公司裏的開發部門有很多同事使用VMWare作爲測試用的虛擬機,然而,這些同事並不是非常熟悉這個軟件。VMWare做得確實出色,但是,我不喜歡它的虛擬網絡,因爲它的DHCP Service經常會導致公司的網絡癱瘓。有沒有辦法限制這個服務的啓動。我首先想到了使用域策略的管理模板——*.adm
我修改過Office的管理模板,但是從沒有自己寫過。不過照葫蘆畫瓢,我還是會的。於是自己就照着已經有的模板編了一個:
CLASS MACHINE
CATEGORY !!ADMDesc
KEYNAME "SYSTEM/CurrentControlSet/Services/VMnetDHCP"
POLICY !!VMWare_DHCP_Service
KEYNAME "SYSTEM/CurrentControlSet/Services/VMnetDHCP"
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 4
END PART
END POLICY
End CATEGORY
[strings]
ADMDesc="管理VMWare"
DHCPSERVICE="管理dhcp服務"
VMWare_DHCP_Service="VMWare DHCP Sercie 啓動"
STARTUPTYPE="啓動類型"
爲了安全起見,我想應該在自己的機器上試一試。
輸入gpedit.msc
導入管理模板。
我看到了新增的節點,怎麼會沒有我要修改的項目呢?難道我哪個地方寫錯了??
我仔細查了相關資料,也比較了微軟講師給出的例子,自認沒有什麼問題
開始找資料,goole上搜,沒有找到有用的,在microsoft網站上搜,沒找到。我估計英文站點應該有。看來需要仔細研究一下模板的架構了。於是,我從微軟的網站上下載了“
Using Administrative Template Files with Registry-Based Group Policy
”(文件名是《regpolicy.doc》)
以及“Windows Server 2003 Group Policy Infrastructure”(文件名是:《gpinfra.doc》)
在文章中我找到一句話:“By default, only true policy settings are displayed in the Group Policy Object Editor. ”什麼是“ true policy settings”的呢?從前面的文字瞭解到,只有修改以下注冊表項的管理模板項纔是“ true policy settings”:
HKLM/Software/Policies (preferred location).
- HKLM/Software/Microsoft/Windows/CurrentVersion/Policies.
- HKCU/Software/Policies (preferred location).
- HKCU/Software/Microsoft/Windows/CurrentVersion/Policies
那我這些不是“true policy settings”怎麼才能在策略編輯器中看見呢?文章中沒講,至少我沒看見(老大,太長了),不行,還是得去微軟的站點上搜,這次我搜一下“true policy settings”。果然,微軟的域策略疑難解答中就有人問道這個問題,原來默認情況下微軟的策略編輯器是帶過濾的,只要到篩選中把過濾條件取消掉就可以了。
測試了一下 ,OK沒有問題。但是,使用的人可以修改服務的狀態。就是說,我把這個服務的啓動狀態設置成禁用,可是本地管理員可以手工的改成啓用。有沒有辦法將限制這個權限呢?
我想到了策略中的註冊表項。如果我限制管理員訪問這個註冊表項,那不就行了嗎?於是我通過策略中的註冊表項更改了註冊表項的管理權限。測試,通過。
但是……