1、組策略完全使用手冊 一、組策略的基本知識組策略是管理員為用戶和計算機定義并控制程序、網絡資源及操作系統行為的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略。例如，可使用“組策略”從桌面刪除圖標、自定義“開始”菜單并簡化“控制面板”。此外,還可添加在計算機上（在計算機啟動或停止時，以及用戶登錄或注銷時）運行的腳本，甚至可配置Internet Explorer。本文重點介紹的是Windows XP Professional的本地組策略的應用。組策略對本地計算機可以進行兩個方面的設置：本地計算機配置和本地用戶配置。所有策略的設置都將保存到注冊表的相關項目中。對計算機策略的設置保

2、存到注冊表的HKEY_LOCAL_MACHINE的相關項中，對用戶的策略設置將保存到HKEY_CURRENT_USER相關項中。訪問本地組策略的方法有兩種：第一種方法是命令行方式；第二種方法是通過在MMC控制臺中選擇GPE插件來實現的。1、組策略編輯器的命令行啟動您只需單擊選擇“開始”“運行”命令，在“運行”對話框的“打開”欄中輸入“gpedit.msc”，然后單擊“確定”按扭即可啟動Windows XP組策略編輯器。（注：這個“組策略”程序位于“C:WINNTSYSTEM32”中，文件名為“gpedit.msc”。） 在打開的組策略窗口中（如圖1所示），可以發現左側窗格中是以樹狀結構給出的控

3、制對象，右側窗格中則是針對左邊某一配置可以設置的具體策略。另外，您或許已經注意到，左側窗格中的“本地計算機”策略是由“計算機配置”和“用戶配置”兩大子鍵構成，并且這兩者中的部分項目是重復的，如兩者下面都含有“軟件設置”、“Windows設置”等。那么在不同子鍵下進行相同項目的設置有何區別呢？這里的“計算機配置”是對整個計算機中的系統配置進行設置的，它對當前計算機中所有用戶的運行環境都起作用；而“用戶配置”則是對當前用戶的系統配置進行設置的，它僅對當前用戶起作用。例如，二者都提供了“停用自動播放”功能的設置，如果是在“計算機配置”中選擇了該功能，那么所有用戶的光盤自動運行功能都會失效；如果是在“

4、用戶配置”中選擇了此項功能，那么僅僅是該用戶的光盤自動運行功能失效，其他用戶則不受影響。設置時需注意這一點。 圖1下一頁2、將組策略作為獨立的MMC管理單元打開若要在MMC控制臺中通過選擇GPE插件來打開組策略編輯器，具體方法如下：（1）單擊選擇“開始”“運行”命令，在彈出的對話框中鍵入“mmc”，然后單擊“確定”按扭。打開Microsoft管理控制臺窗口。如圖2所示。圖2（2）選擇“文件”菜單下的“添加/刪除管理單元”命令。（3）在“添加/刪除管理單元”窗口的“獨立”選項卡中，單擊“添加”按扭。（4）彈出“添加獨立管理單元”對話框，并在“可用的獨立管理單元”列表中選擇“組策略”選項，單擊“添

5、加”按鈕。如圖3所示。圖3（5）由于是將組策略應用到本地計算機中，故在“選擇組策略對象”對話框中，單擊“本地計算機”，編輯本地計算機對象，或通過單擊“瀏覽”按扭查找所需的組策略對象。（6）單擊“完成”“關閉”“確定”按扭，組策略管理單元即可打開要編輯的組策略對象。特別提示：倘若您希望保存組策略控制臺，并希望能夠選擇通過命令行在控制臺中打開組策略對象，請在“選擇組策略對象”對話框中選中“允許在從命令行啟動時更改組策略管理單元的焦點”復選框。上一頁 Windows XP組策略應用完全手冊more 對于大部分計算機用戶來說，管理計算機基本上是借助某些第三方工具，甚至是自己手工修改注冊表來實

6、現。其實Windows XP組策略已經把這些功能集于一體，通過組策略及相關工具完全可以實現我們所需要的功能。一、組策略基礎1.什么是組策略注冊表是Windows系統中保存系統軟件和應用軟件配置的數據庫，而隨著Windows功能越來越豐富，注冊表里的配置項目也越來越多，很多配置都可以自定義設置，但這些配置分布在注冊表的各個角落，如果是手工配置，可以想像是多么困難和煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊，供用戶直接使用，從而達到方便管理計算機的目的。其實簡單地說，組策略設置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手

7、工修改注冊表方便、靈活，功能也更加強大。2.組策略的版本對于Windows 9X/NT用戶來說，都知道"系統策略"的概念，其實組策略就是系統策略的高級擴展，它是自Windows 9X/NT的"系統策略"發展而來的，具有更多的管理模板、更靈活的設置對象及更多的功能，目前主要應用于Windows 2000/XP/2003操作系統中。早期系統策略的運行機制是通過策略管理模板，定義特定的POL(通常是Config.pol)文件。當用戶登錄時，它會重寫注冊表中的設置值。當然，系統策略編輯器也支持對當前注冊表的修改，另外也支持連接網絡計算機并對其注冊表進行設置。而組

8、策略及其工具，則是對當前注冊表進行直接修改。顯然，Windows 2000/XP/2003系統的網絡功能是其最大的特色之處，所以其網絡功能自然是不可少的，因此組策略工具還可以打開網絡上的計算機進行配置，甚至可以打開某個Active Directory(活動目錄)對象(即站點、域或組織單位)并對其進行設置。這是以前"系統策略編輯器"工具無法做到的。當然，無論是"系統策略"還是"組策略"，它們的基本原理都是修改注冊表中相應的配置項目，從而達到配置計算機的目的，只是它們的一些運行機制發生了變化和擴展而已。3.在Windows XP中運行組策

9、略在Windows 2000/XP/2003系統中，系統默認已經安裝了組策略程序，在"開始"菜單中，單擊"運行"選項，在打開的對話框中輸入"gpedit.msc"并確定，即可運行組策略。如圖1所示。 使用上面的方法，打開的組策略對象是當前的計算機，而如果需要配置其他的計算機組策略對象，則需要將組策略作為獨立的MMC管理單元打開：(1)打開Microsoft管理控制臺(可在"開始"菜單的"運行"對話框中直接輸入"MMC"并確定)。(2)單擊"文件添加/刪除管

10、理單元"菜單命令，在打開的對話框中單擊"添加"按鈕。(3)在"可用的獨立管理單元"對話框中，單擊"組策略"選項，然后單擊"添加"按鈕。 (4)在"選擇組策略對象"對話框中，單擊"本地計算機"選項編輯本地計算機對象，或通過單擊"瀏覽"查找所需的組策略對象。(5)單擊"完成"按鈕，組策略管理單元即打開要編輯的組策略對象。 (6)在左窗格中定位需要更改的選項的位置，在右窗格中右鍵單擊需要更改的具體選項，單擊"屬性"

11、;命令，即可打開其屬性對話框，從中選擇"已啟用"、"未配置"、"已禁用"選項即可對計算機策略進行管理。4.組策略中的管理模板在Windows 2000/XP/2003中包含幾個ADM文件。這些文件是文本文件，被稱為"管理模板"，它們為組策略管理單元的控制樹中"管理模板"文件夾下的項目提供策略信息。在Windows 2000/XP/2003中，默認的Admin.adm管理模板位于系統文件夾的INF文件夾中，包含了默認安裝下的4個模板文件，分別為： (1)System.adm：默認安裝在"

12、組策略"中，用于系統設置。(2)Inetres.adm：默認安裝在"組策略"中，用于Internet Explorer(IE)策略設置。(3)Wmplayer.adm：用于Windows Media Player設置。(4)Conf.adm：用于NetMeeting設置。在策略管理控制臺中，可以多次添加"策略模板"，下面讓我們來看看具體操作：首先運行"組策略"程序，然后選擇"計算機配置"或者"用戶配置"下的"管理模板"，單擊鼠標右鍵，選擇"添加/刪除模板&

13、quot;命令，然后在打開的對話框中單擊"添加"按鈕，在打開的對話框中選擇相應的ADM文件。單擊"打開"按鈕，則在系統策略編輯器中打開選定的腳本文件，并等待用戶執行。返回到"組策略"編輯器主界面后，依次打開目錄"本地計算機策略用戶配置管理模板"選項，再單擊相應的目錄樹，就會看到我們新添加的管理模板所產生的配置項目了。注意：下面的操作均在Windows XP中進行。二、個性化我的電腦 1.刪除“開始”菜單中的“文檔”菜單項 在多人使用的計算機中，有的用戶不希望其他用戶看到自己曾經編輯過的文檔或其他信息。因此，為了刪除

14、用于記錄歷史文檔的“文檔”菜單項，我們可以通過修改組策略來實現。 位置：用戶配置管理模板任務欄和“開始”菜單 啟用此設置，則系統保存“文檔”快捷方式，但不在“文檔”菜單中顯示它們。如果以后禁用此設置或把它設置為未配置，則啟用設置之前及其生效之時保存的“文檔”快捷方式會出現在“文檔”菜單項中。如圖2所示。 注意：此設置不會阻止Windows程序在最近打開的文檔中顯示快捷方式。 另外，你也可以設置在退出系統時自動清除最近打開的文檔的歷史記錄。 位置：用戶配置管理模板任務欄和“開始”菜單 如果禁用該策略設置，系統就會在用戶退出時刪除快捷方式。因此，用戶登錄時，“開始”菜單上的文檔菜單總是空的。如果禁

15、用或不配置此設置，系統將保留文檔快捷方式，并且用戶登錄時的文檔菜單看起來與用戶退出系統時完全相同。 注意：系統在Documents and SettingsRecent文件夾中的用戶配置文件中保存文檔快捷方式。 2.刪除“開始”菜單中的“運行”菜單項 在“開始”菜單中有“運行”菜單項，可以輸入程序名稱來啟動程序。我們可以將“運行”菜單項從“開始”菜單中刪除。 位置：用戶配置管理模板任務欄和“開始”菜單 如果啟用該設置，發生如下更改： (1)“運行”命令從“開始”菜單中刪除。 (2)新建任務(運行)命令從任務管理器刪除。 (3)阻止用戶在IE地址欄中輸入下列項： UNC路徑：servershar

16、e。 訪問本地驅動器：例如，C:。 訪問本地文件夾：例如，temp。 同時，使用WIN+R組合鍵將無法顯示“運行”對話框。如果禁用或不配置此設置，用戶可以訪問“開始”菜單和任務管理器的“運行”命令，以及使用IE地址欄。 注意：這個策略只影響指定的界面。不會防止用戶使用其他方法運行程序。 3.給“開始”菜單減肥 如果覺得Windows的“開始”菜單太臃腫，你完全可以通過組策略設置將不需要的菜單項從“開始”菜單中刪除。 位置：用戶配置管理模板任務欄和“開始”菜單 在組策略右側窗格中，提供“從開始菜單刪除用戶文件夾”、“刪除到Windows Update的訪問和鏈接”、從開始菜單刪除公用程序組、從開

17、始菜單中刪除“我的文檔”圖標等配置項目。你只要將不需要的菜單項所對應的策略啟用即可。 4.隱藏和禁用桌面上的所有項目 該策略可以從桌面上刪除圖標、快捷方式和其他默認的和用戶定義的項目。 位置：用戶配置管理模板桌面 該策略刪除圖標和快捷方式不防止用戶用另一種方法啟動程序或打開圖標和快捷方式所代表的項目。 5.退出時不保存用戶設置 該策略用于防止用戶保存對桌面的某些更改。 位置：用戶配置管理模板桌面 如果你啟用這個設置，用戶可以對桌面做某些更改，但有些更改，比如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷后都無法保存。 6.啟用/禁用“活動桌面”(Active Desktop) 活動桌面是W

18、indows 98(及以后版本)或安裝了IE 4.0的系統中自帶的高級功能，它最大的特點是可以設置各種圖片格式的墻紙，甚至可以將網頁作為墻紙顯示。但出于對安全和性能的考慮，有時候我們需要禁用這一功能(并且防止用戶啟用它)。 位置：用戶配置管理模板桌面Active Desktop 提示：如果同時啟用“啟用Active Desktop”設置和“禁用Active Desktop”設置，“禁用Active Desktop”設置會被忽略。如果“禁用Active Desktop和Web視圖”設置(在“用戶配置管理模板Windows組件Windows資源管理器”)被啟用，Active Desktop就會被禁

19、用，并且這兩個策略都會被忽略。 7.從“我的電腦”中刪除共享文檔 當Windows用戶在一個工作組中，一個“共享文檔”圖標會以Windows資源管理器的Web視圖出現在“其他位置”和“在這臺計算機上存儲的其他文件”中。使用此設置，你可選擇不顯示這些項目。 位置：用戶配置管理模板Windows組件Windows資源管理器 如果啟用此設置，“共享文檔”文件夾將不會以Web視圖方式顯示或在“我的電腦”中出現。如果禁用或不配置此設置，當用戶是“工作組”的一部分時，“共享文檔”文件夾將會以Web視圖方式顯示或在“我的電腦”中出現。 8.不要將已刪除的文件移到“回收站” 當Windows資源管理器中的一個

20、文件或文件夾被刪除時，該文件或文件夾的副本會被放在“回收站”里。使用此策略，你能改變此行為。 位置：用戶配置管理模板Windows組件Windows資源管理器 如果啟用此設置，使用Windows資源管理器刪除的文件或文件夾不會被放在“回收站”里，因此被永久刪除。如果禁用或不配置此設置，使用Windows資源管理器刪除的文件或文件夾會被放在“回收站”里。 三、利用組策略進行系統設置 1.登錄時不顯示歡迎屏幕 為了加快計算機啟動的速度，我們完全可以通過組策略設置在每次用戶登錄時將Windows XP歡迎屏幕隱藏。 位置：用戶配置管理模板系統 要顯示歡迎屏幕，請依次單擊“開始程序附件系統工具”選項，

21、然后單擊“開始”選項。要在不指定設置的情況下不顯示歡迎屏幕，請在歡迎屏幕上的復選框中清除“在開始顯示這個屏幕”選項。 注意：這項設置出現在“計算機配置”和“用戶配置”文件夾中。如果配置這項設置，“計算機配置”中的設置比“用戶配置”中的設置優先。 2.配置驅動程序查找位置 默認情況下，Windows將從本地安裝、軟盤驅動器、光盤驅動器、Windows Update等位置搜索驅動程序。此設置配置查找到新硬件時Windows將要搜索驅動程序的位置。 位置：用戶配置管理模板系統 如果啟用此設置，你可以通過檢查位置名稱的相關復選框，刪除這三個位置中的任何位置。如果禁用或不配置此設置，Windows將從本

22、地安裝、軟盤驅動器、光盤驅動器和Windows Update等位置中搜索驅動程序。 3.關閉自動播放 一旦你將媒體插入驅動器，自動運行就開始從驅動器中讀取。這會造成程序的設置文件和在音頻媒體上的音樂立即開始。該策略將關閉自動運行功能。 位置：用戶配置管理模板系統 如果你啟動這項設置，你還可以在CD-ROM驅動器禁用自動運行或在所有驅動器上禁用自動運行。 注意：這個設置出現在“計算機配置”和“用戶配置”兩個文件夾中。如果兩個設置都配置，“計算機配置”中的設置比“用戶配置”中的設置優先。 另外，此設置不阻止自動播放音樂 CD。 4.只運行許可的Windows應用程序 該策略可以限制用戶可以運行的W

23、indows程序。 位置：用戶配置管理模板系統 如果你啟用這個設置，用戶只能運行你加入“允許運行的應用程序列表”中的程序。 這個設置只能防止用戶從Windows資源管理器啟動程序。無法防止用戶用其他方式啟動程序，例如任務管理器。如果用戶可以訪問命令提示符窗口，這個設置無法防止用戶從命令窗口啟動不允許在Windows資源管理器中運行的程序。 注意：要創建允許的文件列表，請單擊“顯示”按鈕，在打開的對話框中單擊“添加”按鈕，然后輸入應用程序的執行文件名稱(例如，Winword.exe、Poledit.exe、Powerpnt.exe)。如圖3所示。 5.刪除任務管理器 當我們同時按下Ctrl+Al

24、t+Del組合鍵將顯示“Windows任務管理器”對話框。任務管理器可以讓用戶啟動或終止程序、監視計算機性能、查看及監視計算機上所有運行中的程序(包含系統服務)、搜索程序的執行文件名、更改程序運行的優先順序。在這里，我們可以通過組策略刪除任務管理器。 位置：用戶配置管理模板系統Ctrl+Alt+Del選項 如果該設置被啟用，并且用戶試圖啟動任務管理器，系統會顯示消息，解釋是一個策略禁止了這個操作。 6.刪除改變“密碼”選項 該策略可以防止用戶通過任務管理器更改系統密碼。 位置：用戶配置管理模板系統Ctrl+Alt+Del選項 這個設置停用Windows安全設置對話框上的“更改密碼”按鈕。但是，

25、用戶在得到系統提示時依舊可以更改密碼。管理員要求新密碼和密碼作廢時，系統會提示用戶輸入新密碼。 7.不允許運行Windows Messenger Windows XP自帶有聊天工具Windows Messenger，但是，我們也有可能在系統中安裝MSN Messenger。該策略允許你禁用Windows Messenger。 位置：用戶配置管理模板Windows組件Windows Messenger 如果啟用該策略，Windows Messenger將不會運行。如果禁止或不配置該策略，Windows Messenger可以被使用。 注意：如果啟用這個策略，遠程協助無法使用Windows Mes

26、senger。另外，這個策略也會出現在“計算機配置”中。如果兩個設置都配置，“計算機配置”中的設置比“用戶配置”中的設置優先。 8.關閉系統還原功能 系統還原是Windows XP/2003中集成的強大功能，它在系統運行的同時，備份被更改的文件和數據，如果出現問題，系統還原使用戶能夠在不丟失個人數據文件的情況下，將計算機還原到以前的狀態。默認情況下，系統還原處于打開狀態。 但這一功能付出的代價也是相當大的，系統性能會明顯下降，磁盤空間也會被占用很多。對于配置不高的計算機來說，強烈建議關閉此功能。 位置：計算機配置管理模板系統系統還原關閉系統還原 啟用此設置后即可關閉系統還原功能，并且不能訪問“

27、系統還原向導”和“配置界面”。四、利用組策略調整上網設置 1.禁用導入和導出收藏夾 禁止用戶使用“導入/導出向導”菜單項導入或導出收藏夾鏈接。 位置：用戶配置管理模板Windows組件Internet Explorer 如果啟用該策略，“導入/導出向導”菜單項將無法導入/導出收藏夾鏈接和Cookie。如果禁用該功能或不對其進行配置，則用戶可以通過單擊“文件”菜單上的“導入和導出”菜單項，然后運行“導入/導出向導”，導入/導出IE中的收藏夾。 注意：如果啟用該策略，用戶仍然可以查看“導入/導出向導”，但當用戶單擊“完成”按鈕時，將出現說明該功能已被禁用的提示信息。 2.禁用更改“高級”選項卡的設

28、置 禁止用戶更改“Internet 選項”對話框中“高級”選項卡上的設置。 位置：用戶配置管理模板Windows組件Internet Explorer 如果啟用該策略，則用戶無法更改高級Internet設置，如安全、多媒體和打印。用戶無法選中“高級”選項卡上的復選框，也不能清除這些復選框的復選標記。如果禁用該策略或不對其進行配置，則用戶可以選擇或清除“高級”選項卡上的設置。 如果設置了位于用戶配置管理模板Windows組件Internet ExplorerInternet控制面板中的“禁用高級頁”策略，則無需設置該策略，因為“禁用高級頁”策略將刪除界面上的“高級”選項卡。 3.對撥號連接使用“

29、自動檢測”屬性 自動檢測在瀏覽器第一次啟動時使用 DHCP(動態主機配置協議)或DNS服務器來自定義瀏覽器。該策略指定自動檢測用于用戶的撥號設置的配置。 位置：用戶配置管理模板Windows組件Internet Explorer 如果啟用該設置，自動檢測將配置用戶的撥號設置。如果禁用該配置或不配置，自動檢測不會配置用戶的撥號設置，除非用戶指定。 4.禁用Internet連接向導 禁止用戶運行Internet連接向導。 位置：用戶配置管理模板Windows組件Internet Explorer 如果啟用該策略，“Internet選項”對話框中“連接”選項卡上的“建立連接”按鈕將變灰。用戶也無法通

30、過單擊桌面上的“連接到Internet”圖標或單擊“開始程序附件通訊”，然后單擊“Internet連接向導”運行Internet連接向導。如果禁用該策略或不對其進行配置，則用戶可以通過運行Internet連接向導，更改連接設置。 注意：該策略與位于用戶配置管理模板Windows 組件Internet ExplorerInternet控制面板中的“禁用連接頁”策略有相似之處，后者將刪除界面上的“連接”選項卡。從界面上刪除“連接”選項卡并不會妨礙用戶從桌面或“開始”菜單中運行Internet連接向導。 5.禁用表單的自動完成功能 禁止IE自動完成表單，如填寫用戶以前在網頁中輸入過的姓名或密碼。 位

31、置：用戶配置管理模板Windows組件Internet Explorer 如果啟用該策略，“表單”復選框將變灰。單擊“Internet選項”對話框中“內容”選項卡上的“自動完成”按鈕，即可出現“表單”復選框。如果禁用該策略或不對其進行配置，則用戶可以啟用表單的自動完成功能。 位于用戶配置管理模板Windows組件Internet ExplorerInternet控制面板中的“禁用內容頁”策略的優先級高于該策略。如果啟用了“禁用內容頁”策略，該策略將被忽略，因為“禁用內容頁”策略將刪除“控制面板”中“Internet Explorer屬性”對話框中的“內容”選項卡。 注意：如果用戶已開始使用啟用

32、了表單自動完成功能的瀏覽器后，再啟用該策略，則不會清除用戶已經使用表單自動完成功能在表單中所填寫的內容。 6.配置媒體瀏覽欄屬性 媒體瀏覽器欄播放來自Internet的音樂和視頻內容，該策略允許管理員啟用和禁用媒體瀏覽器欄和設置默認自動播放。 位置：用戶配置管理模板Windows組件Internet Explorer 如果禁用媒體瀏覽器欄，用戶無法顯示媒體瀏覽器欄。自動播放功能也被禁用。當用戶在IE中單擊一個鏈接，系統中的默認媒體客戶端將播放內容。如果啟用媒體瀏覽器欄或不配置，用戶可以顯示和隱藏媒體瀏覽器欄。 管理員也可以打開和關閉自動播放功能。該設置只在媒體瀏覽器欄啟用時應用。如果選擇，媒體

33、瀏覽器欄將在用戶單擊媒體鏈接時自動顯示和播放媒體內容。如果不選擇，系統上的默認媒體客戶端將播放內容。 7.禁用右鍵快捷菜單 禁止在用戶使用IE過程中單擊鼠標右鍵時出現快捷菜單。 位置：用戶配置管理模板Windows組件Internet Explorer瀏覽器菜單 如果啟用該策略，在用戶指向網頁，然后單擊鼠標右鍵時將不出現快捷菜單。如果禁用該策略或不對其進行配置，則用戶可以使用快捷菜單。 8.自定義IE標題欄 我們可以利用組策略自定義出現在IE和OE標題欄中的文本。無論軟件包中是否有OE或者用戶計算機上已經安裝了OE，都將更新OE標題欄。 位置：用戶配置管理模板Windows設置Internet

34、 Explorer維護瀏覽器用戶界面瀏覽器標題 請在打開的對話框中選中“自定義標題欄”選項，然后在“標題欄文本”框中鍵入希望的文本。 注意：在選擇某個位圖時，要確保顏色與文本的對比度。這為用戶確保了更高程度的可讀性。 9.自定義IE工具按鈕 我們可以利用該策略個性化出現在IE中的工具欄，給你一定的靈活性和設計機會。可以使用的元素包括用于標準工具欄按鈕(例如“搜索”和“歷史”)的工具欄背景和圖標外觀。 位置：用戶配置管理模板Windows設置Internet Explorer維護瀏覽器用戶界面瀏覽器工具欄自定義 在打開的對話框中單擊“添加”按鈕，然后在打開的對話框中在“工具欄標題(必需)”框中，

35、鍵入用戶鼠標懸停在工具欄按鈕上時出現的文本。必須指定該按鈕的標題或標簽。建議的最大長度是10個字符。 在“工具欄操作(作為腳本文件或可執行文件，必需)”框中，鍵入腳本文件或可執行文件的名稱，或者單擊“瀏覽”按鈕查找文件。必須指定用戶單擊工具欄按鈕時運行的腳本文件或可執行文件。 在“工具欄顏色圖標(必需)”框中，鍵入表示按鈕為活動狀態的文件的名稱，或者單擊“瀏覽”按鈕查找該文件。必須指定出現在工具欄上的按鈕的彩色圖標。圖標由活動和非活動狀態的20×20像素的圖像組成。 在“工具欄灰度圖標(必需)”框中，鍵入出現在黑白監視器上的工具欄的灰度圖標文件名和位置，或者單擊“瀏覽”按鈕查找文件。

36、必須指定顯示在工具欄上按鈕的灰度圖標。 選中“默認情況下，該按鈕應顯示在工具欄上”復選框來顯示默認情況下用戶瀏覽器中的工具欄按鈕。 五、利用組策略設置優化網絡環境 1.禁止訪問網絡連接組件的屬性 “本地連接屬性”對話框包括連接時使用的網絡組件列表。要查看或更改組件屬性，請單擊組件名稱，然后單擊組件列表下面的“屬性”按鈕，如圖4所示。該策略確定用戶是否可以更改由網絡連接使用的組件屬性，它確定是否啟用用于網絡連接組件的“屬性”按鈕。 位置：用戶配置管理模板網絡網絡連接 如果啟用此設置(并啟用“為管理員啟用網絡連接設置”設置)，就會為管理員禁用“屬性”按鈕。無論“為管理員啟用網絡連接設置”設置啟用與

37、否，用戶都不可以訪問連接組件。如果禁用或不配置“為管理員啟用網絡連接設置”。 如果禁用或不配置此設置，將為用戶啟用“屬性”按鈕。 2.禁用TCP/IP高級配置 確定用戶是否可以配置TCP/IP 設置。 位置：用戶配置管理模板網絡網絡連接 如果啟用此設置(并啟用“為管理員啟用網絡連接設置”設置)，就對所有用戶(包括管理員)禁用“Internet協議(TCP/IP) 屬性”對話框上的“高級”按鈕。因此，用戶不能打開“高級TCP/IP設置”對話框并修改IP設置(例如，DNS和WINS服務器信息)。如果禁用此設置，則啟用“高級”按鈕，并且所有用戶均可打開“高級TCP/IP設置”對話框。 注意：此設置會

38、由禁止訪問連接屬性或連接組件屬性的設置取代。如果將這些策略設置為拒絕訪問連接屬性對話框或用于連接組件的“屬性”按鈕，用戶就無法訪問用于TCP/IP配置的“高級”按鈕。不管此設置如何，非管理員用戶均不具有訪問用于網絡連接的TCP/IP高級配置的權限。在用戶退出系統之前，將此設置從“啟用”更改為“未配置”不會啟用“高級”按鈕。 3.禁止添加或刪除用于網絡連接或遠程訪問連接的組件 “安裝”按鈕可打開用來添加網絡組件的對話框。單擊“卸載”按鈕可刪除組件列表中的選定組件。“安裝”和“卸載”按鈕出現在用于連接的“屬性”對話框之中。這些按鈕位于“常規”選項卡和“網絡”選項卡上。該策略確定管理員是否可以添加和

39、刪除用于網絡連接或遠程訪問連接的網絡組件。 位置：用戶配置管理模板網絡網絡連接 如果啟用此設置(并啟用“為管理員啟用網絡連接設置”設置)，就會禁用用于連接組件的“安裝”和“卸載”按鈕，并且不允許用戶訪問“Windows組件向導”中的網絡組件。如果禁用或不配置此設置，就會啟用用于“網絡連接”文件夾中連接組件的“安裝”和“卸載”按鈕。同樣地，用戶可以訪問“Windows組件向導”中的網絡組件。 4.禁止訪問網絡連接的屬性 右鍵單擊“網上鄰居”圖標，在打開的快捷菜單中可以看到“屬性”菜單項，用于打開網絡連接屬性對話框，該策略確定用戶是否可以更改網絡連接的屬性。 位置：用戶配置管理模板網絡網絡連接 如

40、果啟用此設置(并啟用“為管理員啟用網絡連接設置”設置)，就對所有用戶禁用“屬性”菜單項，而且用戶不能打開“連接屬性”對話框。如果禁用或不配置此設置，右鍵單擊“網上鄰居”的圖標時，就會出現“屬性”菜單項。同樣地，當用戶選擇此連接時，就會啟用“文件”菜單上的“屬性”菜單項。 注意：此設置優先于操作“局域連接屬性”對話框內的功能的可用性設置。如果啟用此設置，用戶將不可使用網絡連接的屬性對話框內的任何功能。 5.更改所有用戶遠程訪問連接的屬性 該策略用于確定用戶是否可以查看和更改對計算機所有用戶可用的遠程訪問連接的屬性。此設置確定是否啟用“屬性”菜單項，以及遠程訪問連接屬性對話框是否對用戶可用。 位置

41、：用戶配置管理模板網絡網絡連接 如果啟用此設置，任何用戶右鍵單擊用來進行遠程訪問連接的圖標時，就會出現“屬性”菜單項。同樣地，當任何用戶選擇連接時，“文件”菜單上就出現“屬性”。如果禁用此設置(并啟用“為管理員啟用網絡連接設置”設置)，就會禁用“屬性”菜單項，并且用戶(包括管理員)無法打開遠程訪問連接對話框。如果不配置此設置，則只有管理員才可以更改所有用戶遠程訪問連接的屬性。 注意：此設置優先于操作遠程訪問連接屬性對話框內的功能的可用性設置。如果禁用此設置，則用戶不可使用用于遠程訪問連接的屬性對話框內的任何功能。6.為管理員啟用Windows XP網絡連接設置該策略確定Windows XP中的

42、已有設置是否適用于管理員。默認情況下，Windows XP中的"網絡連接"組設置不具有禁止管理員使用功能的能力。位置：用戶配置管理模板網絡網絡連接如果啟用此設置，已存在于Windows XP中的設置會具有阻止管理員使用某些功能的能力。這些設置為包括："重命名所有用戶可以使用的網絡連接或遠程訪問連接的能力"、"禁止訪問網絡連接組件的屬性"、"禁止訪問遠程訪問連接組件的屬性"、"訪問TCP/IP高級配置的能力"、"禁止訪問高級菜單上的高級設置項"、"禁止添加和刪除用來進

43、行網絡連接或遠程訪問連接的組件"、"禁止訪問網絡連接的屬性"、"禁止啟用/禁用網絡連接組件"、"更改所有用戶遠程訪問連接的屬性的能力"、"禁止更改專用遠程訪問連接的屬性"、"禁止刪除遠程訪問連接"、"刪除所有用戶遠程訪問連接的能力"、"禁止連接和斷開連接遠程訪問連接"、"啟用/禁用網絡連接的能力"、"禁止訪問新建連接向導"、"禁止重命名專用遠程訪問連接"、"禁止訪問高級菜單上的

44、撥號參數選擇項"、"禁止查看活動連接的狀態"。啟用此設置時，上述設置對管理員的行為有效。如果禁用或不配置此設置，上述設置將不適用于管理員。注意：此設置是專用于正在應用這些設置的組策略對象同時包含Windows 2000和Windows XP計算機的情形中，并且在所有Windows 2000和Windows XP計算機之間必需相同的網絡連接策略行為。 六、精心維護系統安全1.防止從"我的電腦"中訪問磁盤驅動器該策略可以防止用戶使用"我的電腦"訪問所選驅動器的內容。位置：用戶配置管理模板Windows組件Windows資源管理器

45、如果啟用了這項設置，用戶無法查看在"我的電腦"或Windows資源管理器中所選驅動器的內容。同時它也無法使用運行對話框、鏡像網絡驅動器對話框、或使用Dir命令查看在這些驅動器上的目錄。要利用這些設置，請選擇一個驅動器或幾個驅動器。要允許訪問所有驅動器目錄，請禁用這項設置或選擇"不要限制驅動器"選項。注意：驅動器的圖標仍會出現在我的電腦中，但是如果用戶雙擊圖標，會出現一個消息解釋設置防止這一操作。同時這以設置不會防止用戶使用程序訪問本地和網絡驅動器。2.禁止"注銷"和"關機"當計算機啟動以后，如果你不希望該用戶進行關

46、機和注銷操作，可以通過組策略來完成設置。位置：用戶配置管理模板任務欄和"開始"菜單這個設置會從"開始"菜單刪除"關機"選項，并禁用"Windows任務管理器"對話框中的"關機"選項(按Ctrl+Alt+Del會出現該對話框)。另外需要注意的是，此設置雖然可防止用戶用Windows界面來關機，但無法防止用戶用其他第三方工具程序來將Windows關閉。提示：如果啟用"刪除'開始'菜單上的'注銷'"策略，則還從"'開始'菜單

47、選項"刪除"顯示注銷"項目。結果是用戶無法將"注銷<用戶名>"項目還原到"開始"菜單(只能通過手動修改注冊表的方法)。這個設置只影響"開始"菜單。它不影響"Windows 安全性"對話框中的"注銷"選項(因此需要同時啟用"刪除和阻止訪問'關機'命令")；而且不防止用戶用其他方法注銷。3.阻止訪問命令提示符防止用戶運行命令提示符窗口(Cmd.exe)。這個設置還決定批文件(.cmd和.bat)是否可以在計算機上運行。位置

48、：用戶配置管理模板系統如果啟用這個設置，用戶試圖打開命令窗口，系統會顯示一個消息，解釋設置阻止這種操作。注意：如果計算機使用登錄、注銷、啟動或關閉批文件腳本，不防止計算機運行批文件；也不防止使用終端服務的用戶運行批文件。4.阻止訪問注冊表編輯工具該策略將禁用Regedit.exe，以禁用Windows注冊表編輯器。位置：用戶配置管理模板系統如果這個設置被啟用，并且用戶試圖啟動注冊表編輯器，解釋設置禁止這類操作的消息會出現。要防止用戶使用其他系統管理工具，請使用"只運行許可的Windows應用程序"策略設置。5.禁止訪問控制面板控制面板允許用戶配置其計算機、添加或刪除程序和更

49、改設置。該策略用于防止"控制面板"的程序文件Control.exe的啟動，用戶無法啟動"控制面板"或運行任何"控制面板"項目。位置：用戶配置管理模板控制面板該策略還從"開始"菜單中刪除"控制面板"菜單項，也將"控制面板"文件夾從Windows資源管理器中刪除。如果用戶想從右鍵快捷菜單的"屬性"選項中選擇一個"控制面板"項目，會出現一個消息，說明該設置防止這個操作。6.隱藏指定的控制面板程序該策略將控制板面的項目(如顯示)和文件夾從控制版

50、面和"開始"菜單中刪除。它可以刪除Windows XP中包含的控制板面的項目，也可以刪除你在系統里添加的控制面板項目。位置：用戶配置管理模板控制面板若想隱藏一個控制面板項目，請在打開的對話框中，單擊"已啟用"選項，然后單擊"顯示"按鈕，在打開的對話框中，單擊"添加"按鈕，輸入該項目的文件名即可，如Ncpa.cpl(用于網絡)。若想隱藏一個文件夾，輸入該文件夾名即可，如"字體"。此設置只影響"開始"菜單和控制面板窗口。它不會阻止用戶使用"運行"對話框來運行控

51、制面板項目。注意：要尋找控制面板項目的文件名稱，請在System32目錄中尋找.cpl文件名稱的擴展。7.密碼保護屏幕保護程序該策略確定計算機上使用的屏幕保護程序是否受密碼保護。位置：用戶配置管理模板控制面板顯示如果你啟用了這項設置，所有屏幕保護程序都是有密碼保護。如果你禁用了這項設置，密碼保護就不能在任何屏幕保護程序上設置。這項設置也禁用了"控制面板"中"顯示"項中的"屏幕保護程序"的"密碼保護"復選框，防止用戶更改密碼保護策略。如果你不配置該策略，用戶選擇使用在每個屏幕保護程序上設置密碼保護。注意：只有當在計算

52、機上指定屏幕保護程序時才可使用這項設置。七、用組策略完善Windows娛樂功能1.防止CD和DVD媒體信息檢索該策略防止Windows Media Player 9.0運行時從Internet檢索有關CD及DVD的媒體信息。另外，首次使用對話框的"隱私選項"選項卡和播放機"隱私"選項卡中的"從Internet檢索CD和DVD媒體信息"復選框都未選中，并且不可用。位置：用戶配置管理模板Windows組件Windows Media Player如果未配置或禁用了該策略，則用戶可以對"從Internet檢索CD和DVD媒體信息&q

53、uot;復選框的設置進行更改。2.防止音樂文件媒體信息檢索該策略防止Windows Media Player 9.0自動從Internet獲取有關音樂文件(例如Windows Media Audio (WMA)和MP3)的媒體信息。另外，在首次使用對話框和播放機的"隱私"及"媒體庫"選項卡中的"通過從 Internet 檢索缺少的媒體信息來更新音樂文件(WMA 和 MP3 文件)"都未選中，并且不可用。位置：用戶配置管理模板Windows組件Windows Media Player如果未配置或禁用了該策略，則用戶可以對"通過

54、從Internet檢索缺少的媒體信息來更新音樂文件(WMA和 MP3文件)"復選框的設置進行更改。3.指定流媒體協議該策略指定了可以使用在"設置"選項卡中選中的協議從Windows Media服務器接收流媒體。該策略還指定了在"設置"選項卡中選中"多播"復選框時可以接收多播流。如果在"設置"選項卡中選中了"UDP"復選框，并且"UDP 端口"框為空，則Windows Media Player將使用默認端口播放來自Windows Media服務器的內容。如果未選中&q

55、uot;UDP"復選框，"UDP 端口"框中的信息將被忽略。如果未選擇任何協議并啟用了該策略，將無法播放來自Windows Media服務器的內容。位置：用戶配置管理模板Windows組件Windows Media Player網絡如果啟用或禁用了該策略，播放機"網絡"選項卡中的"流協議"部分將不可用。如果啟用了"隱藏'網絡'選項卡"策略，則整個"網絡"選項卡將隱藏起來。如果禁用該策略，播放機將無法從Windows Media服務器接收流媒體。如果有必要控制所接收的流媒

56、體的類型，建議使用其他方法，如防火墻。如果未配置該策略，并且未啟用"隱藏'網絡'選項卡"策略，則用戶可以對"網絡"選項卡中"流協議"部分的設置進行更改。4.配置HTTP代理該策略指定了HTTP協議的代理服務器設置。如果啟用該策略，必須選擇一種代理類型(自動檢測、自定義或使用瀏覽器代理服務器設置)。自動檢測即系統自動檢查代理服務器設置。自定義即使用惟一的代理服務器設置。使用瀏覽器代理服務器設置則意味著使用瀏覽器的代理服務器設置。如果選擇自定義代理服務器類型，則必須指定"設置"選項卡中的其余選項，這是因

57、為代理服務器沒有默認設置。如果選擇"自動檢測"或"瀏覽器"，則可以忽略這些選項。播放器"網絡"選項卡中的"配置"按鈕對HTTP協議無效，因此無法配置代理服務器。如果還啟用了"隱藏網絡選項卡"策略，則整個"網絡"選項卡都不可見。如果啟用了"流媒體協議"策略，且未選擇HTTP協議，該策略將被忽略。位置：用戶配置管理模板Windows組件Windows Media Player網絡如果禁用該策略，HTTP代理服務器將無法使用，用戶也將無法配置HTTP代理服務器。

58、如果未配置該策略，用戶便可以配置HTTP代理服務器設置。5.配置MMS代理服務器該策略指定了MMS協議的代理服務器設置。如果啟用該策略，必須選擇一種代理類型(自動檢測或自定義)。"自動檢測"表示系統自動檢測代理服務器設置。"自定義"表示使用惟一的代理服務器設置。如果選擇"自定義"代理類型，則必須指定"設置"選項卡中的其余選項。否則，將使用默認設置。如果選擇"自動檢測"，這些選項將被忽略。播放器"網絡"選項卡中的"配置"按鈕不可用，并且無法配置協議。如果還啟

59、用了"隱藏'網絡'選項卡"策略，則整個"網絡"選項卡將隱藏起來。如果啟用了"流媒體協議"策略，并且未選擇"多播"，該策略將被忽略。位置：用戶配置管理模板Windows組件Windows Media Player網絡如果禁用該策略，MMS代理服務器將無法使用，用戶將無法配置MMS代理服務器設置。如果未配置該策略，則用戶可以配置MMS代理服務器設置。關機清除打開文件記錄 以系統管理員權限登入，點擊“開始”“運行”，輸入：gpedit.msc，回車后進入“組策略”，在“本地計算機”策略用戶配置管理模板“開

60、始”菜單和任務欄，在右側窗格中雙擊“Clear history of recently opened documents on exit”，然后選中“已啟用”。 強大的Windows XP的“組策略” Windows XP的配置工具相當完善，它隱藏在你的系統之中，但很多人并不知道它的存在。它的名字叫做本地組策略編輯器，或者簡稱為Gpedit。要調用該編輯器，選擇“開始”“運行”菜單，鍵入命令：gpedit.msc，就可以打開組策略編輯器，現在無需借助注冊表你就可以修改Windows XP中的許多功能特征，讓你的系統充滿個性。 更好掌握強大的“組策略” “組策略”的功能真的非常強大，現在許多系統調整不再需要編輯注冊表就可以輕松通過它完成，如果你想了解該系統工具都能做什么以及目前的設置狀態，那么可以點擊“開始”“運行”，輸入：gpedit.msc，回車后進入組策略，然后在每項上點擊鼠標右鍵，在彈出菜單中選擇“導出列表”，然后為它起一個名字，并選擇保存為TXT格式即可。 用“組策略”個性化“開始”菜單和任務欄 在“本地計算機策略”中，逐級展開“用戶配置”“管理模板”“任務欄和開始菜單”分支，在右側窗格中，提供了 “任務欄”和“