除了限制对硬件的安装,通过组策略还可以限制对已安装的可移动存储设备的访问。还是在组策略编辑器中,通过左侧的树形图定位到“Computer Configuration-Administrative Templates-System-Removable Storage Access(计算机配置-管理模板-系统-可移动存储设备访问)”,在右侧可以看到15条策略(如图6)。
策略虽然很多,不过理解起来却很简单。总结来说,这些策略可以分别对下列设备限制读取或者写入的访问:
● CD and DVD:CD或DVD光驱,包含只读光驱和刻录机;
● Custom classes:自定义的设备,虽然可以自定义,但仅限可移动存储设备;
● Floppy Drivers:软驱;
● Removable Disks:移动硬盘;
● Tape Drivers:磁带驱动器;
● WPD Devices:Windows portable devices设备,泛指运行了Windows操作系统的所有便携设备。
对于限定的设备,例如光驱或者移动硬盘,我们只要启用相应的策略就可以限制对该设备的读取或者写入;对于需要指定设备的策略,例如自定义设备,则需要按照上文的方法添加设备类GUID。这里的设置需要重启动系统后才可以生效。
使用QoS限制软件对带宽的占用
Windows XP中就包含了对QoS(Quality of Service,网络服务质量)的支持,不过该功能在Windows Vista之前的操作系统中并没有太多应用,以至于很多人以为在Windows XP中禁用QoS可以提高网速。现在已经没人相信这种无根据的观点了,不过在Vista中,我们已经可以通过QoS对应用程序的出站连接进行限制(注意:仅限出站连接)。
通过组策略实现的目标
通过组策略配置QoS,我们可以实现下列目标:
● 对不同类型的应用程序设定不同的优先级,这样对网络带宽需求比较大的应用程序(例如进行网络音频或者视频交流的Windows Live Messenger或其他VoIP软件)就可以获得较高优先级,而对网络带宽占用需求不那么高的应用程序(例如浏览网页用的Internet Explorer)则获得较低的优先级。系统和路由器或者其他网络设备将会根据优先级的不同区别对待来自不同应用程序的数据包。
● 对不同类型的应用程序设定不同的网络带宽限制,这样对传输数据所需时间不敏感的应用程序(例如P2P下载软件)就可以使用有限的网络带宽,而把绝大部分网络带宽留给急需通过网络上传数据的应用程序。需要注意的一点是,通过QoS进行的设置并非固定不变的。例如,如果设置了程序A具有较低的QoS优先级,但是当前并没有其他优先级更高的程序访问网络,那么A程序就会使用全部的网络带宽;如果优先级高于A的程序B需要使用网络,那么程序A就会自动为程序B让路。
另外,QoS的实现是需要多种设备配合的,不仅操作系统,其他网络设备也必须支持QoS才可以。例如,给不同程序设置了不同的网络优先级,那么该程序发出的数据包中就会包含DSCP(Differentiated Services Code Point,差分服务代码点)信息,用于标示该数据包的优先级。那么只有路由器或其他网络设备支持QoS,才能理解DSCP信息的含义,并做出相应的处理。
实现思路
QoS可以根据下列条件进行设置:
● 需要通过网络发送信息的应用程序
● Ipv4或Ipv6协议的来源或目标
● 协议类型:TCP或UDP
● 来源或目标端口
也就是说,我们可以针对某个具体的应用程序进行限制,或者对发往某个特定地址或端口的网络连接进行限制。
在优先级限制方面,QoS使用了给网络数据包中添加DSCP信息的方式标示不同数据包的优先级。根据规定,DSCP有从0到63,一共64个不同的优先级等级,数字越大相应的优先级就越高。默认情况下,所有程序都会使用33这个优先级。
标签:
