说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、套用软体配置的资料库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设定的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多幺困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模组，供管理人员直接使用，从而达到方便管理计算机的目的。

简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设定进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

大部分Windows 9X/NT用户可能听过“系统策略”的概念，而大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设定对象及更多的功能，主要套用于Windows 2000/XP/2003系统。

早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）档案。当用户登录的时候，它会重写注册表中的设定值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连线网路计算机并对其注册表进行设定。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网路功能是其最大的特色之处，其网路功能自然是不可少的，因此组策略工具还可以打开网路上的计算机进行配置，甚至可以打开某个Active Directory 对象（即站点、域或组织单位）并对它进行设定。这是以前“系统策略编辑器”工具无法做到的。

无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

组策略是一种允许你通过组策略设定和组策略首选项为用户和计算机指定受管理配置的基础结构。 要配置仅影响本地计算机或用户的组策略设定，你可以使用本地组策略编辑器。 你可以在 Active Directory 域服务 (ADDS) 环境中通过组策略管理控制台 (GPMC) 管理组策略设定和组策略首选项。 组策略管理工具还包含在远程伺服器管理工具包中，以帮助你从桌面管理组策略设定。

Windows PowerShell在伺服器或客户端计算机上安装 GPMC 后，也会同时安装 Windows PowerShell 模组。 你会获得 Windows PowerShell 的全部功能。 如果安装远程伺服器管理工具包，也会同时安装用于组策略的最新的 Windows PowerShell cmdlet。

在Windows 2000/XP/2003目录中包含了几个 .adm 档案。这些档案是文本档案，称为“管理模板”，它们为组策略管理模板项目提供策略信息。

在Windows 9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个资料夹中。而在Windows 2000/XP/2003的系统资料夹的inf资料夹中，包含了默认安装下的4个模板档案，分别为：

1）System.adm：默认情况下安装在“组策略”中，用于系统设定。

2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet Explorer策略设定。

3）Wmplayer.adm：用于Windows Media Player 设定。

4）Conf.adm：用于NetMeeting 设定。

在Windows 2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows 9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows 2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程式，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下滑鼠右键，在弹出的选单中选择“添加/删除模板”. 然后单击“添加”按钮，在弹出的对话框中选择相应的.adm档案。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本档案，并等待用户执行。

返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”，再点击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了（为了便于本文后面的实例大家能一起动手操作，建议添加除默认模板档案的其它模板档案）。

再来看Windows 9X下的组策略编辑器。首先在组策略编辑器中的“档案”选单中选择“关闭”，以便将当前脚本关闭，然后再在“选项”选单中选择“模板” 然后单击“打开模板”按钮，在弹出的对话框中选择相应的.adm档案并单击“打开”按钮，则在编辑器中打开选定的脚本档案并等待用户执行三、运行组策略

按作业系统的不同，策略编辑工具分为两种，一种为Windows 2000/XP/2003组策略管理控制台，它在系统安装时已经默认安装上了；另外一种就是Windows 9X的系统策略编辑器，它在系统安装时并不被安装，程式档案在Windows安装盘上的\tools\reskit\netadmin\poledit目录下，它包括Poledit.exe、Poledit.inf、Windows.adm等档案。

如果是Windows 9X系统通过下面的方法，则可以进行正规的安装过程。

1．在控制台中，双击“添加/删除程式”图示，单击“安装Windows”标籤，然后单击“从磁碟安装”选项。

2．在从磁碟安装对话框中，单击“浏览”按钮并指定Windows 9X安装光碟的tools\reskit\netadmin\poledit目录。

3．单击“确认”按钮，然后再次单击对话框中的“确认”按钮。

4．在从磁碟安装对话框中，选择“系统策略编辑器”和“组策略”複选框，然后单击“安装”按钮。

安装完成后，单击“运行”命令项，输入poledit，然后单击“确认”按钮,管理员可以以两种不同的方式使用系统策略编辑器：注册表方式和策略档案方式。

1．以注册表方式使用系统策略编辑器。在系统策略编辑器中的档案选单中，单击打开注册表编辑器，然后双击相应的本地用户或本地计算机图示。这取决于要编辑注册表中的哪个部分。在使用注册表方式时，可以直接编辑本地或远程计算机的注册表。这样，所做的改变将立即反映出来。在做出修改之后，必须关机并重新启动计算机以使所做修改生效。

2．以策略档案方式使用系统策略编辑器。在系统策略编辑器中的档案选单中，单击新建或打开来打开一个策略档案。在使用策略档案方式时，可以创建和修改用于其它计算机的系统策略档案（POL），在这种方式下，注册表被间接地修改。这项改变将在用户登录时策略档案被下载后反映出来。当以策略档案方式编辑设定值时，单击一个注册表选项，可以看到三种可能状态之一：选中、清除、变灰。每当选择一个选项时，将会循环显示下一个可能的状态，这与选择一个标準的複选框不同。标準的複选框只有选中或清除两个选项。

如果一个设定值需要附加信息，那幺预设用户属性对话框的底部将出现一个编辑控制。通常，如果选中了一个策略，而又不想强制使用它，应当清除该複选框来取消该策略。

（二）Windows 2000/XP/2003组策略控制台

如果是Windows 2000/XP/2003系统，那幺系统默认已经安装了组策略程式，在“开始”选单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程式 使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程式来打开，具体步骤如下：

1）打开 Microsoft 管理控制台（可在“开始”选单的“运行”对话框中直接输入MMC并回车，运行控制台程式）。

2）在“档案”选单上，单击“添加/删除管理单元”。

3）在“独立”选项卡上，单击“添加”。

4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

6）单击“完成”，单击“关闭”，然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。

对于不包含域的计算机系统来说，在上面第5步的界面中，只有“计算机”标籤，而没有其他标籤项目。

通过上面的方法，我们就可以使用Windows 2000/XP/2003组策略系统强大的网路配置功能，让管理员的工作更轻鬆和高效。

在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003组策略管理控制台同样也有三种状态，只不过名字变了。它们分别是：已启用、未配置、已禁用。

Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例：

位置：“组策略控制台→用户配置→管理模板→桌面”

1．隐藏桌面的系统图示（Windows 2000/XP/2003）

虽然通过修改注册表的方式可以实现隐藏桌面上的系统图示的功能，但这样比较麻烦，也有一定的风险。而採用组策略配置的方法，可以方便快捷地达到此目的。

比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图示，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图示”和“隐藏桌面上的Internet Explorer图示”两个策略选项启用即可；如果隐藏桌面上的所有图示，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图示”和“删除桌面上的‘我的电脑’图示”两个选项以后，“我的电脑”和“我的文档”图示将从你的电脑桌面上消失；同样如果要让“资源回收筒”图示消失，只须将“从桌面删除资源回收筒”策略项启用即可。

2．退出时不保存桌面设定（Windows 2000/XP/2003）

此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌面做更改，但有些更改，如图示的位置、系统列的位置及大小，在用户注销后都无法保存，不过系统列上的捷径总可以被保存。

在右侧窗格中将“退出时不保存设定”这个策略选项启用即可。

3．禁止“清理桌面嚮导”功能（Windows XP/2003）

“清理桌面嚮导”会每隔 60 天自动在用户的电脑上运行，以清除那些用户不经常使用或者从不使用的桌面图示。如果启用此策略设定，则可以禁止“清理桌面嚮导”，如果你禁用或不配置此设定，“清理桌面嚮导”会按照默认设定每隔60天运行一次。

打开右侧窗格中的“删除清理桌面嚮导”，根据需要设定策略选项即可。

4．启用/禁用“活动桌面”（Windows 2000/XP/2003）

“活动桌面”是Windows 98（及以后版本）或安装了IE 4.0的系统中自带的高级功能，最大的特点是可以设定各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能（并且禁止用户启用它），通过策略设定可以轻鬆达到这一要求。具体操作方法：打开右侧窗格中的“禁用活动桌面”并启用此策略。

提示：如果同时启用“启用 Active Desktop”设定和“禁用 Active Desktop”设定，则“禁用 Active Desktop”设定会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设定（在“用户配置→管理模板→Windows组件→Windows资源管理器”中）被启用，Active Desktop 就会被禁用，并且这两个策略都会被忽略。

以上介绍了几个关于桌面的组策略配置项目，在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目，读者可根据需要进行配置，这里不再赘述。

显示了“系统列”和“开始”选单的有关组策略配置项目。下面我们来看具体的实例：位置：“组策略控制台→用户配置→管理模板→系统列和开始选单”

1．给“开始”选单减肥（Windows 2000/XP/2003）

如果觉得Windows的“开始”选单太臃肿的话，可以将不需要的选单项从“开始”选单中删除。在组策略右侧窗格中，提供了“从开始选单删除用户资料夹”、“删除到‘Windows Update’的访问和连结”、“从开始选单删除公用程式组”、“从开始选单中删除‘我的文档’图示”等多种组策略配置项目。你只要将不需要的选单项所对应的策略启用即可。

2．保护好“系统列”和“开始”选单（Windows 2000/XP/2003）

如果你不想随意让他人更改“系统列”和“开始”选单的设定，你只要将组策略控制台右侧窗格中的“阻止更改‘系统列和开始选单’设定”和“阻止访问系统列的上下文选单”两个策略项启用即可。这样，当你用滑鼠右键单击系统列并单击“属性”时，系统会出现一个错误讯息，且当滑鼠右键单击系统列及系统列上的项目时，例如“开始”按钮、时钟和“系统列”按钮，弹出选单会隐藏。

3．禁止“注销”和“关机”（Windows 2000/XP/2003）

当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”操作，那幺可将组策略控制台右侧窗格中的“删除开始选单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。

这个设定会从开始选单删除“关机”选项，并禁用“Windows 任务管理器”对话框?按“Ctrl+Alt+Del”会出现这个对话框　中的“关机”选项 。另外需要注意的是，此设定虽然可防止用户用 Windows界面来关机，但无法防止用户用其他第三方工具程式来将 Windows 关闭。

提示：如果启用了“删除开始选单上的‘注销’”，则会从“开始选单选项”删除“显示注销”项目。用户无法将“注销<用户名>”项目还原到开始选单（只能通过手工修改注册表的方法）。这个设定只影响开始选单，它不影响 “Windows 任务管理器”对话框上的“注销”项目（因此需要同时启用“删除和阻止访问‘关机’命令”），而且不妨碍用户用其它方法注销。

4．利用组策略保护个人文档隐私（Windows 2000/XP/2003）

Windows有个高级智慧型功能，即可以记录你曾经访问过的档案。虽然这个功能可以方便用户再次打开该档案，但出于安全和性能的考虑（例如不想让人知道自己浏览过哪些网页和打开过哪些档案），有时需要禁止此功能。利用组策略，只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。

另外需要注意的是，如果启用此策略设定但不启用“从开始选单中删除文档选单”策略设定，“文档”选单还会出现在“开始”选单上，但是该选单为空选单。如果启用此策略设定，后来又禁用它并将它设定为“未配置”，则启用策略设定之前保存的文档捷径会重新出现在“文档”选单和应用程式的“档案”选单中。

微软的Internet Explorer让我们可以轻鬆地在网际网路上遨游，但要想用好Internet Explorer，则必须将它配置好。在IE浏览器的“Internet选项”视窗中，提供了比较全面的设定选项（例如：“首页”、“临时资料夹”、“安全级别”和“分级审查”等项目），但部分高级功能没有提供，而通过组策略即可轻鬆实现这些功能。下面来看具体实例：

位置：“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer（需添加inetres.adm模板档案）”

1．禁用“在新视窗中打开”选单项（Windows 2000/XP/2003）

出于对安全的考虑，有时候我们有必要禁止IE的一些功能选单，组策略提供了丰富的设定项目，比如禁用“另外储存为...”、“档案”、“新建”等。下面以“禁用‘在新视窗中打开’选单项”为例介绍具体的设定方法。

打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏览器选单”，然后打开“禁用‘在新视窗中打开’选单项”并设定为“启用”。启用该策略后，用户在某个连结上单击滑鼠右键，然后单击“在新视窗中打开”时，该命令将不起作用。该策略可与“‘档案’选单禁用‘新建’选单项”一起使用，后者禁止用户通过单击“档案”选单，指向“新建”，然后单击“视窗”在新视窗中打开浏览器。

提示：启用该策略后，单击“在新视窗中打开”命令，将无法在新视窗中打开连结，系统会提示用户该命令无效，网页自动打开的视窗也全部被禁止，其实这样也可达到禁止弹出广告视窗的效果。

2．限制IE浏览器的保存功能（Windows 2000/XP/2003）

在使用IE浏览网页过程中，当遇到好的图片、文章等资源时可以使用“另外储存为”功能将它保存到本地硬碟中，当多人共用一台计算机时，为了保持硬碟的整洁，需要对浏览器的保存功能进行限制。那幺如何才能实现呢?可以这样操作：打开浏览器选单”，然后将右侧窗格中的“‘档案’选单：禁用‘另外储存为...’选单项”、“‘档案’选单：禁用另外储存为网页选单项”、“‘查看’选单：禁用‘源档案’选单项”和“禁用上下文选单”等策略项目全部启用即可。

如果不希望别人对IE浏览器的设定随意更改，可以将“‘工具’选单：禁用‘Internet选项...’”策略启用。另外，根据个人的需要，在该窗格中还可以禁用其他项目。

3．禁用“Internet 选项”控制台（Windows 2000/XP/2003）

上面提到了“禁用Internet选项”的功能，使用该功能可以达到阻止别人对IE随便设定的目的。而这种方法无法具体禁用Internet选项中的控制模板项目，因此给具体套用带来麻烦。通过下面的组策略设定方法，则可以实现这一要求：

打开Internet控制台”，在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明：打开右边窗格中的“禁用常规页”并设定为“启用”。然后我们再打开Internet选项控制台，会发现“常规”项目已经没有了，这样一来用户将无法看到和更改主页、快取、历史记录、网页外观以及辅助功能的设定，因为该策略将删除界面上的“常规”选项卡，所以如果设定了该策略，则无须设定位于 “用户配置→管理模板→Windows 组件→Internet Explorer”中的诸如“禁用更改主页设定”、“禁用更改颜色设定”等策略。

4．禁止修改IE浏览器的主页（Windows 2000/XP/2003）

如果不希望他人对自己设定的IE浏览器主页进行随意更改的话，可以打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→工具列”，然后选择“禁用更改主页设定”组策略并启用即可。另外在这个窗格中，还提供了“更改历史记录设定”、“更改颜色设定”和“更改Internet临时档案设定”等项目的禁用功能。

启用此策略后，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设定将变灰。

提示：如果设定了位于“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制台”中的“禁用常规页”策略，则无须设定该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。

5．自定义IE工具列（Windows 2000/XP/2003）

IE工具列的背景和上面的按钮都是可以自定义的，以前我们大多使用手动修改注册表的方法，不过并不直观，用“组策略”可以更方便地达到效果，打造属于我们自己的IE。

打开“组策略控制台→用户配置→Windows设定→Internet Explorer维护→浏览器用户界面”下的“浏览器工具列按钮自定义”策略配置项目，在这里，可以自定义浏览器工具列的背景图片，点击“浏览”选择一个BMP的点阵图档案即可（注意：工具列背景应该与工具列大小相同，而亮度应该足以显示黑色文字，否则实际效果并不理想）。

接下来，我们要在IE的工具列上添加自己的捷径，比如添加“我的QQ”，在这里也可以很轻鬆地完成。

点击“添加”，在“工具列标题”中输人“我的QQ”，在“工具列操作”中选择QQ程式的路径，最后再选择好“颜色图示”和“灰度图示”的路径（如果你不知道怎幺提取这两个图示，可以请EXeScope这个软体来帮忙，在各大站点都可以下载）。设定完成后点“确定”，再次打开IE后就可以看到修改的效果了。

1．设定并锁定Windows Media Player外观（Windows 2000/XP/2003）

Windows Media Player是目前最流行的多媒体播放器之一，如果不希望其他用户随意更改其界面外观的话，利用组策略可以轻鬆实现。打开“组策略控制台→用户配置→管理模板→Windows 组件→WindowsMedia Player→用户界面中的设定并锁定外观”启用此策略。

启用此策略后，将使 Windows Media Player 只以指定的外观模式显示，具体可以使用在“策略”选项卡上的“外观”框中指定的外观。你必须为外观使用完整的档案名称?例如miniplayer.wmz　。如果外观档案在用户的计算机上没有安装，播放器将以Windows Media Player外观打开。

提示：本策略设定软体版本至少为Windows Media Player v8.00，ADM档案为wmplayer.adm。

2．禁止Windows Media Player播放时运行屏保（Windows 2000/XP/2003）

萤幕保护程式可以有效地保护我们的显示器，但是当我们使用播放器观看精彩影片时，经常会出现萤幕保护程式突然运行而中断观看的尴尬局面。可以通过组策略来解决萤幕保护程式使Windows Media Player播放中断的麻烦问题了。播放中的允许运行萤幕保护程式”并将它设定为“已禁用”状态。

3．最佳化配置Windows Media Player网路缓冲（Windows 2000/XP/2003）

当我们使用Windows Media Player播放流式媒体时，播放器会在播放前对流式媒体进行缓冲处理，以便可以流畅地进行播放。在实际套用中，根据网路频宽和伺服器的连线速度，快取的时间长短并不一样，但Windows Media Player却是在使用同一设定，这无疑与实际网路情况不匹配，因此我们可以根据具体的网路频宽情况自己最佳化配置网路缓冲。打开“组策略控制台→用户配置→管理模板→Windows组件→Windows Media Player→网路中的配置网路缓冲”并设定为启用状态，在出现的缓冲时间（秒数）配置选项中，根据网路的频宽情况进行自定义（最多 60 秒）。

提示：如果此策略已启用，那幺Windows Media Player“性能”选项卡上的快取选项将不能再配置。

4．禁止使用所有 Windows Update 功能的访问（Windows 2000/XP/2003）

Windows Update可以自动连线Microsoft网站并下载更新内容，这对大部分用户来说是比较实用的，但对于不需要更新或者频宽紧张的电脑用户来说，此功能就显得多余了，而且经常传闻Windows Update会将计算机用户信息“秘密”发往Microsoft，因此也可以禁止这一“智慧型”高级功能。打开Windows Update”中的“删除使用所有 Windows Update 功能的访问”组策略并启用此策略。

提示：如果你启用此设定，所有 Windows Update功能将被删除。Windows自动更新也被禁用，你将不会收到有关更新的通知，也不会接到Windows Update的重要更新。此设定还会阻止设备管理器自动从Windows Update网站下载安装驱动程式的更新组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。

5在Windows XP/2003中实现远程关机（Windows XP/2003）

在Windows XP/2003中，新增了一条命令行工具“shutdown”，它可以关闭或重新启动本地或远程计算机。利用它，我们不但可以注销用户、关闭或重新启动计算机，还可以实现定时关机、远程关机。该命令的语法格式如下： shutdown [-i |-l|-s |-r |-a][-f][-m[\\ComputerName]][-t xx][-c ″message″][-d[p]:xx:yy] 该命令具体的使用参数和技巧请参考Windows的帮助系统，帮助系统里面有全面的资料。简单地看一下该命令的一些基本用法：

1）注销当前用户 shutdown - l 该命令只能注销本机用户，对远程计算机不适用。

2）关闭本地计算机 shutdown - s

3）重启本地计算机 shutdown - r

4）定时关机shutdown - s -t 30 指定在30秒之后自动关闭计算机。

5）中止计算机的关闭。有时我们设定了计算机定时关机后，如果出于某种原因又想取消这次关机操作，就可以用shutdown - a来中止。

在该命令的格式中，有一个参数[-m [\\ComputerName]，用它可以指定将要关闭或重启的计算机名称，若省略的话则默认为对本机操作。你可以用以下命令来试一下：

shutdown -s -m \\Anyes-solon -t 30 在30秒内关闭计算机名为Anyes-solon（Anyes-solon为区域网路内一台同样装有Windows XP/2003）的电脑。

该命令执行后，计算机Anyes-solon一点反应都没有，萤幕上却提示“Access is denied （拒绝访问）”。

出现这种情况是因为Windows XP默认的安全策略中，只有管理员组的用户才有权从远端关闭计算机，而一般情况下我们从区域网路内的其他电脑访问该计算机时，则只有guest用户许可权，所以当我们执行上述命令时，便会出现“拒绝访问”的情况。

而我们利用组策略即可赋予guest用户远程关机的许可权。打开“组策略控制台→计算机配置→Windows 设定→安全设定→本地策略→用户权利指派中的从远端系统强制关机”，在弹出的对话框中显示只有“Administrators”组的成员才有权从远程关机；单击对话框下方的“添加用户或组”按钮，然后在新弹出的对话框中输入“guest”，再单击“确定”按钮。 通过上述操作后，我们便给计算机Anyes-solon的guest用户授予了远程关机的许可权。以后，倘若你要远程关闭计算机Anyes-solon，只要在网路中其他装有Windows XP/2003的计算机中输入以下命令shutdown -s -m \\Anyes-solon -t 60即可。 这时，在Anyes-solon计算机的萤幕上将显示一个“系统关机”的对话框，在对话框下方还有一个计时器，显示离关机还有多少时间。在等待关机的时间里，用户还可以执行其他的任务，如关闭程式、打开档案等，但无法关闭该对话框，除非你用shutdown -a命令来中止关机任务。

1．让Windows 的上网速率提升20%（Windows XP/2003）

默认情况下，Windows网路连线数据包调度程式将系统限制在80%的连线频宽之内，这对频宽较小的网路来说，无疑是笔不小的开支。我们可以通过组策略设定来替代默认值，让我们的上网速率提高20%!

打开“组策略控制台→计算机配置→管理模板→网路”中的“QoS数据包调度程式”并启用此策略，然后使用下面“频宽限制”框来调整系统可保留的频宽比例，将它设定为0%即可，然后按确定退出，之后我们就可以使用另外20%的频宽了。

2．关闭缩略图的快取（Windows XP/2003）

Windows XP/20003系统具有缩略图视图功能，且为了加快那些被频繁浏览的缩略图显示速度，系统会将这些被显示过的图片进行快取，以便下次打开时直接读取快取中的信息，从而达到快速显示的目的。但如果我们不希望系统进行缓冲的话（比如只浏览一次的图片），则可以利用组策略关闭缩略图快取的功能，这样第一次浏览速度反而会大大加快（因为不进行快取处理）。

打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的快取”并启用此策略。

3．禁止系统自带的CD刻录功能（Windows XP/2003）

Windows XP/2003系统自带CD刻录功能，如果你有CD刻录机接在计算机上，Windows资源管理器允许你製作并修改可重写式CD。但这样无疑会影响系统性能和资源管理器的执行速度，因此我们可以利用组策略来禁止此功能（大部分用户都使用专用的CD刻录软体）。

打开“组策略控制台→用户配置→管理模板→网路→”中的“删除CD刻录功能”并启用此策略。

4．关闭系统还原功能（Windows XP/2003）

系统还原是Windows XP/2003中集成的强大功能，它在系统运行的同时，备份那些被更改的档案和数据，如果出现问题，系统还原使用户能够在不丢失个人数据档案的情况下，将计算机还原到以前的状态。默认情况下，系统还原处于打开状态。

但为这一功能付出的代价也是相当大的，系统性能会明显下降，磁碟空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。

打开“组策略控制台→计算机配置→管理模板→系统→系统还原”中的“关闭系统还原”并启用此策略。启用此设定后即可关闭系统还原功能，并且不能访问“系统还原嚮导”和“配置界面”。

5．禁止Windows Messenger自动运行（Windows XP/2003）

在Windows系统中集成的优秀套用软体越来越多，但这些系统内置的软体都没有卸载选项，引起很多电脑用户的不满。比如Windows XP自带的Windows Messenger，不但卸载不方便而且还随系统一起自动运行。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说，当然要禁止此软体的自动运行功能。

打开“组策略控制台→计算机配置→管理模板→Windows组件→Windows Messenger”中的“不允许运行Windows Messenger ”并启用此策略。

提示：这个设定出现在“计算机配置”和“用户配置”资料夹中。如果两个设定都配置，“计算机配置”中的设定比“用户配置”中的设定优先。

1．隐藏“我的电脑”中指定的驱动器（Windows XP/2003）

此组策略可以从“我的电脑”和“Windows资源管理器”上删除代表所选硬体驱动器的图示。并且驱动器号代表的所有驱动器不出现在标準的打开对话框上。

打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。

提示：这项策略只删除驱动器图示。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程式访问这些驱动器或其内容。并且也不会防止用户使用磁碟管理即插即用来查看并更改驱动器特性。

2．防止从“我的电脑”访问驱动器（Windows 2000/XP/2003）

此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网路驱动器对话框或Dir命令查看在这些驱动器上的目录。

打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。 提示：这些代表指定驱动器的图示仍旧会出现在“我的电脑”中，但是如果用户双击图示，会出现一条讯息解释设定防止这一操作。同时这些设定不会防止用户使用其它程式访问本地和网路驱动器。并且不防止他们使用磁碟管理即插即用查看和更改驱动器特性。

3．禁止使用命令提示符（Windows 2000/XP/2003）

在Windows 2000/XP/2003下，我们可以运行cmd.exe进入命令提示符状态，并可以继续运行一些DOS命令和其他命令行程式。出于对安全的考虑，有些系统应该禁止此功能。

打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设定还决定批处理档案 ?.cmd和.bat　是否可以在计算机上运行。

如果启用这个设定，在用户试图打开命令视窗时，系统会显示一条讯息，解释设定阻止这一操作。

4．禁止更改显示属性（Windows 2000/XP/2003）

选择“控制台”中的“显示”或在Windows桌面的空白处单击右键选择“属性”，可进入“显示设定”对话框，可以对桌面主题、桌面背景、屏保程式、显示设定等各项进行设定，如果你不想让别人随意更改各项设定，可以通过组策略将它隐藏起来。

打开“组策略控制台→用户配置→管理模板→控制台→显示”，然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程式选项卡、隐藏设定选项卡等策略配置，可根据需要对这些项目进行配置。比如启用了“隐藏‘桌面’选项卡”策略后，再打开“显示属性”对话框，就看不到“桌面”标籤了，这样自然就无法再对桌面属性进行更改了。

5．禁用注册表编辑器（Windows 2000/XP/2003）

为了防止他人进入电脑后对注册表档案进行修改，可以在组策略中对注册表编辑器做禁止访问设定。具体操作方法：打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。

此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe）的时候，系统会禁止这类操作并弹出警告讯息。

6．彻底禁止访问“控制台”（Windows 2000/XP/2003）

如果不希望其他用户访问计算机的“控制台”，同样可以使用组策略来实现。打开“组策略控制台→用户配置→管理模板→扩展面板”中的“禁止访问控制台”并启用此策略。

此策略启用后可以防止“控制台”程式档案（Control.exe）的启动。他人将无法启动“控制台”（或运行任何“控制台”项目）。另外，这个设定将从“开始”选单中删除“控制台”。同时这个设定还从“Windows资源管理器”中删除“控制台”资料夹。

7．禁止建立新的拨号连线（Windows 2000/XP/2003）

如果不想让别人在计算机中建立新连线来拨接的话，组策略也可以做到。打开“组策略控制台→用户配置→管理模板→网路→网路连线”中的“禁止访问新建连线嚮导”并启用此策略。

启用此策略后，在“网路连线”资料夹和“开始选单”中就不会出现“建立新连线”。

提示：此设定无法阻止用户使用诸如 Internet Explorer 这样的其它程式来绕过此设定。另外此设定必须重新启动计算机后才能生效。

8．禁用“添加/删除程式”（Windows 2000/XP/2003）

“控制台”中“添加或删除程式”项目允许你安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程式。如果你想阻止其他用户安装或卸载程式，可利用组策略来实现。

打开“组策略控制台→用户配置→管理模板→控制台→添加→删除程式”中的“删除‘添加/删除程式’程式”并启用此策略，当我们再打开“控制台”中“添加/删除程式”模组的时候，会自动弹出警告视窗，而“添加/删除程式”则无法运行。

此外，在“添加/删除程式”分支中还可以对Windows“添加/删除程式”项中的“添加新程式”、“从CD-ROM或软碟添加程式”、“从Microsoft添加程式”、“从网路添加程式”等项进行隐藏，通过这些策略项目的设定，起到了保护计算机中系统档案及应用程式的作用。

9．限制使用应用程式（Windows 2000/XP/2003）

如果你的电脑设定了多个用户，有些程式我们可能不希望其他用户随意运行，也能在组策略中设定。 打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程式”并启用此策略，然后点击下面的“允许的应用程式列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程式即可。以后一般用户只能运行“允许的应用程式列表”中的程式。