（二）组策略的版本
大部分Windows 9X/NT 用户可能听过“系统策略”的概念，而我们现在大部分听到的则
是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系
统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应
用于Windows 2000/XP/2003 系统。
早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）
文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当
前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，
则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003 系统的网络功能是其最大
的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行
配置，甚至可以打开某个Active Directory 对象（即站点、域或组织单位）并对它进行设
置。这是以前“系统策略编辑器”工具无法做到的。
无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而
达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

二、组策略中的管理模板
在Windows 2000/XP/2003 目录中包含了几个 .adm 文件。这些文件是文本文件，称为
“管理模板”，它们为组策略管理模板项目提供策略信息。
在Windows 9X 系统中，默认的admin.adm 管理模板即保存在策略编辑器同一个文件夹
中。而在Windows 2000/XP/2003 的系统文件夹的inf 文件夹中，包含了默认安装下的4个
模板文件，分别为：
1）System.adm：默认情况下安装在“组策略”中，用于系统设置。
2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet Explorer策略设置。
3）Wmplayer.adm：用于Windows Media Player 设置。
4）Conf.adm：用于NetMeeting 设置。
在Windows 2000/XP/2003 的组策略控制台中，可以多次添加“策略模板”，而在
Windows 9X 下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在
Windows 2000/XP/2003 组策略控制台中使用如下：
首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模
板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”，则弹出对话框。
然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，
则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。
返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理
模板”，再点击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了（为了
便于本文后面的实例大家能一起动手*作，建议添加除默认模板文件的其它模板文件）。
再来看Windows 9X 下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择
“关闭”，以便将当前脚本关闭，然后再在“选项”菜单中选择“模板”，则弹出对话框。
然后单击“打开模板”按钮，在弹出的对话框中选择相应的.adm 文件并单击“打开”
按钮，则在编辑器中打开选定的脚本文件并等待用户执行。

打开’菜单项”为例介绍具体的设置方法。
打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏
览器菜单”，然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。启用该策略
后，用户在某个链接上单击鼠标右键，然后单击“在新窗口中打开”时，该命令将不起作用。
该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用，后者禁止用户通过单击“文
件”菜单，指向“新建”，然后单击“窗口”在新窗口中打开浏览器（“新建→窗口”项目
已经无法使用）。
提示：启用该策略后，单击“在新窗口中打开”命令，将无法在新窗口中打开链接，系
统会提示用户该命令无效，网页自动打开的窗口也全部被禁止，其实这样也可达到屏蔽弹出
广告窗口的效果。
2．限制IE 浏览器的保存功能（Windows 2000/XP/2003）
在使用IE 浏览网页过程中，当遇到好的图片、文章等资源时可以使用“另存为”功能
将它保存到本地硬盘中，当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的
保存功能进行限制。那么如何才能实现呢?可以这样*作：打开“组策略控制台→用户配置
→管理模板→Windows 组件→Internet Explorer→浏览器菜单”，然后将右侧窗格中的
“‘文件’菜单：禁用‘另存为...’菜单项”、“‘文件’菜单：禁用另存为网页菜单项”、
“‘查看’菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即
可。
如果不希望别人对IE 浏览器的设置随意更改，可以将“‘工具’菜单：禁用‘Internet
选项...’”策略启用。另外，根据个人的需要，在该窗格中还可以禁用其他项目。
3．禁用“Internet 选项”控制面板（Windows 2000/XP/2003）
上面提到了“禁用Internet 选项”的功能，使用该功能可以达到阻止别人对IE随便设
置的目的。而这种方法无法具体禁用Internet 选项中的控制模板项目，因此给具体应用带
来麻烦。通过下面的组策略设置方法，则可以实现这一要求：
打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet
Explorer→Internet 控制面板”，在右边窗格中我们可以看到“禁用常规页”、“禁用安
全页”等组策略项目。下面以“禁用常规页”为例进行说明：打开右边窗格中的“禁用常规
页”并设置为“启用”。然后我们再打开Internet 选项控制面板，会发现“常规”项目已
经没有了，这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能
的设置，因为该策略将删除界面上的“常规”选项卡，所以如果设置了该策略，则无须设置
位于 “用户配置→管理模板→Windows 组件→Internet Explorer”中的诸如“禁用更改
主页设置”、“禁用更改颜色设置”等策略。
4．禁止修改IE 浏览器的主页（Windows 2000/XP/2003）
如果不希望他人对自己设定的IE 浏览器主页进行随意更改的话，可以打开“组策略控
制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏”，然后选择“禁
用更改主页设置”组策略并启用即可。另外在这个窗格中，还提供了“更改历史记录设置”、
“更改颜色设置”和“更改Internet 临时文件设置”等项目的禁用功能。
启用此策略后，在IE 浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主
页”区域的设置将变灰。
提示：如果设置了位于“组策略控制台→用户配置→管理模板→Windows 组件
→Internet Explorer→Internet Explorer 控制面板”中的“禁用常规页”策略，则无须
设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。
5．自定义IE 工具栏（Windows 2000/XP/2003）
IE 工具栏的背景和上面的按钮都是可以自定义的，以前我们大多使用手动修改注册表
的方法，不过并不直观，现在我们用“组策略”可以更方便地达到效果，打造属于我们自己
的IE。
打开“组策略控制台→用户配置→Windows 设置→Internet Explorer 维护→浏览器用
户界面”下的“浏览器工具栏按钮自定义”策略配置项目，在这里，可以自定义浏览器工具
栏的背景图片，点击“浏览”选择一个BMP的位图文件即可（注意：工具栏背景应该与工具
栏大小相同，而亮度应该足以显示黑色文字，否则实际效果并不理想）。
接下来，我们要在IE 的工具栏上添加自己的快捷方式，比如添加“我的QQ”，在这里
也可以很轻松地完成。
点击“添加”，在“工具栏标题”中输人“我的QQ”，在“工具栏*作”中选择QQ 程序
的路径，最后再选择好“颜色图标”和“灰度图标”的路径（如果你不知道怎么提取这两个图标，
可以请EXeScope 这个软件来帮忙，在各大站点都可以下载）。设置完成后点“确定”，再次
打开IE 后就可以看到修改的效果了。

七、轻松实现Windows 高级功能
1．设置并锁定Windows Media Player 外观（Windows 2000/XP/2003）
Windows Media Player 是目前最流行的多媒体播放器之一，如果不希望其他用户随意
更改其界面外观的话，利用组策略可以轻松实现。打开“组策略控制台→用户配置→管理模
板→Windows 组件→Windows Media Player→用户界面中的设置并锁定外观”启用此策略。
启用此策略后，将使 Windows Media Player 只以指定的外观模式显示，具体可以使用
在“策略”选项卡上的“外观”框中指定的外观。你必须为外观使用完整的文件名□例如
miniplayer.wmz□。如果外观文件在用户的计算机上没有安装，播放器将以Windows Media
Player 外观打开。
提示：本策略设置软件版本至少为Windows Media Player v8.00，ADM 文件为
wmplayer.adm。

2．禁止Windows Media Player 播放时运行屏保（Windows 2000/XP/2003）
屏幕保护程序可以有效地保护我们的显示器，但是当我们使用播放器观看精彩影片时，
经常会出现屏幕保护程序突然运行而中断观看的尴尬局面。现在我们可以通过组策略来解决
屏幕保护程序使Windows Media Player播放中断的麻烦问题了。打开“组策略控制台→用
户配置→管理模板→Windows组件→Windows Media Player→播放中的允许运行屏幕保护程
序”并将它设置为“已禁用”状态。
3．优化配置Windows Media Player 网络缓冲（Windows 2000/XP/2003）
当我们使用Windows Media Player播放流式媒体时，播放器会在播放前对流式媒体进
行缓冲处理，以便可以流畅地进行播放。在实际应用中，根据网络带宽和服务器的连接速度，
缓存的时间长短并不一样，但Windows Media Player 却是在使用同一设置，这无疑与实际
网络情况不匹配，因此我们可以根据具体的网络带宽情况自己优化配置网络缓冲。打开“组
策略控制台→用户配置→管理模板→Windows 组件→Windows Media Player→网络中的配置
网络缓冲”并设置为启用状态，在出现的缓冲时间（秒数）配置选项中，根据网络的带宽情
况进行自定义（最多 60 秒）。
提示：如果此策略已启用，那么Windows Media Player“性能”选项卡上的缓存选项
将不能再配置。

九、用组策略打造系统铜墙铁壁级功能
1．隐藏“我的电脑”中指定的驱动器（Windows XP/2003）
此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器
的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。
打开“组策略控制台→用户配置→管理模板→Windows 组件→Windows资源管理器”中
的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略，并在下面列表框中选择一个
驱动器或几个驱动器。
提示：这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。
同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁
盘管理即插即用来查看并更改驱动器特性。
2．防止从“我的电脑”访问驱动器（Windows 2000/XP/2003）
此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内
容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上
的目录。
打开“组策略控制台→用户配置→管理模板→Windows 组件→Windows资源管理器”中
的“防止从‘我的电脑’访问驱动器”并启用此策略，并在下面列表框中选择一个驱动器或
几个驱动器。
提示：这些代表指定驱动器的图标仍旧会出现在“我的电脑”中，但是如果用户双击图
标，会出现一条消息解释设置防止这一*作。同时这些设置不会防止用户使用其它程序访问
本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。
3．禁止使用命令提示符（Windows 2000/XP/2003）
在Windows 2000/XP/2003 下，我们可以运行cmd.exe 进入命令提示符状态，并可以继
续运行一些DOS 命令和其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。
打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并
启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定
批处理文件 □.cmd 和.bat□是否可以在计算机上运行。
如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止
这一*作。
4．禁止更改显示属性（Windows 2000/XP/2003）
选择“控制面板”中的“显示”或在Windows 桌面的空白处单击右键选择“属性”，可
进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设
置，如果你不想让别人随意更改各项设置，可以通过组策略将它隐藏起来。
打开“组策略控制台→用户配置→管理模板→控制面板→显示”，然后可以看到隐藏桌
面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置，可根据需
要对这些项目进行配置。比如启用了“隐藏‘桌面’选项卡”策略后，再打开“显示属性”
对话框，就看不到“桌面”标签了，这样自然就无法再对桌面属性进行更改了。
5．禁用注册表编辑器（Windows 2000/XP/2003）
为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁
止访问设置。具体*作方法：打开“组策略控制台→用户配置→系统”中的“阻止访问注册
表编辑工具”并启用此策略。
此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe）的时
候，系统会禁止这类*作并弹出警告消息。
6．彻底禁止访问“控制面板”（Windows 2000/XP/2003）
如果不希望其他用户访问计算机的“控制面板”，同样可以使用组策略来实现。打开
“组策略控制台→用户配置→管理模板→扩展面板”中的“禁止访问控制面板”并启用此
策略。
此策略启用后可以防止“控制面板”程序文件（Control.exe）的启动。他人将无法启
动“控制面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删
除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。
7．禁止建立新的拨号连接（Windows 2000/XP/2003）
如果不想让别人在计算机中建立新连接来拨号上网的话，组策略也可以做到。打开“组
策略控制台→用户配置→管理模板→网络→网络连接”中的“禁止访问新建连接向导”并
启用此策略。
启用此策略后，在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。
提示：此设置无法阻止用户使用诸如 Internet Explorer 这样的其它程序来绕过此设
置。另外此设置必须重新启动计算机后才能生效。
8．禁用“添加/删除程序”（Windows 2000/XP/2003）
“控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除
Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载
程序，可利用组策略来实现。
打开“组策略控制台→用户配置→管理模板→控制面板→添加→删除程序”中的“删
除‘添加/删除程序’程序”并启用此策略，当我们再打开“控制面板”中“添加/删除程
序”模块的时候，会自动弹出警告窗口，而“添加/删除程序”则无法运行。
此外，在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加
新程序”、“从CD-ROM 或软盘添加程序”、“从Microsoft 添加程序”、“从网络添加程
序”等项进行隐藏，通过这些策略项目的设置，起到了保护计算机中系统文件及应用程序的
作用。
9．限制使用应用程序（Windows 2000/XP/2003）
如果你的电脑设置了多个用户，有些程序我们可能不希望其他用户随意运行，也能在组
策略中设置。
打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应
用程序”并启用此策略，然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个
“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只
能运行“允许的应用程序列表”中的程序。

人生能有几回顶,此时不顶何时�

汗…楼上怎么逛这来的�

那个

好长哦

555555555

这么多字

看不完~

我喜欢呵�

哇塞！技术帖啊？！

确实是好帖子

顶贴收藏    回去慢慢看

绝对 的好贴。顶，MUST!!!