個人電腦組政策應用全攻略

組政策應用全攻略

一、什麼是組政策

（一）組政策有什麼用?

說到組政策，就不得不提系統資料庫。系統資料庫是Windows系統中儲存系統、應用軟體配置的

資料庫，随着Windows 功能的越來越豐富，系統資料庫裡的配置項目也越來越多。很多配置都是

可以自定義設定的，但這些配置釋出在系統資料庫的各個角落，如果是手工配置，可想是多麼困

難和煩雜。而組政策則将系統重要的配置功能彙內建各種配置子產品，供管理人員直接使用，

進而達到友善管理計算機的目的。

簡單點說，組政策就是修改系統資料庫中的配置。當然，組政策使用自己更完善的管理組織

方法，可以對各種對象中的設定進行管理和配置，遠比手工修改系統資料庫友善、靈活，功能也

更加強大。

（二）組政策的版本

大部分Windows 9X/NT 使用者可能聽過“系統政策”的概念，而我們現在大部分聽到的則

是“組政策”這個名字。其實組政策是系統政策的更進階擴充，它是由Windows 9X/NT的“系

統政策”發展而來的，具有更多的管理模闆和更靈活的設定對象及更多的功能，目前主要應

用于Windows 2000/XP/2003 系統。

早期系統政策的運作機制是通過政策管理模闆，定義特定的.POL（通常是Config.pol）

檔案。當使用者登入的時候，它會重寫系統資料庫中的設定值。當然，系統政策編輯器也支援對當

前系統資料庫的修改，另外也支援連接配接網絡計算機并對其系統資料庫進行設定。而組政策及其工具，

則是對目前系統資料庫進行直接修改。顯然，Windows 2000/XP/2003 系統的網絡功能是其最大

的特色之處，其網絡功能自然是不可少的，是以組政策工具還可以打開網絡上的計算機進行

配置，甚至可以打開某個Active Directory 對象（即站點、域或組織機關）并對它進行設

置。這是以前“系統政策編輯器”工具無法做到的。

無論是系統政策還是組政策，它們的基本原理都是修改系統資料庫中相應的配置項目，進而

達到配置計算機的目的，隻是它們的一些運作機制發生了變化和擴充而已。

三、組政策中的管理模闆

在Windows 2000/XP/2003 目錄中包含了幾個 .adm 檔案。這些檔案是文本檔案，稱為

“管理模闆”，它們為組政策管理模闆項目提供政策資訊。

在Windows 9X 系統中，預設的admin.adm 管理模闆即儲存在政策編輯器同一個檔案夾

中。而在Windows 2000/XP/2003 的系統檔案夾的inf 檔案夾中，包含了預設安裝下的4個

模闆檔案，分别為：

1）System.adm：預設情況下安裝在“組政策”中，用于系統設定。

2）Inetres.adm：預設情況下安裝在“組政策”中；用于Internet Explorer政策設定。

3）Wmplayer.adm：用于Windows Media Player 設定。

4）Conf.adm：用于NetMeeting 設定。

在Windows 2000/XP/2003 的組政策控制台中，可以多次添加“政策模闆”，而在

Windows 9X 下，則隻允許目前打開一個政策模闆。下面介紹使用政策模闆的方法。首先在

Windows 2000/XP/2003 組政策控制台中使用如下：

首先運作“組政策”程式，然後選擇“計算機配置”或者“使用者配置”下的“管理模

闆”，按下滑鼠右鍵，在彈出的菜單中選擇“添加/删除模闆”，則彈出對話框。

然後單擊“添加”按鈕，在彈出的對話框中選擇相應的.adm檔案。單擊“打開”按鈕，

則在系統政策編輯器中打開標明的腳本檔案，并等待使用者執行。

傳回到“組政策”編輯器主界面後，依次打開目錄“本地計算機政策→使用者配置→管理

模闆”，再點選相應的目錄樹，就會看到我們新添加的管理模闆所産生的配置項目了（為了

便于本文後面的執行個體大家能一起動手*作，建議添加除預設模闆檔案的其它模闆檔案）。

再來看Windows 9X 下的組政策編輯器。首先在組政策編輯器中的“檔案”菜單中選擇

“關閉”，以便将目前腳本關閉，然後再在“選項”菜單中選擇“模闆”，則彈出對話框。

然後單擊“打開模闆”按鈕，在彈出的對話框中選擇相應的.adm 檔案并單擊“打開”

按鈕，則在編輯器中打開標明的腳本檔案并等待使用者執行。

四、“桌面”設定

Windows的桌面就像我們的辦公桌一樣，需要經常進行整理和清潔，而組政策就如同我

們的貼身秘書，讓桌面管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置執行個體：

位置：“組政策控制台→使用者配置→管理模闆→桌面”

1．隐藏桌面的系統圖示（Windows 2000/XP/2003）

雖然通過修改系統資料庫的方式可以實作隐藏桌面上的系統圖示的功能，但這樣比較麻煩，

也有一定的風險。而采用組政策配置的方法，可以友善快捷地達到此目的。

比如要隐藏桌面上的“網路上的芳鄰”和“Internet Explorer”圖示，隻要在右側窗格中

将“隐藏桌面上‘網路上的芳鄰’圖示”和“隐藏桌面上的Internet Explorer圖示”兩個政策

選項啟用即可；如果隐藏桌面上的所有圖示，隻要将“隐藏和禁用桌面上的所有項目”啟用

即可；當啟用了“删除桌面上的‘我的檔案’圖示”和“删除桌面上的‘我的電腦’圖示”

兩個選項以後，“我的電腦”和“我的檔案”圖示将從你的電腦桌面上消失；同樣如果要讓

“資源回收筒”圖示消失，隻須将“從桌面删除資源回收筒”政策項啟用即可。

2．退出時不儲存桌面設定（Windows 2000/XP/2003）

此政策可以防止使用者儲存對桌面的某些更改。如果你啟用這個政策，使用者仍然可以對桌

面做更改，但有些更改，如圖示的位置、工作列的位置及大小，在使用者登出後都無法儲存，

不過工作列上的快捷方式總可以被儲存。

在右側窗格中将“退出時不儲存設定”這個政策選項啟用即可。

3．屏蔽“清理桌面向導”功能（Windows XP/2003）

“清理桌面向導”會每隔 60 天自動在使用者的電腦上運作，以清除那些使用者不經常使用

或者從不使用的桌面圖示。如果啟用此政策設定，則可以屏蔽“清理桌面向導”，如果你禁

用或不配置此設定，“清理桌面向導”會按照預設設定每隔60 天運作一次。

打開右側窗格中的“删除清理桌面向導”，根據需要設定政策選項即可。

4．啟用/禁用“活動桌面”（Windows 2000/XP/2003）

“活動桌面”是Windows 98（及以後版本）或安裝了IE 4.0的系統中自帶的進階功能，

最大的特點是可以設定各種圖檔格式的牆紙，甚至可以将網頁作為牆紙顯示。但出于對安全

和性能的考慮，有時候我們需要禁用這一功能（并且禁止使用者啟用它），通過政策設定可以

輕松達到這一要求。具體*作方法：打開右側窗格中的“禁用活動桌面”并啟用此政策。

提示：如果同時啟用“啟用 Active Desktop”設定和“禁用 Active Desktop”設定，

則“禁用 Active Desktop”設定會被忽略。如果 “禁用 Active Desktop 和 Web 視圖”

設定（在“使用者配置→管理模闆→Windows元件→Windows資料總管”中）被啟用，Active

Desktop 就會被禁用，并且這兩個政策都會被忽略。

以上介紹了幾個關于桌面的組政策配置項目，在“組政策控制台→使用者配置→管理模闆

→桌面”下還有其他若幹組政策配置項目，讀者可根據需要進行配置，這裡不再贅述。

五、個性化“工作列”和“開始”菜單

在圖6所示視窗的右側，顯示了“工作列”和“開始”菜單的有關組政策配置項目。下

面我們來看具體的執行個體：

位置：“組政策控制台→使用者配置→管理模闆→工作列和開始菜單”

1．給“開始”菜單減肥（Windows 2000/XP/2003）

如果覺得Windows 的“開始”菜單太臃腫的話，可以将不需要的菜單項從“開始”菜單

中删除。在組政策右側窗格中，提供了“從開始菜單删除使用者檔案夾”、“删除到‘Windows

Update’的通路和連結”、“從開始菜單删除公用程式組”、“從開始菜單中删除‘我的文

檔’圖示”等多種組政策配置項目。你隻要将不需要的菜單項所對應的政策啟用即可。

2．保護好“工作列”和“開始”菜單（Windows 2000/XP/2003）

如果你不想随意讓他人更改“工作列”和“開始”菜單的設定，你隻要将組政策控制台

右側窗格中的“阻止更改‘工作列和開始菜單’設定”和“阻止通路工作列的上下文菜

單”兩個政策項啟用即可。這樣，當你用滑鼠右鍵單擊工作列并單擊“屬性”時，系統會出

現一個錯誤消息，且當滑鼠右鍵單擊工作列及工作列上的項目時，例如“開始”按鈕、時鐘

和“工作列”按鈕，彈出菜單會隐藏。

3．禁止“登出”和“關機”（Windows 2000/XP/2003）

當計算機啟動以後，如果你不希望這個使用者再進行“關機”和“登出”*作，那麼可将

組政策控制台右側窗格中的“删除開始菜單上的‘登出’”和“删除和阻止通路‘關機’

指令”兩個政策啟用。

這個設定會從開始菜單删除“關機”選項，并禁用“Windows 任務管理器”對話框□按

“Ctrl+Alt+Del”會出現這個對話框□中的“關機”選項 。另外需要注意的是，此設定雖

然可防止使用者用 Windows 界面來關機，但無法防止使用者用其他第三方工具程式來将

Windows 關閉。

提示：如果啟用了“删除開始菜單上的‘登出’”，則會從“開始菜單選項”删除“顯

示登出”項目。使用者無法将“登出”項目還原到開始菜單（隻能通過手工修改系統資料庫的方

法）。這個設定隻影響開始菜單，它不影響 “Windows 任務管理器”對話框上的“登出”

項目（是以需要同時啟用“删除和阻止通路‘關機’指令”），而且不妨礙使用者用其它方法

登出。

4．利用組政策保護個人文檔隐私（Windows 2000/XP/2003）

Windows有個進階智能功能，即可以記錄你曾經通路過的檔案。雖然這個功能可以友善

使用者再次打開該檔案，但出于安全和性能的考慮（例如不想讓人知道自己浏覽過哪些網頁和

打開過哪些檔案），有時需要屏蔽此功能。利用組政策，隻要在右側窗格中将“不要保留最

近打開文檔的記錄”和“退出時清除最近打開的文檔的記錄”兩個政策啟用即可。

另外需要注意的是，如果啟用此政策設定但不啟用“從開始菜單中删除文檔菜單”政策

設定，“文檔”菜單還會出現在“開始”菜單上，但是該菜單為空菜單。如果啟用此政策設

置，後來又禁用它并将它設定為“未配置”，則啟用政策設定之前儲存的文檔快捷方式會重

新出現在“文檔”菜單和應用程式的“檔案”菜單中。

六、IE 設定手到擒來

微軟的Internet Explorer 讓我們可以輕松地在網際網路上遨遊，但要想用好Internet

Explorer，則必須将它配置好。在IE 浏覽器的“Internet選項”視窗中，提供了比較全面

的設定選項（例如：“首頁”、“臨時檔案夾”、“安全級别”和“分級審查”等項目），

但部分進階功能沒有提供，而通過組政策即可輕松實作這些功能。下面來看具體執行個體：

位置：“組政策控制台→使用者配置→管理模闆→Windows 元件→Internet Explorer（需

添加inetres.adm 模闆檔案）”

1．禁用“在新視窗中打開”菜單項（Windows 2000/XP/2003）

出于對安全的考慮，有時候我們有必要屏蔽IE 的一些功能菜單，組政策提供了豐富的

設定項目，比如禁用“另存為...”、“檔案”、“建立”等。下面以“禁用‘在新視窗中 打開’菜單項”為例介紹具體的設定方法

。

打開“組政策控制台→使用者配置→管理模闆→Windows 元件→Internet Explorer→浏

覽器菜單”，然後打開“禁用‘在新視窗中打開’菜單項”并設定為“啟用”。啟用該政策

後，使用者在某個連結上單擊滑鼠右鍵，然後單擊“在新視窗中打開”時，該指令将不起作用。

該政策可與“‘檔案’菜單禁用‘建立’菜單項”一起使用，後者禁止使用者通過單擊“文

件”菜單，指向“建立”，然後單擊“視窗”在新視窗中打開浏覽器（“建立→視窗”項目

已經無法使用）。

提示：啟用該政策後，單擊“在新視窗中打開”指令，将無法在新視窗中打開連結，系

統會提示使用者該指令無效，網頁自動打開的視窗也全部被禁止，其實這樣也可達到屏蔽彈出

廣告視窗的效果。

2．限制IE 浏覽器的儲存功能（Windows 2000/XP/2003）

在使用IE 浏覽網頁過程中，當遇到好的圖檔、文章等資源時可以使用“另存為”功能

将它儲存到本地硬碟中，當多人共用一台計算機時，為了保持硬碟的整潔，需要對浏覽器的

儲存功能進行限制。那麼如何才能實作呢?可以這樣*作：打開“組政策控制台→使用者配置

→管理模闆→Windows 元件→Internet Explorer→浏覽器菜單”，然後将右側窗格中的

“‘檔案’菜單：禁用‘另存為...’菜單項”、“‘檔案’菜單：禁用另存為網頁菜單項”、

“‘檢視’菜單：禁用‘源檔案’菜單項”和“禁用上下文菜單”等政策項目全部啟用即

可。

如果不希望别人對IE 浏覽器的設定随意更改，可以将“‘工具’菜單：禁用‘Internet

選項...’”政策啟用。另外，根據個人的需要，在該窗格中還可以禁用其他項目。

3．禁用“Internet 選項”控制台（Windows 2000/XP/2003）

上面提到了“禁用Internet 選項”的功能，使用該功能可以達到阻止别人對IE随便設

置的目的。而這種方法無法具體禁用Internet 選項中的控制模闆項目，是以給具體應用帶

來麻煩。通過下面的組政策設定方法，則可以實作這一要求：

打開“組政策控制台→使用者配置→管理模闆→Windows 元件→Internet

Explorer→Internet 控制台”，在右邊窗格中我們可以看到“禁用正常頁”、“禁用安

全頁”等組政策項目。下面以“禁用正常頁”為例進行說明：打開右邊窗格中的“禁用正常

頁”并設定為“啟用”。然後我們再打開Internet 選項控制台，會發現“正常”項目已

經沒有了，這樣一來使用者将無法看到和更改首頁、緩存、曆史記錄、網頁外觀以及輔助功能

的設定，因為該政策将删除界面上的“正常”頁籤，是以如果設定了該政策，則無須設定

位于 “使用者配置→管理模闆→Windows 元件→Internet Explorer”中的諸如“禁用更改

首頁設定”、“禁用更改顔色設定”等政策。

4．禁止修改IE 浏覽器的首頁（Windows 2000/XP/2003）

如果不希望他人對自己設定的IE 浏覽器首頁進行随意更改的話，可以打開“組政策控

制台→使用者配置→管理模闆→Windows元件→Internet Explorer→工具欄”，然後選擇“禁

用更改首頁設定”組政策并啟用即可。另外在這個窗格中，還提供了“更改曆史記錄設定”、

“更改顔色設定”和“更改Internet 臨時檔案設定”等項目的禁用功能。

啟用此政策後，在IE 浏覽器的“Internet 選項”對話框中，其“正常”頁籤的“主

頁”區域的設定将變灰。

提示：如果設定了位于“組政策控制台→使用者配置→管理模闆→Windows 元件

→Internet Explorer→Internet Explorer 控制台”中的“禁用正常頁”政策，則無須

設定該政策，因為“禁用正常頁”政策将删除界面上的“正常”頁籤。

5．自定義IE 工具欄（Windows 2000/XP/2003）

IE 工具欄的背景和上面的按鈕都是可以自定義的，以前我們大多使用手動修改系統資料庫

的方法，不過并不直覺，現在我們用“組政策”可以更友善地達到效果，打造屬于我們自己

的IE。

打開“組政策控制台→使用者配置→Windows 設定→Internet Explorer 維護→浏覽器用

戶界面”下的“浏覽器工具欄按鈕自定義”政策配置項目，在這裡，可以自定義浏覽器工具

欄的背景圖檔，點選“浏覽”選擇一個BMP的位圖檔案即可（注意：工具欄背景應該與工具

欄大小相同，而亮度應該足以顯示黑色文字，否則實際效果并不理想）。

接下來，我們要在IE 的工具欄上添加自己的快捷方式，比如添加“我的QQ”，在這裡

也可以很輕松地完成。

點選“添加”，在“工具欄标題”中輸人“我的QQ”，在“工具欄*作”中選擇QQ 程式

的路徑，最後再選擇好“顔色圖示”和“灰階圖示”的路徑（如果你不知道怎麼提取這兩個圖示，

可以請EXeScope 這個軟體來幫忙，在各大站點都可以下載下傳）。設定完成後點“确定”，再次

打開IE 後就可以看到修改的效果了。

七、輕松實作Windows 進階功能

1．設定并鎖定Windows Media Player 外觀（Windows 2000/XP/2003）

Windows Media Player 是目前最流行的多媒體播放器之一，如果不希望其他使用者随意

更改其界面外觀的話，利用組政策可以輕松實作。打開“組政策控制台→使用者配置→管理模

闆→Windows 元件→Windows Media Player→使用者界面中的設定并鎖定外觀”啟用此政策。

啟用此政策後，将使 Windows Media Player 隻以指定的外觀模式顯示，具體可以使用

在“政策”頁籤上的“外觀”框中指定的外觀。你必須為外觀使用完整的檔案名□例如

miniplayer.wmz□。如果外觀檔案在使用者的計算機上沒有安裝，播放器将以Windows Media

Player 外觀打開。

提示：本政策設定軟體版本至少為Windows Media Player v8.00，ADM 檔案為

wmplayer.adm。

2．禁止Windows Media Player 播放時運作屏保（Windows 2000/XP/2003）

螢幕保護程式可以有效地保護我們的顯示器，但是當我們使用播放器觀看精彩影片時，

經常會出現螢幕保護程式突然運作而中斷觀看的尴尬局面。現在我們可以通過組政策來解決

螢幕保護程式使Windows Media Player播放中斷的麻煩問題了。打開“組政策控制台→用

戶配置→管理模闆→Windows元件→Windows Media Player→播放中的允許運作螢幕保護程

序”并将它設定為“已禁用”狀态。

3．優化配置Windows Media Player 網絡緩沖（Windows 2000/XP/2003）

當我們使用Windows Media Player播放流式媒體時，播放器會在播放前對流式媒體進

行緩沖處理，以便可以流暢地進行播放。在實際應用中，根據網絡帶寬和伺服器的連接配接速度，

緩存的時間長短并不一樣，但Windows Media Player 卻是在使用同一設定，這無疑與實際

網絡情況不比對，是以我們可以根據具體的網絡帶寬情況自己優化配置網絡緩沖。打開“組

政策控制台→使用者配置→管理模闆→Windows 元件→Windows Media Player→網絡中的配置

網絡緩沖”并設定為啟用狀态，在出現的緩沖時間（秒數）配置選項中，根據網絡的帶寬情

況進行自定義（最多 60 秒）。

提示：如果此政策已啟用，那麼Windows Media Player“性能”頁籤上的緩存選項

将不能再配置。

4．屏蔽使用所有 Windows Update 功能的通路（Windows 2000/XP/2003）

Windows Update 可以自動連接配接Microsoft 網站并下載下傳更新内容，這對大部分使用者來說

是比較實用的，但對于不需要更新或者帶寬緊張的電腦使用者來說，此功能就顯得多餘了，而

且經常傳聞Windows Update 會将計算機使用者資訊“秘密”發往Microsoft，是以也可以屏

蔽這一“智能”進階功能。打開“組政策控制台→使用者配置→管理模闆→Windows 元件

→Windows Update”中的“删除使用所有 Windows Update 功能的通路”組政策并啟用此策

略。

提示：如果你啟用此設定，所有 Windows Update 功能（其中包括阻止通路Windows

Update 網站http□//windowsupdate.microsoft.com、開始菜單上的 Windows Update的超

連結和Internet 資料總管上的工具菜單）将被删除。Windows 自動更新也被禁用，你将

不會收到有關更新的通知，也不會接到Windows Update 的重要更新。此設定還會阻止裝置

管理器自動從Windows Update 網站下載下傳安裝驅動程式的更新。

5．在Windows XP/2003 中實作遠端關機（Windows XP/2003）

在Windows XP/2003 中，新增了一條指令行工具“shutdown”，它可以關閉或重新啟動

本地或遠端計算機。利用它，我們不但可以登出使用者、關閉或重新啟動計算機，還可以實作

定時關機、遠端關機。該指令的文法格式如下：

shutdown [-i |-l|-s |-r |-a][-f][-m[//ComputerName]][-t xx][-c

〃message〃][-d[u][p]:xx:yy]

該指令具體的使用參數和技巧請參考Windows 的幫助系統，幫助系統裡面有全面的資

料。我們現在簡單地看一下該指令的一些基本用法：

1）登出目前使用者

shutdown - l

該指令隻能登出本機使用者，對遠端計算機不适用。

2）關閉本地計算機

shutdown - s

3）重新開機本地計算機

shutdown - r

4）定時關機

shutdown - s -t 30

指定在30 秒之後自動關閉計算機。

5）中止計算機的關閉。有時我們設定了計算機定時關機後，如果出于某種原因又想取

消這次關機*作，就可以用shutdown - a 來中止。

在該指令的格式中，有一個參數[-m [//ComputerName]，用它可以指定将要關閉或重新開機

的計算機名稱，若省略的話則預設為對本機*作。你可以用以下指令來試一下：

shutdown -s -m //Anyes-solon -t 30

在30 秒内關閉計算機名為Anyes-solon（Anyes-solon 為區域網路内一台同樣裝有

Windows XP/2003）的電腦。

該指令執行後，計算機Anyes-solon一點反應都沒有，螢幕上卻提示“Access is denied

（拒絕通路）”。

出現這種情況是因為Windows XP 預設的安全政策中，隻有管理者組的使用者才有權從遠

端關閉計算機，而一般情況下我們從區域網路内的其他電腦通路該計算機時，則隻有guest

使用者權限，是以當我們執行上述指令時，便會出現“拒絕通路”的情況。

而我們利用組政策即可賦予guest使用者遠端關機的權限。打開“組政策控制台→計算機

配置→Windows 設定→安全設定→本地政策→使用者權利指派中的從遠端系統強制關機”，在

彈出的對話框中顯示目前隻有“Administrators”組的成員才有權從遠端關機；單擊對話框

下方的“添加使用者或組”按鈕，然後在新彈出的對話框中輸入“guest”，再單擊“确定”

按鈕。

通過上述*作後，我們便給計算機Anyes-solon的guest 使用者授予了遠端關機的權限。以

後，倘若你要遠端關閉計算機Anyes-solon，隻要在網絡中其他裝有Windows XP/2003的計

算機中輸入以下指令shutdown -s -m //Anyes-solon -t 60 即可。

這時，在Anyes-solon 計算機的螢幕上将顯示一個“系統關機”的對話框，在對話框

下方還有一個計時器，顯示離關機還有多少時間。在等待關機的時間裡，使用者還可以執行其

他的任務，如關閉程式、打開檔案等，但無法關閉該對話框，除非你用shutdown -a 指令來

中止關機任務.

八、用組政策提升系統性能

1．讓Windows 的上網速率提升20%（Windows XP/2003）

預設情況下，Windows 網絡連接配接資料包排程程式将系統限制在80%的連接配接帶寬之内，這

對帶寬較小的網絡來說，無疑是筆不小的開支。我們可以通過組政策設定來替代預設值，讓

我們的上網速率提高20%!

打開“組政策控制台→計算機配置→管理模闆→網絡”中的“QoS 資料包排程程式”

并啟用此政策，然後使用下面“帶寬限制”框來調整系統可保留的帶寬比例，将它設定為

0%即可，然後按确定退出，之後我們就可以使用另外20%的帶寬了。

2．關閉縮略圖的緩存（Windows XP/2003）

Windows XP/20003 系統具有縮略圖視圖功能，且為了加快那些被頻繁浏覽的縮略圖顯

示速度，系統會将這些被顯示過的圖檔進行緩存，以便下次打開時直接讀取緩存中的資訊，

進而達到快速顯示的目的。但如果我們不希望系統進行緩沖的話（比如隻浏覽一次的圖檔），

則可以利用組政策關閉縮略圖緩存的功能，這樣第一次浏覽速度反而會大大加快（因為不進

行緩存處理）。

打開“組政策控制台→使用者配置→管理模闆→Windows 元件→Windows資料總管”中

的“關閉縮略圖的緩存”并啟用此政策。

3．屏蔽系統自帶的CD 刻錄功能（Windows XP/2003）

Windows XP/2003系統自帶CD 刻錄功能，如果你有CD 刻錄機接在計算機上，Windows 資

源管理器允許你制作并修改可重寫式CD。但這樣無疑會影響系統性能和資料總管的執行

速度，是以我們可以利用組政策來屏蔽此功能（大部分使用者都使用專用的CD刻錄軟體）。

打開“組政策控制台→使用者配置→管理模闆→網絡→”中的“删除CD刻錄功能”并啟

用此政策。

4．關閉系統還原功能（Windows XP/2003）

系統還原是Windows XP/2003 中內建的強大功能，它在系統運作的同時，備份那些被更

改的檔案和資料，如果出現問題，系統還原使使用者能夠在不丢失個人資料檔案的情況下，将

計算機還原到以前的狀态。預設情況下，系統還原處于打開狀态。

但為這一功能付出的代價也是相當大的，系統性能會明顯下降，磁盤空間也會被占用很

多。對于配置不高的計算機來說，強烈建議關閉此功能。

打開“組政策控制台→計算機配置→管理模闆→系統→系統還原”中的“關閉系統還

原”并啟用此政策。啟用此設定後即可關閉系統還原功能，并且不能通路“系統還原向導”

和“配置界面”。

5．禁止Windows Messenger 自動運作（Windows XP/2003）

在Windows 系統中內建的優秀應用軟體越來越多，但這些系統内置的軟體都沒有解除安裝選

項，引起很多電腦使用者的不滿。比如Windows XP 自帶的Windows Messenger，不但解除安裝不

友善而且還随系統一起自動運作。對于不上網的計算機使用者或者根本就不用Windows

Messenger 的使用者來說，當然要屏蔽此軟體的自動運作功能。

打開“組政策控制台→計算機配置→管理模闆→Windows 元件→Windows Messenger”

中的“不允許運作Windows Messenger ”并啟用此政策。

提示：這個設定出現在“計算機配置”和“使用者配置”檔案夾中。如果兩個設定都配置，

“計算機配置”中的設定比“使用者配置”中的設定優先

九、用組政策打造系統銅牆鐵壁級功能

1．隐藏“我的電腦”中指定的驅動器（Windows XP/2003）

此組政策可以從“我的電腦”和“Windows 資料總管”上删除代表所選硬體驅動器

的圖示。并且驅動器号代表的所有驅動器不出現在标準的打開對話框上。

打開“組政策控制台→使用者配置→管理模闆→Windows 元件→Windows資料總管”中

的“隐藏‘我的電腦’中的這些指定的驅動器”并啟用此政策，并在下面清單框中選擇一個

驅動器或幾個驅動器。

提示：這項政策隻删除驅動器圖示。使用者仍可通過使用其它方式繼續通路驅動器的内容。

同時這項政策不會防止使用者使用程式通路這些驅動器或其内容。并且也不會防止使用者使用磁

盤管理即插即用來檢視并更改驅動器特性。

2．防止從“我的電腦”通路驅動器（Windows 2000/XP/2003）

此政策讓使用者無法檢視在“我的電腦”或“Windows 資料總管”中所選驅動器的内

容。同時它也禁止使用運作對話框、鏡像網絡驅動器對話框或Dir指令檢視在這些驅動器上

的目錄。

打開“組政策控制台→使用者配置→管理模闆→Windows 元件→Windows資料總管”中

的“防止從‘我的電腦’通路驅動器”并啟用此政策，并在下面清單框中選擇一個驅動器或

幾個驅動器。

提示：這些代表指定驅動器的圖示仍舊會出現在“我的電腦”中，但是如果使用者輕按兩下圖

标，會出現一條消息解釋設定防止這一*作。同時這些設定不會防止使用者使用其它程式通路

本地和網絡驅動器。并且不防止他們使用磁盤管理即插即用檢視和更改驅動器特性。

3．禁止使用指令提示符（Windows 2000/XP/2003）

在Windows 2000/XP/2003 下，我們可以運作cmd.exe 進入指令提示符狀态，并可以繼

續運作一些DOS 指令和其他指令行程式。出于對安全的考慮，有些系統應該屏蔽此功能。

打開“組政策控制台→使用者配置→管理模闆→系統”中的“阻止通路指令提示符”并

啟用此政策，并在下面清單框中選擇是否“也停用指令提示符腳本處理”，這個設定還決定

批處理檔案 □.cmd 和.bat□是否可以在計算機上運作。

如果啟用這個設定，在使用者試圖打開指令視窗時，系統會顯示一條消息，解釋設定阻止

這一*作。

4．禁止更改顯示屬性（Windows 2000/XP/2003）

選擇“控制台”中的“顯示”或在Windows 桌面的空白處單擊右鍵選擇“屬性”，可

進入“顯示設定”對話框，可以對桌面主題、桌面背景、屏保程式、顯示設定等各項進行設

置，如果你不想讓别人随意更改各項設定，可以通過組政策将它隐藏起來。

打開“組政策控制台→使用者配置→管理模闆→控制台→顯示”，然後可以看到隐藏桌

面頁籤、隐藏主題頁籤、隐藏保護程式頁籤、隐藏設定頁籤等政策配置，可根據需

要對這些項目進行配置。比如啟用了“隐藏‘桌面’頁籤”政策後，再打開“顯示屬性”

對話框，就看不到“桌面”标簽了，這樣自然就無法再對桌面屬性進行更改了。

5．禁用系統資料庫編輯器（Windows 2000/XP/2003）

為了防止他人進入電腦後對系統資料庫檔案進行修改，可以在組政策中對系統資料庫編輯器做禁

止通路設定。具體*作方法：打開“組政策控制台→使用者配置→系統”中的“阻止通路注冊

表編輯工具”并啟用此政策。

此政策被啟用後，使用者試圖啟動系統資料庫編輯器（Regedit.exe 及 Regedt32.exe）的時

候，系統會禁止這類*作并彈出警告消息。

6．徹底禁止通路“控制台”（Windows 2000/XP/2003）

如果不希望其他使用者通路計算機的“控制台”，同樣可以使用組政策來實作。打開

“組政策控制台→使用者配置→管理模闆→擴充面闆”中的“禁止通路控制台”并啟用此

政策。

此政策啟用後可以防止“控制台”程式檔案（Control.exe）的啟動。他人将無法啟

動“控制台”（或運作任何“控制台”項目）。另外，這個設定将從“開始”菜單中删

除“控制台”。同時這個設定還從“Windows資料總管”中删除“控制台”檔案夾。

7．禁止建立新的撥接上網（Windows 2000/XP/2003）

如果不想讓别人在計算機中建立新連接配接來撥号上網的話，組政策也可以做到。打開“組

政策控制台→使用者配置→管理模闆→網絡→網絡連接配接”中的“禁止通路建立連接配接向導”并

啟用此政策。

啟用此政策後，在“網絡連接配接”檔案夾和“開始菜單”中就不會出現“建立新連接配接”。

提示：此設定無法阻止使用者使用諸如 Internet Explorer 這樣的其它程式來繞過此設

置。另外此設定必須重新啟動計算機後才能生效。

8．禁用“添加/删除程式”（Windows 2000/XP/2003）

“控制台”中“添加或删除程式”項目允許你安裝、解除安裝、修複并添加和删除

Windows 的功能群組件以及種類很多的 Windows 程式。如果你想阻止其他使用者安裝或解除安裝

程式，可利用組政策來實作。

打開“組政策控制台→使用者配置→管理模闆→控制台→添加→删除程式”中的“删

除‘添加/删除程式’程式”并啟用此政策，當我們再打開“控制台”中“添加/删除程

序”子產品的時候，會自動彈出警告視窗，而“添加/删除程式”則無法運作。

此外，在“添加/删除程式”分支中還可以對Windows“添加/删除程式”項中的“添加

新程式”、“從CD-ROM 或軟碟添加程式”、“從Microsoft 添加程式”、“從網絡添加程

序”等項進行隐藏，通過這些政策項目的設定，起到了保護計算機中系統檔案及應用程式的

作用。

9．限制使用應用程式（Windows 2000/XP/2003）

如果你的電腦設定了多個使用者，有些程式我們可能不希望其他使用者随意運作，也能在組

政策中設定。

打開“組政策控制台→使用者配置→管理模闆→系統”中的“隻運作許可的Windows應

用程式”并啟用此政策，然後點選下面的“允許的應用程式清單”邊的“顯示”按鈕，彈出一個

“顯示内容”對話框，在此單擊“添加”按鈕來添加允許運作的應用程式即可。以後一般使用者隻

能運作“允許的應用程式清單”中的程式。