注册表是Windows系统中保存系统软体和套用软体配置的资料库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设定，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多幺困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模组，供用户直接使用，从而达到方便管理计算机的目的。

2.组策略的版本

对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows

9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设定对象及更多的功能，目前主要套用于Windows

2000/XP/2003作业系统中。

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)档案。当用户登录时，它会重写注册表中的设定值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连线网路计算机并对其注册表进行设定。

而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows

2000/XP/2003系统的网路功能是其最大的特色之处，所以其网路功能自然是不可少的，因此组策略工具还可以打开网路上的计算机进行配置，甚至可以打开某个Active

Directory(活动目录)对象(即站点、域或组织单位)并对其进行设定。这是以前“系统策略编辑器”工具无法做到的。

当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

3.在Windows

XP中运行组策略

在Windows

2000/XP/2003系统中，系统默认已经安装了组策略程式，在“开始”选单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。

使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开：

(1)打开Microsoft管理控制台(可在“开始”选单的“运行”对话框中直接输入“MMC”并确定)。

(2)单击“档案→添加/删除管理单元”选单命令，在打开的对话框中单击“添加”按钮。

(3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。

(4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

(5)单击“完成”按钮，组策略管理单元即打开要编辑的组策略对象。

(6)在左窗格中定位需要更改的选项的位置，在右窗格中右键单击需要更改的具体选项，单击“属性”命令，即可打开其属性对话框，从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。

4.组策略中的管理模板

在Windows

2000/XP/2003中包含几个ADM档案。这些档案是文本档案，被称为“管理模板”，它们为组策略管理单元的控制树中“管理模板”资料夹下的项目提供策略信息。

在Windows

2000/XP/2003中，默认的Admin.adm管理模板位于系统资料夹的INF资料夹中，包含了默认安装下的4个模板档案，分别为：

(1)System.adm：默认安装在“组策略”中，用于系统设定。

(2)Inetres.adm：默认安装在“组策略”中，用于Internet

Explorer(IE)策略设定。

(3)Wmplayer.adm：用于Windows Media

Player设定。

(4)Conf.adm：用于NetMeeting设定。

在策略管理控制台中，可以多次添加“策略模板”，下面让我们来看看具体操作：

首先运行“组策略”程式，然后选择“计算机配置”或者“用户配置”下的“管理模板”，单击滑鼠右键，选择“添加/删除模板”命令，然后在打开的对话框中单击“添加”按钮，在打开的对话框中选择相应的ADM档案。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本档案，并等待用户执行。

返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”选项，再单击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了。

注意：下面的操作均在Windows

XP中进行。

二、个性化我的电脑

1.删除“开始”选单中的“文档”选单项

在多人使用的计算机中，有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息。因此，为了删除用于记录历史文档的“文档”选单项，我们可以通过修改组策略来实现。

位置：\用户配置\管理模板\系统列和“开始”选单\

启用此设定，则系统保存“文档”捷径，但不在“文档”选单中显示它们。如果以后禁用此设定或把它设定为未配置，则启用设定之前及其生效之时保存的“文档”捷径会出现在“文档”选单项中。如图2所示。

注意：此设定不会阻止Windows程式在最近打开的文档中显示捷径。

另外，你也可以设定在退出系统时自动清除最近打开的文档的历史记录。

位置：\用户配置\管理模板\系统列和“开始”选单\

如果禁用该策略设定，系统就会在用户退出时删除捷径。因此，用户登录时，“开始”选单上的文档选单总是空的。如果禁用或不配置此设定，系统将保留文档捷径，并且用户登录时的文档选单看起来与用户退出系统时完全相同。

注意：系统在\Documents

and

Settings\\Recent资料夹中的用户配置档案中保存文档捷径。

2.删除“开始”选单中的“运行”选单项

在“开始”选单中有“运行”选单项，可以输入程式名称来启动程式。我们可以将“运行”选单项从“开始”选单中删除。

位置：\用户配置\管理模板\系统列和“开始”选单\

如果启用该设定，发生如下更改：

(1)“运行”命令从“开始”选单中删除。

(2)新建任务(运行)命令从任务管理器删除。

(3)阻止用户在IE地址栏中输入下列项：

UNC路径：\\\。

访问本地驱动器：例如，C:。

访问本地资料夹：例如，\temp>。

同时，使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设定，用户可以访问“开始”选单和任务管理器的“运行”命令，以及使用IE地址栏。

注意：这个策略只影响指定的界面。不会防止用户使用其他方法运行程式。

3.给“开始”选单减肥

如果觉得Windows的“开始”选单太臃肿，你完全可以通过组策略设定将不需要的选单项从“开始”选单中删除。

位置：\用户配置\管理模板\系统列和“开始”选单\

在组策略右侧窗格中，提供“从‘开始’选单删除用户资料夹”、“删除到‘Windows

Update’的访问和连结”、从‘开始’选单删除公用程式组、从‘开始’选单中删除“我的文档”图示等配置项目。你只要将不需要的选单项所对应的策略启用即可。

4.隐藏和禁用桌面上的所有项目

该策略可以从桌面上删除图示、捷径和其他默认的和用户定义的项目。

位置：\用户配置\管理模板\桌面\

该策略删除图示和捷径不防止用户用另一种方法启动程式或打开图示和捷径所代表的项目。

5.退出时不保存用户设定

该策略用于防止用户保存对桌面的某些更改。

位置：\用户配置\管理模板\桌面\

如果你启用这个设定，用户可以对桌面做某些更改，但有些更改，比如图示和打开视窗的位置、系统列的位置及大小在用户注销后都无法保存。

6.启用/禁用“活动桌面”(Active

Desktop)

活动桌面是Windows 98(及以后版本)或安装了IE

4.0的系统中自带的高级功能，它最大的特点是可以设定各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能(并且防止用户启用它)。

位置：\用户配置\管理模板\桌面\Active

Desktop

提示：如果同时启用“启用Active Desktop”设定和“禁用Active Desktop”设定，“禁用Active

Desktop”设定会被忽略。如果“禁用Active Desktop和Web视图”设定(在“用户配置\管理模板\Windows组件\Windows资源管理器”)被启用，Active

Desktop就会被禁用，并且这两个策略都会被忽略。

7.从“我的电脑”中删除共享文档

当Windows用户在一个工作组中，一个“共享文档”图示会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他档案”中。使用此设定，你可选择不显示这些项目。

位置：\用户配置\管理模板\Windows组件\Windows资源管理器\

如果启用此设定，“共享文档”资料夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设定，当用户是“工作组”的一部分时，“共享文档”资料夹将会以Web视图方式显示或在“我的电脑”中出现。

8.不要将已删除的档案移到“资源回收筒”

当Windows资源管理器中的一个档案或资料夹被删除时，该档案或资料夹的副本会被放在“资源回收筒”里。使用此策略，你能改变此行为。

位置：\用户配置\管理模板\Windows组件\Windows资源管理器\

如果启用此设定，使用Windows资源管理器删除的档案或资料夹不会被放在“资源回收筒”里，因此被永久删除。如果禁用或不配置此设定，使用Windows资源管理器删除的档案或资料夹会被放在“资源回收筒”里。

三、利用组策略进行系统设定

1.登录时不显示欢迎萤幕

为了加快计算机启动的速度，我们完全可以通过组策略设定在每次用户登录时将Windows

XP欢迎萤幕隐藏。

位置：\用户配置\管理模板\系统\

要显示欢迎萤幕，请依次单击“开始→程式→附属档案→系统工具”选项，然后单击“开始”选项。要在不指定设定的情况下不显示欢迎萤幕，请在欢迎萤幕上的複选框中清除“在开始显示这个萤幕”选项。

注意：这项设定出现在“计算机配置”和“用户配置”资料夹中。如果配置这项设定，“计算机配置”中的设定比“用户配置”中的设定优先。

2.配置驱动程式查找位置

默认情况下，Windows将从本地安装、软碟驱动器、光碟驱动器、Windows

Update等位置搜寻驱动程式。此设定配置查找到新硬体时Windows将要搜寻驱动程式的位置。

位置：\用户配置\管理模板\系统\

如果启用此设定，你可以通过检查位置名称的相关複选框，删除这三个位置中的任何位置。如果禁用或不配置此设定，Windows将从本地安装、软碟驱动器、光碟驱动器和Windows

Update等位置中搜寻驱动程式。

3.关闭自动播放

一旦你将媒体插入驱动器，自动运行就开始从驱动器中读取。这会造成程式的设定档案和在音频媒体上的音乐立即开始。该策略将关闭自动运行功能。

位置：\用户配置\管理模板\系统\

如果你启动这项设定，你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行。

注意：这个设定出现在“计算机配置”和“用户配置”两个资料夹中。如果两个设定都配置，“计算机配置”中的设定比“用户配置”中的设定优先。

另外，此设定不阻止自动播放音乐

CD。

4.只运行许可的Windows应用程式

该策略可以限制用户可以运行的Windows程式。

位置：\用户配置\管理模板\系统\

如果你启用这个设定，用户只能运行你加入“允许运行的应用程式列表”中的程式。

这个设定只能防止用户从Windows资源管理器启动程式。无法防止用户用其他方式启动程式，例如任务管理器。如果用户可以访问命令提示符视窗，这个设定无法防止用户从命令视窗启动不允许在Windows资源管理器中运行的程式。

注意：要创建允许的档案列表，请单击“显示”按钮，在打开的对话框中单击“添加”按钮，然后输入应用程式的执行档案名称称(例如，Winword.exe、Poledit.exe、Powerpnt.exe)。如图3所示。

5.删除任务管理器

当我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框。任务管理器可以让用户启动或终止程式、监视计算机性能、查看及监视计算机上所有运行中的程式(包含系统服务)、搜寻程式的执行档案名称、更改程式运行的优先顺序。在这里，我们可以通过组策略删除任务管理器。

位置：\用户配置\管理模板\系统\Ctrl+Alt+Del选项\

如果该设定被启用，并且用户试图启动任务管理器，系统会显示讯息，解释是一个策略禁止了这个操作。

6.删除改变“密码”选项

该策略可以防止用户通过任务管理器更改系统密码。

位置：\用户配置\管理模板\系统\Ctrl+Alt+Del选项\

这个设定停用Windows安全设定对话框上的“更改密码”按钮。但是，用户在得到系统提示时依旧可以更改密码。管理员要求新密码和密码作废时，系统会提示用户输入新密码。

7.不允许运行Windows

Messenger

Windows XP自带有聊天工具Windows Messenger，但是，我们也有可能在系统中安装MSN

Messenger。该策略允许你禁用Windows Messenger。

位置：\用户配置\管理模板\Windows组件\Windows Messenger

如果启用该策略，Windows

Messenger将不会运行。如果禁止或不配置该策略，Windows

Messenger可以被使用。

注意：如果启用这个策略，远程协助无法使用Windows

Messenger。另外，这个策略也会出现在“计算机配置”中。如果两个设定都配置，“计算机配置”中的设定比“用户配置”中的设定优先。

8.关闭系统还原功能

系统还原是Windows

XP/2003中集成的强大功能，它在系统运行的同时，备份被更改的档案和数据，如果出现问题，系统还原使用户能够在不丢失个人数据档案的情况下，将计算机还原到以前的状态。默认情况下，系统还原处于打开状态。

但这一功能付出的代价也是相当大的，系统性能会明显下降，磁碟空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。

位置：\计算机配置\管理模板\系统\系统还原\关闭系统还原

启用此设定后即可关闭系统还原功能，并且不能访问“系统还原嚮导”和“配置界面”。

四、利用组策略调整上网设定

1.禁用导入和导出收藏夹

禁止用户使用“导入/导出嚮导”选单项导入或导出收藏夹连结。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该策略，“导入/导出嚮导”选单项将无法导入/导出收藏夹连结和Cookie。如果禁用该功能或不对其进行配置，则用户可以通过单击“档案”选单上的“导入和导出”选单项，然后运行“导入/导出嚮导”，导入/导出IE中的收藏夹。

注意：如果启用该策略，用户仍然可以查看“导入/导出嚮导”，但当用户单击“完成”按钮时，将出现说明该功能已被禁用的提示信息。

2.禁用更改“高级”选项卡的设定

禁止用户更改“Internet

选项”对话框中“高级”选项卡上的设定。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该策略，则用户无法更改高级Internet设定，如安全、多媒体和列印。用户无法选中“高级”选项卡上的複选框，也不能清除这些複选框的複选标记。如果禁用该策略或不对其进行配置，则用户可以选择或清除“高级”选项卡上的设定。

如果设定了位于\用户配置\管理模板\Windows组件\Internet

Explorer\Internet控制台中的“禁用高级页”策略，则无需设定该策略，因为“禁用高级页”策略将删除界面上的“高级”选项卡。

3.对拨号连线使用“自动检测”属性

自动检测在浏览器第一次启动时使用

DHCP(动态主机配置协定)或DNS伺服器来自定义浏览器。该策略指定自动检测用于用户的拨号设定的配置。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该设定，自动检测将配置用户的拨号设定。如果禁用该配置或不配置，自动检测不会配置用户的拨号设定，除非用户指定。

4.禁用Internet连线嚮导

禁止用户运行Internet连线嚮导。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该策略，“Internet选项”对话框中“连线”选项卡上的“建立连线”按钮将变灰。用户也无法通过单击桌面上的“连线到Internet”图示或单击“开始→程式→附属档案→通讯”，然后单击“Internet连线嚮导”运行Internet连线嚮导。如果禁用该策略或不对其进行配置，则用户可以通过运行Internet连线嚮导，更改连线设定。

注意：该策略与位于\用户配置\管理模板\Windows

组件\Internet

Explorer\Internet控制台中的“禁用连线页”策略有相似之处，后者将删除界面上的“连线”选项卡。从界面上删除“连线”选项卡并不会妨碍用户从桌面或“开始”选单中运行Internet连线嚮导。

5.禁用表单的自动完成功能

禁止IE自动完成表单，如填写用户以前在网页中输入过的姓名或密码。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该策略，“表单”複选框将变灰。单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮，即可出现“表单”複选框。如果禁用该策略或不对其进行配置，则用户可以启用表单的自动完成功能。

位于\用户配置\管理模板\Windows组件\Internet

Explorer\Internet控制台中的“禁用内容页”策略的优先权高于该策略。如果启用了“禁用内容页”策略，该策略将被忽略，因为“禁用内容页”策略将删除“控制台”中“Internet

Explorer属性”对话框中的“内容”选项卡。

注意：如果用户已开始使用启用了表单自动完成功能的浏览器后，再启用该策略，则不会清除用户已经使用表单自动完成功能在表单中所填写的内容。

6.配置媒体浏览栏属性

媒体浏览器栏播放来自Internet的音乐和视频内容，该策略允许管理员启用和禁用媒体浏览器栏和设定默认自动播放。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果禁用媒体浏览器栏，用户无法显示媒体浏览器栏。自动播放功能也被禁用。当用户在IE中单击一个连结，系统中的默认媒体客户端将播放内容。如果启用媒体浏览器栏或不配置，用户可以显示和隐藏媒体浏览器栏。

管理员也可以打开和关闭自动播放功能。该设定只在媒体浏览器栏启用时套用。如果选择，媒体浏览器栏将在用户单击媒体连结时自动显示和播放媒体内容。如果不选择，系统上的默认媒体客户端将播放内容。

7.禁用右键快捷选单

禁止在用户使用IE过程中单击滑鼠右键时出现快捷选单。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer\浏览器选单

如果启用该策略，在用户指向网页，然后单击滑鼠右键时将不出现快捷选单。如果禁用该策略或不对其进行配置，则用户可以使用快捷选单。

8.自定义IE标题栏

我们可以利用组策略自定义出现在IE和OE标题栏中的文本。无论软体包中是否有OE或者用户计算机上已经安装了OE，都将更新OE标题栏。

位置：\用户配置\管理模板\Windows设定\Internet

Explorer维护\浏览器用户界面\浏览器标题

请在打开的对话框中选中“自定义标题栏”选项，然后在“标题栏文本”框中键入希望的文本。

注意：在选择某个点阵图时，要确保颜色与文本的对比度。这为用户确保了更高程度的可读性。

9.自定义IE工具按钮

我们可以利用该策略个性化出现在IE中的工具列，给你一定的灵活性和设计机会。可以使用的元素包括用于标準工具列按钮(例如“搜寻”和“历史”)的工具列背景和图示外观。

位置：\用户配置\管理模板\Windows设定\Internet

Explorer维护\浏览器用户界面\浏览器工具列自定义

在打开的对话框中单击“添加”按钮，然后在打开的对话框中在“工具列标题(必需)”框中，键入用户滑鼠悬停在工具列按钮上时出现的文本。必须指定该按钮的标题或标籤。建议的最大长度是10个字元。

在“工具列操作(作为脚本档案或执行档，必需)”框中，键入脚本档案或执行档的名称，或者单击“浏览”按钮查找档案。必须指定用户单击工具列按钮时运行的脚本档案或执行档。

在“工具列颜色图示(必需)”框中，键入表示按钮为活动状态的档案的名称，或者单击“浏览”按钮查找该档案。必须指定出现在工具列上的按钮的彩色图示。图示由活动和非活动状态的20×20像素的图像组成。

在“工具列灰度图示(必需)”框中，键入出现在黑白监视器上的工具列的灰度图示档案名称和位置，或者单击“浏览”按钮查找档案。必须指定显示在工具列上按钮的灰度图示。

选中“默认情况下，该按钮应显示在工具列上”複选框来显示默认情况下用户浏览器中的工具列按钮。

五、利用组策略设定最佳化网路环境

1.禁止访问网路连线组件的属性

“本地连线属性”对话框包括连线时使用的网路组件列表。要查看或更改组件属性，请单击组件名称，然后单击组件列表下面的“属性”按钮，如图4所示。该策略确定用户是否可以更改由网路连线使用的组件属性，它确定是否启用用于网路连线组件的“属性”按钮。

位置：\用户配置\管理模板\网路\网路连线\

如果启用此设定(并启用“为管理员启用网路连线设定”设定)，就会为管理员禁用“属性”按钮。无论“为管理员启用网路连线设定”设定启用与否，用户都不可以访问连线组件。如果禁用或不配置“为管理员启用网路连线设定”。

如果禁用或不配置此设定，将为用户启用“属性”按钮。

2.禁用TCP/IP高级配置

确定用户是否可以配置TCP/IP

设定。

位置：\用户配置\管理模板\网路\网路连线\

如果启用此设定(并启用“为管理员启用网路连线设定”设定)，就对所有用户(包括管理员)禁用“Internet协定(TCP/IP)

属性”对话框上的“高级”按钮。因此，用户不能打开“高级TCP/IP设定”对话框并修改IP设定(例如，DNS和WINS伺服器信息)。如果禁用此设定，则启用“高级”按钮，并且所有用户均可打开“高级TCP/IP设定”对话框。

注意：此设定会由禁止访问连线属性或连线组件属性的设定取代。如果将这些策略设定为拒绝访问连线属性对话框或用于连线组件的“属性”按钮，用户就无法访问用于TCP/IP配置的“高级”按钮。不管此设定如何，非管理员用户均不具有访问用于网路连线的TCP/IP高级配置的许可权。在用户退出系统之前，将此设定从“启用”更改为“未配置”不会启用“高级”按钮。

3.禁止添加或删除用于网路连线或远程访问连线的组件

“安装”按钮可打开用来添加网路组件的对话框。单击“卸载”按钮可删除组件列表中的选定组件。“安装”和“卸载”按钮出现在用于连线的“属性”对话框之中。这些按钮位于“常规”选项卡和“网路”选项卡上。该策略确定管理员是否可以添加和删除用于网路连线或远程访问连线的网路组件。

位置：\用户配置\管理模板\网路\网路连线\

如果启用此设定(并启用“为管理员启用网路连线设定”设定)，就会禁用用于连线组件的“安装”和“卸载”按钮，并且不允许用户访问“Windows组件嚮导”中的网路组件。如果禁用或不配置此设定，就会启用用于“网路连线”资料夹中连线组件的“安装”和“卸载”按钮。同样地，用户可以访问“Windows组件嚮导”中的网路组件。

4.禁止访问网路连线的属性

右键单击“网上邻居”图示，在打开的快捷选单中可以看到“属性”选单项，用于打开网路连线属性对话框，该策略确定用户是否可以更改网路连线的属性。

位置：\用户配置\管理模板\网路\网路连线\

如果启用此设定(并启用“为管理员启用网路连线设定”设定)，就对所有用户禁用“属性”选单项，而且用户不能打开“连线属性”对话框。如果禁用或不配置此设定，右键单击“网上邻居”的图示时，就会出现“属性”选单项。同样地，当用户选择此连线时，就会启用“档案”选单上的“属性”选单项。

注意：此设定优先于操作“局域连线属性”对话框内的功能的可用性设定。如果启用此设定，用户将不可使用网路连线的属性对话框内的任何功能。

5.更改所有用户远程访问连线的属性

该策略用于确定用户是否可以查看和更改对计算机所有用户可用的远程访问连线的属性。此设定确定是否启用“属性”选单项，以及远程访问连线属性对话框是否对用户可用。

位置：\用户配置\管理模板\网路\网路连线\

如果启用此设定，任何用户右键单击用来进行远程访问连线的图示时，就会出现“属性”选单项。同样地，当任何用户选择连线时，“档案”选单上就出现“属性”。如果禁用此设定(并启用“为管理员启用网路连线设定”设定)，就会禁用“属性”选单项，并且用户(包括管理员)无法打开远程访问连线对话框。如果不配置此设定，则只有管理员才可以更改所有用户远程访问连线的属性。

注意：此设定优先于操作远程访问连线属性对话框内的功能的可用性设定。如果禁用此设定，则用户不可使用用于远程访问连线的属性对话框内的任何功能。

6.为管理员启用Windows

XP网路连线设定

该策略确定Windows XP中

1、点击”开始”选单

2、点击“运行”

3、键入"regedit"（不包括感叹号）

4、在注册表键值　HKEY_CURRENT_USER\Software\Policies\Microsoft\Mmc\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\Restrict_Run 　和HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{0F6B957E-509E-11D1-A7CC-0000F87571E3}\Restrict_Run请将Restrict_Run的值设定为 0

5、修改完毕后重启。

1、点击“开始”选单

2、点击“运行”

3、键入"regedit"（不包括感叹号）

4、在注册表键值HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\InProcServer32 把其中的default 改成：

G3XL$]#Y1q#Vc*r0%SystemRoot%\System32\GPEdit.dll

5、修改完毕后重启。

方法三、

检查环境变数：

a、点击”开始”选单

b、点击“控制台”

c、在“控制台”中打开“系统”

d、在“系统属性”中点击“高级”标籤

e、在“高级”标籤页中点击“环境变数”按钮

f、在“环境变数”中的“系统变数”框中的变数名为Path中修改变数值为：%Systemroot%\System32;%Systemroot%

运行regsvr32 gpedit.dll

a、点击”开始”选单

b、点击“运行”

c、键入"regsvr32 gpedit.dll"（不包括感叹号）

如果组策略找不到 framedyn.dll，就可能会出现这种错误。如果使用安装脚本，要确保脚本置于系统路径中的%windir%\system32\wbem 目录下。默认情况下，%windir%\system32\wbem 已经存在于系统路径中，因此，如果您不使用安装脚本，就不可能遇到这个问题。或试着将将Framedyn.dll档案从\Windows\　system32\wbem目录下拷贝到\Windows\system32目录下！　附：如果在方法一/二中提到的MMC项在你的计算机注册表中找不到，那幺就手动建立即可。

或者直接将下面内容複製贴上进入记事本，并保存为后缀名为.reg的档案，双击运行该.reg档案即可。　Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]

"Restrict_Run"=dword:00000000

[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC]

[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]

"Restrict_Run"=dword:00000000

[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC]

"RestrictToPermittedSnapins"=dword:00000000

重新将伺服器系统启动一下，在启动的过程中不停地按下F8功能键，直到出现系统的启动选单，然后执行其中的“带命令行提示的安全模式”命令，将伺服器系统切换到命令行提示符状态;

接下来在命令提示符下直接执行mmc.exe字元串命令，在弹出的系统控制台界面中，单击“档案”选单项，并从弹出的下拉选单中单击“添加/删除管理单元”选项，再单击其后视窗中的“独立”标籤，然后在如图1所示的标籤页面中，单击“添加”按钮;

下面，再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮，这样就能成功添加一个新的组策略控制台;以后，你就能重新打开组策略编辑视窗，然后按照上面的设定，实现既可以限制运行应用程式的目的，又能阻止系统组策略出现“自锁”现象。

很多网友疑惑，win7家庭版系统为什幺打不开策略组。 那是因为，win7家庭版系统根本就不支持策略组。策略组，对于喜欢设定电脑的朋友来说，那是绝对不压于控制台的。 而没有策略组的话，那是很纠结的事情。那幺，怎样才能让win7家庭版系统拥有策略组呢。 经过专业人士反覆研究。终于得出了答案。可以在注册表中尝试添加以下键值（提示：修改注册表风险大，请提前备份）：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{C2D0B7D4-7CC5-40A6-AC4C-A25BA2637B18}Machine\Software\Policies\Microsoft\Internet Explorer\Security]

"DisableSecuritySettingsCheck"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Security]

"DisableSecuritySettingsCheck"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext]

"NoFirsttimeprompt"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{C2D0B7D4-7CC5-40A6-AC4C-A25BA2637B18}Machine\Software\Microsoft\Windows\CurrentVersion\Policies\Ext]

"NoFirsttimeprompt"=dword:00000001

但不敢保证完全起效!