“强制典型菜单”：启用此设置，开始菜单就以Windows 2000样式显示典型的开始菜单，并且显示标准桌面图标。桌面：Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。下面就让我们来看看几

21、个实用的配置实例： 位置：“组策略控制台用户配置管理模板桌面” 1隐藏桌面的系统图标（Windows 2000/XP/2003） 虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。而采用组策略配置的方法，可以方便快捷地达到此目的。 比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的

22、电脑图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；同样如果要让“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。2退出时不保存桌面设置（Windows 2000/XP/2003） 此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，不过任务栏上的快捷方式总可以被保存。 在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。 3屏蔽“清理桌面向导”功能（Windows XP/2003） “清理桌面向导”会每隔 60 天自动在用户的电脑上运行，以清除那些

23、用户不经常使用或者从不使用的桌面图标。如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁用或不配置此设置，“清理桌面向导”会按照默认设置每隔60天运行一次。 打开右侧窗格中的“删除清理桌面向导”，根据需要设置策略选项即可。 4启用/禁用“活动桌面”（Windows 2000/XP/2003） “活动桌面”是Windows 98（及以后版本）或安装了IE 4.0的系统中自带的高级功能，最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能（并且禁止用户启用它），通过策略设置可以轻松达到这一要求。具体操作方法：打开右侧窗格中的

24、“禁用活动桌面”并启用此策略。 提示：如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置，则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置（在“用户配置管理模板Windows组件Windows资源管理器”中）被启用，Active Desktop 就会被禁用，并且这两个策略都会被忽略。 以上介绍了几个关于桌面的组策略配置项目，在“组策略控制台用户配置管理模板桌面”下还有其他若干组策略配置项目，读者可根据需要进行配置，这里不再赘述。控制面板：禁止更改显示属性（Windows 20

25、00/XP/2003） 选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”，可进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置，如果你不想让别人随意更改各项设置，可以通过组策略将它隐藏起来。 打开“组策略控制台用户配置管理模板控制面板显示”，然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置，可根据需要对这些项目进行配置。比如启用了“隐藏桌面选项卡”策略后，再打开“显示属性”对话框，就看不到“桌面”标签了，这样自然就无法再对桌面属性进行更改了。彻底禁止访问“控制面板”（Windows 2000/

26、XP/2003） 如果不希望其他用户访问计算机的“控制面板”，同样可以使用组策略来实现。打开“组策略控制台用户配置管理模板控制面板”中的“禁止访问控制面板”并启用此策略。 此策略启用后可以防止“控制面板”程序文件（Control.exe）的启动。他人将无法启动“控制面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。禁用“添加/删除程序”（Windows 2000/XP/2003） “控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类

27、很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序，可利用组策略来实现。 打开“组策略控制台用户配置管理模板控制面板添加删除程序”中的“删除添加/删除程序程序”并启用此策略，当我们再打开“控制面板”中“添加/删除程序”模块的时候，会自动弹出警告窗口，而“添加/删除程序”则无法运行。 此外，在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏，通过这些策略项目的设置，起到了保护计算机中系统文件及应用程序的作用。网络：禁止建立新的拨号连接（Window

28、s 2000/XP/2003） 如果不想让别人在计算机中建立新连接来拨号上网的话，组策略也可以做到。打开“组策略控制台用户配置管理模板网络网络连接”中的“禁止访问新建连接向导”并启用此策略。 启用此策略后，在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。 提示：此设置无法阻止用户使用诸如 Internet Explorer 这样的其它程序来绕过此设置。另外此设置必须重新启动计算机后才能生效。系统：禁止使用命令提示符（Windows 2000/XP/2003） 在Windows 2000/XP/2003下，我们可以运行cmd.exe进入命令提示符状态，并可以继续运行一些DOS命令和

29、其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。 打开“组策略控制台用户配置管理模板系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件 .cmd和.bat是否可以在计算机上运行。 如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止这一操作。禁用注册表编辑器（Windows 2000/XP/2003） 为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法：打开“组策略控制台用户配置系统”中的“阻止访问注册表编辑工具”并启用此策略。 此策略被

30、启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe）的时候，系统会禁止这类操作并弹出警告消息。限制使用应用程序（Windows 2000/XP/2003） 如果你的电脑设置了多个用户，有些程序我们可能不希望其他用户随意运行，也能在组策略中设置。 打开“组策略控制台用户配置管理模板系统”中的“只运行许可的Windows应用程序”并启用此策略，然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。Windows组件：关闭缩略图的缓存屏

31、蔽系统自带的CD刻录功能限制IE浏览器的保存功能禁止修改IE浏览器的主页禁用“Internet 选项”控制面板禁用“在新窗口中打开”菜单项限制IE浏览器的保存功能自定义IE工具栏设置并锁定Windows Media Player外观禁止Windows Media Player播放时运行屏保优化配置Windows Media Player网络缓冲屏蔽使用所有 Windows Update 功能的访问隐藏“我的电脑”中指定的驱动器防止从“我的电脑”访问驱动器关闭缩略图的缓存（Windows XP/2003） Windows XP/20003系统系统具有缩略图的功能，为加快那些被频繁浏览的缩略图显示

32、速度，系统还会将这些显示过的图片置于缓存中，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。若你不希望系统进行缓存的话，则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理，反而会大大加快第一次浏览的速度。方法如下：打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。 提示：若你的电脑是一个网络中的共享工作站，为了数据安全，建议你启用该设置以关闭缩略图视图缓存，因为缩略图视图缓存可以被任何人读取。屏蔽系统自带的CD刻录功能（Windows XP/2003） Windows XP/2003系统自带CD刻录功能，若你有刻录

33、机连接在电脑上，在Windows 资源管理器中可以直接将数据犹如复制一样写到CDR上。这样虽然方便，但是会影响系统性能和资源管理器的执行速度，再加之大部分用户都习惯了运用专用刻录软件进行刻录，所以我们建议无论电脑上有无刻录机，都可以利用组策略来屏蔽此功。方法如下：打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“删除CD刻录功能”并启用此策略。 提示：该设置不会阻止用户使用第三方应用程序来刻录或修改CDR。 限制IE浏览器的保存功能（Windows 2000/XP/2003） 当多人共用一台计算机时，为了保持硬盘的整洁，对浏览器的保存功能进行限制使用是很有必要

34、。那么怎样才能实现呢？具体步骤如下：打开“组策略控制台用户配置管理模板Windows组件Internet Explorer浏览器菜单”，然后将右侧窗格中的“文件菜单：禁用另存为.菜单项”、“文件菜单：禁用另存为网页菜单项”、“查看菜单：禁用源文件菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE浏览器的设置随意更改，可以将“工具菜单：禁用Internet选项.”策略启用。此外，如果个人需要的话，还可以在该窗格中禁用其他项目。禁止修改IE浏览器的主页（Windows 2000/XP/2003） 在IE浏览器中可以设置默认主页，如果不希望他人对自己设定的IE浏览器主页进行随意

35、更改的话，可以打开“组策略控制台用户配置管理模板Windows组件Internet Explorer工具栏”，然后选择“禁用更改主页设置”组策略并启用即可。另外在这个窗格中，还提供了“更改历史记录设置”、“更改颜色设置”和“更改Internet临时文件设置”等项目的禁用功能。 启用此策略后，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰，即不可修改。 提示：如果您已经设置了位于“组策略控制台用户配置管理模板Windows组件Internet ExplorerInternet Explorer控制面板”中的“禁用常规页”策略，则无须再设置该策略。禁用

36、“Internet 选项”控制面板（Windows 2000/XP/2003） 如果你对“控制面板”中的选项禁用得较多，不如一步到位干脆禁止访问“控制面板”，通过下面的组策略设置方法即可实现这一要求：打开“组策略控制台用户配置管理模板Windows组件Internet ExplorerInternet 控制面板”，在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明：打开右边窗格中的“禁用常规页”并设置为“启用”。然后我们再打开Internet选项控制面板，会发现“常规”项目已经没有了，这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以

37、及辅助功能的设置，因为该策略将删除界面上的“常规”选项卡，所以如果设置了该策略，则无须设置位于 “用户配置管理模板Windows 组件Internet Explorer”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。IE设置手到擒来 微软的Internet Explorer让我们可以轻松地在互联网上遨游，但要想用好Internet Explorer，则必须将它配置好。在IE浏览器的“Internet选项”窗口中，提供了比较全面的设置选项（例如：“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目），但部分高级功能没有提供，而通过组策略即可轻松实现这些功能。下面来看具体实例：

38、位置：“组策略控制台用户配置管理模板Windows 组件Internet Explorer（需添加inetres.adm模板文件）” 禁用“在新窗口中打开”菜单项（Windows 2000/XP/2003） 出于对安全的考虑，有时候我们有必要屏蔽IE的一些功能菜单，组策略提供了丰富的设置项目，比如禁用“另存为.”、“文件”、“新建”等。下面以“禁用在新窗口中打开菜单项”为例介绍具体的设置方法。 打开“组策略控制台用户配置管理模板Windows 组件Internet Explorer浏览器菜单”，然后打开“禁用在新窗口中打开菜单项”并设置为“启用”。启用该策略后，用户在某个链接上单击鼠标右键，然

39、后单击“在新窗口中打开”时，该命令将不起作用。该策略可与“文件菜单禁用新建菜单项”一起使用，后者禁止用户通过单击“文件”菜单，指向“新建”，然后单击“窗口”在新窗口中打开浏览器（“新建窗口”项目已经无法使用）。 提示：启用该策略后，单击“在新窗口中打开”命令，将无法在新窗口中打开链接，系统会提示用户该命令无效，网页自动打开的窗口也全部被禁止，其实这样也可达到屏蔽弹出广告窗口的效果。 限制IE浏览器的保存功能（Windows 2000/XP/2003） 在使用IE浏览网页过程中，当遇到好的图片、文章等资源时可以使用“另存为”功能将它保存到本地硬盘中，当多人共用一台计算机时，为了保持硬盘的整洁，需

40、要对浏览器的保存功能进行限制。那么如何才能实现呢?可以这样操作：打开“组策略控制台用户配置管理模板Windows组件Internet Explorer浏览器菜单”，然后将右侧窗格中的“文件菜单：禁用另存为.菜单项”、“文件菜单：禁用另存为网页菜单项”、“查看菜单：禁用源文件菜单项”和“禁用上下文菜单”等策略项目全部启用即可。 如果不希望别人对IE浏览器的设置随意更改，可以将“工具菜单：禁用Internet选项.”策略启用。另外，根据个人的需要，在该窗格中还可以禁用其他项目。 自定义IE工具栏（Windows 2000/XP/2003） IE工具栏的背景和上面的按钮都是可以自定义的，以前我们大多

41、使用手动修改注册表的方法，不过并不直观，现在我们用“组策略”可以更方便地达到效果，打造属于我们自己的IE。 打开“组策略控制台用户配置Windows设置Internet Explorer维护浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目，在这里，可以自定义浏览器工具栏的背景图片，点击“浏览”选择一个BMP的位图文件即可（注意：工具栏背景应该与工具栏大小相同，而亮度应该足以显示黑色文字，否则实际效果并不理想）。 接下来，我们要在IE的工具栏上添加自己的快捷方式，比如添加“我的QQ”，在这里也可以很轻松地完成。 点击“添加”，在“工具栏标题”中输人“我的QQ”，在“工具栏操作”中选择Q

42、Q程序的路径，最后再选择好“颜色图标”和“灰度图标”的路径（如果你不知道怎么提取这两个图标，可以请EXeScope这个软件来帮忙，在各大站点都可以下载）。设置完成后点“确定”，再次打开IE后就可以看到修改的效果了。 设置并锁定Windows Media Player外观（Windows 2000/XP/2003） Windows Media Player是目前最流行的多媒体播放器之一，如果不希望其他用户随意更改其界面外观的话，利用组策略可以轻松实现。打开“组策略控制台用户配置管理模板Windows 组件Windows Media Player用户界面中的设置并锁定外观”启用此策略。 启用此策略

43、后，将使 Windows Media Player 只以指定的外观模式显示，具体可以使用在“策略”选项卡上的“外观”框中指定的外观。你必须为外观使用完整的文件名例如miniplayer.wmz。如果外观文件在用户的计算机上没有安装，播放器将以Windows Media Player外观打开。 提示：本策略设置软件版本至少为Windows Media Player v8.00，ADM文件为wmplayer.adm。 禁止Windows Media Player播放时运行屏保（Windows 2000/XP/2003） 屏幕保护程序可以有效地保护我们的显示器，但是当我们使用播放器观看精彩影片时，经

44、常会出现屏幕保护程序突然运行而中断观看的尴尬局面。现在我们可以通过组策略来解决屏幕保护程序使Windows Media Player播放中断的麻烦问题了。打开“组策略控制台用户配置管理模板Windows组件Windows Media Player播放中的允许运行屏幕保护程序”并将它设置为“已禁用”状态。 优化配置Windows Media Player网络缓冲（Windows 2000/XP/2003） 当我们使用Windows Media Player播放流式媒体时，播放器会在播放前对流式媒体进行缓冲处理，以便可以流畅地进行播放。在实际应用中，根据网络带宽和服务器的连接速度，缓存的时间长短并

45、不一样，但Windows Media Player却是在使用同一设置，这无疑与实际网络情况不匹配，因此我们可以根据具体的网络带宽情况自己优化配置网络缓冲。打开“组策略控制台用户配置管理模板Windows组件Windows Media Player网络中的配置网络缓冲”并设置为启用状态，在出现的缓冲时间（秒数）配置选项中，根据网络的带宽情况进行自定义（最多 60 秒）。 提示：如果此策略已启用，那么Windows Media Player“性能”选项卡上的缓存选项将不能再配置。 屏蔽使用所有 Windows Update 功能的访问（Windows 2000/XP/2003） Windows Update可以自动连接Microsoft网站并下载更新内容，这对大部分用户来说是比较实用的，但对于不需要更新或者带宽紧张的电脑用户来说，此功能就显得多余了，而且经常传闻Windo