在這一系列文章的第一部分,我解釋過windows Vista和Windows Server 2008
比windows server 2003和Windows xp多提供了數百個組策略設置.在這篇文章,
我想繼續討論談起組策略設置是用來控制用戶賬戶和硬件設備.
  我將要討論的組策略設置，都是位于計算機配置/Window設置/安全設置/本地
策略/安全選項.正如你看到的圖1,安全選項,有太多的組策略設置我來討論.因
此,我將只討論到最有用的或最有趣的策略的設置.

管理員帳戶狀態
  在以往windows操作系統中的一個主要的安全弱點,工作站一直存在著一個本地
管理員帳戶上.而windows vista確實也存在本地管理員帳戶,帳戶:管理員帳戶
狀態設置,可用于禁用管理員用戶.默認情況下,管理員帳戶被激活,但禁用它也
十分簡單.在你禁用它之前，關于禁用的后果你要有所了解.如果你禁用管理員
帳號,你將不能再次啟用他除非本地管理員帳戶的密碼符合最小密碼長度和復雜
性要求.除非你再有一個管理員賬戶來重新設置它的密碼.
如果你發現自己被一臺機器鎖定,并沒有其他管理員帳戶可以重置密碼,那也沒
關系.安全模式下本地管理員帳戶是總是啟用的.因此，你可以啟動機器到安全
模式，用本地管理員登陸，然后重新設置密碼.這時你應該可以重新啟用本地管
理員賬戶.
限制使用空密碼
  一般來說，在你們的任何組織都不能有一個空密碼.限制空密碼只能控制臺登陸
的策略設置來防止空密碼帶來的危險.這是這個策略的默認設置.它讓沒有密碼
的用戶只能本地登陸,而不能通過遠程桌面等來登陸.
重命名Adminsitrator
  十多年來,微軟公司一直在告訴我們重命名Adminsitrator是出于安全原因.問題
是這樣,每一個工作站都有自己的管理員帳戶,必須手工改名.vista和2008服務
器,提供了一個組策略設置,可以用來自動重命名dminsitrator帳戶.組策略:重
命名Adminsitrator利用這一政策的制定,所有你需要做的就是進入了一個新的
名稱為管理員帳戶,以及改變將會通過組策略應用到所有的機器.
審計備份和恢復
  其中比較有趣的組策略設置是審計:審計使用數據備份和恢復的權限設置.
如果你選擇使它(策略的設定默認) ,然后對備份和恢復操作進行審核.
之所以我說這是一個比較有趣的策略設置,是因為它既有其優點和缺點.這項策
略是好的,因為它允許您核實負責人備份系統真的是根據公司策略來執行備份.
它還允許你查看到到任何恢復操作.缺點是,這個策略的制定使得每次備份都會
產生大量日志是,為這意味著你的備份數據可能充斥大量的審計備份和還原的審
計日志. 當然,寫這樣一個日志條目使用少量的磁盤和cpu資源.如果你是寫入成
千上萬的日志,那樣會可能嚴重影響性能.
可移動設備
  許多公司根本不允許使用可移動設備.比如外接光驅.這樣可以讓用戶攜帶未經
許可的數據帶出公司或復制敏感數據和刪除數據,從公司來說.對可移動設備往
往望而卻步.基于此微軟添加關于可移動設備的組策略:允許格式化和彈出可移
動設備策略.正如其名稱所示,這項政策的制定,可用于防止用戶從格式化或彈出
可移動設備.
打印機驅動
  windows的設計方式,如果用戶要打印到網絡打印機,他們通常并不需要一個打印
機驅動程序,也不需要下載驅動程序,在網絡上.當用戶使用UNC連接到打印機,是
共享的一個打印機,打印機主機檢查用戶的工作站上,看它是否有一個合適的驅
動程序.如果驅動不存在,則該打印機的主機發送一份打印機驅動機器到客戶機
上去.
   在大多數情況下,這恐怕是一個可取的行為,因為它允許用戶每次需要打印到不
同的打印機,無需找技術人員,就能自己搞好.在較高的安全環境,雖然,它可能被
視為高風險,讓用戶打印到尚未指定給他們的打印機.防止用戶打印到未授權給
他們打印的打印機的方法之一是防止用戶安裝打印驅動.
你可以通過阻止用戶安裝打印機驅動程序的策略制定來阻止用戶安裝打印機驅
動.工作站默認設置是允許安裝的,服務器是禁止安裝的.
  如果你有準備在公司推行這個策略,有幾件事你必須記住.第一,這項政策的制定
并不阻止用戶添加本地打印機,它只有阻止用戶安裝網絡打印機的驅動.另一件
事要切記的是,這一政策不會阻止用戶打印到用戶本機已經有驅動的一臺網絡打
印機.最后,此設置并沒有對管理員不起作用.