如何使用組策略對公共電腦系統權限設限
對於公共電腦,設置系統限制可有效地防止對系統設置的改動,從而保證系統穩定運行。 公共電腦的本義,就是保證每一個用戶都能使用公共的程序,反對隨意改動系統,因此不必開 放那麼多程序。
對系統的簡單限制莫過於使用注冊表。一直以來廣受歡迎的注冊表修改技巧,其最實用的 一部分就是對系統設限,禁止隨意更改系統設置。
但是注冊表編輯器的使用比較麻煩,記住具有某種限制功能的鍵值項名稱可沒那麼容易。 如果要進行相同的限制,可將限制設置保存為.reg格式的注冊表文件,使用時雙擊導入即可; 同時還要准備一個解除限制的注冊表文件,以各自己使用。
與通過注冊表設置限制效果相同,且更方便的方法是使用組策略。組策略對系統設置的更 改其實也是通過修改注冊表,不過界面不同:簡潔的文字說明介紹了某項限制的功能和其所針 對的系統,啟用/禁用的開關簡潔明了,只需記住所需限制功能所屬的類別分支即可。
在對系統的限制中,有一項是對注冊表本身進行限制,這個限制的危險性在子,往往也會 將自己限制住,想臨時恢復某項系統功能都不行,自己給自己找麻煩。因此,必須記住幾種解 除注冊表限制的方法,臨時搜索解決方案總是比較誤事。
在域環境中,組策略的應用價值更大。有網管甚至使用它來防止員工離職前對電腦資料進 行刪除或破壞。思路很簡單,建立一個針對離職員工的OU(組織單位),然後在“計算機配置” 一“安全設置”一“文件系統”中設置用戶的文件權限即可。
對系統設限,與給予用戶Users組權限一樣,都是進一步壓縮自由使用電腦的權限,保障 電腦能夠持續穩定運行。
將本地策略應用於除管理員以外的用戶 對於公共電腦,使用組策略設置限制是很合適的。主要限制項目是桌面、開始菜單和資 源管理器,如禁止對某些分區進行訪問。只是在設置限制前要考慮清楚,因為這也可能會把 自己的權限給限制了。如何既保留對用戶的限制,而又不使自己也深“限”其中呢?微軟給 了一個辦法:
第1步運行gpedit.msc,打開組策略對象編輯器。
第2步展開“用戶配置”,然後展開“管理模板”。
第3步單擊包含要啟用策略的文件夾,雙擊一個策略,然後啟用它。例如,如果要隱藏 “網上鄰居”圖標,請單擊“桌面”,並雙擊“在桌面上隱藏‘網上鄰居”’圖標,選擇“已啟 用”單選按鈕,單擊“應用”按鈕,然後單擊“確定”按鈕。如圖1-6所示。 圖1-6 第4步關閉組策略對象編輯器,然後注銷。
第5步以管理員身份登錄計算機。可以在此登錄會話中看到所做的策略已經更改應用。 默認情況下,本地策略將應用於包括管理員在內的所有用戶。
第6步計算機注銷後,以此計算機的一個非管理員用戶的身份登錄計算機。對此計算機 中希望為其應用這些策略的每個用戶重復這一步驟。這樣,就為這些用戶和管理員實施了本 地策略。
注意:你必須以一個計算機用戶的身份登錄。對於未在這一步登錄的用戶賬戶,將不會為 其實施這些策略。
第7步以管理員身份登錄到計算機。
第8步打開“文件夾選項”對話框,選擇“查看”選項卡,選擇“顯示隱藏的文件、文 件夾和驅動器”單選按鈕,然後單擊“確定”按鈕,如圖1-7所示。
圖1-7
第9步將位於%Systemroot%\System32\GroupPolicy\User文件夾中的Registry.pol文件復 制到備份位置(例如,復制到其他硬盤分區或文件夾中)。
第10步使用組策略對象編輯器再次打開本地策略,然後撤銷在第3步中所做的更改。 要撤銷在第3步中所做的更改,雙擊“在桌面上隱藏‘網上鄰居…圖標,選擇“已禁用”單 選按鈕,單擊“應用”按鈕,然後單擊“確定”按鈕。執行此操作時,組策略對象編輯器會創建一個新的Registry.pol文件。
第11步關閉組策略對象編輯器或MMC,然後將在第9步中創建的Registry.pol備份文 件復制到%Systemroot%\System32\GroupPolicy\User文件夾中,如圖1-8所示。如果系統提示 是否替換現有文件,單擊“是”按鈕。
圖1-8
第12步將該計算機注銷,然後以管理員身份登錄到該計算機。你會看到在第3步中所 做的更改並未實施,原因是以管理員的身份登錄了該計算機。
第13步將該計算機注銷,然後以另一個用戶(或其他多個用戶)的身份登錄到該計算 機。你會看到在第3步中所做的更改已經實施,原因是以用戶身份(而不是管理員身份)登 錄到該計算機。
第14步以管理員身份登錄計算機,以確認本地策略不影響你作為該計算機的本地管理 員的身份。
如何使用組策略對公共電腦系統權限設限.