找到所需的組策略
打開開始選單,在搜索框中輸入「gpedit.msc」並回車,打開「組策略編輯器」窗口。在左側的樹形圖中定位到「Computer Configuration-Administrative Templates-System-Device Installation-Device Installation Restrictions(電腦配置-管理模板-系統-硬體安裝-硬體安裝限制)」,在右側的面板中可以看到九個策略,就是用這九個策略進行限制的(如圖2)。 實現限制
上文已經提到了,我們希望禁止手頭這個Miniplayer播放器的使用,或者禁止所有這類設備使用,那麼就可以這樣做:
如果希望禁止這個播放器的使用,首先從設備管理器中找到該設備的硬體ID,然後雙擊「Prevent installation of devices that match any of these device IDs」這條策略(如圖3),選擇「Enabled」選項,然後單擊「Show(顯示)」按鈕,在隨後出現的窗口中單擊「Add(添加)」按鈕,將硬體ID複製進去,並單擊「OK」按鈕關閉所有打開的對話框。
如果希望禁止所有這類播放器設備,則需要從設備管理器中找到硬體類型的GUID,然後雙擊「Prevent installation of devices using drivers that match these device setup classes」這條策略,按照同樣的方法將設備類型的GUID添加進去(如圖4)。注意:設備類型在資源管理器中有兩種表達形式:Device class(可以類比為人的名字)和Device class guid(可以類比為人的身份證號碼),這裡必須使用GUID來指定,而不能使用設備類的名稱來指定。
提示:如果為了查看硬體設備的類或者ID,已經將設備安裝到系統中了,為了取得更好的限制效果,最好在看到想要的信息後將設備從設備管理器中徹底刪除。
驗證一下成果吧。經過上面的設置,再次將該設備連接到電腦後,稍等片刻,就會看到如圖5的氣球圖示和對話框。這證明我們的設置已經起作用了。 其他限制
除了限制對硬體的安裝,通過組策略還可以限制對已安裝的可移動存儲設備的訪問。還是在組策略編輯器中,通過左側的樹形圖定位到「Computer Configuration-Administrative Templates-System-Removable Storage Access(電腦配置-管理模板-系統-可移動存儲設備訪問)」,在右側可以看到15條策略(如圖6)。
策略雖然很多,不過理解起來卻很簡單。總結來說,這些策略可以分別對下列設備限制讀取或者寫入的訪問:
● CD and DVD:CD或DVD光碟機,包含只讀光碟機和燒錄機;
● Custom classes:自定義的設備,雖然可以自定義,但僅限可移動存儲設備;
● Floppy Drivers:軟驅;
● Removable Disks:移動硬碟;
● Tape Drivers:磁帶磁碟機;
● WPD Devices:Windows portable devices設備,泛指運行了Windows操作系統的所有便攜設備。
對於限定的設備,例如光碟機或者移動硬碟,我們只要啟用相應的策略就可以限制對該設備的讀取或者寫入;對於需要指定設備的策略,例如自定義設備,則需要按照上文的方法添加設備類GUID。這裡的設置需要重啟動系統後才可以生效。 使用QoS限制軟體對頻寬的佔用
Windows XP中就包含了對QoS(Quality of Service,網路服務質量)的支援,不過該功能在Windows Vista之前的操作系統中並沒有太多應用,以至於很多人以為在Windows XP中禁用QoS可以提高網速。現在已經沒人相信這種無根據的觀點了,不過在Vista中,我們已經可以通過QoS對應用程序的出站連接進行限制(注意:僅限出站連接)。 通過組策略實現的目標
通過組策略配置QoS,我們可以實現下列目標:
● 對不同類型的應用程序設定不同的優先級,這樣對網路頻寬需求比較大的應用程序(例如進行網路音訊或者視訊交流的Windows Live Messenger或其他VoIP軟體)就可以獲得較高優先級,而對網路頻寬佔用需求不那麼高的應用程序(例如瀏覽網頁用的Internet Explorer)則獲得較低的優先級。系統和路由器或者其他網路設備將會根據優先級的不同區別對待來自不同應用程序的封包。
● 對不同類型的應用程序設定不同的網路頻寬限制,這樣對傳輸資料所需時間不敏感的應用程序(例如P2P下載軟體)就可以使用有限的網路頻寬,而把絕大部分網路頻寬留給急需通過網路上傳資料的應用程序。需要注意的一點是,通過QoS進行的設置並非固定不變的。例如,如果設置了程序A具有較低的QoS優先級,但是當前並沒有其他優先級更高的程序訪問網路,那麼A程序就會使用全部的網路頻寬;如果優先級高於A的程序B需要使用網路,那麼程序A就會自動為程序B讓路。
另外,QoS的實現是需要多種設備配合的,不僅操作系統,其他網路設備也必須支援QoS才可以。例如,給不同程序設置了不同的網路優先級,那麼該程序發出的封包中就會包含DSCP(Differentiated Services Code Point,差分服務代碼點)信息,用於標示該封包的優先級。那麼只有路由器或其他網路設備支援QoS,才能理解DSCP信息的含義,並做出相應的處理。 實現思路
QoS可以根據下列條件進行設置:
● 需要通過網路發送信息的應用程序
● Ipv4或Ipv6協議的來源或目標
● 協議類型:TCP或UDP
● 來源或目標連接埠
也就是說,我們可以針對某個具體的應用程序進行限制,或者對發往某個特定地址或連接埠的網路連接進行限制。
在優先級限制方面,QoS使用了給網路封包中添加DSCP信息的方式標示不同封包的優先級。根據規定,DSCP有從0到63,一共64個不同的優先級等級,數字越大相應的優先級就越高。預設情況下,所有程序都會使用33這個優先級。 具體操作
同樣讓我們以一個例子介紹QoS的操作。假設我們需要讓Windows Live Messenger發出的封包具有較高的優先級,而Internet Explorer發出的封包優先級較低,則可以這樣操作:
找到所需的策略。
打開「開始」選單,在搜索框中輸入「gpedit.msc」並回車,打開組策略編輯器。在組策略編輯器窗口左側的樹形圖中定位到「Computer Configuration-Windows Settings-Policy - based QoS(電腦配置-Windows設置-基於策略的QoS)」。 給Windows Live Messenger設置較高的優先級
在組策略編輯器窗口左側的樹形圖中用滑鼠右鍵單擊「Policy - based QoS」,從右鍵選單中選擇「Create new policy(新建策略)」。隨後將能看到如圖7的對話框,「Policy name(策略名稱)」一欄可以輸入自己想要使用的任何名稱,然後在「Specify DSCP Value(指定DSCP值)」一欄中為該程序指定一個優先級數值。這裡需要注意,可用的數值包括從0到63的任何數字,高於32的將會提高優先級,低於32的則會降低優先級。如果同時希望限制允許該程序使用的網路頻寬,則可以選中「Specify Throttle Rate(指定限制速度)」選項,然後設定一個速度。設置好之後單擊「Next」。
隨後可以看到如圖8的界面,在這裡可以決定這條策略的應用對象。因為是針對Windows Live Messenger的,因此選擇「Only applications with this executable name(可執行檔案包含下列名稱的應用程序)」選項,然後輸入「msnmsgr.exe」。完成之後繼續單擊「Next」。
接下來可以看到類似圖9的界面,在這裡可以設置這條策略應用的範圍。因為我們的目的是對Windows Live Messenger的所有訪問連接都進行限制,因此可以保持預設設置,繼續單擊「Next」。如果只希望對某個作為來源的地址的訪問進行限制,可以選擇「Only for the following source IP address or prefix(僅針對使用下列地址或前綴的來源IP)」選項,並指定來源;如果希望對某個作為目標的地址的訪問進行限制,則可以選擇「Only for the following destination IP address or prefix(僅針對使用下列地址或前綴的目標IP)」選項,並指定目標。
然後是設定協議和連接埠號的界面(如圖10)。同樣,因為我們希望對所有訪問都進行限制,因此可以保持預設設置。否則可以選擇該策略應用的協議(TCP、UDP,或者兩者兼有)以及來源或目標的連接埠號。單擊「Finish」按鈕。
至此關於Windows Live Messenger的設置就都已經完成了,我們還需要通過一條策略給IE設置一個較低的優先級。具體方法和上面的操作類似,只不過需要在如圖7的界面上指定一個較小的DSCP值。其實只要小於之前給Windows Live Messenger設置的DSCP就可以了,而且也可以不用設置,因為預設情況下所有程序的DSCP都是32,Windows Live Messenger經過設置已經高於32了。 使用組策略配置Internet Explorer
Internet Explorer 7是Windows Vista中一個很重要的應用程序,和老版本的IE相比,這個版本增加了很多新功能。不過這其中大部分功能並不能通過IE自身的選項進行設置,而是隱藏在了組策略中。通過組策略,我們可以設置大量IE的隱藏選項。
打開「開始」選單,在搜索框中輸入「gpedit.msc」並回車,打開組策略編輯器。在組策略編輯器窗口左側的樹形圖中展開到「Computer Configuration-Administrative Templates-Windows Components-Internet Explorer(電腦配置-管理模板-Windows組件-Internet Explorer)」,就可以在窗口右側的面板中看到大量和IE有關的策略(如圖11)。
下面我們列舉一些實例來介紹如何通過組策略設置IE 7。 更改Agent ID
在訪問一些網站的時候,你可能會看到網頁上顯示了你的操作系統和瀏覽器的版本,想知道這是怎麼實現的嗎?其實當我們用網頁瀏覽器瀏覽網頁的時候,在發出請求時,瀏覽器發出的請求中就會包含這些信息,這叫做Agent ID。
現在的問題是,有些網站因為各種原因會對訪客的瀏覽器版本進行限制。例如,有些網站只允許IE 6訪問,有些網站只允許Opera訪問。遇到這些站點,而你又不想換或者不能換瀏覽器,該怎麼辦?
IE 7就可以通過組策略自定義瀏覽器發出的Agent ID。雙擊「Customize User Agent String(自定義客戶端Agent字符串)」策略,選擇「Enabled」然後輸入新的Agent ID即可。例如,如果希望網站以為自己正在使用IE 6,就可以輸入「MSIE 6.0」;如果希望網站以為自己正在使用Opera,則可以輸入「Opera/9.00」。關於不同版本瀏覽器在不同操作系統上顯示的Agent ID,可以在這裡查到:http://tinyurl.com/nuld8 。
在IE 7中,當我們訪問的SSL網站所用的加密證書不是由受信任的機構所頒發的(其實在服務器上自己給自己頒發證書是很容易的),那麼IE將會顯示如圖13的界面,提醒我們注意該站點,只有單擊「Continue to this website(繼續訪問該站點)」後才可以訪問。這個功能留下了相當的餘地,就算一個站點有問題,大家仍然可以訪問,這顯然不是我們希望看到的。
雙擊「Internet Control Panel\Prevent ignoring certificate errors(Internet控制面板\禁止證書錯誤)」策略,如果將其啟用,那麼再遇到證書有問題的站點,就不會出現「Continue to this website」的選項,徹底禁止了對這種站點的訪問,提高了安全性。 總結
Windows Vista中新增的策略已經超過了千條,限於篇幅這裡不可能一一介紹。如果你已經用上了Windows Vista,那就快打開組策略編輯器看看吧,也許你一直希望Windows能夠實現的某些設置現在已經出現在組策略中了。通過配置組策略,我們的電腦就可以與眾不同。
IP卡
狗仔卡
發表於 2007-8-14 18:39:32
提升卡
置頂卡
變色卡