在這一系列文章的第一部分,我解釋過windows vista和windows server 2008比windows server 2003和windows xp多提供了數(shù)百個組策略設(shè)置.在這篇文章,我想繼續(xù)討論談起組策略設(shè)置是用來控制用戶賬戶和硬件設(shè)備. 我將要討論的組策略設(shè)置，都是位于計算機(jī)配置/Window設(shè)置/安全設(shè)置/本地策略/安全選項.正如你看到的圖1,安全選項,有太多的組策略設(shè)置我來討論.因此,我將只討論到最有用的或最有趣的策略的設(shè)置.

管理員帳戶狀態(tài) 在以往windows操作系統(tǒng)中的一個主要的安全弱點,工作站一直存在著一個本地管理員帳戶上.而windows vista確實也存在本地管理員帳戶,帳戶:管理員帳戶狀態(tài)設(shè)置,可用于禁用管理員用戶.默認(rèn)情況下,管理員帳戶被激活,但禁用它也十分簡單.在你禁用它之前，關(guān)于禁用的后果你要有所了解.如果你禁用管理員帳號,你將不能再次啟用他除非本地管理員帳戶的密碼符合最小密碼長度和復(fù)雜性要求.除非你再有一個管理員賬戶來重新設(shè)置它的密碼.如果你發(fā)現(xiàn)自己被一臺機(jī)器鎖定,并沒有其他管理員帳戶可以重置密碼,那也沒關(guān)系.安全模式下本地管理員帳戶是總是啟用的.因此，你可以啟動機(jī)器到安全模式，用本地管理員登陸，然后重新設(shè)置密碼.這時你應(yīng)該可以重新啟用本地管理員賬戶.限制使用空密碼 一般來說，在你們的任何組織都不能有一個空密碼.限制空密碼只能控制臺登陸的策略設(shè)置來防止空密碼帶來的危險.這是這個策略的默認(rèn)設(shè)置.它讓沒有密碼的用戶只能本地登陸,而不能通過遠(yuǎn)程桌面等來登陸.重命名Adminsitrator 十多年來,微軟公司一直在告訴我們重命名Adminsitrator是出于安全原因.問題是這樣,每一個工作站都有自己的管理員帳戶,必須手工改名.vista和2008服務(wù)器,提供了一個組策略設(shè)置,可以用來自動重命名dminsitrator帳戶.組策略:重命名Adminsitrator利用這一政策的制定,所有你需要做的就是進(jìn)入了一個新的名稱為管理員帳戶,以及改變將會通過組策略應(yīng)用到所有的機(jī)器.審計備份和恢復(fù) 其中比較有趣的組策略設(shè)置是審計:審計使用數(shù)據(jù)備份和恢復(fù)的權(quán)限設(shè)置.如果你選擇使它(策略的設(shè)定默認(rèn)) ,然后對備份和恢復(fù)操作進(jìn)行審核.之所以我說這是一個比較有趣的策略設(shè)置,是因為它既有其優(yōu)點和缺點.這項策略是好的,因為它允許您核實負(fù)責(zé)人備份系統(tǒng)真的是根據(jù)公司策略來執(zhí)行備份.它還允許你查看到到任何恢復(fù)操作.缺點是,這個策略的制定使得每次備份都會產(chǎn)生大量日志是,為這意味著你的備份數(shù)據(jù)可能充斥大量的審計備份和還原的審計日志. 當(dāng)然,寫這樣一個日志條目使用少量的磁盤和cpu資源.如果你是寫入成千上萬的日志,那樣會可能嚴(yán)重影響性能.可移動設(shè)備 許多公司根本不允許使用可移動設(shè)備.比如外接光驅(qū).這樣可以讓用戶攜帶未經(jīng)許可的數(shù)據(jù)帶出公司或復(fù)制敏感數(shù)據(jù)和刪除數(shù)據(jù),從公司來說.對可移動設(shè)備往往望而卻步.基于此微軟添加關(guān)于可移動設(shè)備的組策略:允許格式化和彈出可移動設(shè)備策略.正如其名稱所示,這項政策的制定,可用于防止用戶從格式化或彈出可移動設(shè)備.打印機(jī)驅(qū)動 windows的設(shè)計方式,如果用戶要打印到網(wǎng)絡(luò)打印機(jī),他們通常并不需要一個打印機(jī)驅(qū)動程序,也不需要下載驅(qū)動程序,在網(wǎng)絡(luò)上.當(dāng)用戶使用UNC連接到打印機(jī),是共享的一個打印機(jī),打印機(jī)主機(jī)檢查用戶的工作站上,看它是否有一個合適的驅(qū)動程序.如果驅(qū)動不存在,則該打印機(jī)的主機(jī)發(fā)送一份打印機(jī)驅(qū)動機(jī)器到客戶機(jī)上去. 在大多數(shù)情況下,這恐怕是一個可取的行為,因為它允許用戶每次需要打印到不同的打印機(jī),無需找技術(shù)人員,就能自己搞好.在較高的安全環(huán)境,雖然,它可能被視為高風(fēng)險,讓用戶打印到尚未指定給他們的打印機(jī).防止用戶打印到未授權(quán)給他們打印的打印機(jī)的方法之一是防止用戶安裝打印驅(qū)動.你可以通過阻止用戶安裝打印機(jī)驅(qū)動程序的策略制定來阻止用戶安裝打印機(jī)驅(qū)動.工作站默認(rèn)設(shè)置是允許安裝的,服務(wù)器是禁止安裝的. 如果你有準(zhǔn)備在公司推行這個策略,有幾件事你必須記住.第一,這項政策的制定并不阻止用戶添加本地打印機(jī),它只有阻止用戶安裝網(wǎng)絡(luò)打印機(jī)的驅(qū)動.另一件事要切記的是,這一政策不會阻止用戶打印到用戶本機(jī)已經(jīng)有驅(qū)動的一臺網(wǎng)絡(luò)打印機(jī).最后,此設(shè)置并沒有對管理員不起作用.