统一管理Windows 2000域中的服务

我们知道，Windows NT核心的系统默认情况下都打开了很多服务，而这些服务很多都是不必要的，所以我们可以禁用其中的一部分。如果只有一台计算机还好办，要是针对整个Windows 2000域来说，如果要一台一台地禁用，那就是一件累人的事了。这时大家肯定都想找一种“简便方法”。对于Windows 2000域来说，最简便的事莫过于使用组策略了，但现在的组策略版本并没有关于这方面的设置，所以一种方法就是我们自己编写一个管理模板文件来分发策略。但自己编写管理模板并不简单，而且容易出错，所以我们可以通过另外一种方法—因为服务的开启或禁用其实都是由注册表中的值控制的—我们可以通过域的登录脚本分发相关的注册表文件来达到目的。

编辑提示：服务在注册表中的位置

服务的设置位于注册表的HKLM\SYSTEM\Current-ControlSet\Service下。但它下面并非都是服务项，还有设备驱动程序项等等，到底哪些是服务项呢？这个你可以根据“计算机管理”工具中服务的名称来辨别：打开某个服务的属性窗口时，在常规标签上显示的名称就是该服务的正式名称（如图1），

图1
服务在注册表中的条目就是这个名字（如图2）。在这里还可以看出，“计算机管理”工具中服务的启动类型与注册表中“start”项的值相对应。对应关系如下：“自动”值为2，“手动”值为3，“已禁用”值为4。如果start项值为0或1，就表明对应的是设备驱动程序，其中0对应最底层的设备驱动。

图2

在域中分发一个reg文件以禁用部分服务

有了上面的知识，下面我们就来看看禁用域中部分服务的基本步骤，至于该禁用哪些服务，这就应该根据自己的网络情况来决定了。如果你还不清楚该调整哪些服务，可以先去看看以前《网管员世界》杂志上的相关文章。
第一步：新建一个.reg文件。对于这个reg文件，你可以手动编写，也可以先导出一个reg文件再进行编辑。由于禁用的项并非占大多数，所以建议自己手动编写这个reg文件。编写好这个文件后，把它拷贝到域控制器的netlogon共享目录下。图3是reg文件的一个简单示例，从图中可以看出禁用了四个服务：clipsrv，dfs，fax，scardsvr。因为我把它们的启动类型值设为了4(“start”=dword:00000004)。编写reg文件时要注意它的格式，如果你对reg文件了解不深，可以先到网上去搜一搜相关内容（如图3）。
 
图3
第二步：在域控制器的netlogon共享目录下新建一个logon.bat登录脚本文件，这个脚本包含下面一行：
regedit /s \\192.168.0.88\netlogon\1.reg
/s参数表示导入注册表文件不给出提示，后面的\\192.168.0.88\netlogon\1.reg是第一步创建的注册表文件在域控制器上的UNC路径。
第三步：在域组策略的编辑界面中添加logon.bat为登录脚本，选择路径时请用UNC路径。
需要注意的是：在用户配置的登录脚本中添加，不是在计算机配置的启动脚本添加，因为启动脚本可能不会正常执行。
就这样，当客户端登录域时就会执行这个登录脚本，从而实现了统一禁用域中不必要的服务项。不过这种方式还是有两个缺点，第一就是这个脚本不能辨别客户端的操作系统版本，因为Windows XP系统的服务比Windows 2000系统的服务更多，所以针对它们的注册表文件有可能不一样，但脚本却不能进行辨别。第二就是如果不删除脚本，它每次都会执行，也就是它不能判断注册表设置是否已经修改过了。要解决这两个问题，可以采用本期介绍的RemoteExec工具来分发注册表文件，它由相关过滤条件来解决这两个问题。

,