用组策略打造系统铜墙铁壁级服务器

　1．隐藏“我的电脑”中指定的驱动器（Windows XP/2003）

　　此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。

　　打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。

　　提示：这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。

　　2．防止从“我的电脑”访问驱动器（Windows 2000/XP/2003）

　　此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。

　　打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。

提示：这些代表指定驱动器的图标仍旧会出现在“我的电脑”中，但是如果用户双击图标，会出现一条消息解释设置防止这一*作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。

　　3．禁止使用命令提示符（Windows 2000/XP/2003）

　　在Windows 2000/XP/2003下，我们可以运行cmd.exe进入命令提示符状态，并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。

　　打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件 .cmd和.bat是否可以在计算机上运行。

　　如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止这一*作。

　　4．禁止更改显示属性（Windows 2000/XP/2003）

　　选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”，可进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置，如果你不想让别人随意更改各项设置，可以通过组策略将它隐藏起来。

　　打开“组策略控制台→用户配置→管理模板→控制面板→显示”，然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置，可根据需要对这些项目进行配置。比如启用了“隐藏‘桌面’选项卡”策略后，再打开“显示属性”对话框，就看不到“桌面”标签了，这样自然就无法再对桌面属性进行更改了。

　　5．禁用注册表编辑器（Windows 2000/XP/2003）

　　为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体*作方法：打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。

　　此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe）的时候，系统会禁止这类*作并弹出警告消息。