要訪問必須的組策略設置，你必須打開“組策略對象編輯器”( Group Policy Object Editor)。因此，請單擊“開始”/“所有程序”/“附件”( 英文操作系統是Start / All Programs/ AccessorIEs，筆者用得是英文系統)。下一步，輸入MMC命令。這會使Windows打開一個空的微軟管理控制臺(Microsoft Management Console)。在控制臺打開后，從“文件(File)”菜單中選擇“添加/刪除管理單元”( Add / Remove Snap-In)。從管理單元列表中選擇組策略對象(Group Policy Object)選項，然后單擊“添加(Add)”按鈕。默認情況下，這個管理單元會連接到本地計算機策略(Local Computer policy)，因此直接單擊“確定(ok)”,然后單擊“完成(Finish)”即可。

本地計算機策略會被裝載到控制臺中。現在，導航到“計算機配置”　“管理模板”　“系統”　“設備安裝”　“設備安裝限制”(英文系統是找到 Computer Configuration Administrative Templates System Device Installation Device Installation Restrictions)。在如此操作時，細節窗格會顯示幾個與安裝硬件設備相關的幾個限制，如下圖所示：

有許多與限制設備安裝相關的設置。這些設置并非必然地、特定地與可移動設備相關聯，而是從總體上與硬件設備相關聯。這里的基本思想也就是，如果你限制了用戶安裝設備，也就阻止了任何你沒有專門啟用的設備。

關于可移動設備問題，你可以對兩項策略設置給予特別注意：第一項設置是“允許管理員覆蓋設備安裝限制”( Allow Administrators to Override Device Installation Restrictions)，如果你實施了任何的設備限制的設置，那么你有必要啟用這項設置。否則，即使管理員也不能在工作站上安裝任何的新硬件。

第二項重要的設置是“防止安裝可移動設備”( Prevent Installation of Removable Devices)。如果你啟用了這項設置，那么用戶就不能安裝可移動設備。如果一個用戶已經在系統中使用了一個可移動設備，就會存在一個此可移動設備的驅動程序，因此用戶就會繼續使用它。不過，該用戶將絕不可能更新設備的驅動程序。

其實，我們通過Windows Vista可以設置的安全措施還有很多，這有待你去進一步去探索、發現。

(責任編輯：云子)