组策略常用设置详解

 组策略常用设置详解
用户配置-管理模板-系统

登录时不显示欢迎屏幕

抑制欢迎屏幕。
这项设置在每次用户登录时将 Windows 2000 Professional 和 Windows XP Professional 欢迎屏幕隐藏。
用户仍旧可以通过在「开始」菜单选择或在运行对话框中键入“Welcome”来显示欢迎屏幕。
这项设置时适用于 Windows 2000 Professional 和 Windows XP Professional。它不会影响到 Windows 2000 Server 上的“在 Windows 2000 Server 上配置您的服务器”屏幕。
注意: 这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设置，“计算机配置”中的设置比“用户配置”中的设置优先。
窍门: 要显示欢迎屏幕，请单击开始、指向程序、指向附件指向系统工具然后单击“开始”。要在不指定设置的情况下抑制欢迎屏幕，请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”。

2000 年份转译

决定程序如何转译用两位数字表示的年份。
这个设置将最大的两位数字的年份指定为以 20 打头。所有小于和等于指定数值的数字被转译成以 20 打头的。所有大于指定数值的数字被转译成以 19 打头的。
例如，默认数值--2029 指定所有小于和等于 29 (00 到 29)的两位数字的年份被转译成以 20 打头的，即 2000 到 2029。相反，所有大于 29 (30 到 99)的两位数字的年份被转译成以 19 打头的，即 1930 到1999。
这个设置只影响用这个 Windows 功能转译两位数字的年份的程序。如果程序无法正确转译两位数字的年份，请查阅程序的文档或询问制造商。

配置驱动程序搜索位置

此设置配置查找到新硬件时 Windows 将要搜索驱动程序的位置。
默认情况下，Windows 将在下列位置搜索驱动程序: 本地安装、软盘驱动器、CD-ROM 驱动器、Windows Update。
使用此设置，您可以从搜索范围删除软盘或 CD-ROM 驱动器。
如果启用此设置，您可以通过选择位置名称旁边的相关复选框，删除这三个位置中的任何位置。
如果禁用或不配置此设置，Windows 将搜索安装位置、软盘驱动器、CD-ROM 驱动器。
注意: 要阻止搜索 Windows Update 以查找驱动程序，您可以参阅“管理模板/系统/Internet 通信管理/Internet 通信设置”中的“关闭 Windows Update 设备驱动程序搜索”。

设备驱动程序的代码签名

决定用户安装没有经过数字签名的设备驱动程序文件时系统如何响应。
这个设置建立组用户的系统上所允许的最不安全的响应。用户可以用“控制面板”中的“系统”来选择一个更安全的设置；但当这个设置被启用时，系统不会使用任何比设置建立的设置更不安全的设置。
启用这个设置时，用下拉框来指定需要的响应。
--“忽略”指引系统在包括未经签名的文件的情况下继续安装。
--“警告”通知用户文件没有经过数字签名，并让用户决定是否要停止还是继续安装并允许安装未经签名的文件。“警告”是默认值。
--“阻碍”指引系统拒绝安装未经签名的文件。结果是，安装会停止，驱动程序包中的文件不会得到安装。
不指定设置就改变驱动程序文件安全设置，请用“控制面板”中的“系统”。右键单击“我的电脑”，单击“属性”，单击“硬件”选项卡，然后单击“驱动程序签名”按钮。

自定义用户界面

为 Windows 2000 指定另一个用户界面。
Explorer 程序(%systemdrive%/program files/internet explorer/iExplorer.exe)创建熟悉的 Windows 界面，但您可以使用这个设置指定另一个界面。如果启用这个设置，系统会启动您指定的界面，而不启动 Explorer.exe。
要使用这个设置，将界面程序复制到网络共享或系统驱动器。然后，启用这个设置，在内壳名称文字框中键入界面程序的名称，包括文件扩展名。如果界面程序文件不在系统的路径环境变量中指定的文件夹中，则输入文件的完全合格的路径。
如果停用或不配置这个设置，设置被忽略，系统不显示 Explorer 界面。
提示: 要查找路径环境变量指定的文件夹，请单击“控制面板”中的“系统属性”，单击“高级”选项卡，单击“环境变量”按钮，然后在“系统变量”框中单击 Path。

阻止访问命令提示符

防止用户运行交互式命令提示 Cmd.exe。这个设置还决定批文件(.cmd 和 .bat)是否可以在计算机上运行。
如果启用这个设置，用户试图打开命令窗口，系统会显示一个消息，解释设置阻止这种操作。
注意: 如果计算机使用登录、注销、启动或关闭批文件脚本，不防止计算机运行批文件；也不防止使用终端服务的用户运行批文件。

阻止访问注册表编辑工具

禁用 Windows 注册表编辑器 Regedit.exe。
如果这个设置被启用，并且用户试图启动注册表编辑器，解释设置禁止这类操作的消息会出现。要防止用户使用其它系统管理工具，请使用“只运行许可的 Windows 应用程序”设置。

只运行许可的 Windows 应用程序

限制用户可以在计算机上运行的 Windows 程序。
如果您启用这个设置，用户只能运行您加入“允许运行的应用程序列表”中的程序。
这 个设置只能防止用户从 Windows 资源管理器启动程序。无法防止用户用其它方式启动程序，例如任务管理器，因为它是从系统启动程序。如果用户可以访问“命令提示符”(Cmd.exe) 的话，这个设置无法防止用户从命令窗口启动不允许在 Windows 资源管理器中运行的程序。
注意: 对于有 Windows 2000 或更新版本的证明的第三方应用程序，要求附加此设置。注意: 要创建允许的文件列表，单击“显示”，单击“添加”，然后输入应用程序的执行文件名称(例如，Winword.exe，Poledit.exe， Powerpnt.exe)。

不要运行指定的 Windows 应用程序

防止 Windows 运行您在这个设置中指定的程序。
如果启用这个设置，用户则无法运行添加到不允许的应用程序列表的程序。
这 个设置只阻止用户运行 Windows 资源管理器启动的程序。不阻止用户运行由系统过程或其它过程启动的程序，如任务管理器。同时，如果您允许用户访问命令提示符 Cmd.exe，这个设置不防止用户在命令窗口启动他们不能用 Windows 资源管理器启动的程序。注意: 要创建一个不允许的应用程序列表，单击“显示”，单击“添加”，然后输入应用程序的执行文件名称(例如，Winword.exe， Poledit.exe，Powerpnt.exe)。

关闭自动播放

关闭自动运行功能。
一旦您将媒体插入驱动器，自动运行就开始从驱动器中读取。这会造成程序的设置文件和在音频媒体上的音乐会立即开始。
在默认的情况下，自动运行在软盘驱动器和网络驱动器上禁用 (但不在 CD-ROM 驱动器上禁用)。
如果您启动这项设置，您还可以在 CD-ROM 驱动器禁用自动运行或在所有驱动器上禁用自动运行。
这项设置在驱动器的其它类别中禁用自动运行。您不能用这项设置在默认禁用的驱动器上启用自动运行。
注意: 这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。
注意: 此设置不阻止自动播放音乐 CD。

限制这些程序从帮助启动

允许您限制程序从联机帮助中运行。
如果启用这个设置，您可以阻止指定的程序被允许从帮助运行。启用这个设置时，输入您要限制的程序的列表。输入每个应用程序的执行文件名，并以逗号分隔。
如果禁用或不配置这个设置，用户将可以从联机帮助运行应用程序。
注意: 您也可以使用“计算机配置/安全设置”中的软件限制设置来限制用户运行应用程
注意: 这个设置位于计算机配置和用户配置。如果同时设置，每个设置中指定的程序列表都将被限制。

下载丢失的 COM 组件

让系统在 Active Directory 中搜索丢失的、程序需要的“组件对象模式”(COM) 组件。
许多 Windows 程序如: MMC 即插即用使用由 COM 提供的界面。除非 Windows 已经内部注册了所需的组件，这些程序不能提供所有的功能。
如果您启用了这个设置但是缺少一个组件的注册，请让系统在 Active Directory 中寻找，如果找到了，请将其下载。寻找的结果可能会使某些程序开始或运行缓慢。
如果您禁用这个设置或不配置它，程序会在没有注册的情况下继续。如果这样，该程序可能无法运行其全部功能，或者会终断。
这个设置出现在“计算机配置”和“用户配置”文件夹中。如果两个设置都配置，计算机配置中的设置比“用户配置”中的设置优先。

Windows 自动更新

此设置控制自动更新到用户的计算机。
每当用户连接到 Internet，Windows 搜索用户计算机上的可用更新，并自动下载它们。此操作在后台发生，根据配置的具体情况，在下载的组件准备好安装时或在下载之前，用户会得到提示。
如果启用此设置，它就禁止 Windows 搜索更新。
如果禁用或不配置此设置，Windows 就搜索更新并自动下载它们。
注意:Windows Update 是为包含诸如驱动程序、关键更新、帮助文件和 Internet 产品这样的项目自定义的联机目录，您可以下载 Internet 产品不断更新计算机。
另请参阅“删除到 Windows Update 的链接和访问”设置。如果启用“删除到 Windows Update 的链接和访问”设置，同时也会删除到“开始菜单”上的“Windows Update”的链接。
注意: 如果您安装了 Windows XP Service Pack 1 或者安装了在 Windows XP 发布后所发布的自动更新，则您应该使用新的自动更新设置，位于: 计算机配置 / 管理模板 / Windows Update

关闭 Windows Update 设备驱动程序搜索提示

指定是否提示管理员即将使用 Internet 搜索 Windows Update 以查找设备驱动程序。
注意: 此设置仅在“管理模板/系统/Internet 通信管理/Internet 通信设置”中的“关闭 Windows Update 设备驱动程序搜索”禁用或未配置时起作用。
如果启用此设置，则不会提示管理员即将搜索 Windows Update。
如果禁用或不配置此设置并且“关闭 Windows Update 设备驱动程序搜索”被禁用或未配置，将提示管理员即将转到 Windows Update 搜索设备驱动程序。

用户配置-管理模板-系统-用户配置文件

将宿主目录连接到共享根目录

将环境变量 %HOMESHARE% 和 %HOMEPATH% 的定义还原成 Windows NT 4.0 和以前版本使用的定义。
如果您启用该设置，系统将使用 Windows NT 4.0 的定义。如果您禁用该设置或者没有配置它，系统使用 Windows 2000 操作系统的新定义。
与 %HOMEDRIVE% 一起，这些变量定义了用户配置文件的主目录。主目录是本地或远程目录到本地计算机上磁盘驱动器号的永久映射。
在 默认情况下，Windows 2000 Server 家族中，%HOMESHARE% 存储指向主目录的完整合法路径 (例如 //server/share/dir1/dir2/homedir)。用户可以从主驱动器号访问主目录以及其任何子目录，但不能看到或者访问其父目录。 %HOMEPATH% 存储最终的反斜杠，并且用于与以前版本兼容。
在 Windows NT 4.0 以前版本中，%HOMESHARE% 仅存储网络共享名 (例如 //server/share)。%HOMEPATH% 存储主目录完整合法路径的其余部分 (例如 /dir1/dir2/homedir)。结果是，用户可以使用主目录驱动器号访问主共享上的任何目录。
提示: 要在 Windows 2000 Server 家族中指定主目录，在“ Active Directory 用户和计算机”或者“本地用户和组”中，右键单击某个用户帐号，单击“属性”，单击“配置文件”选项卡，在“主文件夹”段中，选择“连接”选项并且选择驱 动器号和主目录。
示例: 驱动器 Z 被映射到 //server/share/dir1/dir2/homedir。
如果该设置被禁用或者没有配置 (Windows 2000 行为):
-- %HOMEDRIVE% = Z: (映射到 //server/share/dir1/dir2/homedir)
-- %HOMESHARE% = //server/share/dir1/dir2/homedir
-- %HOMEPATH% = /
如果该设置被启用 (Windows NT 4.0 行为):
-- %HOMEDRIVE% = Z: (映射到 //server/share)
-- %HOMESHARE% = //server/share
-- %HOMEPATH% = /dir1/dir2/homedir

限制配置文件大小

设置每个用户配置文件的最大值并决定系统在用户配置文件达到最大值时如何响应。
如果停用或不配置这个设置，系统不限制用户配置文件的大小。
如果启用这个设置，您可以执行以下操作:
-- 设置允许的用户配置文件最大值；
-- 决定注册表文件是否包括在配置文件大小的计算中；
-- 决定在配置文件超出所允许的最大值时是否通知用户；
-- 指定自定义消息，通知用户有超过大小的配置文件；
-- 决定显示自定义消息的频率。
注意: 此设置同时影响本地和漫游配置文件。

不包括漫游配置文件中的目录

允许您添加到从漫游用户配置文件排除的文件夹的列表。
这个设置允许您排除通常包括在用户的配置文件中的文件夹。结果是，这些文件夹不需要储存在配置文件所在网络服务器，并且不跟随用户到其它计算机上。
在默认情况下，“历史”、“本地设置”、Temp 和“临时 Internet 文件”文件夹都从用户的漫游配置文件被排除。
如果启用这个设置，您可以排除其它文件夹。
如果停用或不配置这个设置，只有默认文件夹被排除。
注意: 您不能用这个设置将默认文件夹包括到漫游用户配置文件中。

用户配置-管理模板-系统-脚本

同步运行登录脚本

指示系统在开始 Windows 资源管理器界面程序和创建桌面之前等待标识脚本完成运行。
如果您启用了这项设置，Windows 资源管理器在标识脚本完成运行之前不会开始。这个设置保证在用户开始工作之前完成标识脚本处理，但是它会延缓桌面的显示。
如果您禁用或不配置这项设置，标识脚本和 Windows 资源管理器不同步并可以同时运行。
这项设置出现在“计算机配置”和“用户配置”文件夹中。如果两项设置都启用，在“计算机配置”中的设置比“用户配置”中的设置优先。

以隐藏形式运行现用登录脚本

隐藏为 Windows NT 4.0 和更早版本写的登录脚本的说明。
登录脚本是指当用户登录试运行的说明批文件。在默认情况下，在运行时 Windows 2000 在命令窗口中显示为 Windows NT 4.0 和更早版本写的登录脚本的说明，虽然它不显示为 Windows 2000 写的登录脚本。
如果您启用这项设置，Windows 2000 不会显示为 Windows NT 4.0 和更早版本写的登录脚本。
还可参阅“以可见形式运行登录脚本”设置。

以可见形式运行登录脚本

在登录脚本运行期间显示其中的指令。
登录脚本是用户登录时运行的指令批文件。在默认情况下，系统不显示登录脚本中的指令。
如果启用这个设置，系统会在登录脚本运行时显示每个指令。指令出现在命令窗口。这个设置是为高级用户设计的。
如果停用或不配置这个设置，指令则不会显示。

显示注销脚本的运行状态

在注销脚本运行期间显示其中的指令。
注销脚本是用户注销时运行的指令批文件。在默认情况下，系统不显示注销脚本中的指令。
如果启用这个设置，系统会在注销脚本运行时显示每个指令。指令出现在命令窗口。这个设置是为高级用户设计的。
如果停用或不配置这个设置，指令则不会显示。

用户配置-管理模板-系统-Ctrl+Alt+Del选项

删除“任务管理器”

防止用户启动“任务管理器”(Taskmgr.exe)。
如果该设置被启用，并且用户试图启动任务管理器，系统会显示消息，解释是一个策略禁止了这个操作。
任务管理器让用户启动或终止程序，监视计算机性能，查看及监视计算机上所有运行中的程序 (包含系统服务)，搜索程序的执行文件名，及更改程序运行的优先顺序。

删除“锁定计算机”

防止用户锁定系统。
锁定后，桌面会被隐藏，而且系统无法使用。只有锁定系统的用户或系统管理员才能解除锁定。
提示: 不配置设置而锁定计算机，请按 Ctrl+Alt+Delete，然后单击“锁定计算机”。

删除“更改密码”

防止用户按需更改他们的 Windows 密码。
这个设置停用 Windows 安全设置对话框上的“更改密码”按钮(按 Ctrl+Alt+Del 时，该按钮会出现)。
但是，用户在得到系统提示时依旧可以更改密码。管理员要求新密码和密码要过期时，系统会提示用户输入新密码。

删除注销

防止用户注销。
这个设置不允许用户使用任何方法从系统注销，包括从命令行运行的程序，如脚本。该设置同时还停用或删除所有注销用户的菜单项目和按钮。
同时，参阅“删除「开始」菜单上的‘注销’”设置。

用户配置-管理模板-系统-登录

在用户登录时运行这些程序

当用户在系统上登录，指定 Windows 自动开始的额外的程序或文件。
要使用这项设置，请单击“显示”，单击“添加”并且在文字栏中键入可执行程序 (.exe) 文件或文档文件的名称。您必须指定到此文件的完全合格的路径，除非它位于
%Systemroot% 目录。
注意: 这个设置出现在“计算机配置”和“用户配置”文件夹中。如果两个设置都配置，系统会先开始计算机配置中的设置然后才开始用户配置中的设置。
还可参阅“不处理旧的运行列表”和“不处理只运行一次列表”设置。

不处理只运行一次列表

忽略自定义只运行一次列表。
您可创建一个在系统下一次开始时(但仅此一次)自动开始的额外程序和文档自定义列表。这些程序添加到由系统开始的标准程序和服务列表中。
如果您启用这项设置，系统忽略只运行一次的列表。
如果您禁用或不配置这个设置，系统就会运行在只运行一次的列表中的程序。
这项设置出现在“计算机配置”和“用户配置”文件夹中。如果两项设置都配置，那么“计算机配置”中的设置比“用户配置”优先。
注意: 自定义只运行一次列表保存在 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce 中的注册表中。
还可参阅“不处理旧的运行列表”设置。

不处理旧的运行列表

忽略自定义运行列表。
在 Windows XP Professional 、Windows 2000 Professional 、Windows NT Workstation 4.0 及其更低版本上，您可以创建一个自定义的附加程序和文档列表，列表中的程序和文档可在系统运行时自动启动。这些程序被添加到系统启动的程序和服务的标准运 行列表中。
如果启用此设置，系统将忽略为 Windows NT Workstation 4.0、Windows 2000 Professional 和 Windows XP Professional 配置的运行列表。
如果禁用或不配置此设置，Windows 2000 将把为 Windows NT 4.0 及更低版本配置的自定义运行列表添加到其运行列表中。
此策略出现在“计算机配置”文件夹和“用户配置”文件夹中。如果配置了两项策略，则“计算机配置”中的设置优先于“用户配置”。
注意:要通过使用策略创建自定义运行列表，请使用“启动时运行这些应用程序”设置。
Windows NT 4.0 及更低版本的自定义运行列表存储在注册表的 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run 和 HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/Run 中。可以使用 Windows NT 4.0 及更低版本的系统策略编辑程序中的“运行”策略进行配置。
另请参阅“不处理只运行一次列表”设置。

用户配置-管理模板-系统-组策略

用户组策略刷新间隔

指定当计算机在使用中时，用户策略的后台更新频率。这个策略只指定在“用户配置”文件夹中的组策略的后台更新频率。
除了后台更新之外，在系统启动时也会进行计算机组策略更新。
在默认情况下，计算机组策略会每隔 90 分钟更新一次，并将时间作 0 到 30 分钟的随机调整。
您可以指定 0 到 64,800 分钟 (45 天) 的时间间隔。如果您选择 0 分钟，计算机会试图每隔 7 秒进行组策略更新。但是更新操作会影响用户工作，而且会增加网络流量，请尽量不要设置太短的更新间隔。
如果您禁用这个策略，组策略会每隔 90 分钟更新一次(默认值)。如果您不想在计算机使用时进行策略更新，请选择“禁用组策略的后台刷新”策略。
这 个策略也可以让您指定实际的更新速度变化。为了阻止数个客户端同时发出更新请求，系统会使用随机数值来调整更新时间。您在随机时间框中所键入的数值将会成 为随机调整的时间上限。例如如果您键入 30 分钟，系统会选择 0 到 30 分钟的随机时间。键入较大的数值会放宽时间上限，而且会减少客户端更新要求重叠的机会，但是会导致明显的更新延迟。
重要须知: 如果启用“停用组策略后台刷新”策略，该策略则被忽略。
注意: 这个策略建立计算机组策略的更新频率，如果您要设置用户组策略的更新频率，请使用“计算机组更新间隔”策略 (位于计算机配置/管理模板/系统/组策略)。
提示: 建议您通知用户会每隔一段时间更新策略。当组策略更新时，Windows 桌面会被刷新。桌面可能会产生短暂闪烁并且会关闭打开的菜单。组策略造成的限制可能会导致用户无法运行某些程序。

组策略慢速链接检测

为了应用和更新组策略而定义慢速连接。
如果从提供策略更新的域控制器到这个组中的计算机的数据传输速度低于这个设置指定的速度，系统则认为连接很慢。
介于策略之间，系统对慢速策略连接的反应不同。执行策略的程序可以指定如果对慢速链接作出反应。同时，这个文件夹中的“策略处理”设置允许您替代指定的程序对慢速链接的反应。
要使用这个设置，在“连接速度”对话框中，键入介于 0 和 4,294,967,200 (0xFFFFFFA0)之间的十进制数字，表明单位为每秒千比特的传输速度。比这个速度慢的连接都被认为是慢的。如果键入 0，所有的连接都是较快的。
如果停用或不配置这个设置，系统则使用默认值，每秒 500 千位。
这个设置出现在“计算机配置”和“用户配置”文件夹中。“计算机配置”中的设置为“计算机配置”文件夹中的策略定义慢速链接。“用户配置”中的策略为“用户配置”文件夹中的设置定义慢速链接。
同时参阅，计算机配置/管理模板/系统/用户配置文件中的“不检测缓慢网络连接”及相关策略。注意: 如果配置文件服务器有 IP 连接，连接速度设置将被使用。如果配置文件服务器没有 IP 连接，SMB 计时将被使用。

“组策略”域控制器选择

确定组策略对象编辑器管理单元使用哪一个域控制器。
--“使用主域控制器”表示组策略对象编辑器管理单元读取并将更改写入设计为域 PDC 操作主机的域控制器。
--“从 Active Directory 管理单元继承”表示组策略对象编辑器管理单元读取并将更改写入 Active Directory 用户和计算机或 Active Directory 站点和服务的管理单元所使用的域控制器。
--“使用任何可用的域控制器”表示组策略对象编辑器管理单元读取并将更改写入域控制器。
如果您禁用或不配置这个设置，组策略对象编辑器管理单元将使用设计为域 PDC 操作主机的域控制器。
注意: 为域更改 PDC 操作主机，请在 Active Directory 用户和计算机上右键单击一个域，然后单击“操作主机”。

创建新的组策略对象链接，默认成禁用

在禁用的状态下创建新组策略对象链接。
这个设置在禁用的状态下以默认方式创建所有组策略对象链接。在您通过使用策略兼容的组策略管理工具(例如 Active Directory 用户和计算机或 Active Directory 站点和服务)配置并检测新对象链接后，您可在系统上启动对象链接以供使用。
若您禁用或不配置这项设置，将在启用状态下创建新的对象链接。如果您不想在配置和测试之前使其生效，您必须要禁用对象链接。

新组策略对象的默认名称

为新的组策略对象设置默认显示名称。
此设置使您可以为从符合策略的“组策略管理”工具创建的新组策略对象指定默认名称，这些工具包括 Active Directory 工具和 GPO 浏览器中的“组策略”选项卡。
显示名称可以包含环境变量，其长度最大为 255 个字符。
如果此设置为“禁用”或“未配置”，则使用新组策略对象的默认显示名称。

只强制显示策略

防止管理员查看或使用组策略首选项。
组 策略管理(.adm)文件可包含真正的设置和首选项。完全受组策略支持的真正的设置必须使用在 Software/Policies 或 Software/Microsoft/Windows/CurrentVersion/Policies 注册表子项中的注册表项。完全受组策略支持的首选项，使用其它子项中的项。
如果启用了这个设置，启用了“仅显示策略”命令并且管理员无法将其关闭。结果是组策略对象编辑器只显示真正的设置; 不显示首选项。
如果您禁用或不配置这项设置，默认启动“仅显示策略”命令，但是管理员可通过关闭“仅显示策略”命令来查看首选项。
注意: 要找到“仅显示策略”命令，在组策略对象编辑器中单击管理模板文件夹(哪一个均可)，然后右键单击同一文件夹，然后指向“查看”。
在组策略对象编辑器中，首选项与蓝色图标的真正的设置不同，首选项的图标是红色的。

关闭自动更新 ADM 文件

在您打开“组策略对象编辑器”时可以防止系统自动更新“管理模板”源文件。如果管理员关心在 DC 的系统卷上使用的空间量，则他们可能希望使用此设置。
默认情况下，在您启动“组策略对象编辑器”时，会对本地 %SYSTEMROOT%/inf 目录中的源文件与存储在 GPO 中的源文件进行时间戳比较。如果本地文件较新，则会将它们复制到 GPO 中。
将此设置的状态更改为“启用”，会阻止将任何源文件复制到 GPO。
将此设置的状态更改为“禁用”，则强制执行默认行为。如果文件具有较新的时间戳，则总是将其复制到 GPO。
注意: 如果使用“计算机配置”策略设置，且启用“对于组策略对象编辑器，总是使用本地 ADM 文件”，则忽略此设置的状态并始终视为“启用”。

不允许交互用户生成策略的结果集数据

此设置控制用户查看其策略的结果集 (RSoP) 数据的能力。
默认情况下，交互登录用户可以查看其策略的结果集 (RSoP) 数据。
如果启用此设置，交互用户就无法生成 RSoP 数据。
如果不配置或禁用此设置，交互用户就能够生成 RSoP。
注意:此设置不会对管理员产生影响。如果启用或禁用此设置，默认情况下，管理员可以查看 RSoP 数据。
注意:要在客户端上查看 RSoP 数据，请使用 Microsoft 管理控制台的 RSoP 管理单元。您可以通过键入 RSOP.msc 从命令行启动 RSoP 管理单元。
注意:此设置作为用户配置和计算机配置设置而存在。
另请参阅 计算机配置/管理模板/系统/组策略 中的“关闭策略的结果集记录”设置。

用户配置-管理模板-系统-电源管理

从休眠/挂起恢复时提示输入密码

该设置允许您将客户端计算机配置成从休眠或挂起恢复时保持锁定。
如果启用该设置，计算机配置成从挂起或休眠状态返回时将保持锁定。
如果禁用或不配置该设置，用户可以决定计算机执行恢复操作后是否自动锁定。

用户配置-管理模板-系统-Internet通信管理

Internet 通信设置

指定 Windows 是否可以访问 Internet 以完成需要 Internet 资源的任务。
如果启用此设置，在“Internet 通信设置”部分中列出的所有策略设置将设置为启用。
如果禁用此设置，在“Internet 通信设置”部分中列出的所有策略设置将设置为禁用。
如果不配置此设置，在“Internet 通信设置”部分中列出的所有策略设置将设置为未配置。

用户配置-管理模板-系统-Internet通信管理-Internet通信设置

关闭文件和文件夹的“发布到 Web”任务

指定 Windows 文件夹中的“文件和文件夹”任务是否包含“将这个文件发布到 Web”、“将这个文件夹发布到 Web”和“将选择的项目发布到 Web”任务。
Web 发布向导用于下载提供商的列表并允许用户将内容发布到 Web。
如果启用此设置，将从 Windows 文件夹中的“文件和文件夹”任务删除这些任务。
如果禁用或不配置此设置，将显示这些任务。

关闭“Web 发布”和“联机订购向导”的 Internet 下载

指定 Windows 是否应该为 Web 发布和联机订购向导下载提供商的列表。
这些向导允许用户从提供服务(如联机存储和照片打印)的公司的列表选择。默认地，Windows 显示从 Windows 网站下载的提供商及注册表中指定的提供商。
如果启用此设置，Windows 将不下载提供商，只显示本地注册表中缓存的服务提供商。
如果禁用或不配置此设置，用户使用 Web 发布或联机订购向导时将下载提供商的列表。
请参阅有关 Web 发布和联机订购向导的文档获得更多信息，包括在注册表中指定服务提供商的详细信息。

关闭“订购图片”图片任务

指定 Windows 文件夹中的“图片任务”是否包含“联机订购图片”任务。
“联机订购图片”向导用于下载提供商的列表并允许用户联机订购图片。
如果启用此设置，将从 Windows 文件夹中的“图片任务”删除“联机订购图片”任务。
如果禁用或不配置此设置，将显示该任务。

关闭 Windows Messenger 客户体验改善活动

指定 Windows Messenger 是否收集有关如何使用 Windows Messenger 软件和服务的匿名信息。
通过客户体验改善计划，用户可以允许 Microsoft 收集如何使用产品的匿名信息。此信息用于改善以后发布的产品。
如果您启用此设置，Windows Messenger 将不收集使用信息，启用收集使用信息的用户设置不会显示。
如果您禁用此设置，Windows Messenger 将收集匿名使用信息，设置不会显示。
如果您不配置此信息，用户将可以选择是否允许收集信息。

关闭 Internet 文件关联服务

指定是否使用 Microsoft Web 服务查找应用程序以打开不带文件关联的文件。
当用户打开的文件其扩展名没有与计算机上的任何程序关联，就可以选择本地应用程序或使用 Web 服务查找应用程序。
如果启用此设置，使用 Web 服务打开不带文件关联的文件的链接和对话框将不显示。
如果禁用或不配置此设置，将允许用户使用 Web 服务。

关闭通过 HTTP 打印

指定是否允许从此客户端通过 HTTP 打印。
通过 HTTP 打印允许客户端打印到 intranet 及 Internet 上的打印机。
注意: 此设置仅影响 Internet 打印的客户端。它不阻止该计算机充当 Internet 打印服务器并使其成为通过 HTTP 可用的共享打印机。
如果启用此设置，它阻止该客户端通过 HTTP 打印到 Internet 打印机。
如果禁用或不配置此设置，用户将可以选择通过 HTTP 打印到 Internet 打印机。
请参阅“计算机配置/管理模板/打印机”中的“基于 Web 打印”。

关闭通过 HTTP 下载打印驱动程序

指定是否允许客户端通过 HTTP 下载打印驱动程序包。
为了设置 HTTP 打印，需要通过 HTTP 下载产品盒中未提供的驱动程序。
注意: 此设置不阻止客户端通过 HTTP 打印到 Intranet 或 Internet 上的打印机。它仅禁止下载本地尚未安装的驱动程序。
如果启用此设置，不会通过 HTTP 下载打印驱动程序。
如果禁用或不配置此设置，用户将可以通过 HTTP 下载打印机驱动程序。

关闭 Windows Movie Maker 编码解码器自动下载

指定 Windows Movie Maker 是否自动下载编码解码器。
Windows Movie Maker 可以配置，这样计算机上没有安装需要的编码解码器时将自动下载编码解码器。
如果启用此设置，Windows Movie Maker 不会尝试为导入的音频和视频文件下载未安装的编码解码器。
如果禁用或不配置此设置，Windows Movie Maker 可以尝试为导入的视频和音频文件下载未安装的编码解码器。

关闭 Windows Movie Maker 联机 Web 链接

指 定是否在 Windows Movie Maker 中显示网站链接。这些链接包括“帮助”菜单上显示的“Web 上的 Windows Movie Maker”和“隐私声明”命令，也包括“选项”对话框中的“了解视频筛选器的更多信息”超链接和“保存电影向导”的“Web”保存选项中的“现在注册” 超链接。
“Web 上的 Windows Movie Maker”命令让用户直接转到 Windows Movie Maker 网站以获取更多信息，“隐私声明”命令让用户查看有关 Windows Movie Maker 相关隐私问题的信息。“了解视频筛选器的更多信息”超链接让用户了解有关视频筛选器和其在 Windows Movie Maker 保存电影过程中作用的更多信息。“现在注册”超链接让用户注册 Web 上的视频主机提供商。
如果启用此设置，将禁用上述从 Windows Movie Maker 到网站的链接并且无法选择。
如果禁用或不配置此设置，将启用上述从 Windows Movie Maker 到网站的链接并且可以选择。

关闭 Windows Movie Maker 保存到联机视频主机提供商

指定用户是否可以通过在 Windows Movie Maker 的“保存电影向导”中的保存选项选择“Web”将最终电影发送到 Web 上的视频主机提供商。
用户在 Windows Movie Maker 中创建电影时，他们可以在“保存电影向导”中选择不同的共享方式。“Web”保存选项让用户将他们的电影发送到视频主机提供商。
如果启用此设置，用户无法选择 Windows Movie Maker 的“保存电影向导”中的“Web”保存选项，并且无法将电影发送到 Web 上的视频主机提供商。
如果禁用或不配置此设置，用户可以选择 Windows Movie Maker 的“保存电影向导”中的“Web”保存选项，并且可以将电影发送到 Web 上的视频主机提供商。