Vista系統中的組策略有何應用?
組策略對于系統管理員來說至關重要,它對于維護系統的安全性有著不可忽視的作用。下文介紹了vista中的組策略的應用。
有人形象地把組策略稱為Windows系統中的“大內高手”。與XP相比,Vista 中的組策略功能更強大,與系統的集成更加緊密,其更像Vista 系統中的“大內總管”。利用組策略可以在Vista 中完成一些看似很難完成的任務。下面我們一道深入挖掘,揭開Vista 組策略內幕,實現非常任務。
1、隱藏、限制磁盤分區,保護數據
無論是個人電腦還是公用電腦中都保存了某些數據資料,這些數據有時是不必讓別人知道的。特別是辦公場合的計算機由于位置開放,通常多人共用,個人電腦有時也會被他人臨時使用,所有這些對存儲其中的用戶數據的保密和安全性提出了嚴重挑戰,該怎么辦呢?
其實我們不需要第三方軟件在Vista 中通過對磁盤分區進行隱藏或者限制即可輕易實現對數據的保護的。下面我們以限制C分區為例進行演示,其具體操作步驟如下:
第一步:在開始菜單的“運行”對話框中,輸入“Gpedit.msc”,打開“組策略”設置窗口,在“組策略”設置窗口中,依次打開 “本地計算機策略→用戶配置→管理模板→Windows組件→Windows資源管理器”選項。
第二步:在右邊的設置窗口中,選擇“防止從‘我的電腦’訪問驅動器”項,在這個選項上單擊鼠標右鍵,選擇“屬性”,接著出現“防止從‘我的電腦’訪問驅動器的屬性”設置窗口。在其中有三個選項,分別是“未配置”、“已啟用”、“已禁用” 。
第三步:我們選擇“已啟用”后,在下面就會出現選擇驅動器的下沉列表,如果希望限制某個驅動器的使用,只要選中該驅動器就可以了。比如,我們要限制C盤的使用,選中“僅限制驅動器C”,就可以了。如果希望關閉所有的驅動器,包括光驅等,可以選中“限制所有驅動器”。(圖1)
圖1 阻止我的電腦訪問驅動器
提示:在“Windows資源管理器”下還有“隱藏‘我的電腦’中的這些指定的驅動器”這條策略,通過該策略可以因此指定的驅動器,但是這個策略可以通過IE瀏覽器突破,在地址欄中輸入C:\,回車后隱藏的C磁盤分區同樣可以訪問,相比之下我們上面的限制更徹底一些。(圖2)
圖2 設置效果
延伸:通過上面的方法可以選擇隱藏C分區或者隱藏所有分區,那如何實現隱藏某個特定的分區比如E磁盤分區呢?我們可以通過修改Vista 的組策略配置文件來實現,該文件被存儲在“%windir%\PolicyDefinitions\”路徑下,我們需要修改的是“WindowsExplorer.adml”和WindowsExplorer.admx”兩個配置文件。
第一步:用記事本打開WindowsExplorer.adml文件,找到包含如下代碼的部分:
僅限制分區 A、B、C 和 D
僅限制分區 A、B 和 C
僅限制分區 A 和 B
限制所有分區
例如需要隱藏E分區,則添加如下代碼,修改完成后保存退出:
僅限制分區 E(圖3)
圖3 限制分區
第二步:用記事本打開WindowsExplorer.admx文件,分別找到
”
前者是用來限制訪問分區,后者則是用來隱藏分區,例如這里還是以E分區為例進行說明,請在兩處位置分別添加如下代碼,這里的“16”表示E分區的十進制代碼:(圖4)
圖4 添加E盤設置選項
第三步:替換兩個重要文件。由于訪問控制的權限問題,我們首先需要對兩個文件的訪問權限進行修改,打開屬性對話框,切換到“安全”選項卡,單擊“高級”按鈕更改所有者后進行相關的設置,獲得權限之后即可完成文件替換的操作。
現在,我們可以在組策略的“防止從‘我的電腦’訪問驅動器”對話框,選擇“已啟用”就可以的了。
2、給U盤通行證
U盤已經很普及了,而且很多手機功能也帶U盤功能了,所以想從別人的電腦里面復制出一些文件,是非常簡單的事情,這樣對電腦里面資料就有很大的威脅,如何讓系統只能使用指定的U盤或者移動硬盤呢?
其實在Vista 系統中就不用擔心這個問題,我們可以通過組策略來完成這項任務。通過設置既可以禁用所有的USB存儲設備,而且還可以讓系統只能使用指定的U盤。
第一步:把自己的U盤先插入到Vista 系統中,讓系統可以正常使用U盤,接著進入“控制面板”,雙擊“設備管理器”,在里面展開“便攜設備”,可以看見里面有你的U盤。
第二步:在上面點擊鼠標右鍵來選擇“屬性”,在彈出的“屬性”窗口中點擊“詳細信息”標簽,然后在設備“屬性”下拉框中選擇“硬件ID”,下面的“值”中會出現字符串,這個就是你的U盤的硬件ID,把它復制出來保存好。
第三步:還需要復制“通用串行總線控制器”中“USB大容量存儲設備”的硬件ID,在“設備管理器”中展開“通用串行總線控制器”列表,找到“USB大容量存儲設備”,在它的“屬性”窗口中點擊“詳細信息”標簽,復制出它的硬件ID也保存一下。
第四步:找出U盤的硬件ID后就可以通過組策略來實現了。“開始→運行”輸入“Gpedit.msc”打開組策略窗口,依次展開“計算機配置→管理模板→系統→設備安裝→設備安裝限制”,雙擊右側的“禁止安裝未由其他策略設置描述的設備”,在彈出的窗口中選擇“已啟用”,再點擊 “確定”按鈕,設置它可以來禁止策略設置描述的USB設備。(圖5)
圖5 禁止其他移動存儲設備
欲知更多Vista系統中的組策略的應用,請點擊vista系統中組策略的三大應用。
【編輯推薦】
