当前位置: 首页 > 图文教程 > 操作系统 > Windows > 轻松限制对本地组策略的访问

Windows
教你如何解决Windows xp局域网访问故障方法
用组策略轻松锁定Windows XP任务栏
Windows注册表修改的技巧让IE飞速
认识Windows XP注册表及注册表实战案例
Windows XP打不开任务管理器的故障分析方法
Windows XP超强50招
845g主板跑vista的经验
Vista漏洞验证 两分钟攻破登录密码
安装与使用网络打印机
一招让你的Win XP飞起来
我教菜鸟学习安装Windows字体
硬盘PE启动安装GHOST XP教程
GHOST XP 安装教程
GHOSTXP光盘刻录图文教程(傻瓜式多图)
怎样从硬盘中安装GHOST XP
WindowsXP终极优化设置大全
做好优化 提高Windows内存效率
修复XP不能更新的故障
屏蔽Win XP中不需用到的功能
手把手教您安装Windows XP

Windows 中的 轻松限制对本地组策略的访问


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 58 ::
收藏到网摘: n/a

  作为系统管理员的一个高级设置工具,组策略包含了系统各个方面的设置策略,不仅能增强系统的安全性,同时也可以使系统更有个性。通过组策略对系统进行的设置,其优先级别要高于通过控制面板进行的设置,并且这种设置往往带有一定的强制性。正是由于组策略的这种特点,对于管理员来讲,通过组策略对系统进行的设置并不希望其他用户进行更改,这就会涉及到组策略对象使用权限的问题。  

  在Windows XP系统中,对于本地计算机的组策略对象,用户拥有的权限是根据用户的账户类型来决定的,隶属于administrators组中的管理员账户具有对组策略对象的完全控制权限,隶属于users组中的受限用户不能访问本地组策略。由于XP系统没有提供对本地组策略对象权限分配的机制,因此对于administrators组中的所有账户,包括系统内建的administrator用户,对本地组策略对象的权限都是一样的,每个用户都可以访问本地组策略,并对其他用户设置的系统策略进行更改。这样可能会造成系统设置的混乱,那么能不能通过其他的途径实现只有administrator拥有访问并更改本地组策略的权限,而限制其他的administrators组成员对本地组策略的访问呢?  

  本地组策略对象保存在windowssystem32下的隐藏文件夹“GroupPolicy”中,如果XP系统所在的分区文件系统为NTFS格式,借助于NTFS文件系统提供的文件和文件夹安全特性,通过限制用户对该文件夹访问的权限,就可以轻松实现限制用户对本地组策略的访问。  

   设置文件夹“GroupPolicy”访问权限的方法如下:  

   步骤一 以administrator用户登录系统,打开“我的电脑”,点击窗口菜单“工具”中的“文件夹选项”,点击“查看”选项页,在“高级设置”列表中,选择“隐藏文件和文件夹”下的“显示所有文件和文件夹”选项,点击“确定”;  

   步骤二 打开windowssystem32文件夹,定位隐藏文件夹“GroupPolicy”,单击右键,选择“属性”;  

   步骤三 点击“安全”选项页,选择“高级”,取消“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框的选择;

图1

  步骤四 在弹出的信息窗口中点击“删除”按钮,此时“权限项目”列表被清空,如图1所示;
  
  步骤五 点击“添加”|“高级”|“立即查找”,在窗口下方的列表中选择“administrator”用户,点击“确定”返回上一级窗口,再点击“确定”;

图2

  步骤六 在“GroupPolicy的权限项目”窗口中,点击“权限”列表中“允许”列的“完全控制”选择框,再点击“确定”,如图2所示;  

  步骤七 点击“确定”,此时可以看到只有administrator一个用户对文件夹“GroupPolicy”具有完全控制的权限,如图3所示。点击“确定”,完成权限的设置。
 
图3
  
  对“GroupPolicy”文件夹完成了权限设置后,用户只有以administrator账户登录系统才能访问本地组策略对象,并对策略进行设置和更改。其他的administrators组中的成员登录系统后,无论是通过运行mmc命令,启动控制台加载“组策略”管理单元,还是运行gpedit.msc启动组策略编辑器,系统都会显示如图4所示的错误信息。
 
图4

   采取这种方法限制用户对本地组策略的访问,需要注意两点:  

  首先,以内建的administrator用户拥有最高的访问权限为原则,对系统进行的任何策略设置必须以administrator账户身份来完成。

  其次,XP系统所在的分区格式必须是NTFS,否则无法对文件和文件夹的访问权限进行分配。