修改组策略(论文资料)

1、修改组策略吧。在软件限制策略中：1将安全级别屮的“不允许"设为默认，这样用户将只能使用现有系统安装的软件，不能安装 任何新的软件；2. 在其他规则中添加非安装在c盘program file h录下的软件的安装路径，因为系统只默认 了 c盘的软件安装路径，不做修改的话，安装在其他盘符下的软件将不能使用；3. 在“指派文件类型”的属性中删除,ink"、“shs"、“url”,使已安装软件的各快捷方式、文 档片段、web快捷方式能够继续使用。注：用八的权限须为“use组别”，这样才能防止其把组策略修改回來:lol。如何限制他人安装软件?？1楼秋雨 发表于：2006-9-

2、5 19:00:00就是以管理员身份来限制用户帐户里把来宾用户设为受限用户（用户可以操作计 算机并保存文档，但不能安装程序或更改系统设置），然后把來宾权限设置到最 低（在共享和安全中）.以后來宾用户用户登录xp系统。通过自动登录来强制进入特定账户当然，还可以做得更绝，就是使用看起来似乎并不安全的自动登录功能。如 此一來，你就可以强制其他用户进入一个特定账户，而不用激起他们猜测其它账 户的密码的好奇心。具体方法：1. 在“开始”菜单的“运行”处运行control userpasswords2命令，进入“用 户账户”，在“用户”标签一栏，取消“要使用木机，用户必须输入用户名和密 码”复选框，并单击

3、“确定”（如图1）;2. 其后windows会弹出一个提示框（如图2）,要求你输入每次计算机启动 吋自动登录所使用的账户的用户名和密码。当然，还可在 iikey_local_machinesoftwaremicrosoftwindowsntcurrentversionwinlogon主键屮进行其它的设置来进一步控制自动登录过 程：1. 其实，用户在完成自动登录后，完全可以注销账户，然后重新返回到欢迎屏 幕，再选择其它账户登录。如此，设置门动登录就显得意义不大了。为了避免这 种情况的发生，可以在上而捉到的主键屮添加一个名为forceautologon的字符 串值，并将这个值设为1。这样，系统即便

4、是在注销之后也会自动登录到指定的 账户；2. 在默认情况下，在启动时可以按住sh辻t键来阻止自动登录。要消除shift 键对自动登录的影响，可以添加一个名为ignoreshiftoverride的字符串值，并 将该值设为1;3. 还口j限制自动背录能够进行的次数，使其达到这个次数后，自动关闭这个功 能。如此需耍添加一个名为autologoncount的dword值，将其设为希 望使用口 动登录的次数。这样，计算机每次启动并执行自动登录时，autologoncount的 值就会减1。减到0时windows就会将autoadminlogon的值改为0 （关闭自动 登录）并删除autologonco

5、unt值。强烈建议给口己留一道后门，如杲你按照上述全部方法设置z后，就再也不 能用其它账户进行登录了。当然，你所指定的账户若至少是user级（那已经算 是比较安全的级别了），那虽然不能修改注册表，还至少能够运行control userpasswords2命令，如此述有冋旋的余地。限制对硬盘分区和文件夹的使用你若是觉得限制用户账户权力还不够，某些分区也不希望别人使用或是只给 予他们读取和运行的权力，那么可以对其安全属性进行设置（前提条件是系统应 为windows xp pro且你的分区必须是ntfs格式,这样其属性中才有“安全” 标签栏，若还是fat格式，建议用pqmagic等软件将其转为ntf

6、s格式，这样对 系统安全较有利）。具体步骤如21.以管理员身份登录系统后，在“我的电脑”中，右击某个分区，选择“属 性”一“安全”，在“安全”标签栏中，可以添加或删除该分区所隶属的组或 用户，选定某个用户后可以对其权限进行选择设置（如图3）；2.若要添加用户，就点击“添加”，在“选择用户或组”窗口，点击“高级”， 进而点击“立即查找”，在窗口下方的用户组列表中选择一个用户，确定后返冋“安全”标签，此时可以在“组或用户名称”栏中看到添加的用户；3. 选定一个用户后点“删除”即可将其删去。这样，你可以去掉其他用户，使 该分区仅隶屈于管理员用户，当以其他用户账户登录系统时，便不能进入和使用 该分区。

7、若不想做得太绝，也为了自己以用户身份登录时的方便，可以仅保留管理员 用户和everyone用户：点选everyone用户，在下面的权限栏中仅点选“读取和运行”项（同时口 动选定“列岀文件夹目录”和“读取”权限），如此其他用户便不能在该分区中 写入新信息了。当然，也可让分区中的某个文件夹不被其他用户使用，操作同上（只是右击 对彖换为文件夹）。不过，此处必须解决一个问题，即“父系继承权”。在删除 文件夹所 隶属的某个用户吋会跳出一个安全提示框（如图4）,提示你不能删 除用户。这是因为该文件夹所在的分区或文件夹，它们所隶属的该用户并未被删 除，所以不能执行删除操作（但可执行添加操作）。这时应切断了文件夹对父 系文件夹权限的继承，具体操作如下：钮裁用戶冬珠&）：bbbopg.ro 的权限（1）畛©ee3h读取和运行列出文件夹目录读取歸入特别权膿或高级设量 > 谓单击高级”. 1±|9 一* i确定i m 理e在“属性”的“安全”栏点击“高级”按钮，在“权限”标签栏下取消“从 父项继承那些可以应用到子对彖的权限项口，包括那些在此明确定义的