Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows XP系統教程 >> XP系統基礎知識 >> 輕松限制對本地組策略的訪問

輕松限制對本地組策略的訪問

日期:2017/1/24 11:56:56      編輯:XP系統基礎知識
 作為系統管理員的一個高級設置工具,組策略包含了系統各個方面的設置策略,不僅能增強系統的安全性,同時也可以使系統更有個性。通過組策略對系統進行的設置,其優先級別要高於通過控制面板進行的設置,並且這種設置往往帶有一定的強制性。正是由於組策略的這種特點,對於管理員來講,通過組策略對系統進行的設置並不希望其他用戶進行更改,這就會涉及到組策略對象使用權限的問題。  

  在Windows XP系統中,對於本地計算機的組策略對象,用戶擁有的權限是根據用戶的賬戶類型來決定的,隸屬於administrators組中的管理員賬戶具有對組策略對象的完全控制權限,隸屬於users組中的受限用戶不能訪問本地組策略。由於XP系統沒有提供對本地組策略對象權限分配的機制,因此對於administrators組中的所有賬戶,包括系統內建的administrator用戶,對本地組策略對象的權限都是一樣的,每個用戶都可以訪問本地組策略,並對其他用戶設置的系統策略進行更改。這樣可能會造成系統設置的混亂,那麼能不能通過其他的途徑實現只有administrator擁有訪問並更改本地組策略的權限,而限制其他的administrators組成員對本地組策略的訪問呢?  

  本地組策略對象保存在Windowssystem32下的隱藏文件夾“GroupPolicy”中,如果XP系統所在的分區文件系統為NTFS格式,借助於NTFS文件系統提供的文件和文件夾安全特性,通過限制用戶對該文件夾訪問的權限,就可以輕松實現限制用戶對本地組策略的訪問。  

   設置文件夾“GroupPolicy”訪問權限的方法如下:  

   步驟一 以administrator用戶登錄系統,打開“我的電腦”,點擊窗口菜單“工具”中的“文件夾選項”,點擊“查看”選項頁,在“高級設置”列表中,選擇“隱藏文件和文件夾”下的“顯示所有文件和文件夾”選項,點擊“確定”;  

   步驟二 打開Windowssystem32文件夾,定位隱藏文件夾“GroupPolicy”,單擊右鍵,選擇“屬性”;  

   步驟三 點擊“安全”選項頁,選擇“高級”,取消“從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目”復選框的選擇;
圖1

  步驟四 在彈出的信息窗口中點擊“刪除”按鈕,此時“權限項目”列表被清空,如圖1所示;
  
  步驟五 點擊“添加”|“高級”|“立即查找”,在窗口下方的列表中選擇“administrator”用戶,點擊“確定”返回上一級窗口,再點擊“確定”;

圖2

  步驟六 在“GroupPolicy的權限項目”窗口中,點擊“權限”列表中“允許”列的“完全控制”選擇框,再點擊“確定”,如圖2所示;  

  步驟七 點擊“確定”,此時可以看到只有administrator一個用戶對文件夾“GroupPolicy”具有完全控制的權限,如圖3所示。點擊“確定”,完成權限的設置。
圖3
  
  對“GroupPolicy”文件夾完成了權限設置後,用戶只有以administrator賬戶登錄系統才能訪問本地組策略對象,並對策略進行設置和更改。其他的administrators組中的成員登錄系統後,無論是通過運行mmc命令,啟動控制台加載“組策略”管理單元,還是運行gpedit.msc啟動組策略編輯器,系統都會顯示如圖4所示的錯誤信息。
圖4

   采取這種方法限制用戶對本地組策略的訪問,需要注意兩點:  

  首先,以內建的administrator用戶擁有最高的訪問權限為原則,對系統進行的任何策略設置必須以administrator賬戶身份來完成。

  其次,XP系統所在的分區格式必須是NTFS,否則無法對文件和文件夾的訪問權限進行分配。
Copyright © Windows教程網 All Rights Reserved