宾客账户(guest)或受限用户(user)权限设置

1、宾客账户(guest)或受限用户(user)的权限设，当你的电脑常常需要被他人利用，可是你又不希望他人看你的某 些重要文件或不许诺他人运行某些应用程序或担忧自己系统某些重 要参数被修改时，你能够先以治理员身份登录Windows系统，参照以 下几条作相应设置，然后开通宾客账户或新建一个一般user账户(不 是治理员，而是受限用户)，让他人用那个账户登录系统，这时你就 能够够安心你的电脑任意让他人折腾。一、限制用户对文件的访问权限若是程序所在的磁盘分区文件系统为NTFS格式，治理员账户能 够利用NTFS文件系统提供的文件和文件夹平安选项操纵用户对程序 及文件的访问权限。通常情形下，一个应用程序安装

2、到系统后，本地 运算机的所有账户都能够访问并运行该应用程序。若是取消分派给指 定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该 应用程序的能力。例如，要禁止受限用户运行Outlook Express应用程序，能够进 行如下的操作：(1)、以administrator账户登录系统，若是当前系统启用了简 单文件共享选项，需要将该选项关闭。具体做法是，在Windows阅读 器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页, 取消“利用简单文件共享”选项的选择，点击“确信”。(2)、打开 Program Files 文件夹，选中 Outlook Express 文件 夹并单击右

3、键，选择“属性”。(3)、点击“平安”选项页，能够看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。(4)、取消“从父项继承那些能够应用到子对象的权限项目，包 括那些再次明肯概念的项目”选项的选择，在弹出的提示信息对话框, 点击“复制”，现在能够看到用户所具有的权限改成不继承的。(5)、点击“确信”，返回属性窗口，在“用户或组名称”列表 中，选择Users项目，点击“删除”，点击“确信”，完成权限的设置。要取消指定用户对文件或程序的访问限制，需要为文件或文件夹 添加指定的用户或组并给予相应的访问权限。这种方式许诺治理员针对每一个用户来限制他访问和运行指定 的应用程序的权限。可

4、是这需要一个超级重要的前提，那确实是要求 应用程序所在的分区格式为NTFS,不然，一切都无从谈起。关于FAT/FAT32格式的分区，不能应用文件及文件夹的平安选 项，咱们能够通过设置运算机的策略来禁止运行指定的应用程序。二、启用“不要运行指定的Windows应用程序”策略在组策略中有一条名为“不要运行指定的Windows应用程序”策 略，通过启用该策略并添加相应的应用程序，就能够够限制用户运行 这些应用程序。设置方式如下：(1)、在“开始”“运行”处执行命令，启动组策略编辑器，或 运行mmc命令启动操纵台，并将“组策略”治理单元加载到操纵台中;(2)、依次展开“'本地运算机'策

5、略”“用户设置”“治理模板”, 点击“系统”，双击右边窗格中的“不要运行指定的Windows应用程 序”策略，选择“已启用”选项，并点击“显示”。(3)、点击“添加”，输入不运行运行的应用程序名称，如命令 提示符，点击“确信”，现在，指定的应用程序名称添加到禁止运行 的程序列表中。(4)、点击“确信”返回组策略编辑器，点击“确信”，完成设 置。当用户试图运行包括在不许诺运行程序列表中的应用程序时，系 统会提示警告信息。把不许诺运行的应用程序复制到其他的目录和分 区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，能够 将“不要运行指定的Windows应用程序”策略设置为“未配置”或“己 禁

6、用”，或将指定的应用程序从不许诺运行列表中删除(这要求删除 后列表可不能成为空白的)。这种方式只阻止用户运行从Windows资源治理器中启动的程序， 关于由系统进程或其他进程启动的程序并非能禁止其运行。该方式禁 止应用程序的运行，其用户对象的作用范围是所有的用户，不单单是 受限用户，Administrators组中的账户乃至是内建的administrator 帐户都将受到限制，因此给治理员带来了必然的不便。当治理员需要 执行一个包括在不许诺运行列表中的应用程序时，需要先通过组策略 编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后， 再将该程序添加到不许诺运行程序列表中。需要注意的是，

7、不要将组 策略编辑器()添加到禁止运行程序列表中，不然会造成组策略的自 锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进 行更改。提示：若是没有禁止运行“命令提示符"程序的话，用户能够通 过cmd命令，从“命令提示符"运行被禁止的程序，例如，将记事本 程序添加不运行列表中，通过XP的桌面运行该程序是被限制的，可 是在“命令提示符”下运行notepad命令，能够顺利的启动记事本程 序。因此，要完全的禁止某个程序的运行，第一要将添加到不许诺运 行列表中。三、设置软件限制策略软件限制策略是本地平安策略的一个组成部份，治理员通过设置 该策略对文件和程序进行标识，将它们分

8、为可信任和不可信任两种， 通过给予相应的平安级别来实现对程序运行的操纵。那个方法关于解 决未知代码和不可信任代码的可操纵运行问题超级有效。软件设置策 略利用两个方面的设置对程序进行限制：平安级别和其他规那么。平安级别分为“不许诺的”和“不受限制的”两种。其中，“不 许诺的”将禁止程序的运行，不论用户的权限如何；“不受限的”许 诺登录用户利用他所拥有的权限来运行程序。其它规那么，即由治理员通过制定规那么对指定的一批或一个文 件和程序进行标识，并给予“不许诺的”或“不受限的”平安级别。 在那个部份中，治理员能够制定四种类型的规那么，依照优先级别别 离是：散列规那么、证书规那么、途径规那么和Inte

9、rnet区域规那 么，这些规那么将对文件的访问和程序的运行提供最大限度的授权级 别。软件限制策略的设置一、访问软件限制策略作为本地平安策略的一部份，软件限制策略同时也包括在组策略 中，这些策略的设置必需以administrator账户或Administrators 组成员的身份登录系统。软件限制策略的访问方式有两种：(1)、在“开始”“运行”处运行，启动本地平安策略编辑器， 在“平安设置”下能够看到“软件限制策略”项目。(2)、在“开始”“运行”处运行，启动组策略编辑器，在“运 算机设置”“Windows设置”“平安设置”下能够看到“软件限制策略”。二、新建软件限制策略第一次打开“软件限制策略

10、”时，该项目是空的。策略需要由治 理员手动添加。方式是点击“软件限制策略”使其处于选中状态，点 击编辑器窗口 “操作”菜单下的“新建一个策略”项目，现在能够看 到“软件限制策略”下增加了 “平安级别”和“其它规那么"和三条 属性，如图2所示。一旦执行了新建策略操作后，就不能再次执行该 操作，而且那个策略也不能删除。3、设置默许的平安级别新建软件限制策略后，策略的默许平安级别为“不受限的”，若 是要更改默许的平安级别，需要在“平安级别”中进行设置，方式如 下:(1)、打开“平安级别”，在右边窗格中，能够看到有两条设置,其中图标中带有一个小对号的设置为默许设置；(2)、点击不是默许值的那

11、条设置，单击右键，选择“设置为默 许”项。当设置“不许诺的”为默许值时，系统会显示一个提示信息 对话框，点击“确信”即可。该步骤也能够双击非默许的设置,在弹出的属性窗口中，点击“设 为默许值二4、设置策略的作用范围和对象通过策略的“强制”属性能够设置策略应用的软件文件是不是包 括库文件和作用的对象是不是包括治理员账户。通常情形下，为了幸 免引发系统没必要要的问题和便于对系统的治理，策略的作用范围应 设置为不包括库文件的所有软体文件，作用对象设置为除本地治理员 外的所有效户。设置的方式如下：(1)、单击“软件限制策略”，双击右边窗格中的“强制”属性 项目；(2)、选择“除去库文件(如D11文件)

12、之外的所有软体文件” 选项和“除本地治理员之外的所有效户”选项，单击“确信”。五、制定规那么只通过平安级别的设置，显然不能专门好的实现对文件和程序的 操纵，必需通过制定合理的规那么来标识那些禁止或许诺运行的文件 和程序，并进而实现对这些文件和程序的灵活操纵。上文中提到可制 定规那么的类型有四种：散列规那么、证书规那么、途径规那么和Internet区域规那么。它们标识文件和制定规那么的方式如下:散列规那么：利用散列算法计算出指定文件的散列，那个散列是 唯一标识该文件的一系列定长字节。制定了散列规那么后，用户访问 或运行文件时，软件限制策略会依照文件的散列及平安级别来许诺或 阻止对该文件进行访问或

13、运行。当文件移动或重命名，可不能阻碍文 件的散列，软件限制策略对该文件仍然有效。制定方式如下：(1)、点击“软件限制策略”下的“其它规那么”，在“其他规 那么”上单击右键，或在右边窗格的空白区域单击右键，选择“新散 列规那么二(2)、点击“阅读”，指定要标识的文件或程序，例如，确认后, 在文件散列中能够看到计算出来的散列，在“平安级别”当选择“不 许诺的”或“不受限的”，点击“确信”，在“其它规那么”中能够看 到新增了一条类型为散列的规那么。证书规那么：利用与文件或程序相关联的签名证书进行标识。证 书规那么需要的证书能够是自签名的、由证书颁发机构(CA)颁发或 是由Windows2000公钥机

14、构发布。证书规那么不该用于EXE文件和 DLL文件，它要紧应用于脚本和Windows安装程序包。当某个文件由 其关联的签名证书标识后，运行该文件时，软件限制策略会依照该文 件的平安级别来决定是不是能够运行。文件的移动和更名可不能对证 书规那么的应用产生阻碍。制定证书规那么时要求能够访问到用来标 识文件的证书文件，证书文件的扩展名为.CER。创建方式同散列规那 么。途径规那么：利用文件或程序的途径进行标识，该规那么能够针 对一个指定的文件、用通配符表示的一类文件或是某一途径下的所有 文件及子文件夹中的文件。由于标识是由途径来完成的，当文件移动 或重命名时，途径规那么会失去作用。在途径规那么中，依

15、照途径范 围的大小，优先级别各有高低，范围越大，优先级越低。通常途径的 优先级从高到低为：指定的文件、带途径的以通配符表示的一类文件、 通配符表示的一类文件、途径、上一级途径。创建方式同散列规那么。Internet区域规那么：利用应用程序下载的Internet区域进行 标识。区域要紧包括：Internet、本地Intranet、木地运算机、受 限制的站点、受信任的站点。该规那么要紧应用于Windows的安装程 序包。创建方式同散列规那么。六、保护可执行代码的文件类型不论是那种规那么，它所阻碍的文件类型只有“指派的文件类型” 属性中列出的那些类型，这些类型是所有规那么共享的。某些情形下， 治理员

16、可能需要删除或添加某种类型的文件，以便规那么能够对这种 文件失去或产生作用，这就需要咱们来保护“指派的文件类型”属性。 方式如下：(1)、单击“软件限制策略”，双击右边窗格中的“指派的文件 类型”属性项目；(2)、若是新增一种文件类型，在“文件扩展名”处输入添加的扩展名，点击“添加”；若是要删除一种文件类型，单击列表中的制定类型，点击“删除二7、利用规那么的优先级灵活操纵程序的运行四种规那么的优先级从高到依次为：散列规那么、证书规那么、 途径规那么、Internet区域规那么。若是有超过一条以上的规那么 同时作用于同一个程序，那么优先级最高的规那么设定的平安级别将 决定该程序是不是能运行。若是

17、多于一条的同类规那么作用于同一个 程序，那么同类规那么中最具限制力的规那么将起作用。这为咱们提 供了一条对程序的运行进行灵活操纵的途径。单一规那么的作用成效 尽管全面，可是也限制了咱们所需要的那些部份，复合规那么的综合 作用将产生诸如“除咱们需要的/不需要的之外，其他全数不许诺/ 不受限制”如此的成效，这或许才是咱们真正需要的平安级别。提示：软件限制策略的生效需要注销并从头登录系统。若是在软 件限制策略中为一个程序制定了一条平安级别为“不受限的”规那么， 而那个程序包括在“不要运行指定的Windows应用程序”策略的不许 诺运行程序列表中，那么最终那个程序是不许诺运行的。要取消对程 序的限制，需要将相关的规那么删除：在“其他规那么”中的规那么 列表中，在要删除的规那么上点击右键，选择“删除”即可。上述三种限制程序运行的方法各有特点。从限制的实现方式和成 效来看，限制用户对文件的访问权限能够让治理员以Administar