組策略對(duì)于系統(tǒng)管理員來說至關(guān)重要，它對(duì)于維護(hù)系統(tǒng)的安全性有著不可忽視的作用。下文介紹了vista中的組策略的應(yīng)用。

有人形象地把組策略稱為Windows系統(tǒng)中的“大內(nèi)高手”。與XP相比，Vista 中的組策略功能更強(qiáng)大，與系統(tǒng)的集成更加緊密，其更像Vista 系統(tǒng)中的“大內(nèi)總管”。利用組策略可以在Vista 中完成一些看似很難完成的任務(wù)。下面我們一道深入挖掘，揭開Vista 組策略內(nèi)幕，實(shí)現(xiàn)非常任務(wù)。

1、隱藏、限制磁盤分區(qū)，保護(hù)數(shù)據(jù)

無論是個(gè)人電腦還是公用電腦中都保存了某些數(shù)據(jù)資料，這些數(shù)據(jù)有時(shí)是不必讓別人知道的。特別是辦公場(chǎng)合的計(jì)算機(jī)由于位置開放，通常多人共用，個(gè)人電腦有時(shí)也會(huì)被他人臨時(shí)使用，所有這些對(duì)存儲(chǔ)其中的用戶數(shù)據(jù)的保密和安全性提出了嚴(yán)重挑戰(zhàn)，該怎么辦呢?

其實(shí)我們不需要第三方軟件在Vista 中通過對(duì)磁盤分區(qū)進(jìn)行隱藏或者限制即可輕易實(shí)現(xiàn)對(duì)數(shù)據(jù)的保護(hù)的。下面我們以限制C分區(qū)為例進(jìn)行演示，其具體操作步驟如下：

第一步：在開始菜單的“運(yùn)行”對(duì)話框中，輸入“Gpedit.msc”，打開“組策略”設(shè)置窗口，在“組策略”設(shè)置窗口中，依次打開 “本地計(jì)算機(jī)策略→用戶配置→管理模板→Windows組件→Windows資源管理器”選項(xiàng)。

第二步：在右邊的設(shè)置窗口中，選擇“防止從‘我的電腦’訪問驅(qū)動(dòng)器”項(xiàng)，在這個(gè)選項(xiàng)上單擊鼠標(biāo)右鍵，選擇“屬性”，接著出現(xiàn)“防止從‘我的電腦’訪問驅(qū)動(dòng)器的屬性”設(shè)置窗口。在其中有三個(gè)選項(xiàng)，分別是“未配置”、“已啟用”、“已禁用” 。

第三步：我們選擇“已啟用”后，在下面就會(huì)出現(xiàn)選擇驅(qū)動(dòng)器的下沉列表，如果希望限制某個(gè)驅(qū)動(dòng)器的使用，只要選中該驅(qū)動(dòng)器就可以了。比如，我們要限制C盤的使用，選中“僅限制驅(qū)動(dòng)器C”，就可以了。如果希望關(guān)閉所有的驅(qū)動(dòng)器，包括光驅(qū)等，可以選中“限制所有驅(qū)動(dòng)器”。(圖1)

圖1 阻止我的電腦訪問驅(qū)動(dòng)器

提示：在“Windows資源管理器”下還有“隱藏‘我的電腦’中的這些指定的驅(qū)動(dòng)器”這條策略，通過該策略可以因此指定的驅(qū)動(dòng)器，但是這個(gè)策略可以通過IE瀏覽器突破，在地址欄中輸入C:\，回車后隱藏的C磁盤分區(qū)同樣可以訪問，相比之下我們上面的限制更徹底一些。(圖2)

圖2 設(shè)置效果

延伸：通過上面的方法可以選擇隱藏C分區(qū)或者隱藏所有分區(qū)，那如何實(shí)現(xiàn)隱藏某個(gè)特定的分區(qū)比如E磁盤分區(qū)呢?我們可以通過修改Vista 的組策略配置文件來實(shí)現(xiàn)，該文件被存儲(chǔ)在“%windir%\PolicyDefinitions\”路徑下，我們需要修改的是“WindowsExplorer.adml”和WindowsExplorer.admx”兩個(gè)配置文件。

第一步：用記事本打開WindowsExplorer.adml文件，找到包含如下代碼的部分：

僅限制分區(qū) A、B、C 和 D

僅限制分區(qū) A、B 和 C

僅限制分區(qū) A 和 B

限制所有分區(qū)

例如需要隱藏E分區(qū)，則添加如下代碼，修改完成后保存退出：

僅限制分區(qū) E(圖3)

圖3 限制分區(qū)

第二步：用記事本打開WindowsExplorer.admx文件，分別找到

”

前者是用來限制訪問分區(qū)，后者則是用來隱藏分區(qū)，例如這里還是以E分區(qū)為例進(jìn)行說明，請(qǐng)?jiān)趦商幬恢梅謩e添加如下代碼，這里的“16”表示E分區(qū)的十進(jìn)制代碼：(圖4)

圖4 添加E盤設(shè)置選項(xiàng)

第三步：替換兩個(gè)重要文件。由于訪問控制的權(quán)限問題，我們首先需要對(duì)兩個(gè)文件的訪問權(quán)限進(jìn)行修改，打開屬性對(duì)話框，切換到“安全”選項(xiàng)卡，單擊“高級(jí)”按鈕更改所有者后進(jìn)行相關(guān)的設(shè)置，獲得權(quán)限之后即可完成文件替換的操作。

現(xiàn)在，我們可以在組策略的“防止從‘我的電腦’訪問驅(qū)動(dòng)器”對(duì)話框，選擇“已啟用”就可以的了。

2、給U盤通行證

U盤已經(jīng)很普及了，而且很多手機(jī)功能也帶U盤功能了，所以想從別人的電腦里面復(fù)制出一些文件，是非常簡(jiǎn)單的事情，這樣對(duì)電腦里面資料就有很大的威脅，如何讓系統(tǒng)只能使用指定的U盤或者移動(dòng)硬盤呢?

其實(shí)在Vista 系統(tǒng)中就不用擔(dān)心這個(gè)問題，我們可以通過組策略來完成這項(xiàng)任務(wù)。通過設(shè)置既可以禁用所有的USB存儲(chǔ)設(shè)備，而且還可以讓系統(tǒng)只能使用指定的U盤。

第一步：把自己的U盤先插入到Vista 系統(tǒng)中，讓系統(tǒng)可以正常使用U盤，接著進(jìn)入“控制面板”，雙擊“設(shè)備管理器”，在里面展開“便攜設(shè)備”，可以看見里面有你的U盤。

第二步：在上面點(diǎn)擊鼠標(biāo)右鍵來選擇“屬性”，在彈出的“屬性”窗口中點(diǎn)擊“詳細(xì)信息”標(biāo)簽，然后在設(shè)備“屬性”下拉框中選擇“硬件ID”，下面的“值”中會(huì)出現(xiàn)字符串，這個(gè)就是你的U盤的硬件ID，把它復(fù)制出來保存好。

第三步：還需要復(fù)制“通用串行總線控制器”中“USB大容量存儲(chǔ)設(shè)備”的硬件ID，在“設(shè)備管理器”中展開“通用串行總線控制器”列表，找到“USB大容量存儲(chǔ)設(shè)備”，在它的“屬性”窗口中點(diǎn)擊“詳細(xì)信息”標(biāo)簽，復(fù)制出它的硬件ID也保存一下。

第四步：找出U盤的硬件ID后就可以通過組策略來實(shí)現(xiàn)了。“開始→運(yùn)行”輸入“Gpedit.msc”打開組策略窗口，依次展開“計(jì)算機(jī)配置→管理模板→系統(tǒng)→設(shè)備安裝→設(shè)備安裝限制”，雙擊右側(cè)的“禁止安裝未由其他策略設(shè)置描述的設(shè)備”，在彈出的窗口中選擇“已啟用”，再點(diǎn)擊 “確定”按鈕，設(shè)置它可以來禁止策略設(shè)置描述的USB設(shè)備。(圖5)

圖5 禁止其他移動(dòng)存儲(chǔ)設(shè)備

欲知更多Vista系統(tǒng)中的組策略的應(yīng)用，請(qǐng)點(diǎn)擊vista系統(tǒng)中組策略的三大應(yīng)用。

【編輯推薦】

1. 組策略編輯器受限制怎么辦？
2. 組策略如何部署 Windows XP SP2？
3. Windows2008組策略如何保證系統(tǒng)安全？
4. Windows 2008之組策略設(shè)置可移動(dòng)存儲(chǔ)訪問
5. 如何利用組策略防止Conflicker蠕蟲對(duì)Windows的攻擊？