電腦賬戶權(quán)限限制

1、當(dāng)你的電腦經(jīng)常需要被別人使用，但是你又不希望別人看你的某些重要文件或者不允許別人運(yùn)行某些應(yīng)用程序或者擔(dān)心自己系統(tǒng)某些重要參數(shù)被修改時，你可以先以管理員身份登錄Windows 系統(tǒng)，參照以下幾條作相應(yīng)設(shè)置，然后開通來賓賬戶或者新建一個普通user 賬戶（不是管理員，而是受限用戶），讓別人用這個賬戶登錄系統(tǒng)，這時你就可以放心你的電腦任意讓別人折騰。一、限制用戶對文件的訪問權(quán)限如果程序所在的磁盤分區(qū)文件系統(tǒng)為NTFS 格式，管理員賬戶可以利用NTFS文件系統(tǒng)提供的文件和文件夾安全選項控制用戶對程序及文件的訪問權(quán)限。通常情況下， 一個應(yīng)用程序安裝到系統(tǒng)后，本地計算機(jī)的所有賬戶都可以訪問并運(yùn)行該應(yīng)用程序

2、。如果取消分配給指定用戶對該應(yīng)用程序或文件夾的訪問權(quán)限，該用戶也就失去了運(yùn)行該應(yīng)用程序的能力。例如，要禁止受限用戶運(yùn)行Outlook Express 應(yīng)用程序，可以進(jìn)行如下的操作：（ 1） 、 以 administrator 賬戶登錄系統(tǒng)，如果當(dāng)前系統(tǒng)啟用了簡單文件共享選項，需要將該選項關(guān)閉。具體做法是，在 Windows 瀏覽器窗口點擊“工具 ”菜單下的 “文件夾選項”， 點擊 “查看 ”選項頁， 取消 “使用簡單文件共享”選項的選擇，點擊 “確定 ”。（ 2）、打開Program Files 文件夾，選中Outlook Express 文件夾并單擊右鍵，選擇 “屬性 ”。（ 3）、點擊“安

3、全 ”選項頁，可以看到Users 組的用戶對該文件夾具有讀取和運(yùn)行的權(quán)限，點擊“高級 ”。（ 4）、取消 “從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目，包括那些再次明確定義的項目”選項的選擇， 在彈出的提示信息對話框，點擊 “復(fù)制 ”，此時可以看到用戶所具有的權(quán)限改為不繼承的。（ 5） 、 點擊 “確定 ”， 返回屬性窗口，在 “用戶或組名稱 ”列表中， 選擇 Users 項目，點擊 “刪除 ”，點擊 “確定 ”，完成權(quán)限的設(shè)置。要取消指定用戶對文件或程序的訪問限制，需要為文件或文件夾添加指定的用戶或組并賦予相應(yīng)的訪問權(quán)限。這種方法允許管理員針對每個用戶來限制他訪問和運(yùn)行指定的應(yīng)用程序的權(quán)限。但

4、是這需要一個非常重要的前提，那就是要求應(yīng)用程序所在的分區(qū)格式為NTFS,否則，一切都無從談起。對于 FAT/FAT32 格式的分區(qū)，不能應(yīng)用文件及文件夾的安全選項，我們可以通過設(shè)置計算機(jī)的策略來禁止運(yùn)行指定的應(yīng)用程序。二、啟用“不要運(yùn)行指定的 Windows 應(yīng)用程序”策略在組策略中有一條名為“不要運(yùn)行指定的Windows 應(yīng)用程序 ”策略，通過啟用該策略并添加相應(yīng)的應(yīng)用程序，就可以限制用戶運(yùn)行這些應(yīng)用程序。設(shè)置方法如下：（ 1）、在 “開始 ”“ 運(yùn)行 ”處執(zhí)行 gpedit.msc 命令，啟動組策略編輯器，或者運(yùn)行mmc 命令啟動控制臺，并將“組策略 ”管理單元加載到控制臺中；（ 2）、依

5、次展開“, 本地計算機(jī)?策略”“ 用戶設(shè)置 ”“ 管理模板”，點擊 “系統(tǒng) ”，雙擊右側(cè)窗格中的“不要運(yùn)行指定的 Windows 應(yīng)用程序”策略， 選擇 “已啟用 ”選項， 并點擊 “顯示 ”。（ 3）、點擊“添加 ”，輸入不運(yùn)行運(yùn)行的應(yīng)用程序名稱，如命令提示符cmd.exe ，點擊 “確定 ”，此時，指定的應(yīng)用程序名稱添加到禁止運(yùn)行的程序列表中。（ 4）、點擊“確定 ”返回組策略編輯器，點擊“確定 ”，完成設(shè)置。當(dāng)用戶試圖運(yùn)行包含在不允許運(yùn)行程序列表中的應(yīng)用程序時，系統(tǒng)會提示警告信息。把不允許運(yùn)行的應(yīng)用程序復(fù)制到其他的目錄和分區(qū)中，仍然是不能運(yùn)行的。要恢復(fù)指定的受限程序的運(yùn)行能力，可以將 “

6、不要運(yùn)行指定的Windows 應(yīng)用程序 ”策略設(shè)置為“未配置 ”或 “已禁用 ”，或者將指定的應(yīng)用程序從不允許運(yùn)行列表中刪除（這要求刪除后列表不會成為空白的）。這種方式只阻止用戶運(yùn)行從Windows 資源管理器中啟動的程序，對于由系統(tǒng)過程或其他過程啟動的程序并不能禁止其運(yùn)行。該方式禁止應(yīng)用程序的運(yùn)行，其用戶對象的作用范圍是所有的用戶，不僅僅是受限用戶，Administrators 組中的賬戶甚至是內(nèi)建的administrator 帳戶都將受到限制，因此給管理員帶來了一定的不便。 當(dāng)管理員需要執(zhí)行一個包含在不允許運(yùn)行列表中的應(yīng)用程序時，需要先通過組策略編輯器將該應(yīng)用程序從不運(yùn)行運(yùn)行列表中刪除，在

7、程序運(yùn)行完成后，再將該程序添加到不允許運(yùn)行程序列表中。需要注意的是，不要將組策略編輯器（ gpedit.msc ）添加到禁止運(yùn)行程序列表中，否則會造成組策略的自鎖，任何用戶都將不能啟動組策略編輯器，也就不能對設(shè)置的策略進(jìn)行更改。提示： 如果沒有禁止運(yùn)行“命令提示符”程序的話，用戶可以通過cmd 命令， 從 “命令提示符”運(yùn)行被禁止的程序，例如，將記事本程序 （notepad.exe） 添加不運(yùn)行列表中，通過XP 的桌面運(yùn)行該程序是被限制的，但是在“命令提示符”下運(yùn)行notepad 命令，可以順利的啟動記事本程序。因此，要徹底的禁止某個程序的運(yùn)行，首先要將cmd.exe 添加到不允許運(yùn)行列表中。

8、三、設(shè)置軟件限制策略軟件限制策略是本地安全策略的一個組成部分，管理員通過設(shè)置該策略對文件和程序進(jìn)行標(biāo)識，將它們分為可信任和不可信任兩種，通過賦予相應(yīng)的安全級別來實現(xiàn)對程序運(yùn)行的控制。這個措施對于解決未知代碼和不可信任代碼的可控制運(yùn)行問題非常有效。軟件設(shè)置策略使用兩個方面的設(shè)置對程序進(jìn)行限制：安全級別和其他規(guī)則。安全級別分為“不允許的 ”和 “不受限制的”兩種。 其中， “不允許的 ”將禁止程序的運(yùn)行，不論用戶的權(quán)限如何；“不受限的 ”允許登錄用戶使用他所擁有的權(quán)限來運(yùn)行程序。其它規(guī)則，即由管理員通過制定規(guī)則對指定的一批或一個文件和程序進(jìn)行標(biāo)識，并賦予 “不允許的 ”或 “不受限的 ”安全級別。

9、在這個部分中，管理員可以制定四種類型的規(guī)則，按照優(yōu)先級別分別是：散列規(guī)則、證書規(guī)則、路徑規(guī)則和Internet區(qū)域規(guī)則，這些規(guī)則將對文件的訪問和程序的運(yùn)行提供最大限度的授權(quán)級別。軟件限制策略的設(shè)置1 、訪問軟件限制策略作為本地安全策略的一部分，軟件限制策略同時也包含在組策略中，這些策略的設(shè)置必須以administrator 賬戶或 Administrators 組成員的身份登錄系統(tǒng)。軟件限制策略的訪問方式有兩種：（ 1）、在 “開始 ”“ 運(yùn)行 ”處運(yùn)行 secpol.msc ，啟動本地安全策略編輯器，在“安全設(shè)置 ”下可以看到 “軟件限制策略 ”項目。（ 2）、在 “開始 ”“ 運(yùn)行 ”處運(yùn)

10、行 gpedit.msc ，啟動組策略編輯器，在“計算機(jī)設(shè)置” “Window®置"安全設(shè)置'下可以看到 軟件限制策略”。2、新建軟件限制策略首次打開“軟件限制策略 ”時，該項目是空的。策略需要由管理員手動添加。方法是點擊 “軟件限制策略”使其處于選中狀態(tài)，點擊編輯器窗口“操作 ”菜單下的“新建一個策略”項目，此時可以看到 “軟件限制策略 ”下增加了“安全級別 ”和 “其它規(guī)則 ”以及三條屬性，如圖 2 所示。 一旦執(zhí)行了新建策略操作后，就不能再次執(zhí)行該操作，并且這個策略也不能刪除。3、設(shè)置默認(rèn)的安全級別新建軟件限制策略后，策略的默認(rèn)安全級別為“不受限的 ”，如果要

11、更改默認(rèn)的安全級別，需要在“安全級別 ”中進(jìn)行設(shè)置，方法如下：（ 1）、打開“安全級別 ”，在右側(cè)窗格中，可以看到有兩條設(shè)置，其中圖標(biāo)中帶有一個小對號的設(shè)置為默認(rèn)設(shè)置；（2） 、 點擊不是默認(rèn)值的那條設(shè)置，單擊右鍵，選擇 “設(shè)置為默認(rèn)”項。 當(dāng)設(shè)置 “不允許的 ”為默認(rèn)值時，系統(tǒng)會顯示一個提示信息對話框，點擊“確定 ”即可。該步驟也可以雙擊非默認(rèn)的設(shè)置，在彈出的屬性窗口中，點擊“設(shè)為默認(rèn)值”。4、設(shè)置策略的作用范圍和對象通過策略的“強(qiáng)制 ”屬性可以設(shè)置策略應(yīng)用的軟件文件是否包含庫文件以及作用的對象是否包含管理員賬戶。通常情況下，為了避免引起系統(tǒng)不必要的問題以及便于對系統(tǒng)的管理，策略的作用范圍應(yīng)

12、設(shè)置為不包含庫文件的所有軟體文件，作用對象設(shè)置為除本地管理員外的所有用戶。設(shè)置的方法如下：（ 1）、單擊“軟件限制策略”，雙擊右側(cè)窗格中的 “強(qiáng)制 ”屬性項目；（2）、選擇“除去庫文件（如Dll 文件）以外的所有軟體文件”選項和 “除本地管理員以外的所有用戶”選項，單擊“確定 ”。5、制定規(guī)則只通過安全級別的設(shè)置，顯然不能很好的實現(xiàn)對文件和程序的控制，必須通過制定合理的規(guī)則來標(biāo)識那些禁止或允許運(yùn)行的文件和程序，并進(jìn)而實現(xiàn)對這些文件和程序的靈活控制。上文中提到可制定規(guī)則的類型有四種：散列規(guī)則、證書規(guī)則、路徑規(guī)則和Internet 區(qū)域規(guī)則。它們標(biāo)識文件以及制定規(guī)則的方法如下：散列規(guī)則：利用散列算

13、法計算出指定文件的散列，這個散列是唯一標(biāo)識該文件的一系列定長字節(jié)。制定了散列規(guī)則后，用戶訪問或運(yùn)行文件時，軟件限制策略會根據(jù)文件的散列及安全級別來允許或阻止對該文件進(jìn)行訪問或運(yùn)行。當(dāng)文件移動或重命名，不會影響文件的散列，軟件限制策略對該文件依然有效。制定方法如下：（ 1）、點擊“軟件限制策略”下的 “其它規(guī)則 ”，在 “其他規(guī)則 ”上單擊右鍵，或在右側(cè)窗格的空白區(qū)域單擊右鍵，選擇“新散列規(guī)則 ”。（2）、點擊“瀏覽 ”，指定要標(biāo)識的文件或程序，例如cmd.exe ，確認(rèn)后，在文件散列中可以看到計算出來的散列，在“安全級別 ”中選擇 “不允許的 ”或 “不受限的 ”，點擊 “確定 ”，在 “其它

14、規(guī)則 ”中可以看到新增了一條類型為散列的規(guī)則。證書規(guī)則：利用與文件或程序相關(guān)聯(lián)的簽名證書進(jìn)行標(biāo)識。證書規(guī)則需要的證書可以是自簽名的、由證書頒發(fā)機(jī)構(gòu)（CA）頒發(fā)或是由Windows2000公鑰機(jī)構(gòu)發(fā)布。 證書規(guī)則不應(yīng)用于EXE 文件和 DLL 文件， 它主要應(yīng)用于腳本和Windows安裝程序包。當(dāng)某個文件由其關(guān)聯(lián)的簽名證書標(biāo)識后，運(yùn)行該文件時，軟件限制策略會根據(jù)該文件的安全級別來決定是否可以運(yùn)行。文件的移動和更名不會對證書規(guī)則的應(yīng)用產(chǎn)生影響。制定證書規(guī)則時要求能夠訪問到用來標(biāo)識文件的證書文件，證書文件的擴(kuò)展名為.CER。創(chuàng)建方法同散列規(guī)則。路徑規(guī)則：利用文件或程序的路徑進(jìn)行標(biāo)識，該規(guī)則可以針對一

15、個指定的文件、用通配符表示的一類文件或是某一路徑下的所有文件及子文件夾中的文件。由于標(biāo)識是由路徑來完成的，當(dāng)文件移動或重命名時，路徑規(guī)則會失去作用。在路徑規(guī)則中，根據(jù)路徑范圍的大小，優(yōu)先級別各有高低，范圍越大，優(yōu)先級越低。通常路徑的優(yōu)先級從高到低為：指定的文件、帶路徑的以通配符表示的一類文件、通配符表示的一類文件、路徑、上一級路徑。創(chuàng)建方法同散列規(guī)則。Internet 區(qū)域規(guī)則：利用應(yīng)用程序下載的Internet 區(qū)域進(jìn)行標(biāo)識。區(qū)域主要包括：Internet、本地Intranet、本地計算機(jī)、受限制的站點、受信任的站點。該規(guī)則主要應(yīng)用于Windows 的安裝程序包。創(chuàng)建方法同散列規(guī)則。6、維護(hù)

16、可執(zhí)行代碼的文件類型不論是那種規(guī)則，它所影響的文件類型只有“指派的文件類型”屬性中列出的那些類型， 這些類型是所有規(guī)則共享的。某些情況下，管理員可能需要刪除或添加某種類型的文件，以便規(guī)則能夠?qū)@類文件失去或產(chǎn)生作用，這就需要我們來維護(hù)“指派的文件類型”屬性。方法如下：（ 1）、單擊“軟件限制策略”，雙擊右側(cè)窗格中的 “指派的文件類型”屬性項目；（ 2）、如果新增一種文件類型，在“文件擴(kuò)展名 ”處輸入添加的擴(kuò)展名，點擊 “添加 ”；如果要刪除一種文件類型，單擊列表中的制定類型，點擊 “刪除 ”。7、利用規(guī)則的優(yōu)先級靈活控制程序的運(yùn)行四種規(guī)則的優(yōu)先級從高到依次為：散列規(guī)則、證書規(guī)則、路徑規(guī)則、In

17、ternet 區(qū)域規(guī)則。 如果有超過一條以上的規(guī)則同時作用于同一個程序，那么優(yōu)先級最高的規(guī)則設(shè)定的安全級別將決定該程序是否能運(yùn)行。如果多于一條的同類規(guī)則作用于同一個程序，那么同類規(guī)則中最具限制力的規(guī)則將起作用。這為我們提供了一條對程序的運(yùn)行進(jìn)行靈活控制的途徑。單一規(guī)則的作用效果雖然全面，但是也限制了我們所需要的那些部分，復(fù)合規(guī)則的綜合作用將產(chǎn)生諸如“除了我們需要的/不需要的以外，其他全部不允許/不受限制 ”這樣的效果，這也許才是我們真正需要 的安全級別。提示： 軟件限制策略的生效需要注銷并重新登錄系統(tǒng)。如果在軟件限制策略中為一個程序制定了一條安全級別為“不受限的 ”規(guī)則， 而這個程序包含在“不要運(yùn)行指定的 Windows 應(yīng)用程序”策略的不允許運(yùn)行程序列表中，那么最終這個程序是不允許運(yùn)行的。要取消對程序的限制，需要將相關(guān)的規(guī)則刪除：在“其他規(guī)則”中的規(guī)則列表中，在要刪除的規(guī)則上點擊右鍵，選擇“刪除 ”即可。上述三種限制程序運(yùn)行的措施各有特點。從限制的實現(xiàn)方法和效果來看，限制用戶對文件的訪問權(quán)限可以讓管理員以Admi