要訪問(wèn)必須的組策略設(shè)置，你必須打開(kāi)“組策略對(duì)象編輯器”( Group Policy Object Editor)。因此，請(qǐng)單擊“開(kāi)始”/“所有程序”/“附件”( 英文操作系統(tǒng)是Start / All Programs/ AccessorIEs，筆者用得是英文系統(tǒng))。下一步，輸入MMC命令。這會(huì)使Windows打開(kāi)一個(gè)空的微軟管理控制臺(tái)(Microsoft Management Console)。在控制臺(tái)打開(kāi)后，從“文件(File)”菜單中選擇“添加/刪除管理單元”( Add / Remove Snap-In)。從管理單元列表中選擇組策略對(duì)象(Group Policy Object)選項(xiàng)，然后單擊“添加(Add)”按鈕。默認(rèn)情況下，這個(gè)管理單元會(huì)連接到本地計(jì)算機(jī)策略(Local Computer policy)，因此直接單擊“確定(ok)”,然后單擊“完成(Finish)”即可。

本地計(jì)算機(jī)策略會(huì)被裝載到控制臺(tái)中。現(xiàn)在，導(dǎo)航到“計(jì)算機(jī)配置”　“管理模板”　“系統(tǒng)”　“設(shè)備安裝”　“設(shè)備安裝限制”(英文系統(tǒng)是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時(shí)，細(xì)節(jié)窗格會(huì)顯示幾個(gè)與安裝硬件設(shè)備相關(guān)的幾個(gè)限制，如下圖所示：

有許多與限制設(shè)備安裝相關(guān)的設(shè)置。這些設(shè)置并非必然地、特定地與可移動(dòng)設(shè)備相關(guān)聯(lián)，而是從總體上與硬件設(shè)備相關(guān)聯(lián)。這里的基本思想也就是，如果你限制了用戶安裝設(shè)備，也就阻止了任何你沒(méi)有專門啟用的設(shè)備。

關(guān)于可移動(dòng)設(shè)備問(wèn)題，你可以對(duì)兩項(xiàng)策略設(shè)置給予特別注意：第一項(xiàng)設(shè)置是“允許管理員覆蓋設(shè)備安裝限制”( Allow Administrators to Override Device Installation Restrictions)，如果你實(shí)施了任何的設(shè)備限制的設(shè)置，那么你有必要啟用這項(xiàng)設(shè)置。否則，即使管理員也不能在工作站上安裝任何的新硬件。

第二項(xiàng)重要的設(shè)置是“防止安裝可移動(dòng)設(shè)備”( Prevent Installation of Removable Devices)。如果你啟用了這項(xiàng)設(shè)置，那么用戶就不能安裝可移動(dòng)設(shè)備。如果一個(gè)用戶已經(jīng)在系統(tǒng)中使用了一個(gè)可移動(dòng)設(shè)備，就會(huì)存在一個(gè)此可移動(dòng)設(shè)備的驅(qū)動(dòng)程序，因此用戶就會(huì)繼續(xù)使用它。不過(guò)，該用戶將絕不可能更新設(shè)備的驅(qū)動(dòng)程序。

其實(shí)，我們通過(guò)Windows Vista可以設(shè)置的安全措施還有很多，這有待你去進(jìn)一步去探索、發(fā)現(xiàn)。

(責(zé)任編輯：云子)