從Windows 2000開始，組策略就是配置Windows的有效工具。其實(shí)嚴(yán)格說(shuō)起來(lái)，組策略編輯器中的大部分配置都可以直接修改注冊(cè)表實(shí)現(xiàn)，不過(guò)很明顯，通過(guò)組策略編輯器進(jìn)行修改，更加直觀，而且也不容易出錯(cuò)。因此很多Windows用戶都已經(jīng)習(xí)慣了使用組策略對(duì)Windows的一些高級(jí)設(shè)置進(jìn)行配置。 Windows Vista中新增了大量新的功能，同時(shí)組策略編輯器中也包含了更多內(nèi)容。想知道這些新增的內(nèi)容對(duì)我們有什么用嗎？一起來(lái)看看吧。 提示：下文是以測(cè)試版的Windows Vista RC2 Ultimate為基礎(chǔ)撰寫的，因此和正式版中可能會(huì)有所不同。另外，Vista的家庭版沒有組策略編輯器功能。 控制硬件設(shè)備的安裝 這是一個(gè)很吸引人的功能。現(xiàn)在很多公司都不希望員工使用閃存盤或者M(jìn)P3隨身聽之類可以通過(guò)計(jì) 算機(jī)的USB接口傳輸文件的設(shè)備，因?yàn)檫@很容易導(dǎo)致公司的機(jī)密數(shù)據(jù)丟失。傳統(tǒng)的預(yù)防辦法最常見就是將計(jì)算機(jī)上的USB接口堵死，但這種“硬”方法也造成了一些問(wèn)題，導(dǎo)致其他使用USB接口的設(shè)備，例如鍵盤和鼠標(biāo)都無(wú)法使用。那么有沒有不那么 “強(qiáng)硬”的方法？這時(shí)候可以考慮使用Windows Vista的組策略了。

通過(guò)組策略實(shí)現(xiàn)的目標(biāo) 通過(guò)Windows Vista的組策略，對(duì)硬件設(shè)備的安裝將可以達(dá)到下列限制： ● 只有指定類型的設(shè)備可以安裝，其他未指定設(shè)備一律無(wú)法安裝。 ● 只有指定的具體硬件可以安裝，其他未指定的硬件一律無(wú)法安裝。 ● 所有可移動(dòng)設(shè)備都無(wú)法安裝。 ● 對(duì)于某些設(shè)備，限制用戶的讀取或者寫入操作。

實(shí)現(xiàn)思路 如何限制對(duì)硬件的使用？Vista中使用兩種方式：硬件類型（device class）和硬件ID（device ID）。 ● 硬件類型（device class）：簡(jiǎn)單來(lái)說(shuō)，就是用于描述設(shè)備用途的一個(gè)名稱，例如所有的閃存盤，不管是A品牌的還是B品牌的，不管是USB 1.1標(biāo)準(zhǔn)的還是2.0的，只要是閃存盤，那就具有統(tǒng)一的硬件類型。 ● 硬件ID（device ID）：用于描述具體硬件的一個(gè)代號(hào)。同樣的硬件，例如同一個(gè)品牌和型號(hào)，同一個(gè)生產(chǎn)批次的兩個(gè)硬件產(chǎn)品，都會(huì)有不同的硬件ID。 也就是說(shuō)，如果通過(guò)硬件類型來(lái)指定禁止安裝的設(shè)備，例如使用閃存盤的硬件類型進(jìn)行限制，那么不管是什么品牌或者參數(shù)的閃存盤，只要是閃存盤，都將無(wú)法被安裝。但使用硬件ID進(jìn)行限制就不同了，例如有兩塊同品牌同型號(hào)的閃存盤（硬件ID絕對(duì)是不同的），那么我們可以限制只允許使用其中的一個(gè)，而不許使用另一個(gè)。

具體操作 為了更好地說(shuō)明該功能的使用方法，下文將會(huì)使用一個(gè)魅族的MiniPlayer播放器來(lái)介紹如何禁止這個(gè)特定的播放器被使用，或者如何禁止所有類似產(chǎn)品被使用。

獲取設(shè)備類型或者硬件ID。 將希望禁止使用的設(shè)備連接到計(jì)算機(jī)，并等待安裝完成。打開“開始”菜單，在搜索框中輸入“devmgmt.msc”并回車，打開設(shè)備管理器。從設(shè)備列表中找到想要禁止使用的設(shè)備，雙擊打開其“屬性”對(duì)話框。 打開“屬性”對(duì)話框的“Details（詳細(xì)信息）”選項(xiàng)卡，將能看到如圖1的界面。在Property（屬性）下拉菜單中分別選擇Device Class guid（設(shè)備類GUID）和Hardware ids（硬件ID）后，就可以看到該設(shè)備的這兩個(gè)屬性值。在下方顯示的值上單擊鼠標(biāo)右鍵就可以將內(nèi)容復(fù)制出來(lái)。 通過(guò)這樣的方法獲取想要禁止使用的設(shè)備的類或者硬件ID，然后繼續(xù)下面的操作。

找到所需的組策略 打開開始菜單，在搜索框中輸入“gpedit.msc”并回車，打開“組策略編輯器”窗口。在左側(cè)的樹形圖中定位到“Computer Configuration-Administrative Templates-System-Device Installation-Device Installation Restrictions（計(jì)算機(jī)配置－管理模板－系統(tǒng)－硬件安裝－硬件安裝限制）”，在右側(cè)的面板中可以看到九個(gè)策略，就是用這九個(gè)策略進(jìn)行限制的（如圖2）。 實(shí)現(xiàn)限制 上文已經(jīng)提到了，我們希望禁止手頭這個(gè)Miniplayer播放器的使用，或者禁止所有這類設(shè)備使用，那么就可以這樣做： 如果希望禁止這個(gè)播放器的使用，首先從設(shè)備管理器中找到該設(shè)備的硬件ID，然后雙擊“Prevent installation of devices that match any of these device IDs”這條策略（如圖3），選擇“Enabled”選項(xiàng)，然后單擊“Show（顯示）”按鈕，在隨后出現(xiàn)的窗口中單擊“Add（添加）”按鈕，將硬件ID復(fù)制進(jìn)去，并單擊“OK”按鈕關(guān)閉所有打開的對(duì)話框。

　如果希望禁止所有這類播放器設(shè)備，則需要從設(shè)備管理器中找到硬件類型的GUID，然后雙擊“Prevent installation of devices using drivers that match these device setup classes”這條策略，按照同樣的方法將設(shè)備類型的GUID添加進(jìn)去（如圖4）。注意：設(shè)備類型在資源管理器中有兩種表達(dá)形式：Device class（可以類比為人的名字）和Device class guid（可以類比為人的身份證號(hào)碼），這里必須使用GUID來(lái)指定，而不能使用設(shè)備類的名稱來(lái)指定。

提示：如果為了查看硬件設(shè)備的類或者ID，已經(jīng)將設(shè)備安裝到系統(tǒng)中了，為了取得更好的限制效果，最好在看到想要的信息后將設(shè)備從設(shè)備管理器中徹底刪除。 驗(yàn)證一下成果吧。經(jīng)過(guò)上面的設(shè)置，再次將該設(shè)備連接到計(jì)算機(jī)后，稍等片刻，就會(huì)看到如圖5的氣球圖標(biāo)和對(duì)話框。這證明我們的設(shè)置已經(jīng)起作用了。

其他限制 除了限制對(duì)硬件的安裝，通過(guò)組策略還可以限制對(duì)已安裝的可移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)。還是在組策略編輯器中，通過(guò)左側(cè)的樹形圖定位到“Computer Configuration-Administrative Templates-System-Removable Storage Access（計(jì)算機(jī)配置－管理模板－系統(tǒng)－可移動(dòng)存儲(chǔ)設(shè)備訪問(wèn)）”，在右側(cè)可以看到15條策略（如圖6）。 策略雖然很多，不過(guò)理解起來(lái)卻很簡(jiǎn)單。總結(jié)來(lái)說(shuō)，這些策略可以分別對(duì)下列設(shè)備限制讀取或者寫入的訪問(wèn)： ● CD and DVD：CD或DVD光驅(qū)，包含只讀光驅(qū)和刻錄機(jī)； ● Custom classes：自定義的設(shè)備，雖然可以自定義，但僅限可移動(dòng)存儲(chǔ)設(shè)備； ● Floppy Drivers：軟驅(qū)； ● Removable Disks：移動(dòng)硬盤； ● Tape Drivers：磁帶驅(qū)動(dòng)器； ● WPD Devices：Windows portable devices設(shè)備，泛指運(yùn)行了Windows操作系統(tǒng)的所有便攜設(shè)備。 對(duì)于限定的設(shè)備，例如光驅(qū)或者移動(dòng)硬盤，我們只要啟用相應(yīng)的策略就可以限制對(duì)該設(shè)備的讀取或者寫入；對(duì)于需要指定設(shè)備的策略，例如自定義設(shè)備，則需要按照上文的方法添加設(shè)備類GUID。這里的設(shè)置需要重啟動(dòng)系統(tǒng)后才可以生效。 使用QoS限制軟件對(duì)帶寬的占用 Windows XP中就包含了對(duì)QoS（Quality of Service，網(wǎng)絡(luò)服務(wù)質(zhì)量）的支持，不過(guò)該功能在Windows Vista之前的操作系統(tǒng)中并沒有太多應(yīng)用，以至于很多人以為在Windows XP中禁用QoS可以提高網(wǎng)速。現(xiàn)在已經(jīng)沒人相信這種無(wú)根據(jù)的觀點(diǎn)了，不過(guò)在Vista中，我們已經(jīng)可以通過(guò)QoS對(duì)應(yīng)用程序的出站連接進(jìn)行限制（注意：僅限出站連接）。

通過(guò)組策略實(shí)現(xiàn)的目標(biāo) 通過(guò)組策略配置QoS，我們可以實(shí)現(xiàn)下列目標(biāo)： 　● 對(duì)不同類型的應(yīng)用程序設(shè)定不同的優(yōu)先級(jí)，這樣對(duì)網(wǎng)絡(luò)帶寬需求比較大的應(yīng)用程序（例如進(jìn)行網(wǎng)絡(luò)音頻或者視頻交流的Windows Live Messenger或其他VoIP軟件）就可以獲得較高優(yōu)先級(jí)，而對(duì)網(wǎng)絡(luò)帶寬占用需求不那么高的應(yīng)用程序（例如瀏覽網(wǎng)頁(yè)用的Internet Explorer）則獲得較低的優(yōu)先級(jí)。系統(tǒng)和路由器或者其他網(wǎng)絡(luò)設(shè)備將會(huì)根據(jù)優(yōu)先級(jí)的不同區(qū)別對(duì)待來(lái)自不同應(yīng)用程序的數(shù)據(jù)包。 　● 對(duì)不同類型的應(yīng)用程序設(shè)定不同的網(wǎng)絡(luò)帶寬限制，這樣對(duì)傳輸數(shù)據(jù)所需時(shí)間不敏感的應(yīng)用程序（例如P2P下載軟件）就可以使用有限的網(wǎng)絡(luò)帶寬，而把絕大部分網(wǎng)絡(luò)帶寬留給急需通過(guò)網(wǎng)絡(luò)上傳數(shù)據(jù)的應(yīng)用程序。需要注意的一點(diǎn)是，通過(guò)QoS進(jìn)行的設(shè)置并非固定不變的。例如，如果設(shè)置了程序A具有較低的QoS優(yōu)先級(jí)，但是當(dāng)前并沒有其他優(yōu)先級(jí)更高的程序訪問(wèn)網(wǎng)絡(luò)，那么A程序就會(huì)使用全部的網(wǎng)絡(luò)帶寬；如果優(yōu)先級(jí)高于A的程序B需要使用網(wǎng)絡(luò)，那么程序A就會(huì)自動(dòng)為程序B讓路。 另外，QoS的實(shí)現(xiàn)是需要多種設(shè)備配合的，不僅操作系統(tǒng)，其他網(wǎng)絡(luò)設(shè)備也必須支持QoS才可以。例如，給不同程序設(shè)置了不同的網(wǎng)絡(luò)優(yōu)先級(jí)，那么該程序發(fā)出的數(shù)據(jù)包中就會(huì)包含DSCP（Differentiated Services Code Point，差分服務(wù)代碼點(diǎn)）信息，用于標(biāo)示該數(shù)據(jù)包的優(yōu)先級(jí)。那么只有路由器或其他網(wǎng)絡(luò)設(shè)備支持QoS，才能理解DSCP信息的含義，并做出相應(yīng)的處理。 實(shí)現(xiàn)思路 QoS可以根據(jù)下列條件進(jìn)行設(shè)置： ● 需要通過(guò)網(wǎng)絡(luò)發(fā)送信息的應(yīng)用程序 ● Ipv4或Ipv6協(xié)議的來(lái)源或目標(biāo) ● 協(xié)議類型：TCP或UDP ● 來(lái)源或目標(biāo)端口 也就是說(shuō)，我們可以針對(duì)某個(gè)具體的應(yīng)用程序進(jìn)行限制，或者對(duì)發(fā)往某個(gè)特定地址或端口的網(wǎng)絡(luò)連接進(jìn)行限制。 在優(yōu)先級(jí)限制方面，QoS使用了給網(wǎng)絡(luò)數(shù)據(jù)包中添加DSCP信息的方式標(biāo)示不同數(shù)據(jù)包的優(yōu)先級(jí)。根據(jù)規(guī)定，DSCP有從0到63，一共64個(gè)不同的優(yōu)先級(jí)等級(jí)，數(shù)字越大相應(yīng)的優(yōu)先級(jí)就越高。默認(rèn)情況下，所有程序都會(huì)使用33這個(gè)優(yōu)先級(jí)。

具體操作 同樣讓我們以一個(gè)例子介紹QoS的操作。假設(shè)我們需要讓W(xué)indows Live Messenger發(fā)出的數(shù)據(jù)包具有較高的優(yōu)先級(jí)，而Internet Explorer發(fā)出的數(shù)據(jù)包優(yōu)先級(jí)較低，則可以這樣操作： 找到所需的策略。 打開“開始”菜單，在搜索框中輸入“gpedit.msc”并回車，打開組策略編輯器。在組策略編輯器窗口左側(cè)的樹形圖中定位到“Computer Configuration-Windows Settings-Policy - based QoS（計(jì)算機(jī)配置－Windows設(shè)置－基于策略的QoS）”。

給Windows Live Messenger設(shè)置較高的優(yōu)先級(jí) 在組策略編輯器窗口左側(cè)的樹形圖中用鼠標(biāo)右鍵單擊“Policy - based QoS”，從右鍵菜單中選擇“Create new policy（新建策略）”。隨后將能看到如圖7的對(duì)話框，“Policy name（策略名稱）”一欄可以輸入自己想要使用的任何名稱，然后在“Specify DSCP Value（指定DSCP值）”一欄中為該程序指定一個(gè)優(yōu)先級(jí)數(shù)值。這里需要注意，可用的數(shù)值包括從0到63的任何數(shù)字，高于32的將會(huì)提高優(yōu)先級(jí)，低于32的則會(huì)降低優(yōu)先級(jí)。如果同時(shí)希望限制允許該程序使用的網(wǎng)絡(luò)帶寬，則可以選中“Specify Throttle Rate（指定限制速度）”選項(xiàng)，然后設(shè)定一個(gè)速度。設(shè)置好之后單擊“Next”。

隨后可以看到如圖8的界面，在這里可以決定這條策略的應(yīng)用對(duì)象。因?yàn)槭轻槍?duì)Windows Live Messenger的，因此選擇“Only applications with this executable name（可執(zhí)行文件包含下列名稱的應(yīng)用程序）”選項(xiàng)，然后輸入“MSNmsgr.exe”。完成之后繼續(xù)單擊“Next”。

接下來(lái)可以看到類似圖9的界面，在這里可以設(shè)置這條策略應(yīng)用的范圍。因?yàn)槲覀兊哪康氖菍?duì)Windows Live Messenger的所有訪問(wèn)連接都進(jìn)行限制，因此可以保持默認(rèn)設(shè)置，繼續(xù)單擊“Next”。如果只希望對(duì)某個(gè)作為來(lái)源的地址的訪問(wèn)進(jìn)行限制，可以選擇“Only for the following source IP address or prefix（僅針對(duì)使用下列地址或前綴的來(lái)源IP）”選項(xiàng)，并指定來(lái)源；如果希望對(duì)某個(gè)作為目標(biāo)的地址的訪問(wèn)進(jìn)行限制，則可以選擇“Only for the following destination IP address or prefix（僅針對(duì)使用下列地址或前綴的目標(biāo)IP）”選項(xiàng)，并指定目標(biāo)。 　

然后是設(shè)定協(xié)議和端口號(hào)的界面（如圖10）。同樣，因?yàn)槲覀兿Ｍ麑?duì)所有訪問(wèn)都進(jìn)行限制，因此可以保持默認(rèn)設(shè)置。否則可以選擇該策略應(yīng)用的協(xié)議（TCP、UDP，或者兩者兼有）以及來(lái)源或目標(biāo)的端口號(hào)。單擊“Finish”按鈕。 至此關(guān)于Windows Live Messenger的設(shè)置就都已經(jīng)完成了，我們還需要通過(guò)一條策略給IE設(shè)置一個(gè)較低的優(yōu)先級(jí)。具體方法和上面的操作類似，只不過(guò)需要在如圖7的界面上指定一個(gè)較小的DSCP值。其實(shí)只要小于之前給Windows Live Messenger設(shè)置的DSCP就可以了，而且也可以不用設(shè)置，因?yàn)槟J(rèn)情況下所有程序的DSCP都是32，Windows Live Messenger經(jīng)過(guò)設(shè)置已經(jīng)高于32了。

使用組策略配置Internet Explorer Internet Explorer 7是Windows Vista中一個(gè)很重要的應(yīng)用程序，和老版本的IE相比，這個(gè)版本增加了很多新功能。不過(guò)這其中大部分功能并不能通過(guò)IE自身的選項(xiàng)進(jìn)行設(shè)置，而是隱藏在了組策略中。通過(guò)組策略，我們可以設(shè)置大量IE的隱藏選項(xiàng)。

打開“開始”菜單，在搜索框中輸入“gpedit.msc”并回車，打開組策略編輯器。在組策略編輯器窗口左側(cè)的樹形圖中展開到“Computer Configuration-Administrative Templates-Windows Components-Internet Explorer（計(jì)算機(jī)配置－管理模板－Windows組件－Internet Explorer）”，就可以在窗口右側(cè)的面板中看到大量和IE有關(guān)的策略（如圖11）。

下面我們列舉一些實(shí)例來(lái)介紹如何通過(guò)組策略設(shè)置IE 7。

更改Agent ID 在訪問(wèn)一些網(wǎng)站的時(shí)候，你可能會(huì)看到網(wǎng)頁(yè)上顯示了你的操作系統(tǒng)和瀏覽器的版本，想知道這是怎么實(shí)現(xiàn)的嗎？其實(shí)當(dāng)我們用網(wǎng)頁(yè)瀏覽器瀏覽網(wǎng)頁(yè)的時(shí)候，在發(fā)出請(qǐng)求時(shí)，瀏覽器發(fā)出的請(qǐng)求中就會(huì)包含這些信息，這叫做Agent ID。 現(xiàn)在的問(wèn)題是，有些網(wǎng)站因?yàn)楦鞣N原因會(huì)對(duì)訪客的瀏覽器版本進(jìn)行限制。例如，有些網(wǎng)站只允許IE 6訪問(wèn)，有些網(wǎng)站只允許Opera訪問(wèn)。遇到這些站點(diǎn)，而你又不想換或者不能換瀏覽器，該怎么辦？ IE 7就可以通過(guò)組策略自定義瀏覽器發(fā)出的Agent ID。雙擊“Customize User Agent String（自定義客戶端Agent字符串）”策略，選擇“Enabled”然后輸入新的Agent ID即可。例如，如果希望網(wǎng)站以為自己正在使用IE 6，就可以輸入“MSIE 6.0”；如果希望網(wǎng)站以為自己正在使用Opera，則可以輸入“Opera/9.00”。關(guān)于不同版本瀏覽器在不同操作系統(tǒng)上顯示的Agent ID，可以在這里查到：http://tinyurl.com/nuld8 。

禁止“修復(fù)設(shè)置”提醒 在IE 7中，當(dāng)我們對(duì)瀏覽器的默認(rèn)設(shè)置進(jìn)行更改，降低了瀏覽器的安全性后，IE 7會(huì)用信息欄提示我們，并提供了一個(gè)“修復(fù)設(shè)置”的選項(xiàng)，點(diǎn)擊后即可恢復(fù)默認(rèn)的安全設(shè)置（如圖12）。這是一個(gè)很好的功能，可以避免我們因?yàn)殄e(cuò)誤的設(shè)置導(dǎo)致出現(xiàn)安全問(wèn)題。不過(guò)有時(shí)候因?yàn)槟承┰颍覀儽仨毥档虸E 7的安全設(shè)置，這時(shí)候IE 7的提醒就顯得有些多余了。 雙擊“Prevent “Fix settings” functionality（禁止修復(fù)設(shè)置功能）”，然后將其啟用即可。

加強(qiáng)證書檢查 我們都知道，以“https”開頭的URL表明該頁(yè)面是被SSL加密的，這種頁(yè)面比未加密的更加安全。不過(guò)在訪問(wèn)SSL加密頁(yè)面的時(shí)候我們可能會(huì)忽略一點(diǎn)，如果偽造的網(wǎng)站也使用自己的證書加密偽造網(wǎng)頁(yè)，我們?cè)趺粗雷约涸L問(wèn)的加密站點(diǎn)是不是偽造的？

在IE 7中，當(dāng)我們?cè)L問(wèn)的SSL網(wǎng)站所用的加密證書不是由受信任的機(jī)構(gòu)所頒發(fā)的（其實(shí)在服務(wù)器上自己給自己頒發(fā)證書是很容易的），那么IE將會(huì)顯示如圖13的界面，提醒我們注意該站點(diǎn)，只有單擊“Continue to this website（繼續(xù)訪問(wèn)該站點(diǎn)）”后才可以訪問(wèn)。這個(gè)功能留下了相當(dāng)?shù)挠嗟兀退阋粋€(gè)站點(diǎn)有問(wèn)題，大家仍然可以訪問(wèn)，這顯然不是我們希望看到的。 雙擊“Internet Control PanelPrevent ignoring certificate errors（Internet控制面板禁止證書錯(cuò)誤）”策略，如果將其啟用，那么再遇到證書有問(wèn)題的站點(diǎn)，就不會(huì)出現(xiàn)“Continue to this website”的選項(xiàng)，徹底禁止了對(duì)這種站點(diǎn)的訪問(wèn)，提高了安全性。總結(jié) Windows Vista中新增的策略已經(jīng)超過(guò)了千條，限于篇幅這里不可能一一介紹。如果你已經(jīng)用上了Windows Vista，那就快打開組策略編輯器看看吧，也許你一直希望Windows能夠?qū)崿F(xiàn)的某些設(shè)置現(xiàn)在已經(jīng)出現(xiàn)在組策略中了。通過(guò)配置組策略，我們的電腦就可以與眾不同。