用户级的权限限制:组策略管理模板
网络与通信
在网络的日常维护中,管理员最头痛的并非硬件问题,而是因用户的误操作或者胡乱修改而导致的系统故障。于是,不少单位选择了诸如《美萍》等管理软件对用户权限进行限制。但使用这类软件依旧存在某些问题:首先,在配置之初管理员必须到每个计算机上进行软件安装设置,可谓费时费力;而更重要的是,这些软件多是针对计算机进行权限的限制。举个例:如果你限定了不能访问某个计算机的D盘,则所有用户登录该计算机,都无法访问D盘。而恰巧某个用户确实需要访问D盘呢?惟一办法:管理员又跑去解锁。那不同的用户需要不同的访问权限呢?这时这些管理软件反而成了巨大的障碍了!
而利用Windows 2000活动目录组策略的“管理模板”功能,使我们能够方便、精确地实现针对用户的权限限制和赋予,即我们可以给不同的用户配置不同的权限,且用户在使用域内的任意计算机时,该权限是跟随着他的。采用组策略“管理模板”配置权限还有一个好处,即管理员不用跑来跑去,只要在域控制器上进行配置就可以了。
下面,我们举例说明如何通过组策略实现用户权限的精确配置。
一、要达到的目的
1.假设域中的客户机都是在D盘上进行数据备份,所以我们不希望使用级别较低的用户访问D盘,以免其误删除备份数据;
2.如果用户能够修改本机的注册表,那么一切限制都无法真正限制住了,所以,一定要禁止用户修改注册表。
二、实现过程
本着这两个目的,我们来看看如何在组策略中实现。
首先新建一个组织单元,并对其命名(例如本例的“limited user”)。然后将需要进行限制的用户移至该组织单元。接着打开该组织单元的“属性”对话框并选择“组策略”标签页,点击“新建”按钮来给这个组织单元创建一个新的组策略(本例中命名为“limited user policies”)。单击“编辑”按钮对其进行编辑。
因为实施的是针对用户的管理,所以打开“组策略”对话框后,我们需要展开的是“用户配置”中“管理模板”。展开“管理模板”分支,里面包含了“Windows组件”、“任务栏和开始菜单”、“桌面”、“控制面板”、“网络”、“系统”6大分支((图1))。
要阻止用户访问D盘,我们需从以下几方面入手:
1.阻止用户通过“我的电脑”访问D盘。
进入“Windows组件→Windows资源管理器”模板,启用“防止从‘我的电脑’访问驱动器”策略项((图2)),并在该策略项的“属性”对话框中,选择“只限制D驱动器”((图3))。
2.停用存在于“开始→程序→附件”中的“命令提示符”项。
在禁止通过“我的电脑”访问D盘后,用户还可以用命令提示符方式进入D盘,所以命令提示符也必须禁止。选择组策略对话框的“系统”项,在右侧的策略项中启用“停用命令提示符”项((图4))。
3.禁止运行cmd.exe。
在以上两个设置完成后,并没有完全阻止用户对D盘的访问,因为用户依旧可以利用“运行”来执行cmd.exe进入“命令提示符”状态,然后再访问D盘。所以,cmd.exe这个程序是应该被屏蔽掉的。我们在(图4)所示“系统”分支中启用“不要运行指定的Windows应用程序”项,然后在该策略项的“属性”对话框中点击“显示”按钮((图5)),在弹出的“显示内容”对话框中添加“cmd.exe”,该应用程序就被屏蔽掉了。至此,“limited user”组织单元中的用户就无法访问本地计算机的D盘了。
要禁止用户修改注册表,我们可在(图4)所示的“系统”分支中,启用“禁用注册表编辑工具”策略。这样设置后,如果用户尝试修改注册表,那么将得到一个出错信息。
对“limited user”组织单元用户的权限限制到此完成。该组织单元里的用户无论在任何机器上登录到域,都无法访问该机的D盘,且无法对注册表进行修改。如果还有别的用户需要限制,将其移动到这个组织单元里就行了,很方便吧。
通过组策略“管理模板”的配置,我们还可以实现很多很强大的权限设置,大家有兴趣可以研究研究。但“管理模板”的6个分支,存在诸多的策略项,如何才能了解它们具体的功效呢?别急,每个策略项都有详细的功能说明,你可以进入该策略项的“属性”对话框中的“说明”标签页来查看。