修改組策略.doc

修改組策略吧。在軟件限制策略中：1.將安全級別中的“不允許”設(shè)為默認，這樣用戶將只能使用現(xiàn)有系統(tǒng)安裝的軟件，不能安裝任何新的軟件；2.在其他規(guī)則中添加非安裝在c盤program file目錄下的軟件的安裝路徑，因為系統(tǒng)只默認了c盤的軟件安裝路徑，不做修改的話，安裝在其他盤符下的軟件將不能使用；3.在“指派文件類型”的屬性中刪除“LNK”、“SHS”、“URL”,使已安裝軟件的各快捷方式、文檔片段、web快捷方式能夠繼續(xù)使用。注：用戶的權(quán)限須為“user組別”，這樣才能防止其把組策略修改回來:lol 。如何限制他人安裝軟件?1樓 秋雨 發(fā)表于：2006-9-5 19:00:00就是以管理員身份來限制用戶帳戶里把來賓用戶設(shè)為受限用戶（用戶可以操作計算機并保存文檔，但不能安裝程序或更改系統(tǒng)設(shè)置）,然后把來賓權(quán)限設(shè)置到最低(在共享和安全中).以后來賓用戶用戶登錄XP系統(tǒng)。通過自動登錄來強制進入特定賬戶當(dāng)然，還可以做得更絕，就是使用看起來似乎并不安全的自動登錄功能。如此一來，你就可以強制其他用戶進入一個特定賬戶，而不用激起他們猜測其它賬戶的密碼的好奇心。具體方法：1 在“開始”菜單的“運行”處運行control userpasswords2命令，進入“用戶賬戶”，在“用戶”標(biāo)簽一欄，取消“要使用本機，用戶必須輸入用戶名和密碼”復(fù)選框，并單擊“確定”（如圖1）；2 其后，Windows會彈出一個提示框（如圖2），要求你輸入每次計算機啟動時自動登錄所使用的賬戶的用戶名和密碼。 當(dāng)然，還可在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon主鍵中進行其它的設(shè)置來進一步控制自動登錄過程：1 其實，用戶在完成自動登錄后，完全可以注銷賬戶，然后重新返回到歡迎屏幕，再選擇其它賬戶登錄。如此，設(shè)置自動登錄就顯得意義不大了。為了避免這種情況的 發(fā)生，可以在上面提到的主鍵中添加一個名為ForceAutoLogon的字符串值，并將這個值設(shè)為1。這樣，系統(tǒng)即便是在注銷之后也會自動登錄到指定的 賬戶；2 在默認情況下，在啟動時可以按住Shift鍵來阻止自動登錄。要消除Shift鍵對自動登錄的影響，可以添加一個名為IgnoreShiftOverride的字符串值，并將該值設(shè)為1；3 還可限制自動登錄能夠進行的次數(shù)，使其達到這個次數(shù)后，自動關(guān)閉這個功能。如此需要添加一個名為AutoLogonCount的DWORD值，將其設(shè)為希 望使用自動登錄的次數(shù)。這樣，計算機每次啟動并執(zhí)行自動登錄時，AutoLogonCount的值就會減1。減到0時，Windows就會將 AutoAdminLogon的值改為0（關(guān)閉自動登錄）并刪除AutoLogonCount值。 強烈建議給自己留一道后門，如果你按照上述全部方法設(shè)置之后，就再也不能用其它賬戶進行登錄了。當(dāng)然，你所指定的賬戶若至少是user級（那已經(jīng)算是比較 安全的級別了），那雖然不能修改注冊表，還至少能夠運行control userpasswords2命令，如此還有回旋的余地。限制對硬盤分區(qū)和文件夾的使用 你若是覺得限制用戶賬戶權(quán)力還不夠，某些分區(qū)也不希望別人使用或是只給予他們讀取和運行的權(quán)力，那么可以對其安全屬性進行設(shè)置（前提條件是系統(tǒng)應(yīng)為 Windows XP Pro且你的分區(qū)必須是NTFS格式，這樣其屬性中才有“安全”標(biāo)簽欄，若還是FAT格式，建議用PQMagic等軟件將其轉(zhuǎn)為NTFS格式，這樣對系統(tǒng) 安全較有利）。具體步驟如下：1 以管理員身份登錄系統(tǒng)后，在“我的電腦”中，右擊某個分區(qū)，選擇“屬性”“安全”，在“安全”標(biāo)簽欄中，可以添加或刪除該分區(qū)所隸屬的組或用戶，選定某個用戶后可以對其權(quán)限進行選擇設(shè)置（如圖3）；2 若要添加用戶，就點擊“添加”，在“選擇用戶或組”窗口，點擊“高級”，進而點擊“立即查找”，在窗口下方的用戶組列表中選擇一個用戶，確定后返回“安全”標(biāo)簽，此時可以在“組或用戶名稱”欄中看到添加的用戶；3 選定一個用戶后點“刪除”即可將其刪去。這樣，你可以去掉其他用戶，使該分區(qū)僅隸屬于管理員用戶，當(dāng)以其他用戶賬戶登錄系統(tǒng)時，便不能進入和使用該分區(qū)。 若不想做得太絕，也為了自己以用戶身份登錄時的方便，可以僅保留管理員用戶和Everyone用戶：點選Everyone用戶，在下面的權(quán)限欄中僅點選“讀取和運行”項（同時自動選定“列出文件夾目錄”和“讀取”權(quán)限），如此其他用戶便不能在該分區(qū)中寫入新信息了。 當(dāng)然，也可讓分區(qū)中的某個文件夾不被其他用戶使用，操作同上（只是右擊對象換為文件夾）。不過，此處必須解決一個問題，即“父系繼承權(quán)”。在刪除文件夾所 隸屬的某個用戶時會跳出一個安全提示框（如圖4），提示你不能刪除用戶。這是因為該文件夾所在的分區(qū)或文件夾，它們所隸屬的該用戶并未被刪除，所以不能執(zhí) 行刪除操作（但可執(zhí)行添加操作）。這時應(yīng)切斷子文件夾對父系文件夾權(quán)限的繼承，具體操作如下： 在“屬性”的“安全”欄點擊“高級”按鈕，在“權(quán)限”標(biāo)簽欄下取消“從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目，包括那些在此明確定義的項目”復(fù)選框