組策略對于系統(tǒng)管理員來說至關(guān)重要，管理員可以使用組策略而輕松的修改注冊表，如何限制用戶對本地組策略的訪問呢？下文給出了詳細(xì)的描述。

作為系統(tǒng)管理員的一個高級設(shè)置工具，組策略包含了系統(tǒng)各個方面的設(shè)置策略，不僅能增強(qiáng)系統(tǒng)的安全性，同時也可以使系統(tǒng)更有個性。通過組策略對系統(tǒng)進(jìn)行的設(shè)置，其優(yōu)先級別要高于通過控制面板進(jìn)行的設(shè)置，并且這種設(shè)置往往帶有一定的強(qiáng)制性。正是由于組策略的這種特點，對于管理員來講，通過組策略對系統(tǒng)進(jìn)行的設(shè)置并不希望其他用戶進(jìn)行更改，這就會涉及到組策略對象使用權(quán)限的問題?！　?/p>

在Windows XP系統(tǒng)中，對于本地計算機(jī)的組策略對象，用戶擁有的權(quán)限是根據(jù)用戶的賬戶類型來決定的，隸屬于administrators組中的管理員賬戶具有對組策略對象的完全控制權(quán)限，隸屬于users組中的受限用戶不能訪問本地組策略。由于XP系統(tǒng)沒有提供對本地組策略對象權(quán)限分配的機(jī)制，因此對于administrators組中的所有賬戶，包括系統(tǒng)內(nèi)建的administrator用戶，對本地組策略對象的權(quán)限都是一樣的，每個用戶都可以訪問本地組策略，并對其他用戶設(shè)置的系統(tǒng)策略進(jìn)行更改。這樣可能會造成系統(tǒng)設(shè)置的混亂，那么能不能通過其他的途徑實現(xiàn)只有administrator擁有訪問并更改本地組策略的權(quán)限，而限制其他的administrators組成員對本地組策略的訪問呢？　　

本地組策略對象保存在\windows\system32下的隱藏文件夾“GroupPolicy”中，如果XP系統(tǒng)所在的分區(qū)文件系統(tǒng)為NTFS格式，借助于NTFS文件系統(tǒng)提供的文件和文件夾安全特性，通過限制用戶對該文件夾訪問的權(quán)限，就可以輕松實現(xiàn)限制用戶對本地組策略的訪問?！　?/p>

設(shè)置文件夾“GroupPolicy”訪問權(quán)限的方法如下：　　

步驟一 以administrator用戶登錄系統(tǒng)，打開“我的電腦”，點擊窗口菜單“工具”中的“文件夾選項”，點擊“查看”選項頁，在“高級設(shè)置”列表中，選擇“隱藏文件和文件夾”下的“顯示所有文件和文件夾”選項，點擊“確定”；　　

步驟二 打開\windows\system32文件夾，定位隱藏文件夾“GroupPolicy”，單擊右鍵，選擇“屬性”;　　

步驟三 點擊“安全”選項頁，選擇“高級”，取消“從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目，包括那些在此明確定義的項目”復(fù)選框的選擇；

步驟四 在彈出的信息窗口中點擊“刪除”按鈕，此時“權(quán)限項目”列表被清空，如圖1所示；

步驟五 點擊“添加”｜“高級”｜“立即查找”，在窗口下方的列表中選擇“administrator”用戶，點擊“確定”返回上一級窗口，再點擊“確定”；

步驟六 在“GroupPolicy的權(quán)限項目”窗口中，點擊“權(quán)限”列表中“允許”列的“完全控制”選擇框，再點擊“確定”，如圖2所示；　　

步驟七 點擊“確定”，此時可以看到只有administrator一個用戶對文件夾“GroupPolicy”具有完全控制的權(quán)限，如圖3所示。點擊“確定”，完成權(quán)限的設(shè)置。

對“GroupPolicy”文件夾完成了權(quán)限設(shè)置后，用戶只有以administrator賬戶登錄系統(tǒng)才能訪問本地組策略對象，并對策略進(jìn)行設(shè)置和更改。其他的administrators組中的成員登錄系統(tǒng)后，無論是通過運行mmc命令，啟動控制臺加載“組策略”管理單元，還是運行g(shù)pedit.msc啟動組策略編輯器，系統(tǒng)都會顯示如圖4所示的錯誤信息。

采取這種方法限制用戶對本地組策略的訪問，需要注意兩點：　　

首先，以內(nèi)建的administrator用戶擁有***的訪問權(quán)限為原則，對系統(tǒng)進(jìn)行的任何策略設(shè)置必須以administrator賬戶身份來完成。

其次，XP系統(tǒng)所在的分區(qū)格式必須是NTFS，否則無法對文件和文件夾的訪問權(quán)限進(jìn)行分配。

希望本文介紹的限制用戶對本地組策略的訪問方法能夠?qū)ψx者有所幫助，更多有關(guān)組策略的知識還有待于讀者去學(xué)習(xí)和掌握。

【編輯推薦】

1. 靈活運用組策略實例
2. Windows XP技巧之組策略技巧
3. 組策略在系統(tǒng)安全方面的十大應(yīng)用
4. Windows Server 2003組策略故障排除
5. 如何使用Vista系統(tǒng)組策略保障USB設(shè)備安全？