组策略终极应用技巧

W i n d o w s系统组策略应用技巧精编Document number：WTT-LKK-GBB-08921-EIGG-22986Windows系统组策略应用最新技巧系统几乎是各位网络管理人员管理网络时的必用利器之一，有关该利器的常规应用技巧，相信许多人都已经耳熟能详了。

但是笔者一直认为，只要我们足够细心、用心，就一定会从系统组策略中不断挖掘出新的应用技巧来。

不信的话，就来看看下面的内容吧，相信它们会帮助大家进入一个新的应用新“境界”!巧限程序，谨防“自锁”Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目，一旦你将该项目启用，同时限制好指定的程序可以运行外，那么无论你是否在“只允许运行程序列表”中，添加了命令，只要“只允许运行Windows 应用程序”的组策略项目生效，系统的组策略就会自动“自锁”，即使你在超级管理员帐号下使用“”命令，也不能打开系统的组策略编辑窗口!那么有没有一种办法，既能限制应用程序的运行，又能防止系统组策略出现“自锁”现象呢答案是肯定的，你可以按照如下步骤来操作:首先依次单击“开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令“”，单击“确定”按钮后，打开系统组策略编辑窗口;依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目，在对应“系统”项目右边的子窗口中，双击“只运行许可的Windows应用程序”选项，在其后弹出的界面中，将“已启用”选项选中。

随后，你将在对应的窗口中看到“显示”按钮被自动激活，再单击“显示”按钮，然后继续单击其后窗口中的“添加”按钮，再将需要运行的应用程序名称输入在添加设置框中，最后单击“确定”按钮;下面，请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框，并在其中执行“”命令，此时你将发现系统组策略编辑程序已经无法运行了!不过，幸亏前面没有将组策略编辑窗口关闭，现在你可以继续在组策略编辑窗口中，双击刚才设置的“只允许运行Windows应用程序”项目，然后在弹出的策略设置窗口中，选中“未配置”选项，最后单击一下“确定”按钮，这样就能实现既可以限制运行应用程序的目的，又能阻止系统组策略出现“自锁”现象。

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

考虑到安全方面的原因，Windows 7已经开发了许多新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。

这些功能的配置取决于您的具体要求和使用环境，本文将主要介绍Windows 7组策略的安全使用技巧，介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。

一、系统设置安全篇1. 禁止运行指定程序系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。

通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。

具体步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

(2)在左边的窗格依次单击“用户配置→管理模板→系统”，然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。

图1 双击“不要运行指定的Windows应用程序”(3)选中“已启用”，单击“显示”按钮(如图2所示)，添加要阻止的程序如“Wgatray.exe”即可。

图2 添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。

把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。

要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。

这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。

该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。

组策略攻略概念：组策略对象可以应用到的容器包括：站点、域、OU。

默认的域策略、域控制器策略尽量不要去修改。

默认的域策略会影响到所有的域内的用户，计算机以及DC，默认的域控制器策略只会影响到域内的所有的域控制器。

组策略（group policy）对象包括组策略容器（GPC）和组策略模板（GPT）组策略是AD集中管理的工具。

GPC存放在AD用户和计算机中。

存放位置如下：高级功能-选择域-system-policies对应的UID中，单击属性可以查看版本号等信息，CPT存放于sysvol\域名\polilcies\ID number下的文件夹下，包含计算机和用户的配置，以及版本号。

多个GPO可以链接到一个容器，一个GPO可以链接到多个容器。

强制：是不受组策略阻断影响，Q&A：如何实现OU内的GPO只（不）对OU内特定人员生效？（GPO只对财务部OU和销售部OU的经理生效）使用安全过滤；在AD用户和计算机中新建一个安全组，将需要生效的成员（经理）添加进来，在所要生效的GPO中右击属性-委派-高级，删除默认的authe nticated user组，将新建的安全组添加进来，权限中设置读取和应用（拒绝）组策略权限即可。

（尽量不要使用，方便排错）如果一个程序有多个软件限制策略规则，该如何应用？按照1：哈希；2：证书；3：路径；4：internet区域路径规则；优先级顺序执行。

组策略的执行顺序为：本地策略、站点策略、域策略、父OU策略、子OU策略。

后执行的优先级高。

如多于一个的同类规则作用于同一个程序，则同类规则中最具有限制能力的规则起作用。

如何禁止客户端本地登录，只能使用域环境登录？打开GPMC，在所要设置的GPO中编辑如下：计算机设置-策略-windows设置-安全设置-本地策略-用户权限分配中，单击允许本地登录，安全选项中，帐户：管理员帐户状态，禁用，可以实现只能登陆到域。

组策略如何备份？打开GPMC-组策略对象，在需要备份的GPO中单击备份，要备份所有的GPO，单击组策略对象，选择备份。

★组策略的终极应用★组策略的应用先给初学的扫扫盲：说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。

很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

简单点说，组策略就是修改注册表中的配置。

当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行组策略。

先看看组策略的全貌，如图。

本文将主要讲解以下内容：计算机配置||__Windows设置| || |__脚本(启动/关机)| |__安全设置| |__账户策略| | |__密码策略| | |__账户锁定策略| |__本地策略| | |__审核策略| | |__用户权利指派| | |__安全选项| |__公钥策略| | |__正在加密文件系统@| |__软件限制策略| | |__安全级别| | |__其他规则@| |__IP安全策略,在本地计算机||__用户配置||__Windows设置||__管理模板|__任务栏和[开始]菜单|__桌面|__控制面板|__网络|__系统|__Windows组件Win2003 Server帐户和本地策略配置（上）在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。

下面分别予以介绍。

一、密码策略的设置密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史密码最长使用期限密码最短使用期限密码长度最小值密码必须符合复杂性要求用可还原的加密来存储密码以上各项的配置方法均需根据当前用户帐户类型来选择。

组策略最佳实践之降龙十八掌希望对大家有用！降龙十八掌第一式——亢龙有悔：单独保留默认的GPOs（推荐）1、Default Domain Policy & Default Domain Controllers Policy密码、帐户锁定和Kerberos策略设置必须在域级别实现（如果在OU级别上去做，只是对计算机的本地用户生效而不是域用户）还有以下设置：登录时间用完自动注销用户，重命名（Domain）管理员帐户和重命名（Domain）来宾帐户。

这些策略也必须在域级别实现，也是只有这些策略需要在域级别上设置。

2、使用以下两种方法：（1）在Default Domain Policy仅修改以上策略设置，然后在其下链接其他GPO（2）单独保留Default Domain Policy永不修改，创建并链接高优先级的GPO，然后修改策略设置（推荐）1、为什么因为恢复损坏的默认的GPOs是个噩梦？（KB 226243、KB 324800 —KB267553）4、不要依赖DCgpofix（这将是最后的还原工具），Dcgpofix还原默认的GPOs到干净的安装状态。

最好的方法使用您的备份替代！降龙十八掌第二式——飞龙在天：设计OU结构1、将DC放在DC所在的OU里并单独管理2、为用户和计算机创建单独的OU3、使用OU把用户/计算机按照角色分组，例如：（1）计算机：邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等（2）域控制器：保留在默认的Domain controllers OU下（链接Default Domain Controller Policy GPO）（3）用户：IT职员、工程师、车间、移动用户等4、默认情况下，所有新帐户创建在cn=users或者cn=computers（不能链接GPO），所以如果是Windows 2003域：（1）在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认OU（2）允许使用组策略管理新创建的帐户（使用“redirusr.exe”和“redircmp.exe”两个命令，为使重定向成功，在目录域中的域功能级别必须至少是windows server 2003，这两个工具是内置的，示例：所用域的名字是zxy.xy，让新计算机加入到域，默认注册到TEST的OU中去，进入命令提示符：c:\>redircmp“ou=test,dc=zxy,dc=xy”用户的相同）（命令创建计算机帐户：c:>net computer [url=file://computername/]\\computername[/url] /add）降龙十八掌第三式——龙战于野：反对跨域GPO链接如果你公司是多域环境，绝对不要把父域的GPO链接到子域来使用，相反亦然。

Windows系统组策略应用最新技巧系统组策略几乎是各位网络治理人员治理网络时的必用利器之一，有关该利器的常规应用技巧，相信许多人都差不多耳熟能详了。

然而笔者一直认为，只要我们足够细心、用心，就一定会从系统组策略中不断挖掘出新的应用技巧来。

不信的话，就来看看下面的内容吧，相信它们会关心大伙儿进入一个新的应用新〝境域〞!巧限程序，防备〝自锁〞Windows服务器中有一个名为〝只承诺运行Windows应用程序〞的组策略项目，一旦你将该项目启用，同时限制好指定的程序能够运行外，那么不管你是否在〝只承诺运行程序列表〞中，添加了gpedit.msc命令，只要〝只承诺运行Windows应用程序〞的组策略项目生效，系统的组策略就会自动〝自锁〞，即使你在超级治理员帐号下使用〝gpedit.msc〞命令，也不能打开系统的组策略编辑窗口!那么有没有一种方法，既能限制应用程序的运行，又能防止系统组策略显现〝自锁〞现象呢?答案是确信的，你能够按照如下步骤来操作:第一依次单击〝开始〞/〝运行〞命令，在弹出的系统运行框中，输入字符串命令〝gpedit.msc〞，单击〝确定〞按钮后，打开系统组策略编辑窗口;依次展开该窗口中的〝用户配置〞/〝治理模板〞/〝系统〞项目，在对应〝系统〞项目右边的子窗口中，双击〝只运行许可的Windows应用程序〞选项，在其后弹出的界面中，将〝已启用〞选项选中。

随后，你将在对应的窗口中看到〝显示〞按钮被自动激活，再单击〝显示〞按钮，然后连续单击其后窗口中的〝添加〞按钮，再将需要运行的应用程序名称输入在添加设置框中，最后单击〝确定〞按钮;下面，请大伙儿千万不要将组策略编辑窗口赶忙关闭;然后打开系统运行对话框，并在其中执行〝gpedit.msc〞命令，现在你将发觉系统组策略编辑程序差不多无法运行了!只是，幸亏前面没有将组策略编辑窗口关闭，现在你能够连续在组策略编辑窗口中，双击刚才设置的〝只承诺运行Windows应用程序〞项目，然后在弹出的策略设置窗口中，选中〝未配置〞选项，最后单击一下〝确定〞按钮，如此就能实现既能够限制运行应用程序的目的，又能阻止系统组策略显现〝自锁〞现象。

用好组策略管理器,你会发现你也能成为电脑大虾访问组策略:有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是打开控制台,将组策略添加进去。

1. 输入gpedit.msc命令访问选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口。

组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。

这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。

此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。

“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。

“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。

但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。

其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。

2. 通过控制台访问组策略单击“开始”→“运行”,输入“mmc”,回车后进入控制台窗口。

单击控制台窗口的“文件”→“添加/删除管理单元”,在弹出窗口单击“添加”,之后选择“组策略”并单击“添加”,在下一步的“选择组策略对象”对话框中选择对象。

由于我们组策略对象就是“本地计算机”,因此不用更改,如果是网络上的另一台计算机,那么单击“浏览”选择此计算机即可。

另外,如果你希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请选中“当从命令行开始时,允许更改…组策略管理单元?的焦点”复选框。

最后添加进来的组策略。

二、任务栏和“开始”菜单项目设置本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目。

组策略在网络中的实用技巧摘要：组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。

简单说，就是介于控制面板和注册表之间的一种修系统、设置程序的工具。

我们知道的一些常用的系统、外观、网络设置等我们可以通过控制面板进行修改，不过通过控制面板修改的东西太少了，不能满足用户的需要。

水平稍高的点的朋友进而使用修改注册表的方法来设置，但这些配置遍布注册表各个角落，如果是手工配置，可想是多么困难和烦杂。

而组策略正好介于二者之间，涉及的内容比控制面板多，安全性和控制面板一样非常高，而且在条理性、可操作性方面则比注册表强多了。

简单的说，组策略就是修改注册表中的配置。

当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活、功能也更加强大。

关键字：组策略网络控制网络设置管理与技巧在局域网环境中，为了方便与他人交流信息，我们常常会将自己计算机中的一些重要信息共享出来，以便于局域网其他用户调用。

不过在共享访问过程中，我们常常会受到一些安全攻击或者遇到一些共享访问故障;为了提高共享访问效率，减少共享安全隐患，我们往往需要学会一些共享资源控制、管理技巧。

本文就从系统组策略出发，为各位推荐几则管理、控制共享资源的技巧。

1、剥夺匿名用户共享访问权限在安装有Windows XP系统的工作站中，匿名用户在默认状态下往往会拥有与Everyone 帐号一样的访问权限，要是我们不小心给Everyone帐号赋予比较高的共享访问权限时，那么匿名用户随之也会拥有比较高的共享访问权限，这显然会给共享访问带来很大的安全隐患。

为了确保文件夹共享访问的绝对安全性，我们有必要通过修改系统组策略的方法，最大限度剥夺匿名用户的共享访问权限，下面就是具体的设置方法:首先单击系统桌面中的“开始”按钮，在弹出的系统“开始”菜单中选择“运行”项目，打开系统的运行对话框，然后在其中输入系统组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的系统组策略编辑窗口;在该编辑窗口的左侧列表窗格中，用鼠标展开“计算机配置”策略分支，在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目，在“安全选项”项目所对应的右侧显示窗格中，找到“网络访问:让每个人权限应用于匿名用户”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，检查一下“网络访问:让每个人权限应用于匿名用户”此时的策略是否已经处于“已启用”状态，一旦发现该目标策略已经被启动的话，我们必须及时将它设置为“已停用”，最后单击“确定”按钮，那么匿名用户日后在尝试共享访问操作时由于无法获得足够权限，从而无法对共享访问带来潜在安全威胁。

提示：这样做会减慢系统的关闭速度，如果不是非常必要，不建议您启用这个策略。

6. 防止菜单泄漏隐私 在「开始」菜单中有一个“我最近的文档”菜单项，可以记录您曾经访问过的文件。

这个功能可以方便用户再次打开该文件，但别人也可通过此菜单访问您最近打开的文档，为安全起见，可屏蔽此项功能。

具体操作步骤如下： (1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→「开始」菜单和任务栏”，分别在右侧窗格中双击“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”(如图11所示)，打开目标策略属性设置对话框。

图11　双击“退出时清除最近打开的文档的历史” (3)分别在“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”属性对话框中勾选“已启用”，按“确定”即可。

如果启用“退出时清除最近打开的文档的历史”设置，系统就会在用户注销时删除最近使用的文档文件的快捷方式。

因此，用户登录时，「开始」菜单上的“最近的项目”菜单总是空的。

如果禁用或不配置此设置，系统就会保留文档快捷方式，这样用户登录时，“最近的项目”菜单中的内容与用户注销时一样。

提示：系统在“系统驱动器\Documents and Settings\用户名\我最近的文档”文件夹中的用户配置文件中保存文档快捷方式。

当没有选择“从开始菜单删除最近的项目菜单”和“不要保留最近打开的文档的历史”策略任何一个相关设置时，此项设置才能使用。

7. 别让搜索泄露隐私 快捷搜索框是Windows 7的一大特色，尤其在执行文件夹搜索时非常方便。

不过这一功能有时也特别令人尴尬，那就是会自动保存下所有历史搜索，而且并没有提供清除功能，其中一些隐私内容就会挥之不去。

使用组策略随时清空搜索历史是一个很好的补救措施，具体步骤如下： (1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

[技巧]gpedit.msc 组策略应用大全gpedit.msc组策略应用全攻略一、什么是组策略〔一〕组策略有什么用?说到组策略，就不得不提注册表。

注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置工程也越来越多。

很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。

而组策略那么将系统重要的配置功能聚集成各种配置模块，供管理人员直接使用，从而到达方便管理计算机的目的。

简单点说，组策略就是修改注册表中的配置。

当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进展管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

〔二〕组策略的版本大局部Windows 9X/NT用户可能听过“系统策略〞的概念，而我们现在大局部听到的那么是“组策略〞这个名字。

其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略〞开展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows2000/XP/2003系统。

早期系统策略的运行机制是通过策略管理模板，定义特定的.POL〔通常是Config.pol〕文件。

当用户登录的时候，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进展设置。

而组策略及其工具，那么是对当前注册表进展直接修改。

显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以翻开网络上的计算机进展配置，甚至可以翻开某个Active Directory 对象〔即站点、域或组织单位〕并对它进展设置。

这是以前“系统策略编辑器〞工具无法做到的。

无论是系统策略还是组策略，它们的根本原理都是修改注册表中相应的配置工程，从而到达配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

高级技巧，windows系统组策略的八则妙用。

组策略简介组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。

他是介于控制面板和注册表之间的一种修改系统、设置程序的工具。

简单来说它也是配置系统的，而且它比控制面板强大，比注册表操作简单。

上次的防止熊孩子搞垮电脑，隐藏C盘图文教程。

中，就是一例组策略的应用，如何进入组策略编辑器请点前面的链接，下面我们就在Windows 7系统下利用“组策略”完成一些看似很难完成的任务,一起看看Windows7系统“组策略”的几则妙用.一让“运行”在开始菜单中现身经常我们会调用黑底白字的命令行窗口进行命令行操作，但Windows 7开始菜单中却不见了“运行”项的踪影，虽然“开始”菜单的“搜索”框可以当作“运行”框来用，或者单击“开始→所有程序→附件→运行”，可以打开“运行”窗口，但还是没那么直接。

这时我们可以在“组策略”对话框的左侧窗格中单击“用户配置→管理模板→开始菜单和任务栏”，然后到右侧窗格中双击“将运行命令添加到[开始]菜单”项，在打开的“将运行命令添加到[开始]菜单属性”对话框中的“设置”选项卡下选择“已启用”，然后点“确定”退出，这样“运行”就会在“开始”菜单中现身了。

二关闭“气球”通知有时当你正在工作时突然冒出一段提示语，逼着你必须去点击一下，让人非常讨厌。

其实我们在打开的“组策略”对话框中的左侧窗格中依次单击“用户配置→管理模板→开始菜单和任务栏”，然后到右侧窗格中双击“关闭功能提示气球通知”项，在打开的对话框中的“设置”选项卡下选择“已启用”，然后点“确定”退出，就能把让人讨厌的“气球通知”关掉了。

三防止密码被猜中当我们的Windows 7 用户口令设置比较简易时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，其实我们可以限制“猜”的次数。

当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该账户锁定，在账户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。

用好组策略管理器，你会发现你也能成为电脑大虾访问组策略:有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是打开控制台，将组策略添加进去。

1. 输入gpedit.msc命令访问选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口。

组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。

这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。

此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。

“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。

“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。

但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。

其中“管理模板”设置最多、应用最广，因此也是本文的重中之重。

2. 通过控制台访问组策略单击“开始”→“运行”，输入“mmc”，回车后进入控制台窗口。

单击控制台窗口的“文件”→“添加/删除管理单元”，在弹出窗口单击“添加”，之后选择“组策略”并单击“添加”，在下一步的“选择组策略对象”对话框中选择对象。

由于我们组策略对象就是“本地计算机”，因此不用更改，如果是网络上的另一台计算机，那么单击“浏览”选择此计算机即可。

另外，如果你希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请选中“当从命令行开始时，允许更改‘组策略管理单元’的焦点”复选框。

最后添加进来的组策略。

二、任务栏和“开始”菜单项目设置本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目。

组策略应用技巧关闭缩略图的缓存（Windows XP/2003）Windows XP/20003系统系统具有缩略图的功能，为加快那些被频繁浏览的缩略图显示速度，系统还会将这些显示过的图片置于缓存中，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。

若你不希望系统进行缓存的话，则可利用组策略轻松地关闭缓存功能。

由于不进行缓存处理，反而会大大加快第一次浏览的速度。

方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。

提示：若你的电脑是一个网络中的共享工作站，为了数据安全，建议你启用该设置以关闭缩略图视图缓存，因为缩略图视图缓存可以被任何人读取。

屏蔽系统自带的CD刻录功能（Windows XP/2003）Windows XP/2003系统自带CD刻录功能，若你有刻录机连接在电脑上，在Windows 资源管理器中可以直接将数据犹如复制一样写到CD－R上。

这样虽然方便，但是会影响系统性能和资源管理器的执行速度，再加之大部分用户都习惯了运用专用刻录软件进行刻录，所以我们建议无论电脑上有无刻录机，都可以利用组策略来屏蔽此功。

方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。

提示：该设置不会阻止用户使用第三方应用程序来刻录或修改CD－R。

限制IE浏览器的保存功能（Windows 2000/XP/2003）当多人共用一台计算机时，为了保持硬盘的整洁，对浏览器的保存功能进行限制使用是很有必要。

那么怎样才能实现呢？具体步骤如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”，然后将右侧窗格中的“‘文件’菜单：禁用‘另存为...’菜单项”、“‘文件’菜单：禁用另存为网页菜单项”、“‘查看’菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。

组策略使用技巧组策略使用技巧是团队合作中一种有效的管理和决策工具，下面介绍一些组策略使用的技巧。

首先，制定明确的目标。

在使用组策略之前，团队需要明确决策的目标和目的。

只有明确的目标，才能确保团队在制定策略时能够集中注意力并保持一致性。

其次，确保团队成员的参与。

组策略的核心是鼓励所有团队成员参与和贡献意见。

团队领导者应当鼓励团队成员积极参与讨论，并给予他们表达意见的机会。

团队成员的参与将有助于形成全面的思考，从而得出更全面的策略。

第三，建立有效的沟通机制。

沟通在组策略中起着重要作用。

团队领导者需要建立一个有效的沟通机制，以确保团队成员能够充分了解决策过程和结果，并能够交流和分享他们的意见和想法。

团队领导者应当提供多种沟通途径，如会议、电子邮件、在线平台等。

第四，倾听和尊重团队成员的意见。

作为团队领导者，必须尊重和倾听团队成员的意见。

团队成员可能有不同的观点和想法，领导者需要认真倾听，并在策略制定过程中充分考虑这些意见。

这将有助于增加团队成员的参与感和归属感，更好地激发他们的创造力和主动性。

第五，鼓励合作和协作。

组策略的目的是通过合作和协作来制定最佳策略。

团队领导者应当鼓励团队成员之间的互相合作，鼓励他们分享资源和知识，并提供支持和帮助。

通过合作和共享，团队成员可以更好地利用各自的优势和专长，从而制定更好的策略。

最后，持续评估和反馈。

组策略不是一次性的活动，而是一个持续不断的过程。

团队领导者应当定期评估和反馈策略的执行情况，并根据实际情况进行调整和改进。

这将有助于团队不断学习和提高，以实现最佳的决策效果。

总之，组策略使用技巧的核心是明确目标、鼓励参与、建立有效沟通、倾听和尊重意见、鼓励合作和协作，以及持续评估和反馈。

只有充分利用这些技巧，团队才能在使用组策略时取得最佳效果。

组策略的实际应用：一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。

此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。

例如要删除“我的文档”，只需在“删除桌面上的‘我的文档’图标”一项中设置即可。

若要隐藏桌面上的“网上邻居”和“Inter net Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

2、禁止对桌面的改动利用组策略可达到禁止别人改动桌面某些设置的目的。

“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。

“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。

双击启用“退出时不保存设置”后，用户将不能保存对桌面的更改。

最后，双击启用“隐藏和禁用桌面上的所有项目”设置项，将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目，连桌面右键菜单都将被禁止。

3、启用或禁止活动桌面利用“Active Desktop”项，可根据自己的需要设置活动桌面的各种属性。

“启用活动桌面”项可启用活动桌面并防止用户禁用它。

“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。

而启用“不允许更改”项便可防止用户更改活动桌面配置。

用组策略优化你的电脑用组策略优化你的电脑用组策略从十大方面保护Windows安全(图)Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。

一、给我们的IP添加安全策略在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目(如图1)。

如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet 时将会更加安全。

图 1小提示由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。

二、隐藏驱动器平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择“用户配置→管理模板→Windows组件→Windows资源管理器”（如图2）。

图 2三、禁用指定的文件类型在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。

这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如下：1. 打开组策略，点击“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项(图3)。

图 32. 双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。

3. 双击“安全级别→不允许的”项，点击“设为默认”按钮。

然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows 无法打开此程序”。