在域环境中，如果能够合理利用管理模板，则能够给我们的管理工作带来很大的便利。当客户端的计算机处在“管理模板策略”时，系统会将管理模板中的策略配置值存储到用户计算机的登陆环境内。但是，它并不会将客户端计算机默认的登陆值覆盖掉。客户端主机将同时应用管理模板策略与本地计算机默认的登陆值。如果当两者的配置发生冲突的时候，当然以管理模板的策略值为准。由于在应用管理模板策略时，客户端主机原有的默认值没有被修改，所以，当管理模板策略失效时，客户端仍然可以采用其默认值登陆。

学45网Le页4VB网(http://www.xwangye.com)

　　管理模板策略，可以简化我们的组策略配置，而且，也给我们网络管理员提供了一个统一管理的平台。如我们可以把一些常用的组策略通过模板来实现，如此的话，就不需要给每个组进行重复的组策略配置。

学45网Le页4VB网(http://www.xwangye.com)

　　具体的来说，我们常用管理模板策略，来实现如下的一些配置。

学45网Le页4VB网(http://www.xwangye.com)

　　一、 限制用户只可以运行指定的程序

学45网Le页4VB网(http://www.xwangye.com)

　　在企业网络管理中，很大一部分工作就是员工网络行为的管理。如在以前没有有效管理手段之前，我们网络管理员还不得不不定期的去各个办公室视察，看看员工是否在上班时间利用QQ聊天;是否在利用公司的电脑打游戏，等等。这么做，不仅效率不高，而且还得罪人，是一个吃力不讨好的差事。

学45网Le页4VB网(http://www.xwangye.com)

　　不过后来这方面的控制手段就多了起来，各个厂家都在员工网络行为管理上下功夫。微软在这方面当然也不敢落后。他们在组策略中，提供了一个很好的工具，即可以指定某台计算机只能够运行哪些程序。如我们就可以利用这个功能，指定公司电脑只能够运行OFFCIE、邮件客户端、金山词霸以及其他的一些必要的应用程序。而把QQ、游戏等软件排除在外，如此的话，员工就无法在客户端运行这些程序。从权限上排除这些软件，如此，我们网络管理员也不用老是去充当“间谍”，因为我们可以实现事先控制。

学45网Le页4VB网(http://www.xwangye.com)

　　具体的配置方法为

学45网Le页4VB网(http://www.xwangye.com)

　　我们在活动目录用户与计算机内，依次打开用户配置、管理模板、系统，找到“只运行许可的应用程序”选项，然后，在程序列表中，输入我们允许其运行的程序文件名称。不过这里我们需要明白一点，有时候精通这方面的人员，若修改应用程序的名称，则这个策略就不会起作用。如他们把QQ这个应用程序名修改为其他我们允许运行的程序名，则这个QQ应用程序就允许被运行。不过，在企业中，有这方面才能的人还是极少数的，所以在企业中还是有比较大应用价值。如果大家不放心的话，则还可以通过软件限制策略来实现这个需求。

学45网Le页4VB网(http://www.xwangye.com)

　　二、 限制浏览器的更改，保护浏览器安全

学45网Le页4VB网(http://www.xwangye.com)

　　在微软的操作系统中，浏览器可以说是一个比较脆弱的环节，很多操作系统的问题，都是因为浏览器遭受到攻击所造成的。所以，有效保护浏览器，防止修改某些参数，对于保护浏览器安全，甚至企业网络安全来说，都有非常重要的作用。

学45网Le页4VB网(http://www.xwangye.com)

　　我们希望在组策略管理中，能够实现对某些修改参数的限制。如我们不希望用户随意修改浏览器中的安全选项;或者禁止用户修改internet选项中的高级页签中的相关功能。其实，有时候，也不是用户故意更改，而是在一些不良网站的利诱下，甚至他们私下进行更改。如有些不良网站会提示用户降低浏览器的安全性或者启用某些不安全的浏览器功能，以正常访问他们的网站。如此，一些没有安全观念的用户，就会造着去做。这就会给对方有机可乘。而更有甚者，有些网站或者木马、病毒，会利用浏览器的漏洞直接修改浏览器的相关设置，以方便他们的攻击。不过，无论是哪种方式的修改，都需要当前登陆帐户具有这种权限，或者的话，他们是无法达到修改的目的。

学45网Le页4VB网(http://www.xwangye.com)

　　所以，我们通过组策略的相关控制，让用户没有这方面的权限，同时，又能够让他们满足正常办公的需要，这就是我们的目的。这个需求我们可以通过管理模板策略，轻松的完成。因为在组策略中，有一个选项可以限制用户使用浏览器的某些功能。如我们依次打开用户配置、管理模板、Windows组件、浏览器，找到Internet控制面板选项。打开这个选项，我们就可以设置用户具有哪些操作浏览器的权限;不能做哪些动作，等等。不过，这里仅限微软的浏览器，而其他的浏览器，如FIREFOX等等，就不再组策略的管理范围之内了。