作為系統管理員的一個高級設置工具,組策略包含了系統各個方面的設置策略,不僅能增強系統的安全性,同時也可以使系統更有個性。通過組策略對系統進行的設置,其優先級別要高於通過控制面板進行的設置,並且這種設置往往帶有一定的強制性。正是由於組策略的這種特點,對於管理員來講,通過組策略對系統進行的設置並不希望其他用戶進行更改,這就會涉及到組策略對象使用權限的問題。
在Windows XP系統中,對於本地計算機的組策略對象,用戶擁有的權限是根據用戶的賬戶類型來決定的,隸屬於administrators組中的管理員賬戶具有對組策略對象的完全控制權限,隸屬於users組中的受限用戶不能訪問本地組策略。由於XP系統沒有提供對本地組策略對象權限分配的機制,因此對於administrators組中的所有賬戶,包括系統內建的administrator用戶,對本地組策略對象的權限都是一樣的,每個用戶都可以訪問本地組策略,並對其他用戶設置的系統策略進行更改。這樣可能會造成系統設置的混亂,那麼能不能通過其他的途徑實現只有administrator擁有訪問並更改本地組策略的權限,而限制其他的administrators組成員對本地組策略的訪問呢?
本地組策略對象保存在Windowssystem32下的隱藏文件夾“GroupPolicy”中,如果XP系統所在的分區文件系統為NTFS格式,借助於NTFS文件系統提供的文件和文件夾安全特性,通過限制用戶對該文件夾訪問的權限,就可以輕松實現限制用戶對本地組策略的訪問。
設置文件夾“GroupPolicy”訪問權限的方法如下:
步驟一 以administrator用戶登錄系統,打開“我的電腦”,點擊窗口菜單“工具”中的“文件夾選項”,點擊“查看”選項頁,在“高級設置”列表中,選擇“隱藏文件和文件夾”下的“顯示所有文件和文件夾”選項,點擊“確定”;
步驟二 打開Windowssystem32文件夾,定位隱藏文件夾“GroupPolicy”,單擊右鍵,選擇“屬性”;
步驟三 點擊“安全”選項頁,選擇“高級”,取消“從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目”復選框的選擇;
圖1
步驟四 在彈出的信息窗口中點擊“刪除”按鈕,此時“權限項目”列表被清空,如圖1所示;
步驟五 點擊“添加”|“高級”|“立即查找”,在窗口下方的列表中選擇“administrator”用戶,點擊“確定”返回上一級窗口,再點擊“確定”;
圖2
步驟六 在“GroupPolicy的權限項目”窗口中,點擊“權限”列表中“允許”列的“完全控制”選擇框,再點擊“確定”,如圖2所示;
步驟七 點擊“確定”,此時可以看到只有administrator一個用戶對文件夾“GroupPolicy”具有完全控制的權限,如圖3所示。點擊“確定”,完成權限的設置。
圖3 對“GroupPolicy”文件夾完成了權限設置後,用戶只有以administrator賬戶登錄系統才能訪問本地組策略對象,並對策略進行設置和更改。其他的administrators組中的成員登錄系統後,無論是通過運行mmc命令,啟動控制台加載“組策略”管理單元,還是運行gpedit.msc啟動組策略編輯器,系統都會顯示如圖4所示的錯誤信息。
圖4 采取這種方法限制用戶對本地組策略的訪問,需要注意兩點:
首先,以內建的administrator用戶擁有最高的訪問權限為原則,對系統進行的任何策略設置必須以administrator賬戶身份來完成。
其次,XP系統所在的分區格式必須是NTFS,否則無法對文件和文件夾的訪問權限進行分配。