【2 windows 2000 server和Vista组策略的新特性】在这一系列文章的第一部分,我解释过windows vista和windows server 2008
比windows server 2003和windows xp多提供了数百个组策略设置.在这篇文章,
我想继续讨论谈起组策略设置是用来控制用户账户和硬件设备.
我将要讨论的组策略设置 , 都是位于计算机配置/Window设置/安全设置/本地
策略/安全选项.正如你看到的图1,安全选项,有太多的组策略设置我来讨论.因
此,我将只讨论到最有用的或最有趣的策略的设置.
管理员帐户状态
在以往windows操作系统中的一个主要的安全弱点,工作站一直存在着一个本地
管理员帐户上.而windows vista确实也存在本地管理员帐户,帐户:管理员帐户
状态设置,可用于禁用管理员用户.默认情况下,管理员帐户被激活,但禁用它也
十分简单.在你禁用它之前 , 关于禁用的后果你要有所了解.如果你禁用管理员
帐号,你将不能再次启用他除非本地管理员帐户的密码符合最小密码长度和复杂
性要求.除非你再有一个管理员账户来重新设置它的密码.
如果你发现自己被一台机器锁定,并没有其他管理员帐户可以重置密码,那也没
关系.安全模式下本地管理员帐户是总是启用的.因此 , 你可以启动机器到安全
模式 , 用本地管理员登陆 , 然后重新设置密码.这时你应该可以重新启用本地管
理员账户.
限制使用空密码
一般来说 , 在你们的任何组织都不能有一个空密码.限制空密码只能控制台登陆
的策略设置来防止空密码带来的危险.这是这个策略的默认设置.它让没有密码
的用户只能本地登陆,而不能通过远程桌面等来登陆.
重命名Adminsitrator
十多年来,微软公司一直在告诉我们重命名Adminsitrator是出于安全原因.问题
是这样,每一个工作站都有自己的管理员帐户,必须手工改名.vista和2008服务
器,提供了一个组策略设置,可以用来自动重命名dminsitrator帐户.组策略:重
命名Adminsitrator利用这一政策的制定,所有你需要做的就是进入了一个新的
名称为管理员帐户,以及改变将会通过组策略应用到所有的机器.
审计备份和恢复
其中比较有趣的组策略设置是审计:审计使用数据备份和恢复的权限设置.
如果你选择使它(策略的设定默认) ,然后对备份和恢复操作进行审核.
之所以我说这是一个比较有趣的策略设置,是因为它既有其优点和缺点.这项策
略是好的,因为它允许您核实负责人备份系统真的是根据公司策略来执行备份.
它还允许你查看到到任何恢复操作.缺点是,这个策略的制定使得每次备份都会
产生大量日志是,为这意味着你的备份数据可能充斥大量的审计备份和还原的审
计日志. 当然,写这样一个日志条目使用少量的磁盘和cpu资源.如果你是写入成
千上万的日志,那样会可能严重影响性能.
可移动设备
许多公司根本不允许使用可移动设备.比如外接光驱.这样可以让用户携带未经
许可的数据带出公司或复制敏感数据和删除数据,从公司来说.对可移动设备往
往望而却步.基于此微软添加关于可移动设备的组策略:允许格式化和弹出可移
动设备策略.正如其名称所示,这项政策的制定,可用于防止用户从格式化或弹出
可移动设备.
打印机驱动
windows的设计方式,如果用户要打印到网络打印机,他们通常并不需要一个打印
机驱动程序,也不需要下载驱动程序,在网络上.当用户使用UNC连接到打印机,是
共享的一个打印机,打印机主机检查用户的工作站上,看它是否有一个合适的驱
动程序.如果驱动不存在,则该打印机的主机发送一份打印机驱动机器到客户机
推荐阅读
- 如何开启 Windows 2000 Server 上的远程桌面功能
- 如何解决Windows 2000不能软关机
- 体验Win 2000运行如飞的感觉
- Windows 2000 常用系统进程列表
- Windows 2000的一些Privilege
- Win2000/XP与Win98互访
- Windows 2000安装光盘的妙用
- Win 2000/XP上网重启解决办法
- Win 2000常用系统进程列表
- 清除Win 2000的默认共享