獲取設備類型或者硬體ID。
將希望禁止使用的設備連接到電腦,並等待安裝完成。打開「開始」選單,在搜索框中輸入「devmgmt.msc」並回車,打開設備管理器。從設備列表中找到想要禁止使用的設備,雙擊打開其「屬性」對話框。
打開「屬性」對話框的「Details(詳細信息)」選項卡,將能看到如圖1的界面。在Property(屬性)下拉選單中分別選擇Device Class guid(設備類GUID)和Hardware ids(硬體ID)後,就可以看到該設備的這兩個屬性值。在下方顯示的值上單擊滑鼠右鍵就可以將內容複製出來。
通過這樣的方法獲取想要禁止使用的設備的類或者硬體ID,然後繼續下面的操作。
找到所需的組策略
打開開始選單,在搜索框中輸入「gpedit.msc」並回車,打開「組策略編輯器」窗口。在左側的樹形圖中定位到「Computer Configuration-Administrative Templates-System-Device Installation-Device Installation Restrictions(電腦配置-管理模板-系統-硬體安裝-硬體安裝限制)」,在右側的面板中可以看到九個策略,就是用這九個策略進行限制的(如圖2)。 實現限制
上文已經提到了,我們希望禁止手頭這個Miniplayer播放器的使用,或者禁止所有這類設備使用,那麼就可以這樣做:
如果希望禁止這個播放器的使用,首先從設備管理器中找到該設備的硬體ID,然後雙擊「Prevent installation of devices that match any of these device IDs」這條策略(如圖3),選擇「Enabled」選項,然後單擊「Show(顯示)」按鈕,在隨後出現的窗口中單擊「Add(添加)」按鈕,將硬體ID複製進去,並單擊「OK」按鈕關閉所有打開的對話框。
如果希望禁止所有這類播放器設備,則需要從設備管理器中找到硬體類型的GUID,然後雙擊「Prevent installation of devices using drivers that match these device setup classes」這條策略,按照同樣的方法將設備類型的GUID添加進去(如圖4)。注意:設備類型在資源管理器中有兩種表達形式:Device class(可以類比為人的名字)和Device class guid(可以類比為人的身份證號碼),這裡必須使用GUID來指定,而不能使用設備類的名稱來指定。
給Windows Live Messenger設置較高的優先級
在組策略編輯器窗口左側的樹形圖中用滑鼠右鍵單擊「Policy - based QoS」,從右鍵選單中選擇「Create new policy(新建策略)」。隨後將能看到如圖7的對話框,「Policy name(策略名稱)」一欄可以輸入自己想要使用的任何名稱,然後在「Specify DSCP Value(指定DSCP值)」一欄中為該程序指定一個優先級數值。這裡需要注意,可用的數值包括從0到63的任何數字,高於32的將會提高優先級,低於32的則會降低優先級。如果同時希望限制允許該程序使用的網路頻寬,則可以選中「Specify Throttle Rate(指定限制速度)」選項,然後設定一個速度。設置好之後單擊「Next」。
隨後可以看到如圖8的界面,在這裡可以決定這條策略的應用對象。因為是針對Windows Live Messenger的,因此選擇「Only applications with this executable name(可執行檔案包含下列名稱的應用程序)」選項,然後輸入「msnmsgr.exe」。完成之後繼續單擊「Next」。
接下來可以看到類似圖9的界面,在這裡可以設置這條策略應用的範圍。因為我們的目的是對Windows Live Messenger的所有訪問連接都進行限制,因此可以保持預設設置,繼續單擊「Next」。如果只希望對某個作為來源的地址的訪問進行限制,可以選擇「Only for the following source IP address or prefix(僅針對使用下列地址或前綴的來源IP)」選項,並指定來源;如果希望對某個作為目標的地址的訪問進行限制,則可以選擇「Only for the following destination IP address or prefix(僅針對使用下列地址或前綴的目標IP)」選項,並指定目標。
然後是設定協議和連接埠號的界面(如圖10)。同樣,因為我們希望對所有訪問都進行限制,因此可以保持預設設置。否則可以選擇該策略應用的協議(TCP、UDP,或者兩者兼有)以及來源或目標的連接埠號。單擊「Finish」按鈕。
至此關於Windows Live Messenger的設置就都已經完成了,我們還需要通過一條策略給IE設置一個較低的優先級。具體方法和上面的操作類似,只不過需要在如圖7的界面上指定一個較小的DSCP值。其實只要小於之前給Windows Live Messenger設置的DSCP就可以了,而且也可以不用設置,因為預設情況下所有程序的DSCP都是32,Windows Live Messenger經過設置已經高於32了。 使用組策略配置Internet Explorer
Internet Explorer 7是Windows Vista中一個很重要的應用程序,和老版本的IE相比,這個版本增加了很多新功能。不過這其中大部分功能並不能通過IE自身的選項進行設置,而是隱藏在了組策略中。通過組策略,我們可以設置大量IE的隱藏選項。
在IE 7中,當我們訪問的SSL網站所用的加密證書不是由受信任的機構所頒發的(其實在服務器上自己給自己頒發證書是很容易的),那麼IE將會顯示如圖13的界面,提醒我們注意該站點,只有單擊「Continue to this website(繼續訪問該站點)」後才可以訪問。這個功能留下了相當的餘地,就算一個站點有問題,大家仍然可以訪問,這顯然不是我們希望看到的。
雙擊「Internet Control Panel\Prevent ignoring certificate errors(Internet控制面板\禁止證書錯誤)」策略,如果將其啟用,那麼再遇到證書有問題的站點,就不會出現「Continue to this website」的選項,徹底禁止了對這種站點的訪問,提高了安全性。 總結
Windows Vista中新增的策略已經超過了千條,限於篇幅這裡不可能一一介紹。如果你已經用上了Windows Vista,那就快打開組策略編輯器看看吧,也許你一直希望Windows能夠實現的某些設置現在已經出現在組策略中了。通過配置組策略,我們的電腦就可以與眾不同。