|
|
51CTO旗下网站
|
|
移动端

禁止非管理员用户使用组策略

《网管员世界2011超值精华本》第1章安全管理,本章结合笔者亲历实践,详细分析了使用这种模式建站所面临的各个层次的安全问题,并给出了相应的解决方法,特别是一些细节性的问题。本节为大家介绍禁止非管理员用户使用组策略。

作者:《网管员世界》杂志社来源:电子工业出版社|2011-06-08 16:51

禁止非管理员用户使用组策略

最后一步要限制非管理员用户使用组策略Gpedit.msc。方法有很多,这里介绍两种在实际计算机管理工作中简单易行的方法。

方法一,首先以受限用户登录,单击“开始”→“运行”→“Gpedit.msc”→“用户配置”→“管理模板”→“任务栏和[ 开始] 菜单”,选择“从[ 开始] 菜单中删除‘运行’菜单”,双击选择“已启用”,单击“确定”按钮即可。这样一来,受限用户无法再通过“运行”功能运行组策略,因此也无法修改上面计算机对组策略所做设置,即达到目的。

此方法的效果不是很彻底,可以通过高级搜索隐藏文件将文件(Gpedit.msc)搜索出来并运用,因此可通过将组策略文件名修改为计算机管理人员熟知的名称。

方法二,Windows XP 组策略中有一个“只允许运行Windows 应用程序”的策略,只要启用并添加只允许系统运行的程序名称,那么用户将只能运行“允许运行的应用程序列表”中的程序。不过,无论您有没有在“只允许运行程序列表”中添加Gpedit.msc(组策略),一旦启用了这项策略,就再也不能运行“Gpedit.exe”(组策略)了。

步骤:在“开始”菜单下运行Gedit.mscp,依次展开“用户配置”→“管理模板”→“系统”,在右侧窗口中找到“只运行许可的Windows 应用程序”策略并双击,在打开的窗口中选择“已启用”。

此时可以看到,该窗口下的“显示”按钮呈激活状态,最后单击“确定”按钮,系统就再也无法运行“组策略”了。

如果您已经关闭了“组策略”,以后管理员要修改设置,以便运行“组策略”,需要通过以下方法才能实现:

(1)重启系统,在启动的过程中按F8 功能键,直到出现系统的启动菜单,然后执行其中的“带命令行提示的安全模式”命令,将服务器系统切换到命令行提示符状态。

(2)接下来在命令提示符下直接执行mmc.exe 字符串命令,在弹出的系统控制台界面中单击“文件”菜单项,并从弹出的下拉菜单中选择“添加/ 删除管理单元”选项,再单击其后弹出的窗口中的“独立”标签,然后在如图3所示的标签页面中单击“添加”按钮。

 
图3 添加/ 删除管理单元

(3)而后,再依次选择“组策略→添加→完成→关闭”,单击“确定”按钮,这样就能成功添加一个新的组策略控制台。

这样就能重新打开组策略编辑窗口了。

【责任编辑:云霞 TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

数据库系统工程师考试全程指导

为了满足广大考生的需要,我们组织了参与过多年资格考试命题或辅导的教师,以新的考试大纲为依据,编写了《数据库系统工程师考试全程指导》...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊