如何使用組策略對公共電腦系統權限設限

如何使用組策略對公共電腦系統權限設限

對於公共電腦，設置系統限制可有效地防止對系統設置的改動，從而保證系統穩定運行。 公共電腦的本義，就是保證每一個用戶都能使用公共的程序，反對隨意改動系統，因此不必開 放那麼多程序。
對系統的簡單限制莫過於使用注冊表。一直以來廣受歡迎的注冊表修改技巧，其最實用的 一部分就是對系統設限，禁止隨意更改系統設置。
但是注冊表編輯器的使用比較麻煩，記住具有某種限制功能的鍵值項名稱可沒那麼容易。 如果要進行相同的限制，可將限制設置保存為.reg格式的注冊表文件，使用時雙擊導入即可； 同時還要准備一個解除限制的注冊表文件，以各自己使用。
與通過注冊表設置限制效果相同，且更方便的方法是使用組策略。組策略對系統設置的更 改其實也是通過修改注冊表，不過界面不同：簡潔的文字說明介紹了某項限制的功能和其所針 對的系統，啟用／禁用的開關簡潔明了，只需記住所需限制功能所屬的類別分支即可。
在對系統的限制中，有一項是對注冊表本身進行限制，這個限制的危險性在子，往往也會 將自己限制住，想臨時恢復某項系統功能都不行，自己給自己找麻煩。因此，必須記住幾種解 除注冊表限制的方法，臨時搜索解決方案總是比較誤事。
在域環境中，組策略的應用價值更大。有網管甚至使用它來防止員工離職前對電腦資料進 行刪除或破壞。思路很簡單，建立一個針對離職員工的OU（組織單位），然後在“計算機配置” 一“安全設置”一“文件系統”中設置用戶的文件權限即可。
對系統設限，與給予用戶Users組權限一樣，都是進一步壓縮自由使用電腦的權限，保障 電腦能夠持續穩定運行。

 
將本地策略應用於除管理員以外的用戶 對於公共電腦，使用組策略設置限制是很合適的。主要限制項目是桌面、開始菜單和資 源管理器，如禁止對某些分區進行訪問。只是在設置限制前要考慮清楚，因為這也可能會把 自己的權限給限制了。如何既保留對用戶的限制，而又不使自己也深“限”其中呢？微軟給 了一個辦法：

第1步運行gpedit.msc，打開組策略對象編輯器。

第2步展開“用戶配置”，然後展開“管理模板”。

第3步單擊包含要啟用策略的文件夾，雙擊一個策略，然後啟用它。例如，如果要隱藏 “網上鄰居”圖標，請單擊“桌面”，並雙擊“在桌面上隱藏‘網上鄰居”’圖標，選擇“已啟 用”單選按鈕，單擊“應用”按鈕，然後單擊“確定”按鈕。如圖1-6所示。 圖1-6 第4步關閉組策略對象編輯器，然後注銷。

第5步以管理員身份登錄計算機。可以在此登錄會話中看到所做的策略已經更改應用。 默認情況下，本地策略將應用於包括管理員在內的所有用戶。

第6步計算機注銷後，以此計算機的一個非管理員用戶的身份登錄計算機。對此計算機 中希望為其應用這些策略的每個用戶重復這一步驟。這樣，就為這些用戶和管理員實施了本 地策略。
注意：你必須以一個計算機用戶的身份登錄。對於未在這一步登錄的用戶賬戶，將不會為 其實施這些策略。

第7步以管理員身份登錄到計算機。

第8步打開“文件夾選項”對話框，選擇“查看”選項卡，選擇“顯示隱藏的文件、文 件夾和驅動器”單選按鈕，然後單擊“確定”按鈕，如圖1-7所示。

圖1-7

第9步將位於%Systemroot%\System32\GroupPolicy\User文件夾中的Registry.pol文件復 制到備份位置（例如，復制到其他硬盤分區或文件夾中）。

第10步使用組策略對象編輯器再次打開本地策略，然後撤銷在第3步中所做的更改。 要撤銷在第3步中所做的更改，雙擊“在桌面上隱藏‘網上鄰居…圖標，選擇“已禁用”單 選按鈕，單擊“應用”按鈕，然後單擊“確定”按鈕。執行此操作時，組策略對象編輯器會創建一個新的Registry.pol文件。

第11步關閉組策略對象編輯器或MMC，然後將在第9步中創建的Registry.pol備份文 件復制到%Systemroot%\System32\GroupPolicy\User文件夾中，如圖1-8所示。如果系統提示 是否替換現有文件，單擊“是”按鈕。

圖1-8

第12步將該計算機注銷，然後以管理員身份登錄到該計算機。你會看到在第3步中所 做的更改並未實施，原因是以管理員的身份登錄了該計算機。

第13步將該計算機注銷，然後以另一個用戶（或其他多個用戶）的身份登錄到該計算 機。你會看到在第3步中所做的更改已經實施，原因是以用戶身份（而不是管理員身份）登 錄到該計算機。

第14步以管理員身份登錄計算機，以確認本地策略不影響你作為該計算機的本地管理 員的身份。

如何使用組策略對公共電腦系統權限設限.