【 tulaoshi.com - windows 】
从Windows 2000开始,组策略就是配置Windows的有效工具。其实严格说起来,组策略编辑器中的大部分配置都可以直接修改注册表实现,不过很明显,通过组策略编辑器进行修改,更加直观,而且也不容易出错。因此很多Windows用户都已经习惯了使用组策略对Windows的一些高级设置进行配置。
Windows Vista中新增了大量新的功能,同时组策略编辑器中也包含了更多内容。想知道这些新增的内容对我们有什么用吗?一起来看看吧。
提示:下文是以测试版的Windows Vista RC2 Ultimate为基础撰写的,因此和正式版中可能会有所不同。另外,Vista的家庭版没有组策略编辑器功能。
控制硬件设备的安装 这是一个很吸引人的功能。现在很多公司都不希望员工使用闪存盘或者MP3随身听之类可以通过计算机的USB接口传输文件的设备,因为这很容易导致公司的机密数据丢失。传统的预防办法最常见就是将计算机上的USB接口堵死,但这种“硬”方法也造成了一些问题,导致其他使用USB接口的设备,例如键盘和鼠标都无法使用。那么有没有不那么 “强硬”的方法?这时候可以考虑使用Windows Vista的组策略了。
通过组策略实现的目标 通过Windows Vista的组策略,对硬件设备的安装将可以达到下列限制:
● 只有指定类型的设备可以安装,其他未指定设备一律无法安装。
● 只有指定的具体硬件可以安装,其他未指定的硬件一律无法安装。
● 所有可移动设备都无法安装。
● 对于某些设备,限制用户的读取或者写入操作。[next]
实现思路 如何限制对硬件的使用?Vista中使用两种方式:硬件类型(device class)和硬件ID(device ID)。
● 硬件类型(device class):简单来说,就是用于描述设备用途的一个名称,例如所有的闪存盘,不管是A品牌的还是B品牌的,不管是USB 1.1标准的还是2.0的,只要是闪存盘,那就具有统一的硬件类型。
● 硬件ID(device ID):用于描述具体硬件的一个代号。同样的硬件,例如同一个品牌和型号,甚至同一个生产批次的两个硬件产品,都会有不同的硬件ID。
也就是说,如果通过硬件类型来指定禁止安装的设备,例如使用闪存盘的硬件类型进行限制,那么不管是什么品牌或者参数的闪存盘,只要是闪存盘,都将无法被安装。但使用硬件ID进行限制就不同了,例如有两块同品牌同型号的闪存盘(硬件ID绝对是不同的),那么我们可以限制只允许使用其中的一个,而不许使用另一个。
具体操作 为了更好地说明该功能的使用方法,下文将会使用一个魅族的MiniPlayer播放器来介绍如何禁止这个特定的播放器被使用,或者如何禁止所有类似产品被使用。
获取设备类型或者硬件ID。
将希望禁止使用的设备连接到计算机,并等待安装完成。打开“开始”菜单,在搜索框中输入“devmgmt.msc”并回车,打开设备管理器。从设备列表中找到想要禁止使用的设备,双击打开其“属性”对话框。[next] 打开“属性”对话框的“Details(详细信息)”选项卡,将能看到如图1的界面。在Property(属性)下拉菜单中分别选择Device Class guid(设备类GUID)和Hardware ids(硬件ID)后,就可以看到该设备的这两个属性值。在下方显示的值上单击鼠标右键就可以将内容复制出来。
通过这样的方法获取想要禁止使用的设备的类或者硬件ID,然后继续下面的操作。
找到所需的组策略 打开开始菜单,在搜索框中输入“gpedit.msc”并回车,打开“组策略编辑器”窗口。在左侧的树形图中定位到“Computer Configuration-Administrative Templates-System-Device Installation-Device Installation Restrictions(计算机配置-管理模板-系统-硬件安装-硬件安装限制)”,在右侧的面板中可以看到九个策略,就是用这九个策略进行限制的(如图2)。
实现限制 上文已经提到了,我们希望禁止手头这个Miniplayer播放器的使用,或者禁止所有这类设备使用,那么就可以这样做:
如果希望禁止这个播放器的使用,首先从设备管理器中找到该设备的硬件ID,然后双击“Prevent installation of devices that match any of these device IDs”这条策略(如图3),选择“Enabled”选项,然后单击“Show(显示)”按钮,在随后出现的窗口中单击“Add(添加)”按钮,将硬件ID复制进去,并单击“OK”按钮关闭所有打开的对话框。
来源:http://www.tulaoshi.com/n/20160129/1500589.html
