Windows Vista五月专题系列三:父母控制的真相大揭晓
在Windows Vista中,父母控制(Parental Controls)是一个非常吸引人的功能,父母(管理员)可以灵活地控制孩子(普通用户)使用计算机的权限,例如可以控制孩子只允许运行特定的应用程序、只能玩某些特定的游戏、只能浏览指定等级的网页、只能在特定时间段里登录系统等……具体的方法可以参考MVP刘晖的《Windows Vista父母控制功能介绍》。
但是,父母控制的内在机理是什么?它是Windows Vista全新引入的一种管理机制,还是多种原有管理手段的集大成者?
本着“绝知此事要躬行”的“ITECN”精神,我们对父母控制的功能实质进行剖析,结果惊喜的发现,原来父母控制实际上组合了多种原有管理功能,从本质上来说,父母控制为家庭、或者小型办公网络的管理员提供了一个集成的对普通用户进行限制的平台,整合了包括软件限制策略、用户帐户登录时间控制等原有的管理技术。
任务描述
我们将会用实验来解析父母控制的这种集成原理,由于篇幅问题,我们这里主要测试父母控制的两个功能“Allow and block specific programs”(允许或阻止特定程序)和“Time limits”(登录时间限制),看看这两个功能的实质是什么。
为了方便描述,这里假设孩子帐户(普通用户)是Mark,本实验在最新的Windows Vista Beta 2上实验通过。需要注意的是,由于MVP刘晖朋友的文章里已经对父母控制的操作方法进行了完整的描述,所以本文仅对相关实现办法进行粗略介绍。
一、Allow and block specific programs
首先对“Allow and block specific programs”(允许或阻止特定程序)的功能进行剖析。假设我们在如图1所示的对话框里选择“Mark can only use the programs I allow in this list”选项,然后选择“Windows Defender”列表项,并单击“OK”按钮,这样普通用户Mar只能运行Windows Defender。
眼尖的读者朋友肯定可以发现这个功能有点似曾相似─Windows的软件限制策略,不也可以实现同样的功能吗?
然而,对于我们熟悉的Windows XP,其软件限制策略是基于所有用户的,而不能基于per-user进行限制,那么Windows Vista的父母控制又是如何针对特定的用户Mark进行软件限制的?
原来在Windows Vista里,组策略的功能已经有了很大的扩展,现在我们可以针对特定的用户指定组策略设置,而之前的Windows XP的组策略只能应用到全局。
在Windows Vista下,可以用以下方法打开基于特定用户Mark的组策略编辑器:
运行mmc打开控制台窗口,然后添加“Group Policy Object Editor”管理单元,接下来会打开一个选择组策略对象的向导对话框,在上面单击“Browse”按钮,在随之打开的对话框上切换到“User”标签页选择用户“Mark”,如图2所示。然后依次单击“OK”按钮,即可添加基于特定用户Mark的组策略编辑器。
打开新创建的Mark组策略编辑器,可以发现基于特定用户的组策略编辑器,只能对用户配置(User Configuration)进行配置,进入User Configuration→Windows Settings→Security Settings→Software Restriction Polices→Additional Rules,赫然发现里面新增了两条Windows Defender的策略,如图3所示─很显然,这对应父母控制的设置!
很显然,父母控制的“Allow and block specific programs”功能实际上调用的是基于特定用户的组策略设置,对于本例来说,我们完全可以通过修改Mark的软件限制策略达到同样的目的。
二、Time Limits
Time Limits(登录时间限制)功能也是一个非常吸引人的功能,我们可以用来限制特定用户的登录时间,以防孩子无限制地使用电脑。
在图4所示的例子中,我们限制普通用户Mark仅在周一到周五的9:00AM~6:00PM可以登录到计算机。
接下来我们可以打开命令提示符窗口,运行以下命令:
Net user mark
命令结果如图5所示,可以发现其中的“Logon hours allowed”部分显示的时间段和父母控制的相关设置是完全一致的!
实际上,我们可以采用“net user mark /Times:Time”命令达到同样的控制登录时间的目的,它实际上是修改HKLM\SAM数据库的相关键值。
小结
从以上两个小实验可以简单地看出,父母控制并非完全是一个全新的概念,它同时整合了Windows Vista中已有的安全控制功能,然而父母控制却给最终用户提供了一个方便、直观而且强大的解决方案。完美地诠释了Windows Vista的3C理论─Confident(信心)和Clear(简明)!