作為微軟最新的服務(wù)器平臺，Windows Server 2008確實(shí)強(qiáng)大。基于Server 2008D的AD功能更強(qiáng)勁，管理更加細(xì)化，特別是在組策略方面有了不少改進(jìn)。比如，筆者將要和大家分享的這兩例應(yīng)用，在實(shí)踐中就能幫你解決很多難題。

　　使用過Vista的用戶應(yīng)該知道，通過組策略可以在本地主機(jī)實(shí)現(xiàn)對移動磁盤(USB存儲設(shè)備\光驅(qū)\移動硬盤)的權(quán)限管理。如果要統(tǒng)一實(shí)現(xiàn)對所有客戶端(Vista或非Vista)的移動設(shè)備的權(quán)限管理，該怎么辦呢?在Windows Server 2008的域環(huán)境下，這一切輕松實(shí)現(xiàn)。

　　首先將Server 2008配置成AC(域控制器)，并將所有的客戶端加入該域，然后只需在Server 2008上進(jìn)行如下部署即可。依次執(zhí)行“開始→管理工具→組策略管理”打開組策略管理器;找到需要部署該策略的域(本例為fr.zhongtian.com)，展開后定位到Default Domain Policy(默認(rèn)策略);右鍵點(diǎn)擊該策略選擇“編輯”打開“組策略管理編輯器”，依次展開“計算機(jī)配置→管理模板→系統(tǒng)→可移動存儲訪問”;在右側(cè)找到“可移動磁盤：拒絕讀取權(quán)限”和“可移動磁盤：拒絕寫入權(quán)限”兩項(xiàng)，雙擊啟用策略。最后打開命令行工具(cmd)，輸入命令“gpupdate /force”更新組策略，使剛才的策略生效，這樣默認(rèn)情況下只有域管理員有權(quán)限讀寫移動磁盤。(圖1)

　　圖1 更改默認(rèn)域策略

　　為了驗(yàn)證效果我讓某客戶端登錄fr域，然后插入移動設(shè)備(比如U盤)，進(jìn)行文件的讀寫操作。如圖所示，彈出拒絕窗口該操作被拒絕提示只有管理員才有權(quán)限執(zhí)行操作。點(diǎn)擊“跳過”按鈕，輸入有權(quán)限的用戶才可實(shí)現(xiàn)操作。(圖2)

　　圖2 拒絕訪問