公司里的开发部门有很多同事使用VMWare作为测试用的虚拟机,然而,这些同事并不是非常熟悉这个软件。VMWare做得确实出色,但是,我不喜欢它的虚拟网络,因为它的DHCP Service经常会导致公司的网络瘫痪。有没有办法限制这个服务的启动。我首先想到了使用域策略的管理模板——*.adm 我修改过Office的管理模板,但是从没有自己写过。不过照葫芦画瓢,我还是会的。于是自己就照着已经有的模板编了一个: CLASS MACHINE CATEGORY !!ADMDescKEYNAME 'SYSTEM\CurrentControlSet\Services\VMnetDHCP'POLICY !!VMWare_DHCP_ServiceKEYNAME 'SYSTEM\CurrentControlSet\Services\VMnetDHCP'PART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME 'START'MIN 3 MAX 4 DEFAULT 4END PART END POLICY End CATEGORY [strings]ADMDesc='管理VMWare'DHCPSERVICE='管理dhcp服务'VMWare_DHCP_Service='VMWare DHCP Sercie 启动'STARTUPTYPE='启动类型' 为了安全起见,我想应该在自己的机器上试一试。输入gpedit.msc导入管理模板。我看到了新增的节点,怎么会没有我要修改的项目呢?难道我哪个地方写错了??我仔细查了相关资料,也比较了微软讲师给出的例子,自认没有什么问题开始找资料,goole上搜,没有找到有用的,在microsoft网站上搜,没找到。我估计英文站点应该有。看来需要仔细研究一下模板的架构了。于是,我从微软的网站上下载了“Using Administrative Template Files with Registry-Based Group Policy”(文件名是《regpolicy.doc》)以及“Windows Server 2003 Group Policy Infrastructure”(文件名是:《gpinfra.doc》)在文章中我找到一句话:“By default, only true policy settings are displayed in the Group Policy Object Editor. ”什么是“ true policy settings”的呢?从前面的文字了解到,只有修改以下注册表项的管理模板项才是“ true policy settings”: HKLM\Software\Policies (preferred location). HKLM\Software\Microsoft\Windows\CurrentVersion\Policies. HKCU\Software\Policies (preferred location). HKCU\Software\Microsoft\Windows\CurrentVersion\Policies 那我这些不是“true policy settings”怎么才能在策略编辑器中看见呢?文章中没讲,至少我没看见(老大,太长了),不行,还是得去微软的站点上搜,这次我搜一下“true policy settings”。果然,微软的域策略疑难解答中就有人问道这个问题,原来默认情况下微软的策略编辑器是带过滤的,只要到筛选中把过滤条件取消掉就可以了。 测试了一下 ,OK没有问题。但是,使用的人可以修改服务的状态。就是说,我把这个服务的启动状态设置成禁用,可是本地管理员可以手工的改成启用。有没有办法将限制这个权限呢? 我想到了策略中的注册表项。如果我限制管理员访问这个注册表项,那不就行了吗?于是我通过策略中的注册表项更改了注册表项的管理权限。测试,通过。 但是……