使用ADM保护K-12网络Windows XP系统

我们以前曾讨论过在K-12网络上保护Windows XP，我讲了保护Windows XP的4个阶段。那篇文章主要着眼于使用本地操作系统的控制来对操作系统进行保护。而本文则主要着眼于使用活动目录组策略之中的ADM文件的处理。

在活动目录之中，组策略，为各方面的本地资源和网络资源，提供了基于用户帐户，组成员关系，电脑名称等等不同的存取权限控制方法。然而，在默认状态下，依旧还是有些事情是组策略所不能完成的。比方说，一个K-12的工作站上，一个网络管理员试图做到：

◆隐藏特定驱动器（使用驱动盘符）
◆阻止对特定驱动器的存取（使用盘符）
◆重定向IE的收藏夹
◆实施一个特定的桌面墙纸
◆禁止对Internet的使用
◆修改诸如VNC，Audacity，Windows Moviemaker这样的程序

你可以通过使用自定义ADM文件来完成上述所有这些任务。事实上，可以通过中央管理，针对每一个用户进行相应的设定修改。

什么是ADM文件？

ADM文件（也被称作系统管理模板Administrative Templates），是特定格式的文本文件，用于插入组策略对象之中。组策略使用它们来提供任意可用的控制设定，也可以提供全部的控制设定。举例来说，你可以从微软下载Office XP/2003 ADM文件，来自定义终端用户的使用体验。制作ADM文件很简单，文件中包含一个描述，注册表设定，以及相关数值。

你可以在“添加/删除”模板的屏幕中添加或者删除ADM文件。有两种类型的ADM文件：用户文件（USER）以及系统文件（SYSTEM）。用户类型的文件修改用户的特定注册表设定，而系统文件则修改适用于所有用户的，电脑的相关注册表设定。现在你已经知道了如何添加它们，下面是如何建立它们了。

建立自定义ADM文件

如果一个ADM文件的语法错误，那么它将无法被导入到你的组策略对象之中。下面的这个连接就是一个可下载的ADM文件（你必须将其更名为“CustomUser.adm”才可以正常工作）。

http://i.i.com.com/cnwk.1d/i/tr/ADMFile.doc

1. 文档与注释

文件的一开头，你可以使用两个引号，然后在后面跟上你打算添加的任何重要信息。

;; Creator: Network Administrator
;; Date: 02/12/07
;; CustomUser.adm file for XYZ School (user settings)

2. 设定类别

类别必须是“USER（用户）”或者“SYSTEM（系统）”，主要是根据你打算修改何处的注册表而定。
CLASS USER

3. 设置种类

将设定进行分组，从而更便于阅读和管理。
CATEGORY "Custom Options"

4. 建立一个策略

一个“策略”是一个特别的设定，可以被用于设置“启用/禁止”某个模式，从而控制某个注册表设定是否可以进行改变。

一个典型的“开/关”设定的示例策略：

POLICY "Re-Direct Favorites to Home Directory"
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
EXPLAIN "Re-Direct the Favorites Folder to the H:\Favorites directory"
VALUENAME "Favorites"
VALUEON "H:\Favorites"
VALUEOFF "%USERPROFILE%\Favorites"

上述策略将重定向用户的IE收藏夹目录内容到他们的个人目录H:\Favorites之中。

说明：

POLICY: 策略名称
KEYNAME: 该设定在注册表中的具体所在位置
EXPLAIN: 该设定用于做什么（用于说明）
VALUENAME: 要修改的注册表键值名称
VALUEON: 启用某个设定
VALUEOFF: 禁止某个设定

在上述例子中，一个REG_EXPAN_SZ入口被进行了修改。知道到底是要修改何种类型的注册表入口很重要，因为针对不同的入口，其ADM的语法也是各不相同的。其他的注册表入口类型有：

REG_SZ:
POLICY "Media Player Recording Path Redirect"
KEYNAME "Software\Microsoft\MediaPlayer\Preferences"
EXPLAIN "Media Player Recording Path Redirect"
PART "CDRecordPath" EDITTEXT
VALUENAME "CDRecordPath"
DEFAULT "H:\\My Music"
END PART
END POLICY

REG_DWORD:
POLICY "Disable Proxy Settings"
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings"
EXPLAIN "Disable Proxy Settings"
VALUENAME "ProxyEnable"
VALUEON NUMERIC "0"
VALUEOFF NUMERIC "1"
END POLICY

在上述的示例中，“EDITTEXT”和“NUMERIC”用于制定具体的注册表入口类型。

5. 关闭种类

这里用于早些时候建立的种类；在一个ADM文件之中，可能会存在多个不同的种类：
END CATEGORY

6. 结束部分

这里是用于关闭入口，以完成全部文件处理的必须部分：
#endif
[strings]

将所有组合在一起

了解了ADM文件的格式和语法，看过了一个示例文件，并了解了Windows注册表的一般知识之后，K-12网络管理员现在已经准备建立自己的ADM文件了。事实上，只需要一点时间的工作，任何用户或者系统设定都可以作用到成百上千的用户身上。通过控制软件，Windows用户环境，甚至控制是否自动登出，自定义ADM文件已经成为K-12电脑网络中保护一台Windows XP工作站时必不可少的部分之一。

（责任编辑:陈毅东）