作为系统管理员的一个高级设置工具,组策略包含了系统各个方面的设置策略,不仅能增强系统的安全性,同时也可以使系统更有个性。通过组策略对系统进行的设置,其优先级别要高于通过控制面板进行的设置,并且这种设置往往带有一定的强制性。正是由于组策略的这种特点,对于管理员来讲,通过组策略对系统进行的设置并不希望其他用户进行更改,这就会涉及到组策略对象使用权限的问题。
在Windows XP系统中,对于本地计算机的组策略对象,用户拥有的权限是根据用户的账户类型来决定的,隶属于administrators组中的管理员账户具有对组策略对象的完全控制权限,隶属于users组中的受限用户不能访问本地组策略。由于XP系统没有提供对本地组策略对象权限分配的机制,因此对于administrators组中的所有账户,包括系统内建的administrator用户,对本地组策略对象的权限都是一样的,每个用户都可以访问本地组策略,并对其他用户设置的系统策略进行更改。这样可能会造成系统设置的混乱,那么能不能通过其他的途径实现只有administrator拥有访问并更改本地组策略的权限,而限制其他的administrators组成员对本地组策略的访问呢?
本地组策略对象保存在windowssystem32下的隐藏文件夹“GroupPolicy”中,如果XP系统所在的分区文件系统为NTFS格式,借助于NTFS文件系统提供的文件和文件夹安全特性,通过限制用户对该文件夹访问的权限,就可以轻松实现限制用户对本地组策略的访问。
设置文件夹“GroupPolicy”访问权限的方法如下:
步骤一 以administrator用户登录系统,打开“我的电脑”,点击窗口菜单“工具”中的“文件夹选项”,点击“查看”选项页,在“高级设置”列表中,选择“隐藏文件和文件夹”下的“显示所有文件和文件夹”选项,点击“确定”;
步骤二 打开windowssystem32文件夹,定位隐藏文件夹“GroupPolicy”,单击右键,选择“属性”;
步骤三 点击“安全”选项页,选择“高级”,取消“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框的选择;