简介:首席执行官在本文中注明将介绍XP帐户权威含义的相关内容。我希望这对每个人都会有所帮助。让我们来看看。
1.限制用户访问文件的访问
如果程序所在的磁盘分区文件系统为NTFS格式,则管理员帐户可以使用NTFS文件系统提供的文件和文件夹安全选项来控制用户对程序和文件的访问,在正常情况下,已安装到系统中,本地计算机的所有帐户都可以访问并运行应用程序。如果您取消指定用户对应用程序或文件夹的访问权限,则用户将失去运行应用程序的能力。
例如,为了禁止受限制的用户运行Outlook Express应用程序,可以执行以下操作:
(1)使用管理员帐户登录到系统。如果当前系统启用了一个简单的文件共享选项,则需要关闭该选项。特定方法是单击Windows浏览器窗口上“工具”菜单下的“文件夹选项”,请单击“视图”选项页面,取消选择“使用简单文件共享”选项,然后单击“确定”。
(2)打开程序文件文件夹,选择“ Outlook Express”文件夹和右键单击以选择“属性”。
(3)单击“安全性”选项页面,您可以看到用户组中的用户具有读取和运行文件夹的权限,然后单击“高级”。
(4)取消选择“可以应用于子对象的父项目,包括再次定义的项目“选项”,在“提示信息”对话框中,单击“复制”此时,您可以看到目前,您目前可以看到,目前可以看到。您目前可以看到。您目前可以看到。您目前可以看到。用户的权限未继承。
(5)单击“确定”以返回属性窗口。在“用户或组名称”列表中,选择“用户”项目,单击“删除”,单击“确定”以完成权限设置。
要取消用户对文件或程序上的访问限制,您需要将指定的用户或组添加到文件或文件夹中,并提供相应的访问权限。
此方法允许管理员限制其访问权限并为每个用户运行指定的应用程序权限。但是,这需要一个非常重要的前提,即应用程序所在的分区格式为NTFS,否则将不会提及所有内容。
对于Fat/Fat32格式,无法应用文件和文件夹的安全选项。我们可以通过设置计算机策略来禁止运行指定的应用程序。
第二,启用“不要运行指定的Windows应用程序”策略
在小组策略中,有一种称为“不运行指定的Windows应用程序”策略的策略。通过启用策略并添加相应的应用程序,您可以限制用户运行这些应用程序。设置方法如下:
(1)在“开始”和“运行”,启动组策略编辑器或运行MMC命令以启动控制台并将“组策略”管理单元加载到控制台;
(2)扩展“本地计算机'策略”,“用户设置”和“管理模板”,单击“系统”,双击“请勿在右窗格中运行指定的Windows应用程序”策略,然后选择“”启用“选项,然后单击“显示”。
(3)单击“添加”,然后输入未运行的应用程序名称,例如命令提示符cmd.exe,单击“确定”,此时,指定的应用程序名称已添加到禁止的操作列表中。
(4)单击“确定”以返回组策略编辑器,单击“确定”以完成设置。
当用户试图运行运行程序列表中包含的应用程序时,系统会提示警告信息。复制应用程序不允许运行到其他目录,并且分区仍无法运行。恢复指定限制程序的操作能力,您可以将“不运行指定的Windows应用程序”策略设置为“ Unconfigure”或“禁用”,或者从指定的应用程序中删除指定的应用程序(这是此列表必须删除。空白的)。
此方法仅阻止用户从Windows Resource Manager启动程序。对于系统或其他过程开始的过程,它不能禁止它运行。该方法禁止应用程序的操作。其用户对象的范围是所有用户,不仅有限的用户。管理员组中的帐户甚至是构建的管理员帐户都必须有限。当管理员需要执行包含在不可允许操作列表中的应用程序时,有必要首先从不需要的情况下删除该应用程序通过小组策略编辑的操作列表。允许运行程序列表。应该注意,不将小组策略编辑器(gpedit.msc)添加到禁止操作列表中,否则会导致组策略的自锁。改变。
提示:如果不禁止“命令提示符”程序,则用户可以从“命令提示符”运行以通过cmd command.xp的桌面运行该程序,但在“命令”下运行记事本命令,以运行禁止的程序。提示“可以顺利地启动该程序的记事本。因此,要完全禁止程序的操作,请首先将CMD.EXE添加到缺乏操作中。
3.设置软件限制策略
软件限制策略是本地安全策略不可或缺的一部分。管理员通过设置策略将它们分为两种类型来识别文件和程序:可信赖和不可靠的措施非常有效地解决未知代码和未创建代码的控制操作问题。Software设置策略使用两个方面来限制该方面程序:安全级别和其他规则。
安全级别分为两种类型:“不允许”和“无限”。在他们之内,“不允许”禁止该程序的操作,无论用户的权限如何;“无限”允许登录用户使用他拥有的权限运行该程序的权限。
管理员确定其他规则,通过制定规则,并提供“非允许”或“无限”的安全级别来制定指定的批处理或文件和程序。在本节中,管理员可以根据该规则制定四种类型的规则。优先级:裁定规则,证书规则,路径规则和Internet区域规则。
软件限制策略设置
1.访问软件限制策略
作为本地安全策略的一部分,小组策略也包括软件限制策略。这些策略的设置必须登录为管理员帐户的成员或管理员组的成员。有两种类型的软件限制策略:
(1)在“开始”和“运行”,启动本地安全策略编辑器上运行secpol.msc,您可以在“安全设置”下看到“软件限制策略”项目。
(2)在“开始”和“运行”中运行gpedit.msc,启动组策略编辑器,并在“计算机设置”,“ Windows设置”和“安全设置”下查看“软件限制策略”。
2.新的软件限制策略
当第一次打开“软件限制策略”时,该项目是空的。管理员需要手动添加该策略。该方法是单击“软件限制策略”以使其选择。单击编辑窗口“操作”菜单下的“新策略”项目。其他规则”和三个属性,如图2所示。在执行新策略操作时,无法再次执行操作,并且无法删除此策略。
3.设置默认安全级别
在新的软件限制策略之后,该策略的默认安全级别为“无限”。如果要更改默认安全级别,则需要在“安全级别”中设置它。该方法如下:
(1)打开“安全水平”。在右窗格中,您可以看到两个设置,其中图标设置为带有一对符号的默认设置;
(2)单击不是默认值的设置。单击右键,然后选择“设置为默认”项目。当“不允许”是默认值时,系统将显示一个提示信息对话框,然后单击“确定”。
此步骤还可以双击非默认设置。在POP -UP属性窗口中,单击“设置为默认值”。
4.设定策略的作用的范围和对象
通过策略的“强制性”属性,策略文件可以设置库文件和角色的对象包括管理员帐户。在正常情况下,以避免系统的不必要问题并促进管理在系统中,应将策略的范围设置为所有不包括库文件的软件文件,并且ACTING对象设置为除本地管理员以外的所有用户。设置方法如下:
(1)单击右窗格中的“软件限制策略”,然后双击“强制性”属性项目;
(2)选择“除DLL文件(例如DLL文件)以外的所有软件文件”和“除本地管理员除外的所有用户”选项,请单击“确定”。
5.制定规则
只有通过安全级别的设置,显然无法很好地控制文件和程序。有必要制定一个合理的规则,以识别禁止或允许运行的文件和程序,然后对这些文件和程序进行灵活的控制。证书规则,路径规则和Internet区域规则。识别文件和制定规则的方法如下:
LOLTICA规则:使用扩展算法来计算指定文件的设计。这是一系列固定长度字节来识别文件。在制定后一个规则后,当用户访问或运行文件时,软件限制策略将允许或阻止文件根据零星访问或运行文件和文件的安全级别。当文件移动或重命名时,它不会影响分散的文件,并且软件限制策略仍然对文件有效。该方法如下:
(1)单击“软件限制策略”下的“其他规则”,对“其他规则”或右窗格空白区域中的右键单击,然后选择“新的Lollow规则”。
(2)单击“浏览”并指定要识别的文件或程序,例如cmd.exe。确认后,您可以在文件分布中看到计算出的散布。在“安全级别”或“无限”中,单击“确定”,您可以在“其他规则”中看到一种新的规则。
证书规则:使用与文件或程序相关的签名证书进行身份证明。证书规则要求的证书可以由证书规则签署,由证书发行机构(CA)发行或由Windows2000公共密钥机构发布。将EXE文件和DLL文件主要用于脚本和Windows安装程序。当文件通过其关联的签名证书标识时,文件正在运行,并且软件限制策略将决定是否根据安全级别运行文件。文件的移动和重命名不会影响证书规则的申请。在制定证书的证书时,必须可访问用于识别文件的证书文档。创建方法是相同的作为扩展规则。
路径规则:使用文件或程序的路径来识别它。该规则可以由指定的文件,通过传递符号表示的文件类型或在特定路径下的子文件夹中的所有文件和文件表示。当文件被移动或重命名时。在路径规则中,根据路径范围的大小,优先级具有每个级别,范围越大,优先级越小。从基因上讲,路径从高到低的路径的优先级IS:一类文件,路径和上层由指定的文件和路径表示,带有传递符号,通道和类别。创建方法与扩展规则相同。
Internet区域规则:使用Internet下载的Internet区域来识别。该区域主要包括:Internet,本地Intranet,本地计算机,受限制网站,受信任的网站。此规则主要应用于Windows安装程序包。创建方法与该规则相同。扩展规则。
6.维护可以执行代码的文件类型
无论采用哪种规则,影响的文件类型仅是所有规则共享的“分配的文件类型”属性中列出的类型。在某些情况下,管理员可能需要删除或添加某些类型的文件,规则可以丢失或产生此类文档,这要求我们维护“分配的类型”属性。
(1)单击“软件限制策略”,然后双击右窗格中的“分配的文件类型”属性项目;
(2)如果添加了新的文件类型,请在“文件扩展名称”中输入添加的扩展名,然后单击“添加”;如果要删除文件类型,请单击列表中的类型,请单击“删除” Essence
7.使用优先级规则来运行灵活控制程序的操作
这四个规则的优先级是从高到高到:扩展规则,证书规则,路径规则和互联网区域规则。设置将确定该程序是否可以运行。如果使用更多类似的规则在同一程序上采取行动,那么类似规则中最有限的规则将扮演角色。这为我们提供了对程序操作的灵活控制。尽管单一规则的效果是全面的,它也限制了我们需要的零件。综合规则的全面作用将产生诸如“我们需要/不必要/无限限制”之类的效果。这可能是我们真正需要的安全水平。
提示:软件限制策略的有效性需要取消并登录到系统。如果为软件限制策略中的程序制定了“无限”规则的安全级别,并且该程序包含在“ DO中”不运行指定的Windows应用程序“策略,不允许运行。要取消程序的限制,需要删除相关规则:在“其他规则”列表中选择“删除”。
以上限制程序的三个措施具有其自身的特征。从限制的实施方法和效果的角度来看,限制用户对文件的访问权限可以允许管理员控制所有用户作为管理帐户的权限。战略措施,无论是启用“不运行指定的Windows应用程序”策略还是设定软件限制策略。对于用户对象限制用户的范围,要么除管理员组以外的所有用户。但是,这些措施对系统环境没有很高的要求,并且可以在XP系统中实现。此外,基于战略性的设置可以更重要尤其是计算机的灵活性,软件限制策略允许管理员通过多种方式识别程序,该方式具有很高的程序操作可控性。
合规性简介介绍管理员管理员组。默认情况下,管理员中的用户可以无限制地访问计算机。分配给组的默认权限允许完全控制整个系统。电源用户的成员可以创建一个用户帐户,然后修改并删除他们创建的帐户。可以创建本地组,然后将用户添加到他们创建的本地组或从他们中删除的本地组。他们还可以将用户添加到电源用户,用户和访客或从中删除。会员可以创建共享资源并管理共享资源他们创建了他们。他们无法获得所有权,备份或还原目录,加载或卸载设备驱动程序,或者管理安全和查看日志。对于普通用户组,该组中的用户无法进行故意或无意的更改。因此,用户可以运行经过验证的应用程序。,但不要运行大多数旧应用程序。用户组是最安全的组,因为分配给组的默认权限不允许成员修改设置或US用户组提供了最安全的程序操作环境。在NTF的格式下,该组成员禁止默认安全设置危害操作系统和安装程序的完整性。用户无法使用。修改系统注册表设置,操作系统文件或程序文件。用户可以创建一个本地组,但只能修改他们创建的本地组。用户可以关闭工作站,但是服务器的成员不能关闭。Backupoperators.backup operators.this。是因为执行备份任务的权利比所有文件权限都高。该组的成员无法更改安全设置。来宾Laibang Group具有与普通用户组成员相同的访问权限, 但是,对来宾帐户的限制是更多的网络配置运算符管理和配置的网络连接,可以执行某些已安装的程序。RemoteDesktop用户具有可以执行某些已安装程序的远程登录权限。ReplicatorReplicplicatorGroup支持复制功能。复制器组应为注册域控制器的coelewriter服务的域用户帐户。请勿将实际用户的用户帐户添加到本组中,您可以执行一些已安装的程序。HelpServicesGroup管理员可以使用此组来设置所有组件支持应用程序的权限。默认情况下,唯一的组成员是与Microsoft关联的帐户支持应用程序(例如远程帮助)。您可以执行某些安装程序。
1:标准用户
该用户可以修改大多数计算机系统,安装不修改操作系统文件并且不需要安装系统服务,创建和管理本地用户帐户和组,启动或停止服务的应用程序,但无法访问NTFSTHSTHE,分区属于其他用户的私人文档。
2:受限用户
用户可以操作计算机并保存文档,但不能安装程序或执行可能具有潜在破坏性的任何潜在破坏性修改。
3:其他用户
(1)系统管理员 - 有计算机的完整访问控件。
(2)备份操作员无法更改安全设置
(3)用户有限用户的客人 - 招待会
(4)高级用户 - 过选和标准用户
在XP中设置用户权限,并按照以下步骤操作:
在“控制面板”中输入“控制面板”,双击“管理工具”,以打开“管理工具”,在“管理工具”中打开“管理工具”,以打开计算机管理控制台,在舞台左侧的窗口中的“计算机管理” controundouble -cloctouble -click“本地用户和组”,然后在下面的“用户”,右窗口显示了此计算机上的所有用户。更改用户信息,右 - 单击右窗口上的用户图标,即弹出快捷菜单,菜单包括:设置密码,删除,重命名,属性,帮助等。您可以执行相应的操作。单击属性pop -up属性对话框。“常规”选项卡可以设置用户密码安全性,帐户的帐户锁定等。“会员”选项卡可以更改用户组。单击“删除”以按New new以删除列表中的所有用户,请单击“添加”,然后按新的新,弹出“选定组”对话框柜,单击“高级”以按新的新新,单击“立即查找”。在下面的列表框中列出了所有用户组。管理员组是管理员组(成员拥有所有权),电源用户组是超级用户组(成员具有所有权,除了可以安装的计算机管理外),userer),用户使用者)该组是一般用户组(成员仅执行程序,无法安装和删除程序)。选择用户组后,单击“确定”,单击“确定”,然后单击“确定”以关闭“属性”对话框以更改将用户到新用户组(具有新用户组的权限)。重新启动计算机后,请更改效果。
在家庭或单元中,可能存在多个用户的现象。根据每个用户的需求,相应的权限是合理设置的。在WinXP中,您可以轻松完成这些设置(请在该设置中使用多个用户的设置家庭为例)。
1.禁止安装软件
如果孩子总是喜欢无休止地在计算机中安装游戏软件,那么您如何禁止其安装权?最有效的方法是为它们创建一个限制性帐户。这样,当孩子用他的帐户登录WinxP时,他只能运行预装程序并访问它。这是正确的。创建有限帐户的具体步骤如下:
1.首先登录到WinXP作为系统管理员(管理员)。
2.单击以选择“启动→控制面板”命令,然后在“控制面板”窗口中仔细检查“用户帐户”图标。
3.在POP -UP窗口任务列表中,单击“创建新用户”^39020301A^1,然后在指南窗口的文本框中输入名称(例如“月亮”)。此名称将出现在“欢迎屏幕”或“开始”菜单中,单击“下一个”按钮。
4.在新出现的屏幕中,提供了“计算机管理员”和“限制”权限。用鼠标选择“有限的”单选按钮,然后单击^3902030301B^2。
此外,在“任务列表”窗口中,您还可以完成构建帐户的操作和删除。
2.帐户管理助手 - 家庭成员组
如果您希望其他用户仅具有其他文件夹的读取权限,则通常的方法是增强每个帐户的能力。如果有更多用户,则此方法更麻烦。为了解决这个问题,是创建一个家庭成员组。只要将其他帐户添加到该组,然后分配了该组,则该组中的所有用户都具有此权限。创建组的具体步骤如下:
1.单击以选择“启动→控制面板”命令,依次双击“管理工具→计算机管理”图标,然后弹出“计算机管理”窗口。
2.在左窗格的树形结构中,逐步启动“系统工具→本地用户和组”,并且有两个选项:“用户”和“组”此分支下方。选择“组”组。。在右窗格中,您会发现“管理员”,“电源用户”,“用户”和“访客”是构建的 - 组中^39020301C^3。
3.选择“操作→新组”命令以在“组名称”框中弹出“新组”窗口。Enter“ Home Member”,然后单击“创建”按钮以创建组。
4.接下来,填写组的成员,单击“添加”按钮以弹出“选择用户”窗口^39020301d^4。
5.单击“对象类型”按钮以将对象类型选择为“用户”;然后单击“高级”按钮。
6.在进一步选择的用户窗口中单击“立即查找”,在搜索结果列表中选择“ Sun”用户,单击“确定”按钮^39020301E^5,将“ Sun”帐户添加到组,然后组使用相同的方法将其他用户添加到此组中。
3. WINXP还可以实施标准帐户权限
在家庭成员中,如果用户想获得类似于Win2000竞标帐户的权限,WinxP并未直接提供创建此类帐户的功能,那么我们应该如何意识到它?特定的设置步骤如下:
1.在“系统工具→本地用户和组”窗口的“本地用户和组”分支下,选择“组”选项,然后在右窗格中仔细单击“用户”组,以弹出“ Sun Properties”窗口。单击列表中的“ Sun”,然后单击“删除”按钮以删除帐户,然后单击“确定”按钮以返回“计算机管理”窗口。
2.双击“电源用户”组,单击“电源用户”属性窗口中的“添加”按钮,然后根据上述方法将“ Sun”帐户添加到“电源用户”组中。
这样,限制帐户太阳可以获得标准帐户的权限,并且可以提起软件安装限制。
第四,在文件中添加护身符
当多人共享一台计算机时,您必须担心您的文档主要由其他人删除,或者秘密文档被窥视。如果使用NTFS文件系统,请让WinXP为您的文档(或File(或FilePick)添加护身符!例如,禁止管理员访问“ myDocument”文件夹,而家庭成员组的帐户只能读取文件夹。特定的步骤如下:
1.例如,将其登录为“月球”,右键 - 使用鼠标单击“ myDocument”文件夹,然后在“ Security” tab^3902030151f^6中选择“属性”命令。
2.单击“高级”按钮,然后在pop -up -up -high -end安全设置窗口中,“继承可以应用于子对象的权限,包括此时明确定义的那些项目”,安全提醒将在屏幕上弹出。在此处选择“复制”(或“删除”)到^39020301G^7.然后单击“确定”以返回属性窗口。
3.删除“用户和组”列表中的“系统”,“创建者所有者”和“用户”组。
4.然后单击“添加”按钮以弹出“选择用户和组”对话框,然后根据上述方法将“ HOME成员”组添加到“组或用户名”列表中。
5.单独设置权限下一步,首先在属性窗口的“组或用户名”列表中选择“管理员”组,然后在以下权限列表中的“完整控制”行中选中“拒绝”复选框在同一时间,您会发现本列中的其他复选框也会自动在复选标记上绘制,^39020301H^8.在这种方式上,管理员的成员被拒绝访问该文件夹。
6.选择“家庭成员”组,以确保“允许”复选框用于“权限”列表中的“阅读和运行”,在检查状态下。这样,该组的成员(例如姐妹和兄弟)可以在文件夹中查看并运行文档。
如果您仅设置“ Home Membe”组文件夹的权限并将权限设置为用户,但最终,用户只能获得读取文件夹的权限。这是因为“安全”属性始终占有所有权。最严格的原因。
提示:在WinXP中,如果要设置文件夹的安全权限,则首先要设置该文件夹所在的磁盘驱动器,必须是NTFS文件系统。如果不是这种文件系统,则必须先执行转换操作。该方法是:在对话框中(其中x是转换磁盘驱动器)中的“转换x:/fs:ntfs”中的“转换x:/fs:ntfs”,然后单击“确定”。
此外,如果在“文件夹属性”窗口中找不到“安全”选项卡,则只需要在资源管理器窗口中选择“工具→文件夹选项”命令,请在pop -up窗口中选择“视图”选项卡,然后然后将是“查看”选项卡,然后将选择弹出窗口。可以删除“高级设置”列表中的“简单文件共享”复选框的检查标记。
5.公共文件夹中有安全障碍
如果某个文件夹(例如“ public”)存储了一些公共文件,则可以允许用户成员读写,但是该文件夹中有一个“秘密”子文件夹以存储一些重要文件,仅允许允许的成员用户组读取。如何设置这样的安全性障碍?特定方法如下:
1.首先,使用鼠标单击“ public”文件夹,在快捷菜单中选择“属性”命令,然后单击pop -up属性窗口中的“安全”选项卡。
2.在“组或用户名”列表中选择“用户”组,然后设置其权限以允许“完全控制”。
3.然后打开“ public”文件夹,在“秘密”右键菜单中选择“ properties”命令,然后单击pop -up属性窗口中的“安全”选项卡。显示为灰色,表明权限是从上级文件夹“公共”传递的。系统给出了“安全”警告窗口,表明“拒绝”的优先级高于“许可”,然后单击“是”。
这样,当“用户”组的成员在“秘密”文件夹中写文件时,它们将被拒绝。复杂的权限就像道路的障碍,用于防止以前(父母)的订单。
结论:以上是首席CTO注释引入的XP帐户权限的所有内容。我希望这对每个人都会有所帮助。如果您想进一步了解这一点,请记住要收集对该网站的关注。