WindowsXP组策略修改系统及网络配置

2023年11月26日发(作者：)

WindowsXP组策略修改系统及⽹络配置

使⽤Windows XP 组策略修改系统配置

组策略是管理员为计算机和⽤户定义的，⽤来控制应⽤程序、系统设置和管理模板的⼀种机制。通俗⼀点说，是介于控制⾯板

和注册表之间的⼀种修改系统、设置程序的⼯具。微软⾃Windows NT 4.0开始便采⽤了组策略这⼀机制，经过Windows 2000

发展到Windows XP已相当完善。利⽤组策略可以修改Windows的桌⾯、开始菜单、登录⽅式、组件、⽹络及IE浏览器等许多

设置。

平时像⼀些常⽤的系统、外观、⽹络设置等我们可通过控制⾯板修改，但⼤家对此肯定都有不满意，因为通过控制⾯板能修改

的东西太少；⽔平稍⾼点的⽤户进⽽使⽤修改注册表的⽅法来设置，但注册表涉及内容⼜太多，修改起来也不⽅便。组策略正

好介于⼆者之间，涉及的内容⽐控制⾯板中的多，安全性和控制⾯板⼀样⾮常⾼，⽽条理性、可操作性则⽐注册表强。

本⽂主要介绍Windows XP Professional本地组策略的应⽤。本地计算机组策略主要可进⾏两个⽅⾯的配置：计算机配置和⽤

户配置。其下所有设置项的配置都将保存到注册表的相关项⽬中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE

⼦树中，⽤户配置保存到HKEY_CURRENT_USER。

⼀、访问组策略

有两种⽅法可以访问组策略：⼀是通过命令直接进⼊组策略窗⼝；⼆是打开控制台，将组策略添加进去。

1. 输⼊命令访问

选择“开始”→“运⾏”，在弹出窗⼝中输⼊“”，回车后进⼊组策略窗⼝。组策略窗⼝的结构和资源管理器相似，左边是

树型⽬录结构，由“计算机配置”、“⽤户配置”两⼤节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模

板”三个节点，节点下⾯还有更多的节点和设置。此时点击右边窗⼝中的节点或设置，便会出现关于此节点或设置的适⽤平台

和作⽤描述。“计算机配置”、“⽤户配置”两⼤节点下的⼦节点和设置有很多是相同的，那么我们该改哪⼀处？“计算机配置”节点

中的设置应⽤到整个计算机策略，在此处修改后的设置将应⽤到计算机中的所有⽤户。“⽤户配置”节点中的设置⼀般只应⽤到

当前⽤户，如果你⽤别的⽤户名登录计算机，设置就不会管⽤了。但⼀般情况下建议在“⽤户配置”节点下修改，本⽂也将主要

讲解“⽤户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的⼀些设置。其中“管理模板”设置最多、应⽤最⼴，因此

也是本⽂的重中之重。

2. 通过控制台访问组策略

单击“开始”→“运⾏”，输⼊“mmc”，回车后进⼊控制台窗⼝。单击控制台窗⼝的“⽂件”→“添加/删除管理单元”，在弹出窗⼝单

击“添加”，之后选择“组策略”并单击“添加”，在下⼀步的“选择组策略对象”对话框中选择对象。由于我们组策略对象就是“本地计

算机”，因此不⽤更改，如果是⽹络上的另⼀台计算机，那么单击“浏览”选择此计算机即可。另外，如果你希望保存组策略控制

台，并希望能够选择通过命令⾏在控制台中打开组策略对象，请选中“当从命令⾏开始时，允许更改‘组策略管理单元’的焦

点”复选框。最后添加进来的组策略。

⼆、任务栏和“开始”菜单项⽬设置

本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁⽤某⼀功能项⽬。依次展开“⽤户配置”→“管理模板”→“任务栏

和‘开始’菜单”，在右边窗⼝便能看到“任务栏和‘开始’菜单”节点下的具体设置，其状态都处在“未被配置”。

1. 给“开始”菜单减肥

Windows XP的“开始”菜单的菜单项很多，可通过组策略将不需要的删除掉。以删除开始菜单中的“我的⽂档”图标为例看看其具

体操作⽅法：在右边窗⼝中双击“从‘开始’菜单上删除‘我的⽂档’图标”项，在弹出对话框的“设置”标签中点选“已启⽤”，然后单

击“确定”，这样在“开始”菜单中“我的⽂档”图标将会隐藏。

2. 防⽌隐私泄漏

在开始菜单中有⼀个“我最近的⽂档”菜单项，别⼈可通过此菜单访问你最近打开的⽂档，为

安全起见，可删除此菜单项，并设置不保存最近打开的⽂档记录。双击“不要保留最近打开⽂档的记录”、“退出时清除最近打开

的⽂档记录”、“从‘开始’菜单上删除‘⽂档’菜单”3项，在弹出对话框中点选“已启动”并确定即可。

3. 禁⽌随意修改任务栏和“开始”菜单

为保护⾃⼰好不容易设置好的任务栏和“开始”菜单，可双击启⽤下列各设置。“阻⽌更改‘任务栏和‘开始’菜单’设置”：即从“开

始”菜单的“设置”菜单项中删除“任务栏和‘开始’菜单”项⽬，这个设置也可阻⽌⽤户打开“任务栏属性”对话框。“阻⽌访问任务栏的

上下⽂菜单”（上下⽂菜单即单击右键弹出的快捷菜单）：当⿏标右键单击任务栏及任务栏上项⽬时隐藏菜单，例如“开始”按

钮、时钟和任务栏按钮，但不能禁⽌⽤户在其他地⽅更改。“锁定任务栏”：启⽤此设置，可阻⽌⽤户移动任务栏或调整任务栏

的⼤⼩，但⾃动隐藏和其他任务栏选项仍然在“任务栏属性”中可⽤。

4. 去掉Windows XP“开始”菜单中的图形化设置

Windows XP的“开始”菜单增添了许多图形化设置，其实可在组策略中将这些功能关闭。

“关闭个性化菜单”：Windows XP会⾃动将最近使⽤的菜单项移动到开始菜单顶部，并且隐藏最近没有使⽤的菜单项，以此实

现个性化菜单，启⽤此设置将关闭个性化菜单。“强制典型菜单”：启⽤此设置，开始菜单就以Windows 2000样式显⽰典型的

开始菜单，并且显⽰标准桌⾯图标。

5. 禁⽌“注销”和“关机”

进⾏三维动画设计和视频处理的朋友经常会为导出⼀个⼤型动画、视频⽂件⽽花⼏个⼩时，这时如果有⼈重新启动电脑或注销

⽤户，那么前⾯所做的⼯作就会⽩⽩浪费，因此有必要禁⽌“开始”菜单中的“注销”、“关机”菜单项。你只需双击启⽤“删除‘开

始’菜单上的‘注销’”和“删除和阻⽌访问‘关机’命令”两项即可。后⼀设置不仅将从“开始”菜单中删除“关闭计算机”项，⽽且还会禁

⽤“Windows 任务管理器”对话框中的“关机”选项。

三、桌⾯项⽬设置

在“组策略”的左窗⼝依次展开“⽤户配置”→“管理模板”→“桌⾯”节点，便能看到有关桌⾯的所有设置。此节点主要作⽤在于管理

⽤户使⽤桌⾯的权利和隐藏桌⾯图标。

1. 隐藏不必要的桌⾯图标

桌⾯上的⼀些快捷⽅式我们可以轻⽽易举地删除，但要删除“我的电脑”、“回收站”、“⽹上邻居”等默认图标，就需要依靠“组策

略”了。例如要删除“我的⽂档”，只需在“删除桌⾯上的‘我的⽂档’图标”⼀项中设置即可。

2. 禁⽌对桌⾯的改动

利⽤组策略可达到禁⽌别⼈改动桌⾯某些设置的⽬的。“禁⽌⽤户更改‘我的⽂档’路径”项可防⽌⽤户更改“我的⽂档”⽂件夹的路

径。“禁⽌添加、拖、放和关闭任务栏的⼯具栏”项可阻⽌⽤户从桌⾯上添加或删除任务栏。双击启⽤“退出时不保存设置”后，

⽤户将不能保存对桌⾯的更改。最后，双击启⽤“隐藏和禁⽤桌⾯上的所有项⽬”设置项，将从桌⾯上删除图标、快捷⽅式以及

其他默认的和⽤户定义的所有项⽬，连桌⾯右键菜单都将被禁⽌。

3. 启⽤或禁⽌活动桌⾯

利⽤“Active Desktop”项，可根据⾃⼰的需要设置活动桌⾯的各种属性。“启⽤活动桌⾯”项可启⽤活动桌⾯并防⽌⽤户禁⽤它。

“活动桌⾯墙纸”项可指定在所有⽤户的桌⾯上显⽰的桌⾯墙纸。⽽启⽤“不允许更改”项便可防⽌⽤户更改活动桌⾯配置。

四、隐藏或禁⽌控制⾯板项⽬

这⾥讲到的控制⾯板项⽬设置是指配置控制⾯板程序的各项设置，主要⽤于隐藏或禁⽌控制⾯板项⽬。在组策略左边窗⼝依次

展开“⽤户配置”→“管理模板”→“控制⾯板”项，便可看到“控制⾯板”节点下⾯的所有设置和⼦节点。

1. 隐藏或禁⽌“添加/删除程序”项

展开“添加/删除程序”项：双击启⽤“删除‘添加/删除程序’程序”设置项后，控制⾯板中的“添加/删除程序”项将被删除。此外在“添

加或删除程序”对话框中共有3个页⾯：“更改或删除程序”、“添加新程序”以及“添加/删除Windows组件”；⽽当你进⼊“添加新程

序”页⾯时，会发

现有3个选项：“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”以及“从⽹络中添加程序”，如果你想这些具体页⾯或选项

隐藏，可直接在组策略“添加/删除程序”项中将相应隐藏功能启⽤。

2. 隐藏或禁⽌“显⽰”项

展开“显⽰”项，发现这⼀项和上⼀项⼀样，可隐藏“显⽰属性”对话框中的选项卡。这⾥就不细讲了，例如双击启⽤“隐藏‘桌

⾯’选项卡”后，“显⽰窗⼝”中将不再出现“桌⾯”项。此外，在这⾥⽤户还可启⽤“删除控制⾯板中的‘显⽰’”，这样在控制⾯板中双

击打开“显⽰”项时，就会弹出⼀个对话框提⽰你：系统管理员禁⽌使⽤“显⽰”控制⾯板。

3. 其他

依次展开“显⽰”→“桌⾯主题”项，双击启⽤“删除主题选项”、“阻⽌选择窗⼝和按钮式样”、“禁⽌选择字体⼤⼩”项后，可阻⽌他⼈

更改主题、窗⼝和按钮式样、字体。展开“打印机”项，双击启⽤“阻⽌添加打印机”或“阻⽌删除打印机”可防⽌别的⽤户添加或删

除打印机。最后，直接在“控制⾯板”⼀项下启⽤“禁⽌访问控制⾯板”，控制⾯板将⽆法启动。

五、系统项⽬设置

这⼀项在“⽤户配置”→“管理模板”→“系统”中设置。组策略中对系统的设置涉及到登录、电源管理、组策略、脚本等很多项⽬，

下⾯把和我们联系紧密的部分清理出来分类列举如下：

1. 登录时不显⽰欢迎屏幕界⾯

Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕，虽然漂亮但也⿇烦且延长登录时间，通过组策略便可将

其除去。双击启⽤“系统”节点下的“登录时不显⽰欢迎屏幕”，则每次⽤户登录时欢迎屏幕将隐藏。

2. 禁⽤注册表编辑器

为防⽌他⼈修改注册表，可在组策略中禁⽌访问注册表编辑器。双击启⽤“系统”节点下的“阻⽌访问注册表编辑器”项后，⽤户

试图启动注册表编辑器时，系统将提⽰：注册编辑已被管理员停⽤。另外，如果你的注册表编辑器被锁死，也可双击此设置，

在弹出对话框的“设置”标签中点选“未被配置”项，这样你的注册表便解锁了。如果要防⽌⽤户使⽤其他注册表编辑⼯具打开注

册表，请双击启⽤“只运⾏许可的Windows应⽤程序”。

3. 关闭系统⾃动播放功能

⼀旦你将光盘插⼊光驱中，Windows XP就会开始读取光驱，并启动相关的应⽤程序。这样虽然给我们的⼯作带来了便利，在

某些时候也带来了不少⿇烦。在“系统”节点下有⼀项为“关闭⾃动播放”设置项，双击其并在弹出对话框的“设置”标签中点选“已

启⽤”，在“关闭⾃动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。

注意：此设置不阻⽌⾃动播放⾳乐CD。

4. 关闭Windows⾃动更新

每当⽤户连接到Internet，Windows XP就会搜索⽤户计算机上的可⽤更新，根据配置的具体情况，在下载的组件准备好安装

时或在下载之前，给⽤户以提⽰。如果你不喜欢⽐尔⽼⼤这种⾃作主张的态度，可通过组策略关闭这⼀功能。只须双击“系

统”节点下的“Windows⾃动更新”设置项，在弹出来的对话框中点选“已禁⽤”并确定即可。

5. Ctrl+Alt+Del选项

若Windows XP⽤户已取消“使⽤欢迎屏幕”项，若同时按下“Ctrl+Alt+Del”键，便会弹出⼀个“Windows安全”对话框，此对话框

中有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务管理器”、“取消”6个功能按钮。⼤家都知道这⾥的每个按钮对系统都起

着关键的作⽤。为了阻⽌别⼈操作，可通过组策略屏蔽这些按钮。

找到“系统”下的“Ctrl+Alt+Del选项”，双击启⽤“删除任务管理器”、“删除‘锁定计算机’”、“删除改变密码”、“删除注销”项便能屏蔽

掉“Windows安全”对话框的“任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。

注意：“注销”、“关机”两个菜单项的屏蔽，在“⽤户配置”→“管理模板”→“任务栏和‘开始’菜单”节点下。

六、隐藏或删除Windows XP资源管理器中的项⽬

⼀直以来，资源管理器就是Windows系统中最重要的⼯具，如何⾼效、安全地管理资源也⼀直是电脑⽤户的不懈追求。依次

展开“⽤户配置”→“管理模板”→“Windows组件”→“Windows 资源管理器”项，可以看到“Windows资源管理器”节点下的所有设

置。下⾯就来看看怎样通过组策略实现资源管理器个性化。

1. 删除“⽂件夹选项”

“⽂件夹选项”是资源管理器中⼀个重要的菜单项，通过它可修改⽂件的查看⽅式，编辑⽂件类型的打开⽅式。我们⾃⼰对其设

定好后，为了防⽌他⼈随意更改，可将此菜单项删除，你只须双击启⽤“从‘⼯具’菜单删除‘⽂件夹选项’菜单”便能完成这⼀设

置。

2. 隐藏“管理”菜单项

在资源管理器中右键单击“我的电脑”出现的快捷菜单中有⼀个“管理”菜单项，通过此菜单项，可以打开⼀个包含“事件查看器”、

“本地⽤户和组”、“设备管理器”、“磁盘管理”等众多⼯具的“计算机管理”窗⼝。为了保障你的计算机免受他⼈⽆意破坏，可通过

双击启⽤“隐藏Windows 资源管理器上下⽂菜单上的‘管理’项⽬”项来屏蔽此菜单项。

3. 其他项⽬的隐藏

此外通过启⽤“隐藏‘我的电脑’中的这些指定的驱动器”可隐藏你指定的驱动器。还可通过启⽤“‘⽹上邻居’中不含‘整个⽹络’”屏蔽

掉“整个⽹络”项。双击启⽤“删除CD烧录功能”删除Windows XP⾃带的光盘刻录功能。双击启⽤“不要将已删除的⽂件移到‘回

收站’”则以后删除⽂件时将不进⼊回收站直接删除掉。当然还有不少项⽬这⾥没有讲到，⼤家可根据需要⾃⾏探讨，进⾏适当

的配置。

七、IE浏览器项⽬设置

在组策略左边窗⼝中依次展开“⽤户配置”→“管理模板”→“Windows组件”→“Internet Explorer”项，在右边窗⼝中便能看到“Internet

Explorer”节点下的所有设置和⼦节点。IE是Windows XP⾃带的⽹页浏览器，也是⼤多数⽤户采⽤的浏览器，但其安全性也为

⼈所诟病，下⾯就通过组策略来对其进⾏“改造”。

1. 在IE⼯具栏添加快捷⽅式

不知道⼤家注意到了没有，不少软件在安装完之后都会在IE⼯具栏上添加图标，单击其便能启⽤相应程序。其实⽤组策略可以

在IE⼯具栏上为任何程序添加快捷⽅式，这⾥举例说明如何添加⼀个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器

⽤户界⾯”，双击“浏览器⼯具栏⾃定义”设置项，在弹出来的对话框中单击“添加”按钮，在“浏览器⼯具栏按钮信息”对话框的“⼯

具栏标题”中输⼊：ICQ，在“⼯具栏操作”中输⼊D:，然后再随便选择⼀个“颜⾊图标”和“灰度图标”，

当然你也可以⽤ExeScope等来提取ICQ的图标）。单击“确定”后IE⼯具栏中便多了⼀个ICQ图标！

2. 让IE插件不再骚扰你

我们平常上⽹浏览⽹页时，总会弹出⼀些诸如“是否安装Flash插件”、“是否安装3721⽹络实名”的提⽰，就像⼴告窗⼝⼀样烦

⼈。实际上我们可在组策略中通过启⽤“Internet Explorer”节点下的“禁⽤Internet Explorer组件的⾃动安装”来禁⽌这种提⽰的出

现。不过有时这⼀功能也是很⽤的，所以在禁⽌此功能之前请稍加考虑。

3. 保护好你的个⼈隐私

⼀般通过单击IE⼯具栏上的“历史”按钮，便可了解以前浏览过的⽹页和⽂件。为保密起见，你可以通过双击启⽤“Internet

Explorer”节点下的“不要保留最近打开⽂档的记录”和“退出时清除最近打开的⽂档记录”两个设置项，这样再单击IE⼯具栏上

的“历史”按钮，你访问过的历史⽹页记录将全部消失。

4. 禁⽌项

如果不希望他⼈对你的主页进⾏修改，可启⽤“Internet Explorer”节点下的“禁⽤更改主页设置”设置项禁⽌别⼈更改你的主页。

你也可通过访问“浏览器菜单”，启⽤其中的设置项对IE浏览器的若⼲菜单项进⾏屏蔽。最后，在“Internet控制⾯板”节点下，你

还可对“Internet选项”对话框中的部分选项卡进⾏隐藏。

⼋、系统安全设置

⾃有计算机以来，安全⼀直就是⼈们关注的焦点问题，Windows XP也不例外。在组策略中，系统安全配置⼀般在“计算机配

置”→“Windows设置”→“安全设置”中进⾏。

1. 密码策略

这⼀策略在“账户策略”→“密码策略”节点中配置。⼝令是系统安全的⼀⼤隐患，可通过组策略设置密码（⼝令）的最⼩长度：

双击启⽤“密码必须符合复杂性要求”设置项，确定后双击“密码长度最⼩值”设置项，在弹出来的对话框中将密码长度最⼩值设

为8或更⼤，这样以后设置账户密码时就必须输⼊8位以上，安全性就⾼多了。

2. ⽤户权利指派

展开“本地策略”→“⽤户权利指派”节点，在右边窗⼝中便能看到“⽤户权利指派”节点下的所有设置。合适地指派⽤户权利可以解

决⼀些奇怪的问题，例如在局域⽹中使⽤Windows XP系统的朋友⼀般会发现⼀个奇怪的现象，那就是即使你启⽤guest⽤户

并给予权限，局域⽹中的其他Win9X操作系统的⽤户还是⽆法访问Windows XP系统中的共享资源。这个问题可在组策略中通

过修改有关设置解决：双击“⽤户权利指派”节点下的“拒绝从⽹络访问这台计算机”设置项，在弹出对话框中点选“guest”，然后

单击“删除”，最后确定即可。在“⽤户权利指派”节点下还可给⽤户添加许多权限，例如给guest添加远程关机权限、给⼀般⽤户

添加更改系统时间的权限，限于篇幅，在此不再赘述，有兴趣的朋友可以通过E-

mail（tlyz@/doc/ ）和我私下探讨。编者注：更多关于⽹络配置的组策

略修改请参考本期“⽹络时代”栏⽬的《使⽤Windows XP组策略修改⽹络设置》⼀⽂。

使⽤Windows XP 组策略修改⽹络设置

天津武⾦刚

早就想优化⼀下⽹络设置，加快上⽹速度，让IE使⽤起来得⼼应⼿。有时通过⼀些软件和直接修改注册表的键值来达到要修改

的⽬的，可这些软件功能太单⼀，注册表的键值⾮常复杂⼜不容易记住，其实我们可以利⽤Windows的组策略来对⽹络的各

项设置进⾏优化，操作起来也⾮常轻松。“组策略”的基本知识及启动可以查看本期“实⽤软件”栏⽬《使⽤Windows XP组策略修

改系统配置》⼀⽂。下⾯我们就以Windows XP Professional本地组策略的应⽤为例看看其具体操作。

修改⽹络设置

1.禁⽌“将脱机项⽬变成可⽤状态”

有时我们不想让其他⼈⽤脱机⽅法来查看⾃⼰浏览过的⽹页，我们可以在组策略中关闭脱机状态。设置⽅法：⾸先启动组策

略，在控制台窗⼝中依次展开“⽤户配置→管理模板→⽹络→脱机⽂件”分⽀，在右窗⼝中双击“删除将脱机项⽬变成可⽤状态”策

略，随后弹出⼀个设置对话框，这时单击对话框“已启⽤”单选项即可。通过此项设置我们可以在Windows资源管理器的⽂件菜

单和所有上下⽂菜单中删除“可脱机使⽤”选项，使⼀些⽤户不能将⽂件保存在⾃⼰计算机上供脱机使⽤。

2.启⽤“事件⽇志记录级别”

有时我们对⽹络中的某⼀⽹页进⾏脱机保存，可是有的⽂件在脱机后却出现错误，这时我们可以启动“事件记录功能”，以后当

脱机⽂件检测到错误时会将这些事件记录到事件查看器的应⽤程序⽇志上。默认为在脱机⽂件存储缓存损坏时记录⼀个事件，

但你也可以使⽤这项设置指定其他想让脱机⽂件记录的事件。⾸先在控制台窗⼝中依次展开“⽤户配置→管理模板→⽹络→脱机

⽂件”分⽀，在右边的窗⼝中双击“事件⽇志记录级别”策略，选择“已启⽤”选项，从“键⼊”框中选择让系统记录事件的号码，等

级为积累性的，即每个等级包含以前所有等级中的事件。其中“0”表⽰缓存数据已损坏，“1”表⽰记录服务器脱机，“2”表⽰等级

1+记录⽹络停⽌+⽹络启动，“3”表⽰等级2+记录服务器可以重新连接。在此我们可以根据需要进⾏选择。

3.禁⽌使⽤“建⽴新的拨号连接”

如果你不想让别⼈在你的计算机中拨号上⽹，我们可以在拨号⽹络中屏蔽掉“建⽴新连接”选项。⾸先在组策略中依次展开“⽤户

配置→管理模板→⽹络→⽹络连接”分⽀，在右边的窗⼝中双击“禁⽌访问新建连接向导”，弹出⼀个设置对话框，这时单击对话

框“已启⽤”单选项即可。通过此项设置，在“⽹络连接”⽂件夹和“开始菜单”中就不会出现“建⽴新连接”，其他⽤户（包括管理

员）

都⽆法启动“新建连接向导”。

4.禁⽤TCP/IP⾼级设置：

此项设置是确定⽤户是否可以配置⾼级TCP/IP设置。要打开“⾼级TCP/IP设置”对话框，在“⽹络连接”⽂件夹中右键单击连接图

标，选择“属性”，对于远程访问连接，请选择“⽹络”选项卡，在“由此连接使⽤检查过的组件”框中，单击“⽹际协议

（TCP/IP）→属性→⾼级”按钮。如果启⽤此设置（启⽤“为管理员启⽤⽹络连接设置”设置），就对所有⽤户（包括管理员）禁

⽤“⽹际协议（TCP/IP）属性”对话框上的“⾼级”按钮，因此⽤户不能打开“⾼级TCP/IP设置属性”页并修改IP设置（例如DNS和

WINS服务器信息）。所以要想控制所有⽤户对“⾼级TCP/IP设置”进⾏修改，我们可以在组策略中依次展开“⽤户配置→管理模

板→⽹络→⽹络连接”分⽀，在右窗⼝中双击“禁⽤TCP/IP⾼级设置”策略中单击“启⽤”即可。

5.关闭⽹络连接提⽰

在WinXP断开⽹络30秒后，会弹出⼀个拨号对话框，提⽰我们连接上⽹，给脱机⼯作带来很多不便，我们可以通过组策略将

其关闭。设置⽅法：⾸先启动组策略，在控制台窗⼝中依次展开“⽤户配置→管理模板→⽹络→脱机⽂件”分⽀，在右边的窗⼝

中双击“关闭提醒”策略，随后弹出⼀个设置对话框，在设置对话框“已启⽤”单选项上单击“OK”即可，这样我们以后再断开连接

就不再出现“⽹络连接”提⽰。 6.配置慢速连接速度

此项功能可以使⽹络在连接速度慢时⾃动控制⼀些脱机⽂件，减少脱机⽂件的同步流量，当检测到连接不上服务器时，也不会

再次拨号连接。设置此项时在组策略中依次展开“计算机配置→管理模板→⽹络→脱机⽂件”分⽀，在右侧窗⼝中双击“配置慢速

连接速度”策略，在弹出的设置框中点选“已启⽤”选项，随后在下⾯的输⼊框中输⼊⼀个值，如128 000bps我们需要输⼊1280

即可。值得注意的是：如果该设置没有被启⽤或配置，系统将以64 000bps为默认值来决定⽹络速度是否缓慢。当我们启⽤之

后，可以⾃定义缓慢连接值。

7.⽹络连接时启动程序

使⽤此设置指定⽤户登录到终端服务器时⾃动运⾏的程序，这样就可以替代“启动程序”设置，不会显⽰开始菜单和Windows桌

⾯，并且当⽤户退出程序时⾃动断开会话连接。要使⽤此设置，在控制台窗⼝中依次展开“⽤户配置→管理模板→Windows组

件→终端服务”分⽀，在右侧窗⼝中双击“连接时启动程序”策略，在弹出的设置对话框中“已启⽤”选项，并在“程序路径和⽂件

名”中键⼊要在⽤户登录时运⾏的可执⾏⽂件的路径和⽂件名，需要的话可以在“⼯作⽬录”中键⼊到达程序起始⽬录的路径。如

果将“⼯作⽬录”保留为空，程序则以默认⼯作⽬录运⾏，如果指定的程序路径、⽂件名或⼯作⽬录⾮法，则会导致终端服务器

连接失败，并显⽰⼀条错误消息。

8.⾃定义URL：

当⽤IE在⽹上浏览时，总会遇上⼀些不法⽹站⽤他们的⽹址定义我们的默认主页，即使重新设置仍然⽆效。这时我们不仅可以

通过软件和修改注册表，也可以通过“组策略”对其进⾏修改，⽅法是在控制台窗⼝中依次展开“⽤户配置→Windows设置

→Internet Explorer维护→URL”分⽀，在右窗⼝中双击“重置URL”，随后弹出⼀个设置对话框，其中有“⾃定义主页”、“⾃定义搜

索栏”、“⾃定义联机⽀持”3个复选项，我们可根据需要进⾏勾选。其中在⾃定义主页⽂本框中删除已有的主页⽹址，然后输⼊

需要的⽹址，在下⾯的⾃定义搜索栏中我们可以输⼊搜索引擎地址，以后在单击IE中的搜索按钮时将会⾃动连接到该页进⾏搜

索。在最下⾯的⾃定义联机⽀持项中可以输⼊⼀个联机浏览的⽹页，这样再单击IE帮助菜单中的“联机⽀持”命令，窗⼝中将⾃

动显⽰到该帮助页⾯。

9.禁⽌使⽤DNS域⽹络中的Internet连接共享

Internet连接共享（ICS）允许管理员将其系统作为Internet⽹关进⾏配置，从⽽提供了诸如名称转换和通过DHCP访问局部专

⽤⽹络的服务。

通过此策略可以确定管理员是否启⽤和配置Internet连接的共享功能及ICS服务是否可在计算机上运⾏。

⾸先在组策略中依次展开“计算机配置→管理模板→⽹络→⽹络连接”分⽀，这时在右侧窗⼝中双击“禁⽌使⽤DNS域⽹络中的

Internet连接共享”策略。如果启⽤此设置，管理员就⽆法启⽤

或配置ICS，并且不能在计算机上运⾏ICS服务，⽽且LAN连接或远程访问连接的“属性”对话框中的“⾼级”选项卡也将被删

除，Internet连接共享页将从“新建连接向导”中删除，并禁⽤“⽹络安装向导”。如果禁⽤或不配置此设置，并进⾏两次以上的连

接，管理员就可以启⽤ICS，⽤于LAN 连接或远程访问连接的“属性”对话框中的“⾼级”选项卡就变为可⽤，另外将会通过启

⽤“⽹络安装向导”和“进⾏新连接向导”中的Internet连接共享显⽰⽤户（“⽹络安装向导”仅在Windows XP Professional中可

⽤）。建议选择“禁⽤或不配置”选项。

重要提⽰：只有当计算机连接到相同DNS域⽹络时才应⽤此设置，如果连接到的DNS域⽹络不同，则不应⽤此设置。

10.让Windows XP上⽹速率提升20%

默认情况下，Windows XP限制了上⽹带宽的20%，利⽤组策略可取消对这部分带宽的限制。依次展开“计算机配置”→“管理模

板”→“⽹络”→“QoS数据包调度程序”项。然后双击窗⼝右边的“限制可保留带宽”项，在弹出对话框的“设置”标签中点选“已启

⽤”，并将下⾯的“带宽限制（%）”框中的20改为0。

完成这⼀步后，双击控制⾯板中的“⽹络连接”图标，在打开的“⽹络连接”窗⼝中右键单击你的拨号连接或本地连接并选中“属

性”，在弹出对话框中点选“⽹络”选项卡（笔者是拨号连接，因此选择“⽹络”，若为本地连接请点选“常规”选项卡），核实是否

已“√”选了“QoS数据包计划程序”。最后重新启动电脑，便可充分利⽤你的所有带宽了。

维护IE

1.⾃定义IE菜单：

我们通过“组策略”还可以⾃定义IE的菜单栏，其⽅法是：⾸先在控制台窗⼝中依次展开“⽤户配置→管理模板→Windows组建

→Internet Explorer→浏览器菜单”分⽀，这时我们可以看到“组策略”右侧窗⼝中出现⼀些设置项⽬，如在⽂件菜单中禁⽤另存为

项、隐藏收藏夹项、在查看菜单中禁⽤源⽂件菜单项等，在此可以根据需要进⾏选择配置。配置这些⽂件时双击某项设置，在

弹出的对话框中点选“已启⽤”选项即可，以后还可以在此对其进⾏恢复。

2.给IE标题栏添加⽂字

如果想为IE浏览器的标题栏添加⽂字，⾸先在控制台窗⼝中依次展开“⽤户配置→Windows设置→Internet Explorer维护→浏览

器⽤户界⾯”分⽀，在右窗⼝中双击“浏览器标题栏”策略，随后在弹出⼀个设置对话框，在此勾选“⾃定义标题栏”复选框，在下

⾯的“标题栏⽂字”⽂本框中输⼊要在标题栏上显⽰的⽂字，如武⾦刚的电脑等，随后单击“OK”即可。

3.为IE⼯具栏添加背景图案:

如果你已经看烦了IE⼯具栏中单调的背景颜⾊，那你想不想为它添加⼀个漂亮的背景图案？其实我们可以在组策略中轻松完成

这⼀设置。⾸先在控制台窗⼝中依次展开“⽤户配置→Windows设置→Internet Explorer维护→浏览器⽤户界⾯”分⽀，在右窗⼝

中双击“浏览器⼯具栏⾃定义”策略，随后弹出⼀个设置对话框，在“背景”项中点选“⾃定义⼯具栏背景位图”选项，单击右侧

的“浏览”按钮选择⼀个合适的图⽚⽂件，然后单击“OK”，刷新后，IE的⼯具栏是不是变得漂亮了？4.替换IE右上窗⼝中的动画

徽标：

当我们启动IE后，可以看到IE窗⼝的右上⾓有个微软的徽标，当我们连接到互联⽹之后，该徽标会不停飘动。其实我们也可以

通过“组策略”将它改为⾃⼰的“徽标”。在控制台窗⼝中依次展开“⽤户配置→Windows设置→Internet Explorer维护→浏览器⽤户

界⾯”分⽀，在右窗⼝中双击“⾃定义徽标”策略，随后弹出⼀个“⾃定义徽标和动画位图”对话框，在此我们勾选“⾃定义静态徽

标”和“⾃定义动画位图”两个复选项，随后我们看到此项⽬已经都被激活。单击“浏览”按钮即可选择⾃⼰需要的徽标图⽚，其中

静态徽标位图是指IE在脱机情况下所显⽰的徽标，动画徽标则是连接到Internet时的动画徽标，这时我们可以根据需要选择合

适的徽标，注意我们在选择徽标时需要选择⼀个⼤徽标和⼀个⼩徽标，其中⼤徽标⼤⼩为38×38像素，⼩徽标为22×22像素，

选择好后点击“OK”即可完成。

5.修改IE的“Internet选项”

如果你和别⼈共有⼀台电脑，当你对IE进⾏了必要的设置后，不想让他⼈进⾏修改，可以通过

组策略将Internet选项中的各项屏蔽掉。⾸先依次展开“⽤户配置→管理模板→Windows组建→Internet Explorer→Internet控制模

板”分⽀，此时在右窗⼝中出现禁⽤Internet选项的所有标签项策略。如果要屏蔽某⼀标签项，如常规标签项，在此双击“禁⽤常

规标签项”策略，然后在弹出的对话框中点选“已启⽤”选项即可将其屏蔽，以后我们需使⽤各项功能时点选“未配置”项即可将其

进⾏恢复。

6.禁⽌定期检查Internet Explorer软件更新

IE默认每隔30天检查⼀次是否有新版本，如果有则向⽤户发出通知，并提⽰进⾏版本更新，这样⼀来往往会泄漏我们计算机

中的⼀些重要数据，造成不必要的损失。为了防⽌IE⾃动检查是否有新版本以及在有新版本时通知⽤户，我们可以在组策略中

将其关闭。⽅法是在控制台窗⼝中依次展开“计算机配置→管理模板→Windwos组件→Internet Explorer”分⽀，然后双击“禁⽌定

期检查Internet Explorer软件更新”策略，在出现的对话中单击“已启⽤”选项即可。

⽹络安全设置

ticode安全设置

Authenticode安全策略可使证书颁发机构控制⽤户从⽹站上下载的内容，例如ActiveX控件和Java⼩程序。站点颁发机构是⽤

于Internet站点数字证书的⼀种形式，基于Authenticode技术，它可显⽰程序的来源并验证它们是否被更新。设置时⾸先在控

制台窗⼝中依次展开“⽤户配置→Windows 设置→Internet Explorer维护→安全”分⽀，在右窗⼝中双击“Authenticode设置”策

略，“Authenticode 安全性”中共有两个单选项，如果不希望⾃定义Authenticode安全信息，可以单击“不要⾃定义Authenticode

安全”项。如果想修改⽤于⽤户计算机的设置，单击“导⼊当前的发证机构信息”，然后单击“修改设置”，在弹出的“证书”对话框

中单击下⾯的“⾼级”按钮会弹出⼀个“⾼级选项”，并在下⾯勾选需要Authenticode控制的项⽬。在下⾯的“导出格式”中选择好需

要导出的证书格式，单击确定返回上⼀界⾯，如果我们以前有导出证书列表，在此我们也可以单击该界⾯中的“导⼊”按钮，按

照提⽰将列表导⼊即可，以后我们就可以使⽤“证书管理器”查看并管理证书颁发机构信息。

2.安全区域和内容的分级管理：

管理Internet Explorer的安全区域和内容分级来防⽌⽤户查看不合适的内容，内容分级控制了计算机可在Internet上访问的内容

类型。

设置“安全区域和内容的分级管理”时⾸先在控制台窗⼝中依次展开“⽤户配置→Windows设置→Internet Explorer维护→安全”分

⽀，在右窗⼝中双击“安全区域和内容分级”策略，其中有“安全区域和隐私”、“内容分级”两个设置项⽬，在“安全区域和隐私”中

的“不⾃定义安全区域”项表⽰略过为每个安全区域⾃定义设置，“导⼊当前安全区域设置”项表⽰可以为⽤户更改安全设置项

⽬，使⽤时单击右侧的“修改设置”按钮，在弹出的Internet属性中对安全和隐私各项进⾏设置。在下⾯的“内容分级”中“不⾃定义

安全区域”项表⽰略过为每个安全区域⾃定义设置，如果选中“导⼊当前安全区域设置”选项，单击右侧的“修改设置”按钮，在弹

出的“内容审查程序”对话框中对Internet访问的内容进⾏分级设置，其中包括暴⼒、裸体、性、语⾔4个级别，在此我们可以根

据需要进⾏点选。

3.禁⽌在DNS域⽹络上使⽤Internet连接防⽕墙

Internet连接防⽕墙是⼀种全状态的分组筛选器，此分组筛选器可使家庭⽤户和⼩型办公室⽤户免于Internet⽹络的安全威胁。

此策略确定⽤户是否可在连接时启⽤防⽕墙及防⽕墙服务是否可在计算机上正常运⾏。依次展开“计算机配置→管理模板→⽹络

→⽹络连接”分⽀，这时在右侧窗⼝中双击“禁⽌在DNS域⽹络上使⽤Internet连接防⽕墙”策略。其中有3个选项，如果启⽤此设

置，⽤户（包括管理员）就可启⽤或配置防⽕墙，并且防⽕墙服务不能在计算机上运⾏，通过“⾼级”选项卡启⽤防⽕墙的选项

就会被删除。另外将不会为通过“进⾏新连接向导”创建的远程访问连接启⽤防⽕墙，并禁⽤“⽹络安装向导”。如果禁⽤或不配

置此设置，创建LAN连接或VPN连接时就禁⽤防⽕墙，但⽤户可使⽤连接属性中的“⾼级”选项卡启⽤此设置。默认为启⽤

Internet连接防⽕墙，另外通过“进⾏新连接向导”创建的远程访问连接也将启⽤防⽕墙。建议选择“禁⽤或不配置”选项。

局域⽹⽹络维护及远程协助

1.禁⽌⽤户更改局域⽹（LAN）中的连接属性

作为⼀个⽹络管理员，将⽹络中的连接属性设好后，不希望⽤户对其进⾏更改，在此我们可以从组策略中对其进⾏设置。⾸先

在组策略中依次展开“⽤户配置→管理模板→⽹络→⽹络连接”分⽀，在右窗⼝中双击“禁⽌访问LAN连接属性”策略，此设置确定

是否启⽤“属性”菜单项以及“局域连接属性”对话框是否对⽤户可选⽤。双击“禁⽌访问LAN连接属性”策略，在弹出的对话框中共

有3个选项，其中“已启⽤”项表⽰⽤户将不可使⽤LAN连接属性对话框内的任何功能，所有⽤户禁⽤“属性”菜单，并且不能打

开“局域连接属性”对话框。如果禁⽤或不配置此设置，右键单击代表LAN连接的图标时就会出现“属性”菜单项，同样，当⽤户

选择此连接时，就会启⽤“⽂件”菜单上的“属性”。

2.删除所有⽤户远程访问连接

在局域⽹中的所有⽤户可以创建远程访问连接通过局域⽹实现远程访问，可是这样给局域⽹的管理带来很⼤⿇烦，其实我们可

以在组策略中禁⽌⽤户使⽤远程访问连接。⾸先在组策略中依次展开“⽤户配置→管理模板→⽹络→⽹络连接”分⽀，在右窗⼝

中双击“删除所有⽤户远程访问连接”策略，在弹出的对话框中我们可以对其进⾏设置。如果启⽤此设置，所有⽤户可删除共享

远程访问连接，如果禁⽤此设置，将⽆法删除所有⽤户的远程访问连接；如果不配置此设置，则只有管理员和⽹络配置操作员

才可以删除所有⽤户的远程访问连接。在此我们可以根据需要进⾏选择。

3.禁⽌添加/删除局域⽹连接或远程访问连接的⽹络组件

此项策略可以确定管理员是否可以添加和删除⽤于LAN连接或远程访问连接的⽹络组件，此设置并不会对⼀般⽤户产⽣影响。

使⽤此项设置时⾸先在组策略中依次展开“⽤户配置→管理模板→⽹络→⽹络连接”分⽀，在右窗⼝中双击“禁⽌添加/删除局域⽹

连接或远程访问连接的⽹络组件”策略，弹出该策略设置对话框。

如果启⽤此设置，就会禁⽤⽤于连接组件的“安装”和“卸载”按钮，并且不允许管理员访问“Windows组件向导”中的⽹络组件，即

不能安装或卸载⽹络组件。如果禁⽤或不配置此设置，就会启⽤⽤于“⽹络连接”⽂件夹中连接组件的“安装”和“卸载”按钮，同样

管理员也可访问“Windows 组件向导”中的⽹络组件。在此我们可以根据需要进⾏选择。

4.请求远程协助

在⽤户不使⽤频道、电⼦邮件、Instant Messenger等明确请求的情况下，使⽤此设置决定⽀持⼈员或IT管理员（下⽂称之

为“专家”）能否为此计算机提供远程协助。若启⽤此设置，即启⽤请求的远程协助，⽤户可以请求帮助，专家可以与其计算机

连接。注意，发送⼀个帮助的请求并没有授予专家与你的计算机连接或控制的权限。当专家尝试连接时，⽤户仍然有机会接受

或拒绝连接（只授予专家查看⽤户桌⾯的权利）。启⽤这些设置时⾸先在组策略中依次展开“计算机配置→管理模板→远程协

助”分⽀，在右窗⼝中双击“请求的远程协助”策略，弹出该策略设置对话框选择“已启⽤”选项，这时下⾯的各选项已被激活。其

中“允许远程控制此计算机”表⽰允许选择专家是否能够远程控制此计算机，或只让专家远程查看⽤户的桌⾯。“最长票证时

间”这个设置控制⽤户有效请求帮助的最长时间，在此我们可以根据需要进⾏填写。

设置好“请求的远程协助”还需要对“提供远程协助”项进⾏设置，在组策略中依次展开“计算机配置→管理模板→远程协助”分⽀，

在右窗⼝中双击“提供远程协助”策略。使⽤此设置，专家可以向你的计算机提供远程协助，在弹出的对话框中选择“已启⽤”选

项，在下⾯的“允许远程控制此计算机”项中我们可以选择好专家控制计算机的⽅式。单击“显⽰”，这将打开⼀个可以输⼊帮助

者名称的新窗⼝，⼀个个地添加或组。当输⼊帮助者⽤户或⽤户组群时，使⽤下列格式:

or，设置后单击“确定”按钮即可。

怎么样，通过对组策略的各项修改现在计算机的⽹络设置是不是增强了许多？在以后的操作中我们如果能充分⽤好组策略可极

⼤满⾜⽤户对⽹络各项设置的需要。