轻松限制对本地组策略的访问,轻松限制对本地组策略的访问
【 tulaoshi.com - windows 】
作为系统管理员的一个高级设置工具,组策略包含了系统各个方面的设置策略,不仅能增强系统的安全性,同时也可以使系统更有个性。通过组策略对系统进行的设置,其优先级别要高于通过控制面板进行的设置,并且这种设置往往带有一定的强制性。正是由于组策略的这种特点,对于管理员来讲,通过组策略对系统进行的设置并不希望其他用户进行更改,这就会涉及到组策略对象使用权限的问题。
在Windows XP系统中,对于本地计算机的组策略对象,用户拥有的权限是根据用户的账户类型来决定的,隶属于administrators组中的管理员账户具有对组策略对象的完全控制权限,隶属于users组中的受限用户不能访问本地组策略。由于XP系统没有提供对本地组策略对象权限分配的机制,因此对于administrators组中的所有账户,包括系统内建的administrator用户,对本地组策略对象的权限都是一样的,每个用户都可以访问本地组策略,并对其他用户设置的系统策略进行更改。这样可能会造成系统设置的混乱,那么能不能通过其他的途径实现只有administrator拥有访问并更改本地组策略的权限,而限制其他的administrators组成员对本地组策略的访问呢?
本地组策略对象保存在windowssystem32下的隐藏文件夹“GroupPolicy”中,如果XP系统所在的分区文件系统为NTFS格式,借助于NTFS文件系统提供的文件和文件夹安全特性,通过限制用户对该文件夹访问的权限,就可以轻松实现限制用户对本地组策略的访问。
设置文件夹“GroupPolicy”访问权限的方法如下:
步骤一 以administrator用户登录系统,打开“我的电脑”,点击窗口菜单“工具”中的“文件夹选项”,点击“查看”选项页,在“高级设置”列表中,选择“隐藏文件和文件夹”下的“显示所有文件和文件夹”选项,点击“确定”;
步骤二 打开windowssystem32文件夹,定位隐藏文件夹“GroupPolicy”,单击右键,选择“属性”;
步骤三 点击“安全”选项页,选择“高级”,取消“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框的选择;
步骤四 在弹出的信息窗口中点击“删除”按钮,此时“权限项目”列表被清空,如图1所示;
步骤五 点击“添加”|“高级”|“立即查找”,在窗口下方的列表中选择“administrator”用户,点击“确定”返回上一级窗口,再点击“确定”;
图2
(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/windows/) 步骤六 在“GroupPolicy的权限项目”窗口中,点击“权限”列表中“允许”列的“完全控制”选择框,再点击“确定”,如图2所示;来源:http://www.tulaoshi.com/n/20160129/1505163.html
看过《轻松限制对本地组策略的访问》的人还看了以下文章 更多>>