在這一系列文章的第一部分,我解釋過windows Vista和Windows Server 2008
比windows server 2003和Windows xp多提供了數(shù)百個(gè)組策略設(shè)置.在這篇文章,
我想繼續(xù)討論談起組策略設(shè)置是用來控制用戶賬戶和硬件設(shè)備.
  我將要討論的組策略設(shè)置，都是位于計(jì)算機(jī)配置/Window設(shè)置/安全設(shè)置/本地
策略/安全選項(xiàng).正如你看到的圖1,安全選項(xiàng),有太多的組策略設(shè)置我來討論.因
此,我將只討論到最有用的或最有趣的策略的設(shè)置.

管理員帳戶狀態(tài)
  在以往windows操作系統(tǒng)中的一個(gè)主要的安全弱點(diǎn),工作站一直存在著一個(gè)本地
管理員帳戶上.而windows vista確實(shí)也存在本地管理員帳戶,帳戶:管理員帳戶
狀態(tài)設(shè)置,可用于禁用管理員用戶.默認(rèn)情況下,管理員帳戶被激活,但禁用它也
十分簡單.在你禁用它之前，關(guān)于禁用的后果你要有所了解.如果你禁用管理員
帳號(hào),你將不能再次啟用他除非本地管理員帳戶的密碼符合最小密碼長度和復(fù)雜
性要求.除非你再有一個(gè)管理員賬戶來重新設(shè)置它的密碼.
如果你發(fā)現(xiàn)自己被一臺(tái)機(jī)器鎖定,并沒有其他管理員帳戶可以重置密碼,那也沒
關(guān)系.安全模式下本地管理員帳戶是總是啟用的.因此，你可以啟動(dòng)機(jī)器到安全
模式，用本地管理員登陸，然后重新設(shè)置密碼.這時(shí)你應(yīng)該可以重新啟用本地管
理員賬戶.
限制使用空密碼
  一般來說，在你們的任何組織都不能有一個(gè)空密碼.限制空密碼只能控制臺(tái)登陸
的策略設(shè)置來防止空密碼帶來的危險(xiǎn).這是這個(gè)策略的默認(rèn)設(shè)置.它讓沒有密碼
的用戶只能本地登陸,而不能通過遠(yuǎn)程桌面等來登陸.
重命名Adminsitrator
  十多年來,微軟公司一直在告訴我們重命名Adminsitrator是出于安全原因.問題
是這樣,每一個(gè)工作站都有自己的管理員帳戶,必須手工改名.vista和2008服務(wù)
器,提供了一個(gè)組策略設(shè)置,可以用來自動(dòng)重命名dminsitrator帳戶.組策略:重
命名Adminsitrator利用這一政策的制定,所有你需要做的就是進(jìn)入了一個(gè)新的
名稱為管理員帳戶,以及改變將會(huì)通過組策略應(yīng)用到所有的機(jī)器.
審計(jì)備份和恢復(fù)
  其中比較有趣的組策略設(shè)置是審計(jì):審計(jì)使用數(shù)據(jù)備份和恢復(fù)的權(quán)限設(shè)置.
如果你選擇使它(策略的設(shè)定默認(rèn)) ,然后對(duì)備份和恢復(fù)操作進(jìn)行審核.
之所以我說這是一個(gè)比較有趣的策略設(shè)置,是因?yàn)樗扔衅鋬?yōu)點(diǎn)和缺點(diǎn).這項(xiàng)策
略是好的,因?yàn)樗试S您核實(shí)負(fù)責(zé)人備份系統(tǒng)真的是根據(jù)公司策略來執(zhí)行備份.
它還允許你查看到到任何恢復(fù)操作.缺點(diǎn)是,這個(gè)策略的制定使得每次備份都會(huì)
產(chǎn)生大量日志是,為這意味著你的備份數(shù)據(jù)可能充斥大量的審計(jì)備份和還原的審
計(jì)日志. 當(dāng)然,寫這樣一個(gè)日志條目使用少量的磁盤和cpu資源.如果你是寫入成
千上萬的日志,那樣會(huì)可能嚴(yán)重影響性能.
可移動(dòng)設(shè)備
  許多公司根本不允許使用可移動(dòng)設(shè)備.比如外接光驅(qū).這樣可以讓用戶攜帶未經(jīng)
許可的數(shù)據(jù)帶出公司或復(fù)制敏感數(shù)據(jù)和刪除數(shù)據(jù),從公司來說.對(duì)可移動(dòng)設(shè)備往
往望而卻步.基于此微軟添加關(guān)于可移動(dòng)設(shè)備的組策略:允許格式化和彈出可移
動(dòng)設(shè)備策略.正如其名稱所示,這項(xiàng)政策的制定,可用于防止用戶從格式化或彈出
可移動(dòng)設(shè)備.
打印機(jī)驅(qū)動(dòng)
  windows的設(shè)計(jì)方式,如果用戶要打印到網(wǎng)絡(luò)打印機(jī),他們通常并不需要一個(gè)打印
機(jī)驅(qū)動(dòng)程序,也不需要下載驅(qū)動(dòng)程序,在網(wǎng)絡(luò)上.當(dāng)用戶使用UNC連接到打印機(jī),是
共享的一個(gè)打印機(jī),打印機(jī)主機(jī)檢查用戶的工作站上,看它是否有一個(gè)合適的驅(qū)
動(dòng)程序.如果驅(qū)動(dòng)不存在,則該打印機(jī)的主機(jī)發(fā)送一份打印機(jī)驅(qū)動(dòng)機(jī)器到客戶機(jī)
上去.
   在大多數(shù)情況下,這恐怕是一個(gè)可取的行為,因?yàn)樗试S用戶每次需要打印到不
同的打印機(jī),無需找技術(shù)人員,就能自己搞好.在較高的安全環(huán)境,雖然,它可能被
視為高風(fēng)險(xiǎn),讓用戶打印到尚未指定給他們的打印機(jī).防止用戶打印到未授權(quán)給
他們打印的打印機(jī)的方法之一是防止用戶安裝打印驅(qū)動(dòng).
你可以通過阻止用戶安裝打印機(jī)驅(qū)動(dòng)程序的策略制定來阻止用戶安裝打印機(jī)驅(qū)
動(dòng).工作站默認(rèn)設(shè)置是允許安裝的,服務(wù)器是禁止安裝的.
  如果你有準(zhǔn)備在公司推行這個(gè)策略,有幾件事你必須記住.第一,這項(xiàng)政策的制定
并不阻止用戶添加本地打印機(jī),它只有阻止用戶安裝網(wǎng)絡(luò)打印機(jī)的驅(qū)動(dòng).另一件
事要切記的是,這一政策不會(huì)阻止用戶打印到用戶本機(jī)已經(jīng)有驅(qū)動(dòng)的一臺(tái)網(wǎng)絡(luò)打
印機(jī).最后,此設(shè)置并沒有對(duì)管理員不起作用.