云终端常用设置方法

吴貌 025-83158110 13655198353 QQ:2171288清华同方云终端VD1000使用注意事项：注：使用前，请认真阅读随机光盘中的使用说明书！1、进入MiniPCM 模式

吴貌 025-83158110 13655198353 QQ:2171288

清华同方云终端VD1000使用注意事项：

注：使用前，请认真阅读随机光盘中的使用说明书！

1、进入MiniPCM 模式，右击鼠标-->显示属性-->背景光：两个选择全部取消，以防止运行“共享计算模式”当中，背景光关闭，出现黑屏！

2、云终端登录界面中的开机密码属于windows ce 系统内部密码，一旦设置可以更改，但是如果忘记该密码，则是无法初始化。只有重新烧录云终端windows ce 系统，返回清华同方厂家维修。这个不在三包服务之内。切记！

3、建议云服务管理员建立帐户时，最好创建1-2个系统管理员，主要用与对云服务器的日常维护和管理，不要分配给云终端用户使用。同时云终端使用的帐户，全部隶属于 "Remote Desktop Users" 。

4、云终端登录界面中：MAC 地址的修改会影响云终端的网络访问，一般情况下不用修改，请一定要谨慎处理。

5、请确认填写连接服务器的端口，其中Windows 系统的标准远程服务器的端口是3389，而云服务器的默认连接端口为53779.

6、云服务器装上软件后，重启电脑。确定这两个服务为自动：VDP Broadcast;VDP Service 。同方VDP 协议专有。Windows Xp Home Edition 下VDP 协议不可用，需要专业版XP 。Windows 7和W indows Vista 也不好使用。

7、改变显示分辨率时，如果您选择了显示器不支持的分辨率，会导致显示错误或黑屏，但是您不必惊慌，因为系统在重新引导启动后如未获得您对新设定显示分辨率的确认，显示分辨率将恢复为设定前状态，您只需耐心等待即可。有的时候，先确定显示器的分辨率，然后分辨率设置时最好从小到大开始设置。

8、云终端广播查不到云服务器，怎么办？答：首先确认云服务器是否正常工作，若正常，再查看云服务器软件端口和云终端发现端口的端口号是否一致，方法为：在云服务器端点击“VDPServer ”选择“云终端服务器监控”，查看云终端服务器端口号，默认的出厂设置是53779，同时在云终端“系统设置”中选择“主机设置”，查看发现端口号，默认也为53779，若二者不一致，将二者统一改为53779，即可。

9、如何判断网线连接是否正确？答：点击“系统信息”按钮，查看“状态信息”选项，若该选项显示“连接中”则网线连接正确，否则请重新确认网线连接。

10、云终端不能连接云服务器，怎么办？答：按照以下步骤逐一排查： （1） 确认云服务器是否正常开启并工作，若正常，转下一步；（2） 确认云终端使用的登录帐户是否为云服务器已经设定好的帐户，若是，转下一步；（3） 检查网线连接是否正常，若正常，转下一步；（4）检查网络是否正常，若正常，转下一步；（5） 确认“系统设置”->“主机设置”中的端口号，同方安全云终端共享计算模式默认登录云服务器端口号是 53779。如果云服务器的端口号做了修改，云终端中的主机设置中，请保持端口号与云服务器的设置一致。

11、云终端连接云服务器后，自动断开，怎么办？答：首先检查云服务器是否正常工作及网络是否正常（排除人为误操作因素） ，若正常，检查云服务器软件安装是否正确，查看软件安装版本，确认来源，若正确，查看软件是否为升级版本，若是，则卸载云服务器软件后重新安装即可。

12、云终端开机页面“系统升级”选项不可用，怎么办？答：同方安全该版本云终端不支持终端 - 1 -

吴貌 025-83158110 13655198353 QQ:2171288

升级工作，统一升级系统工作由云服务器端完成。

13、双击“系统设置”时未出现设置界面，怎么办？答：由于云终端需要读取设置相关信息，请耐心等待片刻。

14、在MiniPC 模式下，由于误操作删除了ADSL 连接，怎么办？ 答：在 MiniPC 模式下，点击“开始”->“设置”->“网络和拨号连接” ，在打开的窗口中双击“新建连接” ，键入连接名称（必须为“adsl ” ） ，选择“以太网上的PPP(PPPoE)” ，点击“下一步” ，点击“安全设置” ，选中“未加密的密码（PAP ） ” 、 “质询握手身份验证协议（CHAP ） ” 、 “Microsoft CHAP 版本 2(MS-CH v2) ”及“预览用户名和密码”点击“下一步” ，点击“完成”即可。

15、为什么在MiniPC 模式下远程连接不到云服务器？答：同方安全云终端在 MiniPC 模式下可以远程连接标准的 Windows 主计算机，但是不能连接云服务器，云终端只有在共享计算模式下才可以作为终端用户连接到云服务器。

16、云终端可以连接标准Windows 用户吗？ 答：可以，在共享计算模式下，云终端既可以远程连接云服务器，又可以远程连接标准的 Windows 用户，前者默认端口号为 53779，后者端口号设为3389即可。另外，在 MiniPC 模式下只能远程连接标准的Windows 用户。

17、怎样才能确认云服务器已经正常运行？答：通过运行云终端服务器检查程序执行检测，查看云服务（同方虚拟桌面信息） 。检查云服务器的运行状态。如果服务存在异常状态。请重启计算机或者致电我公司相关技术人员。

18、云服务器正常运行，为什么云终端共享计算模式下无法登录？答：请检查云终端已正确启动运行并能连接网络，而且云终端到云服务器网络连接正确，同时检查云服务器的运行端口和云终端的端口是否保持一致。我们这里建议用户最好使用默认端口（53779） 。

19、云终端连接到云服务器，为什么输入帐户密码后无法正确登录？答：请确认该云终端使用的帐户权限是否正确，即保证该登录帐户在云服务器中隶属于 Administrators 组或者 Remote Desktop Users 组。

20、帐户密码正确，为什么登录云服务还经常无法成功？答：由于云服务器硬件配置不同，会导致云服务最大可允许登录云终端数量有所不同。性能越高的配置可允许登录的帐户也越多，此时请系统管理员查看云服务器当前已登录的云终端用户数是否已经达到上限。 由于云服务器的性能有限可承载最大帐户数有限，因此我们建议用户可同时构建多台云服务器，并且每台云服务器启动自动注销功能。

21、经测试每个云终端占服务器内存150M 左右或更多，具体根据用户实际应用不同而有差别。

22、云服务器常用命令：lusrmgr.msc （用户/组）；control 打开控制面板；gpedit.msc 组策略；reg edit.exe 注册表；Msconfig.exe 系统配置实用程序；services.msc 服务；lusrmgr.msc 本地账户管理；r ononce -p 15秒关机；compmgmt.msc 计算机管理；dcomcnfg 打开系统组件服务；secpol.msc 本地安全策略；rsop.msc 组策略结果集；regedt32 注册表编辑器；cliconfg QL SERVER 客户端网络实用程序。

23、找不到云服务器，注意把主机的防火墙请关闭！且注意杀毒软件的防火墙，有时会关闭 53779端口。

EMT 办公云终端搭建步骤。

- 2 -

吴貌 025-83158110 13655198353 QQ:2171288

1. 在Active Directory 上建立云终端的个人账户。

将云终端用户的用户姓名信息填入新建用户栏位

选择登陆名(目前EMT 的用户名使用名字缩写如ZQC ，今后考虑统一使用工号如EMT007，避免重复方便正规管理) ，和域名EMT0.COM. 最后设置密码。

如果是工厂的云终端计算机，考虑稳定性能和安全性能，建议使用分组管理，建立组用户。方法基本同上。

2. 在云终端配置网络信息

不论哪个品牌的云终端，目前都是运行Windows CE 嵌入式系统，这里就不过多的介绍CE 系统，因为在组建云终端网络的过程中，此系统只起到了一个桥梁的作用，只是通过VDP 传输协议实现一个虚拟桌面的作用。所有重要的设置都将在云终端服务器上设置。

(1). 通过Start →Setting →Specify an IP address 进行静态IP 设置，同时设置DNS 和备用DNS 地址。也就是配置云终端的网络地址与普通的XP 基本类似，再此不再赘述。

(2).目前中网MINI 的云终端，都提供了手动连接服务器和开机自动连接服务器选项, 双击Remote Desktop Connection 进入Options →设置服务器IP 地址，域名EMT0.COM ，之前在服务器上创建的个人账户名字如ZQC. 同时可以选择 Save As, 保留登陆信息，作为下次登录的快捷方式。

如果一切配置正确，网络，域名服务器正常运行，您将通过VDP 技术访问云终端服务器。

3. 云终端服务器Sever 的配置

如果把整个云终端网络看作是一部高速运转的计算机，那么云终端服务器就是这部设备的CPU, 是它的中枢管理部门。所以能否合理的配置和完善Sever 系统，直接关系到所有云终端的运行稳定情况。

1） 隐含主计算机的C 区、D 区

多个用户同时使用一台电脑，他们能看到系统文件和安装程序会对电脑不安全，所以经常会采用下述方法把C 区和D 区隐含掉。

- 3 -

吴貌 025-83158110 13655198353 QQ:2171288

利用Windows 组策略可以实现隐含主计算机的C 区和D 区。

具体步骤如下：

第一步：单击“开始”->运行->在文本输入框键入gpedit.msc 命令

第二步：启动组策略控制台，依次打开“本地计算机”策略->用户配置->管理模板->Windows组件->Windows 资源管理器->隐藏“我的电脑”中的这些指定的驱动器

第三步：右击“配置”->具体信息请参照当前的页面说明。

C 区和D 区是用来存放系统文件、应用程序及Windows OS 、应用程序、外设驱动安装程序。这些程序和文件初步考虑在EMT 目前云终端解决方案中最优的处理方法是：不显示，但不能删除

2). 如何实现指定用户只能使用指定文件夹和程序权限设置

文件和文件夹权限（仅 NTFS 驱动器），在设置文件或文件夹的权限时，请指定要限制或允许其访问的组和用户，然后选择访问类型。向多个对象分配权限时指定组帐户更方便，可以在需要允许或禁止用户访问时将用户添加到适当组。文件和文件夹权限只能在 NTFS 驱动器上设置。

具体步骤如下：

第一步：选中指定文件夹和程序，右击鼠标按钮点击“共享和安全”菜单->“安全”面板

第二步：点击“高级”->取消与父级权限继承功能，再点击“删除”按钮，然后退出当前窗口。

第三步：根据用户的要求，在“用户和组”列表框中添加或者删除用户和组，同时也可以在下面权限列表框中指定用户和组的使用具体权限和操作。

多个用户同时使用一台电脑和硬盘，这样每个用户都会考虑自身文件是不是安全，会不会被其他人看到、删除、复制、移走；另外Administrator 也会想让有些用户使用指定程序，其他程序就不能使用。

3） 禁止使用命令提示符

在Windows 2000/XP/2003下，我们可以运行cmd.exe 进入命令提示符状态，并可以继续运行一些DO S 命令和其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。

打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件.cmd 和

.bat - 4 -

吴貌 025-83158110 13655198353 QQ:2171288

是否可以在计算机上运行。

如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止这一操作。

4）防止从“我的电脑”访问驱动器（Windows 2000/XP/2003）

此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir 命令查看在这些驱动器上的目录。

打开“组策略控制台→用户配置→管理模板→Windows 组件→Windows 资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。 提示：这些代表指定驱动器的图标仍旧会出现在“我的电脑”中，但是如果用户双击图标，会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。

5）云终端屏蔽U 盘功能（USB 鼠标、键盘正常使用）

在服务器端windows 开始菜单选择-运行

gpedit.msc

“本地计算机”策略

左侧：计算机配置-管理模板-Windows 组件-终端服务-客户端/服务器数据重定向

右侧：不允许驱动器重定向 选择双击设置-已启用 确定

就无法使用U 盘了。

6）软件限制策略：

点击打开“计算机配置”下的软件限制策略条目，接着在“操作”菜单下点击“创建新的策略”，系统将会创建两个新的条目：“安全级别”和“其它规则”。其中在安全级别条目下有两条规则，“不允许的”和“不受限的”，其中前者的意思是，默认情况下，所有软件都不允许运行，只有特别配置过的少数软件才可以运行； 而后者的意思是，默认情况下，所有软件都可以运行，只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了，因此我们需要使用“不允许的”作为默认规则。双击这条规则，然后点击“设为默认”按钮，并在同意警告信息后继续。

接着打开“其他规则”条目，可以看到，默认情况下这里已经有四个规则，都是根据注册表路径设置的，而且默认都设置为“不受限的”。不要修改这四个规则，否则系统运行将会遇到很大麻烦，因为这四个路径都涉及到了重要系统程序及文件所在的 位置。同时，位于系统盘下Program Files文件夹以及Windows 文件夹下的文件是允许运行的，而这四条默认的规则已经包含了这个路径，因此我们后面要做的只是为Office 程序添加一个规则。在右侧面板的空白处点击鼠标右键，选择“新建哈希规则”，然后可以看到下图的界面。在这里点击“浏览”按钮，然后定位所有允许使用的Office 程序的可执行文件（还记得分别是什么吗？w inword.exe 、excel.exe 、powerpnt.exe 、outlook.exe ），并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”，然后点击确定退出。重复以上步骤，把这四个软件的可执行文件都添加进来，并设置为不受限的。

可执行文件建立哈希规则比较统一为Office 应用程序建立一个路径规则，其实这样才可以避免可执行文件被替换，或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则，那么所有保存在允许目录下的文件都将可以被执行，包括允许程序本身的文件，也包括用 - 5 -

吴貌 025-83158110 13655198353 QQ:2171288

户复制进 来的任何其他文件。而哈希规则就不同了，一个特定文件的哈希值是固定的，只要文件内容不发生变化，那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题，虽然文件的哈希值可以不变化，但是文件本身可能会需要某些改变。例如你安装 了一个Word 的补丁程序，那么winword.exe 文件的哈希值可能就会变化。因此如果你选择创建这种规则，每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。

除此之外，这里还有几条策略可以被利用：强制，可以限定软件限制策略应用到哪些文件以及是否应用到Administrator 账户；指派的文件类型，用于指定具有哪些扩展名的文件可以被系统认为是可执行文件，我们可以添加或删除某种类型扩展名的文件；收信任的出版商，则可以用来决定哪些用户可以选择收信任的出版商，以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实 际情况作出选择。

当软件显示策略设置好之后，一旦被限制的用户试图运行被禁止的程序，那么系统将会立刻发出警告并拒绝执行。

软件限制策略提供了一种透明的方式来隔离和使用不可靠的，有潜在危险的代码，这在某种程度上保护你的计算机免受各种通过电子邮件或网页传播的病毒、木马程序和蠕虫等。这些策略荣允许你选择如何管理你系统里的软件。软件可以被严格管理，你可以决定：如何、什么时间、什么地点执行；或者软件可以被设置为不予管理、禁止指定代码运行等。通过在一个隔离区执行不可靠的代码和脚本，你可以获得那些被证明是良性的不可靠代码和脚本的功能，而那些受感染的代码是不能对你的系统造成任何危害的。例如，不可靠的代码在未被证明是安全代码之前，是被阻止发送电子邮件，访问文件，或是做其它的正常计算功能的。

软件限制策略保护你免受感染的电子邮件附件的攻击，包括存储在临时文件夹的文件，对象，和脚本。同时，也可以保护你的系统免受嵌入式不可靠脚本的URL/UNC连接、网上下载的ActiveX 的危害。

7）修改“开始”菜单，防止终端用户误操作

对于我们EMT 一个普通的云终端用户来说，sever “开始”菜单项太多，可以通过组策略将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中，提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update ’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。

8) 禁止随意修改任务栏和“开始”菜单

为保护自己好不容易设置好的任务栏和“开始”菜单，你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样，当你用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，且当鼠标右键单击任务栏及任务栏上的项目时，例如“开始”按钮、时钟和“任务栏”按钮，弹出菜单会隐藏。

9) 禁止“注销”和“关机”

如果你不想让他人再进行“关机”和“注销”操作的话，可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。这个设置会从开始菜单删除“关机”选项，并禁用“Windows 任务管理器”对话框 按“Ctrl Alt Del”会出现这个对话框 中的“关机”选项 。应注意的是，该设置虽然可防止用户用 Windows 界面来关机，但无法防止用户用 - 6 -

吴貌 025-83158110 13655198353 QQ:2171288

其他第三方工具程序来将 Windows 关闭。

10) 防止隐私泄漏

在开始菜单中有一个“我最近的文档”菜单项，可以记录你曾经访问过的文件。这个功能可以方便用户再次打开该文件，但别人也可通过此菜单访问你最近打开的文档，为安全起见，有时需要屏蔽此功能。利用组策略，只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。同时要注意如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。如果启用此策略设置，后来又禁用它并将它设置为“未配置”，则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。

11) 隐藏桌面的系统图标

虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。而采用组策略配置的方法，可以方便快捷地达到此目的。

比如要隐藏桌面上的“网上邻居”和“Internet Explorer ”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer 图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；同样如果要让“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。

12) 退出时不保存桌面设置

此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌面做更改，但有些更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，不过任务栏上的快捷方式总可以被保存。

在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。

13) 屏蔽“清理桌面向导”功能（Windows XP/2003）

“清理桌面向导”会每隔 60 天自动在用户的电脑上运行，以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁用或不配置此设置，“清理桌面向导”会按照默认设置每隔60天运行一次。

打开右侧窗格中的“删除清理桌面向导”，根据需要设置策略选项即可。

14). 启用/禁用“活动桌面”

“活动桌面”是Windows 98（及以后版本）或安装了IE 4.0的系统中自带的高级功能，最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能（并且禁止用户启用它），通过策略设置可以轻松达到这一要求。具体操作方法：打开右侧窗格中的“禁用活动桌面”并启用此策略。

提示：如果同时启用“启用 Active Desktop ”设置和“禁用 Active Desktop ”设置，则“禁用 A ctive Desktop ”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置（在“用户配置→管理模板→Windows 组件→Windows 资源管理器”中）被启用，Active Desktop 就会被禁用，并且这两个策略都会被忽略。

- 7 -

吴貌 025-83158110 13655198353 QQ:2171288

在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目，可根据需要进行配置

15). 禁止更改显示属性

选择“控制面板”中的“显示”或在Windows 桌面的空白处单击右键选择“属性”，可进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置，如果你不想让别人随意更改各项设置，可以通过组策略将它隐藏起来。

打开“组策略控制台→用户配置→管理模板→控制面板→显示”，然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置，可根据需要对这些项目进行配置。比如启用了“隐藏‘桌面’选项卡”策略后，再打开“显示属性”对话框，就看不到“桌面”标签了，这样自然就无法再对桌面属性进行更改了。

16). 彻底禁止访问“控制面板”

如果不希望其他用户访问计算机的“控制面板”，同样可以使用组策略来实现。打开“组策略控制台→用户配置→管理模板→控制面板”中的“禁止访问控制面板”并启用此策略。

此策略启用后可以防止“控制面板”程序文件（Control.exe ）的启动。他人将无法启动“控制面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows 资源管理器”中删除“控制面板”文件夹。

17). 禁用“添加/删除程序”

“控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序，可利用组策略来实现。 打开“组策略控制台→用户配置→管理模板→控制面板→添加→删除程序”中的“删除‘添加/删除程序’程序”并启用此策略，当我们再打开“控制面板”中“添加/删除程序”模块的时候，会自动弹出警告窗口，而“添加/删除程序”则无法运行。

此外，在“添加/删除程序”分支中还可以对Windows “添加/删除程序”项中的“添加新程序”、“从CD-ROM 或软盘添加程序”、“从Microsoft 添加程序”、“从网络添加程序”等项进行隐藏，通过这些策略项目的设置，起到了保护计算机中系统文件及应用程序的作用。

18) 禁止建立新的拨号连接

如果不想让别人在计算机中建立新连接来拨号上网的话，组策略也可以做到。打开“组策略控制台→用户配置→管理模板→网络→网络连接”中的“禁止访问新建连接向导”并启用此策略。 启用此策略后，在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。

提示：此设置无法阻止用户使用诸如 Internet Explorer 这样的其它程序来绕过此设置。另外此设置必须重新启动计算机后才能生效。

19). 禁用注册表编辑器

为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法：打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。

此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe ）的时候，系统会禁止这类操作并弹出警告消息。

- 8 -

吴貌 025-83158110 13655198353 QQ:2171288

20). 限制使用应用程序

有些程序我们可能不希望其他用户随意运行，也能在组策略中设置。

打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows 应用程序”并启用此策略，然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。

21) 关闭缩略图的缓存

Windows XP/20003系统系统具有缩略图的功能，为加快那些被频繁浏览的缩略图显示速度，系统还会将这些显示过的图片置于缓存中，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。若你不希望系统进行缓存的话，则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理，反而会大大加快第一次浏览的速度。方法如下：打开“组策略控制台→用户配置→管理模板→Windo ws 组件→Windows 资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示：若你的电脑是一个网络中的共享工作站，为了数据安全，建议你启用该设置以关闭缩略图视图缓存，因为缩略图视图缓存可以被任何人读取。

21). 限制IE 浏览器的保存功能

当众多云终端共用一台计算机时，为了保持硬盘的整洁，对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢？具体步骤如下：打开“组策略控制台→用户配置→管理模板→Windo ws 组件→Internet Explorer →浏览器菜单”，然后将右侧窗格中的“‘文件’菜单：禁用‘另存为... ’菜单项”、“‘文件’菜单：禁用另存为网页菜单项”、“‘查看’菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改，可以将“‘工具’菜单：禁用‘Internet 选项... ’”策略启用。此外，如果个人需要的话，还可以在该窗格中禁用其他项目。

22）禁止修改IE 浏览器的主页

在IE 浏览器中可以设置默认主页，如果不希望他人对自己设定的IE 浏览器主页进行随意更改的话，可以打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer →工具栏”，然后选择“禁用更改主页设置”组策略并启用即可。另外在这个窗格中，还提供了“更改历史记录设置”、“更改颜色设置”和“更改Internet 临时文件设置”等项目的禁用功能。启用此策略后，在IE 浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰，即不可修改。 提示：如果您已经设置了位于“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer →Internet Explorer 控制面板”中的“禁用常规页”策略，则无须再设置该策略。

23）禁用“Internet 选项”控制面板

如果你对“控制面板”中的选项禁用得较多，不如一步到位——干脆禁止访问“控制面板”，通过下面的组策略设置方法即可实现这一要求：打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer →Internet 控制面板”，在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明：打开右边窗格中的“禁用常规页”并设置为“启用”。然后我们再打开Internet 选项控制面板，会发现“常规”项目已经没有了，这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置，因为该策略将删除界面上的“常规”选项卡，所以如果设置了该策略，则无须设置位于 “用户配置→管理模板→Windows 组件→Int - 9 -

吴貌 025-83158110 13655198353 QQ:2171288

ernet Explorer ”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。

24).IE 设置安全

微软的Internet Explorer 让我们可以轻松地在互联网上遨游，但要想用好Internet Explorer ，则必须将它配置好。在IE 浏览器的“Internet 选项”窗口中，提供了比较全面的设置选项（例如：“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目），但部分高级功能没有提供，而通过组策略即可轻松实现这些功能。

位置：“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer （需添加inetres. adm 模板文件）”

25). 禁用“在新窗口中打开”菜单项

出于对安全的考虑，有时候我们有必要屏蔽IE 的一些功能菜单，组策略提供了丰富的设置项目，比如禁用“另存为... ”、“文件”、“新建”等。下面以“禁用‘在新窗口中打开’菜单项”为例介绍具体的设置方法。

打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer →浏览器菜单”，然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。启用该策略后，用户在某个链接上单击鼠标右键，然后单击“在新窗口中打开”时，该命令将不起作用。该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用，后者禁止用户通过单击“文件”菜单，指向“新建”，然后单击“窗口”在新窗口中打开浏览器（“新建→窗口”项目已经无法使用）。

提示：启用该策略后，单击“在新窗口中打开”命令，将无法在新窗口中打开链接，系统会提示用户该命令无效，网页自动打开的窗口也全部被禁止，其实这样也可达到屏蔽弹出广告窗口的效果。

26). 屏蔽使用所有 Windows Update 功能的访问

Windows Update 可以自动连接Microsoft 网站并下载更新内容，这对大部分用户来说是比较实用的，但对于不需要更新或者带宽紧张的电脑用户来说，此功能就显得多余了，而且经常传闻Windows Up date 会将计算机用户信息“秘密”发往Microsoft ，因此也可以屏蔽这一“智能”高级功能。打开“组策略控制台→用户配置→管理模板→Windows 组件→Windows Update ”中的“删除使用所有 Windo ws Update 功能的访问”组策略并启用此策略。

提示：如果你启用此设置，所有 Windows Update 功能（其中包括阻止访问Windows Upda te 网站http //windowsupdate.microsoft.com、开始菜单上的 Windows Update 的超链接和Internet 资源管理器上的工具菜单）将被删除。Windows 自动更新也被禁用，你将不会收到有关更新的通知，也不会接到Windows Update 的重要更新。此设置还会阻止设备管理器自动从Windows Update 网站下载安装驱动程序的更新。

27). 关于USB 存储设备的禁用，有两种，

一、云终端定制，在出厂时我们就把USB 存储设备功能禁用掉。客户可以提出来, 但是一旦这样做了，USB 存储设备功能就永远关闭了。

二、在出厂时我们就把USB 存储设备功能默认开放，这样有灵活性，客户可以在服务器端修改相关设置。如下：

1．开始→运行，里面输入，”gpedit.msc ”。

- 10 -