Windows組政策應用全攻略

Windows組政策應用全攻略

一、什麼是組政策

　

　　（一）組政策有什麼用?

　　說到組政策，就不得不提系統資料庫。系統資料庫是Windows系統中儲存系統、應用軟體配置的資料庫，随着Windows功能的越來越豐富，系統資料庫裡的配置項目也越來越多。很多配置都是 可以自定義設定的，但這些配置釋出在系統資料庫的各個角落，如果是手工配置，可想是多麼困難和煩雜。而組政策則将系統重要的配置功能彙內建各種配置子產品，供管理人員直接使用，進而達到友善管理計算機的目的。

簡單點說，組政策就是修改系統資料庫中的配置。當然，組政策使用自己更完善的管理組織方法，可以對各種對象中的設定進行管理和配置，遠比手工修改系統資料庫友善、靈活，功能也更加強大。

（二）組政策的版本

　　大部分Windows 9X/NT使用者可能聽過“系統政策”的概念，而我們現在大部分聽到的則是“組政策”這個名字。其實組政策是系統政策的更進階擴充，它是由Windows 9X/NT的“系統政策”發展而來的，具有更多的管理模闆和更靈活的設定對象及更多的功能，目前主要應用于Windows 2000/XP/2003系統。

早期系統政策的運作機制是通過政策管理模闆，定義特定的.POL（通常是Config.pol）檔案。當使用者登入的時候，它會重寫系統資料庫中的設定值。當然，系統政策編輯器也支援對目前系統資料庫的修改，另外也支援連接配接網絡計算機并對其系統資料庫進行設定。而組政策及其工具，則是對目前系統資料庫進行直接修改。

顯然，Windows 2000/XP/2003系統的網絡功能是其最大的特色之處，其網絡功能自然是不可少的，是以組政策工具還可以打開網絡上的計算機進行配置，甚至可以打開某個Active Directory 對象（即站點、域或組織機關）并對它進行設定。這是以前“系統政策編輯器”工具無法做到的。

無論是系統政策還是組政策，它們的基本原理都是修改系統資料庫中相應的配置項目，進而達到配置計算機的目的，隻是它們的一些運作機制發生了變化和擴充而已。

二、組政策中的管理模闆

　　在Windows 2000/XP/2003目錄中包含了幾個 .adm 檔案。這些檔案是文本檔案，稱為“管理模闆”，它們為組政策管理模闆項目提供政策資訊。

在Windows 9X系統中，預設的admin.adm管理模闆即儲存在政策編輯器同一個檔案夾中。而在Windows 2000/XP/2003的系統檔案夾的inf檔案夾中，包含了預設安裝下的4個模闆檔案，分别為：

　　1）System.adm：預設情況下安裝在“組政策”中，用于系統設定。

　　2）Inetres.adm：預設情況下安裝在“組政策”中；用于Internet Explorer政策設定。

　　3）Wmplayer.adm：用于Windows Media Player 設定。

4）Conf.adm：用于NetMeeting 設定。

　　在Windows 2000/XP/2003的組政策控制台中，可以多次添加“政策模闆”，而在Windows 9X下，則隻允許目前打開一個政策模闆。下面介紹使用政策模闆的方法。首先在Windows 2000/XP/2003組政策控制台中使用如下：

首先運作“組政策”程式，然後選擇“計算機配置”或者“使用者配置”下的“管理模闆”，按下滑鼠右鍵，在彈出的菜單中選擇“添加/删除模闆”.

然後單擊“添加”按鈕，在彈出的對話框中選擇相應的.adm檔案。單擊“打開”按鈕，則在系統政策編輯器中打開標明的腳本檔案，并等待使用者執行。

　　傳回到“組政策”編輯器主界面後，依次打開目錄“本地計算機政策→使用者配置→管理模闆”，再點選相應的目錄樹，就會看到我們新添加的管理模闆所産生的配置項目了（為了便于本文後面的執行個體大家能一起動手操作，建議添加除預設模闆檔案的其它模闆檔案）。

再來看Windows 9X下的組政策編輯器。首先在組政策編輯器中的“檔案”菜單中選擇“關閉”，以便将目前腳本關閉，然後再在“選項”菜單中選擇“模闆”

然後單擊“打開模闆”按鈕，在彈出的對話框中選擇相應的.adm檔案并單擊“打開”按鈕，則在編輯器中打開標明的腳本檔案并等待使用者執行。

　

三、運作組政策

　　（一）Windows 9X政策編輯器

　　按作業系統的不同，政策編輯工具分為兩種，一種為Windows 2000/XP/2003組政策管理控制台，它在系統安裝時已經預設安裝上了；另外一種就是Windows 9X的系統政策編輯器，它在系統安裝時并不被安裝，程式檔案在Windows安裝盤上的\tools\reskit\netadmin\poledit目錄下，它包括Poledit.exe、Poledit.inf、Windows.adm等檔案。

如果是Windows 9X系統通過下面的方法，則可以進行正規的安裝過程。

　　1．在控制台中，輕按兩下“添加/删除程式”圖示，單擊“安裝Windows”标簽，然後單擊“從磁盤安裝”選項。

　　2．在從磁盤安裝對話框中，單擊“浏覽”按鈕并指定Windows 9X安裝CD光牒的tools\reskit\netadmin\poledit目錄。

　　3．單擊“确認”按鈕，然後再次單擊對話框中的“确認”按鈕。

4．在從磁盤安裝對話框中，選擇“系統政策編輯器”和“組政策”複選框，然後單擊“安裝”按鈕。

　　安裝完成後，單擊“運作”指令項，輸入poledit，然後單擊“确認”按鈕,管理者可以以兩種不同的方式使用系統政策編輯器：系統資料庫方式和政策檔案方式。

　 1．以系統資料庫方式使用系統政策編輯器。在系統政策編輯器中的檔案菜單中，單擊打開系統資料庫編輯器，然後輕按兩下相應的本地使用者或本地計算機圖示。這取決于要編輯系統資料庫中的哪個部分。在使用系統資料庫方式時，可以直接編輯本地或遠端計算機的系統資料庫。這樣，所做的改變将立即反映出來。在做出修改之後，必須關機并重新啟動計算機以使所做修改生效。

2．以政策檔案方式使用系統政策編輯器。在系統政策編輯器中的檔案菜單中，單擊建立或打開來打開一個政策檔案。在使用政策檔案方式時，可以建立和修改用于其它計算機的系統政策檔案（POL），在這種方式下，系統資料庫被間接地修改。這項改變将在使用者登入時政策檔案被下載下傳後反映出來。當以政策檔案方式編輯設定值時，單擊一個系統資料庫選項，可以看到三種可能狀态之一：選中、清除、變灰。

每當選擇一個選項時，将會循環顯示下一個可能的狀态，這與選擇一個标準的複選框不同。标準的複選框隻有選中或清除兩個選項。

　　如果一個設定值需要附加資訊，那麼預設使用者屬性對話框的底部将出現一個編輯控制。通常，如果選中了一個政策，而又不想強制使用它，應當清除該複選框來取消該政策。

（二）Windows 2000/XP/2003組政策控制台

　　如果是Windows 2000/XP/2003系統，那麼系統預設已經安裝了組政策程式，在“開始”菜單中，單擊“運作”指令項，輸入gpedit.msc并确定，即可運作程式

使用上面的方法，打開的組政策對象就是目前的計算機，而如果需要配置其他的計算機組政策對象的話，則需要将組政策作為獨立的控制台管理程式來打開，具體步驟如下：

1）打開 Microsoft 管理控制台（可在“開始”菜單的“運作”對話框中直接輸入MMC并回車，運作控制台程式）。

　　2）在“檔案”菜單上，單擊“添加/删除管理單元”。

　　3）在“獨立”頁籤上，單擊“添加”。

　　4）在“可用的獨立管理單元”對話框中，單擊“組政策”，然後單擊“添加”。

　　5）在“選擇組政策對象”對話框中，單擊“本地計算機”編輯本地計算機對象，或通過單擊“浏覽”查找所需的組政策對象

6）單擊“完成”，單擊“關閉”，然後單擊“确定”。組政策管理單元即打開要編輯的組政策對象。

　　對于不包含域的計算機系統來說，在上面第5步的界面中，隻有“計算機”标簽，而沒有其他标簽項目。

　　通過上面的方法，我們就可以使用Windows 2000/XP/2003組政策系統強大的網絡配置功能，讓管理者的工作更輕松和高效。

在上面我們介紹了Windows 9X下的政策編輯器配置項目有“選中、清除、變灰”三種狀态，Windows 2000/XP/2003組政策管理控制台同樣也有三種狀态，隻不過名字變了。它們分别是：已啟用、未配置、已禁用。

　

四、“桌面”設定

Windows的桌面就像我們的辦公桌一樣，需要經常進行整理和清潔，而組政策就如同我們的貼身秘書，讓桌面管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置執行個體：

位置：“組政策控制台→使用者配置→管理模闆→桌面”

　　1．隐藏桌面的系統圖示（Windows 2000/XP/2003）

　　雖然通過修改系統資料庫的方式可以實作隐藏桌面上的系統圖示的功能，但這樣比較麻煩，也有一定的風險。而采用組政策配置的方法，可以友善快捷地達到此目的。

比如要隐藏桌面上的“網路上的芳鄰”和“Internet Explorer”圖示，隻要在右側窗格中将“隐藏桌面上‘網路上的芳鄰’圖示”和“隐藏桌面上的Internet Explorer圖示”兩個政策選項啟用即可；如果隐藏桌面上的所有圖示，隻要将“隐藏和禁用桌面上的所有項目”啟用即可；當啟用了“删除桌面上的‘我的檔案’圖示”和“删除桌面上的‘我的電腦’圖示”兩個選項以後，“我的電腦”和“我的檔案”圖示将從你的電腦桌面上消失；

同樣如果要讓“資源回收筒”圖示消失，隻須将“從桌面删除資源回收筒”政策項啟用即可。

2．退出時不儲存桌面設定（Windows 2000/XP/2003）

　　此政策可以防止使用者儲存對桌面的某些更改。如果你啟用這個政策，使用者仍然可以對桌面做更改，但有些更改，如圖示的位置、工作列的位置及大小，在使用者登出後都無法儲存，不過工作列上的快捷方式總可以被儲存。

在右側窗格中将“退出時不儲存設定”這個政策選項啟用即可。

　　3．屏蔽“清理桌面向導”功能（Windows XP/2003）

　　“清理桌面向導”會每隔 60 天自動在使用者的電腦上運作，以清除那些使用者不經常使用或者從不使用的桌面圖示。如果啟用此政策設定，則可以屏蔽“清理桌面向導”，如果你禁用或不配置此設定，“清理桌面向導”會按照預設設定每隔60天運作一次。

打開右側窗格中的“删除清理桌面向導”，根據需要設定政策選項即可。

　　4．啟用/禁用“活動桌面”（Windows 2000/XP/2003）

　　“活動桌面”是Windows 98（及以後版本）或安裝了IE 4.0的系統中自帶的進階功能，最大的特點是可以設定各種圖檔格式的牆紙，甚至可以将網頁作為牆紙顯示。

但出于對安全和性能的考慮，有時候我們需要禁用這一功能（并且禁止使用者啟用它），通過政策設定可以輕松達到這一要求。具體操作方法：打開右側窗格中的“禁用活動桌面”并啟用此政策。

提示：如果同時啟用“啟用 Active Desktop”設定和“禁用 Active Desktop”設定，則“禁用 Active Desktop”設定會被忽略。

如果 “禁用 Active Desktop 和 Web 視圖”設定（在“使用者配置→管理模闆→Windows元件→Windows資料總管”中）被啟用，Active Desktop 就會被禁用，并且這兩個政策都會被忽略。

　以上介紹了幾個關于桌面的組政策配置項目，在“組政策控制台→使用者配置→管理模闆→桌面”下還有其他若幹組政策配置項目，讀者可根據需要進行配置，這裡不再贅述。

五、個性化“工作列”和“開始”菜單

顯示了“工作列”和“開始”菜單的有關組政策配置項目。下面我們來看具體的執行個體：

位置：“組政策控制台→使用者配置→管理模闆→工作列和開始菜單”

　　1．給“開始”菜單減肥（Windows 2000/XP/2003）

如果覺得Windows的“開始”菜單太臃腫的話，可以将不需要的菜單項從“開始”菜單中删除。在組政策右側窗格中，提供了“從開始菜單删除使用者檔案夾”、“删除到‘Windows Update’的通路和連結”、“從開始菜單删除公用程式組”、“從開始菜單中删除‘我的檔案’圖示”等多種組政策配置項目。你隻要将不需要的菜單項所對應的政策啟用即可。

2．保護好“工作列”和“開始”菜單（Windows 2000/XP/2003）

　　如果你不想随意讓他人更改“工作列”和“開始”菜單的設定，你隻要将組政策控制台右側窗格中的“阻止更改‘工作列和開始菜單’設定”和“阻止通路工作列的上下文菜單”兩個政策項啟用即可。這樣，當你用滑鼠右鍵單擊工作列并單擊“屬性”時，系統會出現一個錯誤消息，且當滑鼠右鍵單擊工作列及工作列上的項目時，例如“開始”按鈕、時鐘和“工作列”按鈕，彈出菜單會隐藏。

3．禁止“登出”和“關機”（Windows 2000/XP/2003）

當計算機啟動以後，如果你不希望這個使用者再進行“關機”和“登出”操作，那麼可将組政策控制台右側窗格中的“删除開始菜單上的‘登出’”和“删除和阻止通路‘關機’指令”兩個政策啟用。

這個設定會從開始菜單删除“關機”選項，并禁用“Windows 任務管理器”對話框按“Ctrl+Alt+Del”會出現這個對話框中的“關機”選項 。另外需要注意的是，此設定雖然可防止使用者用 Windows界面來關機，但無法防止使用者用其他第三方工具程式來将 Windows 關閉。

提示：如果啟用了“删除開始菜單上的‘登出’”，則會從“開始菜單選項”删除“顯示登出”項目。使用者無法将“登出<使用者名>”項目還原到開始菜單（隻能通過手工修改系統資料庫的方法）。

這個設定隻影響開始菜單，它不影響 “Windows 任務管理器”對話框上的“登出”項目（是以需要同時啟用“删除和阻止通路‘關機’指令”），而且不妨礙使用者用其它方法登出。

4．利用組政策保護個人文檔隐私（Windows 2000/XP/2003）

　　Windows有個進階智能功能，即可以記錄你曾經通路過的檔案。雖然這個功能可以友善使用者再次打開該檔案，但出于安全和性能的考慮（例如不想讓人知道自己浏覽過哪些網頁和打開過哪些檔案），有時需要屏蔽此功能.

利用組政策，隻要在右側窗格中将“不要保留最近打開文檔的記錄”和“退出時清除最近打開的文檔的記錄”兩個政策啟用即可。

另外需要注意的是，如果啟用此政策設定但不啟用“從開始菜單中删除文檔菜單”政策設定，“文檔”菜單還會出現在“開始”菜單上，但是該菜單為空菜單。

如果啟用此政策設定，後來又禁用它并将它設定為“未配置”，則啟用政策設定之前儲存的文檔快捷方式會重新出現在“文檔”菜單和應用程式的“檔案”菜單中。

六、IE設定手到擒來

　　微軟的Internet Explorer讓我們可以輕松地在網際網路上遨遊，但要想用好Internet Explorer，則必須将它配置好。

在IE浏覽器的“Internet選項”視窗中，提供了比較全面的設定選項（例如：“首頁”、“臨時檔案夾”、“安全級别”和“分級審查”等項目），但部分進階功能沒有提供，而通過組政策即可輕松實作這些功能。下面來看具體執行個體：

位置：“組政策控制台→使用者配置→管理模闆→Windows 元件→Internet Explorer（需添加inetres.adm模闆檔案）”

　　1．禁用“在新視窗中打開”菜單項（Windows 2000/XP/2003）

出于對安全的考慮，有時候我們有必要屏蔽IE的一些功能菜單，組政策提供了豐富的設定項目，比如禁用“另存為...”、“檔案”、“建立”等。下面以“禁用‘在新視窗中打開’菜單項”為例介紹具體的設定方法。

　　打開“組政策控制台→使用者配置→管理模闆→Windows 元件→Internet Explorer→浏覽器菜單”，然後打開“禁用‘在新視窗中打開’菜單項”并設定為“啟用”。啟用該政策後，使用者在某個連結上單擊滑鼠右鍵，然後單擊“在新視窗中打開”時，該指令将不起作用。該政策可與“‘檔案’菜單禁用‘建立’菜單項”一起使用，後者禁止使用者通過單擊“檔案”菜單，指向“建立”，然後單擊“視窗”在新視窗中打開浏覽器。

提示：啟用該政策後，單擊“在新視窗中打開”指令，将無法在新視窗中打開連結，系統會提示使用者該指令無效，網頁自動打開的視窗也全部被禁止，其實這樣也可達到屏蔽彈出廣告視窗的效果。

　　2．限制IE浏覽器的儲存功能（Windows 2000/XP/2003）

　　在使用IE浏覽網頁過程中，當遇到好的圖檔、文章等資源時可以使用“另存為”功能将它儲存到本地硬碟中，當多人共用一台計算機時，為了保持硬碟的整潔，需要對浏覽器的儲存功能進行限制。那麼如何才能實作呢?可以這樣操作：打開“組政策控制台→使用者配置→管理模闆→Windows元件→Internet Explorer→浏覽器菜單”，然後将右側窗格中的“‘檔案’菜單：禁用‘另存為...’菜單項”、“‘檔案’菜單：禁用另存為網頁菜單項”、“‘檢視’菜單：禁用‘源檔案’菜單項”和“禁用上下文菜單”等政策項目全部啟用即可。

如果不希望别人對IE浏覽器的設定随意更改，可以将“‘工具’菜單：禁用‘Internet選項...’”政策啟用。另外，根據個人的需要，在該窗格中還可以禁用其他項目。

3．禁用“Internet 選項”控制台（Windows 2000/XP/2003）

　　上面提到了“禁用Internet選項”的功能，使用該功能可以達到阻止别人對IE随便設定的目的。而這種方法無法具體禁用Internet選項中的控制模闆項目，是以給具體應用帶來麻煩。通過下面的組政策設定方法，則可以實作這一要求：

　　打開“組政策控制台→使用者配置→管理模闆→Windows元件→Internet Explorer→Internet 控制台”，在右邊窗格中我們可以看到“禁用正常頁”、“禁用安全頁”等組政策項目。下面以“禁用正常頁”為例進行說明：打開右邊窗格中的“禁用正常頁”并設定為“啟用”。然後我們再打開Internet選項控制台，會發現“正常”項目已經沒有了，這樣一來使用者将無法看到和更改首頁、緩存、曆史記錄、網頁外觀以及輔助功能的設定，因為該政策将删除界面上的“正常”頁籤，是以如果設定了該政策，則無須設定位于 “使用者配置→管理模闆→Windows 元件→Internet Explorer”中的諸如“禁用更改首頁設定”、“禁用更改顔色設定”等政策。

4．禁止修改IE浏覽器的首頁（Windows 2000/XP/2003）

　　如果不希望他人對自己設定的IE浏覽器首頁進行随意更改的話，可以打開“組政策控制台→使用者配置→管理模闆→Windows元件→Internet Explorer→工具欄”，然後選擇“禁用更改首頁設定”組政策并啟用即可。另外在這個窗格中，還提供了“更改曆史記錄設定”、“更改顔色設定”和“更改Internet臨時檔案設定”等項目的禁用功能。

　　啟用此政策後，在IE浏覽器的“Internet 選項”對話框中，其“正常”頁籤的“首頁”區域的設定将變灰。

　　提示：如果設定了位于“組政策控制台→使用者配置→管理模闆→Windows元件→Internet Explorer→Internet Explorer控制台”中的“禁用正常頁”政策，則無須設定該政策，因為“禁用正常頁”政策将删除界面上的“正常”頁籤。

5．自定義IE工具欄（Windows 2000/XP/2003）

　　IE工具欄的背景和上面的按鈕都是可以自定義的，以前我們大多使用手動修改系統資料庫的方法，不過并不直覺，現在我們用“組政策”可以更友善地達到效果，打造屬于我們自己的IE。

　　打開“組政策控制台→使用者配置→Windows設定→Internet Explorer維護→浏覽器使用者界面”下的“浏覽器工具欄按鈕自定義”政策配置項目，在這裡，可以自定義浏覽器工具欄的背景圖檔，點選“浏覽”選擇一個BMP的位圖檔案即可（注意：工具欄背景應該與工具欄大小相同，而亮度應該足以顯示黑色文字，否則實際效果并不理想）。

　　接下來，我們要在IE的工具欄上添加自己的快捷方式，比如添加“我的QQ”，在這裡也可以很輕松地完成。

點選“添加”，在“工具欄标題”中輸人“我的QQ”，在“工具欄操作”中選擇QQ程式的路徑，最後再選擇好“顔色圖示”和“灰階圖示”的路徑（如果你不知道怎麼提取這兩個圖示，

可以請EXeScope這個軟體來幫忙，在各大站點都可以下載下傳）。設定完成後點“确定”，再次打開IE後就可以看到修改的效果了。

　

七、輕松實作Windows進階功能

　　1．設定并鎖定Windows Media Player外觀（Windows 2000/XP/2003）

　　Windows Media Player是目前最流行的多媒體播放器之一，如果不希望其他使用者随意更改其界面外觀的話，利用組政策可以輕松實作。打開“組政策控制台→使用者配置→管理模闆→Windows 元件→Windows Media Player→使用者界面中的設定并鎖定外觀”啟用此政策。

　　啟用此政策後，将使 Windows Media Player 隻以指定的外觀模式顯示，具體可以使用在“政策”頁籤上的“外觀”框中指定的外觀。你必須為外觀使用完整的檔案名例如miniplayer.wmz。如果外觀檔案在使用者的計算機上沒有安裝，播放器将以Windows Media Player外觀打開。

　　提示：本政策設定軟體版本至少為Windows Media Player v8.00，ADM檔案為wmplayer.adm。

2．禁止Windows Media Player播放時運作屏保（Windows 2000/XP/2003）

　　螢幕保護程式可以有效地保護我們的顯示器，但是當我們使用播放器觀看精彩影片時，經常會出現螢幕保護程式突然運作而中斷觀看的尴尬局面。現在我們可以通過組政策來解決螢幕保護程式使Windows Media Player播放中斷的麻煩問題了。打開“組政策控制台→使用者配置→管理模闆→Windows元件→Windows Media Player→播放中的允許運作螢幕保護程式”并将它設定為“已禁用”狀态。

　　3．優化配置Windows Media Player網絡緩沖（Windows 2000/XP/2003）

　　當我們使用Windows Media Player播放流式媒體時，播放器會在播放前對流式媒體進行緩沖處理，以便可以流暢地進行播放。在實際應用中，根據網絡帶寬和伺服器的連接配接速度，緩存的時間長短并不一樣，但Windows Media Player卻是在使用同一設定，這無疑與實際網絡情況不比對，是以我們可以根據具體的網絡帶寬情況自己優化配置網絡緩沖。打開“組政策控制台→使用者配置→管理模闆→Windows元件→Windows Media Player→網絡中的配置網絡緩沖”并設定為啟用狀态，在出現的緩沖時間（秒數）配置選項中，根據網絡的帶寬情況進行自定義（最多 60 秒）。

提示：如果此政策已啟用，那麼Windows Media Player“性能”頁籤上的緩存選項将不能再配置。

4．屏蔽使用所有 Windows Update 功能的通路（Windows 2000/XP/2003）

　　Windows Update可以自動連接配接Microsoft網站并下載下傳更新内容，這對大部分使用者來說是比較實用的，但對于不需要更新或者帶寬緊張的電腦使用者來說，此功能就顯得多餘了，而且經常傳聞Windows Update會将計算機使用者資訊“秘密”發往Microsoft，是以也可以屏蔽這一“智能”進階功能。打開“組政策控制台→使用者配置→管理模闆→Windows 元件→Windows Update”中的“删除使用所有 Windows Update 功能的通路”組政策并啟用此政策。

提示：如果你啟用此設定，所有 Windows Update功能（其中包括阻止通路Windows Update網站http//windowsupdate.microsoft.com、開始菜單上的 Windows Update的超連結和Internet資料總管上的工具菜單）将被删除。Windows自動更新也被禁用，你将不會收到有關更新的通知，也不會接到Windows Update的重要更新。此設定還會阻止裝置管理器自動從Windows Update網站下載下傳安裝驅動程式的更新。

5．在Windows XP/2003中實作遠端關機（Windows XP/2003）

　　在Windows XP/2003中，新增了一條指令行工具“shutdown”，它可以關閉或重新啟動本地或遠端計算機。利用它，我們不但可以登出使用者、關閉或重新啟動計算機，還可以實作定時關機、遠端關機。該指令的文法格式如下：

shutdown [-i |-l|-s |-r |-a][-f][-m[\\ComputerName]][-t xx][-c ″message″][-d[p] x:yy]

　　該指令具體的使用參數和技巧請參考Windows的幫助系統，幫助系統裡面有全面的資料。我們現在簡單地看一下該指令的一些基本用法：

　　1）登出目前使用者

　　shutdown - l

　　該指令隻能登出本機使用者，對遠端計算機不适用。

2）關閉本地計算機

　　shutdown - s

　　3）重新開機本地計算機

　　shutdown - r

　　4）定時關機

　　shutdown - s -t 30

　　指定在30秒之後自動關閉計算機。

5）中止計算機的關閉。有時我們設定了計算機定時關機後，如果出于某種原因又想取消這次關機操作，就可以用shutdown - a來中止。

　　在該指令的格式中，有一個參數[-m [\\ComputerName]，用它可以指定将要關閉或重新開機的計算機名稱，若省略的話則預設為對本機操作。你可以用以下指令來試一下：

shutdown -s -m \\Anyes-solon -t 30

　　在30秒内關閉計算機名為Anyes-solon（Anyes-solon為區域網路内一台同樣裝有Windows XP/2003）的電腦。

　　該指令執行後，計算機Anyes-solon一點反應都沒有，螢幕上卻提示“Access is denied （拒絕通路）”。

　　出現這種情況是因為Windows XP預設的安全政策中，隻有管理者組的使用者才有權從遠端關閉計算機，而一般情況下我們從區域網路内的其他電腦通路該計算機時，則隻有guest使用者權限，是以當我們執行上述指令時，便會出現“拒絕通路”的情況。

而我們利用組政策即可賦予guest使用者遠端關機的權限。打開“組政策控制台→計算機配置→Windows 設定→安全設定→本地政策→使用者權利指派中的從遠端系統強制關機”，在彈出的對話框中顯示目前隻有“Administrators”組的成員才有權從遠端關機；單擊對話框下方的“添加使用者或組”按鈕，然後在新彈出的對話框中輸入“guest”，再單擊“确定”按鈕。

通過上述操作後，我們便給計算機Anyes-solon的guest使用者授予了遠端關機的權限。以後，倘若你要遠端關閉計算機Anyes-solon，隻要在網絡中其他裝有Windows XP/2003的計算機中輸入以下指令shutdown -s -m \\Anyes-solon -t 60即可。

這時，在Anyes-solon計算機的螢幕上将顯示一個“系統關機”的對話框，在對話框下方還有一個計時器，顯示離關機還有多少時間。在等待關機的時間裡，使用者還可以執行其他的任務，如關閉程式、打開檔案等，但無法關閉該對話框，除非你用shutdown -a指令來中止關機任務。

八、用組政策提升系統性能

　　1．讓Windows 的上網速率提升20%（Windows XP/2003）

　　預設情況下，Windows網絡連接配接資料包排程程式将系統限制在80%的連接配接帶寬之内，這對帶寬較小的網絡來說，無疑是筆不小的開支。我們可以通過組政策設定來替代預設值，讓我們的上網速率提高20%!

打開“組政策控制台→計算機配置→管理模闆→網絡”中的“QoS資料包排程程式”并啟用此政策，然後使用下面“帶寬限制”框來調整系統可保留的帶寬比例，将它設定為0%即可，然後按确定退出，之後我們就可以使用另外20%的帶寬了。

　　2．關閉縮略圖的緩存（Windows XP/2003）

　　Windows XP/20003系統具有縮略圖視圖功能，且為了加快那些被頻繁浏覽的縮略圖顯示速度，系統會将這些被顯示過的圖檔進行緩存，以便下次打開時直接讀取緩存中的資訊，進而達到快速顯示的目的。但如果我們不希望系統進行緩沖的話（比如隻浏覽一次的圖檔），則可以利用組政策關閉縮略圖緩存的功能，這樣第一次浏覽速度反而會大大加快（因為不進行緩存處理）。

打開“組政策控制台→使用者配置→管理模闆→Windows元件→Windows資料總管”中的“關閉縮略圖的緩存”并啟用此政策。

　　3．屏蔽系統自帶的CD刻錄功能（Windows XP/2003）

　　Windows XP/2003系統自帶CD刻錄功能，如果你有CD刻錄機接在計算機上，Windows 資料總管允許你制作并修改可重寫式CD。但這樣無疑會影響系統性能和資料總管的執行速度，是以我們可以利用組政策來屏蔽此功能（大部分使用者都使用專用的CD刻錄軟體）。

　　打開“組政策控制台→使用者配置→管理模闆→網絡→”中的“删除CD刻錄功能”并啟用此政策。

　　4．關閉系統還原功能（Windows XP/2003）

　　系統還原是Windows XP/2003中內建的強大功能，它在系統運作的同時，備份那些被更改的檔案和資料，如果出現問題，系統還原使使用者能夠在不丢失個人資料檔案的情況下，将計算機還原到以前的狀态。預設情況下，系統還原處于打開狀态。

　但為這一功能付出的代價也是相當大的，系統性能會明顯下降，磁盤空間也會被占用很多。對于配置不高的計算機來說，強烈建議關閉此功能。

　　打開“組政策控制台→計算機配置→管理模闆→系統→系統還原”中的“關閉系統還原”并啟用此政策。啟用此設定後即可關閉系統還原功能，并且不能通路“系統還原向導”和“配置界面”。

　　5．禁止Windows Messenger自動運作（Windows XP/2003）

　　在Windows系統中內建的優秀應用軟體越來越多，但這些系統内置的軟體都沒有解除安裝選項，引起很多電腦使用者的不滿。比如Windows XP自帶的Windows Messenger，不但解除安裝不友善而且還随系統一起自動運作。對于不上網的計算機使用者或者根本就不用Windows Messenger的使用者來說，當然要屏蔽此軟體的自動運作功能。

打開“組政策控制台→計算機配置→管理模闆→Windows元件→Windows Messenger”中的“不允許運作Windows Messenger ”并啟用此政策。

　　提示：這個設定出現在“計算機配置”和“使用者配置”檔案夾中。如果兩個設定都配置，“計算機配置”中的設定比“使用者配置”中的設定優先。

九、用組政策打造系統銅牆鐵壁級功能

　　1．隐藏“我的電腦”中指定的驅動器（Windows XP/2003）

　　此組政策可以從“我的電腦”和“Windows 資料總管”上删除代表所選硬體驅動器的圖示。并且驅動器号代表的所有驅動器不出現在标準的打開對話框上。

　打開“組政策控制台→使用者配置→管理模闆→Windows元件→Windows資料總管”中的“隐藏‘我的電腦’中的這些指定的驅動器”并啟用此政策，并在下面清單框中選擇一個驅動器或幾個驅動器。

　　提示：這項政策隻删除驅動器圖示。使用者仍可通過使用其它方式繼續通路驅動器的内容。同時這項政策不會防止使用者使用程式通路這些驅動器或其内容。并且也不會防止使用者使用磁盤管理即插即用來檢視并更改驅動器特性。

　　2．防止從“我的電腦”通路驅動器（Windows 2000/XP/2003）

　　此政策讓使用者無法檢視在“我的電腦”或“Windows 資料總管”中所選驅動器的内容。同時它也禁止使用運作對話框、鏡像網絡驅動器對話框或Dir指令檢視在這些驅動器上的目錄。

　　打開“組政策控制台→使用者配置→管理模闆→Windows元件→Windows資料總管”中的“防止從‘我的電腦’通路驅動器”并啟用此政策，并在下面清單框中選擇一個驅動器或幾個驅動器。

提示：這些代表指定驅動器的圖示仍舊會出現在“我的電腦”中，但是如果使用者輕按兩下圖示，會出現一條消息解釋設定防止這一操作。同時這些設定不會防止使用者使用其它程式通路本地和網絡驅動器。并且不防止他們使用磁盤管理即插即用檢視和更改驅動器特性。

　　3．禁止使用指令提示符（Windows 2000/XP/2003）

　　在Windows 2000/XP/2003下，我們可以運作cmd.exe進入指令提示符狀态，并可以繼續運作一些DOS指令和其他指令行程式。出于對安全的考慮，有些系統應該屏蔽此功能。

打開“組政策控制台→使用者配置→管理模闆→系統”中的“阻止通路指令提示符”并啟用此政策，并在下面清單框中選擇是否“也停用指令提示符腳本處理”，這個設定還決定批處理檔案 .cmd和.bat是否可以在計算機上運作。

　　如果啟用這個設定，在使用者試圖打開指令視窗時，系統會顯示一條消息，解釋設定阻止這一操作。

　　4．禁止更改顯示屬性（Windows 2000/XP/2003）

　　選擇“控制台”中的“顯示”或在Windows桌面的空白處單擊右鍵選擇“屬性”，可進入“顯示設定”對話框，可以對桌面主題、桌面背景、屏保程式、顯示設定等各項進行設定，如果你不想讓别人随意更改各項設定，可以通過組政策将它隐藏起來。

　　打開“組政策控制台→使用者配置→管理模闆→控制台→顯示”，然後可以看到隐藏桌面頁籤、隐藏主題頁籤、隐藏保護程式頁籤、隐藏設定頁籤等政策配置，可根據需要對這些項目進行配置。比如啟用了“隐藏‘桌面’頁籤”政策後，再打開“顯示屬性”對話框，就看不到“桌面”标簽了，這樣自然就無法再對桌面屬性進行更改了。

5．禁用系統資料庫編輯器（Windows 2000/XP/2003）

　　為了防止他人進入電腦後對系統資料庫檔案進行修改，可以在組政策中對系統資料庫編輯器做禁止通路設定。具體操作方法：打開“組政策控制台→使用者配置→系統”中的“阻止通路系統資料庫編輯工具”并啟用此政策。

　　此政策被啟用後，使用者試圖啟動系統資料庫編輯器（Regedit.exe 及 Regedt32.exe）的時候，系統會禁止這類操作并彈出警告消息。

　　6．徹底禁止通路“控制台”（Windows 2000/XP/2003）

　　如果不希望其他使用者通路計算機的“控制台”，同樣可以使用組政策來實作。打開“組政策控制台→使用者配置→管理模闆→擴充面闆”中的“禁止通路控制台”并啟用此政策。

　　此政策啟用後可以防止“控制台”程式檔案（Control.exe）的啟動。他人将無法啟動“控制台”（或運作任何“控制台”項目）。另外，這個設定将從“開始”菜單中删除“控制台”。同時這個設定還從“Windows資料總管”中删除“控制台”檔案夾。

　　7．禁止建立新的撥接上網（Windows 2000/XP/2003）

如果不想讓别人在計算機中建立新連接配接來撥号上網的話，組政策也可以做到。打開“組政策控制台→使用者配置→管理模闆→網絡→網絡連接配接”中的“禁止通路建立連接配接向導”并啟用此政策。

　　啟用此政策後，在“網絡連接配接”檔案夾和“開始菜單”中就不會出現“建立新連接配接”。

　　提示：此設定無法阻止使用者使用諸如 Internet Explorer 這樣的其它程式來繞過此設定。另外此設定必須重新啟動計算機後才能生效。

　　8．禁用“添加/删除程式”（Windows 2000/XP/2003）

　　“控制台”中“添加或删除程式”項目允許你安裝、解除安裝、修複并添加和删除 Windows 的功能群組件以及種類很多的 Windows 程式。如果你想阻止其他使用者安裝或解除安裝程式，可利用組政策來實作。

　　打開“組政策控制台→使用者配置→管理模闆→控制台→添加→删除程式”中的“删除‘添加/删除程式’程式”并啟用此政策，當我們再打開“控制台”中“添加/删除程式”子產品的時候，會自動彈出警告視窗，而“添加/删除程式”則無法運作。

此外，在“添加/删除程式”分支中還可以對Windows“添加/删除程式”項中的“添加新程式”、“從CD-ROM或軟碟添加程式”、“從Microsoft添加程式”、“從網絡添加程式”等項進行隐藏，通過這些政策項目的設定，起到了保護計算機中系統檔案及應用程式的作用。

　　9．限制使用應用程式（Windows 2000/XP/2003）

　如果你的電腦設定了多個使用者，有些程式我們可能不希望其他使用者随意運作，也能在組政策中設定。

　　打開“組政策控制台→使用者配置→管理模闆→系統”中的“隻運作許可的Windows應用程式”并啟用此政策，然後點選下面的“允許的應用程式清單”邊的“顯示”按鈕，彈出一個“顯示内容”對話框，在此單擊“添加”按鈕來添加允許運作的應用程式即可。以後一般使用者隻能運作“允許的應用程式清單”中的程式。