组策略是一个非常强力的工具，可用于自定义，控制，以及保护Windows操作系统。它本是用于取代Windows NT中的系统策略功能，作为智能镜像技术的一部分而在Windows 2000中引入，后来伴随着基于NT操作系统后续版本的不断出现，它的范围以及能力也在不断的得到扩展。

对企业单元而言，组策略既可以被应用于本地电脑上，域上，也可以被用于活动目录环境中的网站上。 Windows XP的标准版支持组策略，但是XP的家庭版并不支持。与之类似，在Vista商业版，企业版，以及终结版中也都支持组策略，但是Vista家庭基本版，家庭奖励版中则都不支持。

在Vista中的组策略增加了数以百计的设定，让系统管理员在用户和电脑管理方面有了更多的控制权。 其中的一些设置附属于Vista的新功能，而其他的则是对XP中就已存有的功能进行了加强，提供了更多的控制。 本文中，我们将会对如何利用Vista之中的新型组策略进行一些有趣的讨论。 你可以从微软的网站（http://www.microsoft.com/downloads/details.aspx?FamilyID=41dc179b-3328-4350-ade1-c0d9289f09ef&DisplayLang=en）上下载一个表格，里面包含了有关电脑和用户配置的所有组策略设定，这些设定都包含在随Vista提供的一个系统管理模板文件之中。 要注意，这个系统管理模板文件使用了一个全新的，基于XML的文件格式（.ADMX）。

控制移动介质

类似U盘，闪存卡读取器，以及外部USB硬盘等这样的移动介质，和CD刻录机，DVD刻录机，以及古老的软磁盘一样，都是为了方便两台电脑之间的数据传输而应运所生的（比方说，用于在你的办公室电脑以及家庭电脑之间传输数据）。 不幸的是，它们也对公司带来了一个巨大的安全隐患： 用户可以很轻易的将原本不允许离开公司网络的数据下载到移动设备上，然后将它们带走，或者从移动设备向网络上传数据，结果导致病毒或恶意软件传入了公司的电脑。

过去，不少公司只能采用环氧树脂或类似的物质，来对USB端口进行物理封堵。 而一个相对温和些的措施，则是断开电脑内的USB端口，并移除所有带刻录能力的光驱。 当然，你也可以购买第三方的软件，从而让你对USB设备，CD/DVD刻录机的使用与否进行控制，等等。或者你也可以建立一个自定义的.ADM文件，从而阻止在XP中使用这些设备。

而Vista让这一切变得更加简单了。 在本地一台Vista机器上，要想实施一个策略，以控制移动介质，只需要：

点击“Start（启动） | Control Panel（控制面板） | Administrative Tools（管理工具）”。

选择Local Security Policy（本地安全策略）。

在Local Security Policy（本地安全策略）的左面板中，在Computer Configuration（电脑配置）下面，点开Administrative Templates（管理模板），然后点击“System（系统）”。

卷动右侧面板屏幕，然后双击“Removable Storage Access（移动介质存取）”，如图A所示。
 

图A 你可以在Vista的组策略中对移动介质的存取进行控制

你可以在数量众多的选择中进行挑选，根据你具体想控制的移动介质类型来选取。 比方说，你可以双击在右侧面板的项目“All Removable Storage Classes：Deny All Access.（所有移动介质类型：禁止所有存取）”，从而选择禁止存取所有的移动介质。

在“properties”属性框中，选择“Enabled（启用）”选项，如图B所示。
 

图B 启用策略，禁止对所有移动介质类型进行存取。

点击“Apply（应用）”或者“OK（确定）”。

此时，“禁止对所有移动介质类型进行任何形式的存取”策略将会取代所有先前在单独介质类型上进行的单独权限设定，并开始生效。 你能够进行单独设置的存储类型有：

◆CD以及DVD
◆软驱
◆移动磁盘
◆磁带机
◆PD设备（移动手机，便携式媒体播放器，辅助显示器，以及基于CE的设备，比如PocketPc）

你可以对它们分别设定策略，比如“禁止读取”以及“禁止写入”，这样你可以允许用户从设备中读取数据，却无法向其中保存数据。

控制电源管理设定

企业们一直希望有一种方式能够对Windows之中的电源管理设定进行控制，对此它们已经想了很久了。 已经有一些第三方的软件产品，让系统管理员可以对这些设定进行集中管理，但是这需要额外的花费，而且还需要安装相应的软件。 而在Vista之中，企业们可以建立策略来管理“电源管理”，从而在电力成本上进行节约。

在Vista组策略的“ Power Management（电源管理）”节点上，在同一个管理模板文件夹中，正如上文中所讨论过的移动介质存取节点一样，有很多不同的子文件夹，可以针对不同类型的电源管理，实施不同的策略，如图C所示。
 

图C Vista针对不同类型的电源管理，给与了系统管理员控制权

通过组策略所实施的电源管理设定，将会直接覆盖用户在控制面板中通过“电源”项所进行的设置。

按钮设定

“Button Setting（按钮设定）”文件夹有下述策略选项：

◆当电脑插上电源时选择Power（电源）按钮动作
◆当电脑插上电源时选择Sleep（睡眠）按钮动作
◆当电脑插上电源时选择起始菜单中Power（电源）按钮的动作
◆当电脑插上电源时选择滑盖开关按钮的动作
◆当电脑使用电池电力时，选择Power（电源）按钮动作
◆当电脑使用电池电力时，选择Sleep（睡眠）按钮动作
◆当电脑使用电池电力时，选择起始菜单Power（电源）按钮动作
◆当电脑使用电池电力时选择滑盖开关按钮动作

你可以对每一个按钮赋予的可用动作有：

◆什么也不做
◆睡眠
◆挂起
◆关机

双击具体的按钮条目，然后选择“Enabled（启用）”选项。 然后，从下拉菜单中选择具体的动作，如图D所示。
 

图D 你可以针对物理的电源以及睡眠按钮，以及起始菜单中的“电源”按钮，以及滑盖开关，分别选择一个预先设计的动作。

硬盘设定

而“Hard Disk Settings（硬盘设定）”文件夹只包括了两个策略：

◆当电脑接上电源时，关闭硬盘。
◆当电脑使用电池电力时，关闭硬盘。

你可以使用这两个策略，以控制电脑无动作之后多久时间将被Windows关闭硬盘。 时间值必须以分钟为单位，最少1分钟，最高是999999分钟。

告知设定

Notification Settings（告知设定）文件夹允许你对下述策略进行配置：

◆紧急电池告知动作
◆低电池电力告知动作
◆紧急电池告知等级
◆关闭低电池电力的用户告知
◆低电池电力告知等级

使用这些策略，你可以设定不同告知触发的级别（“低”或者“紧急”，两个等级） 当一个级别策略启用后，你要指定所剩电池电力的百分比（比如说，如果你希望在电池电力只剩10%时希望得到通知，那么这里就要指定“10”） 这些设定如图E所示。
 

图E 你可以设定有关电池电力到了多少算“低”，到了多少算“紧急”的具体级别

告知动作策略允许你指定，在达到指定的“低”或者“紧急”级别时，电脑应当采取的动作。 当你启用这些策略时，你可以从下述这些动作中进行选择：

◆什么也不做
◆睡眠
◆挂起
◆关机

“Turn Off Low Battery User Notification（关闭低电池电力的用户告警）”策略，所做的事情恰如其名。当它被启用后，在电池电力降低到“低”或者“紧急”级别之后，将不会有任何相关的警告发送给用户。

睡眠设定

“Sleep Settings(睡眠设定)”文件夹中有12个策略项。 对每一个动作都有两种策略，一个是决定电脑在插入电源时做什么，一个则是决定电脑在使用电池时做什么。 这些策略是：

打开程序，以阻止睡眠转换。 如果你启用了这个策略，那么一个程序或者服务将会阻止系统进入挂起，休眠，混合休眠。

指定系统休眠超时： 如果你启用了这个策略，那么你就可以设定无操作时间，超过该时间后，Windows将会把系统转入休眠。 该时间同样以分钟为单位，最低1分钟，最高999999。

◆系统苏醒时需要口令： 如果你启用了这个策略，或者留下这个策略没有配置，那么当系统从休眠中恢复时都会询问用户密码；因为，默认值就是需要一个口令。 如果你不希望到时候提示口令的话，你可以禁用该策略。

◆指定系统睡眠超时： 和“休眠超时策略”一样，这个数字也是以分钟记的。

◆关闭混合休眠： 如果你启用这个策略，系统将会在进入休眠（或者待机）时不再建立休眠文件。

睡眠时，允许待机状态（S1-S3）： 如果你启用了这个策略，Windows可以在电脑睡眠时，使用待机状态。 如果该策略被禁止，该电脑仅能够休眠（进入混合睡眠）。

在早期版本的Windows中，待机是将工作保存在内存中，然后将电脑转入一个节能状态，而休眠则是将工作保存在硬盘上。 Vista已经将待机和休眠整合成了一个状态： 混合休眠。在这种状态下，工作被保存在硬盘上，而先前的工作进程会在电脑苏醒时自动重新开始。

不过，你可以通过组策略，启用传统的待机状态。 标准的ACPI待机状态是：

◆S0: 系统保持开机，准备工作
◆S1: CPU被关闭；内存保持刷新。 系统可以通过键盘，鼠标等激活。
◆S2（并不是很常见）： 所有的设备都像S3一样关闭电源，但是RAM刷新更快。
◆S3: 所有的风扇，硬盘，以及其他设备都被关闭电源，工作被保存到内存中。 键盘/鼠标，可能，也或者不能激活系统，由控制器决定。
◆S4: 所有的硬件都关闭，工作被保存到硬盘上。 这就和休眠一样了。

视频与显示设置

在Video And Display Settings（视频与显示）文件夹中，有4个设定（实际上也是每一个策略，都有两种，分别是电脑接上电源，和电脑使用电池） 它们是：

◆关闭视频显示的超时： 这个设定控制了在电脑无动作多久之后，会自动关闭显示。 Windows会自动根据用户对输入设备的动作，调节相关的设定。

◆关闭显示： 如果你启用了这个策略，你需要提供一个数值（以秒计），以指定在多久电脑无动作之后，关闭显示。

用户帐户控制设定

在Vista之中最明显的安全改进之一就是UAC（User Account Control，用户帐户控制）。 在安全选项文件夹中有9个策略，你可以使用他们来改变此功能的相关行为。 要修改设定，在组策略目标编辑器的左面板“Computer Configuration（电脑配置）”节点下，展开“Windows Settings（Windows设置）”，然后是“Security Setting（安全设置）”，然后是“Local Policies（本地策略）”。 点击“Security（安全）”选项，如图F所示。
 

图F 你可以通过组策略，控制UAC行为的多个方面

这是你可以在Vista中配置的，UAC相关策略：

有关内置系统管理员帐号的管理批准模式： 如果你启用了这个策略，内置的系统管理员帐号将以管理批准模式登录，这意味着你将在提升权限发生之前，必须要求得到批准。 默认情况下，这个策略是禁止的，这样内置的系统管理员帐号会以XP兼容的模式登录（不像Vista之中其他的管理性帐号）；所有的程序可以默认运行在完全管理权限之下。 启用这个策略会增加安全性。

在管理批准模式下，有关系统管理员提升提示的行为： 默认状态，所有的系统管理员（除了内置Administrator帐号以外），都会在权限提升之前要求得到批准。 如果你启用了这个策略，你可以通过要求系统管理员输入他们的信用资料以便提升权限，从而增加安全性，或者你可以允许在不提示信用或者得到批准的情况下直接提升权限，但这会降低安全性。 具体选择如图G所示
 

图G 你可以通过指定关于系统管理员的提升提示行为，提升或者降低安全级别。

对于标准用户来说，提升提示的行为有： 默认情况下，这些以标准用户帐号登录的人将会在提升权限时，提示要求输入管理信用资料。 如果你启用了这个策略，你可以选择在一个标准用户试图执行高权限的操作时，返回一个禁止存取的信息以增强安全性，

发现程序安装，并提示要求提升： 如果你启用了此策略，需要提升权限的程序安装包将会被启发式步骤自动识别，预先配置好的权限提升提示将被触发。

仅提升被签名和认证的可执行文件： 这个策略允许你强制要求在希望提升自身权限的交互性软件上进行PKI签名检查，以提升安全性。默认情况下，PKI校验链的确认不是强制要求的。

仅提升被安装在安全区域里的UIAccess程序 如果你启用了此策略，UIAccess程序将不会启动，除非他们被保存在一个安全的区域里。 安全区域包括“Program Files”目录，以及“Windows\System32\r-_\Program Files (x86)”目录。 这个策略默认是启动的，但是你可以禁止它，如果你希望保存在其他区域的UIAccess程序也可以运行的话。

将所有用户，包括系统管理员，都作为标准用户运行： 这个策略默认是启用的，因为这是Vista的UAC保护的核心。 如果你禁用了这个策略，所有的UAC策略将被禁止，而安全性将会降低。 你必须重启以便保证这个策略改变发生作用。

当要求提升时，切换到安全桌面： 这个策略默认是启用的；当权限提升要求时，桌面将被锁闭，任何程序都无法与之交流。 你可以禁用此策略，这样权限提升的要求将显示在普通的交互式桌面上，但是这会削弱安全性。
还有列表中的其他的……

我们只是简单看了Vista之中，800个可用全新组策略设置中的少数几个。 还有关于控制Vista的高级安全防火墙的新设置，根据所在位置赋予打印机的设置，自定义DVD视频作者的设置，启用网路通讯的质量控制服务中央管理的设置，管理网路存取保护（NAP）的设置，管理外壳程序存取的设置，以及配置新终端服务/远程桌面安全功能的设置。 另外，还有可用于IE 7的新策略。