主题：win2003使用配置指南

win2003是一个比较安全的服务器操作系统，但使用在个人电脑上却实在好用，速度比擦皮鞋快，以前的2000的很多服务默认是打开的，容易构成安全威胁，同时也会减慢启动和运行速度，需要用户手动去关闭。现在2003反过来了，很多可能影响安全和稳定的功能是关闭的，需要用户手动开启。因此，一用上2003，偶连XP都想丢掉，只保留2003喽。既然这么好用，偶就来说说2003的一些不同和需要调整一下的地方。

　　一、认识2003。

　　1.windows server 2003 3790版本识别，据称3790就是最终交给生产商压盘生产的版本。

　　RTM=release to manufacture （公开发行批量生产）是给硬件制造商的版本！是送去压盘的,不是拿去卖的。

　　OEM=Original Equipment Manufacturer只能全新安装， 和RTM差不多，只是称呼不同而已。

　　RTL=retail（零售）正式零售版,可以升级或者全新安装。

　　VLK=Volume License大量授权版，又称为企业版。（搞，偶找了几十天还没找到）

　　2.windows server 2003 3790版的激活

　　嘿嘿，比较敏感，大家自己去研究了，或者发PM问偶。

　　二、配置2003

　　3.禁用配置服务器向导

　　第一次安装后，每次启动都会出现禁止“配置你的服务器”（Manage Your Server）向导，只要勾选左下角的“登录时不要显示该页”（Don't display this page at logon）即可不再出现。如果以后你要使用这个向导，在控制面板（Control Panel） -> 管理员工具（Administrative Tools ）-> 管理你的服务器（Manage Your Server）运行它。

　　4.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现
　　盖子把2003IE的安全级别设置得很高，有些变态的感觉，为保证偶等正常上网，还是把它搞转来。

　　在IE工具选项中自定义设置IE的安全级别。在”安全“（Security）选项卡上拉动滚动条把Internet区域安全设置为”中“（Medium）或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。还要在高级中把播放图画、声音、显示图片等勾选，否则网页就不精彩球噢喽！

　　5.禁用关机事件跟踪

　　2003的关机是需要理由的（需要吗？不需要吗？需要吗？不需要吗？你干嘛这么看着我？我只是和你研究一下嘛，需要吗？），防止黑客远程关机的吧。偶个人用户拿来做甚？干掉。

　　开始 -> 运行 -> gpedit.msc -> 计算机配置Computer configuration ->管理模板 Administrative Templates -> 系统System -> 显示关机事件跟踪Display shutdown event tracker -> 设置为禁用 Disable。

　　6. 禁用开机 CTRL+ALT+DEL和实现自动登陆

　　方法1：打开注册表(运行->“Regedit”)，再打开:HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段，在此段中按右键，新建二个字符串值，AutoAdminLogon=“1”，DefaultPassword=“为超级用户Administrator所设置的Password”。

　　注意，设置之前一定要为Administrator设置一个密码，否则不能实现自动登录。 搞好后下次重新启动时Windows即可实现自动登录。如果是宽带和架Web、FTP的服务不推荐设置，否则黑客也许半天没猜出你的密码来，搞到注册表一看，得来全不费功夫了。同时要加强安全意识，安装防火墙。Kao，只是一些好杀毒不能在2003里弄，例如诺顿抗病毒2003（企业版太TMD大了，怕人），俄罗斯的AVP等。瑞星可以装，不过要换ID了，shit，无机可乘了。

　　方法2：管理工具 -> Local Security Settings（本地安全策略） -> 本地策略 -> 安全选项 -> interactive logon: Do not require CTRL+ALT+DEL，启用之。

　　方法3（自动登陆）：使用Windows XP的Tweak UI来实现Server 2003自动登陆（其实用超级兔子2003光盘版最好搞定。）。下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名（如果没有就不写），点击下面的Set Password，输入用户名的密码，然后点击OK。

　　7.启用硬件和DirectX加速

　　★再次变态的盖子这次连2003的声音也给关了，确实服务器不需要声音。但偶们没有声音怎么欣赏Ape和Wav？尤其是ivannor兄这个M200迷，逮着谁给谁要M200，没有声音他不得疯狂？贵阳坛可经不起他折腾，三两下就能把贵阳坛弄成他家水罐。现在来打开吧：开始 -> 运行 -> 键入“Services.msc ”，找到“Windows Audio”，把它设为自动，同时启动它。不过要想听到声音的话，需要重启。重启后安装声卡驱动就　OK了。

　　★硬件加速：桌面点击右键－－属性（Properties） -> 设置（Settings ）－－高级（ Advanced ）－－疑难解答（Troubleshoot）。把该页面的硬件加速滚动条拉到“完全”（ Full），最后点击“确定”（OK）保存退出。这期间可能出现一瞬的黑屏是完全正常。

　　★DirectX加速：打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“显示”（Display）页面，点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”（Hardware Sound Acceleration Level）滚动条拉到“完全加速”（ Full Acceleration）。

　　8.启用桌面主题和隐藏文件　

　　开始 -> 运行 -> 键入“Services.msc ”，选themes“主题”（默认是禁止的），然后改为“自动”，按“应用”，选“开启”。接着右击“桌面”选“属性”，在“主题”里选“windows xp”Windows Server 2003默认显示所有的文件夹，要是各位兄台有些什么一般的隐密东东可就暴露了。隐藏：打开我的电脑或资源管理器，选择“工具” -> “文件夹选项” -> “查看”，选择“不显示隐藏的文件和文件夹”，点击“确定”。

　　9.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务

　　2003不象XP，默认的刻录是关闭的，好啊，偶从来没用过XP的这个东东，一安装好XP马上关闭。Nero这么好用，还来用这个破烂？但是也许有些人用得着，说说了。

　　★启用Windows内置的刻录（IMAPI CD-Burning）服务：打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“IMAPI CD-Burning COM Service ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

　　★假如你有如数码相机和扫描仪之类的影像设备（例如whove兄，阿猫阿狗之类的兄台^＿^），应该打开Windows Image Acquisition 服务。

　　开始 -> 运行->键入“Services.msc ”，在出现的窗口中找到“Windows Image Acquisition (WIA) ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

　　10.高级设置

　　★禁用错误报告，偶最不喜欢这个东东来麻烦偶，一有软件死掉就要跳出来，关！

　　右击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－点击“错误报告”（Error Reporting ）按钮，在出现的窗口中把“禁用错误报告”（Disable Error Reporting）选上并复选“但在发生严重错误时通知我”（But, notify me when critical errors occur.），也可以不复选。

　　★调整虚拟内存

　　一些朋友经常会对关机和注销缓慢感到束手无策，解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多，不过推荐至少256M内存的用户使用，少于256的最好还是留着点吧。右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）－－设置（Setting）－－高级（Advanced），点击“虚拟内存”（Virtual memory）部分的“更改”（Change），然后在出现的窗口选择“无分页文件”。重启系统即可。

　　11.加快启动和运行速度。搞，下面这些个东东偶一向喜欢用windows优化大师来完成的，记不住这么多。

　　**修改注册表，减少预读取，减少进度条等待时间：开始→运行→regedit启动注册表编辑器，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory ManagementPrefetchParameters， 有一个键值名为EnablePrefetcher，它的值是3,把它改为“1”或“5”自己试试看哪个值最适合。

　　找到 HKEY_LOCAL_MACHINESystemCurrentControlSetControl， 将 WaitToKillServiceTimeout 设为：1000或更小。 ( 原设定值：20000 )

　　找到 HKEY_CURRENT_USERControl PanelDesktop 键，将右边视窗的WaitToKillAppTimeout 改为 1000， ( 原设定值：20000 )即关闭程序时仅等待1秒。

　　将 HungAppTimeout 值改为：200( 原设定值：5000 )， 表示程序出错时等待0.5秒。

　　**让系统自动关闭停止回应的程式。

　　打开注册表 HKEY_CURRENT_USERControl PanelDesktop 键，将 AutoEndTasks 值设为 1。 ( 原设定值：0 )

　　**禁用系统服务Qos

　　开始 -> 运行→键入 gpedit.msc ，确定后出现“组策略”窗口， 展开 "管理模板”→“网络” ， 展开 "QoS 数据包调度程序"， 在右边窗右键单击“限制可保留带宽" ，在属性中的“设置”中有“限制可保留带宽" ，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败。

　　**改变窗口弹出的速度： 用优化大师来弄吧。

　　找到HKEY_CURRENT_USER＼Control Panel＼Desktop＼WindowMetrics子键分支，在右边的窗口中找到MinAniMate键值，其类型为REG_SZ，默认情况下此健值的值为1，表示打开窗口显示的动画，把它改为0，则禁止动画显示，接下来从开始菜单中选择“注销”命令，激活刚才所作的修改。

　　 **禁止Windows XP的压缩功能： 无聊又麻烦的功能，winrar是偶的首选。

　　开始 -> 运行，输入“regsvr32 /u zipfldr.dll”，按回车键或点击确定即可出现zipfldr.dll已卸载的提示。

　 　**设置个性的启动信息或警告信息：

　　个性化的Windows XP启动：打开注册表编辑器，找到HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon子键分支，双击LegalNoticeCaption健值，打开“编辑字符串”对话框，在“数值数据”下的文本框中输入自己想要的信息标题，例如“CRF89，你再灌水把你踩成‘陈水扁’！”，然后点击“确定”，下次重启即可看到。

　　如果想要改变警告信息的话可以双击LegalNoticeText健值名称，在出现的“编辑字符串”窗口中输入想要显示的警告信息，单击“确定”，重新启动

**禁用系统服务Qos

　　开始 -> 运行→键入 gpedit.msc ，确定后出现“组策略”窗口， 展开 "管理模板”→“网络” ， 展开 "QoS 数据包调度程序"， 在右边窗右键单击“限制可保留带宽" ，在属性中的“设置”中有“限制可保留带宽" ，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败。
Windows 2003如何应用组策略和安全模板
组策略用于从一个单独的点对多个Microsoft Active Directory目录服务用户和计算机对象进行配置。在默认情况下，策略不仅影响应用该策略的容器中的对象，还影响子容器中的对象。

　　组策略包含了“计算机配置、Windows 设置、安全设置”下的安全设置。您可将预先配置的安全模板导入策略，来完成对这些设置的配置。

　　应用组策略

　　下列步骤显示了如何应用组策略，以及如何向“用户权限分配”添加安全组。

　　•; 将组策略应用于组织单位或域

　　1.依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

　　2.突出显示相关域或组织单位，单击“操作”菜单，选择“属性”。

　　3.选择“组策略”选项卡。

　　注意：每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上。如果出现冲突，最后应用的策略优先。

　　4.单击“新建”创建一个策略，并为其指定有实际意义的名称，如“域策略”。

　　注意：单击“选项”按钮可配置“禁止替代”设置。“禁止替代”是为每个单独的策略配置的，而不是为整个容器；“阻止策略继承”则是为整个容器配置的。如果“禁止替代”和“阻止策略继承”设置发生冲突，“禁止替代”设置优先。要配置“阻止策略继承”，请选中 OU 属性中的复选框。

　　组策略可自动更新，但为了立即启动更新过程，可在命令提示符下使用下面的 GPUpdate 命令：GPUpdate /force

　　向“用户权限分配”添加安全组

　　1.依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

　　2.突出显示相关 OU(如“成员服务器”)，单击“操作”菜单，选择“属性”。

　　3.单击“组策略”选项卡，选择相关策略(如“成员服务器基准策略”)，然后单击“编辑”。

　　4.在“组策略对象编辑器”中，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后突出显示“用户权限分配”。

　　5.在右侧窗格中，右键单击相关用户权限。

　　6.选中“定义这些策略设置”复选框，单击“添加用户和组”修改该列表。

　　7.单击“确定”。

　　将安全模板导入组策略

　　下列步骤显示了如何向组策略导入安全模板。

　　•; 导入安全模板

　　1.依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

　　2.突出显示相关域或 OU，单击“操作”菜单，选择“属性”。

　　3.选择“组策略”选项卡。

　　4.突出显示相关策略，单击“编辑”。

　　5.依次展开“计算机配置”、“Windows 设置”，然后突出显示“安全设置”。

　　6.单击“操作”菜单，选择“导入策略”。

　　7.导航到 Security GuideJob Aids，选择相关模板，单击“打开”。

　　8.在“组策略对象编辑器”中，单击“文件”菜单，选择“退出”。

　　9.在容器属性中，单击“确定”。

　　使用“安全配置和分析”

　　下列步骤显示了如何使用“安全配置和分析”来导入、分析和应用安全模板。

　　•; 导入安全模板

　　1.依次单击“开始”、“运行”。在“打开”文本框中键入 mmc，然后单击“确定”。

　　2.在 Microsoft 管理控制台中，单击“文件”，选择“添加/删除管理单元”。

　　3.单击“添加”，突出显示列表中的“安全配置和分析”。

　　4.依次单击“添加”、“关闭”、“确定”。

　　5.突出显示“安全配置和分析”，单击“操作”菜单，选择“打开数据库”。

　　6.键入新的数据库名称(如 Bastion Host)，单击“打开”。

　　7.在“导入模板”界面中，导航到 Security GuideJob Aids，选择相关模板。单击“打开”。

　　•; 分析导入的模板并与当前设置比较

　　1.突出显示 Microsoft 管理单元中的“安全配置和分析”，单击“操作”菜单，并选择“立即分析计算机”。

　　2.单击“确定”，接受默认的“错误日志文件路径”。

　　3.完成分析后，展开节点标题对结果进行研究。

　　•; 应用安全模板

　　1.突出显示 Microsoft 管理单元中的“安全配置和分析”，单击“操作”菜单，选择“立即配置计算机”。

　　2.单击“确定”，接受默认的“错误日志文件路径”。

　　3.在 Microsoft 管理控制台，单击“文件”，然后选择“退出”关闭“安全配置和分析”。