Windows 2000 XP 2003組策略應(yīng)用全攻略.docx

Windows 2000/ XP/ 2003組策略應(yīng)用全攻略一、什么是組策略 （一）組策略有什么用?說到組策略，就不得不提注冊表。注冊表是Windows系統(tǒng)中保存系統(tǒng)、應(yīng)用軟件配置的數(shù)據(jù)庫，隨著Windows功能的越來越豐富，注冊表里的配置項目也越來越多。很多配置都是 可以自定義設(shè)置的，但這些配置發(fā)布在注冊表的各個角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達(dá)到方便管理計算機的目的。簡單點說，組策略就是修改注冊表中的配置。當(dāng)然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊表方便、靈活，功能也更加強大。（二）組策略的版本大部分Windows 9X/NT用戶可能聽過“系統(tǒng)策略”的概念，而我們現(xiàn)在大部分聽到的則是“組策略”這個名字。其實組策略是系統(tǒng)策略的更高級擴展，它是由Windows 9X/NT的“系統(tǒng)策略”發(fā)展而來的，具有更多的管理模板和更靈活的設(shè)置對象及更多的功能，目前主要應(yīng)用于Windows 2000/XP/2003系統(tǒng)。早期系統(tǒng)策略的運行機制是通過策略管理模板，定義特定的.POL（通常是Config.pol）文件。當(dāng)用戶登錄的時候，它會重寫注冊表中的設(shè)置值。當(dāng)然，系統(tǒng)策略編輯器也支持對當(dāng)前注冊表的修改，另外也支持連接網(wǎng)絡(luò)計算機并對其注冊表進(jìn)行設(shè)置。而組策略及其工具，則是對當(dāng)前注冊表進(jìn)行直接修改。顯然，Windows 2000/XP/2003系統(tǒng)的網(wǎng)絡(luò)功能是其最大的特色之處，其網(wǎng)絡(luò)功能自然是不可少的，因此組策略工具還可以打開網(wǎng)絡(luò)上的計算機進(jìn)行配置，甚至可以打開某個Active Directory 對象（即站點、域或組織單位）并對它進(jìn)行設(shè)置。這是以前“系統(tǒng)策略編輯器”工具無法做到的。無論是系統(tǒng)策略還是組策略，它們的基本原理都是修改注冊表中相應(yīng)的配置項目，從而達(dá)到配置計算機的目的，只是它們的一些運行機制發(fā)生了變化和擴展而已。二、組策略中的管理模板在Windows 2000/XP/2003目錄中包含了幾個 .adm 文件。這些文件是文本文件，稱為“管理模板”，它們?yōu)榻M策略管理模板項目提供策略信息。在Windows 9X系統(tǒng)中，默認(rèn)的admin.adm管理模板即保存在策略編輯器同一個文件夾中。而在Windows 2000/XP/2003的系統(tǒng)文件夾的inf文件夾中，包含了默認(rèn)安裝下的4個模板文件，分別為：1）System.adm：默認(rèn)情況下安裝在“組策略”中，用于系統(tǒng)設(shè)置。 2）Inetres.adm：默認(rèn)情況下安裝在“組策略”中；用于Internet Explorer策略設(shè)置。 3）Wmplayer.adm：用于Windows Media Player 設(shè)置。 4）Conf.adm：用于NetMeeting 設(shè)置。在Windows 2000/XP/2003的組策略控制臺中，可以多次添加“策略模板”，而在Windows 9X下，則只允許當(dāng)前打開一個策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制臺中使用如下： 首先運行“組策略”程序，然后選擇“計算機配置”或者“用戶配置”下的“管理模板”，按下鼠標(biāo)右鍵，在彈出的菜單中選擇“添加/刪除模板”.然后單擊“添加”按鈕，在彈出的對話框中選擇相應(yīng)的.adm文件。單擊“打開”按鈕，則在系統(tǒng)策略編輯器中打開選定的腳本文件，并等待用戶執(zhí)行。返回到“組策略”編輯器主界面后，依次打開目錄“本地計算機策略用戶配置管理模板”，再點擊相應(yīng)的目錄樹，就會看到我們新添加的管理模板所產(chǎn)生的配置項目了（為了便于本文后面的實例大家能一起動手操作，建議添加除默認(rèn)模板文件的其它模板文件）。再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的“文件”菜單中選擇“關(guān)閉”，以便將當(dāng)前腳本關(guān)閉，然后再在“選項”菜單中選擇“模板”然后單擊“打開模板”按鈕，在彈出的對話框中選擇相應(yīng)的.adm文件并單擊“打開”按鈕，則在編輯器中打開選定的腳本文件并等待用戶執(zhí)行。三、運行組策略（一）Windows 9X策略編輯器按操作系統(tǒng)的不同，策略編輯工具分為兩種，一種為Windows 2000/XP/2003組策略管理控制臺，它在系統(tǒng)安裝時已經(jīng)默認(rèn)安裝上了；另外一種就是Windows 9X的系統(tǒng)策略編輯器，它在系統(tǒng)安裝時并不被安裝，程序文件在Windows安裝盤上的toolsreskitnetadminpoledit目錄下，它包括Poledit.exe、Poledit.inf、Windows.adm等文件。如果是Windows 9X系統(tǒng)通過下面的方法，則可以進(jìn)行正規(guī)的安裝過程。1在控制面板中，雙擊“添加/刪除程序”圖標(biāo)，單擊“安裝Windows”標(biāo)簽，然后單擊“從磁盤安裝”選項。 2在從磁盤安裝對話框中，單擊“瀏覽”按鈕并指定Windows 9X安裝光盤的toolsreskitnetadminpoledit目錄。 3單擊“確認(rèn)”按鈕，然后再次單擊對話框中的“確認(rèn)”按鈕。 4在從磁盤安裝對話框中，選擇“系統(tǒng)策略編輯器”和“組策略”復(fù)選框，然后單擊“安裝”按鈕。安裝完成后，單擊“運行”命令項，輸入poledit，然后單擊“確認(rèn)”按鈕,管理員可以以兩種不同的方式使用系統(tǒng)策略編輯器：注冊表方式和策略文件方式。1以注冊表方式使用系統(tǒng)策略編輯器。在系統(tǒng)策略編輯器中的文件菜單中，單擊打開注冊表編輯器，然后雙擊相應(yīng)的本地用戶或本地計算機圖標(biāo)。這取決于要編輯注冊表中的哪個部分。在使用注冊表方式時，可以直接編輯本地或遠(yuǎn)程計算機的注冊表。這樣，所做的改變將立即反映出來。在做出修改之后，必須關(guān)機并重新啟動計算機以使所做修改生效。2以策略文件方式使用系統(tǒng)策略編輯器。在系統(tǒng)策略編輯器中的文件菜單中，單擊新建或打開來打開一個策略文件。在使用策略文件方式時，可以創(chuàng)建和修改用于其它計算機的系統(tǒng)策略文件（POL），在這種方式下，注冊表被間接地修改。這項改變將在用戶登錄時策略文件被下載后反映出來。當(dāng)以策略文件方式編輯設(shè)置值時，單擊一個注冊表選項，可以看到三種可能狀態(tài)之一：選中、清除、變灰。每當(dāng)選擇一個選項時，將會循環(huán)顯示下一個可能的狀態(tài)，這與選擇一個標(biāo)準(zhǔn)的復(fù)選框不同。標(biāo)準(zhǔn)的復(fù)選框只有選中或清除兩個選項。如果一個設(shè)置值需要附加信息，那么缺省用戶屬性對話框的底部將出現(xiàn)一個編輯控制。通常，如果選中了一個策略，而又不想強制使用它，應(yīng)當(dāng)清除該復(fù)選框來取消該策略。（二）Windows 2000/XP/2003組策略控制臺如果是Windows 2000/XP/2003系統(tǒng)，那么系統(tǒng)默認(rèn)已經(jīng)安裝了組策略程序，在“開始”菜單中，單擊“運行”命令項，輸入gpedit.msc并確定，即可運行程序使用上面的方法，打開的組策略對象就是當(dāng)前的計算機，而如果需要配置其他的計算機組策略對象的話，則需要將組策略作為獨立的控制臺管理程序來打開，具體步驟如下：1）打開 Microsoft 管理控制臺（可在“開始”菜單的“運行”對話框中直接輸入MMC并回車，運行控制臺程序）。 2）在“文件”菜單上，單擊“添加/刪除管理單元”。 3）在“獨立”選項卡上，單擊“添加”。 4）在“可用的獨立管理單元”對話框中，單擊“組策略”，然后單擊“添加”。 5）在“選擇組策略對象”對話框中，單擊“本地計算機”編輯本地計算機對象，或通過單擊“瀏覽”查找所需的組策略對象。 6）單擊“完成”，單擊“關(guān)閉”，然后單擊“確定”。組策略管理單元即打開要編輯的組策略對象。對于不包含域的計算機系統(tǒng)來說，在上面第5步的界面中，只有“計算機”標(biāo)簽，而沒有其他標(biāo)簽項目。通過上面的方法，我們就可以使用Windows 2000/XP/2003組策略系統(tǒng)強大的網(wǎng)絡(luò)配置功能，讓管理員的工作更輕松和高效。在上面我們介紹了Windows 9X下的策略編輯器配置項目有“選中、清除、變灰”三種狀態(tài)，Windows 2000/XP/2003組策略管理控制臺同樣也有三種狀態(tài)，只不過名字變了。它們分別是：已啟用、未配置、已禁用。 四、“桌面”設(shè)置Windows的桌面就像我們的辦公桌一樣，需要經(jīng)常進(jìn)行整理和清潔，而組策略就如同我們的貼身秘書，讓桌面管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置實例：四、位置：“組策略控制臺用戶配置管理模板桌面”1隱藏桌面的系統(tǒng)圖標(biāo)（Windows 2000/XP/2003）雖然通過修改注冊表的方式可以實現(xiàn)隱藏桌面上的系統(tǒng)圖標(biāo)的功能，但這樣比較麻煩，也有一定的風(fēng)險。而采用組策略配置的方法，可以方便快捷地達(dá)到此目的。比如要隱藏桌面上的“網(wǎng)上鄰居”和“Internet Explorer”圖標(biāo)，只要在右側(cè)窗格中將“隱藏桌面上網(wǎng)上鄰居圖標(biāo)”和“隱藏桌面上的Internet Explorer圖標(biāo)”兩個策略選項啟用即可；如果隱藏桌面上的所有圖標(biāo)，只要將“隱藏和禁用桌面上的所有項目”啟用即可；當(dāng)啟用了“刪除桌面上的我的文檔圖標(biāo)”和“刪除桌面上的我的電腦圖標(biāo)”兩個選項以后，“我的電腦”和“我的文檔”圖標(biāo)將從你的電腦桌面上消失；同樣如果要讓“回收站”圖標(biāo)消失，只須將“從桌面刪除回收站”策略項啟用即可。2退出時不保存桌面設(shè)置（Windows 2000/XP/2003）此策略可以防止用戶保存對桌面的某些更改。如果你啟用這個策略，用戶仍然可以對桌面做更改，但有些更改，如圖標(biāo)的位置、任務(wù)欄的位置及大小，在用戶注銷后都無法保存，不過任務(wù)欄上的快捷方式總可以被保存。在右側(cè)窗格中將“退出時不保存設(shè)置”這個策略選項啟用即可。3屏蔽“清理桌面向?qū)А惫δ埽╓indows XP/2003）“清理桌面向?qū)А睍扛?60 天自動在用戶的電腦上運行，以清除那些用戶不經(jīng)常使用或者從不使用的桌面圖標(biāo)。如果啟用此策略設(shè)置，則可以屏蔽“清理桌面向?qū)А保绻憬没虿慌渲么嗽O(shè)置，“清理桌面向?qū)А睍凑漳J(rèn)設(shè)置每隔60天運行一次。打開右側(cè)窗格中的“刪除清理桌面向?qū)А?，根?jù)需要設(shè)置策略選項即可。4啟用/禁用“活動桌面”（Windows 2000/XP/2003）“活動桌面”是Windows 98（及以后版本）或安裝了IE 4.0的系統(tǒng)中自帶的高級功能，最大的特點是可以設(shè)置各種圖片格式的墻紙，甚至可以將網(wǎng)頁作為墻紙顯示。但出于對安全和性能的考慮，有時候我們需要禁用這一功能（并且禁止用戶啟用它），通過策略設(shè)置可以輕松達(dá)到這一要求。具體操作方法：打開右側(cè)窗格中的“禁用活動桌面”并啟用此策略。提示：如果同時啟用“啟用 Active Desktop”設(shè)置和“禁用 Active Desktop”設(shè)置，則“禁用 Active Desktop”設(shè)置會被忽略。如果 “禁用 Active Desktop 和 Web 視圖”設(shè)置（在“用戶配置管理模板Windows組件Windows資源管理器”中）被啟用，Active Desktop 就會被禁用，并且這兩個策略都會被忽略。以上介紹了幾個關(guān)于桌面的組策略配置項目，在“組策略控制臺用戶配置管理模板桌面”下還有其他若干組策略配置項目，讀者可根據(jù)需要進(jìn)行配置，這里不再贅述。五、個性化“任務(wù)欄”和“開始”菜單顯示了“任務(wù)欄”和“開始”菜單的有關(guān)組策略配置項目。下面我們來看具體的實例： 位置：“組策略控制臺用戶配置管理模板任務(wù)欄和開始菜單”1給“開始”菜單減肥（Windows 2000/XP/2003）如果覺得Windows的“開始”菜單太臃腫的話，可以將不需要的菜單項從“開始”菜單中刪除。在組策略右側(cè)窗格中，提供了“從開始菜單刪除用戶文件夾”、“刪除到Windows Update的訪問和鏈接”、“從開始菜單刪除公用程序組”、“從開始菜單中刪除我的文檔圖標(biāo)”等多種組策略配置項目。你只要將不需要的菜單項所對應(yīng)的策略啟用即可。2保護(hù)好“任務(wù)欄”和“開始”菜單（Windows 2000/XP/2003）如果你不想隨意讓他人更改“任務(wù)欄”和“開始”菜單的設(shè)置，你只要將組策略控制臺右側(cè)窗格中的“阻止更改任務(wù)欄和開始菜單設(shè)置”和“阻止訪問任務(wù)欄的上下文菜單”兩個策略項啟用即可。這樣，當(dāng)你用鼠標(biāo)右鍵單擊任務(wù)欄并單擊“屬性”時，系統(tǒng)會出現(xiàn)一個錯誤消息，且當(dāng)鼠標(biāo)右鍵單擊任務(wù)欄及任務(wù)欄上的項目時，例如“開始”按鈕、時鐘和“任務(wù)欄”按鈕，彈出菜單會隱藏。3禁止“注銷”和“關(guān)機”（Windows 2000/XP/2003）當(dāng)計算機啟動以后，如果你不希望這個用戶再進(jìn)行“關(guān)機”和“注銷”操作，那么可將組策略控制臺右側(cè)窗格中的“刪除開始菜單上的注銷”和“刪除和阻止訪問關(guān)機命令”兩個策略啟用。這個設(shè)置會從開始菜單刪除“關(guān)機”選項，并禁用“Windows 任務(wù)管理器”對話框 按“Ctrl+Alt+Del”會出現(xiàn)這個對話框 中的“關(guān)機”選項 。另外需要注意的是，此設(shè)置雖然可防止用戶用 Windows界面來關(guān)機，但無法防止用戶用其他第三方工具程序來將 Windows 關(guān)閉。提示：如果啟用了“刪除開始菜單上的注銷”，則會從“開始菜單選項”刪除“顯示注銷”項目。用戶無法將“注銷”項目還原到開始菜單（只能通過手工修改注冊表的方法）。這個設(shè)置只影響開始菜單，它不影響 “Windows 任務(wù)管理器”對話框上的“注銷”項目（因此需要同時啟用“刪除和阻止訪問關(guān)機命令”），而且不妨礙用戶用其它方法注銷。4利用組策略保護(hù)個人文檔隱私（Windows 2000/XP/2003）Windows有個高級智能功能，即可以記錄你曾經(jīng)訪問過的文件。雖然這個功能可以方便用戶再次打開該文件，但出于安全和性能的考慮（例如不想讓人知道自己瀏覽過哪些網(wǎng)頁和打開過哪些文件），有時需要屏蔽此功能。利用組策略，只要在右側(cè)窗格中將“不要保留最近打開文檔的記錄”和“退出時清除最近打開的文檔的記錄”兩個策略啟用即可。另外需要注意的是，如果啟用此策略設(shè)置但不啟用“從開始菜單中刪除文檔菜單”策略設(shè)置，“文檔”菜單還會出現(xiàn)在“開始”菜單上，但是該菜單為空菜單。如果啟用此策略設(shè)置，后來又禁用它并將它設(shè)置為“未配置”，則啟用策略設(shè)置之前保存的文檔快捷方式會重新出現(xiàn)在“文檔”菜單和應(yīng)用程序的“文件”菜單中。六、IE設(shè)置手到擒來微軟的Internet Explorer讓我們可以輕松地在互聯(lián)網(wǎng)上遨游，但要想用好Internet Explorer，則必須將它配置好。在IE瀏覽器的“Internet選項”窗口中，提供了比較全面的設(shè)置選項（例如：“首頁”、“臨時文件夾”、“安全級別”和“分級審查”等項目），但部分高級功能沒有提供，而通過組策略即可輕松實現(xiàn)這些功能。下面來看具體實例：位置：“組策略控制臺用戶配置管理模板Windows 組件Internet Explorer（需添加inetres.adm模板文件）”1禁用“在新窗口中打開”菜單項（Windows 2000/XP/2003）出于對安全的考慮，有時候我們有必要屏蔽IE的一些功能菜單，組策略提供了豐富的設(shè)置項目，比如禁用“另存為.”、“文件”、“新建”等。下面以“禁用在新窗口中打開菜單項”為例介紹具體的設(shè)置方法。打開“組策略控制臺用戶配置管理模板Windows 組件Internet Explorer瀏覽器菜單”，然后打開“禁用在新窗口中打開菜單項”并設(shè)置為“啟用”。啟用該策略后，用戶在某個鏈接上單擊鼠標(biāo)右鍵，然后單擊“在新窗口中打開”時，該命令將不起作用。該策略可與“文件菜單禁用新建菜單項”一起使用，后者禁止用戶通過單擊“文件”菜單，指向“新建”，然后單擊“窗口”在新窗口中打開瀏覽器。提示：啟用該策略后，單擊“在新窗口中打開”命令，將無法在新窗口中打開鏈接，系統(tǒng)會提示用戶該命令無效，網(wǎng)頁自動打開的窗口也全部被禁止，其實這樣也可達(dá)到屏蔽彈出廣告窗口的效果。2限制IE瀏覽器的保存功能（Windows 2000/XP/2003）在使用IE瀏覽網(wǎng)頁過程中，當(dāng)遇到好的圖片、文章等資源時可以使用“另存為”功能將它保存到本地硬盤中，當(dāng)多人共用一臺計算機時，為了保持硬盤的整潔，需要對瀏覽器的保存功能進(jìn)行限制。那么如何才能實現(xiàn)呢?可以這樣操作：打開“組策略控制臺用戶配置管理模板Windows組件Internet Explorer瀏覽器菜單”，然后將右側(cè)窗格中的“文件菜單：禁用另存為.菜單項”、“文件菜單：禁用另存為網(wǎng)頁菜單項”、“查看菜單：禁用源文件菜單項”和“禁用上下文菜單”等策略項目全部啟用即可。如果不希望別人對IE瀏覽器的設(shè)置隨意更改，可以將“工具菜單：禁用Internet選項.”策略啟用。另外，根據(jù)個人的需要，在該窗格中還可以禁用其他項目。3禁用“Internet 選項”控制面板（Windows 2000/XP/2003）上面提到了“禁用Internet選項”的功能，使用該功能可以達(dá)到阻止別人對IE隨便設(shè)置的目的。而這種方法無法具體禁用Internet選項中的控制模板項目，因此給具體應(yīng)用帶來麻煩。通過下面的組策略設(shè)置方法，則可以實現(xiàn)這一要求：打開“組策略控制臺用戶配置管理模板Windows組件Internet ExplorerInternet 控制面板”，在右邊窗格中我們可以看到“禁用常規(guī)頁”、“禁用安全頁”等組策略項目。下面以“禁用常規(guī)頁”為例進(jìn)行說明：打開右邊窗格中的“禁用常規(guī)頁”并設(shè)置為“啟用”。然后我們再打開Internet選項控制面板，會發(fā)現(xiàn)“常規(guī)”項目已經(jīng)沒有了，這樣一來用戶將無法看到和更改主頁、緩存、歷史記錄、網(wǎng)頁外觀以及輔助功能的設(shè)置，因為該策略將刪除界面上的“常規(guī)”選項卡，所以如果設(shè)置了該策略，則無須設(shè)置位于 “用戶配置管理模板Windows 組件Internet Explorer”中的諸如“禁用更改主頁設(shè)置”、“禁用更改顏色設(shè)置”等策略。4禁止修改IE瀏覽器的主頁（Windows 2000/XP/2003）如果不希望他人對自己設(shè)定的IE瀏覽器主頁進(jìn)行隨意更改的話，可以打開“組策略控制臺用戶配置管理模板Windows組件Internet Explorer工具欄”，然后選擇“禁用更改主頁設(shè)置”組策略并啟用即可。另外在這個窗格中，還提供了“更改歷史記錄設(shè)置”、“更改顏色設(shè)置”和“更改Internet臨時文件設(shè)置”等項目的禁用功能。啟用此策略后，在IE瀏覽器的“Internet 選項”對話框中，其“常規(guī)”選項卡的“主頁”區(qū)域的設(shè)置將變灰。提示：如果設(shè)置了位于“組策略控制臺用戶配置管理模板Windows組件Internet ExplorerInternet Explorer控制面板”中的“禁用常規(guī)頁”策略，則無須設(shè)置該策略，因為“禁用常規(guī)頁”策略將刪除界面上的“常規(guī)”選項卡。5自定義IE工具欄（Windows 2000/XP/2003）IE工具欄的背景和上面的按鈕都是可以自定義的，以前我們大多使用手動修改注冊表的方法，不過并不直觀，現(xiàn)在我們用“組策略”可以更方便地達(dá)到效果，打造屬于我們自己的IE。打開“組策略控制臺用戶配置Windows設(shè)置Internet Explorer維護(hù)瀏覽器用戶界面”下的“瀏覽器工具欄按鈕自定義”策略配置項目，在這里，可以自定義瀏覽器工具欄的背景圖片，點擊“瀏覽”選擇一個BMP的位圖文件即可（注意：工具欄背景應(yīng)該與工具欄大小相同，而亮度應(yīng)該足以顯示黑色文字，否則實際效果并不理想）。接下來，我們要在IE的工具欄上添加自己的快捷方式，比如添加“我的QQ”，在這里也可以很輕松地完成。點擊“添加”，在“工具欄標(biāo)題”中輸人“我的QQ”，在“工具欄操作”中選擇QQ程序的路徑，最后再選擇好“顏色圖標(biāo)”和“灰度圖標(biāo)”的路徑（如果你不知道怎么提取這兩個圖標(biāo)，可以請EXeScope這個軟件來幫忙，在各大站點都可以下載）。設(shè)置完成后點“確定”，再次打開IE后就可以看到修改的效果了。七、輕松實現(xiàn)Windows高級功能1設(shè)置并鎖定Windows Media Player外觀（Windows 2000/XP/2003）Windows Media Player是目前最流行的多媒體播放器之一，如果不希望其他用戶隨意更改其界面外觀的話，利用組策略可以輕松實現(xiàn)。打開“組策略控制臺用戶配置管理模板Windows 組件Windows Media Player用戶界面中的設(shè)置并鎖定外觀”啟用此策略。啟用此策略后，將使 Windows Media Player 只以指定的外觀模式顯示，具體可以使用在“策略”選項卡上的“外觀”框中指定的外觀。你必須為外觀使用完整的文件名 例如miniplayer.wmz 。如果外觀文件在用戶的計算機上沒有安裝，播放器將以Windows Media Player外觀打開。提示：本策略設(shè)置軟件版本至少為Windows Media Player v8.00，ADM文件為wmplayer.adm。2禁止Windows Media Player播放時運行屏保（Windows 2000/XP/2003）屏幕保護(hù)程序可以有效地保護(hù)我們的顯示器，但是當(dāng)我們使用播放器觀看精彩影片時，經(jīng)常會出現(xiàn)屏幕保護(hù)程序突然運行而中斷觀看的尷尬局面?，F(xiàn)在我們可以通過組策略來解決屏幕保護(hù)程序使Windows Media Player播放中斷的麻煩問題了。打開“組策略控制臺用戶配置管理模板Windows組件Windows Media Player播放中的允許運行屏幕保護(hù)程序”并將它設(shè)置為“已禁用”狀態(tài)。3優(yōu)化配置Windows Media Player網(wǎng)絡(luò)緩沖（Windows 2000/XP/2003）當(dāng)我們使用Windows Media Player播放流式媒體時，播放器會在播放前對流式媒體進(jìn)行緩沖處理，以便可以流暢地進(jìn)行播放。在實際應(yīng)用中，根據(jù)網(wǎng)絡(luò)帶寬和服務(wù)器的連接速度，緩存的時間長短并不一樣，但Windows Media Player卻是在使用同一設(shè)置，這無疑與實際網(wǎng)絡(luò)情況不匹配，因此我們可以根據(jù)具體的網(wǎng)絡(luò)帶寬情況自己優(yōu)化配置網(wǎng)絡(luò)緩沖。打開“組策略控制臺用戶配置管理模板Windows組件Windows Media Player網(wǎng)絡(luò)中的配置網(wǎng)絡(luò)緩沖”并設(shè)置為啟用狀態(tài)，在出現(xiàn)的緩沖時間（秒數(shù)）配置選項中，根據(jù)網(wǎng)絡(luò)的帶寬情況進(jìn)行自定義（最多 60 秒）。提示：如果此策略已啟用，那么Windows Media Player“性能”選項卡上的緩存選項將不能再配置。4屏蔽使用所有 Windows Update 功能的訪問（Windows 2000/XP/2003）Windows Update可以自動連接Microsoft網(wǎng)站并下載更新內(nèi)容，這對大部分用戶來說是比較實用的，但對于不需要更新或者帶寬緊張的電腦用戶來說，此功能就顯得多余了，而且經(jīng)常傳聞Windows Update會將計算機用戶信息“秘密”發(fā)往Microsoft，因此也可以屏蔽這一“智能”高級功能。打開“組策略控制臺用戶配置管理模板Windows 組件Windows Update”中的“刪除使用所有 Windows Update 功能的訪問”組策略并啟用此策略。提示：如果你啟用此設(shè)置，所有 Windows Update功能（其中包括阻止訪問Windows Update網(wǎng)站http /、開始菜單上的 Windows Update的超鏈接和Internet資源管理器上的工具菜單）將被刪除。Windows自動更新也被禁用，你將不會收到有關(guān)更新的通知，也不會接到Windows Update的重要更新。此設(shè)置還會阻止設(shè)備管理器自動從Windows Update網(wǎng)站下載安裝驅(qū)動程序的更新。5在Windows XP/2003中實現(xiàn)遠(yuǎn)程關(guān)機（Windows XP/2003）在Windows XP/2003中，新增了一條命令行工具“shutdown”，它可以關(guān)閉或重新啟動本地或遠(yuǎn)程計算機。利用它，我們不但可以注銷用戶、關(guān)閉或重新啟動計算機，還可以實現(xiàn)定時關(guān)機、遠(yuǎn)程關(guān)機。該命令的語法格式如下：shutdown -i |-l|-s |-r |-a-f-mComputerName-t xx-c message-dp:xx:yy該命令具體的使用參數(shù)和技巧請參考Windows的幫助系統(tǒng)，幫助系統(tǒng)里面有全面的資料。我們現(xiàn)在簡單地看一下該命令的一些基本用法：1）注銷當(dāng)前用戶shutdown - l該命令只能注銷本機用戶，對遠(yuǎn)程計算機不適用。2）關(guān)閉本地計算機shutdown - s3）重啟本地計算機shutdown - r4）定時關(guān)機shutdown - s -t 30指定在30秒之后自動關(guān)閉計算機。5）中止計算機的關(guān)閉。有時我們設(shè)定了計算機定時關(guān)機后，如果出于某種原因又想取消這次關(guān)機操作，就可以用shutdown - a來中止。在該命令的格式中，有一個參數(shù)-m ComputerName，用它可以指定將要關(guān)閉或重啟的計算機名稱，若省略的話則默認(rèn)為對本機操作。你可以用以下命令來試一下：shutdown -s -m Anyes-solon -t 30在30秒內(nèi)關(guān)閉計算機名為Anyes-solon（Anyes-solon為局域網(wǎng)內(nèi)一臺同樣裝有Windows XP/2003）的電腦。該命令執(zhí)行后，計算機Anyes-solon一點反應(yīng)都沒有，屏幕上卻提示“Access is denied （拒絕訪問）”。出現(xiàn)這種情況是因為Windows XP默認(rèn)的安全策略中，只有管理員組的用戶才有權(quán)從遠(yuǎn)端關(guān)閉計算機，而一般情況下我們從局域網(wǎng)內(nèi)的其他電腦訪問該計算機時，則只有g(shù)uest用戶權(quán)限，所以當(dāng)我們執(zhí)行上述命令時，便會出現(xiàn)“拒絕訪問”的情況。而我們利用組策略即可賦予guest用戶遠(yuǎn)程關(guān)機的權(quán)限。打開“組策略控制臺計算機配置Windows 設(shè)置安全設(shè)置本地策略用戶權(quán)利指派中的從遠(yuǎn)端系統(tǒng)強制關(guān)機”，在彈出的對話框中顯示目前只有“Administrators”組的成員才有權(quán)從遠(yuǎn)程關(guān)機；單擊對話框下方的“添加用戶或組”按鈕，然后在新彈出的對話框中輸入“guest”，再單擊“確定”按鈕。通過上述操作后，我們便給計算機Anyes-solon的guest用戶授予了遠(yuǎn)程關(guān)機的權(quán)限。以后，倘若你要遠(yuǎn)程關(guān)閉計算機Anyes-solon，只要在網(wǎng)絡(luò)中其他裝有Windows XP/2003的計算機中輸入以下命令shutdown -s -m Anyes-solon -t 60即可。這時，在Anyes-solon計算機的屏幕上將顯示一個“系統(tǒng)關(guān)機”的對話框，在對話框下方還有一個計時器，顯示離關(guān)機還有多少時間。在等待關(guān)機的時間里，用戶還可以執(zhí)行其他的任務(wù)，如關(guān)閉程序、打開文件等，但無法關(guān)閉該對話框，除非你用shutdown -a命令來中止關(guān)機任務(wù)。八、用組策略提升系統(tǒng)性能1讓W(xué)indows 的上網(wǎng)速率提升20%（Windows XP/2003）默認(rèn)情況下，Windows網(wǎng)絡(luò)連接數(shù)據(jù)包調(diào)度程序?qū)⑾到y(tǒng)限制在80%的連接帶寬之內(nèi)，這對帶寬較小的網(wǎng)絡(luò)來說，無疑是筆不小的開支。我們可以通過組策略設(shè)置來替代默認(rèn)值，讓我們的上網(wǎng)速率提高20%!打開“組策略控制臺計算機配置管理模板網(wǎng)絡(luò)”中的“QoS數(shù)據(jù)包調(diào)度程序”并啟用此策略，然后使用下面“帶寬限制”框來調(diào)整系統(tǒng)可保留的帶寬比例，將它設(shè)置為0%即可，然后按確定退出，之后我們就可以使用另外20%的帶寬了。2關(guān)閉縮略圖的緩存（Windows XP/2003）Windows XP/20003系統(tǒng)具有縮略圖視圖功能，且為了加快那些被頻繁瀏覽的縮略圖顯示速度，系統(tǒng)會將這些被顯示過的圖片進(jìn)行緩存，以便下次打開時直接讀取緩存中的信息，從而達(dá)到快速顯示的目的。但如果我們不希望系統(tǒng)進(jìn)行緩沖的話（比如只瀏覽一次的圖片），則可以利用組策略關(guān)閉縮略圖緩存的功能，這樣第一次瀏覽速度反而會大大加快（因為不進(jìn)行緩存處理）。打開“組策略控制臺用戶配置管理模板Windows組件Windows資源管理器”中的“關(guān)閉縮略圖的緩存”并啟用此策略。3屏蔽系統(tǒng)自帶的CD刻錄功能（Windows XP/2003）Windows XP/2003系統(tǒng)自帶CD刻錄功能，如果你有CD刻錄機接在計算機上，Windows 資源管理器允許你制作并修改可重寫式CD。但這樣無疑會影響系統(tǒng)性能和資源管理器的執(zhí)行速度，因此我們可以利用組策略來屏蔽此功能（大部分用戶都使用專用的CD刻錄軟件）。打開“組策略控制臺用戶配置管理模板網(wǎng)絡(luò)”中的“刪除CD刻錄功能”并啟用此策略。4關(guān)閉系統(tǒng)還原功能（Windows XP/2003）系統(tǒng)還原是Windows XP/2003中集成的強大功能，它在系統(tǒng)運行的同時，備份那些被更改的文件和數(shù)據(jù)，如果出現(xiàn)問題，系統(tǒng)還原使用戶能夠在不丟失個人數(shù)據(jù)文件的情況下，將計算機還原到以前的狀態(tài)。默認(rèn)情況下，系統(tǒng)還原處于打開狀態(tài)。但為這一功能付出的代價也是相當(dāng)大的，系統(tǒng)性能會明顯下降，磁盤空間也會被占用很多。對于配置不高的計算機來說，強烈建議關(guān)閉此功能。打開“組策略控制臺計算機配置管理模板系統(tǒng)系統(tǒng)還原”中的“關(guān)閉系統(tǒng)還原”并啟用此策略。啟用此設(shè)置后即可關(guān)閉系統(tǒng)還原功能，并且不能訪問“系統(tǒng)還原向?qū)А焙汀芭渲媒缑妗薄?禁止Windows Messenger自動運行（Windows XP/2003）在Windows系統(tǒng)中集成的優(yōu)秀應(yīng)用軟件越來越多，但這些系統(tǒng)內(nèi)置的軟件都沒有卸載選項，引起很多電腦用戶的不滿。比如Windows XP自帶的Windows Messenger，不但卸載不方便而且還隨系統(tǒng)一起自動運行。對于不上網(wǎng)的計算機用戶或者根本就不用Windows Messenger的用戶來說，當(dāng)然要屏蔽此軟件的自動運行功能。打開“組策略控制臺計算機配置管理模板Windows組件Windows Messenger”中的“不允許運行Windows Messenger ”并啟用此策略。提示：這個設(shè)置出現(xiàn)在“計算機配置”和“用戶配置”文件夾中。如果兩個設(shè)置都配置，“計算機配置”中的設(shè)置比“用戶配置”中的設(shè)置優(yōu)先。 九、用組策略打造系統(tǒng)銅墻鐵壁級功能1隱藏“我的電腦”中指定的驅(qū)動器（Windows XP/2003）此組策略可以從“我的電腦”和“Windows 資源管理器”上刪除代表所選硬件驅(qū)動器的圖標(biāo)。并且驅(qū)動器號代表的所有驅(qū)動器不出現(xiàn)在標(biāo)準(zhǔn)的打開對話框上。打開“組策略控制臺用戶配置管理模板Windows組件Windows資源管理器”中的“隱藏我的電腦中的這些指定的驅(qū)動器”并啟用此策略，并在下面列表框中選擇一個驅(qū)動器或幾個驅(qū)動器。提示：這項策略只刪除驅(qū)動器圖標(biāo)。用戶仍可通過使用其它方式繼續(xù)訪問驅(qū)動器的內(nèi)容。同時這項策略不會防止用戶使用程序訪問這些驅(qū)動器或其內(nèi)容。并且也不會防止用戶使用磁盤管理即插即用來查看并更改驅(qū)動器特性。2防止從“我的電腦”訪問驅(qū)動器（Windows 2000/XP/2003）此策略讓用戶無法查看在“我的電腦”或“Windows 資源管理器”中所選驅(qū)動器的內(nèi)容。同時它也禁止使用運行對話框、鏡像網(wǎng)絡(luò)驅(qū)動器對話框或Dir命令查看在這些驅(qū)動器上的目錄。打開“組策略控制臺用戶配置管理模板Windows組件Windows資源管理器”中的“防止從我的電腦訪問驅(qū)動器”并啟用此策略，并在下面列表框中選擇一個驅(qū)動器或幾個驅(qū)動器。提示：這些代表指定驅(qū)動器的圖標(biāo)仍舊會出現(xiàn)在“我的電腦”中，但是如果用戶雙擊圖標(biāo)，會出現(xiàn)一條消息解釋設(shè)置防止這一操作。同時這些設(shè)置不會防止用戶使用其它程序訪問本地和網(wǎng)絡(luò)驅(qū)動器。并且不防止他們使用磁盤管理即插即用查看和更改驅(qū)動器特性。3禁止使用命令提示符（Windows 2000/XP/2003）在Windows 2000/XP/2003下，我們可以運行cmd.exe進(jìn)入命令提示符狀態(tài)，并可以繼續(xù)運行一些DOS命令和其他命令行程序。出于對安全的考慮，有些系統(tǒng)應(yīng)該屏蔽此功能。打開“組策略控制臺用戶配置管理模板系統(tǒng)”中的“阻止訪問命令提示符”并啟用此策略，并在下面列表框中選擇是否“也停用命令提示符腳本處理”，這個設(shè)置還決定批處理文件 .cmd和.bat 是否可以在計算機上運行。如果啟用這個設(shè)置，在用戶試圖打開命令窗口時，系統(tǒng)會顯示一條消息，解釋設(shè)置阻止這一操作。4禁止更改顯示屬性（Windows 2000/XP/2003）選擇“控制面板”中的“顯示”