不让外借电脑“面目全非”

黑云

有些时候，同事或朋友由于某种原因，需要临时借用自己的电脑。碍于情面，我们往往不得不借，但在正式借出之前，必须对自己的电脑进行严格限制，因为部分自觉性不高的用户，可能会在其中自由安装卸载程序，随意调整系统设置，最终导致操作环境混乱，系统外观“面目全非”。现在，经过下面一些设置的保护，就能让自己的外借电脑不再“面目全非”了。

限制调整通知区域

现在，绝大多数应用程序都支持最小化到系统通知区域的功能。而在Windows系统中，为了防止通知区域的空间被各种程序图标过度占用，我们可以打开通知区域的右键菜单，执行“自定义通知图标”命令，进入通知区域图标设置窗口，按照个性化要求选择“仅显示通知”、“隐藏图标和通知”、“显示图标和通知”等设置。当自己辛辛苦苦设置好显示在通知区域的程序图标，被外借用户随意修改了，我们还得自己手工调整过来，这显然是非常麻烦的。那么有没有办法限制Windows系统，不让其他用户自定义通知区域的图标显示呢？很简单！对系统组策略进行合适设置，就能轻松如愿以偿。

以Windows 7系统为例，首先依照个性化需求自行定义好需要在通知区域处显示的程序图标，并依次点击“开始”|“运行”命令，切换到系统运行对话框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。

将鼠标定位到“本地计算机策略”|“用户配置”|“管理模板”|“开始菜单和任务栏”节点上，找到目标节点下的“关闭通知区域清理”组策略，并用鼠标双击之，打开对应组策略属性对话框（如图1所示），选中其中的“已启用”选项，确认后保存设置操作。

经过上述设置后，不需要重新启动计算机系统，我们对通知区域的设置就能立即生效。这时，当我们尝试进入通知区域自定义窗口时，会看到其中所有程序图标的相关选项，都已经自动变成了无法调整的灰色调了，这样电脑外借出去后，就不用担心同事或朋友胡乱修改系统通知区域的程序图标了。

限制自由安装软件

不得不承认，有的同事或朋友心理相当阴暗，经常借用别人的电脑进行一些危险性软件安装测试，而自己的电脑放在一旁“安心休养”。对于这些小伎俩，我们在将电脑借出去之前，也要做到心中有数，并想办法不让其得逞。笔者经过仔细筛选，终于选择了Install Block这款工具，来限制外借用户随意在自己的电脑中安装软件，因为有了该工具把关后，所有软件的安装都需要输入我们事先设定的密码才进，否则软件安装操作无法继续下去。

开启Install Block工具运行状态后，该程序控制图标会自动显示在系统任务栏的通知区域处，打开它的右键菜单，点击“Settings”命令，切换到如图2所示的程序设置界面。Install Block工具默认规定软件安装管理密码为“admin”，由于该密码内容比较通用，很容易被外借用户猜中，我们必须将其修改得稍微复杂一点。在调整管理密码时，先点击主界面左侧区域中的“General”标签，在对应标签设置页面中按下“Change Passwords”按钮，切换到管理密码调整对话框，选中“Config”选项，再按“Change Password”按钮，输入只有自己知道的新密码内容并将其记牢，最后按下“Done”按钮结束管理密码调整操作。

同样地，在管理密码调整对话框中，再选中“Unblock”选项，输入新的解锁密码，该密码一般是用来解锁应用软件拒绝安装操作的。完成前面的配置任务后，Install Block工具就能替我们限制用户的自由安装软件操作了。日后，当外借用户尝试在自己的电脑中安装一些具有安全风险的程序软件时，他将会看到一个密码输入设置框，在不知道解锁密码的情况下，安装操作将会无法继续下去。值得注意的是，如果我们使用的Install Block工具是正式版，我们还可以选中该程序高级选项设置框中的“Don't show the password prompt when blocking a window”选项，来取消显示密码输入对话框，让外借用户根本不知道我们做的手脚。

限制调整上网参数

如果同事或朋友的上网位置与自己同处一个网段，那我们在外借电脑之前，需要限制调整上网参数，避免局域网上网出现混乱现象。在进行这种设置操作时，可以依次单击“开始”|“运行”命令，切换到运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。在该编辑窗口左侧列表中，将鼠标定位到“本地计算机策略”|“用户配置”|“管理模板”|“网络”|“网络连接”节点上，双击目标节点下的“禁止访问LAN连接的属性”组策略选项，展开如图3所示的组策略属性对话框。

检查“已启用”选项有没有被选中，如果发现其还没有被选中时，应该立即选中它，确认后退出设置对话框，这样自己的电脑借出去以后，其他人就不能随意改动上网参数了。

拒绝修改安全等级

大家知道，IE浏览器的安全漏洞很多，当它处于较低安全等级状态时，许多病毒木马程序能够轻易通过IE浏览器发动攻击，从而造成计算机系统“面目全非”。而在较高安全等级状态下，IE浏览器被非法攻击的可能性会大大降低。然而，一些外借用户为了保证上网顺利，往往会随意修改IE浏览器的安全等级。

为了避免这种现象发生，我们可以进行如下设置操作，拒绝任何普通用户随意调整IE浏览器的安全参数，包括降低安全运行等级等：首先依次单击“开始”|“运行”命令，展开系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。

在该编辑窗口左侧列表中，依次跳转到“本地计算机策略”|“用户配置”|“管理模板”|“Windows组件”|“Internet Explorer”|“Internet控制面板”节点上，双击目标节点下的“禁用安全页”选项，弹出如图4所示的选项设置对话框，选中“已启用”选项，确认后退出设置对话框。经过上述设置后，其他用户尝试进入Internet选项设置对话框时，将看不到“安全”选项设置页面了，这样IE浏览器的安全等级自然就不能被随意修改了。

不让自由运行程序

一些程序可能会自动修改系统设置，改变系统外观，如果允许别人自由运行，那么自己的电脑外借给别人后，肯定存在被修改得“面目全非”的风险。为此，我们需要禁止他人，在自己的电脑系统中自由运行程序。

在Windows 7系统中限制他人运行程序时，可以逐一选择“开始”|“运行”命令，在弹出的系统运行框中执行“gpedit.msc”命令，打开系统组策略编辑窗口。依次跳转到该窗口中的“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“应用程序控制策略”|“AppLocker”分支上，打开该分支的右键菜单，选择“创建新规则”命令，切换到新规则创建向导对话框，依照提示将普通用户的操作权限设置为“拒绝”，将条件类型选择为“路径”（如图5所示），之后单击浏览按钮，切换到文件夹选择对话框，从中将特定应用程序的安装目录导入进来，再按默认设置完成剩余操作，就能达到限制他人启动特定应用程序的目的了。

当然，也可以通过OnlyOne工具来礼貌地防止别人启动特定应用程序。开启OnlyOne工具运行状态后，输入默认的登录密码“www.jngzs.com”，进入对应程序操作界面，之后及时调整管理密码，防止别人随意调整程序配置，或直接关闭程序窗口。接着单击“显示桌面”，按下“选择程序”按钮，切换到文件选择对话框，将允许别人启动的应用程序添加进来，再按“添加不受限制的程序”按钮返回。同样地，单击“限制其他程序”按钮，将需要限制运行的程序，添加到受限列表中。最后，让OnlyOne程序工作在隐藏桌面模式状态，同时选中“设成唯一启动”选项，强制计算机每次开机启动时，只能启动允许的应用程序，不能进行其他任何操作。

限制修改桌面背景

自己电脑桌面上的背景图像，也许是我们精挑细选并设置好的，如果不希望外借用户随意调整桌面背景时，可以进行如下设置操作：

首先依次点击“开始”|“运行”命令，在弹出的系统运行框中执行“gpedit.msc”命令，打开系统组策略编辑窗口。依次跳转到该窗口中的“本地计算机策略”|“用户配置”|“管理模板”|“控制面板”|“个性化”分支上，找到该分支下的“阻止更改桌面背景”选项，并用鼠标双击之，打开如图6所示的选项设置对话框。

其次检查“已启用”选项是否处于选中状态，当发现其没有被选中时，应该重新选中它，单击“确定”按钮保存设置操作，这样别人就不能在自己的电脑系统中，自由调整桌面背景了。