通过自定义的域策略管理模板修改vmwaredhcp服务启动

 

公司里的开发部门有很多同事使用VMWare作为测试用的虚拟机，然而，这些同事并不是非常熟悉这个软件。VMWare做得确实出色，但是，我不喜欢它的虚拟网络，因为它的DHCP Service经常会导致公司的网络瘫痪。有没有办法限制这个服务的启动。我首先想到了使用域策略的管理模板——*.adm

   我修改过Office的管理模板，但是从没有自己写过。不过照葫芦画瓢，我还是会的。于是自己就照着已经有的模板编了一个：

  

CLASS MACHINE

 

CATEGORY !!ADMDesc

KEYNAME "SYSTEM\CurrentControlSet\Services\VMnetDHCP"

POLICY !!VMWare_DHCP_Service

KEYNAME "SYSTEM\CurrentControlSet\Services\VMnetDHCP"

PART !!STARTUPTYPE NUMERIC REQUIRED

valueNAME "START"

MIN 3 MAX 4 DEFAULT 4

END PART

END POLICY

 

End CATEGORY

 

[strings]

ADMDesc="管理VMWare"

DHCPSERVICE="管理dhcp服务"

VMWare_DHCP_Service="VMWare DHCP Sercie 启动"

STARTUPTYPE="启动类型"

 

为了安全起见，我想应该在自己的机器上试一试。

输入gpedit.msc

导入管理模板。

我看到了新增的节点，怎么会没有我要修改的项目呢？难道我哪个地方写错了？？

我仔细查了相关资料，也比较了微软讲师给出的例子，自认没有什么问题

开始找资料，goole上搜，没有找到有用的，在microsoft网站上搜，没找到。我估计英文站点应该有。看来需要仔细研究一下模板的架构了。于是，我从微软的网站上下载了“

Using Administrative Template Files with Registry-Based Group Policy

”（文件名是《regpolicy.doc》）

以及“Windows Server 2003 Group Policy Infrastructure”（文件名是：《gpinfra.doc》）

在文章中我找到一句话：“By default, only true policy settings are displayed in the Group Policy Object Editor. ”什么是“ true policy settings”的呢？从前面的文字了解到，只有修改以下注册表项的管理模板项才是“ true policy settings”：

        HKLM\Software\Policies (preferred location).

• HKLM\Software\Microsoft\Windows\CurrentVersion\Policies.
• HKCU\Software\Policies (preferred location).
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

 

那我这些不是“true policy settings”怎么才能在策略编辑器中看见呢？文章中没讲，至少我没看见（老大，太长了），不行，还是得去微软的站点上搜，这次我搜一下“true policy settings”。果然，微软的域策略疑难解答中就有人问道这个问题，原来默认情况下微软的策略编辑器是带过滤的，只要到筛选中把过滤条件取消掉就可以了。

   测试了一下 ，OK没有问题。但是，使用的人可以修改服务的状态。就是说，我把这个服务的启动状态设置成禁用，可是本地管理员可以手工的改成启用。有没有办法将限制这个权限呢？

   我想到了策略中的注册表项。如果我限制管理员访问这个注册表项，那不就行了吗？于是我通过策略中的注册表项更改了注册表项的管理权限。测试，通过。

 

   但是……