Windows 2000系统策略编辑器
#1 一、系统策略编辑器的安装
策编器一般需要另行安装。在Windows 2000安装光盘的\tools\reskit\netadmin\poledit子目录中可以找到它。在Windows 2000安装完成后的系统目录中还有一个admin.adm的文件,拥有这两个文件后就可以使用策编器了。
在Windows 2000中首次运行poledit时,先将poledit.exe和admin.adm拷贝到Windows目录下,然后在Windows的“运行”对话框中执行poledit.exe,系统提示你打开一个模板文件。在C:\Windows目录中选择admin.adm文件,然后单击“打开”按钮,则进入策编器的主界面。
#1 二、用系统策略编辑器保护Windows 2000
启动poledit之后,单击窗口中的“文件”菜单下的“打开注册表”命令,即可使“本地用户”和“本地计算机”两个图标出现在窗口中。
#1 1.对“本地用户”的控制
单击“本地用户”图标便可打开“本地用户属性”对话框,在“本地用户”下有“控制面板”、“桌面”、“网络”、“外壳”、“系统”等项目。单击项目旁的“+ ”符号即可将项目下可以控制的内容逐层显示出来。根据你选择的具体内容,有以下三种情况:
(1)选中生效的,如“系统→限制”项目下的“禁止注册表编辑工具”项。
(2)需要进行设置的,如“系统→限制”项目下的“只能运行的Windows应用程序”项,你需要输入允许运行的应用程序名称。
(3)需要逐项设置的,如:“控制面板→口令→限制口令控制面板”项下还有四个子项(显示在“本地用户属性”对话框的下方),你可以对子项中的内容进行逐项设置。
若要禁止或限制他人使用某些项目,只要按以上介绍进行设置,结束后单击对话框中的“确定”按钮回到策编器窗口,然后单击“文件”菜单下的“保存”命令,不用重新启动即可使设置生效。
假若你选中了“系统→限制”项下的“禁止注册表编辑工具”,按上面的方法保存后,如果运行Regedit命令,则系统就会弹出警告框:“注册表编辑器已被管理员禁止”。
#1 2.对“本地计算机”的控制
单击策编器窗口中的“本地计算机”图标,即可打开“本地计算机属性”对话框。在“本地区计算机”下有“网络”和“系统”两个项目。按上面介绍的方法可实现对某些项目的禁止或限制使用。
为保险起见,在修改结束后可将文件poledit.exe拷贝到软盘上保存,再将原文件删除,这样一般人就不能随便修改你的系统了。
#1 三、系统策略编辑器的几个应用
#1 1.防止桌面被他人改动
每个人的Windows 2000的桌面,显示设置等都不喜欢被他人改动。实现这一功能的最简单的方法就是把“显示”属性框隐藏起来,如果用注册表编辑器来实现就有些麻烦,但是用poedit只需轻点几下鼠标就可以了:
(1)打开策编器,选取“文件”菜单下的“打开注册表”选项,就出现了一个窗口。
(2)单击窗口中的本地用户图标,然后选取“控制面板→显示器→限制→显示器控制面板”选项。
(3)从“策编器”窗口下方的四个复选取框中选取自己想进行限制的项目。然后保存策略选项后,系统将出现相应的变化。
#1 2.防止对系统驱动程序的误删
一台计算机的用户可能不止一个,如果你是系统的主人的话,自然不想让他人去动IRQ设置、驱动程序等有关系统性能正常工作的东西,而这些设置存在于系统属性对话框中,因此只要把重要的设置隐藏起来就可以了。具体操作如下:
(1)打开策编器,选取“文件”菜单中的“打开注册表”选项出现窗口。
(2)单击本地用户图标,选取“控制面板”系统限制系统控制面板选取项。
(3)从系统略编辑器窗口下方的几个选项中选取自己想进行限制的项目。
(4)保存以上策略。
#1 3.对注册表的禁止
poledit的操作在注册表中都可以恢复并且对于有经验的人员来说可以通过DOS来进行改变。如果要把系统的生杀大权彻底地掌握在手中,就要终止注册表编辑器和控制访问DOS的权限。具体操作如下:
(1)打开策编器。
(2)在弹出对话框中单击“本地用户”,然后选取“系统→限制→禁用注册表编辑器”复选框。
(3)也可以限制其他项目,如:禁用MS-DOS方式等。
(4)保存系统策略。