Блокировка по группе с использованием политики локального компьютера без Active Directory
Вы хотите начать использовать некоторые возможности групповой политики Active Directory.
Объекты (GPO), но по многим причинам он недоступен. Вы были
экспериментировать с защитой ваших ящиков Windows 2000 с помощью политики локального компьютера. Это намного проще и безопаснее, чем
взлома реестра, но вы быстро узнаете, что любой набор политик применим ко всем,
включая администратора. Почти никогда не то, что вы хотите. Если %systemdrive%
NTFS, вы можете использовать права доступа к файлам и каталогам NTFS, чтобы обойти это.
Политика локального компьютера Windows 2000 и Windows XP
Политики пользователей зависят от доступа на чтение к папке %systemroot%system32GroupPolicy. Хитрость: запретить чтение
доступ к любой группе, к которой вы не хотите применять локальные политики. Эта технология
ограничено тем, что вы можете иметь только два типа политик на систему. Этот
удваивает значение по умолчанию. Вы должны перейти к объектам групповой политики Active Directory, чтобы реализовать
полнофункциональная модель безопасности.
- Установите свои политики через политику локального компьютера.
Если
вы не использовали mmc- Щелкните Пуск | Запустите, введите mmc и нажмите Enter
Появится окно Console1 - Нажмите Консоль
- Выберите Добавить/удалить оснастку…
- Нажмите кнопку «Добавить»
- Прокрутите до пункта «Групповая политика» в диалоговом окне «Добавить автономную оснастку».
- Выделите оснастку «Групповая политика» и нажмите кнопку «Добавить».
- Нажмите «Готово», когда будет предложено завершить с «Локальным компьютером» в качестве групповой политики.
Объект. - Нажмите Закрыть
- Нажмите ОК
Окно Console1 возвращается - Изменить режим консоли с авторского на пользовательский.
- Нажмите Консоль
- Нажмите «Параметры».
- Выберите Пользовательский режим — ограниченный доступ — одно окно
из раскрывающегося списка режима изменения консоли - Нажмите OK (возьмите значения по умолчанию)
- Нажмите Консоль
- Нажмите Консоль
- Нажмите Сохранить как…
- Введите выбранное имя для консоли ( моя политика, локальная политика Уэйна,
пользовательская политика, что угодно - Нажмите Сохранить
- Выйти из консоли 1
- Отредактируйте локальные политики по своему усмотрению.
ваша пользовательская консоль является частью вашего
Инструменты администратора- Нажмите Пуск
- Выберите программы
- Выберите административные инструменты
- Выберите локальную политику Уэйна.
или как вы назвали консоль mmc
- Нажмите Пуск
- Щелкните Пуск | Запустите, введите mmc и нажмите Enter
- Установите разрешения NTFS, чтобы явно запретить чтение в папку %systemroot%system32GroupPolicy для группы, которой вы не
хотите, чтобы политики применялись к.Папка %systemroot%system32GroupPolicy находится
скрытый. Вам придется изменить параметры папки, чтобы отобразить скрытые файлы. - Если администратор исключен из политик, выйдите из системы и снова войдите.
Этот метод может быть очень полезен в киосках или на общих компьютерах. Это советы
Совместимость с Windows 2000 и Windows XP.
Дэвид прислал мне следующее ценное дополнение:
Однако я столкнулся с проблемой… Я сделал
%SystemRoot%system32GroupPolicy доступен администратору, чтобы я мог запустить
gpedit.msc и отредактируйте файл политики, а затем создайте каталог
недоступен администратору, как только я закончу. Однако некоторые политики принимают
место, как только вы включите их, и в итоге я заблокировал себя из
редактор политики?
Если зайти в Конфигурация компьютераАдминистративные шаблоныСистемаГруппа
Политика и конец включают «Отключить фоновое обновление групповой политики», затем
перезагрузка, это немного упрощает использование локальных политик. Это не включит политики
пока пользователь снова не войдет в систему, так что вы не испортите учетную запись администратора, пока
вошел в систему, поскольку он возился с политиками.