一、什么是組策略
　　一）組策略有什么用?
　　說到組策略，就不得不提注冊表。注冊表是Windows系統(tǒng)中保存系統(tǒng)、應用軟件配置的數(shù)據(jù)庫，隨著Windows功能的越來越豐富，注冊表里的配置項目也越來越多。很多配置都是可以自定義設置的，但這些配置發(fā)布在注冊表的各個角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理人員直接使用，從而達到方便管理計算機的目的。
　　簡單點說，組策略就是修改注冊表中的配置。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。
　　二）組策略的版本
　　大部分Windows 9X/NT用戶可能聽過“系統(tǒng)策略”的概念，而我們現(xiàn)在大部分聽到的則是“組策略”這個名字。其實組策略是系統(tǒng)策略的更高級擴展，它是由Windows 9X/NT的“系統(tǒng)策略”發(fā)展而來的，具有更多的管理模板和更靈活的設置對象及更多的功能，目前主要應用于Windows 2000/XP/2003系統(tǒng)。
　　早期系統(tǒng)策略的運行機制是通過策略管理模板，定義特定的.POL（通常是Config.pol）文件。當用戶登錄的時候，它會重寫注冊表中的設置值。當然，系統(tǒng)策略編輯器也支持對當前注冊表的修改，另外也支持連接網(wǎng)絡計算機并對其注冊表進行設置。而組策略及其工具，則是對當前注冊表進行直接修改。顯然，Windows 2000/XP/2003系統(tǒng)的網(wǎng)絡功能是其最大的特色之處，其網(wǎng)絡功能自然是不可少的，因此組策略工具還可以打開網(wǎng)絡上的計算機進行配置，甚至可以打開某個Active Directory 對象（即站點、域或組織單位）并對它進行設置。這是以前“系統(tǒng)策略編輯器”工具無法做到的。
　　無論是系統(tǒng)策略還是組策略，它們的基本原理都是修改注冊表中相應的配置項目，從而達到配置計算機的目的，只是它們的一些運行機制發(fā)生了變化和擴展而已。
　　二、組策略中的管理模板
　　在Windows 2000/XP/2003目錄中包含了幾個 .adm 文件。這些文件是文本文件，稱為“管理模板”，它們?yōu)榻M策略管理模板項目提供策略信息。
　　在Windows 9X系統(tǒng)中，默認的admin.adm管理模板即保存在策略編輯器同一個文件夾中。而在Windows 2000/XP/2003的系統(tǒng)文件夾的inf文件夾中，包含了默認安裝下的4個模板文件，分別為：
　　1）System.adm：默認情況下安裝在“組策略”中，用于系統(tǒng)設置。
　　2）Inetres.adm：默認情況下安裝在“組策略”中；用于Internet Explorer策略設置。
　　3）Wmplayer.adm：用于Windows Media Player 設置。
　　4）Conf.adm：用于NetMeeting 設置。
　　在Windows 2000/XP/2003的組策略控制臺中，可以多次添加“策略模板”，而在Windows 9X下，則只允許當前打開一個策略模板。下面介紹使用策略模板的方法。首先在Windows 2000/XP/2003組策略控制臺中使用如下：
　　首先運行“組策略”程序，然后選擇“計算機配置”或者“用戶配置”下的“管理模板”，按下鼠標右鍵，在彈出的菜單中選擇“添加/刪除模板”，則彈出如圖1所示的對話框。

圖 1
　　然后單擊“添加”按鈕，在彈出的對話框中選擇相應的.adm文件。單擊“打開”按鈕，則在系統(tǒng)策略編輯器中打開選定的腳本文件，并等待用戶執(zhí)行。
　　返回到“組策略”編輯器主界面后，依次打開目錄“本地計算機策略→用戶配置→管理模板”，再點擊相應的目錄樹，就會看到我們新添加的管理模板所產(chǎn)生的配置項目了（為了便于本文后面的實例大家能一起動手操作，建議添加除默認模板文件的其它模板文件）。
　　再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的“文件”菜單中選擇“關閉”，以便將當前腳本關閉，然后再在“選項”菜單中選擇“模板”，則彈出如圖2所示的對話框。

　　圖 2
　　然后單擊“打開模板”按鈕，在彈出的對話框中選擇相應的.adm文件并單擊“打開”按鈕，則在編輯器中打開選定的腳本文件并等待用戶執(zhí)行。 三、運行組策略
　?。ㄒ唬￤indows 9X策略編輯器
　　按操作系統(tǒng)的不同，策略編輯工具分為兩種，一種為Windows 2000/XP/2003組策略管理控制臺，它在系統(tǒng)安裝時已經(jīng)默認安裝上了；另外一種就是Windows 9X的系統(tǒng)策略編輯器，它在系統(tǒng)安裝時并不被安裝，程序文件在Windows安裝盤上的 ools eskit etadminpoledit目錄下，它包括Poledit.exe、Poledit.inf、Windows.adm等文件。
　　如果是Windows 9X系統(tǒng)通過下面的方法，則可以進行正規(guī)的安裝過程。
　　1．在控制面板中，雙擊“添加/刪除程序”圖標，單擊“安裝Windows”標簽，然后單擊“從磁盤安裝”選項。
　　2．在從磁盤安裝對話框中，單擊“瀏覽”按鈕并指定Windows 9X安裝光盤的tools eskit etadminpoledit目錄。
　　3．單擊“確認”按鈕，然后再次單擊對話框中的“確認”按鈕。
　　4．在從磁盤安裝對話框中，選擇“系統(tǒng)策略編輯器”和“組策略”復選框，然后單擊“安裝”按鈕。
　　安裝完成后，單擊“運行”命令項，輸入poledit，然后單擊“確認”按鈕。
　　管理員可以以兩種不同的方式使用系統(tǒng)策略編輯器：注冊表方式和策略文件方式。
　　1．以注冊表方式使用系統(tǒng)策略編輯器。在系統(tǒng)策略編輯器中的文件菜單中，單擊打開注冊表編輯器，然后雙擊相應的本地用戶或本地計算機圖標。這取決于要編輯注冊表中的哪個部分。在使用注冊表方式時，可以直接編輯本地或遠程計算機的注冊表。這樣，所做的改變將立即反映出來。在做出修改之后，必須關機并重新啟動計算機以使所做修改生效。
　　2．以策略文件方式使用系統(tǒng)策略編輯器。在系統(tǒng)策略編輯器中的文件菜單中，單擊新建或打開來打開一個策略文件。在使用策略文件方式時，可以創(chuàng)建和修改用于其它計算機的系統(tǒng)策略文件（POL），在這種方式下，注冊表被間接地修改。這項改變將在用戶登錄時策略文件被下載后反映出來。當以策略文件方式編輯設置值時，單擊一個注冊表選項，可以看到三種可能狀態(tài)之一：選中、清除、變灰。每當選擇一個選項時，將會循環(huán)顯示下一個可能的狀態(tài)，這與選擇一個標準的復選框不同。標準的復選框只有選中或清除兩個選項。
　　如果一個設置值需要附加信息，那么缺省用戶屬性對話框的底部將出現(xiàn)一個編輯控制。通常，如果選中了一個策略，而又不想強制使用它，應當清除該復選框來取消該策略。
　?。ǘ￤indows 2000/XP/2003組策略控制臺
　　如果是Windows 2000/XP/2003系統(tǒng)，那么系統(tǒng)默認已經(jīng)安裝了組策略程序，在“開始”菜單中，單擊“運行”命令項，輸入gpedit.msc并確定，即可運行程序（界面如圖4所示）。
圖 4

　　使用上面的方法，打開的組策略對象就是當前的計算機，而如果需要配置其他的計算機組策略對象的話，則需要將組策略作為獨立的控制臺管理程序來打開，具體步驟如下：
　　1）打開 Microsoft 管理控制臺（可在“開始”菜單的“運行”對話框中直接輸入MMC并回車，運行控制臺程序）。
　　2）在“文件”菜單上，單擊“添加/刪除管理單元”。
　　3）在“獨立”選項卡上，單擊“添加”。
　　4）在“可用的獨立管理單元”對話框中，單擊“組策略”，然后單擊“添加”。
　　5）在“選擇組策略對象”對話框中，單擊“本地計算機”編輯本地計算機對象，或通過單擊“瀏覽”查找所需的組策略對象。
　　6）單擊“完成”，單擊“關閉”，然后單擊“確定”。組策略管理單元即打開要編輯的組策略對象。
　　對于不包含域的計算機系統(tǒng)來說，在上面第5步的界面中，只有“計算機”標簽，而沒有其他標簽項目。
　　通過上面的方法，我們就可以使用Windows 2000/XP/2003組策略系統(tǒng)強大的網(wǎng)絡配置功能，讓管理員的工作更輕松和高效。
　　在上面我們介紹了Windows 9X下的策略編輯器配置項目有“選中、清除、變灰”三種狀態(tài)，Windows 2000/XP/2003組策略管理控制臺同樣也有三種狀態(tài)，只不過名字變了。它們分別是：已啟用、未配置、已禁用。四、“桌面”設置
　　Windows的桌面就像我們的辦公桌一樣，需要經(jīng)常進行整理和清潔，而組策略就如同我們的貼身秘書，讓桌面管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置實例：
　　位置：“組策略控制臺→用戶配置→管理模板→桌面”
　　1．隱藏桌面的系統(tǒng)圖標（Windows 2000/XP/2003）
　　雖然通過修改注冊表的方式可以實現(xiàn)隱藏桌面上的系統(tǒng)圖標的功能，但這樣比較麻煩，也有一定的風險。而采用組策略配置的方法，可以方便快捷地達到此目的。
　　比如要隱藏桌面上的“網(wǎng)上鄰居”和“Internet Explorer”圖標，只要在右側(cè)窗格中將“隱藏桌面上‘網(wǎng)上鄰居’圖標”和“隱藏桌面上的Internet Explorer圖標”兩個策略選項啟用即可（如圖5）；如果隱藏桌面上的所有圖標，只要將“隱藏和禁用桌面上的所有項目”啟用即可；當啟用了“刪除桌面上的‘我的文檔’圖標”和“刪除桌面上的‘我的電腦’圖標”兩個選項以后，“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失；同樣如果要讓“回收站”圖標消失，只須將“從桌面刪除回收站”策略項啟用即可。
圖 5
　　2．退出時不保存桌面設置（Windows 2000/XP/2003）
　　此策略可以防止用戶保存對桌面的某些更改。如果你啟用這個策略，用戶仍然可以對桌面做更改，但有些更改，如圖標的位置、任務欄的位置及大小，在用戶注銷后都無法保存，不過任務欄上的快捷方式總可以被保存。
　　在右側(cè)窗格中將“退出時不保存設置”這個策略選項啟用即可。
　　3．屏蔽“清理桌面向?qū)А惫δ埽╓indows XP/2003）
　　“清理桌面向?qū)А睍扛?60 天自動在用戶的電腦上運行，以清除那些用戶不經(jīng)常使用或者從不使用的桌面圖標。如果啟用此策略設置，則可以屏蔽“清理桌面向?qū)А?，如果你禁用或不配置此設置，“清理桌面向?qū)А睍凑漳J設置每隔60天運行一次。
　　打開右側(cè)窗格中的“刪除清理桌面向?qū)А?，根?jù)需要設置策略選項即可。
　　4．啟用/禁用“活動桌面”（Windows 2000/XP/2003）
　　“活動桌面”是Windows 98（及以后版本）或安裝了IE 4.0的系統(tǒng)中自帶的高級功能，最大的特點是可以設置各種圖片格式的墻紙，甚至可以將網(wǎng)頁作為墻紙顯示。但出于對安全和性能的考慮，有時候我們需要禁用這一功能（并且禁止用戶啟用它），通過策略設置可以輕松達到這一要求。具體操作方法：打開右側(cè)窗格中的“禁用活動桌面”并啟用此策略。
　　提示：如果同時啟用“啟用 Active Desktop”設置和“禁用 Active Desktop”設置，則“禁用 Active Desktop”設置會被忽略。如果 “禁用 Active Desktop 和 Web 視圖”設置（在“用戶配置→管理模板→Windows組件→Windows資源管理器”中）被啟用，Active Desktop 就會被禁用，并且這兩個策略都會被忽略。
　　以上介紹了幾個關于桌面的組策略配置項目，在“組策略控制臺→用戶配置→管理模板→桌面”下還有其他若干組策略配置項目，讀者可根據(jù)需要進行配置，這里不再贅述。五、個性化“任務欄”和“開始”菜單
　　在圖6所示窗口的右側(cè)，顯示了“任務欄”和“開始”菜單的有關組策略配置項目。下面我們來看具體的實例：
圖 6
　　位置：“組策略控制臺→用戶配置→管理模板→任務欄和開始菜單”
　　1．給“開始”菜單減肥（Windows 2000/XP/2003）
　　如果覺得Windows的“開始”菜單太臃腫的話，可以將不需要的菜單項從“開始”菜單中刪除。在組策略右側(cè)窗格中，提供了“從開始菜單刪除用戶文件夾”、“刪除到‘Windows Update’的訪問和鏈接”、“從開始菜單刪除公用程序組”、“從開始菜單中刪除‘我的文檔’圖標”等多種組策略配置項目。你只要將不需要的菜單項所對應的策略啟用即可。
　　2．保護好“任務欄”和“開始”菜單（Windows 2000/XP/2003）
　　如果你不想隨意讓他人更改“任務欄”和“開始”菜單的設置，你只要將組策略控制臺右側(cè)窗格中的“阻止更改‘任務欄和開始菜單’設置”和“阻止訪問任務欄的上下文菜單”兩個策略項啟用即可。這樣，當你用鼠標右鍵單擊任務欄并單擊“屬性”時，系統(tǒng)會出現(xiàn)一個錯誤消息（圖7），且當鼠標右鍵單擊任務欄及任務欄上的項目時，例如“開始”按鈕、時鐘和“任務欄”按鈕，彈出菜單會隱藏。
圖 7
　　3．禁止“注銷”和“關機”（Windows 2000/XP/2003）
　　當計算機啟動以后，如果你不希望這個用戶再進行“關機”和“注銷”操作，那么可將組策略控制臺右側(cè)窗格中的“刪除開始菜單上的‘注銷’”和“刪除和阻止訪問‘關機’命令”兩個策略啟用。
　　這個設置會從開始菜單刪除“關機”選項，并禁用“Windows 任務管理器”對話框按“Ctrl+Alt+Del”會出現(xiàn)這個對話框　中的“關機”選項 。另外需要注意的是，此設置雖然可防止用戶用 Windows界面來關機，但無法防止用戶用其他第三方工具程序來將 Windows 關閉。
　　提示：如果啟用了“刪除開始菜單上的‘注銷’”，則會從“開始菜單選項”刪除“顯示注銷”項目。用戶無法將“注銷”項目還原到開始菜單（只能通過手工修改注冊表的方法）。這個設置只影響開始菜單，它不影響 “Windows 任務管理器”對話框上的“注銷”項目（因此需要同時啟用“刪除和阻止訪問‘關機’命令”），而且不妨礙用戶用其它方法注銷。
　　4．利用組策略保護個人文檔隱私（Windows 2000/XP/2003）
　　Windows有個高級智能功能，即可以記錄你曾經(jīng)訪問過的文件。雖然這個功能可以方便用戶再次打開該文件，但出于安全和性能的考慮（例如不想讓人知道自己瀏覽過哪些網(wǎng)頁和打開過哪些文件），有時需要屏蔽此功能。利用組策略，只要在右側(cè)窗格中將“不要保留最近打開文檔的記錄”和“退出時清除最近打開的文檔的記錄”兩個策略啟用即可。
　　另外需要注意的是，如果啟用此策略設置但不啟用“從開始菜單中刪除文檔菜單”策略設置，“文檔”菜單還會出現(xiàn)在“開始”菜單上，但是該菜單為空菜單。如果啟用此策略設置，后來又禁用它并將它設置為“未配置”，則啟用策略設置之前保存的文檔快捷方式會重新出現(xiàn)在“文檔”菜單和應用程序的“文件”菜單中。
六、IE設置手到擒來
　　微軟的Internet Explorer讓我們可以輕松地在互聯(lián)網(wǎng)上遨游，但要想用好Internet Explorer，則必須將它配置好。在IE瀏覽器的“Internet選項”窗口中，提供了比較全面的設置選項（例如：“首頁”、“臨時文件夾”、“安全級別”和“分級審查”等項目），但部分高級功能沒有提供，而通過組策略即可輕松實現(xiàn)這些功能。下面來看具體實例：
　　位置：“組策略控制臺→用戶配置→管理模板→Windows 組件→Internet Explorer（需添加inetres.adm模板文件）”
　　1．禁用“在新窗口中打開”菜單項（Windows 2000/XP/2003）
　　出于對安全的考慮，有時候我們有必要屏蔽IE的一些功能菜單，組策略提供了豐富的設置項目，比如禁用“另存為...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打開’菜單項”為例介紹具體的設置方法。
　　打開“組策略控制臺→用戶配置→管理模板→Windows 組件→Internet Explorer→瀏覽器菜單”，然后打開“禁用‘在新窗口中打開’菜單項”并設置為“啟用”。啟用該策略后，用戶在某個鏈接上單擊鼠標右鍵，然后單擊 “在新窗口中打開”時，該命令將不起作用。該策略可與“‘文件’菜單禁用‘新建’菜單項”一起使用，后者禁止用戶通過單擊“文件”菜單，指向“新建”，然后單擊“窗口”在新窗口中打開瀏覽器（如圖8所示，“新建→窗口”項目已經(jīng)無法使用）。
圖 8
　　提示：啟用該策略后，單擊“在新窗口中打開”命令，將無法在新窗口中打開鏈接，系統(tǒng)會提示用戶該命令無效，網(wǎng)頁自動打開的窗口也全部被禁止，其實這樣也可達到屏蔽彈出廣告窗口的效果。
　　2．限制IE瀏覽器的保存功能（Windows 2000/XP/2003）
　　在使用IE瀏覽網(wǎng)頁過程中，當遇到好的圖片、文章等資源時可以使用“另存為”功能將它保存到本地硬盤中，當多人共用一臺計算機時，為了保持硬盤的整潔，需要對瀏覽器的保存功能進行限制。那么如何才能實現(xiàn)呢?可以這樣操作：打開“組策略控制臺→用戶配置→管理模板→Windows組件→Internet Explorer→瀏覽器菜單”，然后將右側(cè)窗格中的“‘文件’菜單：禁用‘另存為...’菜單項”、“‘文件’菜單：禁用另存為網(wǎng)頁菜單項”、“‘查看 ’菜單：禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目全部啟用即可。
　　如果不希望別人對IE瀏覽器的設置隨意更改，可以將“‘工具’菜單：禁用‘Internet選項...’”策略啟用。另外，根據(jù)個人的需要，在該窗格中還可以禁用其他項目。
　　3．禁用“Internet 選項”控制面板（Windows 2000/XP/2003）
　　上面提到了“禁用Internet選項”的功能，使用該功能可以達到阻止別人對IE隨便設置的目的。而這種方法無法具體禁用Internet選項中的控制模板項目，因此給具體應用帶來麻煩。通過下面的組策略設置方法，則可以實現(xiàn)這一要求：
　　打開“組策略控制臺→用戶配置→管理模板→Windows組件→Internet Explorer→Internet 控制面板”，在右邊窗格中我們可以看到“禁用常規(guī)頁”、“禁用安全頁”等組策略項目。下面以“禁用常規(guī)頁”為例進行說明：打開右邊窗格中的“禁用常規(guī)頁” 并設置為“啟用”。然后我們再打開Internet選項控制面板，會發(fā)現(xiàn)“常規(guī)”項目已經(jīng)沒有了（圖9），這樣一來用戶將無法看到和更改主頁、緩存、歷史記錄、網(wǎng)頁外觀以及輔助功能的設置，因為該策略將刪除界面上的“常規(guī)”選項卡，所以如果設置了該策略，則無須設置位于 “用戶配置→管理模板→Windows 組件→Internet Explorer”中的諸如“禁用更改主頁設置”、“禁用更改顏色設置”等策略。
4．禁止修改IE瀏覽器的主頁（Windows 2000/XP/2003）
　　如果不希望他人對自己設定的IE瀏覽器主頁進行隨意更改的話，可以打開“組策略控制臺→用戶配置→管理模板→Windows組件→Internet Explorer→工具欄”，然后選擇“禁用更改主頁設置”組策略并啟用即可。另外在這個窗格中，還提供了“更改歷史記錄設置”、“更改顏色設置”和“更改Internet臨時文件設置”等項目的禁用功能。
　　啟用此策略后，在IE瀏覽器的“Internet 選項”對話框中，其“常規(guī)”選項卡的“主頁”區(qū)域的設置將變灰。
　　提示：如果設置了位于“組策略控制臺→用戶配置→管理模板→Windows組件→Internet Explorer→Internet Explorer控制面板”中的“禁用常規(guī)頁”策略，則無須設置該策略，因為“禁用常規(guī)頁”策略將刪除界面上的“常規(guī)”選項卡。
　　5．自定義IE工具欄（Windows 2000/XP/2003）
　　IE工具欄的背景和上面的按鈕都是可以自定義的，以前我們大多使用手動修改注冊表的方法，不過并不直觀，現(xiàn)在我們用“組策略”可以更方便地達到效果，打造屬于我們自己的IE。
　　打開“組策略控制臺→用戶配置→Windows設置→Internet Explorer維護→瀏覽器用戶界面”下的“瀏覽器工具欄按鈕自定義”策略配置項目，在這里，可以自定義瀏覽器工具欄的背景圖片，點擊“瀏覽”選擇一個 BMP的位圖文件即可（注意：工具欄背景應該與工具欄大小相同，而亮度應該足以顯示黑色文字，否則實際效果并不理想）。
　　接下來，我們要在IE的工具欄上添加自己的快捷方式，比如添加“我的QQ”，在這里也可以很輕松地完成。
　　點擊“添加”，在“工具欄標題”中輸人“我的QQ”，在“工具欄操作”中選擇QQ程序的路徑，最后再選擇好“顏色圖標”和“灰度圖標”的路徑（如果你不知道怎么提取這兩個圖標，可以請EXeScope這個軟件來幫忙，在各大站點都可以下載）。設置完成后點“確定”，再次打開IE后就可以看到修改的效果了。七、輕松實現(xiàn)Windows高級功能
　　1．設置并鎖定Windows Media Player外觀（Windows 2000/XP/2003）
　　Windows Media Player是目前最流行的多媒體播放器之一，如果不希望其他用戶隨意更改其界面外觀的話，利用組策略可以輕松實現(xiàn)。打開“組策略控制臺→用戶配置→管理模板→Windows 組件→Windows Media Player→用戶界面中的設置并鎖定外觀”啟用此策略。
　　啟用此策略后，將使 Windows Media Player 只以指定的外觀模式顯示，具體可以使用在“策略”選項卡上的“外觀”框中指定的外觀（如圖10所示）。你必須為外觀使用完整的文件名例如 miniplayer.wmz　。如果外觀文件在用戶的計算機上沒有安裝，播放器將以Windows Media Player外觀打開。
圖 10
　　提示：本策略設置軟件版本至少為Windows Media Player v8.00，ADM文件為wmplayer.adm。
　　2．禁止Windows Media Player播放時運行屏保（Windows 2000/XP/2003）
　　屏幕保護程序可以有效地保護我們的顯示器，但是當我們使用播放器觀看精彩影片時，經(jīng)常會出現(xiàn)屏幕保護程序突然運行而中斷觀看的尷尬局面?，F(xiàn)在我們可以通過組策略來解決屏幕保護程序使Windows Media Player播放中斷的麻煩問題了。打開“組策略控制臺→用戶配置→管理模板→Windows組件→Windows Media Player→播放中的允許運行屏幕保護程序”并將它設置為“已禁用”狀態(tài)。
　　3．優(yōu)化配置Windows Media Player網(wǎng)絡緩沖（Windows 2000/XP/2003）
　　當我們使用Windows Media Player播放流式媒體時，播放器會在播放前對流式媒體進行緩沖處理，以便可以流暢地進行播放。在實際應用中，根據(jù)網(wǎng)絡帶寬和服務器的連接速度，緩存的時間長短并不一樣，但Windows Media Player卻是在使用同一設置，這無疑與實際網(wǎng)絡情況不匹配，因此我們可以根據(jù)具體的網(wǎng)絡帶寬情況自己優(yōu)化配置網(wǎng)絡緩沖。打開“組策略控制臺→用戶配置 →管理模板→Windows組件→Windows Media Player→網(wǎng)絡中的配置網(wǎng)絡緩沖”并設置為啟用狀態(tài)，在出現(xiàn)的緩沖時間（秒數(shù)）配置選項中，根據(jù)網(wǎng)絡的帶寬情況進行自定義（最多 60 秒）。
　　提示：如果此策略已啟用，那么Windows Media Player“性能”選項卡上的緩存選項將不能再配置。
　　4．屏蔽使用所有 Windows Update 功能的訪問（Windows 2000/XP/2003）
　　Windows Update可以自動連接Microsoft網(wǎng)站并下載更新內(nèi)容，這對大部分用戶來說是比較實用的，但對于不需要更新或者帶寬緊張的電腦用戶來說，此功能就顯得多余了，而且經(jīng)常傳聞Windows Update會將計算機用戶信息“秘密”發(fā)往Microsoft，因此也可以屏蔽這一“智能”高級功能。打開“組策略控制臺→用戶配置→管理模板 →Windows 組件→Windows Update”中的“刪除使用所有 Windows Update 功能的訪問”組策略并啟用此策略。
　　提示：如果你啟用此設置，所有 Windows Update功能（其中包括阻止訪問Windows Update網(wǎng)站http//windowsupdate.microsoft.com、開始菜單上的 Windows Update的超鏈接和Internet資源管理器上的工具菜單）將被刪除。Windows自動更新也被禁用，你將不會收到有關更新的通知，也不會接到 Windows Update的重要更新。此設置還會阻止設備管理器自動從Windows Update網(wǎng)站下載安裝驅(qū)動程序的更新。
　　5．在Windows XP/2003中實現(xiàn)遠程關機（Windows XP/2003）
　　在Windows XP/2003中，新增了一條命令行工具“shutdown”，它可以關閉或重新啟動本地或遠程計算機。利用它，我們不但可以注銷用戶、關閉或重新啟動計算機，還可以實現(xiàn)定時關機、遠程關機。該命令的語法格式如下：
　　shutdown [-i |-l|-s |-r |-a][-f][-m[\ComputerName]][-t xx][-c ″message″][-d[u][p]:xx:yy]
　　該命令具體的使用參數(shù)和技巧請參考Windows的幫助系統(tǒng)，幫助系統(tǒng)里面有全面的資料。我們現(xiàn)在簡單地看一下該命令的一些基本用法：
　　1）注銷當前用戶
　　shutdown - l
　　該命令只能注銷本機用戶，對遠程計算機不適用。
　　2）關閉本地計算機
　　shutdown - s
　　3）重啟本地計算機
　　shutdown - r
　　4）定時關機
　　shutdown - s -t 30
　　指定在30秒之后自動關閉計算機。
　　5）中止計算機的關閉。有時我們設定了計算機定時關機后，如果出于某種原因又想取消這次關機操作，就可以用shutdown - a來中止。
　　在該命令的格式中，有一個參數(shù)[-m [\ComputerName]，用它可以指定將要關閉或重啟的計算機名稱，若省略的話則默認為對本機操作。你可以用以下命令來試一下：
　　shutdown -s -m \Anyes-solon -t 30
　　在30秒內(nèi)關閉計算機名為Anyes-solon（Anyes-solon為局域網(wǎng)內(nèi)一臺同樣裝有Windows XP/2003）的電腦。
　　該命令執(zhí)行后，計算機Anyes-solon一點反應都沒有，屏幕上卻提示“Access is denied （拒絕訪問）”。
　　出現(xiàn)這種情況是因為Windows XP默認的安全策略中，只有管理員組的用戶才有權從遠端關閉計算機，而一般情況下我們從局域網(wǎng)內(nèi)的其他電腦訪問該計算機時，則只有guest用戶權限，所以當我們執(zhí)行上述命令時，便會出現(xiàn)“拒絕訪問”的情況。
　　而我們利用組策略即可賦予guest用戶遠程關機的權限。打開“組策略控制臺→計算機配置→Windows 設置→安全設置→本地策略→用戶權利指派中的從遠端系統(tǒng)強制關機”，在彈出的對話框中顯示目前只有“Administrators”組的成員才有權從遠程關機；單擊對話框下方的“添加用戶或組”按鈕，然后在新彈出的對話框中輸入“guest”，再單擊“確定”按鈕（如圖11所示）。
圖 11
　　通過上述操作后，我們便給計算機Anyes-solon的guest用戶授予了遠程關機的權限。以后，倘若你要遠程關閉計算機Anyes- solon，只要在網(wǎng)絡中其他裝有Windows XP/2003的計算機中輸入以下命令shutdown -s -m \Anyes-solon -t 60即可。
　　這時，在Anyes-solon計算機的屏幕上將顯示一個“系統(tǒng)關機”的對話框，在對話框下方還有一個計時器，顯示離關機還有多少時間（如圖12所示）。在等待關機的時間里，用戶還可以執(zhí)行其他的任務，如關閉程序、打開文件等，但無法關閉該對話框，除非你用 shutdown -a命令來中止關機任務
八、用組策略提升系統(tǒng)性能
　　1．讓Windows 的上網(wǎng)速率提升20%（Windows XP/2003）
　　默認情況下，Windows網(wǎng)絡連接數(shù)據(jù)包調(diào)度程序?qū)⑾到y(tǒng)限制在80%的連接帶寬之內(nèi)，這對帶寬較小的網(wǎng)絡來說，無疑是筆不小的開支。我們可以通過組策略設置來替代默認值，讓我們的上網(wǎng)速率提高20%!
　　打開“組策略控制臺→計算機配置→管理模板→網(wǎng)絡”中的“QoS數(shù)據(jù)包調(diào)度程序”并啟用此策略，然后使用下面“帶寬限制”框來調(diào)整系統(tǒng)可保留的帶寬比例，將它設置為0%即可，然后按確定退出，之后我們就可以使用另外20%的帶寬了。
　　2．關閉縮略圖的緩存（Windows XP/2003）
　　Windows XP/20003系統(tǒng)具有縮略圖視圖功能，且為了加快那些被頻繁瀏覽的縮略圖顯示速度，系統(tǒng)會將這些被顯示過的圖片進行緩存，以便下次打開時直接讀取緩存中的信息，從而達到快速顯示的目的。但如果我們不希望系統(tǒng)進行緩沖的話（比如只瀏覽一次的圖片），則可以利用組策略關閉縮略圖緩存的功能，這樣第一次瀏覽速度反而會大大加快（因為不進行緩存處理）。
　　打開“組策略控制臺→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“關閉縮略圖的緩存”并啟用此策略。
　　3．屏蔽系統(tǒng)自帶的CD刻錄功能（Windows XP/2003）
　　Windows XP/2003系統(tǒng)自帶CD刻錄功能，如果你有CD刻錄機接在計算機上，Windows 資源管理器允許你制作并修改可重寫式CD。但這樣無疑會影響系統(tǒng)性能和資源管理器的執(zhí)行速度，因此我們可以利用組策略來屏蔽此功能（大部分用戶都使用專用的CD刻錄軟件）。
　　打開“組策略控制臺→用戶配置→管理模板→網(wǎng)絡→”中的“刪除CD刻錄功能”并啟用此策略。
　　4．關閉系統(tǒng)還原功能（Windows XP/2003）
　　系統(tǒng)還原是Windows XP/2003中集成的強大功能，它在系統(tǒng)運行的同時，備份那些被更改的文件和數(shù)據(jù)，如果出現(xiàn)問題，系統(tǒng)還原使用戶能夠在不丟失個人數(shù)據(jù)文件的情況下，將計算機還原到以前的狀態(tài)。默認情況下，系統(tǒng)還原處于打開狀態(tài)。
　　但為這一功能付出的代價也是相當大的，系統(tǒng)性能會明顯下降，磁盤空間也會被占用很多。對于配置不高的計算機來說，強烈建議關閉此功能。
　　打開“組策略控制臺→計算機配置→管理模板→系統(tǒng)→系統(tǒng)還原”中的“關閉系統(tǒng)還原”并啟用此策略。啟用此設置后即可關閉系統(tǒng)還原功能，并且不能訪問“系統(tǒng)還原向?qū)А焙汀芭渲媒缑妗薄?br>　　5．禁止Windows Messenger自動運行（Windows XP/2003）
　　在Windows系統(tǒng)中集成的優(yōu)秀應用軟件越來越多，但這些系統(tǒng)內(nèi)置的軟件都沒有卸載選項，引起很多電腦用戶的不滿。比如Windows XP自帶的Windows Messenger，不但卸載不方便而且還隨系統(tǒng)一起自動運行。對于不上網(wǎng)的計算機用戶或者根本就不用Windows Messenger的用戶來說，當然要屏蔽此軟件的自動運行功能。
　　打開“組策略控制臺→計算機配置→管理模板→Windows組件→Windows Messenger”中的“不允許運行Windows Messenger ”并啟用此策略。
　　提示：這個設置出現(xiàn)在“計算機配置”和“用戶配置”文件夾中。如果兩個設置都配置，“計算機配置”中的設置比“用戶配置”中的設置優(yōu)先。
　　九、用組策略打造系統(tǒng)銅墻鐵壁級功能
　　1．隱藏“我的電腦”中指定的驅(qū)動器（Windows XP/2003）
　　此組策略可以從“我的電腦”和“Windows 資源管理器”上刪除代表所選硬件驅(qū)動器的圖標。并且驅(qū)動器號代表的所有驅(qū)動器不出現(xiàn)在標準的打開對話框上。
　　打開“組策略控制臺→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“隱藏‘我的電腦’中的這些指定的驅(qū)動器”并啟用此策略，并在下面列表框中選擇一個驅(qū)動器或幾個驅(qū)動器。
　　提示：這項策略只刪除驅(qū)動器圖標。用戶仍可通過使用其它方式繼續(xù)訪問驅(qū)動器的內(nèi)容。同時這項策略不會防止用戶使用程序訪問這些驅(qū)動器或其內(nèi)容。并且也不會防止用戶使用磁盤管理即插即用來查看并更改驅(qū)動器特性。
　　2．防止從“我的電腦”訪問驅(qū)動器（Windows 2000/XP/2003）
　　此策略讓用戶無法查看在“我的電腦”或“Windows 資源管理器”中所選驅(qū)動器的內(nèi)容。同時它也禁止使用運行對話框、鏡像網(wǎng)絡驅(qū)動器對話框或Dir命令查看在這些驅(qū)動器上的目錄。
　　打開“組策略控制臺→用戶配置→管理模板→Windows組件→Windows資源管理器”中的“防止從‘我的電腦’訪問驅(qū)動器”并啟用此策略，并在下面列表框中選擇一個驅(qū)動器或幾個驅(qū)動器。
　　提示：這些代表指定驅(qū)動器的圖標仍舊會出現(xiàn)在“我的電腦”中，但是如果用戶雙擊圖標，會出現(xiàn)一條消息解釋設置防止這一操作。同時這些設置不會防止用戶使用其它程序訪問本地和網(wǎng)絡驅(qū)動器。并且不防止他們使用磁盤管理即插即用查看和更改驅(qū)動器特性。
　　3．禁止使用命令提示符（Windows 2000/XP/2003）
　　在Windows 2000/XP/2003下，我們可以運行cmd.exe進入命令提示符狀態(tài)，并可以繼續(xù)運行一些DOS命令和其他命令行程序。出于對安全的考慮，有些系統(tǒng)應該屏蔽此功能。
　　打開“組策略控制臺→用戶配置→管理模板→系統(tǒng)”中的“阻止訪問命令提示符”并啟用此策略，并在下面列表框中選擇是否“也停用命令提示符腳本處理”，這個設置還決定批處理文件 .cmd和.bat　是否可以在計算機上運行。
　　如果啟用這個設置，在用戶試圖打開命令窗口時，系統(tǒng)會顯示一條消息，解釋設置阻止這一操作。
　　4．禁止更改顯示屬性（Windows 2000/XP/2003）
　　選擇“控制面板”中的“顯示”或在Windows桌面的空白處單擊右鍵選擇“屬性”，可進入“顯示設置”對話框，可以對桌面主題、桌面背景、屏保程序、顯示設置等各項進行設置，如果你不想讓別人隨意更改各項設置，可以通過組策略將它隱藏起來。
　　打開“組策略控制臺→用戶配置→管理模板→控制面板→顯示”，然后可以看到隱藏桌面選項卡、隱藏主題選項卡、隱藏保護程序選項卡、隱藏設置選項卡等策略配置，可根據(jù)需要對這些項目進行配置。比如啟用了“隱藏‘桌面’選項卡”策略后，再打開“顯示屬性”對話框，就看不到“桌面”標簽了，這樣自然就無法再對桌面屬性進行更改了。
　　5．禁用注冊表編輯器（Windows 2000/XP/2003）
　　為了防止他人進入電腦后對注冊表文件進行修改，可以在組策略中對注冊表編輯器做禁止訪問設置。具體操作方法：打開“組策略控制臺→用戶配置→系統(tǒng)”中的“阻止訪問注冊表編輯工具”并啟用此策略。
　　此策略被啟用后，用戶試圖啟動注冊表編輯器（Regedit.exe 及 Regedt32.exe）的時候，系統(tǒng)會禁止這類操作并彈出警告消息。
　　6．徹底禁止訪問“控制面板”（Windows 2000/XP/2003）
　　如果不希望其他用戶訪問計算機的“控制面板”，同樣可以使用組策略來實現(xiàn)。打開“組策略控制臺→用戶配置→管理模板→擴展面板”中的“禁止訪問控制面板”并啟用此策略。
　　此策略啟用后可以防止“控制面板”程序文件（Control.exe）的啟動。他人將無法啟動“控制面板”（或運行任何“控制面板”項目）。另外，這個設置將從“開始”菜單中刪除“控制面板”。同時這個設置還從“Windows資源管理器”中刪除“控制面板”文件夾。
　　7．禁止建立新的撥號連接（Windows 2000/XP/2003）
　　如果不想讓別人在計算機中建立新連接來撥號上網(wǎng)的話，組策略也可以做到。打開“組策略控制臺→用戶配置→管理模板→網(wǎng)絡→網(wǎng)絡連接”中的“禁止訪問新建連接向?qū)А辈⒂么瞬呗浴?br>　　啟用此策略后，在“網(wǎng)絡連接”文件夾和“開始菜單”中就不會出現(xiàn)“建立新連接”。
　　提示：此設置無法阻止用戶使用諸如 Internet Explorer 這樣的其它程序來繞過此設置。另外此設置必須重新啟動計算機后才能生效。
　　8．禁用“添加/刪除程序”（Windows 2000/XP/2003）
　　“控制面板”中“添加或刪除程序”項目允許你安裝、卸載、修復并添加和刪除 Windows 的功能和組件以及種類很多的 Windows 程序。如果你想阻止其他用戶安裝或卸載程序，可利用組策略來實現(xiàn)。
　　打開“組策略控制臺→用戶配置→管理模板→控制面板→添加→刪除程序”中的“刪除‘添加/刪除程序’程序”并啟用此策略，當我們再打開“控制面板”中“添加/刪除程序”模塊的時候，會自動彈出警告窗口，而“添加/刪除程序”則無法運行。
　　此外，在“添加/刪除程序”分支中還可以對Windows“添加/刪除程序”項中的“添加新程序”、“從CD-ROM或軟盤添加程序”、“從 Microsoft添加程序”、“從網(wǎng)絡添加程序”等項進行隱藏，通過這些策略項目的設置，起到了保護計算機中系統(tǒng)文件及應用程序的作用。
　　9．限制使用應用程序（Windows 2000/XP/2003）
　　如果你的電腦設置了多個用戶，有些程序我們可能不希望其他用戶隨意運行，也能在組策略中設置。
　　打開“組策略控制臺→用戶配置→管理模板→系統(tǒng)”中的“只運行許可的Windows應用程序”并啟用此策略，然后點擊下面的“允許的應用程序列表”邊的 “顯示”按鈕，彈出一個“顯示內(nèi)容”對話框，在此單擊“添加”按鈕來添加允許運行的應用程序即可。以后一般用戶只能運行“允許的應用程序列表”中的程序。


Windows 2000 安全策略
本部分介紹各種安全策略工具及其有關安全策略應用的優(yōu)先級順序。默認情況下，組策略具有繼承性和累積性，并且影響 Microsoft Active Directory? 容器中的所有計算機。通過使用組策略對象 (GPO) 可以管理組策略，這些組策略對象是在選定 Active Directory 對象（如站點、域或組織單位 (OU)）的特定層次結(jié)構(gòu)中附加的數(shù)據(jù)結(jié)構(gòu)。
創(chuàng)建了這些 GPO 后，可以按照如下標準順序應用：LSDOU，其表示 (1) 本地、(2) 站點、(3) 域、(4) OU。后應用的策略優(yōu)先級高于先應用的策略優(yōu)先級。如果某臺計算機屬于某一域，并且在域和本地計算機策略之間存在沖突時，則域策略有效。然而，如果某臺計算機不再屬于某一域，則應用本地組策略。
計算機加入實施 Active Directory 和組策略的域時，會處理本地 GPO。請注意，甚至在指定了“阻止策略繼承”選項時，也會處理本地 GPO 策略。
可以在默認域 GPO 本地策略（審核策略、用戶權限分配和安全選項）中定義整個域的帳戶策略（密碼、帳戶鎖定和 Kerberos 策略），因為在默認域控制器 GPO 中定義了域控制控制器 (DC) 。對于 DC，在默認 DC GPO 中定義的設置優(yōu)先級高于在默認域 GPO 中定義的設置。這樣，如果在默認域 GPO 中配置用戶特權（例如，“域中添加工作站”），則對此域中的 DC 沒有影響。
存在有在特定 GPO 中允許強制實施組策略的選項，這樣可以防止較低級別的 Active Directory 容器中的 GPO 替代此策略。例如，如果在域級別定義了特定 GPO，并指定強制實施 GPO，則 GPO 包含的策略將會應用于此域中的所有 OU；也就是說，較低級別的容器 (OU) 無法替代此域組策略。
注意：帳戶策略安全區(qū)域接收它在此域計算機中生效的專門處理方式。此域中的所有 DC 接收來自在域節(jié)點配置的 GPO 的帳戶策略，而不考慮 DC 的計算機對象的位置。這樣可確保對于所有域帳戶強制實施一致的帳戶策略。域中的所有非 DC 的計算機可按照正常的 GPO 層次結(jié)構(gòu)來獲得這些計算機上本地帳戶的策略。默認情況下，成員工作站和服務器強制實施其本地帳戶域 GPO 中配置的策略設置，但如果存在有替代默認設置的更低范圍的其他 GPO，則這些設置將會生效。
本地安全策略
使用本地安全策略可以在本地計算機中設置安全要求。其主要用于單獨計算機或用于將特定安全設置應用于域成員。在 Active Directory 托管網(wǎng)絡中，本地安全策略設置具有最低優(yōu)先級。
?
打開本地安全策略
1.

以管理員權限登錄到計算機。
2.

在 Windows 2000 Professional 計算機中，默認情況下“管理工具”不會作為“開始”菜單中的選項進行顯示。要在 Windows 2000 Professional 中查看“管理工具”菜單選項，請單擊“開始”，指向“設置”，然后單擊“任務欄和開始菜單”。在“任務欄和開始菜單屬性”窗口中，單擊“高級”選項卡。在 “開始菜單設置”對話框中選擇“顯示管理工具”。單擊“確定”按鈕完成設置。
3.

單擊“開始”，指向“程序”，再指向“管理工具”，然后單擊“本地安全策略”。這樣就可以“本地安全設置”控制臺。

圖 1：本地安全設置
域安全策略
使用域安全策略可以設置和傳播域中所有計算機的安全要求。域安全策略替代域中所有計算機的本地安全策略設置。
?
打開域安全策略
1.

打開“Active Directory 用戶和計算機”管理單元。
2.

右鍵單擊要查看的適當?shù)慕M織單位或域，然后單擊“屬性”。例如，要查看域安全策略，右鍵單擊域。要查看域控制器策略，右鍵單擊“域控制器”O(jiān)U。
3.

單擊“組策略”選項卡。
4.

單擊“編輯”按鈕。
5.

展開“Windows 設置”。
6.

在“安全設置”樹中執(zhí)行安全配置。
組織單位組策略對象
應該使用 OU 管理域中的安全策略。此域已經(jīng)與域控制器 OU 一起提供。但是，可以根據(jù)需要定義其他 OU。例如，在域級別應該應用基準設置，然后在 OU 級別應用特定設置。這樣，可以創(chuàng)建工作站 OU 并將所有工作站置于其中，創(chuàng)建域服務器 OU 并將所有域成員服務器置于其中，等等。
OU GPO 可以替代由前面討論的策略界面實施的安全策略設置。例如，如果為域設置的策略與為域控制器 OU 配置的相同策略不兼容，則域控制器不會繼承域策略設置。通過在創(chuàng)建 OU GPO 時選擇“禁止替代”選項，可以避免發(fā)生此情況。“禁止替代”選項會強制所有子容器繼承來自父容器的策略，即使在這些策略與子容器的策略有沖突以及為子容器設置了“阻止繼承”的情況下也是如此。通過單擊 GPO 的“屬性”對話框上的“選項”按鈕，定位“禁止替代”復選框。
返回頁首返回頁首
其他安全配置界面
為了便于討論和實施，本文檔重點介紹有關通過 Windows 2000 安全策略管理安全設置。但是，在獨立計算機上，這些界面不可用，甚至在域成員中有時需要逐一管理安全性，而不是通過組策略進行管理。有許多獨立工具可以用于執(zhí)行這些任務。最常使用的是所有 Windows 2000 系統(tǒng)都附帶的安全配置編輯器。
安全配置編輯器
管理配置編輯器 (SCE) 由 Microsoft 管理控制臺 (MMC) 兩個管理單元組成，用于提供對 Windows 2000 操作系統(tǒng)進行安全配置和分析的功能。第一個管理單元是“安全模板”管理單元，可以為管理員提供管理 .inf 文件（用于應用安全設置）的圖形方式。第二個管理單元是“安全配置和分析”管理單元，用于管理員分析與特定模板相關的系統(tǒng)的安全性以及將模板中的設置應用于系統(tǒng)。這些界面如圖 2 所示。為了查看這些管理單元，必須創(chuàng)建一個新的控制臺。
?
創(chuàng)建新的控制臺
1.

單擊“開始”，然后單擊“運行...”并運行 MMC。
2.

MMC 出現(xiàn)后，單擊“控制臺”，然后單擊“添加/刪除管理單元...”。接著，單擊“添加...”，然后雙擊“安全配置和分析”以及“安全模板”。
3.

單擊“關閉”和“確定”返回控制臺。為了將來使用，現(xiàn)在可以保存此控制臺以便在“開始”菜單上的“管理工具”文件夾中可用。

圖 2：安全配置編輯器
使用 SCE 工具，管理員可以配置 Windows 2000 操作系統(tǒng)的安全性，然后執(zhí)行對系統(tǒng)的定期分析以確保保持配置完整或者隨時間推移進行必要的更改。這些工具可以有效地提供對組策略“安全設置”樹中顯示的每一項內(nèi)容的訪問能力。
有關使用 SCE 工具的詳細信息，請參閱：http://www.microsoft.com/windows2000/tec ... s/security/sctoolset.asp（英文）。
其他工具
有許多 Windows 2000 附帶的其他工具可以用于管理安全性。本部分簡要介紹其中的一些工具。估計管理員已熟悉這些工具并且不需要對這些工具進行更多的介紹。
?
Windows Explorer – 允許配置文件系統(tǒng)上的隨機訪問控制列表 (DACL) 和系統(tǒng)訪問控制列表 (SACL)。
?
Regedt32.exe – 允許配置注冊表上的 DACL 和 SACL。
?
Cacls.exe – 命令行工具，此工具允許配置和查看文件系統(tǒng) DACL。
?
Net.exe – 命令行工具，可以用于創(chuàng)建和配置用戶帳戶和組成員身份以及用于配置各種設置（如系統(tǒng)在網(wǎng)絡瀏覽列表中是否可見）。
?
Netsh.exe – 命令行工具，用于配置網(wǎng)絡參數(shù)。
?
Secedit.exe – 命令行工具，提供與 SCE 工具相同的功能。

Win2003 Server帳戶和本地策略配置

在Windows Server 2003系統(tǒng)的“帳戶和本地策略”中包括“帳戶策略”和“本地策略”兩個方面，而其中的“帳戶策略”又包括：密碼策略、帳戶鎖定策略和Kerberos策略三個方面；另外的“本地策略”也包括：審核策略、用戶權限分配和安全選項三部分。下面分別予以介紹。
　　
　　一、密碼策略的設置
　　密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個方面：
　　強制密碼歷史
　　密碼最長使用期限
　　密碼最短使用期限
　　密碼長度最小值
　　密碼必須符合復雜性要求
　　用可還原的加密來存儲密碼
　　
　　以上各項的配置方法均需根據(jù)當前用戶帳戶類型來選擇。默認情況下，成員計算機的配置與其域控制器的配置相同。下面分別根據(jù)幾種不同用戶類型介紹相應的密碼策略配置方法。
　　
　　1. 對于本地計算機
　　
　　對于本地計算機的用戶帳戶，其密碼策略設置是在“本地安全設置”管理工個中進行的。下面是具體的配置方法。
　　
　　第1步，執(zhí)行〖開始〗→〖管理工具〗→〖本地安全策略〗菜單操作，打開如圖所示的“本地安全設置”界面。對于本地計算機中用戶“帳戶和本地策略”都查在此管理工具中進行配置的。

第2步，因密碼策略是屬于用戶策略范疇，所以先需在如上圖所示界面中單擊選擇“用戶策略”選項，然后再選擇“密碼策略”選項，在右邊詳細信息窗口中將顯示可配置的密碼策略選項的當前配置。
　　
　　因為各策略選項的配置方法基本一樣，所以在此僅以一個選項的配置進行介紹，其它只對各選項的具體作用進行簡單介紹。
　　
　　如配置“密碼必須符合復雜性要求”選項，可設置確定密碼是否符合復雜性要求。啟用該策略，則密碼必須符合以下最低要求：
　?。?）不包含全部或部分的用戶帳戶名
　?。?）長度至少為六個字符
　?。?）包含來自以下四個類別中的三個的字符：
　　英文大寫字母（從A到Z）
　　英文小寫字母（從a到z）
　　10個基本數(shù)字（從0到9）
　　非字母字符（例如，!、$、#、%）
　　
　　如果啟用了此安全策略，而您所配置的用戶密碼不符合此配置要求時系統(tǒng)會提示錯誤。有時您可能百思不得其解，認為自己所設的密碼已經(jīng)夠長，而且也是屬于隨機的，不全都是數(shù)字或字母，可系統(tǒng)為什么還是老說錯誤呢？一般來說是由于您所設的密碼所包括的字符類型不足以上四個中的三個。通常只各個領域其中的兩種，即數(shù)字和字母，而沒有考慮到字母的大小寫或者非字母字符，所以達不到復雜性要求。更改或創(chuàng)建密碼時，會強制執(zhí)行復雜性要求。
　　
　　默認情況下，在域控制器上默認是已啟用了這一策略的；而在獨立服務器上則默認是禁用的。
　　
　　這個安全選項的配置方法是在如上圖所示界面的右邊信息窗口中雙擊“密碼必須符合復雜性要求”選項，打開如圖所示對話框。在這個對話框中就可隨意啟用或者禁用這個安全策略選項，配置好后單擊“確定”按鈕使配置更改生效。

其它選項的配置方法都一樣，都是通過雙擊或者單擊右鍵，然后選擇“屬性”選項，打開類似如圖2所示對話框，在這些對話框中進行配置即可。不過為了便于工作于大家理解和配置，下面簡單介紹其它密碼策略選項的含義。
　　
　　強制密碼歷史
　　重新使用舊密碼之前，該安全設置確定某個用戶帳戶所使用的新密碼必須不能與該帳戶所使用的最近多少舊密碼一樣。該值必須為0到24之間的一個數(shù)值。該策略通過確保舊密碼不能在某段時間內(nèi)重復使用，使用戶帳戶更安全。
　　
　　在域控制器上的默認值為24；而在獨立服務器上為0。
　　
　　【注意】要維持密碼歷史記錄的有效性，則在通過啟用密碼最短使用期限安全策略設置更改密碼之后，不允許立即更改密碼。
　　
　　密碼最長使用期限
　　該安全設置確定系統(tǒng)要求用戶更改密碼之前可以使用該密碼的時間（單位為天）?？蓪⒚艽a的過期天數(shù)設置在1至999天之間；如果將天數(shù)設置為0，則指定密碼永不過期。如果密碼最長使用期限在1至999天之間，那么“密碼最短使用期限”（下面將介紹）必須小于密碼最長使用期限。如果密碼最長使用期限設置為0，則密碼最短使用期限可以是1至998天之間的任何值。
　　默認值：42。
　　
　　【技巧】使密碼每隔30至90天過期一次是一種安全最佳操作，取決于您的環(huán)境。通過這種方式，攻擊者只能夠在有限的時間內(nèi)破解用戶密碼并訪問您的網(wǎng)絡資源。
　　
　　第三步，密碼最短使用期限。該安全策略設置確定用戶可以更改密碼之前必須使用該密碼的時間（單位為天）?？梢栽O置1到998天之間的某個值，或者通過將天數(shù)設置為0，允許立即更改密碼。密碼最短使用期限必須小于上面設置的“密碼最長使用期限”，除非密碼最長使用期限設置為0（表明密碼永不過期）。如果密碼最長使用期限設置為0，那么密碼最短使用期限可設置為0到998天之間的任意值。
　　
　　如果希望上面設置的“強制密碼歷史”安全策略選項設置有效，請將密碼最短有效期限配置為大于0。如果沒有密碼最短有效期限，則用戶可以重復循環(huán)通過密碼，直到獲得喜歡的舊密碼。默認設置不遵從這種推薦方法，因此管理員可以為用戶指定密碼，然后要求當用戶登錄時更改管理員定義的密碼。如果將該密碼的歷史記錄設置為0，則用戶不必選擇新密碼。因此，默認情況下將密碼歷史記錄設置為1。在域控制器上的默認值為1；而在獨立服務器上為0。
　　
　　第四步，密碼長度最小值。該安全設置確定用戶帳戶的密碼可以包含的最少字符個數(shù)?？梢栽O置為1到14個字符之間的某個值，或者通過將字符數(shù)設置為0，可設置不需要密碼。在域控制器上的默認值為7；而在獨立服務器上為0。
　　
　　第五步，用可還原的加密來存儲密碼。該安全設置確定操作系統(tǒng)是否使用可還原的加密來存儲密碼。如果應用程序使用了要求知道用戶密碼才能進行身份驗證的協(xié)議，則該策略可對它提供支持。使用可還原的加密存儲密碼和存儲明文版本密碼本質(zhì)上是相同的。因此，除非應用程序有比保護密碼信息更重要的要求，否則不必啟用該策略。
　　
　　當使用質(zhì)詢握手身份驗證協(xié)議（CHAP）通過遠程訪問或Internet身份驗證服務（IAS）進行身份驗證時，該策略是必需的。在Internet信息服務（IIS）中使用摘要式驗證時也要求該策略。系統(tǒng)默認值為禁用。
　　
　　上面介紹的是在本地計算機上配置以上密碼安全策略選項的方法，下面繼續(xù)介紹在其它兩種情形中這些密碼策略選項的配置方法。
　　
　　2. 在域環(huán)境中，并且您位于已加入到域中的成員服務器或工作站
　　
　　對于這種情形，用戶的本地密碼策略配置方法如下：
　　
　　第1步，執(zhí)行〖開始〗→〖運行〗菜單操作，在對話框的“打開”文本框中輸入“mmc”命令，打開Microsoft管理控制臺（MMC），如圖所示。
　　

第2步，執(zhí)行〖文件〗→〖添加/刪除管理單元〗菜單操作，打開如圖所示對話框。在這個對話框中可以添加在控制臺管理的管理單元。
　　

第3步，單擊“添加”按鈕，打開如下圖所示對話框。在這個對話框中找到“組策略對象編輯器”選項，然后雙擊，或單擊選擇它后按“添加”按鈕，打開如圖所示對話框。在這個對話框中要求選擇所添加的“組策略對象編輯器”所作用的對象。
　　


因此處介紹的是成員服務器或工作站（非本地計算機），所以需單擊“瀏覽”按鈕，在打開的對話框中選中“計算機”選項卡（對話框如下圖所示）。在對話框中選擇“另一計算機”單選項，然后直接在下面的文本框中輸入或再次通過單擊“瀏覽”按鈕，打開對話框查找。
　　

第4步，輸入或者選擇好計算機名后，單擊“確定”按鈕即可返回到如上圖所示對話框。單擊“完成”按鈕，如果所選擇的成員服務器或工作站與當前服務器的網(wǎng)絡連接正常的話，即可把它們指派到組策略對象編輯器中。
　　
　　第5步，單擊對話框中的“關閉”按鈕，返回到如圖所示對話框。單擊“確定”按鈕返回到控制臺界面，不過此時已是添加了“組策略對象編輯器”管理單元的控制臺，如圖所示。
　　

第6步，依次單擊展開〖計算機配置〗→〖Windows設置〗→〖安全設置〗→〖帳戶策略〗→〖密碼策略〗選項，然后在右邊詳細信息窗口中選擇相應的密碼策略選項配置即可。配置方法也是在相應選項上單擊右鍵，然后再選擇“屬性”選項，打開的對話框與前圖一樣，參照即可。
　　
　　3. 您位于域控制器，或已安裝 Windows Server 2003 管理工具包的工作站
　　
　　對于這種情形，密碼策略的配置方法如下：
　　第1步，執(zhí)行〖開始〗→〖管理工具〗→〖Active Directory用戶和計算機〗菜單操作，打開如圖所示的“Active Directory用戶和計算機”管理工具界面。

第2步，在控制臺樹中要設置組策略的域或組織單位上（本例以域grfwgz.com為例）單擊右鍵，然后選擇“屬性”選項，在打開的對話框中選擇“組策略”選項卡，對話框如圖所示。
　　

　第3步，選擇對話框“組策略對象鏈接”列表中的項目以選擇現(xiàn)
帳戶鎖定策略用于域帳戶或本地用戶帳戶，它們確定某個帳戶被系統(tǒng)鎖定的情況和時間長短。這部分包含以下三個方面：
　　
　　帳戶鎖定時間
　　帳戶鎖定閾值
　　復位帳戶鎖定計數(shù)器
　　
　　1. 帳戶鎖定時間
　　
　　該安全設置確定鎖定的帳戶在自動解鎖前保持鎖定狀態(tài)的分鐘數(shù)。有效范圍從0到99,999分鐘。如果將帳戶鎖定時間設置為0，那么在管理員明確將其解鎖前，該帳戶將被鎖定。如果定義了帳戶鎖定閾值，則帳戶鎖定時間必須大于或等于重置時間。
　　
　　默認值：無。因為只有當指定了帳戶鎖定閾值時，該策略設置才有意義。
　　
　　2. 帳戶鎖定閾值
　　
　　該安全設置確定造成用戶帳戶被鎖定的登錄失敗嘗試的次數(shù)。無法使用鎖定的帳戶，除非管理員進行了重新設置或該帳戶的鎖定時間已過期。登錄嘗試失敗的范圍可設置為0至999之間。如果將此值設為0，則將無法鎖定帳戶。
　　
　　對于使用Ctrl+Alt+Delete組合鍵或帶有密碼保護的屏幕保護程序鎖定的工作站或成員服務器計算機上，失敗的密碼嘗試計入失敗的登錄嘗試次數(shù)中。默認值：0。
　　
　　3.復位帳戶鎖定計數(shù)器
　　
　　該安全設置確定在登錄嘗試失敗計數(shù)器被復位為0（即0次失敗登錄嘗試）之前，嘗試登錄失敗之后所需的分鐘數(shù)。有效范圍為1到99,999分鐘之間。
　　如果定義了帳戶鎖定閾值，則該復位時間必須小于或等于帳戶鎖定時間。
　　默認值：無，因為只有當指定了“帳戶鎖定閾值”時，該策略設置才有意義。
　　它們的配置也要因當前用戶所在的網(wǎng)絡環(huán)境而定。對于本地計算機用戶帳戶，在如圖1所示界面中配置；對于域中的成員服務器或工作站則在如圖8所示對話框中配置；而對于域控制器用戶則在如圖11所示界面中配置。
　　
　　配置方法也是通過雙擊，或單擊選擇某帳戶鎖定策略選項，然后再單擊右鍵，選擇“屬性”選項，都可打開類似如圖所示對話框，在其中進行配置即可。

Kerberos V5身份驗證協(xié)議是用于確認用戶或主機身份的身份驗證機制，也是Windows 2000和Windows Server 2003系統(tǒng)默認的身份驗證服務。Internet協(xié)議安全性（IPSec）可以使用Kerberos協(xié)議進行身份驗證。
　　
　　對于在安裝過程中所有加入到Windows Server 2003或Windows 2000域的計算機都默認啟用Kerberos V5身份驗證協(xié)議。Kerberos可對域內(nèi)的資源和駐留在受信任的域中的資源提供單一登錄。
　　可通過那些作為帳戶策略一部分的Kerberos安全設置來控制Kerberos配置的某些方面。例如，可設置用戶的Kerberos 5票證生存周期。作為管理員，可以使用默認的kerberos策略，也可以更改它以適應環(huán)境的需要。使用Kerberos V5進行成功的身份驗證需要兩個客戶端系統(tǒng)都必須運行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系統(tǒng)。
　　
　　如果客戶端系統(tǒng)嘗試向運行其他操作系統(tǒng)的服務器進行身份驗證，則使用NTLM協(xié)議作為身份驗證機制。NTLM身份驗證協(xié)議是用來處理兩臺計算機（其中至少有一臺計算機運行Windows NT 4.0或更早版本）之間事務的協(xié)議。
　　
　　使用Kerberos進行身份驗證的計算機必須使其時間設置在5分鐘內(nèi)與常規(guī)時間服務同步，否則身份驗證將失敗。運行Windows Server 2003家族成員、Windows XP Professional或Windows 2000的計算機將自動更新當前時間，并將域控制器用作網(wǎng)絡時間服務。
　　
　　Kerberos策略用于域用戶帳戶，確定與Kerberos相關的設置，例如票證的有效期限和強制執(zhí)行。
　　Kerberos策略不存在于本地計算機策略中。這部分包含以下幾個方面：
　　強制用戶登錄限制
　　服務票證最長壽命
　　用戶票證最長壽命
　　用戶票證續(xù)訂最長壽命
　　計算機時鐘同步的最大容差
　　
　　1. 強制用戶登錄限制
　　本安全設置確定Kerberos V5密鑰分發(fā)中心（KDC）是否要根據(jù)用戶帳戶的用戶權限來驗證每一個會話票證請求。驗證每一個會話票證請求是可選的，因為額外的步驟需要花費時間，并可能降低服務的網(wǎng)絡訪問速度。默認值：已啟用。
　　
　　2. 服務票證最長壽命
　　該安全設置確定使用所授予的會話票證可訪問特定服務的最長時間（以分鐘為單位）。該設置必須大于10分鐘并且小于或等于下面將要介紹的“用戶票證最長壽命”選項中的設置。
　　【說明】票證是用于安全原則的標識數(shù)據(jù)集，是為了進行用戶身份驗證而由域控制器發(fā)行的。
　　Windows中的兩種票證形式是票證授予式票證（TGT）和服務票證。
　　票證授予式票證（TGT）是用戶登錄時，Kerberos密鑰分發(fā)中心（KDC）頒發(fā)給用戶的憑據(jù)。當服務要求會話票證時，用戶必須向KDC遞交TGT。因為TGT對于用戶的登錄會話活動通常是有效的，它有時稱為“用戶票證”。
　　
　　服務票證是由允許用戶驗證域中指定服務的KerberosV5票證授予服務（TGS）頒發(fā)的票證。如果客戶端請求服務器連接時出示的會話票證已過期，服務器將返回錯誤消息?？蛻舳吮仨殢腒erberos V5密鑰分發(fā)中心（KDC）請求新的會話票證。然而一旦連接通過了身份驗證，該會話票證是否仍然有效就無關緊要了。會話票證僅用于驗證和服務器的新建連接。如果用于驗證連接的會話票證在連接時過期，則當前的操作不會中斷。默認值：600分鐘（10小時）。
　　
　　3. 用戶票證最長壽命
　　該安全設置確定用戶票證授予票證（TGT）的最長使用時間（單位為小時）。用戶TGT期滿后，必須請求新的或“續(xù)訂”現(xiàn)有的用戶票證。默認值：10小時。
　　
　　4. 用戶票證續(xù)訂最長壽命
　　該安全設置確定可以續(xù)訂用戶票證授予票證（TGT）的期限（以天為單位）。默認值：7天。
　　
　　5. 計算機時鐘同步的最大容差
　　本安全設置確定Kerberos V5所允許的客戶端時鐘和提供Kerberos身份驗證的Windows Server 2003域控制器上的時間的最大差值（以分鐘為單位）。
　　為防止“輪番攻擊”，Kerberos V5在其協(xié)議定義中使用了時間戳。為使時間戳正常工作，客戶端和域控制器的時鐘應盡可能的保持同步。換言之，應該將這兩臺計算機設置成相同的時間和日期。因為兩臺計算機的時鐘常常不同步，所以管理員可使用該策略來設置Kerberos V5所能接受的客戶端時鐘和域控制器時鐘間的最大差值。如果客戶端時鐘和域控制器時鐘間的差值小于該策略中指定的最大時間差，那么在這兩臺計算機的會話中使用的任何時間戳都將被認為是可信的。默認值：5分鐘。
　　【注意】該設置并不是永久性的。如果配置該設置后重新啟動計算機，那么該設置將被還原為默認值。
　　
　　以上各Kerberos策略安全選項的配置方法如下：
　　第1步，在組策略界面中，依次單擊展開下列選項〖計算機設置〗→〖Windows設置〗→〖安全設置〗→〖用戶策略〗→〖Kerberos策略〗，在右邊詳細信息窗口中將列出當前所有的Kerberos策略選項，如圖所示。
　　

第2步，在詳細信息窗口中顯示了各Kerberos策略安全選項的當前配置，如果要重新配置某選項，可直接雙擊，也可在相應選項上單擊右鍵，然后選擇“屬性”選項，都可打開類似如圖所示的配置對話框。在這個對話框中可以選擇是否啟用或者重新配置該安全選項的參數(shù)值。
　　

選擇好后單擊“確定”按鈕即可生效。對 Kerberos 策略的任何修改都將影響域中的所有計算機。
　　
　　Windows Server 2003系統(tǒng)審核策略的配置方法也要根據(jù)以下四種具體的情形而選擇不同的配置方法。
　　
　　1. 對于本地計算機
　　在這個情況下，審核策略的配置也是在 “本地安全設置”界面中進行的，只是此時要選擇“本地策略”下的“審核策略”選項，如圖所示。
　　

雙擊詳細信息窗格中要更改審核策略設置的事件類別，或在相應審核策略事件上單擊右鍵，然后選擇“屬性”選項，都可打開如圖所示對話框（本例選擇的是“審核登錄事件”選項）。執(zhí)行以下一個或兩個操作，然后單擊“確定”按鈕使配置生效。
　　
　　要審核成功的嘗試，請選中“成功”復選項。
　　要審核未成功的嘗試，請選中“失敗”復選項。

2. 您在一臺域控制器上或已安裝了Windows Server 2003管理工具包的工作站上
　　
　　這種情形下審核策略的配置方法如下：
　　第1步，執(zhí)行〖開始〗→〖管理工具〗→〖域控制器安全策略〗菜單操作，打開如圖所示的“域控制器安全策略”管理工具界面。

第2步，在控制臺樹中，按〖Windows設置〗→〖安全設置〗→〖本地策略〗→〖審核策略〗順序依次單擊，展開各選項，直到“審核策略”選項。
　　
　　第3步，雙擊詳細信息窗格中要更改審核策略設置的事件類別，或者在相應事件上單擊右鍵，然后選擇“屬性”選項，同樣會打開如圖5所示的對話框。配置方法與前一種情形“本地計算機”中介紹的方法一樣，參照即可。
　　
　　3. 您是在一臺域控制器上或已安裝了“管理工具包”的工作站上
　　
　　在這種應用情形中，審核配置的配置方法是在“Active Directory用戶和計算機”管理工具中打開組策略進行的。不同的此時選擇的是“本地策略”下的“審核策略”選項，如圖所示。

審核策略的配置方法與前兩種情形中介紹的一樣，不再贅述。
　　
　　4. 對于域或組織單位，您是在一臺成員服務器上或已加入