策略组禁止软件安装

策略组禁止软件安装

LG GROUP system office room 【LGA16H-LGYY-LGUA8Q8-LGA162】

策略组禁止软件安装

策略可是好东西,禁止软件安装

开始——运行：——“组策略”、“计算机配置”、“管理模板”、“Windows组件”、“Windows Installer”中选择1)

“禁用Windows Installer”、(已经启用)

2) “禁止用户安装” (已经启用)

组策略可是好东西

你可以通过自己编写规则来最大限度阻止病毒运行,相当于一层防火墙.

举例来说说吧

U盘病毒盛行,你可用I:\.exe和I:\来阻止其运行,很不错吧

还有一些简单规则最有效抗病毒\

这种险恶的双面病毒,一下就隔离了,呵呵.还有隐私地方,回收站,系统还原文件夹保护好了,就算中毒了,也没事!

级别：学者

2月12日 20:00 在Windows XP中只有管理员登陆才能安装软件，如果是从客户登陆就不能安装，其他的功能几乎一样。

你在自己的机子上就开放Client用户，给别人使用然后自己使用管理员登陆。这样就可以禁止他人在你的机子上安装软件，当然对自己是没有限制的

Windows XP 客户端的软件限制策略 :

1、运行组策略管理模板---Windows组件----Windows Installer---禁止用户安装--属性---已启用---禁止用户安装

2、右击我的电脑--管理（或者打开管理工具里的服务也行）---服务---Windows Instaaler--改成禁用---就行了。也可以用Winlock来设置

降低权限为user即可

-----------------------------------------

内置管理员帐号是不可以降级的。只可以禁用。组策略中没有这样的设置，可以结合楼上的说法，禁用内置管理员帐号，给用户普通用户权限

-------------------------------------------

Windows XP组策略 & 应用组策略限制垃圾软件的安装和运行

一、组策略的基本知识

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。

本文重点介绍的是Windows XP Professional的本地组策略的应用。组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到 HKEY_CURRENT_USER相关项中。

访问本地组策略的方法有两种：第一种方法是命令行方式；第二种方法是通过在MMC 控制台中选择GPE插件来实现的。

1、组策略编辑器的命令行启动

您只需单击选择“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。（注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“”。）

在打开的组策略窗口中（如图1所示），可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。另外，您或许已经注意到，左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成，并且这两者中的部分项目是重复的，如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢？这里的“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。例如，二者都提供了“停用自动播放”功能的设置，如果是在“计算机配置”中选择了该功能，那么所有用户的光盘自动运行功能都会失效；如果是在“用户配置”中选择了此项功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。设置时需注意这一点。

2、将组策略作为独立的MMC管理单元打开

若要在MMC控制台中通过选择GPE插件来打开组策略编辑器，具体方法如下：

（1）单击选择“开始”→“运行”命令，在弹出的对话框中键入“mmc”，然后单击“确定”按扭。打开Microsoft管理控制台窗口。

（2）选择“文件”菜单下的“添加/删除管理单元”命令。

（3）在“添加/删除管理单元”窗口的“独立”选项卡中，单击“添加”按扭。

（4）弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”选项，单击“添加”按钮。

（5）由于是将组策略应用到本地计算机中，故在“选择组策略对象”对话框中，单击“本地计算机”，编辑本地计算机对象，或通过单击“浏览”按扭查找所需的组策略对象。

（6）单击“完成”→“关闭”→“确定”按扭，组策略管理单元即可打开要编辑的组策略对象。

特别提示：倘若您希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请在“选择组策略对象”对话框中选中“允许在从命令行启动时更改组策略管理单元的焦点”复选框。

二、“任务栏”和“开始”菜单相关选项的删除和禁用

在“‘本地计算机’策略”中，逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支，在右侧窗格中，提供了“任务栏”和“开始菜单”的有关策略。如图4所示。

1、给“开始”菜单瘦瘦身

如果您觉得Windows XP的“开始”菜单太臃肿的话，可以将不需要的菜单项从“开始”菜单中删除。在右侧窗格中，提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“ 文档”菜单、“网络连接”、“收藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的音乐”图标和“网上邻居”图标等策略。您只要将不需要的菜单项所对应的策略启用即可。现在以删除“我的文档”图标为例，具体操作步骤为：

（1）在策略列表窗格中用鼠标双击“从「开始」菜单中删除‘我的文档’图标”设置选项。

（2）在弹出窗口的“设置”选项卡中，选择“已启用”单选按扭，然后单击“确定”按扭即可。

2、保护好你的个人隐私

出于某种安全的需要，例如不想让人知道自己浏览过哪些网页和打开过哪些文件，您只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。

3、保护好“任务栏”和“开始”菜单的设置

倘若您不想随意让他人更改“任务栏”和“开始”菜单的设置，您只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样，当您用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，提示信息是某个设置禁止了这个操作。

4、禁止“注销”和关机

当计算机启动以后，倘若您不希望这个用户再进行关机和注销操作，那么必须将右侧窗格中的“删除「开始」菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。

提示：倘若您在“开始”菜单上删除了“注销”，“注销<用户名>”项目就不会出现在“开始”菜单。这个设置还从“‘开始’菜单选项”删除“显示注销”项目。结果是，您无法将“注销<用户名>”项目还原到“开始”菜单。

三、桌面相关选项的删除和禁用

Windows XP的桌面就像你的办公桌一样，有时需要进行整理和清洁，有了组策略编辑器，这项工作将变得易如反掌，您只要在“‘本地计算机’策略”中，逐级展开“用户配置”→“管理模板”→“桌面”分支，即可在右侧窗格中显示相应的策略选项。

1、隐藏桌面的系统图标

倘若隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的风险性，采用组策略编辑器，即可方便快捷地达到此目的。

若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

2、禁止对桌面的某些更改

如果您不希望别人随意改变计算机桌面的设置，请在右侧窗格中将“退出时不保存设置”这个策略选项启用。当您启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。

四、禁止访问“控制面板”

如果您不希望其他用户访问计算机的“控制面板”，您只要运行组策略编辑器（），在左侧窗格中逐极展开“‘本地计算机’策略”→“用户配置”→“管理模板”→“控制面板”分支，然后将右侧窗格的“禁止访问控制面板”策略启用即可。

此项设置可以防止“控制面板”程序文件（）的启动。其结果是，他人将无法启动“控制面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从 Windows 资源管理器中删除“控制面板”文件夹。

特别提示：如果您想从上下文菜单的属性项目中选择一个“控制面板”项目，会出现一个消息，说明该设置防止这个操作。

五、防止用户使用“添加或删除程序”

在“控制面板”中，“添加或删除程序”项目允许您安装、卸载、修复并添加和删除Windows XP 的功能和组件以及种类很广的 Windows 程序。发行或分配给用户的程序将出现在“添加或删除程序”中。倘若您阻止其他用户安装和卸载程序，请在“‘本地计算机’策略”→“用户配置”→“管理模板”→“控制面板”分支的右侧窗格中启用“删除‘添加/删除程序’程序”策略选项。

启用这个设置将从“控制面板”删除“添加或删除程序”并从菜单删除“添加或删除程序”项目；这个设置不防止用户用其他工具和方法安装或卸载程序。

六、在Windows Xp中设置用户权限

当多人共用一台计算机时，在Windows XP中设置用户权限，可以按照以下步骤进行：

1、运行组策略编辑器程序（）。

2、在编辑器窗口的左侧窗格中逐级展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限指派”分支。

3、双击需要改变的用户权限。单击“增加”，然后双击想指派给权限的用户帐号。连续两次单击“确定”按扭。

七、在Windows XP中实现远程关机

在Windows XP中，新增了一条命令行工具“shutdown”，其作用是“关闭或重新启动本地或远程计算机”。利用它，我们不但可以注销用户，关闭或重新启动计算机，还可以实现定时关机、远程关机。

该命令的语法格式如下：

shutdown [-i |-l|-s |-r |-a] [-f] [-m [\\ComputerName]] [-t xx] [-c "message"] [-d（u）[p]:xx:yy]

【上面的（）实为[]，由于和帖子语法重复故改为（）】

其中，各参数的含义为：

-i 显示图形界面的对话框。

-l 注销当前用户，这是默认设置。

-m ComputerName优先。

-s 关闭计算机。

-r 关闭之后重新启动。

-a 中止关闭。除了-l 和ComputerName 外，系统将忽略其它参数。在超时期间，您只可以使用-a。

-f 强制运行要关闭的应用程序。

-m [\\ComputerName] 指定要关闭的计算机。

-t xx 将用于系统关闭的定时器设置为 xx 秒。默认值是20秒。

-c "message" 指定将在“系统关闭”窗口中的“消息”区域显示的消息。最多可以使用127 个字符。引号中必须包含消息。

-d （u）[p]:xx:yy 列出系统关闭的原因代码。

【上面的（）实为[]，由于和帖子语法重复故改为（）】

首先，我们来看一下该命令的一些基本用法：

1、注销当前用户

shutdown - l

该命令只能注销本机用户，对远程计算机不适用。

2、关闭本地计算机

shutdown - s

3、重启本地计算机

shutdown - r

4、定时关机

shutdown - s -t 30

指定在30秒之后自动关闭计算机。

5、中止计算机的关闭

有时我们设定了计算机定时关机后，如果出于某种原因又想取消这次关机操作，就可以用 shutdown - a 来中止。如：

shutdown -s – t 300 设定计算机在5分钟后关闭。

Shutdown – a 取消上述关机操作。

以上是shutdown命令在本机中的一些基本应用。前面我们已经介绍过，该命令除了关闭、重启本地计算机外，更重要的是它还能对远程计算机进行操作，但是如何才能实现呢？

在该命令的格式中，有一个参数[-m [\\ComputerName]，用它可以指定将要关闭或重启的计算机名称，省略的话则默认为对本机操作。您可以用以下命令来试一下：

shutdown –s –m \\sunbird -t 30

在30秒内关闭计算机名为sunbird的机器；注：sunbird为局域网内一台同样装有Windows XP的电脑。

但该命令执行后，计算机sunbird一点反应都没有，但屏幕上却提示“Access is denied （拒绝访问）”。

为什么会出现这种情况呢？原来在Windows XP默认的安全策略中，只有管理员组的用户才有权从远端关闭计算机，而一般情况下我们从局域网内的其他电脑来访问该计算机时，则只有guest用户权限，所以当我们执行上述命令时，便会出现“拒绝访问”的情况。

找到了问题的根源之后，解决的办法也很简单，您只要在客户计算机（能够被远程关闭的计算机，如上述的sunbird）中赋予guest用户远程关机的权限即可。这可利用Windows XP的“组策略”或“管理工具”中的“本地安全策略”来实现。下面以“组策略”为例进行介绍：

1、单击“开始”按钮，选择“运行”，在对话框中输入“”，然后单击“确定”，即可打开组策略编辑器。

2、在“组策略”窗口的左侧窗格中逐级展开“计算机配置”→“Windows 设

置”→“安全设置”→“本地策略”→“用户权利指派”。

3、在“组策略”窗口的右侧窗格中选择“从远端系统强制关机”，通过双击将其打开。

4、在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机；单击对话框下方的“添加用户或组”按钮，然后在新弹出的对话框中输入“guest”，再单击“确定”按扭。

5、这时在“从远端系统强制关机”的属性中便添加了一个“guest”用户，单击“确定”即可。

6、关闭“组策略”窗口。

通过上述操作后，我们便给计算机sunbird的guest用户授予了远程关机的权限。以后，倘若您要远程关闭计算机sunbird，只要在网络中其他装有Windows XP的计算机中输入以下命令即可：

shutdown -s –m \\sunbird -t 30 （其他参数用法同上）

这时，在sunbird计算机的屏幕上将显示一个“系统关机”的对话框，提示“系统即将关机。请保存所有正在运行的工作，然后注销。未保存的改动将会丢失。关机是由sunbird\guest初始的。”在对话框下方还有一个计时器，显示离关机还有多少时间。在等待关机的时间里，用户还可以执行其他的任务，如关闭程序、打开文件等，但无法关闭该对话框，除非你用shutdown –a命令来中止关机任务。

八、Windows 98访问Windows XP共享目录被拒绝的问题解决

在局域网内，经常可以遇到装有Windows 2000的电脑开了共享目录，而装有Windows 98的电脑却无法访问的问题。这个在微软的官方网页上可以找到答案，提示开启Windows 2000的GUEST用户就行了。可是Windows XP出来以后，同样的又面临这个问题，结果有些人发现这个方法不灵了，从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在这个问题本也困扰过我好几天，后来在无意中发现了问题的答案，也许这是Windows XP的一个BUG

在开启了系统Guest用户的情况下，运行组策略编辑器程序，在“本地计算机策略”→“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”→“拒绝从网络访问这台计算机”中赫然可以看到有Guest用户！如果在这里删除Guest用户，那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了。

环境：中文Windows XP，采用传统登录方式并且关闭了“文件夹选项”中的“使用简单文件共享”。

九、让Windows XP Professional的上网速率提升20%

1、首先必须以系统管理员身份登入系统。

2、运行组策略编辑器程序（）。在“‘本地计算机’策略”中，逐级展开“计算机配置”→“管理模板”→“网络”→“QoS数据包调度程序”分支。在屏幕右边会出现“QoS数据包调度程序”策略。接着单击右边子项目的“限制可保留带宽”。这时，左边

会显示“限制可保留带宽”的详细描述。从这里我们可了解到“限制可保留带宽”的一些基本情况。

了解之后我们就可以对“限制可保留带宽”进行设置了。单击“限制可保留带宽”下“显示”旁边的“属性”（或者选择子项目“限制可保留带宽”，再点击右键→“属性”也可），出现“限制可保留带宽”对话框，先点击“说明”，再进一步了解“限制可保留带宽”确定系统可保留的连接带宽的百分比情况。

之后我们就可以对另外20%带宽进入设置了。点击“设置”。“设置”为我们提供了三个选择（未配置、已启用、已禁用），选择“已启用”，接着再将带宽限制旁边的%设置为0%即可，然后按确定退出。

3、单击“开始”→“连接到”→“显示所有连接”。

选中你所建立的连接，用鼠标右键单击属性，在出现的连接属性中单击网络，在显示的网络对话框中，检查“此连接使用下列项目”中“QoS数据包调度程序”是否已打了勾，没问题就按确定退出。

4、最后重新启动系统便完成对另外20%的频宽利用了

十、禁止MSN Messenger自运行

在Windows XP Professional中，有许多系统内置的软件都没有卸载选项，引起很多电脑用户的不满。若要禁止Windows Messenger（以上版本）的自动运行。您只要在“组策略”程序窗口中。依次通过双击展开“计算机配置”→“管理模板”→“Windows组件”→“Windows Messenger”分支，再从右边的窗口上，双击“不允许运行Windows Messenger”，在弹出的“不允许运行Windows Messenger属性”对话框中点击“已启用”，再单击“确定“按扭退出即可。

十一、禁用IE6浏览器的相关设置、菜单项和工具栏

在IE浏览器的“Internet选项”窗口中，提供了比较全面的设置选项（例如：首页、临时文件夹、安全级别和分级审查等项目），这将极大方便我们网上冲浪。为了不使他人随意改变您对浏览器的设置以及对IE的某些功能限制使用，有必要将你的设置选项进行隐藏或禁止使用。过去在Windows 9x系统中，一般是通过修改注册表来实现的，不过这会对系统的安全性带来一定的风险。当您选择了Windows XP后，这种风险几乎降低到了零。现在就为您介绍一下如何利用Windows XP提供的组策略来进行设置IE6。

在组策略设置窗口的左侧窗格中，逐级展开“用户设置”→“管理模

板”→“Windows组件”→“Internet Explorer”分支，在其下面您会发现“Internet 控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件” 等策略选项。

1、限制IE浏览器的保存功能

当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢？具体方法为：选择“用户设置”→“管理模

板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”分支，然后将右侧窗格中的“‘文件’菜单：禁用‘另存为…’菜单项”、“‘文件’菜单：禁用另存为网页菜单项”、“‘ 查看’菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目启用即可。

另外，倘若您不希望别人对IE浏览器的设置进行随意更改，您只要将“‘工具’菜单：禁用‘Internet选项…’”策略启用即可。另外，根据您个人的需要，在该窗格中还可以对其他项目进行禁用。

2、给工具栏减肥

倘若您要隐藏工具栏中的工具按扭，具体方法是：选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”→“工具栏”分支，然后在右侧窗格中双击“配置工具栏按扭”策略，弹出“配置工具栏按扭属性”窗口，在“设置”选项卡中选择“已启用” 单选按扭，将列表中将要显示按扭名称前面的复选框打上勾选标记，若要隐藏某些按扭，则不要将其前面的复选框进行勾选。然后单击“确定”按扭即可。

3、禁止修改IE浏览器的主页

如果您不希望他人对自己设定的IE浏览器主页进行随意更改的话，您只要选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支，然后在右侧窗格中，将“禁用更改主页设置”策略启用即可。另外在这个窗格中，还提供了更改历史记录设置、更改颜色设置和更改 Internet临时文件设置等项目的禁用功能。

倘若启用了这个策略，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰。

特别提示：如果设置了位于“用户配置”→“管理模板”→“Windows 组

件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略，则无需设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。

4、用鼠标右键单击想要审核的文件（或文件夹）。选择快捷菜单的“属性”命令，然后在弹出的窗口中选择“安全”选项卡。

5、单击“高级”按扭，然后选择“审核”选项卡。

6、根据具体情况选择您的操作：

(1)倘若对一个新组（或用户）设置审核, 请单击“添加”按扭，在“名称”框中键入新用户名，然后单击“确定”按扭，将打开“审核项目”对话框。

(2)要查看（或更改）原有的组（或用户）审核, 选择用户名，然后单击“查看/编辑”按扭。

(3)要删除原有的组（或用户）审核, 选择用户名，然后单击“删除”按扭即可。

7、如有必要的话，在“审核项目”对话框中的“应用到”列表中选取您希望审核的地方（“应用到”列表仅对文件夹有效）。

8、如果您想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。

如果在“审核项目”对话框中的“访问”之下的复选框变暗，或在“访问控制设置”对话框中“删除”按钮不可用，那么说明已经继承了来自父文件夹的审核。

需要注意的是：必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前，您必须启用“组策略”中“审核策略”的“审核对象访问”。否则，当您设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核。通过事件查看器（Event Viewer）可以检查那些访问审核过的文件和文件夹的成功或失败的尝试。

十二、用组策略限制垃圾软件的安装和运行

现在LJ对爱机可谓是无孔不入，3721，YAHOO等等等

虽然用软件可以限制从IE进入，却阻止不了一些共享软件或恶意绑定软件的入侵！

但是系统自带的组策略却被大家忽略了……。

在运行处输入进入组策略。

步骤：

计算机配置——Windows 设置——安全设置——软件限制策略——（右键创建新的策略）——其它规则

。（在右边空白处右键）新散列规则——在文件散列处点击浏览需要限制的软件（安全级别默认是不允许）然后按确定就一切OK了。（现在3721 baidu yahoo cnnic 可以滚蛋了）前提条件是你的电脑上还没有安装需要限制的软件

对于被捆绑的软件在新散列规则的“文件信息”下有该文件的信息，只要确定保留一个项目为该程序绑定的，其它的去除就可以安全的安装该程序了，不用担心一些LJ软件回随着绑定的“套路”进入你的爱机

另外，该方法还可以阻止所有。EXE的程序运行，内网用户还可以添加网络剪刀手，网络执法官等有害程序。

只要该软件被限制，就算换了名子也无法安装在电脑上。

AD组策略规划禁用U盘

W i n d o w s组策略屏蔽U盘有妙法(图) Windows组策略屏蔽U盘有妙法(图) 笔者在一家区级法院网络中心工作，为确保局域网内的计算机安全，省高院要求全省联网的法院客户端的机器光软驱都要拆除，而且禁止在局域网内使用U 盘。我们知道，现在局域网中使用的操作系统绝大多数都是Windows系列，对于Windows 98说，做到这些并不难，因为U盘第一次使用时需要安装相应的驱动程序，拆除了光、软驱后，驱动无法安装，U盘也就无法使用，但对于Windows 2000、Windows XP来说，情况就不同了，用过U盘的人都知道这些操作系统不需要安 装驱动，U盘即插即用。 对于大多数用户来说，这的确很方便，但对于单位有要求的网管来说，就头疼了，现在新买的机器不能总是安装Windows 98吧，毕竟Windows 98就要“下岗”了，但面对U盘，却没有好的办法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不能放过一个”的办法，如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管自己用，哈哈！那有没有简单易行的办法呢？经过一段时间摸索和试验，笔者终于找到了使用修改组策略模板的方法实现此目标。

实现条件 当然这是有前提条件的，首先，您的局域网必须以域为架构（我们知道Windows 2000、Windows XP自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可以在全域实现管理目标，如果不采用域模式，您需要每台都要设置组策略，失去了效率，也就没有采用的必要了）。 其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server组策略对Windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对您以后的 网络管理带来不便。 特别说明：这里介绍的方法并不适用于Windows 98，只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件，我们就可以利用组策略屏蔽U盘，而对于其他USB设备却无任何影响，笔者在单位实施1年多来，效果很好，现将详细方法介绍出来，希望能给众多网管们提供 一点借鉴。 基本原理

Windows7使用组策略禁用移动存储设备

Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛，但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生，不过同时也意味着计算机将无法使用其他USB接口的设备，例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前，请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能，则可以按照以下步骤进行操作。 (1)单击“开始”按钮，在搜索框中输入“gpedit.msc”并按回车键，打开“本 地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安 装—设备安装限制”项，如图1所示。 图1 (3)双击右侧的相应策略，就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略，含义分别如下。 允许管理员忽略设备安装限制策略：这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略，那么不管其他 策略如何设置，都只能影响非管理员账户，而不能影响管理员账户。如 果禁用这条策略，或者保持未被配置的默认状态，那么管理员账户也将 受到其余几条策略的限制。

?允许使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略 用于设定允许安装的设备类型。简单来说，这条策略等于一个“白名单”，配合其他策略，就可以让Windows 7只安装设备类型在这条策略中批准过的设备，其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略 用于设定禁止安装的设备类型。简单来说，这条策略等于一个“黑名单”，所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息：这条策略用于决定当有设备被 禁止安装后，在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题：这条策略用于决定当 有设备被禁止安装后，在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备：这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备：这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时，等待强制重新启动的时间（以秒 为单位）：这条策略用于设置强制重新启动计算机前的倒计时，以便让策略生效。 ?禁止安装可移动设备：这条策略用于决定是否禁止安装任何可移动设备， 而且这条策略的优先级是最高的，只要启用了这条策略，那么不管其他允许策略是如何设置的，可移动设备都将无法被安装。

组策略禁用盘符

Windows 中有了组策略对象后，就有了下面这个让您隐藏指定的驱动器的选项：隐藏“我的电脑”中的这些指定的驱动器。但是，可能只需要隐藏某个驱动器而保留对其他驱动器的访问。 有七个默认的选项可用来限制对驱动器的访问。您可以通过修改默认域策略或任一个自定义组策略对象(GPO) 的System.adm 文件来添加其他限制。七个默认选项是： 仅限制驱动器A、B、C 和D 仅限制驱动器A、B 和C 仅限制驱动器A 和 B 限制所有驱动器 仅限制驱动器C 只限制D 驱动器 不限制驱动器 Microsoft 建议您不要更改System.adm 文件，而要创建一个新的.adm 文件并将此.adm 文件导入到GPO 中。原因是：如果您要对system.adm 文件应用更改，则当Microsoft 在Service Pack 中发布新版本的system.adm 文件时，这些更改可能会被覆盖。 “Implementing Registry-Based Group Policy”（实现基于注册表的组策略）这一白皮书介绍了如何编写自定义.ADM 文件。要查看此白皮书，请访问下面的Microsoft 网站：https://www.wendangku.net/doc/6016692765.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppape r.doc (https://www.wendangku.net/doc/6016692765.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppap er.doc) 默认域策略的System.adm 文件的默认位置是：%SystemRoot%\Sysvol\Sysvol\YourDomainName\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm 这些文件夹的内容会通过文件复制服务(FRS) 复制到整个域中。注意，Adm 文件夹及其内容直到默认域策略首次加载时才填充。 要为七个默认值之一更改此策略，请执行下面的操作步骤： 启动Microsoft 管理控制台。在“控制台”菜单上，单击添加/删除管理单元。 为默认域策略添加组策略管理单元。为此，在屏幕提示您选择组策略对象(GPO) 时，请单击浏览。默认GPO 是本地计算机。您也可以为其他的域分区（具体来说就是组织单位）添加GPO。 打开下面的区域：用户配置、管理模板、Windows 组件和Windows 资源管理器。 单击“隐藏‘我的电脑’中的这些指定的驱动器”。 单击以选中“隐藏‘我的电脑’中的这些指定的驱动器”复选框。 在下拉框中，单击相应的选项。 这些设置会从“我的电脑”、“Windows 资源管理器”和“网上邻居”中删除代表所选硬盘的图标。另外，这些驱动器不会出现在任何程序的打开对话框中。 此策略用于保护某些驱动器（包括软盘驱动器），防止它们被滥用。它也可以用于指引用户

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：

组策略彻底禁止USB存储设备

用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱 一、禁止USB存储设备、光驱、软驱、ZIP软驱 第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。 第二步：打开组策略管理，右键点击https://www.wendangku.net/doc/6016692765.html,→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。 第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。 第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。 添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。 第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个 “Custom Policy Settings”。 第六步：右键点击“管理模板”→“查看”→“筛选”。 在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾 再点击“确定”按钮返回“组策略编辑器”画面。 第七步：点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives” 第八步：例如我们要禁止USB接口（大家可以放心，虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备），右键点击“Disable USB”→点击“属性”，弹出“Disable USB”属性对话框。 我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。 注意：这里我要提醒的是，很多朋友可能在这里就把该策略点击“已启用”按钮后，然后用“GPupdate /force”来强行在客户端和DC上刷新策略，最后发现为什么策略已经启用了，就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为

如何禁用组策略及如何恢复

如何禁用组策略及如何恢复 以系统管理员的身份在组策略中禁止了“组策略管理单元”，（“用户配置”——“管理模板”——“Windows组件”——“Microsoft Management Console”——“受限/许可的管理单元”——“组策略”）结果任何用户（包括其他管理员）都无法再使用组策略编辑器了，而又没有其他方法来解除。因为组策略都是修改注册表的，所以此时可以修改注册表来解决。方法是以管理员身份登陆系统，删除注册表中HKEY_CURRENT_USER\ Software\Policies\Microsoft下的MMC键，然后进入组策略编辑器，解除禁止，这样就应用到其他帐户上了。 ______________________________________________________________ 如何禁用与解禁组策略 如何禁用与解禁组策略: 方法其实很多的, 1.修改注册表: 开始>>运行,输入regedit进入注册表,然后左侧进入到: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\POLICIES\EXPLORER 中 把RESTRICTRUN改为1,重启电脑,如果要解禁,改为0即可 2.注册脚本法: 新建一个*.reg注册表脚本, 打开编辑 Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\\CLSID\\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] 注意:此方法还原方法如下: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] @="组策略对象编辑器" [HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\InProcServ er32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25, 00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,47,00,50,00, 45,00,64,00,69,00,74,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment" 3.直接在组策略中修改权限: 开始->运行->输入gpedit.msc->地计算机策略->用户设置->管理模板->windows组件->Microsoft management Console->受限的/许可的管理单元->组策略->右边找到“组策略对象编辑器”->已禁用

AD组策略规划禁用U盘

Windows组策略屏蔽U盘有妙法(图) Windows组策略屏蔽U盘有妙法(图) 笔者在一家区级法院网络中心工作，为确保局域网内的计算机安全，省高院要求全省联网的法院客户端的机器光软驱都要拆除，而且禁止在局域网内使用U盘。我们知道，现在局域网中使用的操作系统绝大多数都是Windows系列，对于Windows 98说，做到这些并不难，因为U盘第一次使用时需要安装相应的驱动程序，拆除了光、软驱后，驱动无法安装，U盘也就无法使用，但对于Windows 2000、Windows XP来说，情况就不同了，用过U盘的人都知道这些操作系统不需要安装驱动，U盘即插即用。 对于大多数用户来说，这的确很方便，但对于单位有要求的网管来说，就头疼了，现在新买的机器不能总是安装Windows 98吧，毕竟Windows 98就要“下岗”了，但面对U盘，却没有好的办法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不能放过一个”的办法，如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管自己用，哈哈！那有没有简单易行的办法呢？经过一段时间摸索和试验，笔者终于找到了使用修改组策略模板的方法实现此目标。 实现条件 当然这是有前提条件的，首先，您的局域网必须以域为架构（我们知道Windows 2000、Windows XP 自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可以在全域实现管理目标，如果不采用域模式，您需要每台都要设置组策略，失去了效率，也就没有采用的必要了）。 其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server组策略对Windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对您以 后的网络管理带来不便。 特别说明：这里介绍的方法并不适用于Windows 98，只适用于服务器端安装Windows 2000 Server 或Windows Server 2003。只要您的网络满足以上条件，我们就可以利用组策略屏蔽U盘，而对于其他USB设备却无任何影响，笔者在单位实施1年多来，效果很好，现将详细方法介绍出来，希望能给众多网 管们提供一点借鉴。 基本原理

如何禁止打开计算机管理组策略

如何禁止打开计算机管理、组策略？ 如何禁止打开计算机管理、组策略呢？其中组策略和计算机管理是Windows中一个非常有用的工具，与注册表一样，通过它可以对系统进行很多设置，也是计算机控制程序、网络资源及操作系统行为的主要工具。而且通过使用组策略和计算机管理可以设置各种软件、计算机和用户策略等。因此，对其保护很是重要，尤其是一些电脑小白在网络上下载自带捆绑的一些恶意软件，这些恶意软件还会自动修改组策略或者计算机管理以获取更高权限的行为，这是对电脑操作系统，甚至是公司私密文件的安全都有极大的威胁。为此，我们需要限制计算机管理、组策略的运行，防止被其他人随意修改随意修改。 第一种方式：通过注册表设置 1.在开始菜单打开运行程序窗体，也可以利用快捷键（Win + R ）键快速打开。

2.打开后，在文本框中输入（ regedit ）并点击“确定”按钮以打开注册编辑器。

3.打开注册表编辑器后，定位到 （[HKEY_CURRENT_USER/Software/Policies/Microsoft/）节点。

4.然后我们在再新建MMC子项。 5.在MMC子项被选中的条件下在右边的窗口中右键新建一DWORD值并命名为RestrictToPermittedSnapins。

6.最后双击把键值改成1就可以了！

7.修改完后，我们可以利用快捷键（Win + R ）键快速打开（gpedit.msc）实验我们的结果了！ 第二种方式：使用网络管理软件 如果觉得通过注册表禁止禁止打开计算机管理、组策略的设置极为复杂的话，也可以通过专门的禁用软件来限制禁止打开或者运行计算机管理、组策略的的行为。 1、打开浏览器搜索大势至，进入官网！然后找到大势至电脑文件防泄密系统这款软件进行下载、解压。双击大势至电脑文件防泄密系统V14.2.exe进行安装，在安装过程中一直点下一步就好，如有拦截信息，全部设置为允许。

通过组策略禁用U盘的使用

电话：(0371)65706336 65706337 65706339 传真：（0371）65706367 地址：郑州市丰产路81号思达数码大厦C座5楼邮编：450002 1 场景 USB移动存储给我们带来便利的同时，也带有不少麻烦：信息泄露、病毒传播等。 某单位希望将一些受限的计算机放置在某个OU中，禁用在这些计算机上使用USB存储设备。如果将某台计算机移出受限制的OU后，又可以使用USB存储设备了。 如果需求不复杂，可以不使用第三方移动存储管理软件（多数需要在客户端安装软件），而是使用组策略来达到此目的。 原理 推荐阅读：https://www.wendangku.net/doc/6016692765.html,/default.aspx?scid=kb;en-us;823732 两个要点： z第一次使用USB存储设备时，主要通过两个文件，一个是Usbstor.pnf、另外一个是Usbstor.inf来安装UsbStor服务，并且将这个服务启动。 z以后要使用USB存储设备，UsbStor服务必须处于启动状态。启动状态由注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor的Start值 来控制。Start值的含义为： 0 Boot 1 System 2 Auto Load 3 Load On Demand 默认值 4 Disabled 有一些朋友的做法仅仅是通过管理模板来将Start的值设置为4-Disable。这种做法有一个弱点： 如是一个人将U盘插入到从来没有使用过U盘的计算机时，Windows会自动安装UsbStor服务，并且处于启动状态直到下一次禁用USB存储设备的GPO被应用为止。在这个时候，这个仍然可以使用USB存储设备！

如何禁用IE

如何禁用IE 一、利用组策略禁用IE软件。利用“组策略”禁止QQ或其他程序 1、开始/运行/gpedit.msc，打开“组策略”编辑器 2、在左边“本地计算机策略”找到“用户配置——管理模板/系统” 3、在右边“策略”中选择“不要运行指定的windows应用程序”并双击打开其属性对话框 4、在对话框中选择“启用”，然后单击“显示”，出现“显示内容”对话框，单击“添加”，直接输入QQ.exe，再依次确认，并同意修改注册表即可。 利用此法禁用QQ后，即使重新安装QQ也是不行的。同时此法可以用来禁用其他程序的运行。 二、利用组策略隐藏收藏菜单。方法请参考隐藏文件夹窗口的"收藏"菜单 方法如下: 1、运行gpedit.msc打开组策略管理器 2、找到“用户配置/管理模板/windows组件/Internet Explorer/浏览器菜单/隐藏"收藏"菜单”，启用即可。 三、清除收藏菜单的链接内容，如果不清除，使用者可以打开某一文件夹窗口，然后右击工具栏打开链接铵钮，从而可以打开其中的链接页面。 四、设置一个无效的IE代理地址。如果没有设置此项，则使用者可以打开文件夹窗口，然后输入网页地址到地址栏即可打开网页，所以一定请设置一个无效的代理地址。我的方法是：右击IE，选择属性，选择连接，选择局域网设置，设置LAN的代理为127.0.0.1，端口21。 五、注册表 1.打开注册表。 2.在HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POL ICIES\SYSTEM 下，在右面的窗口中新建一个DWORD值“NoProfilePage",然后设置其值为”1“。 至此，IE已经被禁止浏览网页，而电脑拥有者自己可以使用其他浏览器来浏览网页。

Windows 2003 域控制器 组策略禁止USB的方法

Windows 2003 域控制器组策略禁止USB的方法 我可以提供禁用usb的注册表方法 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 右边有一个叫start的键值 双击他将值改成4 usb就禁用了 下次要恢复只需将4改成3就好了 把下段斜杠内的内容拷到文本文档中，保存成.ADM文件，然后打开你要做限制的OU的组策略，展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB 存储设备! ////////////////////////////////////////////////////// CLASS USER CATEGORY !!ADMDesc POLICY !!MMC_DeviceManagerX KEYNAME "Software\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640b f}" #if version >= 4 SUPPORTED !!SUPPORTED_Win2k #endif EXPLAIN !!MMC_Restrict_Explain valueNAME "Restrict_Run" valueON NUMERIC 0 valueOFF NUMERIC 1

END POLICY POLICY !!MMC_DeviceManager KEYNAME "Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7 a}" #if version >= 4 SUPPORTED !!SUPPORTED_Win2k #endif EXPLAIN !!DEVMGR_Restrict_Explain valueNAME "Restrict_Run" valueON NUMERIC 0 valueOFF NUMERIC 1 END POLICY End CATEGORY CLASS MACHINE CATEGORY !!ADMDesc POLICY !!USB_UHCD_PARAMS KEYNAME "SYSTEM\CurrentControlSet\Services\uhcd" EXPLAIN !!STARTUPTYPE_HELP PART !!STARTUPTYPE NUMERIC REQUIRED valueNAME "START" MIN 3 MAX 4 DEFAULT 3 END PART END POLICY

组策略命令大全.

组策略命令大全 如何打开组策略编辑器？ 答：运行里输入gpedit.msc 系统里提示没有打开组策略这条命令？ 答：1：看是不是注册表中锁住了组策略 “HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。 2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加，后面的你应该会了。看你要开哪个策略，就添加哪个策略。 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1.禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新

5、删除任务管理器 四、隐藏或删除WindowsXP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核 4、Windows98访问WindowsXP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。例如要删除“我的文档”，只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“InternetExplorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“

如何禁止电脑打开组策略、停用组策略的方法

如何禁止电脑打开组策略、停用组策略的方法 2014/3/27 Windows操作系统中的组策略是管理员为用户和计算机定义并控制程序、网络资源和操作系统行为的主要工具。通过使用组策略可以很方便的设置各种软件、计算机和用户的策略，但同时不正确的使用可能会导致操作系统异常等问题，严重时影响计算机正常使用，那么有什么办法能够禁止电脑打开组策略呢，一起来学习学习吧。 方法一：大势至USB控制系统 大势至USB控制系统是一款专为企业计算机量身打造管理软件，专注于保护计算机数据和系统的安全，在限制电脑USB接口领域处于行业领先地位。在此我们可以通过这个软件其中的一个功能来实现禁用电脑组策略，具体操作步骤如下： 首先百度搜索大势至USB控制系统下载并安装，在软件主界面勾选操作系统控制中的禁用组策略即可生效，然后修改软件密码并单击后台运行，这样可以保证软件不被退出或卸载（如下图）。 大势至USB控制系统禁用组策略 方法二：修改注册表 单击开始》运行，输入regedit进入注册表，然后左侧进入到HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC，修改RestrictToPermittedSnapins 值为1即可禁止。 如果要解除禁止，就改为0即可。

方法三：修改组策略 开始->运行->输入gpedit.msc->地计算机策略->用户设置->管理模板->windows组件->Microsoft management Console->受限的/许可的管理单元->组策略->右边找到“组策略对象编辑器”->已禁用 解禁的方法:使用注册表: 开始->运行->输入regedit->hkey_current_user\software\policies\microsoft\mms\{8fc0b734-a0e1-11d1-a7d3-0000f87571e3}->Restrict_run的值变为0. 在弹出对话框＂下面在该文档中引用的管理单元受到组策略限制，请与您的管理员联系，获得详细信息，组策略对象编辑器．＂这也是限制了组策略，只要在注册表中找到：WINXP 专业版系统：Hkey_current_user\software\policies\microsoft\mmc\RestrictToPermittedSnapins 值变为0 总之，更改电脑操作系统配置需要格外小心，尤其是对于企业或学校的计算机，往往保存有重要资料，一旦发生泄漏或遗失，将造成很大影响，限制注册表、组策略的使用可以大大降低这些风险，大势至USB控制系统在这些方面做的比较专业且全面，非常适合于企业计算机安装使用。

组策略--被限制---解决10大办法

组策略被限制, 组策略打开后几秒内自动关闭-------问题解决办法 方法及解决办法1 试着用第三方资源管理器找到mmc.exe并运行，或从任务管理器、DOS访问mmc.exe. 因为修改了只运行许可的windows程序，所以从windows资源管理运行gpedit.msc 是不行的。 打开控制台1，选择文件-添加删除管理单元-在独立选项卡-选择添加-找到组策略对象编辑器。 完成确定，然后按照原先的方法修改策略。 如果要限制程序运行，最好还是用第三方工具吧。 方法及解决办法2 运行mmc ,找到gpedit.msc 点开来,然后保存,再去打开来看看. 方法及解决办法3 1.用MMC控制台打不开吗? 2.这个是找来的,你试试: A. 除了通过限制应用程序运行的策略外，还有许多操作都能使组策略在不经意间就会发生“自锁”现象。如果是其他因素造成组策略发生“自锁”现象的话，我们该如何轻松解除呢?其实，所有对组策略的设置，都是基于系统注册表>的，因此对组策略任意分支的设置，都会在注册表的对应分支中有所体现;为此我们只要从修改注册表出发，就能轻松破解组策略的“自锁”现象: 依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“regedit”，单击“确定”按钮后，打开系统的注册表编辑窗口; 在该窗口中，依次展开注册表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0 000F87571E3}，在随后弹出的如图2所示的窗口右侧区域中，你将看到一个“Restrict_Run”键值; 用鼠标双击该键值，打开一个数值设置窗口，在其中输入数字“0”，最后单击“确定”按钮;此后，当你再次打开系统运行对话框，并在其中执行“gpedit.msc”命令时，你会发现自锁的组策略编辑窗口，现在可以被轻松打开了。 B.点开始，运行 输入CMD回车 在DOS提示符输入gpupdate /force然后回车就好了 方法及解决办法4 “本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系”！还是不行，你有

组策略禁止修改IP及计算机名称

组策略禁止修改IP及计算机名 禁止修改IP: 在XP中，可以： 1.点击开始，打开“运行”在运行栏中输入“gpedit.msc”（引号内的内容）然后确定，打开了组策略. 2.点击用户配置下的“管理模板”----网络----网络连接. 3.把“禁止访问LAN连接的属性”和“为管理员启用windows2000 网络连接设置”均改成已启用. 4.OK,再看看你的本地连接属性已经成为灰色的了. 但是，这个方法在Windows 7中就失效了！！ 在“开始/运行”中输入“Cmd.exe”，确认后打开CMD窗口，在其中分别执行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netshell.dll”、“Regsvr32 /u Netman.dll”命令，就可以将上述控件从系统中卸载。当然，如果以后需要修改IP地址的话，可以上述控件逐一注册即可。注册的方法很简单，只要将上述命令中的“/u”参数去掉，就可以执行注册操作了。例如执行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注册。 禁止修改计算机名称: 在XP中，可以： 1.点击开始，打开“运行”在运行栏中输入“gpedit.msc”（引号内的内容） 然后确定，打开了组策略. 2.点击用户配置下的“管理模板”----桌面. 3.把"从'我的电脑'上下文菜单中移除属性选项"设置为已启用 4.OK,再看看我的电脑属性已经失效了. 运行"—>"gpedit.msc"—>"用户配置"—>"管理摸板"—>"桌面"—>把"从'我的电脑'上下文菜单中移除属性选项"设置为"启用" 另一个版本： 禁止修改IP： regsvr32 netcfgx.dll /u /s regsvr32 netshell.dll /u /s

组策略禁用注册表、限制应用程序的方法及解除的方法

1.限制使用应用程序(Windows 2000/XP/2003) 顺次点击“组策略控制台”→“用户配置”→“管理模板”→“系统”中的“只运行许可的Windows应用程序”，双击之后启用此策略，然后点击下面的“允许的应用程序列表”中的“显示”按钮。会弹出一个“显示内容”的对话框，在这里单击“添加”按钮，然后添加你允许运行的应用程序即可。以后一般用户就只能运行“允许的应用程序列表”中的程序，其他程序就无法运行了！ 2.禁用注册表编辑器(Windows 2000/XP/2003) 为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法：打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策。 此策略被启用后，用户试图启动注册表编辑器(Regedit.exe及Regedt32.exe)的时候，系统会禁止这类操作并弹出警告消息。 如何解决上面谈到的利用组策略限制应用程序运行和禁用注册表编辑器的问题。 基于具体步骤差不多，就二为一解决这两个问题。 首先，开机时按F8键进入安全模式选项，选择其中的“带命令行提示的安全模式”，进入后打开命令提示符窗口，输入“mmc”(Microsoft管理控制台)，按Enter键就打开了该程序。接下来，点击“文件”菜单下的“添加/删除管理单元”(或直接用快捷键“Ctrl+M”)，在出现的对话框中点击“添加”按钮，选定其中的“组策略”,点击“添加”，会出现“欢迎使用组策略向导”窗口，点“下一步”直到最后单击“完成”按钮即可，关闭可添加的管理单元列表，然后在“添加/删除管理单元”对话框中点击“确定”按钮，在“控制台根节点”窗口的左侧“控制台根节点”项目中会多了一个“本地计算机”，把它给展开，接下来的操作就跟你启用“限制使用应用程序”和“禁用注册表编辑器”时一样了。具体步骤就不多说了，大家可以参考文章开头相关内容进行操作。注意，您只需把“只运行许可的Windows应用程序”和“阻止访问注册表编辑工具”里的“启用”改为“未配置”就行了。最后，关闭“Microsoft管理控制台”，此时会弹出一个对话框，提示你是否要保存，点“确定”即可。如果提示无法保存，不要管它，单击“否”，然后关闭即可。回到命令提示符窗口，同时按下“Ctrl+Alt+Del”组合键，选择“关机”中的“重新启动”选项，重启电脑到正常状态下，所有的应用程序（包括注册表编辑器）就又都可以使用，完！ 组策略设置就是在修改注册表中的配置。组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 组策略及其工具，则是对当前注册表进行直接修改。 在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策。打开的组策略对象是当前的计算机。 在打开的组策略窗口中可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。另外，左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键

如何用组策略禁止安装软件

在XP中如何禁止安装软件 一运行gpeditmsc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装” Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定 策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制 可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以 二用超级兔子 三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----击打开，将启动类型改为已禁止这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi 的肯定不能安装的 四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行 进管理员帐户：

gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托 五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以 六设置用户权限 给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了 启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序 还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限 禁用Windows Installer服务。。。貌似可以。。 开始-->控制面板-->管理工具-->服务-->Windows Installer-->属性-->禁用。 启用组策略的用法如下：开始-运行-GPEDIT-用户配置-WINDOW组件-终端服务-WINDOWS INSTALL 有四个选项，楼主可以根据需要选择其中的若干项，如果权限足够的话，可以选择第一项“永远以高特权进行安装，这样的话你要注意: 这个设置出现在“计算机配置”和“用户配置”两个文件夹中。要使这个设置生效，您必须在两个文件夹中都将其启用。 第二项：搜索顺序，其中意义是：指定 Windows Installer 搜索安装文件的顺序。 按默认值，Windows Installer 先搜索网络，然后搜索可移动媒体(软盘、CD-ROM 或 DVD)，最后再搜索 Internet (URL)。

如何用组策略禁用电脑程序

组策略禁用电脑程序以QQ为例附运行命令 首先进入组策略，开始-运行，输入gpedit.msc，进入组策略。 如上图：用户配置-管理模板-系统-不要运行指定的windows应用程序，双击打开下下面的对话框

选择’已启动’ ,点击’显示’,弹出显示内容，点击添加，再输入框中输入要禁止的应用程序，如QQ.exe,注意这里要输入的是应用程序的启动程序，要全称+扩展名。 点击确定后就禁止了QQ在本电脑上的运行。 再运行QQ，就会弹出一下窗口。 附‘运行’下的命令： winver 检查Windows版本 wmimgmt.msc 打开Windows管理体系结构(wmi) wupdmgr Windows更新程序 wscript Windows脚本宿主设置 write 写字板 winmsd 系统信息 wiaacmgr 扫描仪和照相机向导 winchat xp自带局域网聊天 mem.exe 显示内存使用情况

msconfig.exe 系统配置实用程序 mplayer2 简易widnows media player mspaint 画图板 mstsc 远程桌面连接 mplayer2 媒体播放机 magnify 放大镜实用程序 mmc 打开控制台 mobsync 同步命令 dxdiag 检查directx信息 drwtsn32 系统医生 devmgmt.msc 设备管理器 dfrg.msc 磁盘碎片整理程序 diskmgmt.msc 磁盘管理实用程序 dcomcnfg 打开系统组件服务 ddeshare 打开dde共享设置 dvdplay dvd播放器 net stop messenger 停止信使服务 net start messenger 开始信使服务 notepad 打开记事本 nslookup 网络管理的工具向导 ntbackup 系统备份和还原 narrator 屏幕“讲述人” ntmsmgr.msc 移动存储管理器 ntmsoprq.msc 移动存储管理员操作请求 netstat -an （tc）命令检查接口 syncapp 创建一个公文包 sysedit 系统配置编辑器 sigverif 文件签名验证程序 sndrec32 录音机 shrpubw 创建共享文件夹 secpol.msc 本地安全策略 syskey 系统加密，一旦加密就不能解开，保护Windows xp系统的双重密码services.msc 本地服务设置 sndvol32 音量控制程序 sfc.exe 系统文件检查器 sfc /scannow windows文件保护 tsshutdn 60秒倒计时关机命令 tourstart xp简介（安装完成后出现的漫游xp程序） taskmgr 任务管理器 eventvwr 事件查看器 eudcedit 造字程序 explorer 打开资源管理器