组策略是注册表的小分支,但是人性化的图形界面操作比注册表更容易受到青睐。尤其是在活动目录域中,组策略更是管理员管理活动目录域的强劲帮手。尽管如此,组策略还是有一些不尽人意的地方,很多选项都是不符合自己需求的。
例如,每次插上移动硬盘,系统的自动播放功能就会噼里啪啦的狂扫里面的文件,这个功能不仅没有必要,反而容易中一些autorun的病毒,是个严重的安全隐患。在组策略中可以关闭自动播放,但是仅有的2个选项却让我有些失望。要么关闭光驱的自动播放功能,要么关闭所有的驱动器,可是我只想保留光驱自动播放(有时候听听音乐,看看电影还是挺方便的),关闭其他的驱动器呢?
最后不得已,只能修改默认的模板文件%systemroot%\inf\system.adm。下面是我修改后的结果。
Yes!这才是我所要的!
那么是如何实现的呢?
准备工作:安装一个文本编辑工具,这里推荐使用notepad++这个软件。
一、DIY “关闭自动播放功能”
1.首先备份%systemroot%\inf\system.adm这个文件,养成一个好习惯,做任何修改前先备份数据。
2.右击system.adm选择用notepad++打开,打开后会看到长达13517行的代码,先不要感到担心,代码并不复杂,耐心往下看。
3.找到219-233行,代码如下:
219:定义策略名字为autorun,在233行以end policy结束,有点类似if...end if。
220-222:定义适用本策略的组策略版本。
224:定义这个策略实际上所修改的注册表键值位置,记得我说过组策略是注册表的一部分吗?
225:定义这个策略的帮助信息
226-228,231:定义一个下拉菜单列表
229-230:这就是我们需要修改的地方了,添加一行,内容如下
4.在8617行也添加一行,这里有个小诀窍,可以搜索某个关键字如“Autorun_NoCD”,搜索整个内容,就知道这个策略所有对应代码的位置了。
5.给自定义的Autorun_CD加个中文注释
这就是在上图中看到的“所有驱动器除了CD/DVD-ROM”选项了。
二、DIY “禁止驱动器功能”
默认组策略模板的禁止驱动器的盘符都不是我想要的,这年头谁还用A,B盘?
我的C盘为XP,D盘为2003,E盘为WIN7,F盘为2008,我就想在用XP的时候禁止访问DEF盘,防止破坏其他系统文件。可惜没这选项,只能再次DIY。
上面的组合我已经很满意了。
需要修改的地方如下,这里就不详述了。
键值numeric如下,组合相加即可。
A=2^0=1,B=2^1=2,C=2^2=4,D=2^3=8,...依次类推。
最后在[string]下面定义新增“NAME”的注释
上面是系统默认的
这是我修改后的
PS:附件为我修改后的模板,不喜欢动手的可以直接下载,替换掉源文件即可。
MD5:9F6A19700ECAC1B42DD8B7D42BE90B55
SHA-1:E1C362D798891C8D0879DE6267948DD248AAAA07
申明:
1.仅修改关闭自动播放、隐藏和限制驱动器三项功能。
2.仅适用于WINDOWS XP SP3中文版
附件下载:
本文出自 “” 博客,请务必保留此出处