Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目，一旦您将该项目启用，同时限制好指定的程序可以运行外，那么无论您是否在“只允许运行程序列表”中，添加了gpedit.msc命令，只要“只允许运行Windows应用程序”的组策略项目生效，系统的组策略就会“自动锁定”，即使您在超级管理员帐号下使用“gpedit.msc”命令，也不能打开系统的组策略编辑窗口。那么有没有一种办法，既能限制应用程序的运行，又能防止系统组策略出现“自动锁定”现象呢?答案是肯定的，您可以按照如下步骤来操作：

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。考虑到安全方面的原因，Windows Vista已经开发了新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。这些功能的配置取决于您的具体要求和使用环境，下面主要介绍Windows Vista组策略的安全使用技巧，介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。

管理员们常用GPO (Group Policy Object)对Windows系统环境进行安全设置，它有效实用自动，但有时我们需要确定GPO的安全设置甚至GPO本身是否出了问题？

现在互联网中的病毒，简直是狂飞乱舞、肆意横行，在网上冲浪的朋友稍微不慎，就有可能中招，轻则系统反应迟钝、运行缓慢，重则系统立即瘫痪或重要隐私对外泄露。

相信很多人都认为Windows 7系统最大的亮点就是其拥有眩目的界面，其实该系统内置的安全功能也同样引人注目。本文下面将从系统组策略设置出发，与各位朋友一起分享自我控制Windows 7系统安全的秘籍！

1、不让远程连接“拖累”系统
　　大家知道，要是在某个时段，有太多的远程连接同时要求Windows 7系统进行响应的话，那么该系统轻则会出现反应迟钝现象，严重的话能直接瘫痪，很多恶意用户时常会用这种方法攻击Windows 7系统。为了不让远程连接拖累系统，我们可以在Windows 7系统反应缓慢的时候，打开对应系统的任务管理器窗口，进入其中的连接标签页面，之后执行右键菜单中的删除所有连接命令，就能恢复系统的安全运行状态了。不过，在默认状态下，我们往往无权直接删除系统中的所有远程连接，不过按照下面的方法设置系统组策略参数，就能实现这种的目的了：
...

如果您的操作系统是Vista Home版的话，那就意味着没有gpedit.msc，也就是说您不能使用组策略对象编辑器，怎么办呢？这里向您介绍这一问题的解决方案。具体操作步骤如下：
...

网管员一定会碰到过这样的情景：在局域网中，要在所有的客户端上部署软件，如安装、升级、维护、删除……你也许恨不得把自己扔到太平洋里——这看起来实在是一个很艰巨的任务，但，别忘了我们有神灯的协助！
 让我们看看Windows神灯是如何极大减轻我们的压力的。
 集中部署软件分发，简单地说，就是将软件分布发送到客户端。以前网管员多采用共享的方法，但共享往往会带来某些安全隐患。如果使用分发功能的话，那么你将会惊喜地发现告别了不堪回首的岁月！
...

在以前旧版本的Windows中，方法大多麻烦且缺乏简便的管理途径。但是到了Vista中，这个问题已经变得微不足道了。你可以通过组策略中的相关设置集中控制组织中安装的设备。比如创建策略限制usb设备，cd-rw或是dvd-rw驱动器，以及 其它的可移动媒体的使用。鉴于目前大家用XP比较多，在这里我简单的说明如何阻止用户写数据到usb设备。可以创建自定义adm模版：限制Windows XP sp2为写保护：

class machine
gategory "usb storage"
...

微软安全研究员Jeff Jones公布了最新一期操作系统漏洞计分榜，结果显示Windows Vista依然是最安全的桌面操作系统，其次是Windows XP。由此可见，相比Xp而言，Vista无疑是一个非常安全的系统，但安全的定义往往不是绝对的，更何况Vista在默认情况下某些设置也不利于它的安全，下面我们就从点滴着手，将系统安全进行到底。
一、帐户策略，停用省是非。
　　众所周知，很多软件可破解并修改Administrator帐户密码，Vista系统亦如此，因此为避免该问题，要先停用该帐户。首先用一个非Administrator帐户登录系统，依次打开“控制面板”→“管理工具”→“计算机管理”，展开“系统工具”→“本地用户和组”→“用户”，在右侧窗口双击“Administrator”，在打开的“Administrator属性”中，确认已选了“帐户已停用”，接着切换到“隶属于”选项，选“Administrators”，点击“删除”按钮，这样，Administrator帐户就被停用了。
...

组策略是一个管理用户工作环境的技术，通过它可以确保用户拥有所需的工作环境，也可以通过它来限制用户，这不仅让用户拥有适当的环境，也减轻了系统管理员的管理负担。　    
在Windows 2000/XP/2003等操作系统目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。虽然它们已经定制了许多策略用来完善管理员的日常操作，很可惜并没有将移动设备（指U盘/光驱/A驱等）列入到管理模板中，使现实环境中管理员对移动设备的管控成了很头痛的一件事。那么我们能否通过自建一个策略生成管理模板呢？答案是肯定的。接下来，我们将通过一个完整的实例来说明。
...