一、什么是組策略
　　一）組策略有什么用?
　　說(shuō)到組策略，就不得不提注冊(cè)表。注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)、應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，隨著Windows功能的越來(lái)越豐富，注冊(cè)表里的配置項(xiàng)目也越來(lái)越多。很多配置都是可以自定義設(shè)置的，但這些配置發(fā)布在注冊(cè)表的各個(gè)角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。
　　簡(jiǎn)單點(diǎn)說(shuō)，組策略就是修改注冊(cè)表中的配置。當(dāng)然，組策略使用自己更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。
　　二）組策略的版本
　　大部分Windows 9X/NT用戶可能聽過(guò)“系統(tǒng)策略”的概念，而我們現(xiàn)在大部分聽到的則是“組策略”這個(gè)名字。其實(shí)組策略是系統(tǒng)策略的更高級(jí)擴(kuò)展，它是由Windows 9X/NT的“系統(tǒng)策略”發(fā)展而來(lái)的，具有更多的管理模板和更靈活的設(shè)置對(duì)象及更多的功能，目前主要應(yīng)用于Windows 2000/XP/2003系統(tǒng)。
　　早期系統(tǒng)策略的運(yùn)行機(jī)制是通過(guò)策略管理模板，定義特定的.POL（通常是Config.pol）文件。當(dāng)用戶登錄的時(shí)候，它會(huì)重寫注冊(cè)表中的設(shè)置值。當(dāng)然，系統(tǒng)策略編輯器也支持對(duì)當(dāng)前注冊(cè)表的修改，另外也支持連接網(wǎng)絡(luò)計(jì)算機(jī)并對(duì)其注冊(cè)表進(jìn)行設(shè)置。而組策略及其工具，則是對(duì)當(dāng)前注冊(cè)表進(jìn)行直接修改。顯然，Windows 2000/XP/2003系統(tǒng)的網(wǎng)絡(luò)功能是其最大的特色之處，其網(wǎng)絡(luò)功能自然是不可少的，因此組策略工具還可以打開網(wǎng)絡(luò)上的計(jì)算機(jī)進(jìn)行配置，甚至可以打開某個(gè)Active Directory 對(duì)象（即站點(diǎn)、域或組織單位）并對(duì)它進(jìn)行設(shè)置。這是以前“系統(tǒng)策略編輯器”工具無(wú)法做到的。
　　無(wú)論是系統(tǒng)策略還是組策略，它們的基本原理都是修改注冊(cè)表中相應(yīng)的配置項(xiàng)目，從而達(dá)到配置計(jì)算機(jī)的目的，只是它們的一些運(yùn)行機(jī)制發(fā)生了變化和擴(kuò)展而已。
　　二、組策略中的管理模板
　　在Windows 2000/XP/2003目錄中包含了幾個(gè) .adm 文件。這些文件是文本文件，稱為“管理模板”，它們?yōu)榻M策略管理模板項(xiàng)目提供策略信息。
　　在Windows 9X系統(tǒng)中，默認(rèn)的admin.adm管理模板即保存在策略編輯器同一個(gè)文件夾中。而在Windows 2000/XP/2003的系統(tǒng)文件夾的inf文件夾中，包含了默認(rèn)安裝下的4個(gè)模板文件，分別為：
　　1）System.adm：默認(rèn)情況下安裝在“組策略”中，用于系統(tǒng)設(shè)置。
　　2）Inetres.adm：默認(rèn)情況下安裝在“組策略”中；用于Internet Explorer策略設(shè)置。
　　3）Wmplayer.adm：用于Windows Media Player 設(shè)置。
　　4）Conf.adm：用于NetMeeting 設(shè)置。
　　在Windows 2000/XP/2003的組策略控制臺(tái)中，可以多次添加“策略模板”，而在Windows 9X下，則只允許當(dāng)前打開一個(gè)策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制臺(tái)中使用如下：
　　首先運(yùn)行“組策略”程序，然后選擇“計(jì)算機(jī)配置”或者“用戶配置”下的“管理模板”，按下鼠標(biāo)右鍵，在彈出的菜單中選擇“添加/刪除模板”，則彈出如圖1所示的對(duì)話框。

圖 1
　　然后單擊“添加”按鈕，在彈出的對(duì)話框中選擇相應(yīng)的.adm文件。單擊“打開”按鈕，則在系統(tǒng)策略編輯器中打開選定的腳本文件，并等待用戶執(zhí)行。
　　返回到“組策略”編輯器主界面后，依次打開目錄“本地計(jì)算機(jī)策略→用戶配置→管理模板”，再點(diǎn)擊相應(yīng)的目錄樹，就會(huì)看到我們新添加的管理模板所產(chǎn)生的配置項(xiàng)目了（為了便于本文后面的實(shí)例大家能一起動(dòng)手操作，建議添加除默認(rèn)模板文件的其它模板文件）。
　　再來(lái)看Windows 9X下的組策略編輯器。首先在組策略編輯器中的“文件”菜單中選擇“關(guān)閉”，以便將當(dāng)前腳本關(guān)閉，然后再在“選項(xiàng)”菜單中選擇“模板”，則彈出如圖2所示的對(duì)話框。

　　圖 2
　　然后單擊“打開模板”按鈕，在彈出的對(duì)話框中選擇相應(yīng)的.adm文件并單擊“打開”按鈕，則在編輯器中打開選定的腳本文件并等待用戶執(zhí)行。 三、運(yùn)行組策略
　?。ㄒ唬￤indows 9X策略編輯器
　　按操作系統(tǒng)的不同，策略編輯工具分為兩種，一種為Windows 2000/XP/2003組策略管理控制臺(tái)，它在系統(tǒng)安裝時(shí)已經(jīng)默認(rèn)安裝上了；另外一種就是Windows 9X的系統(tǒng)策略編輯器，它在系統(tǒng)安裝時(shí)并不被安裝，程序文件在Windows安裝盤上的 ools eskit etadminpoledit目錄下，它包括Poledit.exe、Poledit.inf、Windows.adm等文件。
　　如果是Windows 9X系統(tǒng)通過(guò)下面的方法，則可以進(jìn)行正規(guī)的安裝過(guò)程。
　　1．在控制面板中，雙擊“添加/刪除程序”圖標(biāo)，單擊“安裝Windows”標(biāo)簽，然后單擊“從磁盤安裝”選項(xiàng)。
　　2．在從磁盤安裝對(duì)話框中，單擊“瀏覽”按鈕并指定Windows 9X安裝光盤的tools eskit etadminpoledit目錄。
　　3．單擊“確認(rèn)”按鈕，然后再次單擊對(duì)話框中的“確認(rèn)”按鈕。
　　4．在從磁盤安裝對(duì)話框中，選擇“系統(tǒng)策略編輯器”和“組策略”復(fù)選框，然后單擊“安裝”按鈕。
　　安裝完成后，單擊“運(yùn)行”命令項(xiàng)，輸入poledit，然后單擊“確認(rèn)”按鈕。
　　管理員可以以兩種不同的方式使用系統(tǒng)策略編輯器：注冊(cè)表方式和策略文件方式。
　　1．以注冊(cè)表方式使用系統(tǒng)策略編輯器。在系統(tǒng)策略編輯器中的文件菜單中，單擊打開注冊(cè)表編輯器，然后雙擊相應(yīng)的本地用戶或本地計(jì)算機(jī)圖標(biāo)。這取決于要編輯注冊(cè)表中的哪個(gè)部分。在使用注冊(cè)表方式時(shí)，可以直接編輯本地或遠(yuǎn)程計(jì)算機(jī)的注冊(cè)表。這樣，所做的改變將立即反映出來(lái)。在做出修改之后，必須關(guān)機(jī)并重新啟動(dòng)計(jì)算機(jī)以使所做修改生效。
　　2．以策略文件方式使用系統(tǒng)策略編輯器。在系統(tǒng)策略編輯器中的文件菜單中，單擊新建或打開來(lái)打開一個(gè)策略文件。在使用策略文件方式時(shí)，可以創(chuàng)建和修改用于其它計(jì)算機(jī)的系統(tǒng)策略文件（POL），在這種方式下，注冊(cè)表被間接地修改。這項(xiàng)改變將在用戶登錄時(shí)策略文件被下載后反映出來(lái)。當(dāng)以策略文件方式編輯設(shè)置值時(shí)，單擊一個(gè)注冊(cè)表選項(xiàng)，可以看到三種可能狀態(tài)之一：選中、清除、變灰。每當(dāng)選擇一個(gè)選項(xiàng)時(shí)，將會(huì)循環(huán)顯示下一個(gè)可能的狀態(tài)，這與選擇一個(gè)標(biāo)準(zhǔn)的復(fù)選框不同。標(biāo)準(zhǔn)的復(fù)選框只有選中或清除兩個(gè)選項(xiàng)。
　　如果一個(gè)設(shè)置值需要附加信息，那么缺省用戶屬性對(duì)話框的底部將出現(xiàn)一個(gè)編輯控制。通常，如果選中了一個(gè)策略，而又不想強(qiáng)制使用它，應(yīng)當(dāng)清除該復(fù)選框來(lái)取消該策略。
　?。ǘ￤indows 2000/XP/2003組策略控制臺(tái)
　　如果是Windows 2000/XP/2003系統(tǒng)，那么系統(tǒng)默認(rèn)已經(jīng)安裝了組策略程序，在“開始”菜單中，單擊“運(yùn)行”命令項(xiàng)，輸入gpedit.msc并確定，即可運(yùn)行程序（界面如圖4所示）。
圖 4

　　使用上面的方法，打開的組策略對(duì)象就是當(dāng)前的計(jì)算機(jī)，而如果需要配置其他的計(jì)算機(jī)組策略對(duì)象的話，則需要將組策略作為獨(dú)立的控制臺(tái)管理程序來(lái)打開，具體步驟如下：
　　1）打開 Microsoft 管理控制臺(tái)（可在“開始”菜單的“運(yùn)行”對(duì)話框中直接輸入MMC并回車，運(yùn)行控制臺(tái)程序）。
　　2）在“文件”菜單上，單擊“添加/刪除管理單元”。
　　3）在“獨(dú)立”選項(xiàng)卡上，單擊“添加”。
　　4）在“可用的獨(dú)立管理單元”對(duì)話框中，單擊“組策略”，然后單擊“添加”。
　　5）在“選擇組策略對(duì)象”對(duì)話框中，單擊“本地計(jì)算機(jī)”編輯本地計(jì)算機(jī)對(duì)象，或通過(guò)單擊“瀏覽”查找所需的組策略對(duì)象。
　　6）單擊“完成”，單擊“關(guān)閉”，然后單擊“確定”。組策略管理單元即打開要編輯的組策略對(duì)象。
　　對(duì)于不包含域的計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)，在上面第5步的界面中，只有“計(jì)算機(jī)”標(biāo)簽，而沒有其他標(biāo)簽項(xiàng)目。
　　通過(guò)上面的方法，我們就可以使用Windows 2000/XP/2003組策略系統(tǒng)強(qiáng)大的網(wǎng)絡(luò)配置功能，讓管理員的工作更輕松和高效。
　　在上面我們介紹了Windows 9X下的策略編輯器配置項(xiàng)目有“選中、清除、變灰”三種狀態(tài)，Windows 2000/XP/2003組策略管理控制臺(tái)同樣也有三種狀態(tài)，只不過(guò)名字變了。它們分別是：已啟用、未配置、已禁用。四、“桌面”設(shè)置
　　Windows的桌面就像我們的辦公桌一樣，需要經(jīng)常進(jìn)行整理和清潔，而組策略就如同我們的貼身秘書，讓桌面管理工作變得易如反掌。下面就讓我們來(lái)看看幾個(gè)實(shí)用的配置實(shí)例：
　　位置：“組策略控制臺(tái)→用戶配置→管理模板→桌面”
　　1．隱藏桌面的系統(tǒng)圖標(biāo)（Windows 2000/XP/2003）
　　雖然通過(guò)修改注冊(cè)表的方式可以實(shí)現(xiàn)隱藏桌面上的系統(tǒng)圖標(biāo)的功能，但這樣比較麻煩，也有一定的風(fēng)險(xiǎn)。而采用組策略配置的方法，可以方便快捷地達(dá)到此目的。
　　比如要隱藏桌面上的“網(wǎng)上鄰居”和“Internet Explorer”圖標(biāo)，只要在右側(cè)窗格中將“隱藏桌面上‘網(wǎng)上鄰居’圖標(biāo)”和“隱藏桌面上的Internet Explorer圖標(biāo)”兩個(gè)策略選項(xiàng)啟用即可（如圖5）；如果隱藏桌面上的所有圖標(biāo)，只要將“隱藏和禁用桌面上的所有項(xiàng)目”啟用即可；當(dāng)啟用了“刪除桌面上的‘我的文檔’圖標(biāo)”和“刪除桌面上的‘我的電腦’圖標(biāo)”兩個(gè)選項(xiàng)以后，“我的電腦”和“我的文檔”圖標(biāo)將從你的電腦桌面上消失；同樣如果要讓“回收站”圖標(biāo)消失，只須將“從桌面刪除回收站”策略項(xiàng)啟用即可。
圖 5
　　2．退出時(shí)不保存桌面設(shè)置（Windows 2000/XP/2003）
　　此策略可以防止用戶保存對(duì)桌面的某些更改。如果你啟用這個(gè)策略，用戶仍然可以對(duì)桌面做更改，但有些更改，如圖標(biāo)的位置、任務(wù)欄的位置及大小，在用戶注銷后都無(wú)法保存，不過(guò)任務(wù)欄上的快捷方式總可以被保存。
　　在右側(cè)窗格中將“退出時(shí)不保存設(shè)置”這個(gè)策略選項(xiàng)啟用即可。
　　3．屏蔽“清理桌面向?qū)А惫δ埽╓indows XP/2003）
　　“清理桌面向?qū)А睍?huì)每隔 60 天自動(dòng)在用戶的電腦上運(yùn)行，以清除那些用戶不經(jīng)常使用或者從不使用的桌面圖標(biāo)。如果啟用此策略設(shè)置，則可以屏蔽“清理桌面向?qū)А?，如果你禁用或不配置此設(shè)置，“清理桌面向?qū)А睍?huì)按照默認(rèn)設(shè)置每隔60天運(yùn)行一次。
　　打開右側(cè)窗格中的“刪除清理桌面向?qū)А保鶕?jù)需要設(shè)置策略選項(xiàng)即可。
　　4．啟用/禁用“活動(dòng)桌面”（Windows 2000/XP/2003）
　　“活動(dòng)桌面”是Windows 98（及以后版本）或安裝了IE 4.0的系統(tǒng)中自帶的高級(jí)功能，最大的特點(diǎn)是可以設(shè)置各種圖片格式的墻紙，甚至可以將網(wǎng)頁(yè)作為墻紙顯示。但出于對(duì)安全和性能的考慮，有時(shí)候我們需要禁用這一功能（并且禁止用戶啟用它），通過(guò)策略設(shè)置可以輕松達(dá)到這一要求。具體操作方法：打開右側(cè)窗格中的“禁用活動(dòng)桌面”并啟用此策略。
　　提示：如果同時(shí)啟用“啟用 Active Desktop”設(shè)置和“禁用 Active Desktop”設(shè)置，則“禁用 Active Desktop”設(shè)置會(huì)被忽略。如果 “禁用 Active Desktop 和 Web 視圖”設(shè)置（在“用戶配置→管理模板→Windows組件→Windows資源管理器”中）被啟用，Active Desktop 就會(huì)被禁用，并且這兩個(gè)策略都會(huì)被忽略。
　　以上介紹了幾個(gè)關(guān)于桌面的組策略配置項(xiàng)目，在“組策略控制臺(tái)→用戶配置→管理模板→桌面”下還有其他若干組策略配置項(xiàng)目，讀者可根據(jù)需要進(jìn)行配置，這里不再贅述。五、個(gè)性化“任務(wù)欄”和“開始”菜單
　　在圖6所示窗口的右側(cè)，顯示了“任務(wù)欄”和“開始”菜單的有關(guān)組策略配置項(xiàng)目。下面我們來(lái)看具體的實(shí)例：
圖 6
　　位置：“組策略控制臺(tái)→用戶配置→管理模板→任務(wù)欄和開始菜單”
　　1．給“開始”菜單減肥（Windows 2000/XP/2003）
　　如果覺得Windows的“開始”菜單太臃腫的話，可以將不需要的菜單項(xiàng)從“開始”菜單中刪除。在組策略右側(cè)窗格中，提供了“從開始菜單刪除用戶文件夾”、“刪除到‘Windows Update’的訪問和鏈接”、“從開始菜單刪除公用程序組”、“從開始菜單中刪除‘我的文檔’圖標(biāo)”等多種組策略配置項(xiàng)目。你只要將不需要的菜單項(xiàng)所對(duì)應(yīng)的策略啟用即可。
　　2．保護(hù)好“任務(wù)欄”和“開始”菜單（Windows 2000/XP/2003）
　　如果你不想隨意讓他人更改“任務(wù)欄”和“開始”菜單的設(shè)置，你只要將組策略控制臺(tái)右側(cè)窗格中的“阻止更改‘任務(wù)欄和開始菜單’設(shè)置”和“阻止訪問任務(wù)欄的上下文菜單”兩個(gè)策略項(xiàng)啟用即可。這樣，當(dāng)你用鼠標(biāo)右鍵單擊任務(wù)欄并單擊“屬性”時(shí)，系統(tǒng)會(huì)出現(xiàn)一個(gè)錯(cuò)誤消息（圖7），且當(dāng)鼠標(biāo)右鍵單擊任務(wù)欄及任務(wù)欄上的項(xiàng)目時(shí)，例如“開始”按鈕、時(shí)鐘和“任務(wù)欄”按鈕，彈出菜單會(huì)隱藏。
圖 7
　　3．禁止“注銷”和“關(guān)機(jī)”（Windows 2000/XP/2003）
　　當(dāng)計(jì)算機(jī)啟動(dòng)以后，如果你不希望這個(gè)用戶再進(jìn)行“關(guān)機(jī)”和“注銷”操作，那么可將組策略控制臺(tái)右側(cè)窗格中的“刪除開始菜單上的‘注銷’”和“刪除和阻止訪問‘關(guān)機(jī)’命令”兩個(gè)策略啟用。
　　這個(gè)設(shè)置會(huì)從開始菜單刪除“關(guān)機(jī)”選項(xiàng)，并禁用“Windows 任務(wù)管理器”對(duì)話框按“Ctrl+Alt+Del”會(huì)出現(xiàn)這個(gè)對(duì)話框　中的“關(guān)機(jī)”選項(xiàng) 。另外需要注意的是，此設(shè)置雖然可防止用戶用 Windows界面來(lái)關(guān)機(jī)，但無(wú)法防止用戶用其他第三方工具程序來(lái)將 Windows 關(guān)閉。
　　提示：如果啟用了“刪除開始菜單上的‘注銷’”，則會(huì)從“開始菜單選項(xiàng)”刪除“顯示注銷”項(xiàng)目。用戶無(wú)法將“注銷”項(xiàng)目還原到開始菜單（只能通過(guò)手工修改注冊(cè)表的方法）。這個(gè)設(shè)置只影響開始菜單，它不影響 “Windows 任務(wù)管理器”對(duì)話框上的“注銷”項(xiàng)目（因此需要同時(shí)啟用“刪除和阻止訪問‘關(guān)機(jī)’命令”），而且不妨礙用戶用其它方法注銷。
　　4．利用組策略保護(hù)個(gè)人文檔隱私（Windows 2000/XP/2003）
　　Windows有個(gè)高級(jí)智能功能，即可以記錄你曾經(jīng)訪問過(guò)的文件。雖然這個(gè)功能可以方便用戶再次打開該文件，但出于安全和性能的考慮（例如不想讓人知道自己瀏覽過(guò)哪些網(wǎng)頁(yè)和打開過(guò)哪些文件），有時(shí)需要屏蔽此功能。利用組策略，只要在右側(cè)窗格中將“不要保留最近打開文檔的記錄”和“退出時(shí)清除最近打開的文檔的記錄”兩個(gè)策略啟用即可。
　　另外需要注意的是，如果啟用此策略設(shè)置但不啟用“從開始菜單中刪除文檔菜單”策略設(shè)置，“文檔”菜單還會(huì)出現(xiàn)在“開始”菜單上，但是該菜單為空菜單。如果啟用此策略設(shè)置，后來(lái)又禁用它并將它設(shè)置為“未配置”，則啟用策略設(shè)置之前保存的文檔快捷方式會(huì)重新出現(xiàn)在“文檔”菜單和應(yīng)用程序的“文件”菜單中。
六、IE設(shè)置手到擒來(lái)
　　微軟的Internet Explorer讓我們可以輕松地在互聯(lián)網(wǎng)上遨游，但要想用好Internet Explorer，則必須將它配置好。在IE瀏覽器的“Internet選項(xiàng)”窗口中，提供了比較全面的設(shè)置選項(xiàng)（例如：“首頁(yè)”、“臨時(shí)文件夾”、“安全級(jí)別”和“分級(jí)審查”等項(xiàng)目），但部分高級(jí)功能沒有提供，而通過(guò)組策略即可輕松實(shí)現(xiàn)這些功能。下面來(lái)看具體實(shí)例：
　　位置：“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Internet Explorer（需添加inetres.adm模板文件）”
　　1．禁用“在新窗口中打開”菜單項(xiàng)（Windows 2000/XP/2003）
　　出于對(duì)安全的考慮，有時(shí)候我們有必要屏蔽IE的一些功能菜單，組策略提供了豐富的設(shè)置項(xiàng)目，比如禁用“另存為...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打開’菜單項(xiàng)”為例介紹具體的設(shè)置方法。
　　打開“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Internet Explorer→瀏覽器菜單”，然后打開“禁用‘在新窗口中打開’菜單項(xiàng)”并設(shè)置為“啟用”。啟用該策略后，用戶在某個(gè)鏈接上單擊鼠標(biāo)右鍵，然后單擊 “在新窗口中打開”時(shí)，該命令將不起作用。該策略可與“‘文件’菜單禁用‘新建’菜單項(xiàng)”一起使用，后者禁止用戶通過(guò)單擊“文件”菜單，指向“新建”，然后單擊“窗口”在新窗口中打開瀏覽器（如圖8所示，“新建→窗口”項(xiàng)目已經(jīng)無(wú)法使用）。
圖 8
　　提示：?jiǎn)⒂迷摬呗院?，單擊“在新窗口中打開”命令，將無(wú)法在新窗口中打開鏈接，系統(tǒng)會(huì)提示用戶該命令無(wú)效，網(wǎng)頁(yè)自動(dòng)打開的窗口也全部被禁止，其實(shí)這樣也可達(dá)到屏蔽彈出廣告窗口的效果。
　　2．限制IE瀏覽器的保存功能（Windows 2000/XP/2003）
　　在使用IE瀏覽網(wǎng)頁(yè)過(guò)程中，當(dāng)遇到好的圖片、文章等資源時(shí)可以使用“另存為”功能將它保存到本地硬盤中，當(dāng)多人共用一臺(tái)計(jì)算機(jī)時(shí)，為了保持硬盤的整潔，需要對(duì)瀏覽器的保存功能進(jìn)行限制。那么如何才能實(shí)現(xiàn)呢?可以這樣操作：打開“組策略控制臺(tái)→用戶配置→管理模板→Windows組件→Internet Explorer→瀏覽器菜單”，然后將右側(cè)窗格中的“‘文件’菜單：禁用‘另存為...’菜單項(xiàng)”、“‘文件’菜單：禁用另存為網(wǎng)頁(yè)菜單項(xiàng)”、“‘查看 ’菜單：禁用‘源文件’菜單項(xiàng)”和“禁用上下文菜單”等策略項(xiàng)目全部啟用即可。
　　如果不希望別人對(duì)IE瀏覽器的設(shè)置隨意更改，可以將“‘工具’菜單：禁用‘Internet選項(xiàng)...’”策略啟用。另外，根據(jù)個(gè)人的需要，在該窗格中還可以禁用其他項(xiàng)目。
　　3．禁用“Internet 選項(xiàng)”控制面板（Windows 2000/XP/2003）
　　上面提到了“禁用Internet選項(xiàng)”的功能，使用該功能可以達(dá)到阻止別人對(duì)IE隨便設(shè)置的目的。而這種方法無(wú)法具體禁用Internet選項(xiàng)中的控制模板項(xiàng)目，因此給具體應(yīng)用帶來(lái)麻煩。通過(guò)下面的組策略設(shè)置方法，則可以實(shí)現(xiàn)這一要求：
　　打開“組策略控制臺(tái)→用戶配置→管理模板→Windows組件→Internet Explorer→Internet 控制面板”，在右邊窗格中我們可以看到“禁用常規(guī)頁(yè)”、“禁用安全頁(yè)”等組策略項(xiàng)目。下面以“禁用常規(guī)頁(yè)”為例進(jìn)行說(shuō)明：打開右邊窗格中的“禁用常規(guī)頁(yè)” 并設(shè)置為“啟用”。然后我們?cè)俅蜷_Internet選項(xiàng)控制面板，會(huì)發(fā)現(xiàn)“常規(guī)”項(xiàng)目已經(jīng)沒有了（圖9），這樣一來(lái)用戶將無(wú)法看到和更改主頁(yè)、緩存、歷史記錄、網(wǎng)頁(yè)外觀以及輔助功能的設(shè)置，因?yàn)樵摬呗詫h除界面上的“常規(guī)”選項(xiàng)卡，所以如果設(shè)置了該策略，則無(wú)須設(shè)置位于 “用戶配置→管理模板→Windows 組件→Internet Explorer”中的諸如“禁用更改主頁(yè)設(shè)置”、“禁用更改顏色設(shè)置”等策略。
4．禁止修改IE瀏覽器的主頁(yè)（Windows 2000/XP/2003）
　　如果不希望他人對(duì)自己設(shè)定的IE瀏覽器主頁(yè)進(jìn)行隨意更改的話，可以打開“組策略控制臺(tái)→用戶配置→管理模板→Windows組件→Internet Explorer→工具欄”，然后選擇“禁用更改主頁(yè)設(shè)置”組策略并啟用即可。另外在這個(gè)窗格中，還提供了“更改歷史記錄設(shè)置”、“更改顏色設(shè)置”和“更改Internet臨時(shí)文件設(shè)置”等項(xiàng)目的禁用功能。
　　啟用此策略后，在IE瀏覽器的“Internet 選項(xiàng)”對(duì)話框中，其“常規(guī)”選項(xiàng)卡的“主頁(yè)”區(qū)域的設(shè)置將變灰。
　　提示：如果設(shè)置了位于“組策略控制臺(tái)→用戶配置→管理模板→Windows組件→Internet Explorer→Internet Explorer控制面板”中的“禁用常規(guī)頁(yè)”策略，則無(wú)須設(shè)置該策略，因?yàn)椤敖贸Ｒ?guī)頁(yè)”策略將刪除界面上的“常規(guī)”選項(xiàng)卡。
　　5．自定義IE工具欄（Windows 2000/XP/2003）
　　IE工具欄的背景和上面的按鈕都是可以自定義的，以前我們大多使用手動(dòng)修改注冊(cè)表的方法，不過(guò)并不直觀，現(xiàn)在我們用“組策略”可以更方便地達(dá)到效果，打造屬于我們自己的IE。
　　打開“組策略控制臺(tái)→用戶配置→Windows設(shè)置→Internet Explorer維護(hù)→瀏覽器用戶界面”下的“瀏覽器工具欄按鈕自定義”策略配置項(xiàng)目，在這里，可以自定義瀏覽器工具欄的背景圖片，點(diǎn)擊“瀏覽”選擇一個(gè) BMP的位圖文件即可（注意：工具欄背景應(yīng)該與工具欄大小相同，而亮度應(yīng)該足以顯示黑色文字，否則實(shí)際效果并不理想）。
　　接下來(lái)，我們要在IE的工具欄上添加自己的快捷方式，比如添加“我的QQ”，在這里也可以很輕松地完成。
　　點(diǎn)擊“添加”，在“工具欄標(biāo)題”中輸人“我的QQ”，在“工具欄操作”中選擇QQ程序的路徑，最后再選擇好“顏色圖標(biāo)”和“灰度圖標(biāo)”的路徑（如果你不知道怎么提取這兩個(gè)圖標(biāo)，可以請(qǐng)EXeScope這個(gè)軟件來(lái)幫忙，在各大站點(diǎn)都可以下載）。設(shè)置完成后點(diǎn)“確定”，再次打開IE后就可以看到修改的效果了。七、輕松實(shí)現(xiàn)Windows高級(jí)功能
　　1．設(shè)置并鎖定Windows Media Player外觀（Windows 2000/XP/2003）
　　Windows Media Player是目前最流行的多媒體播放器之一，如果不希望其他用戶隨意更改其界面外觀的話，利用組策略可以輕松實(shí)現(xiàn)。打開“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Windows Media Player→用戶界面中的設(shè)置并鎖定外觀”啟用此策略。
　　啟用此策略后，將使 Windows Media Player 只以指定的外觀模式顯示，具體可以使用在“策略”選項(xiàng)卡上的“外觀”框中指定的外觀（如圖10所示）。你必須為外觀使用完整的文件名例如 miniplayer.wmz　。如果外觀文件在用戶的計(jì)算機(jī)上沒有安裝，播放器將以Windows Media Player外觀打開。
圖 10
　　提示：本策略設(shè)置軟件版本至少為Windows Media Player v8.00，ADM文件為wmplayer.adm。
　　2．禁止Windows Media Player播放時(shí)運(yùn)行屏保（Windows 2000/XP/2003）
　　屏幕保護(hù)程序可以有效地保護(hù)我們的顯示器，但是當(dāng)我們使用播放器觀看精彩影片時(shí)，經(jīng)常會(huì)出現(xiàn)屏幕保護(hù)程序突然運(yùn)行而中斷觀看的尷尬局面?，F(xiàn)在我們可以通過(guò)組策略來(lái)解決屏幕保護(hù)程序使Windows Media Player播放中斷的麻煩問題了。打開“組策略控制臺(tái)→用戶配置→管理模板→Windows組件→Windows Media Player→播放中的允許運(yùn)行屏幕保護(hù)程序”并將它設(shè)置為“已禁用”狀態(tài)。
　　3．優(yōu)化配置Windows Media Player網(wǎng)絡(luò)緩沖（Windows 2000/XP/2003）
　　當(dāng)我們使用Windows Media Player播放流式媒體時(shí)，播放器會(huì)在播放前對(duì)流式媒體進(jìn)行緩沖處理，以便可以流暢地進(jìn)行播放。在實(shí)際應(yīng)用中，根據(jù)網(wǎng)絡(luò)帶寬和服務(wù)器的連接速度，緩存的時(shí)間長(zhǎng)短并不一樣，但Windows Media Player卻是在使用同一設(shè)置，這無(wú)疑與實(shí)際網(wǎng)絡(luò)情況不匹配，因此我們可以根據(jù)具體的網(wǎng)絡(luò)帶寬情況自己優(yōu)化配置網(wǎng)絡(luò)緩沖。打開“組策略控制臺(tái)→用戶配置 →管理模板→Windows組件→Windows Media Player→網(wǎng)絡(luò)中的配置網(wǎng)絡(luò)緩沖”并設(shè)置為啟用狀態(tài)，在出現(xiàn)的緩沖時(shí)間（秒數(shù)）配置選項(xiàng)中，根據(jù)網(wǎng)絡(luò)的帶寬情況進(jìn)行自定義（最多 60 秒）。
　　提示：如果此策略已啟用，那么Windows Media Player“性能”選項(xiàng)卡上的緩存選項(xiàng)將不能再配置。
　　4．屏蔽使用所有 Windows Update 功能的訪問（Windows 2000/XP/2003）
　　Windows Update可以自動(dòng)連接Microsoft網(wǎng)站并下載更新內(nèi)容，這對(duì)大部分用戶來(lái)說(shuō)是比較實(shí)用的，但對(duì)于不需要更新或者帶寬緊張的電腦用戶來(lái)說(shuō)，此功能就顯得多余了，而且經(jīng)常傳聞Windows Update會(huì)將計(jì)算機(jī)用戶信息“秘密”發(fā)往Microsoft，因此也可以屏蔽這一“智能”高級(jí)功能。打開“組策略控制臺(tái)→用戶配置→管理模板 →Windows 組件→Windows Update”中的“刪除使用所有 Windows Update 功能的訪問”組策略并啟用此策略。
　　提示：如果你啟用此設(shè)置，所有 Windows Update功能（其中包括阻止訪問Windows Update網(wǎng)站http//windowsupdate.microsoft.com、開始菜單上的 Windows Update的超鏈接和Internet資源管理器上的工具菜單）將被刪除。Windows自動(dòng)更新也被禁用，你將不會(huì)收到有關(guān)更新的通知，也不會(huì)接到 Windows Update的重要更新。此設(shè)置還會(huì)阻止設(shè)備管理器自動(dòng)從Windows Update網(wǎng)站下載安裝驅(qū)動(dòng)程序的更新。
　　5．在Windows XP/2003中實(shí)現(xiàn)遠(yuǎn)程關(guān)機(jī)（Windows XP/2003）
　　在Windows XP/2003中，新增了一條命令行工具“shutdown”，它可以關(guān)閉或重新啟動(dòng)本地或遠(yuǎn)程計(jì)算機(jī)。利用它，我們不但可以注銷用戶、關(guān)閉或重新啟動(dòng)計(jì)算機(jī)，還可以實(shí)現(xiàn)定時(shí)關(guān)機(jī)、遠(yuǎn)程關(guān)機(jī)。該命令的語(yǔ)法格式如下：
　　shutdown [-i |-l|-s |-r |-a][-f][-m[\ComputerName]][-t xx][-c ″message″][-d[u][p]:xx:yy]
　　該命令具體的使用參數(shù)和技巧請(qǐng)參考Windows的幫助系統(tǒng)，幫助系統(tǒng)里面有全面的資料。我們現(xiàn)在簡(jiǎn)單地看一下該命令的一些基本用法：
　　1）注銷當(dāng)前用戶
　　shutdown - l
　　該命令只能注銷本機(jī)用戶，對(duì)遠(yuǎn)程計(jì)算機(jī)不適用。
　　2）關(guān)閉本地計(jì)算機(jī)
　　shutdown - s
　　3）重啟本地計(jì)算機(jī)
　　shutdown - r
　　4）定時(shí)關(guān)機(jī)
　　shutdown - s -t 30
　　指定在30秒之后自動(dòng)關(guān)閉計(jì)算機(jī)。
　　5）中止計(jì)算機(jī)的關(guān)閉。有時(shí)我們?cè)O(shè)定了計(jì)算機(jī)定時(shí)關(guān)機(jī)后，如果出于某種原因又想取消這次關(guān)機(jī)操作，就可以用shutdown - a來(lái)中止。
　　在該命令的格式中，有一個(gè)參數(shù)[-m [\ComputerName]，用它可以指定將要關(guān)閉或重啟的計(jì)算機(jī)名稱，若省略的話則默認(rèn)為對(duì)本機(jī)操作。你可以用以下命令來(lái)試一下：
　　shutdown -s -m \Anyes-solon -t 30
　　在30秒內(nèi)關(guān)閉計(jì)算機(jī)名為Anyes-solon（Anyes-solon為局域網(wǎng)內(nèi)一臺(tái)同樣裝有Windows XP/2003）的電腦。
　　該命令執(zhí)行后，計(jì)算機(jī)Anyes-solon一點(diǎn)反應(yīng)都沒有，屏幕上卻提示“Access is denied （拒絕訪問）”。
　　出現(xiàn)這種情況是因?yàn)閃indows XP默認(rèn)的安全策略中，只有管理員組的用戶才有權(quán)從遠(yuǎn)端關(guān)閉計(jì)算機(jī)，而一般情況下我們從局域網(wǎng)內(nèi)的其他電腦訪問該計(jì)算機(jī)時(shí)，則只有g(shù)uest用戶權(quán)限，所以當(dāng)我們執(zhí)行上述命令時(shí)，便會(huì)出現(xiàn)“拒絕訪問”的情況。
　　而我們利用組策略即可賦予guest用戶遠(yuǎn)程關(guān)機(jī)的權(quán)限。打開“組策略控制臺(tái)→計(jì)算機(jī)配置→Windows 設(shè)置→安全設(shè)置→本地策略→用戶權(quán)利指派中的從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”，在彈出的對(duì)話框中顯示目前只有“Administrators”組的成員才有權(quán)從遠(yuǎn)程關(guān)機(jī)；單擊對(duì)話框下方的“添加用戶或組”按鈕，然后在新彈出的對(duì)話框中輸入“guest”，再單擊“確定”按鈕（如圖11所示）。
圖 11
　　通過(guò)上述操作后，我們便給計(jì)算機(jī)Anyes-solon的guest用戶授予了遠(yuǎn)程關(guān)機(jī)的權(quán)限。以后，倘若你要遠(yuǎn)程關(guān)閉計(jì)算機(jī)Anyes- solon，只要在網(wǎng)絡(luò)中其他裝有Windows XP/2003的計(jì)算機(jī)中輸入以下命令shutdown -s -m \Anyes-solon -t 60即可。
　　這時(shí)，在Anyes-solon計(jì)算機(jī)的屏幕上將顯示一個(gè)“系統(tǒng)關(guān)機(jī)”的對(duì)話框，在對(duì)話框下方還有一個(gè)計(jì)時(shí)器，顯示離關(guān)機(jī)還有多少時(shí)間（如圖12所示）。在等待關(guān)機(jī)的時(shí)間里，用戶還可以執(zhí)行其他的任務(wù)，如關(guān)閉程序、打開文件等，但無(wú)法關(guān)閉該對(duì)話框，除非你用 shutdown -a命令來(lái)中止關(guān)機(jī)任務(wù)
八、用組策略提升系統(tǒng)性能
　　1．讓W(xué)indows 的上網(wǎng)速率提升20%（Windows XP/2003）
　　默認(rèn)情況下，Windows網(wǎng)絡(luò)連接數(shù)據(jù)包調(diào)度程序?qū)⑾到y(tǒng)限制在80%的連接帶寬之內(nèi)，這對(duì)帶寬較小的網(wǎng)絡(luò)來(lái)說(shuō)，無(wú)疑是筆不小的開支。我們可以通過(guò)組策略設(shè)置來(lái)替代默認(rèn)值，讓我們的上網(wǎng)速率提高20%!
　　打開“組策略控制臺(tái)→計(jì)算機(jī)配置→管理模板→網(wǎng)絡(luò)”中的“QoS數(shù)據(jù)包調(diào)度程序”并啟用此策略，然后使用下面“帶寬限制”框來(lái)調(diào)整系統(tǒng)可保留的帶寬比例，將它設(shè)置為0%即可，然后按確定退出，之后我們就可以使用另外20%的帶寬了。
　　2．關(guān)閉縮略圖的緩存（Windows XP/2003）
　　Windows XP/20003系統(tǒng)具有縮略圖視圖功能，且為了加快那些被頻繁瀏覽的縮略圖顯示速度，系統(tǒng)會(huì)將這些被顯示過(guò)的圖片進(jìn)行緩存，以便下次打開時(shí)直接讀取緩存中的信息，從而達(dá)到快速顯示的目的。但如果我們不希望系統(tǒng)進(jìn)行緩沖的話（比如只瀏覽一次的圖片），則可以利用組策略關(guān)閉縮略圖緩存的功能，這樣第一次瀏覽速度反而會(huì)大大加快（因?yàn)椴贿M(jìn)行緩存處理）。
　　打開“組策略控制臺(tái)→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“關(guān)閉縮略圖的緩存”并啟用此策略。
　　3．屏蔽系統(tǒng)自帶的CD刻錄功能（Windows XP/2003）
　　Windows XP/2003系統(tǒng)自帶CD刻錄功能，如果你有CD刻錄機(jī)接在計(jì)算機(jī)上，Windows 資源管理器允許你制作并修改可重寫式CD。但這樣無(wú)疑會(huì)影響系統(tǒng)性能和資源管理器的執(zhí)行速度，因此我們可以利用組策略來(lái)屏蔽此功能（大部分用戶都使用專用的CD刻錄軟件）。
　　打開“組策略控制臺(tái)→用戶配置→管理模板→網(wǎng)絡(luò)→”中的“刪除CD刻錄功能”并啟用此策略。
　　4．關(guān)閉系統(tǒng)還原功能（Windows XP/2003）
　　系統(tǒng)還原是Windows XP/2003中集成的強(qiáng)大功能，它在系統(tǒng)運(yùn)行的同時(shí)，備份那些被更改的文件和數(shù)據(jù)，如果出現(xiàn)問題，系統(tǒng)還原使用戶能夠在不丟失個(gè)人數(shù)據(jù)文件的情況下，將計(jì)算機(jī)還原到以前的狀態(tài)。默認(rèn)情況下，系統(tǒng)還原處于打開狀態(tài)。
　　但為這一功能付出的代價(jià)也是相當(dāng)大的，系統(tǒng)性能會(huì)明顯下降，磁盤空間也會(huì)被占用很多。對(duì)于配置不高的計(jì)算機(jī)來(lái)說(shuō)，強(qiáng)烈建議關(guān)閉此功能。
　　打開“組策略控制臺(tái)→計(jì)算機(jī)配置→管理模板→系統(tǒng)→系統(tǒng)還原”中的“關(guān)閉系統(tǒng)還原”并啟用此策略。啟用此設(shè)置后即可關(guān)閉系統(tǒng)還原功能，并且不能訪問“系統(tǒng)還原向?qū)А焙汀芭渲媒缑妗薄?br>　　5．禁止Windows Messenger自動(dòng)運(yùn)行（Windows XP/2003）
　　在Windows系統(tǒng)中集成的優(yōu)秀應(yīng)用軟件越來(lái)越多，但這些系統(tǒng)內(nèi)置的軟件都沒有卸載選項(xiàng)，引起很多電腦用戶的不滿。比如Windows XP自帶的Windows Messenger，不但卸載不方便而且還隨系統(tǒng)一起自動(dòng)運(yùn)行。對(duì)于不上網(wǎng)的計(jì)算機(jī)用戶或者根本就不用Windows Messenger的用戶來(lái)說(shuō)，當(dāng)然要屏蔽此軟件的自動(dòng)運(yùn)行功能。
　　打開“組策略控制臺(tái)→計(jì)算機(jī)配置→管理模板→Windows組件→Windows Messenger”中的“不允許運(yùn)行Windows Messenger ”并啟用此策略。
　　提示：這個(gè)設(shè)置出現(xiàn)在“計(jì)算機(jī)配置”和“用戶配置”文件夾中。如果兩個(gè)設(shè)置都配置，“計(jì)算機(jī)配置”中的設(shè)置比“用戶配置”中的設(shè)置優(yōu)先。
　　九、用組策略打造系統(tǒng)銅墻鐵壁級(jí)功能
　　1．隱藏“我的電腦”中指定的驅(qū)動(dòng)器（Windows XP/2003）
　　此組策略可以從“我的電腦”和“Windows 資源管理器”上刪除代表所選硬件驅(qū)動(dòng)器的圖標(biāo)。并且驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不出現(xiàn)在標(biāo)準(zhǔn)的打開對(duì)話框上。
　　打開“組策略控制臺(tái)→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“隱藏‘我的電腦’中的這些指定的驅(qū)動(dòng)器”并啟用此策略，并在下面列表框中選擇一個(gè)驅(qū)動(dòng)器或幾個(gè)驅(qū)動(dòng)器。
　　提示：這項(xiàng)策略只刪除驅(qū)動(dòng)器圖標(biāo)。用戶仍可通過(guò)使用其它方式繼續(xù)訪問驅(qū)動(dòng)器的內(nèi)容。同時(shí)這項(xiàng)策略不會(huì)防止用戶使用程序訪問這些驅(qū)動(dòng)器或其內(nèi)容。并且也不會(huì)防止用戶使用磁盤管理即插即用來(lái)查看并更改驅(qū)動(dòng)器特性。
　　2．防止從“我的電腦”訪問驅(qū)動(dòng)器（Windows 2000/XP/2003）
　　此策略讓用戶無(wú)法查看在“我的電腦”或“Windows 資源管理器”中所選驅(qū)動(dòng)器的內(nèi)容。同時(shí)它也禁止使用運(yùn)行對(duì)話框、鏡像網(wǎng)絡(luò)驅(qū)動(dòng)器對(duì)話框或Dir命令查看在這些驅(qū)動(dòng)器上的目錄。
　　打開“組策略控制臺(tái)→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“防止從‘我的電腦’訪問驅(qū)動(dòng)器”并啟用此策略，并在下面列表框中選擇一個(gè)驅(qū)動(dòng)器或幾個(gè)驅(qū)動(dòng)器。
　　提示：這些代表指定驅(qū)動(dòng)器的圖標(biāo)仍舊會(huì)出現(xiàn)在“我的電腦”中，但是如果用戶雙擊圖標(biāo)，會(huì)出現(xiàn)一條消息解釋設(shè)置防止這一操作。同時(shí)這些設(shè)置不會(huì)防止用戶使用其它程序訪問本地和網(wǎng)絡(luò)驅(qū)動(dòng)器。并且不防止他們使用磁盤管理即插即用查看和更改驅(qū)動(dòng)器特性。
　　3．禁止使用命令提示符（Windows 2000/XP/2003）
　　在Windows 2000/XP/2003下，我們可以運(yùn)行cmd.exe進(jìn)入命令提示符狀態(tài)，并可以繼續(xù)運(yùn)行一些DOS命令和其他命令行程序。出于對(duì)安全的考慮，有些系統(tǒng)應(yīng)該屏蔽此功能。
　　打開“組策略控制臺(tái)→用戶配置→管理模板→系統(tǒng)”中的“阻止訪問命令提示符”并啟用此策略，并在下面列表框中選擇是否“也停用命令提示符腳本處理”，這個(gè)設(shè)置還決定批處理文件 .cmd和.bat　是否可以在計(jì)算機(jī)上運(yùn)行。
　　如果啟用這個(gè)設(shè)置，在用戶試圖打開命令窗口時(shí)，系統(tǒng)會(huì)顯示一條消息，解釋設(shè)置阻止這一操作。
　　4．禁止更改顯示屬性（Windows 2000/XP/2003）
　　選擇“控制面板”中的“顯示”或在Windows桌面的空白處單擊右鍵選擇“屬性”，可進(jìn)入“顯示設(shè)置”對(duì)話框，可以對(duì)桌面主題、桌面背景、屏保程序、顯示設(shè)置等各項(xiàng)進(jìn)行設(shè)置，如果你不想讓別人隨意更改各項(xiàng)設(shè)置，可以通過(guò)組策略將它隱藏起來(lái)。
　　打開“組策略控制臺(tái)→用戶配置→管理模板→控制面板→顯示”，然后可以看到隱藏桌面選項(xiàng)卡、隱藏主題選項(xiàng)卡、隱藏保護(hù)程序選項(xiàng)卡、隱藏設(shè)置選項(xiàng)卡等策略配置，可根據(jù)需要對(duì)這些項(xiàng)目進(jìn)行配置。比如啟用了“隱藏‘桌面’選項(xiàng)卡”策略后，再打開“顯示屬性”對(duì)話框，就看不到“桌面”標(biāo)簽了，這樣自然就無(wú)法再對(duì)桌面屬性進(jìn)行更改了。
　　5．禁用注冊(cè)表編輯器（Windows 2000/XP/2003）
　　為了防止他人進(jìn)入電腦后對(duì)注冊(cè)表文件進(jìn)行修改，可以在組策略中對(duì)注冊(cè)表編輯器做禁止訪問設(shè)置。具體操作方法：打開“組策略控制臺(tái)→用戶配置→系統(tǒng)”中的“阻止訪問注冊(cè)表編輯工具”并啟用此策略。
　　此策略被啟用后，用戶試圖啟動(dòng)注冊(cè)表編輯器（Regedit.exe 及 Regedt32.exe）的時(shí)候，系統(tǒng)會(huì)禁止這類操作并彈出警告消息。
　　6．徹底禁止訪問“控制面板”（Windows 2000/XP/2003）
　　如果不希望其他用戶訪問計(jì)算機(jī)的“控制面板”，同樣可以使用組策略來(lái)實(shí)現(xiàn)。打開“組策略控制臺(tái)→用戶配置→管理模板→擴(kuò)展面板”中的“禁止訪問控制面板”并啟用此策略。
　　此策略啟用后可以防止“控制面板”程序文件（Control.exe）的啟動(dòng)。他人將無(wú)法啟動(dòng)“控制面板”（或運(yùn)行任何“控制面板”項(xiàng)目）。另外，這個(gè)設(shè)置將從“開始”菜單中刪除“控制面板”。同時(shí)這個(gè)設(shè)置還從“Windows資源管理器”中刪除“控制面板”文件夾。
　　7．禁止建立新的撥號(hào)連接（Windows 2000/XP/2003）
　　如果不想讓別人在計(jì)算機(jī)中建立新連接來(lái)?yè)芴?hào)上網(wǎng)的話，組策略也可以做到。打開“組策略控制臺(tái)→用戶配置→管理模板→網(wǎng)絡(luò)→網(wǎng)絡(luò)連接”中的“禁止訪問新建連接向?qū)А辈⒂么瞬呗浴?br>　　啟用此策略后，在“網(wǎng)絡(luò)連接”文件夾和“開始菜單”中就不會(huì)出現(xiàn)“建立新連接”。
　　提示：此設(shè)置無(wú)法阻止用戶使用諸如 Internet Explorer 這樣的其它程序來(lái)繞過(guò)此設(shè)置。另外此設(shè)置必須重新啟動(dòng)計(jì)算機(jī)后才能生效。
　　8．禁用“添加/刪除程序”（Windows 2000/XP/2003）
　　“控制面板”中“添加或刪除程序”項(xiàng)目允許你安裝、卸載、修復(fù)并添加和刪除 Windows 的功能和組件以及種類很多的 Windows 程序。如果你想阻止其他用戶安裝或卸載程序，可利用組策略來(lái)實(shí)現(xiàn)。
　　打開“組策略控制臺(tái)→用戶配置→管理模板→控制面板→添加→刪除程序”中的“刪除‘添加/刪除程序’程序”并啟用此策略，當(dāng)我們?cè)俅蜷_“控制面板”中“添加/刪除程序”模塊的時(shí)候，會(huì)自動(dòng)彈出警告窗口，而“添加/刪除程序”則無(wú)法運(yùn)行。
　　此外，在“添加/刪除程序”分支中還可以對(duì)Windows“添加/刪除程序”項(xiàng)中的“添加新程序”、“從CD-ROM或軟盤添加程序”、“從 Microsoft添加程序”、“從網(wǎng)絡(luò)添加程序”等項(xiàng)進(jìn)行隱藏，通過(guò)這些策略項(xiàng)目的設(shè)置，起到了保護(hù)計(jì)算機(jī)中系統(tǒng)文件及應(yīng)用程序的作用。
　　9．限制使用應(yīng)用程序（Windows 2000/XP/2003）
　　如果你的電腦設(shè)置了多個(gè)用戶，有些程序我們可能不希望其他用戶隨意運(yùn)行，也能在組策略中設(shè)置。
　　打開“組策略控制臺(tái)→用戶配置→管理模板→系統(tǒng)”中的“只運(yùn)行許可的Windows應(yīng)用程序”并啟用此策略，然后點(diǎn)擊下面的“允許的應(yīng)用程序列表”邊的 “顯示”按鈕，彈出一個(gè)“顯示內(nèi)容”對(duì)話框，在此單擊“添加”按鈕來(lái)添加允許運(yùn)行的應(yīng)用程序即可。以后一般用戶只能運(yùn)行“允許的應(yīng)用程序列表”中的程序。


Windows 2000 安全策略
本部分介紹各種安全策略工具及其有關(guān)安全策略應(yīng)用的優(yōu)先級(jí)順序。默認(rèn)情況下，組策略具有繼承性和累積性，并且影響 Microsoft Active Directory? 容器中的所有計(jì)算機(jī)。通過(guò)使用組策略對(duì)象 (GPO) 可以管理組策略，這些組策略對(duì)象是在選定 Active Directory 對(duì)象（如站點(diǎn)、域或組織單位 (OU)）的特定層次結(jié)構(gòu)中附加的數(shù)據(jù)結(jié)構(gòu)。
創(chuàng)建了這些 GPO 后，可以按照如下標(biāo)準(zhǔn)順序應(yīng)用：LSDOU，其表示 (1) 本地、(2) 站點(diǎn)、(3) 域、(4) OU。后應(yīng)用的策略優(yōu)先級(jí)高于先應(yīng)用的策略優(yōu)先級(jí)。如果某臺(tái)計(jì)算機(jī)屬于某一域，并且在域和本地計(jì)算機(jī)策略之間存在沖突時(shí)，則域策略有效。然而，如果某臺(tái)計(jì)算機(jī)不再屬于某一域，則應(yīng)用本地組策略。
計(jì)算機(jī)加入實(shí)施 Active Directory 和組策略的域時(shí)，會(huì)處理本地 GPO。請(qǐng)注意，甚至在指定了“阻止策略繼承”選項(xiàng)時(shí)，也會(huì)處理本地 GPO 策略。
可以在默認(rèn)域 GPO 本地策略（審核策略、用戶權(quán)限分配和安全選項(xiàng)）中定義整個(gè)域的帳戶策略（密碼、帳戶鎖定和 Kerberos 策略），因?yàn)樵谀J(rèn)域控制器 GPO 中定義了域控制控制器 (DC) 。對(duì)于 DC，在默認(rèn) DC GPO 中定義的設(shè)置優(yōu)先級(jí)高于在默認(rèn)域 GPO 中定義的設(shè)置。這樣，如果在默認(rèn)域 GPO 中配置用戶特權(quán)（例如，“域中添加工作站”），則對(duì)此域中的 DC 沒有影響。
存在有在特定 GPO 中允許強(qiáng)制實(shí)施組策略的選項(xiàng)，這樣可以防止較低級(jí)別的 Active Directory 容器中的 GPO 替代此策略。例如，如果在域級(jí)別定義了特定 GPO，并指定強(qiáng)制實(shí)施 GPO，則 GPO 包含的策略將會(huì)應(yīng)用于此域中的所有 OU；也就是說(shuō)，較低級(jí)別的容器 (OU) 無(wú)法替代此域組策略。
注意：帳戶策略安全區(qū)域接收它在此域計(jì)算機(jī)中生效的專門處理方式。此域中的所有 DC 接收來(lái)自在域節(jié)點(diǎn)配置的 GPO 的帳戶策略，而不考慮 DC 的計(jì)算機(jī)對(duì)象的位置。這樣可確保對(duì)于所有域帳戶強(qiáng)制實(shí)施一致的帳戶策略。域中的所有非 DC 的計(jì)算機(jī)可按照正常的 GPO 層次結(jié)構(gòu)來(lái)獲得這些計(jì)算機(jī)上本地帳戶的策略。默認(rèn)情況下，成員工作站和服務(wù)器強(qiáng)制實(shí)施其本地帳戶域 GPO 中配置的策略設(shè)置，但如果存在有替代默認(rèn)設(shè)置的更低范圍的其他 GPO，則這些設(shè)置將會(huì)生效。
本地安全策略
使用本地安全策略可以在本地計(jì)算機(jī)中設(shè)置安全要求。其主要用于單獨(dú)計(jì)算機(jī)或用于將特定安全設(shè)置應(yīng)用于域成員。在 Active Directory 托管網(wǎng)絡(luò)中，本地安全策略設(shè)置具有最低優(yōu)先級(jí)。
?
打開本地安全策略
1.

以管理員權(quán)限登錄到計(jì)算機(jī)。
2.

在 Windows 2000 Professional 計(jì)算機(jī)中，默認(rèn)情況下“管理工具”不會(huì)作為“開始”菜單中的選項(xiàng)進(jìn)行顯示。要在 Windows 2000 Professional 中查看“管理工具”菜單選項(xiàng)，請(qǐng)單擊“開始”，指向“設(shè)置”，然后單擊“任務(wù)欄和開始菜單”。在“任務(wù)欄和開始菜單屬性”窗口中，單擊“高級(jí)”選項(xiàng)卡。在 “開始菜單設(shè)置”對(duì)話框中選擇“顯示管理工具”。單擊“確定”按鈕完成設(shè)置。
3.

單擊“開始”，指向“程序”，再指向“管理工具”，然后單擊“本地安全策略”。這樣就可以“本地安全設(shè)置”控制臺(tái)。

圖 1：本地安全設(shè)置
域安全策略
使用域安全策略可以設(shè)置和傳播域中所有計(jì)算機(jī)的安全要求。域安全策略替代域中所有計(jì)算機(jī)的本地安全策略設(shè)置。
?
打開域安全策略
1.

打開“Active Directory 用戶和計(jì)算機(jī)”管理單元。
2.

右鍵單擊要查看的適當(dāng)?shù)慕M織單位或域，然后單擊“屬性”。例如，要查看域安全策略，右鍵單擊域。要查看域控制器策略，右鍵單擊“域控制器”O(jiān)U。
3.

單擊“組策略”選項(xiàng)卡。
4.

單擊“編輯”按鈕。
5.

展開“Windows 設(shè)置”。
6.

在“安全設(shè)置”樹中執(zhí)行安全配置。
組織單位組策略對(duì)象
應(yīng)該使用 OU 管理域中的安全策略。此域已經(jīng)與域控制器 OU 一起提供。但是，可以根據(jù)需要定義其他 OU。例如，在域級(jí)別應(yīng)該應(yīng)用基準(zhǔn)設(shè)置，然后在 OU 級(jí)別應(yīng)用特定設(shè)置。這樣，可以創(chuàng)建工作站 OU 并將所有工作站置于其中，創(chuàng)建域服務(wù)器 OU 并將所有域成員服務(wù)器置于其中，等等。
OU GPO 可以替代由前面討論的策略界面實(shí)施的安全策略設(shè)置。例如，如果為域設(shè)置的策略與為域控制器 OU 配置的相同策略不兼容，則域控制器不會(huì)繼承域策略設(shè)置。通過(guò)在創(chuàng)建 OU GPO 時(shí)選擇“禁止替代”選項(xiàng)，可以避免發(fā)生此情況?！敖固娲边x項(xiàng)會(huì)強(qiáng)制所有子容器繼承來(lái)自父容器的策略，即使在這些策略與子容器的策略有沖突以及為子容器設(shè)置了“阻止繼承”的情況下也是如此。通過(guò)單擊 GPO 的“屬性”對(duì)話框上的“選項(xiàng)”按鈕，定位“禁止替代”復(fù)選框。
返回頁(yè)首返回頁(yè)首
其他安全配置界面
為了便于討論和實(shí)施，本文檔重點(diǎn)介紹有關(guān)通過(guò) Windows 2000 安全策略管理安全設(shè)置。但是，在獨(dú)立計(jì)算機(jī)上，這些界面不可用，甚至在域成員中有時(shí)需要逐一管理安全性，而不是通過(guò)組策略進(jìn)行管理。有許多獨(dú)立工具可以用于執(zhí)行這些任務(wù)。最常使用的是所有 Windows 2000 系統(tǒng)都附帶的安全配置編輯器。
安全配置編輯器
管理配置編輯器 (SCE) 由 Microsoft 管理控制臺(tái) (MMC) 兩個(gè)管理單元組成，用于提供對(duì) Windows 2000 操作系統(tǒng)進(jìn)行安全配置和分析的功能。第一個(gè)管理單元是“安全模板”管理單元，可以為管理員提供管理 .inf 文件（用于應(yīng)用安全設(shè)置）的圖形方式。第二個(gè)管理單元是“安全配置和分析”管理單元，用于管理員分析與特定模板相關(guān)的系統(tǒng)的安全性以及將模板中的設(shè)置應(yīng)用于系統(tǒng)。這些界面如圖 2 所示。為了查看這些管理單元，必須創(chuàng)建一個(gè)新的控制臺(tái)。
?
創(chuàng)建新的控制臺(tái)
1.

單擊“開始”，然后單擊“運(yùn)行...”并運(yùn)行 MMC。
2.

MMC 出現(xiàn)后，單擊“控制臺(tái)”，然后單擊“添加/刪除管理單元...”。接著，單擊“添加...”，然后雙擊“安全配置和分析”以及“安全模板”。
3.

單擊“關(guān)閉”和“確定”返回控制臺(tái)。為了將來(lái)使用，現(xiàn)在可以保存此控制臺(tái)以便在“開始”菜單上的“管理工具”文件夾中可用。

圖 2：安全配置編輯器
使用 SCE 工具，管理員可以配置 Windows 2000 操作系統(tǒng)的安全性，然后執(zhí)行對(duì)系統(tǒng)的定期分析以確保保持配置完整或者隨時(shí)間推移進(jìn)行必要的更改。這些工具可以有效地提供對(duì)組策略“安全設(shè)置”樹中顯示的每一項(xiàng)內(nèi)容的訪問能力。
有關(guān)使用 SCE 工具的詳細(xì)信息，請(qǐng)參閱：http://www.microsoft.com/windows2000/tec ... s/security/sctoolset.asp（英文）。
其他工具
有許多 Windows 2000 附帶的其他工具可以用于管理安全性。本部分簡(jiǎn)要介紹其中的一些工具。估計(jì)管理員已熟悉這些工具并且不需要對(duì)這些工具進(jìn)行更多的介紹。
?
Windows Explorer – 允許配置文件系統(tǒng)上的隨機(jī)訪問控制列表 (DACL) 和系統(tǒng)訪問控制列表 (SACL)。
?
Regedt32.exe – 允許配置注冊(cè)表上的 DACL 和 SACL。
?
Cacls.exe – 命令行工具，此工具允許配置和查看文件系統(tǒng) DACL。
?
Net.exe – 命令行工具，可以用于創(chuàng)建和配置用戶帳戶和組成員身份以及用于配置各種設(shè)置（如系統(tǒng)在網(wǎng)絡(luò)瀏覽列表中是否可見）。
?
Netsh.exe – 命令行工具，用于配置網(wǎng)絡(luò)參數(shù)。
?
Secedit.exe – 命令行工具，提供與 SCE 工具相同的功能。

Win2003 Server帳戶和本地策略配置

在Windows Server 2003系統(tǒng)的“帳戶和本地策略”中包括“帳戶策略”和“本地策略”兩個(gè)方面，而其中的“帳戶策略”又包括：密碼策略、帳戶鎖定策略和Kerberos策略三個(gè)方面；另外的“本地策略”也包括：審核策略、用戶權(quán)限分配和安全選項(xiàng)三部分。下面分別予以介紹。
　　
　　一、密碼策略的設(shè)置
　　密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個(gè)方面：
　　強(qiáng)制密碼歷史
　　密碼最長(zhǎng)使用期限
　　密碼最短使用期限
　　密碼長(zhǎng)度最小值
　　密碼必須符合復(fù)雜性要求
　　用可還原的加密來(lái)存儲(chǔ)密碼
　　
　　以上各項(xiàng)的配置方法均需根據(jù)當(dāng)前用戶帳戶類型來(lái)選擇。默認(rèn)情況下，成員計(jì)算機(jī)的配置與其域控制器的配置相同。下面分別根據(jù)幾種不同用戶類型介紹相應(yīng)的密碼策略配置方法。
　　
　　1. 對(duì)于本地計(jì)算機(jī)
　　
　　對(duì)于本地計(jì)算機(jī)的用戶帳戶，其密碼策略設(shè)置是在“本地安全設(shè)置”管理工個(gè)中進(jìn)行的。下面是具體的配置方法。
　　
　　第1步，執(zhí)行〖開始〗→〖管理工具〗→〖本地安全策略〗菜單操作，打開如圖所示的“本地安全設(shè)置”界面。對(duì)于本地計(jì)算機(jī)中用戶“帳戶和本地策略”都查在此管理工具中進(jìn)行配置的。

第2步，因密碼策略是屬于用戶策略范疇，所以先需在如上圖所示界面中單擊選擇“用戶策略”選項(xiàng)，然后再選擇“密碼策略”選項(xiàng)，在右邊詳細(xì)信息窗口中將顯示可配置的密碼策略選項(xiàng)的當(dāng)前配置。
　　
　　因?yàn)楦鞑呗赃x項(xiàng)的配置方法基本一樣，所以在此僅以一個(gè)選項(xiàng)的配置進(jìn)行介紹，其它只對(duì)各選項(xiàng)的具體作用進(jìn)行簡(jiǎn)單介紹。
　　
　　如配置“密碼必須符合復(fù)雜性要求”選項(xiàng)，可設(shè)置確定密碼是否符合復(fù)雜性要求。啟用該策略，則密碼必須符合以下最低要求：
　?。?）不包含全部或部分的用戶帳戶名
　?。?）長(zhǎng)度至少為六個(gè)字符
　?。?）包含來(lái)自以下四個(gè)類別中的三個(gè)的字符：
　　英文大寫字母（從A到Z）
　　英文小寫字母（從a到z）
　　10個(gè)基本數(shù)字（從0到9）
　　非字母字符（例如，!、$、#、%）
　　
　　如果啟用了此安全策略，而您所配置的用戶密碼不符合此配置要求時(shí)系統(tǒng)會(huì)提示錯(cuò)誤。有時(shí)您可能百思不得其解，認(rèn)為自己所設(shè)的密碼已經(jīng)夠長(zhǎng)，而且也是屬于隨機(jī)的，不全都是數(shù)字或字母，可系統(tǒng)為什么還是老說(shuō)錯(cuò)誤呢？一般來(lái)說(shuō)是由于您所設(shè)的密碼所包括的字符類型不足以上四個(gè)中的三個(gè)。通常只各個(gè)領(lǐng)域其中的兩種，即數(shù)字和字母，而沒有考慮到字母的大小寫或者非字母字符，所以達(dá)不到復(fù)雜性要求。更改或創(chuàng)建密碼時(shí)，會(huì)強(qiáng)制執(zhí)行復(fù)雜性要求。
　　
　　默認(rèn)情況下，在域控制器上默認(rèn)是已啟用了這一策略的；而在獨(dú)立服務(wù)器上則默認(rèn)是禁用的。
　　
　　這個(gè)安全選項(xiàng)的配置方法是在如上圖所示界面的右邊信息窗口中雙擊“密碼必須符合復(fù)雜性要求”選項(xiàng)，打開如圖所示對(duì)話框。在這個(gè)對(duì)話框中就可隨意啟用或者禁用這個(gè)安全策略選項(xiàng)，配置好后單擊“確定”按鈕使配置更改生效。

其它選項(xiàng)的配置方法都一樣，都是通過(guò)雙擊或者單擊右鍵，然后選擇“屬性”選項(xiàng)，打開類似如圖2所示對(duì)話框，在這些對(duì)話框中進(jìn)行配置即可。不過(guò)為了便于工作于大家理解和配置，下面簡(jiǎn)單介紹其它密碼策略選項(xiàng)的含義。
　　
　　強(qiáng)制密碼歷史
　　重新使用舊密碼之前，該安全設(shè)置確定某個(gè)用戶帳戶所使用的新密碼必須不能與該帳戶所使用的最近多少舊密碼一樣。該值必須為0到24之間的一個(gè)數(shù)值。該策略通過(guò)確保舊密碼不能在某段時(shí)間內(nèi)重復(fù)使用，使用戶帳戶更安全。
　　
　　在域控制器上的默認(rèn)值為24；而在獨(dú)立服務(wù)器上為0。
　　
　　【注意】要維持密碼歷史記錄的有效性，則在通過(guò)啟用密碼最短使用期限安全策略設(shè)置更改密碼之后，不允許立即更改密碼。
　　
　　密碼最長(zhǎng)使用期限
　　該安全設(shè)置確定系統(tǒng)要求用戶更改密碼之前可以使用該密碼的時(shí)間（單位為天）?？蓪⒚艽a的過(guò)期天數(shù)設(shè)置在1至999天之間；如果將天數(shù)設(shè)置為0，則指定密碼永不過(guò)期。如果密碼最長(zhǎng)使用期限在1至999天之間，那么“密碼最短使用期限”（下面將介紹）必須小于密碼最長(zhǎng)使用期限。如果密碼最長(zhǎng)使用期限設(shè)置為0，則密碼最短使用期限可以是1至998天之間的任何值。
　　默認(rèn)值：42。
　　
　　【技巧】使密碼每隔30至90天過(guò)期一次是一種安全最佳操作，取決于您的環(huán)境。通過(guò)這種方式，攻擊者只能夠在有限的時(shí)間內(nèi)破解用戶密碼并訪問您的網(wǎng)絡(luò)資源。
　　
　　第三步，密碼最短使用期限。該安全策略設(shè)置確定用戶可以更改密碼之前必須使用該密碼的時(shí)間（單位為天）。可以設(shè)置1到998天之間的某個(gè)值，或者通過(guò)將天數(shù)設(shè)置為0，允許立即更改密碼。密碼最短使用期限必須小于上面設(shè)置的“密碼最長(zhǎng)使用期限”，除非密碼最長(zhǎng)使用期限設(shè)置為0（表明密碼永不過(guò)期）。如果密碼最長(zhǎng)使用期限設(shè)置為0，那么密碼最短使用期限可設(shè)置為0到998天之間的任意值。
　　
　　如果希望上面設(shè)置的“強(qiáng)制密碼歷史”安全策略選項(xiàng)設(shè)置有效，請(qǐng)將密碼最短有效期限配置為大于0。如果沒有密碼最短有效期限，則用戶可以重復(fù)循環(huán)通過(guò)密碼，直到獲得喜歡的舊密碼。默認(rèn)設(shè)置不遵從這種推薦方法，因此管理員可以為用戶指定密碼，然后要求當(dāng)用戶登錄時(shí)更改管理員定義的密碼。如果將該密碼的歷史記錄設(shè)置為0，則用戶不必選擇新密碼。因此，默認(rèn)情況下將密碼歷史記錄設(shè)置為1。在域控制器上的默認(rèn)值為1；而在獨(dú)立服務(wù)器上為0。
　　
　　第四步，密碼長(zhǎng)度最小值。該安全設(shè)置確定用戶帳戶的密碼可以包含的最少字符個(gè)數(shù)?？梢栽O(shè)置為1到14個(gè)字符之間的某個(gè)值，或者通過(guò)將字符數(shù)設(shè)置為0，可設(shè)置不需要密碼。在域控制器上的默認(rèn)值為7；而在獨(dú)立服務(wù)器上為0。
　　
　　第五步，用可還原的加密來(lái)存儲(chǔ)密碼。該安全設(shè)置確定操作系統(tǒng)是否使用可還原的加密來(lái)存儲(chǔ)密碼。如果應(yīng)用程序使用了要求知道用戶密碼才能進(jìn)行身份驗(yàn)證的協(xié)議，則該策略可對(duì)它提供支持。使用可還原的加密存儲(chǔ)密碼和存儲(chǔ)明文版本密碼本質(zhì)上是相同的。因此，除非應(yīng)用程序有比保護(hù)密碼信息更重要的要求，否則不必啟用該策略。
　　
　　當(dāng)使用質(zhì)詢握手身份驗(yàn)證協(xié)議（CHAP）通過(guò)遠(yuǎn)程訪問或Internet身份驗(yàn)證服務(wù)（IAS）進(jìn)行身份驗(yàn)證時(shí)，該策略是必需的。在Internet信息服務(wù)（IIS）中使用摘要式驗(yàn)證時(shí)也要求該策略。系統(tǒng)默認(rèn)值為禁用。
　　
　　上面介紹的是在本地計(jì)算機(jī)上配置以上密碼安全策略選項(xiàng)的方法，下面繼續(xù)介紹在其它兩種情形中這些密碼策略選項(xiàng)的配置方法。
　　
　　2. 在域環(huán)境中，并且您位于已加入到域中的成員服務(wù)器或工作站
　　
　　對(duì)于這種情形，用戶的本地密碼策略配置方法如下：
　　
　　第1步，執(zhí)行〖開始〗→〖運(yùn)行〗菜單操作，在對(duì)話框的“打開”文本框中輸入“mmc”命令，打開Microsoft管理控制臺(tái)（MMC），如圖所示。
　　

第2步，執(zhí)行〖文件〗→〖添加/刪除管理單元〗菜單操作，打開如圖所示對(duì)話框。在這個(gè)對(duì)話框中可以添加在控制臺(tái)管理的管理單元。
　　

第3步，單擊“添加”按鈕，打開如下圖所示對(duì)話框。在這個(gè)對(duì)話框中找到“組策略對(duì)象編輯器”選項(xiàng)，然后雙擊，或單擊選擇它后按“添加”按鈕，打開如圖所示對(duì)話框。在這個(gè)對(duì)話框中要求選擇所添加的“組策略對(duì)象編輯器”所作用的對(duì)象。
　　


因此處介紹的是成員服務(wù)器或工作站（非本地計(jì)算機(jī)），所以需單擊“瀏覽”按鈕，在打開的對(duì)話框中選中“計(jì)算機(jī)”選項(xiàng)卡（對(duì)話框如下圖所示）。在對(duì)話框中選擇“另一計(jì)算機(jī)”單選項(xiàng)，然后直接在下面的文本框中輸入或再次通過(guò)單擊“瀏覽”按鈕，打開對(duì)話框查找。
　　

第4步，輸入或者選擇好計(jì)算機(jī)名后，單擊“確定”按鈕即可返回到如上圖所示對(duì)話框。單擊“完成”按鈕，如果所選擇的成員服務(wù)器或工作站與當(dāng)前服務(wù)器的網(wǎng)絡(luò)連接正常的話，即可把它們指派到組策略對(duì)象編輯器中。
　　
　　第5步，單擊對(duì)話框中的“關(guān)閉”按鈕，返回到如圖所示對(duì)話框。單擊“確定”按鈕返回到控制臺(tái)界面，不過(guò)此時(shí)已是添加了“組策略對(duì)象編輯器”管理單元的控制臺(tái)，如圖所示。
　　

第6步，依次單擊展開〖計(jì)算機(jī)配置〗→〖Windows設(shè)置〗→〖安全設(shè)置〗→〖帳戶策略〗→〖密碼策略〗選項(xiàng)，然后在右邊詳細(xì)信息窗口中選擇相應(yīng)的密碼策略選項(xiàng)配置即可。配置方法也是在相應(yīng)選項(xiàng)上單擊右鍵，然后再選擇“屬性”選項(xiàng)，打開的對(duì)話框與前圖一樣，參照即可。
　　
　　3. 您位于域控制器，或已安裝 Windows Server 2003 管理工具包的工作站
　　
　　對(duì)于這種情形，密碼策略的配置方法如下：
　　第1步，執(zhí)行〖開始〗→〖管理工具〗→〖Active Directory用戶和計(jì)算機(jī)〗菜單操作，打開如圖所示的“Active Directory用戶和計(jì)算機(jī)”管理工具界面。

第2步，在控制臺(tái)樹中要設(shè)置組策略的域或組織單位上（本例以域grfwgz.com為例）單擊右鍵，然后選擇“屬性”選項(xiàng)，在打開的對(duì)話框中選擇“組策略”選項(xiàng)卡，對(duì)話框如圖所示。
　　

　第3步，選擇對(duì)話框“組策略對(duì)象鏈接”列表中的項(xiàng)目以選擇現(xiàn)
帳戶鎖定策略用于域帳戶或本地用戶帳戶，它們確定某個(gè)帳戶被系統(tǒng)鎖定的情況和時(shí)間長(zhǎng)短。這部分包含以下三個(gè)方面：
　　
　　帳戶鎖定時(shí)間
　　帳戶鎖定閾值
　　復(fù)位帳戶鎖定計(jì)數(shù)器
　　
　　1. 帳戶鎖定時(shí)間
　　
　　該安全設(shè)置確定鎖定的帳戶在自動(dòng)解鎖前保持鎖定狀態(tài)的分鐘數(shù)。有效范圍從0到99,999分鐘。如果將帳戶鎖定時(shí)間設(shè)置為0，那么在管理員明確將其解鎖前，該帳戶將被鎖定。如果定義了帳戶鎖定閾值，則帳戶鎖定時(shí)間必須大于或等于重置時(shí)間。
　　
　　默認(rèn)值：無(wú)。因?yàn)橹挥挟?dāng)指定了帳戶鎖定閾值時(shí)，該策略設(shè)置才有意義。
　　
　　2. 帳戶鎖定閾值
　　
　　該安全設(shè)置確定造成用戶帳戶被鎖定的登錄失敗嘗試的次數(shù)。無(wú)法使用鎖定的帳戶，除非管理員進(jìn)行了重新設(shè)置或該帳戶的鎖定時(shí)間已過(guò)期。登錄嘗試失敗的范圍可設(shè)置為0至999之間。如果將此值設(shè)為0，則將無(wú)法鎖定帳戶。
　　
　　對(duì)于使用Ctrl+Alt+Delete組合鍵或帶有密碼保護(hù)的屏幕保護(hù)程序鎖定的工作站或成員服務(wù)器計(jì)算機(jī)上，失敗的密碼嘗試計(jì)入失敗的登錄嘗試次數(shù)中。默認(rèn)值：0。
　　
　　3.復(fù)位帳戶鎖定計(jì)數(shù)器
　　
　　該安全設(shè)置確定在登錄嘗試失敗計(jì)數(shù)器被復(fù)位為0（即0次失敗登錄嘗試）之前，嘗試登錄失敗之后所需的分鐘數(shù)。有效范圍為1到99,999分鐘之間。
　　如果定義了帳戶鎖定閾值，則該復(fù)位時(shí)間必須小于或等于帳戶鎖定時(shí)間。
　　默認(rèn)值：無(wú)，因?yàn)橹挥挟?dāng)指定了“帳戶鎖定閾值”時(shí)，該策略設(shè)置才有意義。
　　它們的配置也要因當(dāng)前用戶所在的網(wǎng)絡(luò)環(huán)境而定。對(duì)于本地計(jì)算機(jī)用戶帳戶，在如圖1所示界面中配置；對(duì)于域中的成員服務(wù)器或工作站則在如圖8所示對(duì)話框中配置；而對(duì)于域控制器用戶則在如圖11所示界面中配置。
　　
　　配置方法也是通過(guò)雙擊，或單擊選擇某帳戶鎖定策略選項(xiàng)，然后再單擊右鍵，選擇“屬性”選項(xiàng)，都可打開類似如圖所示對(duì)話框，在其中進(jìn)行配置即可。

Kerberos V5身份驗(yàn)證協(xié)議是用于確認(rèn)用戶或主機(jī)身份的身份驗(yàn)證機(jī)制，也是Windows 2000和Windows Server 2003系統(tǒng)默認(rèn)的身份驗(yàn)證服務(wù)。Internet協(xié)議安全性（IPSec）可以使用Kerberos協(xié)議進(jìn)行身份驗(yàn)證。
　　
　　對(duì)于在安裝過(guò)程中所有加入到Windows Server 2003或Windows 2000域的計(jì)算機(jī)都默認(rèn)啟用Kerberos V5身份驗(yàn)證協(xié)議。Kerberos可對(duì)域內(nèi)的資源和駐留在受信任的域中的資源提供單一登錄。
　　可通過(guò)那些作為帳戶策略一部分的Kerberos安全設(shè)置來(lái)控制Kerberos配置的某些方面。例如，可設(shè)置用戶的Kerberos 5票證生存周期。作為管理員，可以使用默認(rèn)的kerberos策略，也可以更改它以適應(yīng)環(huán)境的需要。使用Kerberos V5進(jìn)行成功的身份驗(yàn)證需要兩個(gè)客戶端系統(tǒng)都必須運(yùn)行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系統(tǒng)。
　　
　　如果客戶端系統(tǒng)嘗試向運(yùn)行其他操作系統(tǒng)的服務(wù)器進(jìn)行身份驗(yàn)證，則使用NTLM協(xié)議作為身份驗(yàn)證機(jī)制。NTLM身份驗(yàn)證協(xié)議是用來(lái)處理兩臺(tái)計(jì)算機(jī)（其中至少有一臺(tái)計(jì)算機(jī)運(yùn)行Windows NT 4.0或更早版本）之間事務(wù)的協(xié)議。
　　
　　使用Kerberos進(jìn)行身份驗(yàn)證的計(jì)算機(jī)必須使其時(shí)間設(shè)置在5分鐘內(nèi)與常規(guī)時(shí)間服務(wù)同步，否則身份驗(yàn)證將失敗。運(yùn)行Windows Server 2003家族成員、Windows XP Professional或Windows 2000的計(jì)算機(jī)將自動(dòng)更新當(dāng)前時(shí)間，并將域控制器用作網(wǎng)絡(luò)時(shí)間服務(wù)。
　　
　　Kerberos策略用于域用戶帳戶，確定與Kerberos相關(guān)的設(shè)置，例如票證的有效期限和強(qiáng)制執(zhí)行。
　　Kerberos策略不存在于本地計(jì)算機(jī)策略中。這部分包含以下幾個(gè)方面：
　　強(qiáng)制用戶登錄限制
　　服務(wù)票證最長(zhǎng)壽命
　　用戶票證最長(zhǎng)壽命
　　用戶票證續(xù)訂最長(zhǎng)壽命
　　計(jì)算機(jī)時(shí)鐘同步的最大容差
　　
　　1. 強(qiáng)制用戶登錄限制
　　本安全設(shè)置確定Kerberos V5密鑰分發(fā)中心（KDC）是否要根據(jù)用戶帳戶的用戶權(quán)限來(lái)驗(yàn)證每一個(gè)會(huì)話票證請(qǐng)求。驗(yàn)證每一個(gè)會(huì)話票證請(qǐng)求是可選的，因?yàn)轭~外的步驟需要花費(fèi)時(shí)間，并可能降低服務(wù)的網(wǎng)絡(luò)訪問速度。默認(rèn)值：已啟用。
　　
　　2. 服務(wù)票證最長(zhǎng)壽命
　　該安全設(shè)置確定使用所授予的會(huì)話票證可訪問特定服務(wù)的最長(zhǎng)時(shí)間（以分鐘為單位）。該設(shè)置必須大于10分鐘并且小于或等于下面將要介紹的“用戶票證最長(zhǎng)壽命”選項(xiàng)中的設(shè)置。
　　【說(shuō)明】票證是用于安全原則的標(biāo)識(shí)數(shù)據(jù)集，是為了進(jìn)行用戶身份驗(yàn)證而由域控制器發(fā)行的。
　　Windows中的兩種票證形式是票證授予式票證（TGT）和服務(wù)票證。
　　票證授予式票證（TGT）是用戶登錄時(shí)，Kerberos密鑰分發(fā)中心（KDC）頒發(fā)給用戶的憑據(jù)。當(dāng)服務(wù)要求會(huì)話票證時(shí)，用戶必須向KDC遞交TGT。因?yàn)門GT對(duì)于用戶的登錄會(huì)話活動(dòng)通常是有效的，它有時(shí)稱為“用戶票證”。
　　
　　服務(wù)票證是由允許用戶驗(yàn)證域中指定服務(wù)的KerberosV5票證授予服務(wù)（TGS）頒發(fā)的票證。如果客戶端請(qǐng)求服務(wù)器連接時(shí)出示的會(huì)話票證已過(guò)期，服務(wù)器將返回錯(cuò)誤消息?？蛻舳吮仨殢腒erberos V5密鑰分發(fā)中心（KDC）請(qǐng)求新的會(huì)話票證。然而一旦連接通過(guò)了身份驗(yàn)證，該會(huì)話票證是否仍然有效就無(wú)關(guān)緊要了。會(huì)話票證僅用于驗(yàn)證和服務(wù)器的新建連接。如果用于驗(yàn)證連接的會(huì)話票證在連接時(shí)過(guò)期，則當(dāng)前的操作不會(huì)中斷。默認(rèn)值：600分鐘（10小時(shí)）。
　　
　　3. 用戶票證最長(zhǎng)壽命
　　該安全設(shè)置確定用戶票證授予票證（TGT）的最長(zhǎng)使用時(shí)間（單位為小時(shí)）。用戶TGT期滿后，必須請(qǐng)求新的或“續(xù)訂”現(xiàn)有的用戶票證。默認(rèn)值：10小時(shí)。
　　
　　4. 用戶票證續(xù)訂最長(zhǎng)壽命
　　該安全設(shè)置確定可以續(xù)訂用戶票證授予票證（TGT）的期限（以天為單位）。默認(rèn)值：7天。
　　
　　5. 計(jì)算機(jī)時(shí)鐘同步的最大容差
　　本安全設(shè)置確定Kerberos V5所允許的客戶端時(shí)鐘和提供Kerberos身份驗(yàn)證的Windows Server 2003域控制器上的時(shí)間的最大差值（以分鐘為單位）。
　　為防止“輪番攻擊”，Kerberos V5在其協(xié)議定義中使用了時(shí)間戳。為使時(shí)間戳正常工作，客戶端和域控制器的時(shí)鐘應(yīng)盡可能的保持同步。換言之，應(yīng)該將這兩臺(tái)計(jì)算機(jī)設(shè)置成相同的時(shí)間和日期。因?yàn)閮膳_(tái)計(jì)算機(jī)的時(shí)鐘常常不同步，所以管理員可使用該策略來(lái)設(shè)置Kerberos V5所能接受的客戶端時(shí)鐘和域控制器時(shí)鐘間的最大差值。如果客戶端時(shí)鐘和域控制器時(shí)鐘間的差值小于該策略中指定的最大時(shí)間差，那么在這兩臺(tái)計(jì)算機(jī)的會(huì)話中使用的任何時(shí)間戳都將被認(rèn)為是可信的。默認(rèn)值：5分鐘。
　　【注意】該設(shè)置并不是永久性的。如果配置該設(shè)置后重新啟動(dòng)計(jì)算機(jī)，那么該設(shè)置將被還原為默認(rèn)值。
　　
　　以上各Kerberos策略安全選項(xiàng)的配置方法如下：
　　第1步，在組策略界面中，依次單擊展開下列選項(xiàng)〖計(jì)算機(jī)設(shè)置〗→〖Windows設(shè)置〗→〖安全設(shè)置〗→〖用戶策略〗→〖Kerberos策略〗，在右邊詳細(xì)信息窗口中將列出當(dāng)前所有的Kerberos策略選項(xiàng)，如圖所示。
　　

第2步，在詳細(xì)信息窗口中顯示了各Kerberos策略安全選項(xiàng)的當(dāng)前配置，如果要重新配置某選項(xiàng)，可直接雙擊，也可在相應(yīng)選項(xiàng)上單擊右鍵，然后選擇“屬性”選項(xiàng)，都可打開類似如圖所示的配置對(duì)話框。在這個(gè)對(duì)話框中可以選擇是否啟用或者重新配置該安全選項(xiàng)的參數(shù)值。
　　

選擇好后單擊“確定”按鈕即可生效。對(duì) Kerberos 策略的任何修改都將影響域中的所有計(jì)算機(jī)。
　　
　　Windows Server 2003系統(tǒng)審核策略的配置方法也要根據(jù)以下四種具體的情形而選擇不同的配置方法。
　　
　　1. 對(duì)于本地計(jì)算機(jī)
　　在這個(gè)情況下，審核策略的配置也是在 “本地安全設(shè)置”界面中進(jìn)行的，只是此時(shí)要選擇“本地策略”下的“審核策略”選項(xiàng)，如圖所示。
　　

雙擊詳細(xì)信息窗格中要更改審核策略設(shè)置的事件類別，或在相應(yīng)審核策略事件上單擊右鍵，然后選擇“屬性”選項(xiàng)，都可打開如圖所示對(duì)話框（本例選擇的是“審核登錄事件”選項(xiàng)）。執(zhí)行以下一個(gè)或兩個(gè)操作，然后單擊“確定”按鈕使配置生效。
　　
　　要審核成功的嘗試，請(qǐng)選中“成功”復(fù)選項(xiàng)。
　　要審核未成功的嘗試，請(qǐng)選中“失敗”復(fù)選項(xiàng)。

2. 您在一臺(tái)域控制器上或已安裝了Windows Server 2003管理工具包的工作站上
　　
　　這種情形下審核策略的配置方法如下：
　　第1步，執(zhí)行〖開始〗→〖管理工具〗→〖域控制器安全策略〗菜單操作，打開如圖所示的“域控制器安全策略”管理工具界面。

第2步，在控制臺(tái)樹中，按〖Windows設(shè)置〗→〖安全設(shè)置〗→〖本地策略〗→〖審核策略〗順序依次單擊，展開各選項(xiàng)，直到“審核策略”選項(xiàng)。
　　
　　第3步，雙擊詳細(xì)信息窗格中要更改審核策略設(shè)置的事件類別，或者在相應(yīng)事件上單擊右鍵，然后選擇“屬性”選項(xiàng)，同樣會(huì)打開如圖5所示的對(duì)話框。配置方法與前一種情形“本地計(jì)算機(jī)”中介紹的方法一樣，參照即可。
　　
　　3. 您是在一臺(tái)域控制器上或已安裝了“管理工具包”的工作站上
　　
　　在這種應(yīng)用情形中，審核配置的配置方法是在“Active Directory用戶和計(jì)算機(jī)”管理工具中打開組策略進(jìn)行的。不同的此時(shí)選擇的是“本地策略”下的“審核策略”選項(xiàng)，如圖所示。

審核策略的配置方法與前兩種情形中介紹的一樣，不再贅述。
　　
　　4. 對(duì)于域或組織單位，您是在一臺(tái)成員服務(wù)器上或已加入