方便實(shí)用WindowsVista新增組策略

字號(hào):

從Windows 2000開始,組策略就是配置Windows的有效工具。其實(shí)嚴(yán)格說起來,組策略編輯器中的大部分配置都可以直接修改注冊表實(shí)現(xiàn),不過很明顯,通過組策略編輯器進(jìn)行修改,更加直觀,而且也不容易出錯(cuò)。因此很多Windows用戶都已經(jīng)習(xí)慣了使用組策略對(duì)Windows的一些高級(jí)設(shè)置進(jìn)行配置。
    Windows Vista中新增了大量新的功能,同時(shí)組策略編輯器中也包含了更多內(nèi)容。想知道這些新增的內(nèi)容對(duì)我們有什么用嗎?一起來看看吧。
    提示:下文是以測試版的Windows Vista RC2 Ultimate為基礎(chǔ)撰寫的,因此和正式版中可能會(huì)有所不同。另外,Vista的家庭版沒有組策略編輯器功能。  
    控制硬件設(shè)備的安裝
    這是一個(gè)很吸引人的功能?,F(xiàn)在很多公司都不希望員工使用閃存盤或者M(jìn)P3隨身聽之類可以通過計(jì)算機(jī)的USB接口傳輸文件的設(shè)備,因?yàn)檫@很容易導(dǎo)致公司的機(jī)密數(shù)據(jù)丟失。傳統(tǒng)的預(yù)防辦法最常見就是將計(jì)算機(jī)上的USB接口堵死,但這種“硬”方法也造成了一些問題,導(dǎo)致其他使用USB接口的設(shè)備,例如鍵盤和鼠標(biāo)都無法使用。那么有沒有不那么 “強(qiáng)硬”的方法?這時(shí)候可以考慮使用Windows Vista的組策略了。  
    通過組策略實(shí)現(xiàn)的目標(biāo)
    通過Windows Vista的組策略,對(duì)硬件設(shè)備的安裝將可以達(dá)到下列限制:
    ● 只有指定類型的設(shè)備可以安裝,其他未指定設(shè)備一律無法安裝。
    ● 只有指定的具體硬件可以安裝,其他未指定的硬件一律無法安裝。
    ● 所有可移動(dòng)設(shè)備都無法安裝。
    ● 對(duì)于某些設(shè)備,限制用戶的讀取或者寫入操作。
    實(shí)現(xiàn)思路
    如何限制對(duì)硬件的使用?Vista中使用兩種方式:硬件類型(device class)和硬件ID(device ID)。
    ● 硬件類型(device class):簡單來說,就是用于描述設(shè)備用途的一個(gè)名稱,例如所有的閃存盤,不管是A品牌的還是B品牌的,不管是USB 1.1標(biāo)準(zhǔn)的還是2.0的,只要是閃存盤,那就具有統(tǒng)一的硬件類型。
    ● 硬件ID(device ID):用于描述具體硬件的一個(gè)代號(hào)。同樣的硬件,例如同一個(gè)品牌和型號(hào),甚至同一個(gè)生產(chǎn)批次的兩個(gè)硬件產(chǎn)品,都會(huì)有不同的硬件ID。
    也就是說,如果通過硬件類型來指定禁止安裝的設(shè)備,例如使用閃存盤的硬件類型進(jìn)行限制,那么不管是什么品牌或者參數(shù)的閃存盤,只要是閃存盤,都將無法被安裝。但使用硬件ID進(jìn)行限制就不同了,例如有兩塊同品牌同型號(hào)的閃存盤(硬件ID絕對(duì)是不同的),那么我們可以限制只允許使用其中的一個(gè),而不許使用另一個(gè)?! ?BR>    具體操作
    為了更好地說明該功能的使用方法,下文將會(huì)使用一個(gè)魅族的MiniPlayer播放器來介紹如何禁止這個(gè)特定的播放器被使用,或者如何禁止所有類似產(chǎn)品被使用。
    獲取設(shè)備類型或者硬件ID。
    將希望禁止使用的設(shè)備連接到計(jì)算機(jī),并等待安裝完成。打開“開始”菜單,在搜索框中輸入“devmgmt.msc”并回車,打開設(shè)備管理器。從設(shè)備列表中找到想要禁止使用的設(shè)備,雙擊打開其“屬性”對(duì)話框。
    打開“屬性”對(duì)話框的“Details(詳細(xì)信息)”選項(xiàng)卡,將能看到如圖1的界面。在Property(屬性)下拉菜單中分別選擇Device Class guid(設(shè)備類GUID)和Hardware ids(硬件ID)后,就可以看到該設(shè)備的這兩個(gè)屬性值。在下方顯示的值上單擊鼠標(biāo)右鍵就可以將內(nèi)容復(fù)制出來。
    通過這樣的方法獲取想要禁止使用的設(shè)備的類或者硬件ID,然后繼續(xù)下面的操作?! ?BR>    找到所需的組策略
     打開開始菜單,在搜索框中輸入“gpedit.msc”并回車,打開“組策略編輯器”窗口。在左側(cè)的樹形圖中定位到“Computer Configuration-Administrative Templates-System-Device Installation-Device Installation Restrictions(計(jì)算機(jī)配置-管理模板-系統(tǒng)-硬件安裝-硬件安裝限制)”,在右側(cè)的面板中可以看到九個(gè)策略,就是用這九個(gè)策略進(jìn)行限制的(如圖2)。
    實(shí)現(xiàn)限制
    上文已經(jīng)提到了,我們希望禁止手頭這個(gè)Miniplayer播放器的使用,或者禁止所有這類設(shè)備使用,那么就可以這樣做:
    如果希望禁止這個(gè)播放器的使用,首先從設(shè)備管理器中找到該設(shè)備的硬件ID,然后雙擊“Prevent installation of devices that match any of these device IDs”這條策略(如圖3),選擇“Enabled”選項(xiàng),然后單擊“Show(顯示)”按鈕,在隨后出現(xiàn)的窗口中單擊“Add(添加)”按鈕,將硬件ID復(fù)制進(jìn)去,并單擊“OK”按鈕關(guān)閉所有打開的對(duì)話框。
    如果希望禁止所有這類播放器設(shè)備,則需要從設(shè)備管理器中找到硬件類型的GUID,然后雙擊“Prevent installation of devices using drivers that match these device setup classes”這條策略,按照同樣的方法將設(shè)備類型的GUID添加進(jìn)去(如圖4)。注意:設(shè)備類型在資源管理器中有兩種表達(dá)形式:Device class(可以類比為人的名字)和Device class guid(可以類比為人的身份證號(hào)碼),這里必須使用GUID來指定,而不能使用設(shè)備類的名稱來指定。
     提示:如果為了查看硬件設(shè)備的類或者ID,已經(jīng)將設(shè)備安裝到系統(tǒng)中了,為了取得更好的限制效果,在看到想要的信息后將設(shè)備從設(shè)備管理器中徹底刪除。
    驗(yàn)證一下成果吧。經(jīng)過上面的設(shè)置,再次將該設(shè)備連接到計(jì)算機(jī)后,稍等片刻,就會(huì)看到如圖5的氣球圖標(biāo)和對(duì)話框。這證明我們的設(shè)置已經(jīng)起作用了。
    其他限制
    除了限制對(duì)硬件的安裝,通過組策略還可以限制對(duì)已安裝的可移動(dòng)存儲(chǔ)設(shè)備的訪問。還是在組策略編輯器中,通過左側(cè)的樹形圖定位到“Computer Configuration-Administrative Templates-System-Removable Storage Access(計(jì)算機(jī)配置-管理模板-系統(tǒng)-可移動(dòng)存儲(chǔ)設(shè)備訪問)”,在右側(cè)可以看到15條策略(如圖6)。
     策略雖然很多,不過理解起來卻很簡單。總結(jié)來說,這些策略可以分別對(duì)下列設(shè)備限制讀取或者寫入的訪問:
     ● CD and DVD:CD或DVD光驅(qū),包含只讀光驅(qū)和刻錄機(jī);
     ● Custom classes:自定義的設(shè)備,雖然可以自定義,但僅限可移動(dòng)存儲(chǔ)設(shè)備;
     ● Floppy Drivers:軟驅(qū);
     ● Removable Disks:移動(dòng)硬盤;
     ● Tape Drivers:磁帶驅(qū)動(dòng)器;
     ● WPD Devices:Windows portable devices設(shè)備,泛指運(yùn)行了Windows操作系統(tǒng)的所有便攜設(shè)備。
    對(duì)于限定的設(shè)備,例如光驅(qū)或者移動(dòng)硬盤,我們只要啟用相應(yīng)的策略就可以限制對(duì)該設(shè)備的讀取或者寫入;對(duì)于需要指定設(shè)備的策略,例如自定義設(shè)備,則需要按照上文的方法添加設(shè)備類GUID。這里的設(shè)置需要重啟動(dòng)系統(tǒng)后才可以生效。