[图]剖析Windows Vista组策略新特性

组策略是一个非常强力的工具，可用于自定义，控制，以及保护Windows操作系统。它本是用于取代Windows NT中的系统策略功能，作为智能镜像技术的一部分而在Windows 2000中引入，后来伴随着基于NT操作系统后续版本的不断出现，它的范围以及能力也在不断的得到扩展。

对企业单元而言，组策略既可以被应用于本地电脑上，域上，也可以被用于活动目录环境中的网站上。 Windows XP的标准版支持组策略，但是XP的家庭版并不支持。与之类似，在Vista商业版，企业版，以及终结版中也都支持组策略，但是Vista家庭基本版，家庭奖励版中则都不支持。

在Vista中的组策略增加了数以百计的设定，让系统管理员在用户和电脑管理方面有了更多的控制权。 其中的一些设置附属于Vista的新功能，而其他的则是对XP中就已存有的功能进行了加强，提供了更多的控制。 本文中，我们将会对如何利用Vista之中的新型组策略进行一些有趣的讨论。 你可以从微软的网站（http://www.microsoft.com/downloads/details.aspx?FamilyID=41dc179b-3328-4350-ade1-c0d9289f09ef&DisplayLang=en）上下载一个表格，里面包含了有关电脑和用户配置的所有组策略设定，这些设定都包含在随Vista提供的一个系统管理模板文件之中。 要注意，这个系统管理模板文件使用了一个全新的，基于XML的文件格式（.ADMX）。

控制移动介质

类似U盘，闪存卡读取器，以及外部USB硬盘等这样的移动介质，和CD刻录机，DVD刻录机，以及古老的软磁盘一样，都是为了方便两台电脑之间的数据传输而应运所生的（比方说，用于在你的办公室电脑以及家庭电脑之间传输数据）。 不幸的是，它们也对公司带来了一个巨大的安全隐患： 用户可以很轻易的将原本不允许离开公司网络的数据下载到移动设备上，然后将它们带走，或者从移动设备向网络上传数据，结果导致病毒或恶意软件传入了公司的电脑。

过去，不少公司只能采用环氧树脂或类似的物质，来对USB端口进行物理封堵。 而一个相对温和些的措施，则是断开电脑内的USB端口，并移除所有带刻录能力的光驱。 当然，你也可以购买第三方的软件，从而让你对USB设备，CD/DVD刻录机的使用与否进行控制，等等。或者你也可以建立一个自定义的.ADM文件，从而阻止在XP中使用这些设备。

而Vista让这一切变得更加简单了。 在本地一台Vista机器上，要想实施一个策略，以控制移动介质，只需要：

点击“Start（启动） | Control Panel（控制面板） | Administrative Tools（管理工具）”。

选择Local Security Policy（本地安全策略）。

在Local Security Policy（本地安全策略）的左面板中，在Computer Configuration（电脑配置）下面，点开Administrative Templates（管理模板），然后点击“System（系统）”。

卷动右侧面板屏幕，然后双击“Removable Storage Access（移动介质存取）”，如图A所示。
 

图A 你可以在Vista的组策略中对移动介质的存取进行控制

你可以在数量众多的选择中进行挑选，根据你具体想控制的移动介质类型来选取。 比方说，你可以双击在右侧面板的项目“All Removable Storage Classes：Deny All Access.（所有移动介质类型：禁止所有存取）”，从而选择禁止存取所有的移动介质。

在“properties”属性框中，选择“Enabled（启用）”选项，如图B所示。
 

图B 启用策略，禁止对所有移动介质类型进行存取。

点击“Apply（应用）”或者“OK（确定）”。

此时，“禁止对所有移动介质类型进行任何形式的存取”策略将会取代所有先前在单独介质类型上进行的单独权限设定，并开始生效。 你能够进行单独设置的存储类型有：

◆CD以及DVD
◆软驱
◆移动磁盘
◆磁带机
◆PD设备（移动手机，便携式媒体播放器，辅助显示器，以及基于CE的设备，比如PocketPc）

你可以对它们分别设定策略，比如“禁止读取”以及“禁止写入”，这样你可以允许用户从设备中读取数据，却无法向其中保存数据。