组策略是个用来对Windows操作系统进行自定义、控制以及保护强大工具替换了Windows NT中系统策略特性在Windows 2000中作为IntelliMirror技术部分引入并且在随后基于NT每个版本操作系统中它应用范围和功能也有所拓展　　组策略能够在本地计算机层或是组织单元、域或者活动目录环境下站点中应用组策略能够被Windows XP Professional所支持但XP Home版本则无法支持它同样地组策略也被Vista Business、Enterprise和Ultimate版本所支持而Home Basic和Home Premium版本则无法支持

　　Vista中组策略添加了几百项新设置让管理员能够更好地控制用户和计算机其中些是用于增加功能而另些则是对Windows XP中组策略进行了提高在这篇文章中我们将讨论组策略中些你可以用到有趣新特性你可以从微软网站WebSite上下载到包含了为计算机和用户配置而设组策略设置表格而这是包含在随着Vista同发布管理员模版文件中要注意是在Vista中管理员模版文件是新基于XML文件格式(.ADMX)

　　控制可移动媒介

　　可移动设备包括USB驱动、闪存记忆卡阅读器以及外置USB硬盘还有CD和DVD写入器甚至是传统软盘它们都能够非常方便地在两台计算机的间进行数据传送不幸是它们也都伴随着个较大安全问题:用户能够很轻易地将原本不能离开公司网络数据下载到可移动设备中并随身携带或者是他们也能够从设备中将数据上传到公司计算机内可能在不知情情况下就带入了病毒或者是恶意软件Software

　　在过去些公司可能会通过填充些物质手段来物理摧毁USB接口没有那么极端就将计算机内部USB接口连接去掉并拆除光驱以去除光盘烧制功能你也可以购买第 3方软件Software来让你启用或禁用对USB设备、CD/DVD刻录机等访问或者你也可以创建个自定义.ADM文件来阻止人们在XP中使用这些设备

　　Vista则让这些更为简易以下就是让你用组策略控制可移动媒介对本地Vista计算机访问操作步骤:

　　1、点击“开始”在搜索框中输入“gpedit.msc”后按下回车键

　　2、在“组策略对象编辑器”左边窗格中在“计算机配置”下展开“管理模版”并点击“系统”

　　3、在右边窗格中用鼠标滚动并点击“可移动存储访问”如图1所示

　　

　　图7 你可以通过和管理员提示相关操作来增强或减弱安全性

　　标准用户提升提示行为:在默认情况下以标准用户帐户登录都会被提示输入管理员凭据来提升权限如果你启用了此项策略你就可以通过当标准用户试图进行项需要提升权限操作时反馈条拒绝访问信息来增强安全性

　　检测应用安装并提示提升:如果你启用了此项策略要求提升权限应用安装包则会通过启发式算法进行检测并会在打开时出现需要提升权限提示

　　只提升签名并验证可执行文件:这项策略能够让你通过实施PKI签名来检测那些需要提升权限互动式应用来增强安全性在默认情况下PKI证书链验证是没有实施

　　仅提升安装在安全位置UIAccess应用:如果你启用了此项策略UIAccess应用则不能够打开除非它们是存储在安全位置下安全为止包括Program Files目录以及Windows32 -_Program Files (x86)目录这项策略在默认情况下是启用但你如果想要存储在其它位置UIAccess应用能够运行话你可以将它禁用

　　以标准用户运行所有包括管理员在内用户:这项策略在默认情况下是启用并且它是VistaUAC保护心脏部分如果你禁用了此项策略所有UAC策略就会被禁用安全性也会大大削弱你需要通过重新启动才能够让这些策略设置生效

　　提示提升时切换到安全桌面:这项策略在默认情况下是启用；当要求权限时桌面就会被锁定并且没有应用能够解开此锁定你可以仅用此项策略来去掉对提升时要求让其显示在正常桌面上但这样以来就会降低安全性

　　此外还有些其它选项……

　　我们在此仅仅是起看了Vista中数百项新组策略设置中小部分还有些新设置用来控制Vista高级安全防火墙根据位置配置打印机自定义DVD光盘作者管理网络访问保护配置新终端服务/远程桌面安全功能等等此外新组策略还能够为Internet Explorer 7服务