從Windows 2000開始，組策略就是配置Windows的有效工具。其實嚴格說起來，組策略編輯器中的大部分配置都可以直接修改注冊表實現，不過很明顯，通過組策略編輯器進行修改，更加直觀，而且也不容易出錯。因此很多Windows用戶都已經習慣了使用組策略對Windows的一些高級設置進行配置。 Windows Vista中新增了大量新的功能，同時組策略編輯器中也包含了更多內容。想知道這些新增的內容對我們有什么用嗎？一起來看看吧。 提示：下文是以測試版的Windows Vista RC2 Ultimate為基礎撰寫的，因此和正式版中可能會有所不同。另外，Vista的家庭版沒有組策略編輯器功能。 控制硬件設備的安裝 這是一個很吸引人的功能。現在很多公司都不希望員工使用閃存盤或者MP3隨身聽之類可以通過計 算機的USB接口傳輸文件的設備，因為這很容易導致公司的機密數據丟失。傳統的預防辦法最常見就是將計算機上的USB接口堵死，但這種“硬”方法也造成了一些問題，導致其他使用USB接口的設備，例如鍵盤和鼠標都無法使用。那么有沒有不那么 “強硬”的方法？這時候可以考慮使用Windows Vista的組策略了。

通過組策略實現的目標 通過Windows Vista的組策略，對硬件設備的安裝將可以達到下列限制： ● 只有指定類型的設備可以安裝，其他未指定設備一律無法安裝。 ● 只有指定的具體硬件可以安裝，其他未指定的硬件一律無法安裝。 ● 所有可移動設備都無法安裝。 ● 對于某些設備，限制用戶的讀取或者寫入操作。

實現思路 如何限制對硬件的使用？Vista中使用兩種方式：硬件類型（device class）和硬件ID（device ID）。 ● 硬件類型（device class）：簡單來說，就是用于描述設備用途的一個名稱，例如所有的閃存盤，不管是A品牌的還是B品牌的，不管是USB 1.1標準的還是2.0的，只要是閃存盤，那就具有統一的硬件類型。 ● 硬件ID（device ID）：用于描述具體硬件的一個代號。同樣的硬件，例如同一個品牌和型號，同一個生產批次的兩個硬件產品，都會有不同的硬件ID。 也就是說，如果通過硬件類型來指定禁止安裝的設備，例如使用閃存盤的硬件類型進行限制，那么不管是什么品牌或者參數的閃存盤，只要是閃存盤，都將無法被安裝。但使用硬件ID進行限制就不同了，例如有兩塊同品牌同型號的閃存盤（硬件ID絕對是不同的），那么我們可以限制只允許使用其中的一個，而不許使用另一個。

具體操作 為了更好地說明該功能的使用方法，下文將會使用一個魅族的MiniPlayer播放器來介紹如何禁止這個特定的播放器被使用，或者如何禁止所有類似產品被使用。

獲取設備類型或者硬件ID。 將希望禁止使用的設備連接到計算機，并等待安裝完成。打開“開始”菜單，在搜索框中輸入“devmgmt.msc”并回車，打開設備管理器。從設備列表中找到想要禁止使用的設備，雙擊打開其“屬性”對話框。 打開“屬性”對話框的“Details（詳細信息）”選項卡，將能看到如圖1的界面。在Property（屬性）下拉菜單中分別選擇Device Class guid（設備類GUID）和Hardware ids（硬件ID）后，就可以看到該設備的這兩個屬性值。在下方顯示的值上單擊鼠標右鍵就可以將內容復制出來。 通過這樣的方法獲取想要禁止使用的設備的類或者硬件ID，然后繼續下面的操作。

找到所需的組策略 打開開始菜單，在搜索框中輸入“gpedit.msc”并回車，打開“組策略編輯器”窗口。在左側的樹形圖中定位到“Computer Configuration-Administrative Templates-System-Device Installation-Device Installation Restrictions（計算機配置－管理模板－系統－硬件安裝－硬件安裝限制）”，在右側的面板中可以看到九個策略，就是用這九個策略進行限制的（如圖2）。 實現限制 上文已經提到了，我們希望禁止手頭這個Miniplayer播放器的使用，或者禁止所有這類設備使用，那么就可以這樣做： 如果希望禁止這個播放器的使用，首先從設備管理器中找到該設備的硬件ID，然后雙擊“Prevent installation of devices that match any of these device IDs”這條策略（如圖3），選擇“Enabled”選項，然后單擊“Show（顯示）”按鈕，在隨后出現的窗口中單擊“Add（添加）”按鈕，將硬件ID復制進去，并單擊“OK”按鈕關閉所有打開的對話框。

　如果希望禁止所有這類播放器設備，則需要從設備管理器中找到硬件類型的GUID，然后雙擊“Prevent installation of devices using drivers that match these device setup classes”這條策略，按照同樣的方法將設備類型的GUID添加進去（如圖4）。注意：設備類型在資源管理器中有兩種表達形式：Device class（可以類比為人的名字）和Device class guid（可以類比為人的身份證號碼），這里必須使用GUID來指定，而不能使用設備類的名稱來指定。

提示：如果為了查看硬件設備的類或者ID，已經將設備安裝到系統中了，為了取得更好的限制效果，最好在看到想要的信息后將設備從設備管理器中徹底刪除。 驗證一下成果吧。經過上面的設置，再次將該設備連接到計算機后，稍等片刻，就會看到如圖5的氣球圖標和對話框。這證明我們的設置已經起作用了。

其他限制 除了限制對硬件的安裝，通過組策略還可以限制對已安裝的可移動存儲設備的訪問。還是在組策略編輯器中，通過左側的樹形圖定位到“Computer Configuration-Administrative Templates-System-Removable Storage Access（計算機配置－管理模板－系統－可移動存儲設備訪問）”，在右側可以看到15條策略（如圖6）。 策略雖然很多，不過理解起來卻很簡單。總結來說，這些策略可以分別對下列設備限制讀取或者寫入的訪問： ● CD and DVD：CD或DVD光驅，包含只讀光驅和刻錄機； ● Custom classes：自定義的設備，雖然可以自定義，但僅限可移動存儲設備； ● Floppy Drivers：軟驅； ● Removable Disks：移動硬盤； ● Tape Drivers：磁帶驅動器； ● WPD Devices：Windows portable devices設備，泛指運行了Windows操作系統的所有便攜設備。 對于限定的設備，例如光驅或者移動硬盤，我們只要啟用相應的策略就可以限制對該設備的讀取或者寫入；對于需要指定設備的策略，例如自定義設備，則需要按照上文的方法添加設備類GUID。這里的設置需要重啟動系統后才可以生效。 使用QoS限制軟件對帶寬的占用 Windows XP中就包含了對QoS（Quality of Service，網絡服務質量）的支持，不過該功能在Windows Vista之前的操作系統中并沒有太多應用，以至于很多人以為在Windows XP中禁用QoS可以提高網速。現在已經沒人相信這種無根據的觀點了，不過在Vista中，我們已經可以通過QoS對應用程序的出站連接進行限制（注意：僅限出站連接）。

通過組策略實現的目標 通過組策略配置QoS，我們可以實現下列目標： 　● 對不同類型的應用程序設定不同的優先級，這樣對網絡帶寬需求比較大的應用程序（例如進行網絡音頻或者視頻交流的Windows Live Messenger或其他VoIP軟件）就可以獲得較高優先級，而對網絡帶寬占用需求不那么高的應用程序（例如瀏覽網頁用的Internet Explorer）則獲得較低的優先級。系統和路由器或者其他網絡設備將會根據優先級的不同區別對待來自不同應用程序的數據包。 　● 對不同類型的應用程序設定不同的網絡帶寬限制，這樣對傳輸數據所需時間不敏感的應用程序（例如P2P下載軟件）就可以使用有限的網絡帶寬，而把絕大部分網絡帶寬留給急需通過網絡上傳數據的應用程序。需要注意的一點是，通過QoS進行的設置并非固定不變的。例如，如果設置了程序A具有較低的QoS優先級，但是當前并沒有其他優先級更高的程序訪問網絡，那么A程序就會使用全部的網絡帶寬；如果優先級高于A的程序B需要使用網絡，那么程序A就會自動為程序B讓路。 另外，QoS的實現是需要多種設備配合的，不僅操作系統，其他網絡設備也必須支持QoS才可以。例如，給不同程序設置了不同的網絡優先級，那么該程序發出的數據包中就會包含DSCP（Differentiated Services Code Point，差分服務代碼點）信息，用于標示該數據包的優先級。那么只有路由器或其他網絡設備支持QoS，才能理解DSCP信息的含義，并做出相應的處理。 實現思路 QoS可以根據下列條件進行設置： ● 需要通過網絡發送信息的應用程序 ● Ipv4或Ipv6協議的來源或目標 ● 協議類型：TCP或UDP ● 來源或目標端口 也就是說，我們可以針對某個具體的應用程序進行限制，或者對發往某個特定地址或端口的網絡連接進行限制。 在優先級限制方面，QoS使用了給網絡數據包中添加DSCP信息的方式標示不同數據包的優先級。根據規定，DSCP有從0到63，一共64個不同的優先級等級，數字越大相應的優先級就越高。默認情況下，所有程序都會使用33這個優先級。

具體操作 同樣讓我們以一個例子介紹QoS的操作。假設我們需要讓Windows Live Messenger發出的數據包具有較高的優先級，而Internet Explorer發出的數據包優先級較低，則可以這樣操作： 找到所需的策略。 打開“開始”菜單，在搜索框中輸入“gpedit.msc”并回車，打開組策略編輯器。在組策略編輯器窗口左側的樹形圖中定位到“Computer Configuration-Windows Settings-Policy - based QoS（計算機配置－Windows設置－基于策略的QoS）”。

給Windows Live Messenger設置較高的優先級 在組策略編輯器窗口左側的樹形圖中用鼠標右鍵單擊“Policy - based QoS”，從右鍵菜單中選擇“Create new policy（新建策略）”。隨后將能看到如圖7的對話框，“Policy name（策略名稱）”一欄可以輸入自己想要使用的任何名稱，然后在“Specify DSCP Value（指定DSCP值）”一欄中為該程序指定一個優先級數值。這里需要注意，可用的數值包括從0到63的任何數字，高于32的將會提高優先級，低于32的則會降低優先級。如果同時希望限制允許該程序使用的網絡帶寬，則可以選中“Specify Throttle Rate（指定限制速度）”選項，然后設定一個速度。設置好之后單擊“Next”。

隨后可以看到如圖8的界面，在這里可以決定這條策略的應用對象。因為是針對Windows Live Messenger的，因此選擇“Only applications with this executable name（可執行文件包含下列名稱的應用程序）”選項，然后輸入“MSNmsgr.exe”。完成之后繼續單擊“Next”。

接下來可以看到類似圖9的界面，在這里可以設置這條策略應用的范圍。因為我們的目的是對Windows Live Messenger的所有訪問連接都進行限制，因此可以保持默認設置，繼續單擊“Next”。如果只希望對某個作為來源的地址的訪問進行限制，可以選擇“Only for the following source IP address or prefix（僅針對使用下列地址或前綴的來源IP）”選項，并指定來源；如果希望對某個作為目標的地址的訪問進行限制，則可以選擇“Only for the following destination IP address or prefix（僅針對使用下列地址或前綴的目標IP）”選項，并指定目標。 　

然后是設定協議和端口號的界面（如圖10）。同樣，因為我們希望對所有訪問都進行限制，因此可以保持默認設置。否則可以選擇該策略應用的協議（TCP、UDP，或者兩者兼有）以及來源或目標的端口號。單擊“Finish”按鈕。 至此關于Windows Live Messenger的設置就都已經完成了，我們還需要通過一條策略給IE設置一個較低的優先級。具體方法和上面的操作類似，只不過需要在如圖7的界面上指定一個較小的DSCP值。其實只要小于之前給Windows Live Messenger設置的DSCP就可以了，而且也可以不用設置，因為默認情況下所有程序的DSCP都是32，Windows Live Messenger經過設置已經高于32了。

使用組策略配置Internet Explorer Internet Explorer 7是Windows Vista中一個很重要的應用程序，和老版本的IE相比，這個版本增加了很多新功能。不過這其中大部分功能并不能通過IE自身的選項進行設置，而是隱藏在了組策略中。通過組策略，我們可以設置大量IE的隱藏選項。

打開“開始”菜單，在搜索框中輸入“gpedit.msc”并回車，打開組策略編輯器。在組策略編輯器窗口左側的樹形圖中展開到“Computer Configuration-Administrative Templates-Windows Components-Internet Explorer（計算機配置－管理模板－Windows組件－Internet Explorer）”，就可以在窗口右側的面板中看到大量和IE有關的策略（如圖11）。

下面我們列舉一些實例來介紹如何通過組策略設置IE 7。

更改Agent ID 在訪問一些網站的時候，你可能會看到網頁上顯示了你的操作系統和瀏覽器的版本，想知道這是怎么實現的嗎？其實當我們用網頁瀏覽器瀏覽網頁的時候，在發出請求時，瀏覽器發出的請求中就會包含這些信息，這叫做Agent ID。 現在的問題是，有些網站因為各種原因會對訪客的瀏覽器版本進行限制。例如，有些網站只允許IE 6訪問，有些網站只允許Opera訪問。遇到這些站點，而你又不想換或者不能換瀏覽器，該怎么辦？ IE 7就可以通過組策略自定義瀏覽器發出的Agent ID。雙擊“Customize User Agent String（自定義客戶端Agent字符串）”策略，選擇“Enabled”然后輸入新的Agent ID即可。例如，如果希望網站以為自己正在使用IE 6，就可以輸入“MSIE 6.0”；如果希望網站以為自己正在使用Opera，則可以輸入“Opera/9.00”。關于不同版本瀏覽器在不同操作系統上顯示的Agent ID，可以在這里查到：http://tinyurl.com/nuld8 。

禁止“修復設置”提醒 在IE 7中，當我們對瀏覽器的默認設置進行更改，降低了瀏覽器的安全性后，IE 7會用信息欄提示我們，并提供了一個“修復設置”的選項，點擊后即可恢復默認的安全設置（如圖12）。這是一個很好的功能，可以避免我們因為錯誤的設置導致出現安全問題。不過有時候因為某些原因，我們必須降低IE 7的安全設置，這時候IE 7的提醒就顯得有些多余了。 雙擊“Prevent “Fix settings” functionality（禁止修復設置功能）”，然后將其啟用即可。

加強證書檢查 我們都知道，以“https”開頭的URL表明該頁面是被SSL加密的，這種頁面比未加密的更加安全。不過在訪問SSL加密頁面的時候我們可能會忽略一點，如果偽造的網站也使用自己的證書加密偽造網頁，我們怎么知道自己訪問的加密站點是不是偽造的？

在IE 7中，當我們訪問的SSL網站所用的加密證書不是由受信任的機構所頒發的（其實在服務器上自己給自己頒發證書是很容易的），那么IE將會顯示如圖13的界面，提醒我們注意該站點，只有單擊“Continue to this website（繼續訪問該站點）”后才可以訪問。這個功能留下了相當的余地，就算一個站點有問題，大家仍然可以訪問，這顯然不是我們希望看到的。 雙擊“Internet Control PanelPrevent ignoring certificate errors（Internet控制面板禁止證書錯誤）”策略，如果將其啟用，那么再遇到證書有問題的站點，就不會出現“Continue to this website”的選項，徹底禁止了對這種站點的訪問，提高了安全性。總結 Windows Vista中新增的策略已經超過了千條，限于篇幅這里不可能一一介紹。如果你已經用上了Windows Vista，那就快打開組策略編輯器看看吧，也許你一直希望Windows能夠實現的某些設置現在已經出現在組策略中了。通過配置組策略，我們的電腦就可以與眾不同。