组策略对于系统管理员来说至关重要,它对于维护系统的安全性有着不可忽视的作用。下文介绍了vista中的组策略的应用。
有人形象地把组策略称为Windows系统中的“大内高手”。与XP相比,Vista 中的组策略功能更强大,与系统的集成更加紧密,其更像Vista 系统中的“大内总管”。利用组策略可以在Vista 中完成一些看似很难完成的任务。下面我们一道深入挖掘,揭开Vista 组策略内幕,实现非常任务。
1、隐藏、限制磁盘分区,保护数据
无论是个人电脑还是公用电脑中都保存了某些数据资料,这些数据有时是不必让别人知道的。特别是办公场合的计算机由于位置开放,通常多人共用,个人电脑有时也会被他人临时使用,所有这些对存储其中的用户数据的保密和安全性提出了严重挑战,该怎么办呢?
其实我们不需要第三方软件在Vista 中通过对磁盘分区进行隐藏或者限制即可轻易实现对数据的保护的。下面我们以限制C分区为例进行演示,其具体操作步骤如下:
第一步:在开始菜单的“运行”对话框中,输入“Gpedit.msc”,打开“组策略”设置窗口,在“组策略”设置窗口中,依次打开 “本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”选项。
第二步:在右边的设置窗口中,选择“防止从‘我的电脑’访问驱动器”项,在这个选项上单击鼠标右键,选择“属性”,接着出现“防止从‘我的电脑’访问驱动器的属性”设置窗口。在其中有三个选项,分别是“未配置”、“已启用”、“已禁用” 。
第三步:我们选择“已启用”后,在下面就会出现选择驱动器的下沉列表,如果希望限制某个驱动器的使用,只要选中该驱动器就可以了。比如,我们要限制C盘的使用,选中“仅限制驱动器C”,就可以了。如果希望关闭所有的驱动器,包括光驱等,可以选中“限制所有驱动器”。(图1)
图1 阻止我的电脑访问驱动器
提示:在“Windows资源管理器”下还有“隐藏‘我的电脑’中的这些指定的驱动器”这条策略,通过该策略可以因此指定的驱动器,但是这个策略可以通过IE浏览器突破,在地址栏中输入C:\,回车后隐藏的C磁盘分区同样可以访问,相比之下我们上面的限制更彻底一些。(图2)
图2 设置效果
延伸:通过上面的方法可以选择隐藏C分区或者隐藏所有分区,那如何实现隐藏某个特定的分区比如E磁盘分区呢?我们可以通过修改Vista 的组策略配置文件来实现,该文件被存储在“%windir%\PolicyDefinitions\”路径下,我们需要修改的是“WindowsExplorer.adml”和WindowsExplorer.admx”两个配置文件。
第一步:用记事本打开WindowsExplorer.adml文件,找到包含如下代码的部分:
仅限制分区 A、B、C 和 D
仅限制分区 A、B 和 C
仅限制分区 A 和 B
限制所有分区
例如需要隐藏E分区,则添加如下代码,修改完成后保存退出:
仅限制分区 E(图3)
图3 限制分区
第二步:用记事本打开WindowsExplorer.admx文件,分别找到
”
前者是用来限制访问分区,后者则是用来隐藏分区,例如这里还是以E分区为例进行说明,请在两处位置分别添加如下代码,这里的“16”表示E分区的十进制代码:(图4)
图4 添加E盘设置选项
第三步:替换两个重要文件。由于访问控制的权限问题,我们首先需要对两个文件的访问权限进行修改,打开属性对话框,切换到“安全”选项卡,单击“高级”按钮更改所有者后进行相关的设置,获得权限之后即可完成文件替换的操作。
现在,我们可以在组策略的“防止从‘我的电脑’访问驱动器”对话框,选择“已启用”就可以的了。
2、给U盘通行证
U盘已经很普及了,而且很多手机功能也带U盘功能了,所以想从别人的电脑里面复制出一些文件,是非常简单的事情,这样对电脑里面资料就有很大的威胁,如何让系统只能使用指定的U盘或者移动硬盘呢?
其实在Vista 系统中就不用担心这个问题,我们可以通过组策略来完成这项任务。通过设置既可以禁用所有的USB存储设备,而且还可以让系统只能使用指定的U盘。
第一步:把自己的U盘先插入到Vista 系统中,让系统可以正常使用U盘,接着进入“控制面板”,双击“设备管理器”,在里面展开“便携设备”,可以看见里面有你的U盘。
第二步:在上面点击鼠标右键来选择“属性”,在弹出的“属性”窗口中点击“详细信息”标签,然后在设备“属性”下拉框中选择“硬件ID”,下面的“值”中会出现字符串,这个就是你的U盘的硬件ID,把它复制出来保存好。
第三步:还需要复制“通用串行总线控制器”中“USB大容量存储设备”的硬件ID,在“设备管理器”中展开“通用串行总线控制器”列表,找到“USB大容量存储设备”,在它的“属性”窗口中点击“详细信息”标签,复制出它的硬件ID也保存一下。
第四步:找出U盘的硬件ID后就可以通过组策略来实现了。“开始→运行”输入“Gpedit.msc”打开组策略窗口,依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”,双击右侧的“禁止安装未由其他策略设置描述的设备”,在弹出的窗口中选择“已启用”,再点击 “确定”按钮,设置它可以来禁止策略设置描述的USB设备。(图5)
图5 禁止其他移动存储设备
欲知更多Vista系统中的组策略的应用,请点击vista系统中组策略的三大应用。
【编辑推荐】
