windows “組策略”詳解

一、什麼是組策略
（一）組策略有什麼用?

說到組策略，就不得不提註冊表。註冊表是Windows系統中儲存系統、應用軟體配置的資料庫，隨著Windows功能的越來越豐富，註冊表裡的設定項目也越來越多。很多配置都是 可以自訂設定的，但這些配置發布在註冊表的各個角落，如果是手工配置，可想是多麼困難和煩雜。而組策略則將系統重要的配置功能彙集成各種配置模組，供管理員直接使用，從而達到方便管理電腦的目的。

簡單點說，組策略就是修改註冊表中的配置。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設定進行管理和配置，遠比手工修改註冊表方便、靈活，功能也更加強大。

（二）組策略的版本

大部分Windows 9X/NT使用者可能聽過“系統策略”的概念，而我們現在大部分聽到的則是“組策略”這個名字。其實組策略是系統策略的更進階擴充，它是由Windows 9X/NT的“系統策略”發展而來的，具有更多的系統管理範本和更靈活的設定對象及更多的功能，目前主要應用於Windows 2000/XP/2003系統。

早期系統策略的運行機制是通過策略系統管理範本，定義特定的.POL（通常是Config.pol）檔案。當使用者登入的時候，它會重寫註冊表中的設定值。當然，系統策略編輯器也支援對當前註冊表的修改，另外也支援串連網路電腦並對其註冊表進行設定。而組策略及其工具，則是對當前註冊表進行直接修改。顯然，Windows 2000/XP/2003系統的網路功能是其最大的特色之處，其網路功能自然是不可少的，因此組策略工具還可以開啟網路上的電腦進行配置，甚至可以開啟某個Active Directory 對象（即網站、域或組織單位）並對它進行設定。這是以前“系統策略編輯器”工具無法做到的。

無論是系統策略還是組策略，它們的基本原理都是修改註冊表中相應的設定項目，從而達到配置電腦的目的，只是它們的一些運行機制發生了變化和擴充而已。

二、組策略中的系統管理範本

在Windows 2000/XP/2003目錄中包含了幾個 .adm 檔案。這些檔案是文字檔，稱為“系統管理範本”，它們為組策略系統管理範本項目提供策略資訊。

在Windows 9X系統中，預設的admin.adm系統管理範本即儲存在策略編輯器同一個檔案夾中。而在Windows 2000/XP/2003的系統檔案夾的inf檔案夾中，包含了預設安裝下的4個模板檔案，分別為：

1）System.adm：預設情況下安裝在“組策略”中，用於系統設定。
2）Inetres.adm：預設情況下安裝在“組策略”中；用於Internet Explorer原則設定。
3）Wmplayer.adm：用於Windows Media Player 設定。
4）Conf.adm：用於NetMeeting 設定。

在Windows 2000/XP/2003的組策略控制台中，可以多次添加“原則範本”，而在Windows 9X下，則只允許當前開啟一個原則範本。下面介紹使用原則模板的方法。首先在Windows 2000/XP/2003組策略控制台中使用如下：
首先運行“組策略”程式，然後選擇“電腦配置”或者“使用者配置”下的“系統管理範本”，按下滑鼠右鍵，在彈出的菜單中選擇“添加/刪除模板”.

然後單擊“添加”按鈕，在彈出的對話方塊中選擇相應的.adm檔案。單擊“開啟”按鈕，則在系統策略編輯器中開啟選定的指令檔，並等待使用者執行。

返回到“組策略”編輯器主介面後，依次開啟目錄“本機電腦策略→使用者配置→系統管理範本”，再點擊相應的分類樹，就會看到我們新添加的系統管理範本所產生的設定項目了（為了便於本文後面的執行個體大家能一起動手操作，建議添加除預設範本檔案的其它模板檔案）。

再來看Windows 9X下的組策略編輯器。首先在組策略編輯器中的[檔案] 功能表中選擇“關閉”，以便將當前指令碼關閉，然後再在“選項”菜單中選擇“模板”

然後單擊“開啟模板”按鈕，在彈出的對話方塊中選擇相應的.adm檔案並單擊“開啟”按鈕，則在編輯器中開啟選定的指令檔並等待使用者執行。

三、運行組策略

（一）Windows 9X策略編輯器

按作業系統的不同，策略編輯工具分為兩種，一種為Windows 2000/XP/2003群組原則管理主控台，它在系統安裝時已經預設安裝上了；另外一種就是Windows 9X的系統策略編輯器，它在系統安裝時並不被安裝，程式檔案在Windows安裝盤上的\tools\reskit\netadmin\poledit目錄下，它包括Poledit.exe、Poledit.inf、Windows.adm等檔案。

如果是Windows 9X系統通過下面的方法，則可以進行正規的安裝過程。

1．在控制台中，雙擊“添加/刪除程式”表徵圖，單擊“安裝Windows”標籤，然後單擊“從磁碟安裝”選項。
2．在從磁碟安裝對話方塊中，單擊“瀏覽”按鈕並指定Windows 9X安裝光碟片的tools\reskit\netadmin\poledit目錄。
3．單擊“確認”按鈕，然後再次單擊對話方塊中的“確認”按鈕。
4．在從磁碟安裝對話方塊中，選擇“系統策略編輯器”和“組策略”複選框，然後單擊“安裝”按鈕。

安裝完成後，單擊“運行”命令項，輸入poledit，然後單擊“確認”按鈕,管理員可以以兩種不同的方式使用系統策略編輯器：註冊表方式和策略檔案方式。

1．以註冊表方式使用系統策略編輯器。在系統策略編輯器中的檔案菜單中，單擊開啟登錄編輯程式，然後雙擊相應的本機使用者或本機電腦表徵圖。這取決於要編輯註冊表中的哪個部分。在使用註冊表方式時，可以直接編輯本地或遠端電腦的註冊表。這樣，所做的改變將立即反映出來。在做出修改之後，必須關機並重新啟動電腦以使所做修改生效。

2．以策略檔案方式使用系統策略編輯器。在系統策略編輯器中的檔案菜單中，單擊建立或開啟來開啟一個策略檔案。在使用原則檔案方式時，可以建立和修改用於其它電腦的系統策略檔案（POL），在這種方式下，註冊表被間接地修改。這項改變將在使用者登入時策略檔案被下載後反映出來。當以策略檔案方式編輯設定值時，單擊一個註冊表選項，可以看到三種可能狀態之一：選中、清除、變灰。每當選擇一個選項時，將會迴圈顯示下一個可能的狀態，這與選擇一個標準的複選框不同。標準的複選框只有選中或清除兩個選項。

如果一個設定值需要附加資訊，那麼預設使用者屬性對話方塊的底部將出現一個編輯控制。通常，如果選中了一個策略，而又不想強制使用它，應當清除該複選框來取消該策略。

（二）Windows 2000/XP/2003組策略控制台

如果是Windows 2000/XP/2003系統，那麼系統預設已經安裝了組策略程式，在“開始”菜單中，單擊“運行”命令項，輸入gpedit.msc並確定，即可運行程式

使用上面的方法，開啟的組策略對象就是當前的電腦，而如果需要配置其他的電腦群組策略對象的話，則需要將組策略作為獨立的控制台管理程式來開啟，具體步驟如下：

1）開啟 Microsoft 管理主控台（可在“開始”菜單的“運行”對話方塊中直接輸入MMC並斷行符號，運行控制台程式）。
2）在[檔案] 功能表上，單擊“添加/刪除嵌入式管理單元”。
3）在“獨立”選項卡上，單擊“添加”。
4）在“可用的獨立嵌入式管理單元”對話方塊中，單擊“組策略”，然後單擊“添加”。
5）在“選擇組策略對象”對話方塊中，單擊“本機電腦”編輯本機電腦對象，或通過單擊“瀏覽”尋找所需的組策略對象。
6）單擊“完成”，單擊“關閉”，然後單擊“確定”。組策略嵌入式管理單元即開啟要編輯的組策略對象。

對於不包含域的電腦系統來說，在上面第5步的介面中，只有“電腦”標籤，而沒有其他標籤項目。

通過上面的方法，我們就可以使用Windows 2000/XP/2003組策略系統強大的網路設定功能，讓管理員的工作更輕鬆和高效。

在上面我們介紹了Windows 9X下的策略編輯器設定項目有“選中、清除、變灰”三種狀態，Windows 2000/XP/2003群組原則管理主控台同樣也有三種狀態，只不過名字變了。它們分別是：已啟用、未配置、已禁用。

四、“案頭”設定

Windows的案頭就像我們的辦公桌一樣，需要經常進行整理和清潔，而組策略就如同我們的貼身秘書，讓案頭管理工作變得易如反掌。下面就讓我們來看看幾個實用的配置執行個體：

位置：“組策略控制台→使用者配置→系統管理範本→案頭”

1．隱藏案頭的系統表徵圖（Windows 2000/XP/2003）

雖然通過修改註冊表的方式可以實現隱藏案頭上的系統表徵圖的功能，但這樣比較麻煩，也有一定的風險。而採用組策略配置的方法，可以方便快捷地達到此目的。

比如要隱藏案頭上的“網路位置”和“Internet Explorer”表徵圖，只要在右側邊窗格中將“隱藏案頭上‘網路位置’表徵圖”和“隱藏案頭上的Internet Explorer表徵圖”兩個策略選項啟用即可；如果隱藏案頭上的所有表徵圖，只要將“隱藏和禁用案頭上的所有項目”啟用即可；當啟用了“刪除案頭上的‘我的文件’表徵圖”和“刪除案頭上的‘我的電腦’表徵圖”兩個選項以後，“我的電腦”和“我的文件”表徵圖將從你的電腦案頭上消失；同樣如果要讓“資源回收筒”表徵圖消失，只須將“從案頭刪除資源回收筒”策略項啟用即可。

2．退出時不儲存案頭設定（Windows 2000/XP/2003）

此策略可以防止使用者儲存對案頭的某些更改。如果你啟用這個策略，使用者仍然可以對案頭做更改，但有些更改，標的位置、工作列的位置及大小，在使用者登出後都無法儲存，不過工作列上的捷徑總可以被儲存。

在右側邊窗格中將“退出時不儲存設定”這個策略選項啟用即可。

3．屏蔽“清理案頭嚮導”功能（Windows XP/2003）

“清理案頭嚮導”會每隔 60 天自動在使用者的電腦上運行，以清除那些使用者不經常使用或者從不使用的案頭表徵圖。如果啟用此原則設定，則可以屏蔽“清理案頭嚮導”，如果你禁用或不配置此設定，“清理案頭嚮導”會按照預設設定每隔60天運行一次。

開啟右側邊窗格中的“刪除清理案頭嚮導”，根據需要設定策略選項即可。

4．啟用/禁用“活動案頭”（Windows 2000/XP/2003）

“活動案頭”是Windows 98（及以後版本）或安裝了IE 4.0的系統中內建的進階功能，最大的特點是可以設定各種圖片格式的牆紙，甚至可以將網頁作為牆紙顯示。但出於對安全和效能的考慮，有時候我們需要禁用這一功能（並且禁止使用者啟用它），通過原則設定可以輕鬆達到這一要求。具體操作方法：開啟右側邊窗格中的“禁用活動案頭”並啟用此策略。

提示：如果同時啟用“啟用 Active Desktop”設定和“禁用 Active Desktop”設定，則“禁用 Active Desktop”設定會被忽略。如果 “禁用 Active Desktop 和 Web 視圖”設定（在“使用者配置→系統管理範本→Windows組件→Windows資源管理員”中）被啟用，Active Desktop 就會被禁用，並且這兩個策略都會被忽略。

以上介紹了幾個關於案頭的組策略設定項目，在“組策略控制台→使用者配置→系統管理範本→案頭”下還有其他若干組策略設定項目，讀者可根據需要進行配置，這裡不再贅述。

五、個人化“工作列”和“開始”菜單

顯示了“工作列”和“開始”菜單的有關組策略設定項目。下面我們來看具體的執行個體：
位置：“組策略控制台→使用者配置→系統管理範本→工作列和開始菜單”

1．給“開始”菜單減肥（Windows 2000/XP/2003）

如果覺得Windows的“開始”菜單太臃腫的話，可以將不需要的功能表項目從“開始”菜單中刪除。在組策略右側邊窗格中，提供了“從開始菜單刪除使用者檔案夾”、“刪除到‘Windows Update’的訪問和連結”、“從開始菜單刪除公用程式組”、“從開始菜單中刪除‘我的文件’表徵圖”等多種組策略設定項目。你只要將不需要的功能表項目所對應的策略啟用即可。

2．保護好“工作列”和“開始”菜單（Windows 2000/XP/2003）

如果你不想隨意讓他人更改“工作列”和“開始”菜單的設定，你只要將組策略控制台右側邊窗格中的“阻止更改‘工作列和開始菜單’設定”和“阻止訪問工作列的操作功能表”兩個策略項啟用即可。這樣，當你用滑鼠右鍵單擊工作列並單擊“屬性”時，系統會出現一個錯誤訊息，且當滑鼠右鍵單擊工作列及工作列上的項目時，例如[開始] 按鈕、時鐘和“工作列”按鈕，快顯功能表會隱藏。

3．禁止“登出”和“關機”（Windows 2000/XP/2003）

當電腦啟動以後，如果你不希望這個使用者再進行“關機”和“登出”操作，那麼可將組策略控制台右側邊窗格中的“刪除開始菜單上的‘登出’”和“刪除和阻止訪問‘關機’命令”兩個策略啟用。

這個設定會從開始菜單刪除“關機”選項，並禁用“Windows 工作管理員”對話方塊按“Ctrl+Alt+Del”會出現這個對話方塊中的“關機”選項 。另外需要注意的是，此設定雖然可防止使用者用 Windows介面來關機，但無法防止使用者用其他第三方工具程式來將 Windows 關閉。

提示：如果啟用了“刪除開始菜單上的‘登出’”，則會從“開始菜單選項”刪除“顯示登出”項目。使用者無法將“登出<使用者名稱>”項目還原到開始菜單（只能通過手工修改註冊表的方法）。這個設定隻影響開始菜單，它不影響 “Windows 工作管理員”對話方塊上的“登出”項目（因此需要同時啟用“刪除和阻止訪問‘關機’命令”），而且不妨礙使用者用其它方法登出。

4．利用組策略保護個人文檔隱私（Windows 2000/XP/2003）

Windows有個進階智能功能，即可以記錄你曾經訪問過的檔案。雖然這個功能可以方便使用者再次開啟該檔案，但出於安全和效能的考慮（例如不想讓人知道自己瀏覽過哪些網頁和開啟過哪些檔案），有時需要屏蔽此功能。利用組策略，只要在右側邊窗格中將“不要保留最近開啟文檔的記錄”和“退出時清除最近開啟的文檔的記錄”兩個策略啟用即可。

另外需要注意的是，如果啟用此原則設定但不啟用“從開始菜單中刪除文檔菜單”原則設定，“文檔”菜單還會出現在“開始”菜單上，但是該菜單為空白菜單。如果啟用此原則設定，後來又禁用它並將它設定為“未配置”，則啟用原則設定之前儲存的文檔捷徑會重新出現在“文檔”菜單和應用程式的[檔案] 功能表中。

六、IE設定手到擒來

微軟的Internet Explorer讓我們可以輕鬆地在互連網上遨遊，但要想用好Internet Explorer，則必須將它配置好。在IE瀏覽器的“Internet選項”視窗中，提供了比較全面的設定選項（例如：“首頁”、“臨時檔案夾”、“安全層級”和“分級審查”等項目），但部分進階功能沒有提供，而通過組策略即可輕鬆實現這些功能。下面來看具體執行個體：

位置：“組策略控制台→使用者配置→系統管理範本→Windows 組件→Internet Explorer（需添加inetres.adm模板檔案）”

1．禁用“在新視窗中開啟”功能表項目（Windows 2000/XP/2003）

出於對安全的考慮，有時候我們有必要屏蔽IE的一些功能菜單，組策略提供了豐富的設定項目，比如禁用“另存新檔...”、“檔案”、“建立”等。下面以“禁用‘在新視窗中開啟’功能表項目”為例介紹具體的設定方法。

開啟“組策略控制台→使用者配置→系統管理範本→Windows 組件→Internet Explorer→瀏覽器菜單”，然後開啟“禁用‘在新視窗中開啟’功能表項目”並設定為“啟用”。啟用該策略後，使用者在某個連結上單擊滑鼠右鍵，然後單擊“在新視窗中開啟”時，該命令將不起作用。該策略可與“‘檔案’菜單禁用‘建立’功能表項目”一起使用，後者禁止使用者通過單擊[檔案] 功能表，指向“建立”，然後單擊“視窗”在新視窗中開啟瀏覽器。

提示：啟用該策略後，單擊“在新視窗中開啟”命令，將無法在新視窗中開啟連結，系統會提示使用者該命令無效，網頁自動開啟的視窗也全部被禁止，其實這樣也可達到屏蔽彈出廣告視窗的效果。

2．限制IE瀏覽器的儲存功能（Windows 2000/XP/2003）

在使用IE瀏覽網頁過程中，當遇到好的圖片、文章等資源時可以使用“另存新檔”功能將它儲存到本地硬碟中，當多人共用一台電腦時，為了保持硬碟的整潔，需要對瀏覽器的儲存功能進行限制。那麼如何才能實現呢?可以這樣操作：開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Internet Explorer→瀏覽器菜單”，然後將右側邊窗格中的“‘檔案’菜單：禁用‘另存新檔...’功能表項目”、“‘檔案’菜單：禁用另存新檔網頁功能表項目”、“‘查看’菜單：禁用‘源檔案’功能表項目”和“禁用操作功能表”等策略項目全部啟用即可。

如果不希望別人對IE瀏覽器的設定隨意更改，可以將“‘工具’菜單：禁用‘Internet選項...’”策略啟用。另外，根據個人的需要，在該窗格中還可以禁用其他項目。

3．禁用“Internet 選項”控制台（Windows 2000/XP/2003）

上面提到了“禁用Internet選項”的功能，使用該功能可以達到阻止別人對IE隨便設定的目的。而這種方法無法具體禁用Internet選項中的控制模板項目，因此給具體應用帶來麻煩。通過下面的組原則設定方法，則可以實現這一要求：

開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Internet Explorer→Internet 控制台”，在右邊窗格中我們可以看到“禁用常規頁”、“禁用安全頁”等組策略項目。下面以“禁用常規頁”為例進行說明：開啟右邊窗格中的“禁用常規頁”並設定為“啟用”。然後我們再開啟Internet選項控制台，會發現“常規”項目已經沒有了，這樣一來使用者將無法看到和更改首頁、緩衝、記錄、網頁外觀以及協助工具功能的設定，因為該策略將刪除介面上的“常規”選項卡，所以如果設定了該策略，則無須設定位於 “使用者配置→系統管理範本→Windows 組件→Internet Explorer”中的諸如“禁用更改首頁設定”、“禁用更改顏色設定”等策略。

4．禁止修改IE瀏覽器的首頁（Windows 2000/XP/2003）

如果不希望他人對自己設定的IE瀏覽器首頁進行隨意更改的話，可以開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Internet Explorer→工具列”，然後選擇“禁用更改首頁設定”組策略並啟用即可。另外在這個窗格中，還提供了“更改記錄設定”、“更改顏色設定”和“更改Internet臨時檔案設定”等項目的禁用功能。

啟用此策略後，在IE瀏覽器的“Internet 選項”對話方塊中，其“常規”選項卡的“首頁”地區的設定將變灰。

提示：如果設定了位於“組策略控制台→使用者配置→系統管理範本→Windows組件→Internet Explorer→Internet Explorer控制台”中的“禁用常規頁”策略，則無須設定該策略，因為“禁用常規頁”策略將刪除介面上的“常規”選項卡。

5．自訂IE工具列（Windows 2000/XP/2003）

IE工具列的背景和上面的按鈕都是可以自訂的，以前我們大多使用手動修改註冊表的方法，不過並不直觀，現在我們用“組策略”可以更方便地達到效果，打造屬於我們自己的IE。

開啟“組策略控制台→使用者配置→Windows設定→Internet Explorer維護→瀏覽器使用者介面”下的“瀏覽器工具列按鈕自訂”策略設定項目，在這裡，可以自訂瀏覽器工具列的背景圖片，點擊“瀏覽”選擇一個BMP的位元影像檔案即可（注意：工具列背景應該與工具列大小相同，而亮度應該足以顯示黑色文字，否則實際效果並不理想）。

接下來，我們要在IE的工具列上添加自己的捷徑，比如添加“我的QQ”，在這裡也可以很輕鬆地完成。

點擊“添加”，在“工具列標題”中輸人“我的QQ”，在“工具列操作”中選擇QQ程式的路徑，最後再選擇好“顏色表徵圖”和“灰階表徵圖”的路徑（如果你不知道怎麼提取這兩個表徵圖，可以請EXeScope這個軟體來幫忙，在各大網站都可以下載）。設定完成後點“確定”，再次開啟IE後就可以看到修改的效果了。

七、輕鬆實現Windows進階功能

1．設定並鎖定Windows Media Player外觀（Windows 2000/XP/2003）

Windows Media Player是目前最流行的多媒體播放器之一，如果不希望其他使用者隨意更改其介面外觀的話，利用組策略可以輕鬆實現。開啟“組策略控制台→使用者配置→系統管理範本→Windows 組件→Windows Media Player→使用者介面中的設定並鎖定外觀”啟用此策略。

啟用此策略後，將使 Windows Media Player 只以指定的面板模式顯示，具體可以使用在“策略”選項卡上的“外觀”框中指定的外觀。你必須為外觀使用完整的檔案名稱例如miniplayer.wmz。如果面板檔案在使用者的電腦上沒有安裝，播放器將以Windows Media Player外觀開啟。

提示：本原則設定軟體版本至少為Windows Media Player v8.00，ADM檔案為wmplayer.adm。

2．禁止Windows Media Player播放時運行屏保（Windows 2000/XP/2003）

螢幕保護裝置程式可以有效地保護我們的顯示器，但是當我們使用播放器觀看精彩影片時，經常會出現螢幕保護裝置程式突然運行而中斷觀看的尷尬局面。現在我們可以通過組策略來解決螢幕保護裝置程式使Windows Media Player播放中斷的麻煩問題了。開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Windows Media Player→播放中的允許運行螢幕保護裝置程式”並將它設定為“已禁用”狀態。

3．最佳化配置Windows Media Player網路緩衝（Windows 2000/XP/2003）

當我們使用Windows Media Player播放流式媒體時，播放器會在播放前對流式媒體進行緩衝處理，以便可以流暢地進行播放。在實際應用中，根據網路頻寬和伺服器的連線速度，緩衝的時間長短並不一樣，但Windows Media Player卻是在使用同一設定，這無疑與實際網路情況不匹配，因此我們可以根據具體的網路頻寬情況自己最佳化配置網路緩衝。開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Windows Media Player→網路中的配置網路緩衝”並設定為啟用狀態，在出現的緩衝時間（秒數）配置選項中，根據網路的頻寬情況進行自訂（最多 60 秒）。

提示：如果此策略已啟用，那麼Windows Media Player“效能”選項卡上的緩衝選項將不能再配置。

4．屏蔽使用所有 Windows Update 功能的訪問（Windows 2000/XP/2003）

Windows Update可以自動連接Microsoft網站並下載更新內容，這對大部分使用者來說是比較實用的，但對於不需要更新或者頻寬緊張的電腦使用者來說，此功能就顯得多餘了，而且經常傳聞Windows Update會將電腦使用者資訊“秘密”發往Microsoft，因此也可以屏蔽這一“智能”進階功能。開啟“組策略控制台→使用者配置→系統管理範本→Windows 組件→Windows Update”中的“刪除使用所有 Windows Update 功能的訪問”組策略並啟用此策略。

提示：如果你啟用此設定，所有 Windows Update功能（其中包括阻止訪問Windows Update網站http//windowsupdate.microsoft.com、開始菜單上的 Windows Update的超連結和Internet資源管理員上的工具菜單）將被刪除。Windows自動更新也被禁用，你將不會收到有關更新的通知，也不會接到Windows Update的重要更新。此設定還會阻止裝置管理員自動從Windows Update網站下載安裝驅動程式的更新。

5．在Windows XP/2003中實現遠程關機（Windows XP/2003）

在Windows XP/2003中，新增了一條命令列工具“shutdown”，它可以關閉或重新啟動本地或遠端電腦。利用它，我們不但可以登出使用者、關閉或重新啟動電腦，還可以實現定時關機、遠程關機。該命令的文法格式如下：

shutdown [-i |-l|-s |-r |-a][-f][-m[\\ComputerName]][-t xx][-c ″message″][-d[u][p]:xx:yy]

該命令具體的使用參數和技巧請參考Windows的協助系統，協助系統裡面有全面的資料。我們現在簡單地看一下該命令的一些基本用法：

1）登出目前使用者

shutdown - l

該命令只能登出本機使用者，對遠端電腦不適用。

2）關閉本機電腦

shutdown - s

3）重啟本機電腦

shutdown - r

4）定時關機

shutdown - s -t 30

指定在30秒之後自動關閉電腦。

5）中止電腦的關閉。有時我們設定了電腦定時關機後，如果出於某種原因又想取消這次關機操作，就可以用shutdown - a來中止。

在該命令的格式中，有一個參數[-m [\\ComputerName]，用它可以指定將要關閉或重啟的電腦名稱，若省略的話則預設為對本機操作。你可以用以下命令來試一下：

shutdown -s -m \\Anyes-solon -t 30

在30秒內關閉電腦名稱為Anyes-solon（Anyes-solon為區域網路內一台同樣裝有Windows XP/2003）的電腦。

該命令執行後，電腦Anyes-solon一點反應都沒有，螢幕上卻提示“Access is denied （拒絕訪問）”。

出現這種情況是因為Windows XP預設的安全性原則中，只有Administrator 群組的使用者才有權從遠端關閉電腦，而一般情況下我們從區域網路內的其他電腦訪問該電腦時，則只有guest使用者權限，所以當我們執行上述命令時，便會出現“拒絕訪問”的情況。

而我們利用組策略即可賦予guest使用者遠程關機的許可權。開啟“組策略控制台→電腦配置→Windows 設定→安全設定→本地策略→使用者權利指派中的從遠端系統強制關機”，在彈出的對話方塊中顯示目前只有“Administrators”組的成員才有權從遠程關機；單擊對話方塊下方的“添加使用者或組”按鈕，然後在新彈出的對話方塊中輸入“guest”，再單擊“確定”按鈕。

通過上述操作後，我們便給電腦Anyes-solon的guest使用者授予了遠程關機的許可權。以後，倘若你要遠程關閉電腦Anyes-solon，只要在網路中其他裝有Windows XP/2003的電腦中輸入以下命令shutdown -s -m \\Anyes-solon -t 60即可。

這時，在Anyes-solon電腦的螢幕上將顯示一個“系統關機”的對話方塊，在對話方塊下方還有一個計時器，顯示離關機還有多少時間。在等待關機的時間裡，使用者還可以執行其他的任務，如關閉程式、開啟檔案等，但無法關閉該對話方塊，除非你用shutdown -a命令來中止關機任務。

八、用組策略提升系統效能

1．讓Windows 的上網速率提升20%（Windows XP/2003）

預設情況下，Windows網路連接資料包發送器將系統限制在80%的串連頻寬之內，這對頻寬較小的網路來說，無疑是筆不小的開支。我們可以通過組原則設定來替代預設值，讓我們的上網速率提高20%!

開啟“組策略控制台→電腦配置→系統管理範本→網路”中的“QoS資料包發送器”並啟用此策略，然後使用下面“頻寬節流設定”框來調整系統可保留的頻寬比例，將它設定為0%即可，然後按確定退出，之後我們就可以使用另外20%的頻寬了。

2．關閉縮圖的緩衝（Windows XP/2003）

Windows XP/20003系統具有縮圖視圖功能，且為了加快那些被頻繁瀏覽的縮圖顯示速度，系統會將這些被顯示過的圖片進行緩衝，以便下次開啟時直接讀取緩衝中的資訊，從而達到快速顯示的目的。但如果我們不希望系統進行緩衝的話（比如只瀏覽一次的圖片），則可以利用組策略關閉縮圖緩衝的功能，這樣第一次瀏覽速度反而會大大加快（因為不進行緩衝處理）。

開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Windows資源管理員”中的“關閉縮圖的緩衝”並啟用此策略。

3．屏蔽系統內建的CD燒錄功能（Windows XP/2003）

Windows XP/2003系統內建CD燒錄功能，如果你有CD燒錄機接在電腦上，Windows 資源管理員允許你製作並修改可重寫式CD。但這樣無疑會影響系統效能和資源管理員的執行速度，因此我們可以利用組策略來屏蔽此功能（大部分使用者都使用專用的CD燒錄軟體）。

開啟“組策略控制台→使用者配置→系統管理範本→網路→”中的“刪除CD燒錄功能”並啟用此策略。

4．關閉系統還原功能（Windows XP/2003）

系統還原是Windows XP/2003中整合的強大功能，它在系統啟動並執行同時，備份那些被更改的檔案和資料，如果出現問題，系統還原使使用者能夠在不丟失個人資料檔案的情況下，將電腦還原到以前的狀態。預設情況下，系統還原處於開啟狀態。

但為這一功能付出的代價也是相當大的，系統效能會明顯下降，磁碟空間也會被佔用很多。對於配置不高的電腦來說，強烈建議關閉此功能。

開啟“組策略控制台→電腦配置→系統管理範本→系統→系統還原”中的“關閉系統還原”並啟用此策略。啟用此設定後即可關閉系統還原功能，並且不能訪問“系統還原嚮導”和“配置介面”。

5．禁止Windows Messenger自動運行（Windows XP/2003）

在Windows系統中整合的優秀應用軟體越來越多，但這些系統內建的軟體都沒有卸載選項，引起很多電腦使用者的不滿。比如Windows XP內建的Windows Messenger，不但卸載不方便而且還隨系統一起自動運行。對於不上網的電腦使用者或者根本就不用Windows Messenger的使用者來說，當然要屏蔽此軟體的自動運行功能。

開啟“組策略控制台→電腦配置→系統管理範本→Windows組件→Windows Messenger”中的“不允許運行Windows Messenger ”並啟用此策略。

提示：這個設定出現在“電腦配置”和“使用者配置”檔案夾中。如果兩個設定都配置，“電腦配置”中的設定比“使用者配置”中的設定優先。

九、用組策略打造系統銅牆鐵壁級功能

1．隱藏“我的電腦”中指定的磁碟機（Windows XP/2003）

此組策略可以從“我的電腦”和“Windows 資源管理員”上刪除代表所選硬體磁碟機的表徵圖。並且磁碟機代號代表的所有磁碟機不出現在標準的開啟對話方塊上。

開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Windows資源管理員”中的“隱藏‘我的電腦’中的這些指定的磁碟機”並啟用此策略，並在下面列表框中選擇一個磁碟機或幾個磁碟機。

提示：這項策略只刪除磁碟機表徵圖。使用者仍可通過使用其它方式繼續訪問磁碟機的內容。同時這項策略不會防止使用者使用程式訪問這些磁碟機或其內容。並且也不會防止使用者使用磁碟管理隨插即用來查看並更改磁碟機特性。

2．防止從“我的電腦”訪問磁碟機（Windows 2000/XP/2003）

此策略讓使用者無法查看在“我的電腦”或“Windows 資源管理員”中所選磁碟機的內容。同時它也禁止使用運行對話方塊、鏡像網路磁碟機對話方塊或Dir命令查看在這些磁碟機上的目錄。

開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Windows資源管理員”中的“防止從‘我的電腦’訪問磁碟機”並啟用此策略，並在下面列表框中選擇一個磁碟機或幾個磁碟機。

提示：這些代表指定磁碟機的表徵圖仍舊會出現在“我的電腦”中，但是如果使用者雙擊表徵圖，會出現一條訊息解釋設定防止這一操作。同時這些設定不會防止使用者使用其它程式訪問本地和網路磁碟機。並且不防止他們使用磁碟管理隨插即用查看和更改磁碟機特性。

3．禁止使用命令提示字元（Windows 2000/XP/2003）

在Windows 2000/XP/2003下，我們可以運行cmd.exe進入命令提示字元狀態，並可以繼續運行一些DOS命令和其他命令列程式。出於對安全的考慮，有些系統應該屏蔽此功能。

開啟“組策略控制台→使用者配置→系統管理範本→系統”中的“阻止訪問命令提示字元”並啟用此策略，並在下面列表框中選擇是否“也停用命令提示字元指令碼處理”，這個設定還決定批次檔 .cmd和.bat是否可以在電腦上運行。

如果啟用這個設定，在使用者試圖開啟命令視窗時，系統會顯示一條訊息，解釋設定阻止這一操作。

4．禁止更改顯示內容（Windows 2000/XP/2003）

選擇“控制台”中的“顯示”或在Windows案頭的空白處單擊右鍵選擇“屬性”，可進入“顯示設定”對話方塊，可以對桌面主題、案頭背景、屏保程式、顯示設定等各項進行設定，如果你不想讓別人隨意更改各項設定，可以通過組策略將它隱藏起來。

開啟“組策略控制台→使用者配置→系統管理範本→控制台→顯示”，然後可以看到隱藏案頭選項卡、隱藏主題選項卡、隱藏保護程式選項卡、隱藏設定選項卡等策略配置，可根據需要對這些項目進行配置。比如啟用了“隱藏‘案頭’選項卡”策略後，再開啟“顯示內容”對話方塊，就看不到“案頭”標籤了，這樣自然就無法再對案頭屬性變更了。

5．禁用登錄編輯程式（Windows 2000/XP/2003）

為了防止他人進入電腦後對註冊表檔案進行修改，可以在組策略中對登錄編輯程式做禁止訪問設定。具體操作方法：開啟“組策略控制台→使用者配置→系統”中的“阻止訪問註冊表編輯工具”並啟用此策略。

此策略被啟用後，使用者試圖啟動登錄編輯程式（Regedit.exe 及 Regedt32.exe）的時候，系統會禁止這類操作並彈出警告訊息。

6．徹底禁止訪問“控制台”（Windows 2000/XP/2003）

如果不希望其他使用者訪問電腦的“控制台”，同樣可以使用組策略來實現。開啟“組策略控制台→使用者配置→系統管理範本→擴充面板”中的“禁止存取控制面板”並啟用此策略。

此策略啟用後可以防止“控制台”程式檔案（Control.exe）的啟動。他人將無法啟動“控制台”（或運行任何“控制台”項目）。另外，這個設定將從“開始”菜單中刪除“控制台”。同時這個設定還從“Windows資源管理員”中刪除“控制台”檔案夾。

7．禁止建立新的撥號連線（Windows 2000/XP/2003）

如果不想讓別人在電腦中建立新串連來撥接的話，組策略也可以做到。開啟“組策略控制台→使用者配置→系統管理範本→網路→網路連接”中的“禁止訪問新增連線精靈 (NCW)”並啟用此策略。

啟用此策略後，在“網路連接”檔案夾和“開始菜單”中就不會出現“建立新串連”。

提示：此設定無法阻止使用者使用諸如 Internet Explorer 這樣的其它程式來繞過此設定。另外此設定必須重新啟動電腦後才會生效。

8．禁用“添加/刪除程式”（Windows 2000/XP/2003）

“控制台”中“添加或刪除程式”項目允許你安裝、卸載、修複並添加和刪除 Windows 的功能和組件以及種類很多的 Windows 程式。如果你想阻止其他使用者安裝或卸載程式，可利用組策略來實現。

開啟“組策略控制台→使用者配置→系統管理範本→控制台→添加→刪除程式”中的“刪除‘添加/刪除程式’程式”並啟用此策略，當我們再開啟“控制台”中“添加/刪除程式”模組的時候，會自動彈出警告視窗，而“添加/刪除程式”則無法運行。

此外，在“添加/刪除程式”分支中還可以對Windows“添加/刪除程式”項中的“添加新程式”、“從CD-ROM或磁碟片添加程式”、“從Microsoft添加程式”、“從網路添加程式”等項進行隱藏，通過這些策略項目的設定，起到了保護電腦中系統檔案及應用程式的作用。

9．限制使用應用程式（Windows 2000/XP/2003）

如果你的電腦設定了多個使用者，有些程式我們可能不希望其他使用者隨意運行，也能在組策略中設定。

開啟“組策略控制台→使用者配置→系統管理範本→系統”中的“只運行許可的Windows應用程式”並啟用此策略，然後點擊下面的“允許的應用程式列表”邊的“顯示”按鈕，彈出一個“顯示內容”對話方塊，在此單擊“添加”按鈕來添加允許啟動並執行應用程式即可。以後一般使用者只能運行“允許的應用程式列表”中的程式。