灵活的管理控制

　　无论是政府法规、客户服务级别协议还是内部安全要求，许多组织都面临合规性要求，而且必须在整个组织集中定义和强制执行配置设置。 Windows 7 中提供的改进功能和新技术有助于 IT 专业人员有效满足合规性要求：

　　" AppLocker 通过提供灵活的发布者规则，可简化对用户能够运行的应用程序的控制。

　　" 改进的审核功能可使 IT 专业人员使用组策略配置要审核的文件和注册表值。

　　" BitLocker 改进可提供数据加密强制执行，包括可移动存储设备。

　　组策略首选项还将组策略的范围扩展到通常无法通过组策略管理的应用程序和 Windows 组件，如映射网络驱动器、本地用户帐户密码和组成员身份、计划任务和注册表设置。 最后，随着远程工作人员的大量增加，需要对没有直接连接到企业网络的移动 PC 强制执行配置设置，这对 IT 专业人员来说很关键。 DirectAccess 可以保持移动 PC 与内部网络的连接状态，以允许 IT 专业人员下载软件更新、应用组策略设置并提供远程管理。

　　此外，这些改进还为 IT 专业人员提供了在解决当今大部分配置管理问题时所需的灵活性。

　　AppLocker

　　如果用户运行未经授权的软件，他们的计算机可能会因此变得难以管理并且面临巨大风险。 计算机的运行速度也会变慢，这会降低用户的生产效率并生成更多的支持中心呼叫。 并且最重要的是，运行这类软件是违背合规性规则的。

　　通过使用 Windows 7 中的 AppLocker，管理员将拥有比以往更多的灵活性，可以准确指定用户能够运行的应用程序和脚本。 管理员还可以授予用户安装特定的应用程序的权限并限制他们安装其他应用程序的能力。 这样可以使 IT 专业人员构建和保持更加标准化的桌面环境。

　　AppLocker 包含大量规则。 它的发行者规则将基于应用程序的数字签名授予对该应用程序的访问权限，从而可使要运行的多个版本的应用程序服从单个规则（甚至包括尚未发行的未来版本）。 如图 12 中所示，如果应用程序使用特定证书签名，则可以创建一个规则，允许用户运行该应用程序的 3.5 及更高版本。 AppLocker 的发行者规则允许 IT 专业人员在不用更新规则的情况下部署新版本的应用程序，以提高生产效率。

　　图 12：AppLocker 规则