组策略应用37招Word格式文档下载.docx

1、/WindowsWindows/url资源管理器 6去除开始菜单中的“文档”菜单 开始菜单中的文档一栏，会记载我们曾经编辑过的文档，我们可以去掉这个菜单：/WindowsWindows/url组件任务栏和“开始”菜单 7隐藏屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护，但很容易被人修改，我们可以隐藏这一选项。用户配置管理模板控制面板显示。8禁止更改TCP/IP属性 我们设定的IP地址可能会被更改，那么只要关闭它的属性页就可以了。用户配置管理模板网络网络连接 把下面两项设为启用。9删除任务管理器 可别小看了任务管理器，它除了可以终止程序、进程外还可以重启、关机，搜索程序的执行文件名，及更改

2、程序运行的优先顺序。用户配置管理模板系统url=file:/CC/url trl+Alt+Del选项 10禁用IE“工具”菜单下的“Internet选项” 为了阻止别人对IE浏览器设置的随意更改。用户配置管理模板 Windows组件 Internet Explorer 浏览器菜单 11只运行许可的Windows应用程序 如果您启用这个设置，用户只能运行您加入“允许运行的应用程序列表”中的程序。12在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如下：.

3、打开组策略，点击“计算机配置Windows设置安全设置软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”。13让Windows 的上网速率提升20%（Windows XP/2003） 默认情况下，Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内，这对带宽较小的网络来说，无疑是笔不小的开支。我们可以通过组策略设置来替代默认值，让我们的上网速率提高20%! 打开“组策略控制台计算机配置管理模板网络”中的“QoS数据包调度程序”并启用此策略，然后使用下面“带宽限制”框来调整系统可保留的带宽

4、比例，将它设置为0%即可，然后按确定退出，之后我们就可以使用另外20%的带宽了。14关闭缩略图的缓存（Windows XP/2003） Windows XP/20003系统具有缩略图视图功能，且为了加快那些被频繁浏览的缩略图显示速度，系统会将这些被显示过的图片进行缓存，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。但如果我们希望系统进行缓冲的话（比如只浏览一次的图片），则可以利用组策略关闭缩略图缓存的功能，这样第一次浏览速度反而会大大加快（因为不进行缓存处理）。 打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。1

5、5屏蔽系统自带的CD刻录功能（Windows XP/2003） Windows XP/2003系统自带CD刻录功能，如果我有CD刻录机接在计算机上，Windows 资源管理器允许我制作 并修改可重写式CD。但这样无疑会影响系统性能和资源管理器的执行速度，因此我们可以利用组策略来屏蔽此 功能（大部分用户都使用专用的CD刻录软件）。 打开“组策略控制台用户配置管理模板网络”中的“删除CD刻录功能”并启用此策略。16关闭系统还原功能（Windows XP/2003） 系统还原是Windows XP/2003中集成的强大功能，它在系统运行的同时，备份那些被更改的文件和数据，如出现问题，系统还原使用户能

6、够在不丢失个人数据文件的情况下，将计算机还原到以前的状态。默认情况下，系统还原处于打开状态。 但为这一功能付出的代价也是相当大的，系统性能会明显下降，磁盘空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。打开“组策略控制台计算机配置管理模板系统系统还原”中的“关闭系统还原”并启用此策略。启用此设置后即可关闭系统还原功能，并且不能访问“系统还原向导”和“配置界面”。17禁止Windows Messenger自动运行（Windows XP/2003） 在Windows系统中集成的优秀应用软件越来越多，但这些系统内置的软件都没有卸载选项，引起很多电脑用 户的不满。比如Windows

7、XP自带的Windows Messenger，不但卸载不方便而且还随系统一起自动运行。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说，当然要屏蔽此软件的自动运行功能。 打开“组策略控制台计算机配置管理模板Windows组件Windows Messenger”中的“不允许运行Windows Messenger ”并启用此策略。18隐藏“我的电脑”中指定的驱动器（Windows XP/2003） 此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器 号代表的所有驱动器不出现在标准的打开对话框上。打开“组策略控制台用户

8、配置管理模板Windows组件Windows资源管理器”中的“隐藏我的电脑 中的这些指定的驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。19防止从“我的电脑”访问驱动器（Windows 2000/XP/2003） 此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。 打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“防止从我的电 脑访问驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。 提示：这些代表指定驱

9、动器的图标仍旧会出现在“我的电脑”中，但是如果用户双击图标，会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。20禁止使用命令提示符（Windows 2000/XP/2003） 在Windows 2000/XP/2003下，我们可以运行cmd.exe进入命令提示符状态，并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。打开“组策略控制台用户配置管理模板系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置

10、还决定批处理文件 .cmd和.bat是否可以在计算机上运行。 如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止这一操作。21禁止更改显示属性（Windows 2000/XP/2003） 选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”，可进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置，如果我不想让别人随意更改各项设置，可以通过组策略将它隐藏起来。 打开“组策略控制台用户配置管理模板控制面板显示”，然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置，可根据需要对这些

11、项目进行配置。比如启用了“隐藏桌面选项卡”策略后，再打开“显示属性”对话框，就看不到“桌面”标签了，这样自然就无法再对桌面属性进行更改了。22禁用注册表编辑器（Windows 2000/XP/2003） 为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法：打开“组策略控制台用户配置系统”中的“阻止访问注册表编辑工具”并启用此策略。 此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe）的时候，系统会禁止这类操作并弹出警告消息。23彻底禁止访问“控制面板”（Windows 2000/XP/2003） 如果

12、不希望其他用户访问计算机的“控制面板”，同样可以使用组策略来实现。打开“组策略控制台用户配置管理模板扩展面板”中的“禁止访问控制面板”并启用此策略。此策略启用后可以防止“控制面板”程序文件（Control.exe）的启动。他人将无法启动“控制面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。24禁止建立新的拨号连接（Windows 2000/XP/2003） 如果不想让别人在计算机中建立新连接来拨号上网的话，组策略也可以做到。打开“组策略控制台用户配置管理模板网络网络连接”中的“禁止访问

13、新建连接向导”并启用此策略。启用此策略后，在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。25禁用“添加/删除程序”（Windows 2000/XP/2003） “控制面板”中“添加或删除程序”项目允许我安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果我想阻止其他用户安装或卸载程序，可利用组策略来实现。 打开“组策略控制台用户配置管理模板控制面板添加删除程序”中的“删除添加/删除程序程序”并启用此策略，当我们再打开“控制面板”中“添加/删除程序”模块的时候，会自动弹出警告窗口，而“添加/删除程序”则无法运行。此外，在“添加/删除

14、程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏，通过这些策略项目的设置，起到了保护计算机中系统文件及应用程序的作用。26限制驱动器的使用 如果我们不想让别人使用我们的驱动器，如系统盘C盘，光驱等，可以进行如下操作：.在开始菜单的“运行”对话框中，输入“gpedit.msc”，打开“组策略”设置窗口。.在“组策略”设置窗口中，依次打开 “本地计算机策略用户配置管理模板Windows组件Windows资源管理器”选项。.在右边的设置窗口中，选择“防止从我的电脑访问驱动器”项

15、，在这个选项单击鼠标右键，选择“属性”，接着出现“防止从我的电脑访问驱动器的属性”设置窗口。在其中有三个选项，分别是:“未配置”、“已启用”、“已禁用”。.我们选择“已启用”后，在下面就会出现选择驱动器的下沉列表，如果希望限制某个驱动器的使用，只要选中该驱动器就可以了。比如，我们要限制C盘的使用，选中“仅限制驱动器C”，就可以了。如果希望关闭所有的驱动器，包括光驱等，可以选中“限制所有驱动器”。设置完毕以后，当再打开驱动器时，就会弹出禁止打开驱动器的提示框。即便是使用DIR命令、运行对话框和镜像网络驱动器对话框，也无法查看驱动器的目录。27把Administrator藏起来Windows系统默

16、认的系统管理员账户名是Administrator。因此，为了避免有人恶意破解系统管理员Administrator账户的密码，我们可以将Administrator改为其他名字以加强安全。点击“开始运行”，输入gpedit.msc，打开“组策略”，选择 “计算机配置Windows设置安全设置本地策略安全选项”，在右边窗格里双击“账户：重命名系统管理员账户”项，在上面输入我想要的用户名。重新启动计算机后，输入的新用户名即刻生效。如果再新建一个Guest用户，用户名为Administrator，然后再加上十分复杂的密码就更安全。28防止恶意代码对IE主页的修改如果您不希望他人或网络上的一些恶意代码对自

17、己设定的IE浏览器主页进行随意更改的话，我们可以选择“用户配置”“管理模板”“Windows 组件”“Internet Explorer”分支，然后在右侧窗格中，双击“禁用更改主页设置”策略启用即可。29限制IE浏览器的保存功能 当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢?具体方法为：选择“用户设置”“管理模板” “Windows组件”“Internet Explorer”“浏览器菜单”分支。双击右侧窗格中的“文件菜单：禁用另存为菜单项”，在打开的设置窗口中选中“已启用”单选按钮。30自动给操作做个记录 在“计算机配置Windows设置安

18、全设置本地策略审核策略”上，我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等。这些审核可以记录下我某年某月某日某时某分某秒做过了什么操作：几时登录、关闭系统或更改过哪些策略等等。31给“休眠”和“待机”加个密码 只有“屏幕保护”有密码是远远不够安全的，我们还要给“休眠”和“待机”加上密码，这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置管理模板系统电源管理”，在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”，那么当我们从“待机”或“休眠”状态返回时将会要求我输入用户密码。32未经许可，不得在

19、本机登录 在“组策略”窗口中依次打开“计算机配置Windows设置安全设置本地策略用户权限分配”，然后双击右侧窗格的“拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现。33禁用指定的文件类型 在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。. 打开组策略，点击“计算机配置Windows设置安全设置软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。. 双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类

20、型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。. 双击“安全级别不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows无法打开此程序”。.要取消此软件限制策略的话，双击“安全级别不受限的”，打开“不受限的 属性”窗口，按“设为默认值”即可。34禁用IE组件自动安装 选择“计算机配置”“管理模板”“Windows组件”“Internet Explorer”项目，双击右边窗口中“禁用 Internet Explor

21、er组件的自动安装”项目，在打开的窗口中选择“已启用”单选按钮，将会禁止 Internet Explorer 自动安装组件。35隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择“用户配置管理模板Windows组件Windows资源管理器”。如果我鼠标右键点击“计算机配置Windows设置安全设置软件限制策略其他规则”，我会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则，并将安全级别设置为“不允许的”，以防止电子邮件病毒。36给我们的IP添加安全策略 在“计算机配置”“Windows设置”“安全设置”“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目。如果大家对 Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。37禁用“添加/删除程序” 阻止其他用户通过它来安装或卸载程序，可利用组策略来实现。用户配置管理模板控制面板添加/删除程序