吳貌 025-83158110 13655198353 QQ:2171288清華同方云終端VD1000使用注意事項(xiàng)：注：使用前，請(qǐng)認(rèn)真閱讀隨機(jī)光盤(pán)中的使用說(shuō)明書(shū)！1、進(jìn)入MiniPCM 模式

吳貌 025-83158110 13655198353 QQ:2171288

清華同方云終端VD1000使用注意事項(xiàng)：

注：使用前，請(qǐng)認(rèn)真閱讀隨機(jī)光盤(pán)中的使用說(shuō)明書(shū)！

1、進(jìn)入MiniPCM 模式，右擊鼠標(biāo)-->顯示屬性-->背景光：兩個(gè)選擇全部取消，以防止運(yùn)行“共享計(jì)算模式”當(dāng)中，背景光關(guān)閉，出現(xiàn)黑屏！

2、云終端登錄界面中的開(kāi)機(jī)密碼屬于windows ce 系統(tǒng)內(nèi)部密碼，一旦設(shè)置可以更改，但是如果忘記該密碼，則是無(wú)法初始化。只有重新燒錄云終端windows ce 系統(tǒng)，返回清華同方廠家維修。這個(gè)不在三包服務(wù)之內(nèi)。切記！

3、建議云服務(wù)管理員建立帳戶時(shí)，最好創(chuàng)建1-2個(gè)系統(tǒng)管理員，主要用與對(duì)云服務(wù)器的日常維護(hù)和管理，不要分配給云終端用戶使用。同時(shí)云終端使用的帳戶，全部隸屬于 "Remote Desktop Users" 。

4、云終端登錄界面中：MAC 地址的修改會(huì)影響云終端的網(wǎng)絡(luò)訪問(wèn)，一般情況下不用修改，請(qǐng)一定要謹(jǐn)慎處理。

5、請(qǐng)確認(rèn)填寫(xiě)連接服務(wù)器的端口，其中Windows 系統(tǒng)的標(biāo)準(zhǔn)遠(yuǎn)程服務(wù)器的端口是3389，而云服務(wù)器的默認(rèn)連接端口為53779.

6、云服務(wù)器裝上軟件后，重啟電腦。確定這兩個(gè)服務(wù)為自動(dòng)：VDP Broadcast;VDP Service 。同方VDP 協(xié)議專(zhuān)有。Windows Xp Home Edition 下VDP 協(xié)議不可用，需要專(zhuān)業(yè)版XP 。Windows 7和W indows Vista 也不好使用。

7、改變顯示分辨率時(shí)，如果您選擇了顯示器不支持的分辨率，會(huì)導(dǎo)致顯示錯(cuò)誤或黑屏，但是您不必驚慌，因?yàn)橄到y(tǒng)在重新引導(dǎo)啟動(dòng)后如未獲得您對(duì)新設(shè)定顯示分辨率的確認(rèn)，顯示分辨率將恢復(fù)為設(shè)定前狀態(tài)，您只需耐心等待即可。有的時(shí)候，先確定顯示器的分辨率，然后分辨率設(shè)置時(shí)最好從小到大開(kāi)始設(shè)置。

8、云終端廣播查不到云服務(wù)器，怎么辦？答：首先確認(rèn)云服務(wù)器是否正常工作，若正常，再查看云服務(wù)器軟件端口和云終端發(fā)現(xiàn)端口的端口號(hào)是否一致，方法為：在云服務(wù)器端點(diǎn)擊“VDPServer ”選擇“云終端服務(wù)器監(jiān)控”，查看云終端服務(wù)器端口號(hào)，默認(rèn)的出廠設(shè)置是53779，同時(shí)在云終端“系統(tǒng)設(shè)置”中選擇“主機(jī)設(shè)置”，查看發(fā)現(xiàn)端口號(hào)，默認(rèn)也為53779，若二者不一致，將二者統(tǒng)一改為53779，即可。

9、如何判斷網(wǎng)線連接是否正確？答：點(diǎn)擊“系統(tǒng)信息”按鈕，查看“狀態(tài)信息”選項(xiàng)，若該選項(xiàng)顯示“連接中”則網(wǎng)線連接正確，否則請(qǐng)重新確認(rèn)網(wǎng)線連接。

10、云終端不能連接云服務(wù)器，怎么辦？答：按照以下步驟逐一排查： （1） 確認(rèn)云服務(wù)器是否正常開(kāi)啟并工作，若正常，轉(zhuǎn)下一步；（2） 確認(rèn)云終端使用的登錄帳戶是否為云服務(wù)器已經(jīng)設(shè)定好的帳戶，若是，轉(zhuǎn)下一步；（3） 檢查網(wǎng)線連接是否正常，若正常，轉(zhuǎn)下一步；（4）檢查網(wǎng)絡(luò)是否正常，若正常，轉(zhuǎn)下一步；（5） 確認(rèn)“系統(tǒng)設(shè)置”->“主機(jī)設(shè)置”中的端口號(hào)，同方安全云終端共享計(jì)算模式默認(rèn)登錄云服務(wù)器端口號(hào)是 53779。如果云服務(wù)器的端口號(hào)做了修改，云終端中的主機(jī)設(shè)置中，請(qǐng)保持端口號(hào)與云服務(wù)器的設(shè)置一致。

11、云終端連接云服務(wù)器后，自動(dòng)斷開(kāi)，怎么辦？答：首先檢查云服務(wù)器是否正常工作及網(wǎng)絡(luò)是否正常（排除人為誤操作因素） ，若正常，檢查云服務(wù)器軟件安裝是否正確，查看軟件安裝版本，確認(rèn)來(lái)源，若正確，查看軟件是否為升級(jí)版本，若是，則卸載云服務(wù)器軟件后重新安裝即可。

12、云終端開(kāi)機(jī)頁(yè)面“系統(tǒng)升級(jí)”選項(xiàng)不可用，怎么辦？答：同方安全該版本云終端不支持終端 - 1 -

吳貌 025-83158110 13655198353 QQ:2171288

升級(jí)工作，統(tǒng)一升級(jí)系統(tǒng)工作由云服務(wù)器端完成。

13、雙擊“系統(tǒng)設(shè)置”時(shí)未出現(xiàn)設(shè)置界面，怎么辦？答：由于云終端需要讀取設(shè)置相關(guān)信息，請(qǐng)耐心等待片刻。

14、在MiniPC 模式下，由于誤操作刪除了ADSL 連接，怎么辦？ 答：在 MiniPC 模式下，點(diǎn)擊“開(kāi)始”->“設(shè)置”->“網(wǎng)絡(luò)和撥號(hào)連接” ，在打開(kāi)的窗口中雙擊“新建連接” ，鍵入連接名稱(chēng)（必須為“adsl ” ） ，選擇“以太網(wǎng)上的PPP(PPPoE)” ，點(diǎn)擊“下一步” ，點(diǎn)擊“安全設(shè)置” ，選中“未加密的密碼（PAP ） ” 、 “質(zhì)詢握手身份驗(yàn)證協(xié)議（CHAP ） ” 、 “Microsoft CHAP 版本 2(MS-CH v2) ”及“預(yù)覽用戶名和密碼”點(diǎn)擊“下一步” ，點(diǎn)擊“完成”即可。

15、為什么在MiniPC 模式下遠(yuǎn)程連接不到云服務(wù)器？答：同方安全云終端在 MiniPC 模式下可以遠(yuǎn)程連接標(biāo)準(zhǔn)的 Windows 主計(jì)算機(jī)，但是不能連接云服務(wù)器，云終端只有在共享計(jì)算模式下才可以作為終端用戶連接到云服務(wù)器。

16、云終端可以連接標(biāo)準(zhǔn)Windows 用戶嗎？ 答：可以，在共享計(jì)算模式下，云終端既可以遠(yuǎn)程連接云服務(wù)器，又可以遠(yuǎn)程連接標(biāo)準(zhǔn)的 Windows 用戶，前者默認(rèn)端口號(hào)為 53779，后者端口號(hào)設(shè)為3389即可。另外，在 MiniPC 模式下只能遠(yuǎn)程連接標(biāo)準(zhǔn)的Windows 用戶。

17、怎樣才能確認(rèn)云服務(wù)器已經(jīng)正常運(yùn)行？答：通過(guò)運(yùn)行云終端服務(wù)器檢查程序執(zhí)行檢測(cè)，查看云服務(wù)（同方虛擬桌面信息） 。檢查云服務(wù)器的運(yùn)行狀態(tài)。如果服務(wù)存在異常狀態(tài)。請(qǐng)重啟計(jì)算機(jī)或者致電我公司相關(guān)技術(shù)人員。

18、云服務(wù)器正常運(yùn)行，為什么云終端共享計(jì)算模式下無(wú)法登錄？答：請(qǐng)檢查云終端已正確啟動(dòng)運(yùn)行并能連接網(wǎng)絡(luò)，而且云終端到云服務(wù)器網(wǎng)絡(luò)連接正確，同時(shí)檢查云服務(wù)器的運(yùn)行端口和云終端的端口是否保持一致。我們這里建議用戶最好使用默認(rèn)端口（53779） 。

19、云終端連接到云服務(wù)器，為什么輸入帳戶密碼后無(wú)法正確登錄？答：請(qǐng)確認(rèn)該云終端使用的帳戶權(quán)限是否正確，即保證該登錄帳戶在云服務(wù)器中隸屬于 Administrators 組或者 Remote Desktop Users 組。

20、帳戶密碼正確，為什么登錄云服務(wù)還經(jīng)常無(wú)法成功？答：由于云服務(wù)器硬件配置不同，會(huì)導(dǎo)致云服務(wù)最大可允許登錄云終端數(shù)量有所不同。性能越高的配置可允許登錄的帳戶也越多，此時(shí)請(qǐng)系統(tǒng)管理員查看云服務(wù)器當(dāng)前已登錄的云終端用戶數(shù)是否已經(jīng)達(dá)到上限。 由于云服務(wù)器的性能有限可承載最大帳戶數(shù)有限，因此我們建議用戶可同時(shí)構(gòu)建多臺(tái)云服務(wù)器，并且每臺(tái)云服務(wù)器啟動(dòng)自動(dòng)注銷(xiāo)功能。

21、經(jīng)測(cè)試每個(gè)云終端占服務(wù)器內(nèi)存150M 左右或更多，具體根據(jù)用戶實(shí)際應(yīng)用不同而有差別。

22、云服務(wù)器常用命令：lusrmgr.msc （用戶/組）；control 打開(kāi)控制面板；gpedit.msc 組策略；reg edit.exe 注冊(cè)表；Msconfig.exe 系統(tǒng)配置實(shí)用程序；services.msc 服務(wù)；lusrmgr.msc 本地賬戶管理；r ononce -p 15秒關(guān)機(jī)；compmgmt.msc 計(jì)算機(jī)管理；dcomcnfg 打開(kāi)系統(tǒng)組件服務(wù)；secpol.msc 本地安全策略；rsop.msc 組策略結(jié)果集；regedt32 注冊(cè)表編輯器；cliconfg QL SERVER 客戶端網(wǎng)絡(luò)實(shí)用程序。

23、找不到云服務(wù)器，注意把主機(jī)的防火墻請(qǐng)關(guān)閉！且注意殺毒軟件的防火墻，有時(shí)會(huì)關(guān)閉 53779端口。

EMT 辦公云終端搭建步驟。

- 2 -

吳貌 025-83158110 13655198353 QQ:2171288

1. 在Active Directory 上建立云終端的個(gè)人賬戶。

將云終端用戶的用戶姓名信息填入新建用戶欄位

選擇登陸名(目前EMT 的用戶名使用名字縮寫(xiě)如ZQC ，今后考慮統(tǒng)一使用工號(hào)如EMT007，避免重復(fù)方便正規(guī)管理) ，和域名EMT0.COM. 最后設(shè)置密碼。

如果是工廠的云終端計(jì)算機(jī)，考慮穩(wěn)定性能和安全性能，建議使用分組管理，建立組用戶。方法基本同上。

2. 在云終端配置網(wǎng)絡(luò)信息

不論哪個(gè)品牌的云終端，目前都是運(yùn)行Windows CE 嵌入式系統(tǒng)，這里就不過(guò)多的介紹CE 系統(tǒng)，因?yàn)樵诮M建云終端網(wǎng)絡(luò)的過(guò)程中，此系統(tǒng)只起到了一個(gè)橋梁的作用，只是通過(guò)VDP 傳輸協(xié)議實(shí)現(xiàn)一個(gè)虛擬桌面的作用。所有重要的設(shè)置都將在云終端服務(wù)器上設(shè)置。

(1). 通過(guò)Start →Setting →Specify an IP address 進(jìn)行靜態(tài)IP 設(shè)置，同時(shí)設(shè)置DNS 和備用DNS 地址。也就是配置云終端的網(wǎng)絡(luò)地址與普通的XP 基本類(lèi)似，再此不再贅述。

(2).目前中網(wǎng)MINI 的云終端，都提供了手動(dòng)連接服務(wù)器和開(kāi)機(jī)自動(dòng)連接服務(wù)器選項(xiàng), 雙擊Remote Desktop Connection 進(jìn)入Options →設(shè)置服務(wù)器IP 地址，域名EMT0.COM ，之前在服務(wù)器上創(chuàng)建的個(gè)人賬戶名字如ZQC. 同時(shí)可以選擇 Save As, 保留登陸信息，作為下次登錄的快捷方式。

如果一切配置正確，網(wǎng)絡(luò)，域名服務(wù)器正常運(yùn)行，您將通過(guò)VDP 技術(shù)訪問(wèn)云終端服務(wù)器。

3. 云終端服務(wù)器Sever 的配置

如果把整個(gè)云終端網(wǎng)絡(luò)看作是一部高速運(yùn)轉(zhuǎn)的計(jì)算機(jī)，那么云終端服務(wù)器就是這部設(shè)備的CPU, 是它的中樞管理部門(mén)。所以能否合理的配置和完善Sever 系統(tǒng)，直接關(guān)系到所有云終端的運(yùn)行穩(wěn)定情況。

1） 隱含主計(jì)算機(jī)的C 區(qū)、D 區(qū)

多個(gè)用戶同時(shí)使用一臺(tái)電腦，他們能看到系統(tǒng)文件和安裝程序會(huì)對(duì)電腦不安全，所以經(jīng)常會(huì)采用下述方法把C 區(qū)和D 區(qū)隱含掉。

- 3 -

吳貌 025-83158110 13655198353 QQ:2171288

利用Windows 組策略可以實(shí)現(xiàn)隱含主計(jì)算機(jī)的C 區(qū)和D 區(qū)。

具體步驟如下：

第一步：?jiǎn)螕簟伴_(kāi)始”->運(yùn)行->在文本輸入框鍵入gpedit.msc 命令

第二步：?jiǎn)?dòng)組策略控制臺(tái)，依次打開(kāi)“本地計(jì)算機(jī)”策略->用戶配置->管理模板->Windows組件->Windows 資源管理器->隱藏“我的電腦”中的這些指定的驅(qū)動(dòng)器

第三步：右擊“配置”->具體信息請(qǐng)參照當(dāng)前的頁(yè)面說(shuō)明。

C 區(qū)和D 區(qū)是用來(lái)存放系統(tǒng)文件、應(yīng)用程序及Windows OS 、應(yīng)用程序、外設(shè)驅(qū)動(dòng)安裝程序。這些程序和文件初步考慮在EMT 目前云終端解決方案中最優(yōu)的處理方法是：不顯示，但不能刪除

2). 如何實(shí)現(xiàn)指定用戶只能使用指定文件夾和程序權(quán)限設(shè)置

文件和文件夾權(quán)限（僅 NTFS 驅(qū)動(dòng)器），在設(shè)置文件或文件夾的權(quán)限時(shí)，請(qǐng)指定要限制或允許其訪問(wèn)的組和用戶，然后選擇訪問(wèn)類(lèi)型。向多個(gè)對(duì)象分配權(quán)限時(shí)指定組帳戶更方便，可以在需要允許或禁止用戶訪問(wèn)時(shí)將用戶添加到適當(dāng)組。文件和文件夾權(quán)限只能在 NTFS 驅(qū)動(dòng)器上設(shè)置。

具體步驟如下：

第一步：選中指定文件夾和程序，右擊鼠標(biāo)按鈕點(diǎn)擊“共享和安全”菜單->“安全”面板

第二步：點(diǎn)擊“高級(jí)”->取消與父級(jí)權(quán)限繼承功能，再點(diǎn)擊“刪除”按鈕，然后退出當(dāng)前窗口。

第三步：根據(jù)用戶的要求，在“用戶和組”列表框中添加或者刪除用戶和組，同時(shí)也可以在下面權(quán)限列表框中指定用戶和組的使用具體權(quán)限和操作。

多個(gè)用戶同時(shí)使用一臺(tái)電腦和硬盤(pán)，這樣每個(gè)用戶都會(huì)考慮自身文件是不是安全，會(huì)不會(huì)被其他人看到、刪除、復(fù)制、移走；另外Administrator 也會(huì)想讓有些用戶使用指定程序，其他程序就不能使用。

3） 禁止使用命令提示符

在Windows 2000/XP/2003下，我們可以運(yùn)行cmd.exe 進(jìn)入命令提示符狀態(tài)，并可以繼續(xù)運(yùn)行一些DO S 命令和其他命令行程序。出于對(duì)安全的考慮，有些系統(tǒng)應(yīng)該屏蔽此功能。

打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→系統(tǒng)”中的“阻止訪問(wèn)命令提示符”并啟用此策略，并在下面列表框中選擇是否“也停用命令提示符腳本處理”，這個(gè)設(shè)置還決定批處理文件.cmd 和

.bat - 4 -

吳貌 025-83158110 13655198353 QQ:2171288

是否可以在計(jì)算機(jī)上運(yùn)行。

如果啟用這個(gè)設(shè)置，在用戶試圖打開(kāi)命令窗口時(shí)，系統(tǒng)會(huì)顯示一條消息，解釋設(shè)置阻止這一操作。

4）防止從“我的電腦”訪問(wèn)驅(qū)動(dòng)器（Windows 2000/XP/2003）

此策略讓用戶無(wú)法查看在“我的電腦”或“Windows 資源管理器”中所選驅(qū)動(dòng)器的內(nèi)容。同時(shí)它也禁止使用運(yùn)行對(duì)話框、鏡像網(wǎng)絡(luò)驅(qū)動(dòng)器對(duì)話框或Dir 命令查看在這些驅(qū)動(dòng)器上的目錄。

打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Windows 資源管理器”中的“防止從‘我的電腦’訪問(wèn)驅(qū)動(dòng)器”并啟用此策略，并在下面列表框中選擇一個(gè)驅(qū)動(dòng)器或幾個(gè)驅(qū)動(dòng)器。 提示：這些代表指定驅(qū)動(dòng)器的圖標(biāo)仍舊會(huì)出現(xiàn)在“我的電腦”中，但是如果用戶雙擊圖標(biāo)，會(huì)出現(xiàn)一條消息解釋設(shè)置防止這一操作。同時(shí)這些設(shè)置不會(huì)防止用戶使用其它程序訪問(wèn)本地和網(wǎng)絡(luò)驅(qū)動(dòng)器。并且不防止他們使用磁盤(pán)管理即插即用查看和更改驅(qū)動(dòng)器特性。

5）云終端屏蔽U 盤(pán)功能（USB 鼠標(biāo)、鍵盤(pán)正常使用）

在服務(wù)器端windows 開(kāi)始菜單選擇-運(yùn)行

gpedit.msc

“本地計(jì)算機(jī)”策略

左側(cè)：計(jì)算機(jī)配置-管理模板-Windows 組件-終端服務(wù)-客戶端/服務(wù)器數(shù)據(jù)重定向

右側(cè)：不允許驅(qū)動(dòng)器重定向 選擇雙擊設(shè)置-已啟用 確定

就無(wú)法使用U 盤(pán)了。

6）軟件限制策略：

點(diǎn)擊打開(kāi)“計(jì)算機(jī)配置”下的軟件限制策略條目，接著在“操作”菜單下點(diǎn)擊“創(chuàng)建新的策略”，系統(tǒng)將會(huì)創(chuàng)建兩個(gè)新的條目：“安全級(jí)別”和“其它規(guī)則”。其中在安全級(jí)別條目下有兩條規(guī)則，“不允許的”和“不受限的”，其中前者的意思是，默認(rèn)情況下，所有軟件都不允許運(yùn)行，只有特別配置過(guò)的少數(shù)軟件才可以運(yùn)行； 而后者的意思是，默認(rèn)情況下，所有軟件都可以運(yùn)行，只有特別配置過(guò)的少數(shù)軟件才被禁止運(yùn)行。因?yàn)槲覀儽纠行枰\(yùn)行的軟件都已經(jīng)定下來(lái)了，因此我們需要使用“不允許的”作為默認(rèn)規(guī)則。雙擊這條規(guī)則，然后點(diǎn)擊“設(shè)為默認(rèn)”按鈕，并在同意警告信息后繼續(xù)。

接著打開(kāi)“其他規(guī)則”條目，可以看到，默認(rèn)情況下這里已經(jīng)有四個(gè)規(guī)則，都是根據(jù)注冊(cè)表路徑設(shè)置的，而且默認(rèn)都設(shè)置為“不受限的”。不要修改這四個(gè)規(guī)則，否則系統(tǒng)運(yùn)行將會(huì)遇到很大麻煩，因?yàn)檫@四個(gè)路徑都涉及到了重要系統(tǒng)程序及文件所在的 位置。同時(shí)，位于系統(tǒng)盤(pán)下Program Files文件夾以及Windows 文件夾下的文件是允許運(yùn)行的，而這四條默認(rèn)的規(guī)則已經(jīng)包含了這個(gè)路徑，因此我們后面要做的只是為Office 程序添加一個(gè)規(guī)則。在右側(cè)面板的空白處點(diǎn)擊鼠標(biāo)右鍵，選擇“新建哈希規(guī)則”，然后可以看到下圖的界面。在這里點(diǎn)擊“瀏覽”按鈕，然后定位所有允許使用的Office 程序的可執(zhí)行文件（還記得分別是什么嗎？w inword.exe 、excel.exe 、powerpnt.exe 、outlook.exe ），并雙擊加入。接著在“安全級(jí)別”下拉菜單下選擇“不受限的”，然后點(diǎn)擊確定退出。重復(fù)以上步驟，把這四個(gè)軟件的可執(zhí)行文件都添加進(jìn)來(lái)，并設(shè)置為不受限的。

可執(zhí)行文件建立哈希規(guī)則比較統(tǒng)一為Office 應(yīng)用程序建立一個(gè)路徑規(guī)則，其實(shí)這樣才可以避免可執(zhí)行文件被替換，或者用戶把一些不需要安裝的綠色軟件復(fù)制到這個(gè)目錄下運(yùn)行。因?yàn)槿绻⒌氖悄夸浺?guī)則，那么所有保存在允許目錄下的文件都將可以被執(zhí)行，包括允許程序本身的文件，也包括用 - 5 -

吳貌 025-83158110 13655198353 QQ:2171288

戶復(fù)制進(jìn) 來(lái)的任何其他文件。而哈希規(guī)則就不同了，一個(gè)特定文件的哈希值是固定的，只要文件內(nèi)容不發(fā)生變化，那么它的哈希值就永遠(yuǎn)不會(huì)變。這樣也就避免了造假的可能。不過(guò)同時(shí)也存在一個(gè)問(wèn)題，雖然文件的哈希值可以不變化，但是文件本身可能會(huì)需要某些改變。例如你安裝 了一個(gè)Word 的補(bǔ)丁程序，那么winword.exe 文件的哈希值可能就會(huì)變化。因此如果你選擇創(chuàng)建這種規(guī)則，每當(dāng)軟件更新后你也需要看情況同步更新一下相應(yīng)的規(guī)則。否則正常程序的運(yùn)行也會(huì)被影響。

除此之外，這里還有幾條策略可以被利用：強(qiáng)制，可以限定軟件限制策略應(yīng)用到哪些文件以及是否應(yīng)用到Administrator 賬戶；指派的文件類(lèi)型，用于指定具有哪些擴(kuò)展名的文件可以被系統(tǒng)認(rèn)為是可執(zhí)行文件，我們可以添加或刪除某種類(lèi)型擴(kuò)展名的文件；收信任的出版商，則可以用來(lái)決定哪些用戶可以選擇收信任的出版商，以及信任之前還需要采取的其他操作。這三個(gè)策略可以根據(jù)自己的實(shí) 際情況作出選擇。

當(dāng)軟件顯示策略設(shè)置好之后，一旦被限制的用戶試圖運(yùn)行被禁止的程序，那么系統(tǒng)將會(huì)立刻發(fā)出警告并拒絕執(zhí)行。

軟件限制策略提供了一種透明的方式來(lái)隔離和使用不可靠的，有潛在危險(xiǎn)的代碼，這在某種程度上保護(hù)你的計(jì)算機(jī)免受各種通過(guò)電子郵件或網(wǎng)頁(yè)傳播的病毒、木馬程序和蠕蟲(chóng)等。這些策略榮允許你選擇如何管理你系統(tǒng)里的軟件。軟件可以被嚴(yán)格管理，你可以決定：如何、什么時(shí)間、什么地點(diǎn)執(zhí)行；或者軟件可以被設(shè)置為不予管理、禁止指定代碼運(yùn)行等。通過(guò)在一個(gè)隔離區(qū)執(zhí)行不可靠的代碼和腳本，你可以獲得那些被證明是良性的不可靠代碼和腳本的功能，而那些受感染的代碼是不能對(duì)你的系統(tǒng)造成任何危害的。例如，不可靠的代碼在未被證明是安全代碼之前，是被阻止發(fā)送電子郵件，訪問(wèn)文件，或是做其它的正常計(jì)算功能的。

軟件限制策略保護(hù)你免受感染的電子郵件附件的攻擊，包括存儲(chǔ)在臨時(shí)文件夾的文件，對(duì)象，和腳本。同時(shí)，也可以保護(hù)你的系統(tǒng)免受嵌入式不可靠腳本的URL/UNC連接、網(wǎng)上下載的ActiveX 的危害。

7）修改“開(kāi)始”菜單，防止終端用戶誤操作

對(duì)于我們EMT 一個(gè)普通的云終端用戶來(lái)說(shuō)，sever “開(kāi)始”菜單項(xiàng)太多，可以通過(guò)組策略將不需要的菜單項(xiàng)從“開(kāi)始”菜單中刪除。在組策略右側(cè)窗格中，提供了“從開(kāi)始菜單刪除用戶文件夾”、“刪除到‘Windows Update ’的訪問(wèn)和鏈接”、“從開(kāi)始菜單刪除公用程序組”、“從開(kāi)始菜單中刪除‘我的文檔’圖標(biāo)”等多種組策略配置項(xiàng)目。你只要將不需要的菜單項(xiàng)所對(duì)應(yīng)的策略啟用即可。

8) 禁止隨意修改任務(wù)欄和“開(kāi)始”菜單

為保護(hù)自己好不容易設(shè)置好的任務(wù)欄和“開(kāi)始”菜單，你只要將組策略控制臺(tái)右側(cè)窗格中的“阻止更改‘任務(wù)欄和開(kāi)始菜單’設(shè)置”和“阻止訪問(wèn)任務(wù)欄的上下文菜單”兩個(gè)策略項(xiàng)啟用即可。這樣，當(dāng)你用鼠標(biāo)右鍵單擊任務(wù)欄并單擊“屬性”時(shí)，系統(tǒng)會(huì)出現(xiàn)一個(gè)錯(cuò)誤消息，且當(dāng)鼠標(biāo)右鍵單擊任務(wù)欄及任務(wù)欄上的項(xiàng)目時(shí)，例如“開(kāi)始”按鈕、時(shí)鐘和“任務(wù)欄”按鈕，彈出菜單會(huì)隱藏。

9) 禁止“注銷(xiāo)”和“關(guān)機(jī)”

如果你不想讓他人再進(jìn)行“關(guān)機(jī)”和“注銷(xiāo)”操作的話，可將組策略控制臺(tái)右側(cè)窗格中的“刪除開(kāi)始菜單上的‘注銷(xiāo)’”和“刪除和阻止訪問(wèn)‘關(guān)機(jī)’命令”兩個(gè)策略啟用。這個(gè)設(shè)置會(huì)從開(kāi)始菜單刪除“關(guān)機(jī)”選項(xiàng)，并禁用“Windows 任務(wù)管理器”對(duì)話框 按“Ctrl Alt Del”會(huì)出現(xiàn)這個(gè)對(duì)話框 中的“關(guān)機(jī)”選項(xiàng) 。應(yīng)注意的是，該設(shè)置雖然可防止用戶用 Windows 界面來(lái)關(guān)機(jī)，但無(wú)法防止用戶用 - 6 -

吳貌 025-83158110 13655198353 QQ:2171288

其他第三方工具程序來(lái)將 Windows 關(guān)閉。

10) 防止隱私泄漏

在開(kāi)始菜單中有一個(gè)“我最近的文檔”菜單項(xiàng)，可以記錄你曾經(jīng)訪問(wèn)過(guò)的文件。這個(gè)功能可以方便用戶再次打開(kāi)該文件，但別人也可通過(guò)此菜單訪問(wèn)你最近打開(kāi)的文檔，為安全起見(jiàn)，有時(shí)需要屏蔽此功能。利用組策略，只要在右側(cè)窗格中將“不要保留最近打開(kāi)文檔的記錄”和“退出時(shí)清除最近打開(kāi)的文檔的記錄”兩個(gè)策略啟用即可。同時(shí)要注意如果啟用此策略設(shè)置但不啟用“從開(kāi)始菜單中刪除文檔菜單”策略設(shè)置，“文檔”菜單還會(huì)出現(xiàn)在“開(kāi)始”菜單上，但是該菜單為空菜單。如果啟用此策略設(shè)置，后來(lái)又禁用它并將它設(shè)置為“未配置”，則啟用策略設(shè)置之前保存的文檔快捷方式會(huì)重新出現(xiàn)在“文檔”菜單和應(yīng)用程序的“文件”菜單中。

11) 隱藏桌面的系統(tǒng)圖標(biāo)

雖然通過(guò)修改注冊(cè)表的方式可以實(shí)現(xiàn)隱藏桌面上的系統(tǒng)圖標(biāo)的功能，但這樣比較麻煩，也有一定的風(fēng)險(xiǎn)。而采用組策略配置的方法，可以方便快捷地達(dá)到此目的。

比如要隱藏桌面上的“網(wǎng)上鄰居”和“Internet Explorer ”圖標(biāo)，只要在右側(cè)窗格中將“隱藏桌面上‘網(wǎng)上鄰居’圖標(biāo)”和“隱藏桌面上的Internet Explorer 圖標(biāo)”兩個(gè)策略選項(xiàng)啟用即可；如果隱藏桌面上的所有圖標(biāo)，只要將“隱藏和禁用桌面上的所有項(xiàng)目”啟用即可；當(dāng)啟用了“刪除桌面上的‘我的文檔’圖標(biāo)”和“刪除桌面上的‘我的電腦’圖標(biāo)”兩個(gè)選項(xiàng)以后，“我的電腦”和“我的文檔”圖標(biāo)將從你的電腦桌面上消失；同樣如果要讓“回收站”圖標(biāo)消失，只須將“從桌面刪除回收站”策略項(xiàng)啟用即可。

12) 退出時(shí)不保存桌面設(shè)置

此策略可以防止用戶保存對(duì)桌面的某些更改。如果你啟用這個(gè)策略，用戶仍然可以對(duì)桌面做更改，但有些更改，如圖標(biāo)的位置、任務(wù)欄的位置及大小，在用戶注銷(xiāo)后都無(wú)法保存，不過(guò)任務(wù)欄上的快捷方式總可以被保存。

在右側(cè)窗格中將“退出時(shí)不保存設(shè)置”這個(gè)策略選項(xiàng)啟用即可。

13) 屏蔽“清理桌面向?qū)А惫δ埽╓indows XP/2003）

“清理桌面向?qū)А睍?huì)每隔 60 天自動(dòng)在用戶的電腦上運(yùn)行，以清除那些用戶不經(jīng)常使用或者從不使用的桌面圖標(biāo)。如果啟用此策略設(shè)置，則可以屏蔽“清理桌面向?qū)А保绻憬没虿慌渲么嗽O(shè)置，“清理桌面向?qū)А睍?huì)按照默認(rèn)設(shè)置每隔60天運(yùn)行一次。

打開(kāi)右側(cè)窗格中的“刪除清理桌面向?qū)А?，根?jù)需要設(shè)置策略選項(xiàng)即可。

14). 啟用/禁用“活動(dòng)桌面”

“活動(dòng)桌面”是Windows 98（及以后版本）或安裝了IE 4.0的系統(tǒng)中自帶的高級(jí)功能，最大的特點(diǎn)是可以設(shè)置各種圖片格式的墻紙，甚至可以將網(wǎng)頁(yè)作為墻紙顯示。但出于對(duì)安全和性能的考慮，有時(shí)候我們需要禁用這一功能（并且禁止用戶啟用它），通過(guò)策略設(shè)置可以輕松達(dá)到這一要求。具體操作方法：打開(kāi)右側(cè)窗格中的“禁用活動(dòng)桌面”并啟用此策略。

提示：如果同時(shí)啟用“啟用 Active Desktop ”設(shè)置和“禁用 Active Desktop ”設(shè)置，則“禁用 A ctive Desktop ”設(shè)置會(huì)被忽略。如果 “禁用 Active Desktop 和 Web 視圖”設(shè)置（在“用戶配置→管理模板→Windows 組件→Windows 資源管理器”中）被啟用，Active Desktop 就會(huì)被禁用，并且這兩個(gè)策略都會(huì)被忽略。

- 7 -

吳貌 025-83158110 13655198353 QQ:2171288

在“組策略控制臺(tái)→用戶配置→管理模板→桌面”下還有其他若干組策略配置項(xiàng)目，可根據(jù)需要進(jìn)行配置

15). 禁止更改顯示屬性

選擇“控制面板”中的“顯示”或在Windows 桌面的空白處單擊右鍵選擇“屬性”，可進(jìn)入“顯示設(shè)置”對(duì)話框，可以對(duì)桌面主題、桌面背景、屏保程序、顯示設(shè)置等各項(xiàng)進(jìn)行設(shè)置，如果你不想讓別人隨意更改各項(xiàng)設(shè)置，可以通過(guò)組策略將它隱藏起來(lái)。

打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→控制面板→顯示”，然后可以看到隱藏桌面選項(xiàng)卡、隱藏主題選項(xiàng)卡、隱藏保護(hù)程序選項(xiàng)卡、隱藏設(shè)置選項(xiàng)卡等策略配置，可根據(jù)需要對(duì)這些項(xiàng)目進(jìn)行配置。比如啟用了“隱藏‘桌面’選項(xiàng)卡”策略后，再打開(kāi)“顯示屬性”對(duì)話框，就看不到“桌面”標(biāo)簽了，這樣自然就無(wú)法再對(duì)桌面屬性進(jìn)行更改了。

16). 徹底禁止訪問(wèn)“控制面板”

如果不希望其他用戶訪問(wèn)計(jì)算機(jī)的“控制面板”，同樣可以使用組策略來(lái)實(shí)現(xiàn)。打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→控制面板”中的“禁止訪問(wèn)控制面板”并啟用此策略。

此策略啟用后可以防止“控制面板”程序文件（Control.exe ）的啟動(dòng)。他人將無(wú)法啟動(dòng)“控制面板”（或運(yùn)行任何“控制面板”項(xiàng)目）。另外，這個(gè)設(shè)置將從“開(kāi)始”菜單中刪除“控制面板”。同時(shí)這個(gè)設(shè)置還從“Windows 資源管理器”中刪除“控制面板”文件夾。

17). 禁用“添加/刪除程序”

“控制面板”中“添加或刪除程序”項(xiàng)目允許你安裝、卸載、修復(fù)并添加和刪除 Windows 的功能和組件以及種類(lèi)很多的 Windows 程序。如果你想阻止其他用戶安裝或卸載程序，可利用組策略來(lái)實(shí)現(xiàn)。 打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→控制面板→添加→刪除程序”中的“刪除‘添加/刪除程序’程序”并啟用此策略，當(dāng)我們?cè)俅蜷_(kāi)“控制面板”中“添加/刪除程序”模塊的時(shí)候，會(huì)自動(dòng)彈出警告窗口，而“添加/刪除程序”則無(wú)法運(yùn)行。

此外，在“添加/刪除程序”分支中還可以對(duì)Windows “添加/刪除程序”項(xiàng)中的“添加新程序”、“從CD-ROM 或軟盤(pán)添加程序”、“從Microsoft 添加程序”、“從網(wǎng)絡(luò)添加程序”等項(xiàng)進(jìn)行隱藏，通過(guò)這些策略項(xiàng)目的設(shè)置，起到了保護(hù)計(jì)算機(jī)中系統(tǒng)文件及應(yīng)用程序的作用。

18) 禁止建立新的撥號(hào)連接

如果不想讓別人在計(jì)算機(jī)中建立新連接來(lái)?yè)芴?hào)上網(wǎng)的話，組策略也可以做到。打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→網(wǎng)絡(luò)→網(wǎng)絡(luò)連接”中的“禁止訪問(wèn)新建連接向?qū)А辈⒂么瞬呗浴? 啟用此策略后，在“網(wǎng)絡(luò)連接”文件夾和“開(kāi)始菜單”中就不會(huì)出現(xiàn)“建立新連接”。

提示：此設(shè)置無(wú)法阻止用戶使用諸如 Internet Explorer 這樣的其它程序來(lái)繞過(guò)此設(shè)置。另外此設(shè)置必須重新啟動(dòng)計(jì)算機(jī)后才能生效。

19). 禁用注冊(cè)表編輯器

為了防止他人進(jìn)入電腦后對(duì)注冊(cè)表文件進(jìn)行修改，可以在組策略中對(duì)注冊(cè)表編輯器做禁止訪問(wèn)設(shè)置。具體操作方法：打開(kāi)“組策略控制臺(tái)→用戶配置→系統(tǒng)”中的“阻止訪問(wèn)注冊(cè)表編輯工具”并啟用此策略。

此策略被啟用后，用戶試圖啟動(dòng)注冊(cè)表編輯器（Regedit.exe 及 Regedt32.exe ）的時(shí)候，系統(tǒng)會(huì)禁止這類(lèi)操作并彈出警告消息。

- 8 -

吳貌 025-83158110 13655198353 QQ:2171288

20). 限制使用應(yīng)用程序

有些程序我們可能不希望其他用戶隨意運(yùn)行，也能在組策略中設(shè)置。

打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→系統(tǒng)”中的“只運(yùn)行許可的Windows 應(yīng)用程序”并啟用此策略，然后點(diǎn)擊下面的“允許的應(yīng)用程序列表”邊的“顯示”按鈕，彈出一個(gè)“顯示內(nèi)容”對(duì)話框，在此單擊“添加”按鈕來(lái)添加允許運(yùn)行的應(yīng)用程序即可。以后一般用戶只能運(yùn)行“允許的應(yīng)用程序列表”中的程序。

21) 關(guān)閉縮略圖的緩存

Windows XP/20003系統(tǒng)系統(tǒng)具有縮略圖的功能，為加快那些被頻繁瀏覽的縮略圖顯示速度，系統(tǒng)還會(huì)將這些顯示過(guò)的圖片置于緩存中，以便下次打開(kāi)時(shí)直接讀取緩存中的信息，從而達(dá)到快速顯示的目的。若你不希望系統(tǒng)進(jìn)行緩存的話，則可利用組策略輕松地關(guān)閉緩存功能。由于不進(jìn)行緩存處理，反而會(huì)大大加快第一次瀏覽的速度。方法如下：打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→Windo ws 組件→Windows 資源管理器”中的“關(guān)閉縮略圖的緩存”并啟用此策略。提示：若你的電腦是一個(gè)網(wǎng)絡(luò)中的共享工作站，為了數(shù)據(jù)安全，建議你啟用該設(shè)置以關(guān)閉縮略圖視圖緩存，因?yàn)榭s略圖視圖緩存可以被任何人讀取。

21). 限制IE 瀏覽器的保存功能

當(dāng)眾多云終端共用一臺(tái)計(jì)算機(jī)時(shí)，為了保持硬盤(pán)的整潔，對(duì)瀏覽器的保存功能進(jìn)行限制使用是很有必要。那么怎樣才能實(shí)現(xiàn)呢？具體步驟如下：打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→Windo ws 組件→Internet Explorer →瀏覽器菜單”，然后將右側(cè)窗格中的“‘文件’菜單：禁用‘另存為... ’菜單項(xiàng)”、“‘文件’菜單：禁用另存為網(wǎng)頁(yè)菜單項(xiàng)”、“‘查看’菜單：禁用‘源文件’菜單項(xiàng)”和“禁用上下文菜單”等策略項(xiàng)目全部啟用即可。如果不希望別人對(duì)IE 瀏覽器的設(shè)置隨意更改，可以將“‘工具’菜單：禁用‘Internet 選項(xiàng)... ’”策略啟用。此外，如果個(gè)人需要的話，還可以在該窗格中禁用其他項(xiàng)目。

22）禁止修改IE 瀏覽器的主頁(yè)

在IE 瀏覽器中可以設(shè)置默認(rèn)主頁(yè)，如果不希望他人對(duì)自己設(shè)定的IE 瀏覽器主頁(yè)進(jìn)行隨意更改的話，可以打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Internet Explorer →工具欄”，然后選擇“禁用更改主頁(yè)設(shè)置”組策略并啟用即可。另外在這個(gè)窗格中，還提供了“更改歷史記錄設(shè)置”、“更改顏色設(shè)置”和“更改Internet 臨時(shí)文件設(shè)置”等項(xiàng)目的禁用功能。啟用此策略后，在IE 瀏覽器的“Internet 選項(xiàng)”對(duì)話框中，其“常規(guī)”選項(xiàng)卡的“主頁(yè)”區(qū)域的設(shè)置將變灰，即不可修改。 提示：如果您已經(jīng)設(shè)置了位于“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Internet Explorer →Internet Explorer 控制面板”中的“禁用常規(guī)頁(yè)”策略，則無(wú)須再設(shè)置該策略。

23）禁用“Internet 選項(xiàng)”控制面板

如果你對(duì)“控制面板”中的選項(xiàng)禁用得較多，不如一步到位——干脆禁止訪問(wèn)“控制面板”，通過(guò)下面的組策略設(shè)置方法即可實(shí)現(xiàn)這一要求：打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Internet Explorer →Internet 控制面板”，在右邊窗格中我們可以看到“禁用常規(guī)頁(yè)”、“禁用安全頁(yè)”等組策略項(xiàng)目。下面以“禁用常規(guī)頁(yè)”為例進(jìn)行說(shuō)明：打開(kāi)右邊窗格中的“禁用常規(guī)頁(yè)”并設(shè)置為“啟用”。然后我們?cè)俅蜷_(kāi)Internet 選項(xiàng)控制面板，會(huì)發(fā)現(xiàn)“常規(guī)”項(xiàng)目已經(jīng)沒(méi)有了，這樣一來(lái)用戶將無(wú)法看到和更改主頁(yè)、緩存、歷史記錄、網(wǎng)頁(yè)外觀以及輔助功能的設(shè)置，因?yàn)樵摬呗詫h除界面上的“常規(guī)”選項(xiàng)卡，所以如果設(shè)置了該策略，則無(wú)須設(shè)置位于 “用戶配置→管理模板→Windows 組件→Int - 9 -

吳貌 025-83158110 13655198353 QQ:2171288

ernet Explorer ”中的諸如“禁用更改主頁(yè)設(shè)置”、“禁用更改顏色設(shè)置”等策略。

24).IE 設(shè)置安全

微軟的Internet Explorer 讓我們可以輕松地在互聯(lián)網(wǎng)上遨游，但要想用好Internet Explorer ，則必須將它配置好。在IE 瀏覽器的“Internet 選項(xiàng)”窗口中，提供了比較全面的設(shè)置選項(xiàng)（例如：“首頁(yè)”、“臨時(shí)文件夾”、“安全級(jí)別”和“分級(jí)審查”等項(xiàng)目），但部分高級(jí)功能沒(méi)有提供，而通過(guò)組策略即可輕松實(shí)現(xiàn)這些功能。

位置：“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Internet Explorer （需添加inetres. adm 模板文件）”

25). 禁用“在新窗口中打開(kāi)”菜單項(xiàng)

出于對(duì)安全的考慮，有時(shí)候我們有必要屏蔽IE 的一些功能菜單，組策略提供了豐富的設(shè)置項(xiàng)目，比如禁用“另存為... ”、“文件”、“新建”等。下面以“禁用‘在新窗口中打開(kāi)’菜單項(xiàng)”為例介紹具體的設(shè)置方法。

打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Internet Explorer →瀏覽器菜單”，然后打開(kāi)“禁用‘在新窗口中打開(kāi)’菜單項(xiàng)”并設(shè)置為“啟用”。啟用該策略后，用戶在某個(gè)鏈接上單擊鼠標(biāo)右鍵，然后單擊“在新窗口中打開(kāi)”時(shí)，該命令將不起作用。該策略可與“‘文件’菜單禁用‘新建’菜單項(xiàng)”一起使用，后者禁止用戶通過(guò)單擊“文件”菜單，指向“新建”，然后單擊“窗口”在新窗口中打開(kāi)瀏覽器（“新建→窗口”項(xiàng)目已經(jīng)無(wú)法使用）。

提示：?jiǎn)⒂迷摬呗院?，單擊“在新窗口中打開(kāi)”命令，將無(wú)法在新窗口中打開(kāi)鏈接，系統(tǒng)會(huì)提示用戶該命令無(wú)效，網(wǎng)頁(yè)自動(dòng)打開(kāi)的窗口也全部被禁止，其實(shí)這樣也可達(dá)到屏蔽彈出廣告窗口的效果。

26). 屏蔽使用所有 Windows Update 功能的訪問(wèn)

Windows Update 可以自動(dòng)連接Microsoft 網(wǎng)站并下載更新內(nèi)容，這對(duì)大部分用戶來(lái)說(shuō)是比較實(shí)用的，但對(duì)于不需要更新或者帶寬緊張的電腦用戶來(lái)說(shuō)，此功能就顯得多余了，而且經(jīng)常傳聞Windows Up date 會(huì)將計(jì)算機(jī)用戶信息“秘密”發(fā)往Microsoft ，因此也可以屏蔽這一“智能”高級(jí)功能。打開(kāi)“組策略控制臺(tái)→用戶配置→管理模板→Windows 組件→Windows Update ”中的“刪除使用所有 Windo ws Update 功能的訪問(wèn)”組策略并啟用此策略。

提示：如果你啟用此設(shè)置，所有 Windows Update 功能（其中包括阻止訪問(wèn)Windows Upda te 網(wǎng)站http //windowsupdate.microsoft.com、開(kāi)始菜單上的 Windows Update 的超鏈接和Internet 資源管理器上的工具菜單）將被刪除。Windows 自動(dòng)更新也被禁用，你將不會(huì)收到有關(guān)更新的通知，也不會(huì)接到Windows Update 的重要更新。此設(shè)置還會(huì)阻止設(shè)備管理器自動(dòng)從Windows Update 網(wǎng)站下載安裝驅(qū)動(dòng)程序的更新。

27). 關(guān)于USB 存儲(chǔ)設(shè)備的禁用，有兩種，

一、云終端定制，在出廠時(shí)我們就把USB 存儲(chǔ)設(shè)備功能禁用掉。客戶可以提出來(lái), 但是一旦這樣做了，USB 存儲(chǔ)設(shè)備功能就永遠(yuǎn)關(guān)閉了。

二、在出廠時(shí)我們就把USB 存儲(chǔ)設(shè)備功能默認(rèn)開(kāi)放，這樣有靈活性，客戶可以在服務(wù)器端修改相關(guān)設(shè)置。如下：

1．開(kāi)始→運(yùn)行，里面輸入，”gpedit.msc ”。

- 10 -