輕松限制對本地組策略的訪問

　　作為系統管理員的一個高級設置工具，組策略包含了系統各個方面的設置策略，不僅能增強系統的安全性，同時也可以使系統更有個性。通過組策略對系統進行的設置，其優先級別要高于通過控制面板進行的設置，并且這種設置往往帶有一定的強制性。正是由于組策略的這種特點，對于管理員來講，通過組策略對系統進行的設置并不希望其他用戶進行更改，這就會涉及到組策略對象使用權限的問題?！　?

　　在Windows XP系統中，對于本地計算機的組策略對象，用戶擁有的權限是根據用戶的賬戶類型來決定的，隸屬于administrators組中的管理員賬戶具有對組策略對象的完全控制權限，隸屬于users組中的受限用戶不能訪問本地組策略。由于XP系統沒有提供對本地組策略對象權限分配的機制，因此對于administrators組中的所有賬戶，包括系統內建的administrator用戶，對本地組策略對象的權限都是一樣的，每個用戶都可以訪問本地組策略，并對其他用戶設置的系統策略進行更改。這樣可能會造成系統設置的混亂，那么能不能通過其他的途徑實現只有administrator擁有訪問并更改本地組策略的權限，而限制其他的administrators組成員對本地組策略的訪問呢？　　

　　本地組策略對象保存在windowssystem32下的隱藏文件夾“GroupPolicy”中，如果XP系統所在的分區文件系統為NTFS格式，借助于NTFS文件系統提供的文件和文件夾安全特性，通過限制用戶對該文件夾訪問的權限，就可以輕松實現限制用戶對本地組策略的訪問?！　?

　　 設置文件夾“GroupPolicy”訪問權限的方法如下：　　

　　 步驟一 以administrator用戶登錄系統，打開“我的電腦”，點擊窗口菜單“工具”中的“文件夾選項”，點擊“查看”選項頁，在“高級設置”列表中，選擇“隱藏文件和文件夾”下的“顯示所有文件和文件夾”選項，點擊“確定”；　　

　　 步驟二 打開windowssystem32文件夾，定位隱藏文件夾“GroupPolicy”，單擊右鍵，選擇“屬性”;　　

　　 步驟三 點擊“安全”選項頁，選擇“高級”，取消“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目”復選框的選擇；

圖1

　　步驟四 在彈出的信息窗口中點擊“刪除”按鈕，此時“權限項目”列表被清空，如圖1所示；
　　
　　步驟五 點擊“添加”｜“高級”｜“立即查找”，在窗口下方的列表中選擇“administrator”用戶，點擊“確定”返回上一級窗口，再點擊“確定”；

圖2

　　步驟六 在“GroupPolicy的權限項目”窗口中，點擊“權限”列表中“允許”列的“完全控制”選擇框，再點擊“確定”，如圖2所示；　　

　　步驟七 點擊“確定”，此時可以看到只有administrator一個用戶對文件夾“GroupPolicy”具有完全控制的權限，如圖3所示。點擊“確定”，完成權限的設置。
  圖3　　
　　對“GroupPolicy”文件夾完成了權限設置后，用戶只有以administrator賬戶登錄系統才能訪問本地組策略對象，并對策略進行設置和更改。其他的administrators組中的成員登錄系統后，無論是通過運行mmc命令，啟動控制臺加載“組策略”管理單元，還是運行gpedit.msc啟動組策略編輯器，系統都會顯示如圖4所示的錯誤信息。
  圖4
　　 采取這種方法限制用戶對本地組策略的訪問，需要注意兩點：　　

　　首先，以內建的administrator用戶擁有最高的訪問權限為原則，對系統進行的任何策略設置必須以administrator賬戶身份來完成。

　　其次，XP系統所在的分區格式必須是NTFS，否則無法對文件和文件夾的訪問權限進行分配。

原文轉自：http://www.kjueaiud.com