公司里的开发部门有很多同事使用VMWare作为测试用的虚拟机,然而,这些同事并不是非常熟悉这个软件。VMWare做得确实出色,但是,我不喜欢它的虚拟网络,因为它的DHCP Service经常会导致公司的网络瘫痪。有没有办法限制这个服务的启动。我首先想到了使用域策略的管理模板——*.adm
我修改过Office的管理模板,但是从没有自己写过。不过照葫芦画瓢,我还是会的。于是自己就照着已经有的模板编了一个:
CLASS MACHINE
CATEGORY !!ADMDesc
KEYNAME "SYSTEM\CurrentControlSet\Services\VMnetDHCP"
POLICY !!VMWare_DHCP_Service
KEYNAME "SYSTEM\CurrentControlSet\Services\VMnetDHCP"
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 4
END PART
END POLICY
End CATEGORY
[strings]
ADMDesc="管理VMWare"
DHCPSERVICE="管理dhcp服务"
VMWare_DHCP_Service="VMWare DHCP Sercie 启动"
STARTUPTYPE="启动类型"
为了安全起见,我想应该在自己的机器上试一试。
输入gpedit.msc
导入管理模板。
我看到了新增的节点,怎么会没有我要修改的项目呢?难道我哪个地方写错了??
我仔细查了相关资料,也比较了微软讲师给出的例子,自认没有什么问题
开始找资料,goole上搜,没有找到有用的,在microsoft网站上搜,没找到。我估计英文站点应该有。看来需要仔细研究一下模板的架构了。于是,我从微软的网站上下载了“
Using Administrative Template Files with Registry-Based Group Policy
”(文件名是《regpolicy.doc》)
以及“Windows Server 2003 Group Policy Infrastructure”(文件名是:《gpinfra.doc》)
在文章中我找到一句话:“By default, only true policy settings are displayed in the Group Policy Object Editor. ”什么是“ true policy settings”的呢?从前面的文字了解到,只有修改以下注册表项的管理模板项才是“ true policy settings”:
HKLM\Software\Policies (preferred location).
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies.
HKCU\Software\Policies (preferred location).
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
那我这些不是“true policy settings”怎么才能在策略编辑器中看见呢?文章中没讲,至少我没看见(老大,太长了),不行,还是得去微软的站点上搜,这次我搜一下“true policy settings”。果然,微软的域策略疑难解答中就有人问道这个问题,原来默认情况下微软的策略编辑器是带过滤的,只要到筛选中把过滤条件取消掉就可以了。
测试了一下 ,OK没有问题。但是,使用的人可以修改服务的状态。就是说,我把这个服务的启动状态设置成禁用,可是本地管理员可以手工的改成启用。有没有办法将限制这个权限呢?
我想到了策略中的注册表项。如果我限制管理员访问这个注册表项,那不就行了吗?于是我通过策略中的注册表项更改了注册表项的管理权限。测试,通过。
但是……