win XP通過(guò)安全模板如何修改受限制的組
受限制的組選項(xiàng)允許管理員管理敏感組之間的關(guān)系。例如,如果Administrators組只包括一個(gè)內(nèi)建的Administrator賬戶,Administrators組就可以被添加到受限制組中,而Administrator也可以添加到Administrators組成員欄目下。這樣的設(shè)置可以阻止其它用戶使用一 些工具軟件提升自己的特權(quán)到Administrators組。
不是所有的組都需要被添加進(jìn)受限制的組,建議只有那些比較敏感的組才通過(guò)配置安全模板加入進(jìn)去,其余沒(méi)有加入到受限制組的組將會(huì)保持他們自己的關(guān)系列表。
對(duì)于所有在該選項(xiàng)中列出的用戶組,任何顯示在這里的組和/或用戶都已經(jīng)不再是他們?cè)瓉?lái)所加入的組成員了,并且任何沒(méi)有在配置列表中顯示的當(dāng)前組的用戶和/或組都將被刪除。
通過(guò)安全模板組件修改受限制組
因?yàn)槭芟拗平M選項(xiàng)中的設(shè)置需要根據(jù)實(shí)際環(huán)境進(jìn)行,所以做好的配置文件(inf文件)中只設(shè)定了一個(gè)受限制組。然而,實(shí)際應(yīng)用中可能需要限制域中其它敏感組的關(guān)系。
要查看SCM模板中限制組的設(shè)置,依次雙擊:
安全模板
默認(rèn)的配置文件目錄(%SystemRoot%\Security\Templates)
特定的配置文件
受限制的組
注意:在對(duì)一個(gè)配置文件進(jìn)行了任何修改之后,請(qǐng)記得保存修改,然后在正式使用之前一定要先測(cè)試好。
以下步驟演示了如何向列表中添加一個(gè)受限制的組:
右鍵點(diǎn)擊受限制的組
選擇添加組
點(diǎn)擊瀏覽按鈕
雙擊每個(gè)需要添加的組,點(diǎn)擊確定 - 確定
在右側(cè)列表中雙擊新添加的組
點(diǎn)擊添加
雙擊每個(gè)希望添加到該組的組和/或用戶
點(diǎn)擊確定 - 確定
對(duì)于工作站來(lái)說(shuō),安全模板中建議的設(shè)置是設(shè)置Power Users組沒(méi)有成員,這是一個(gè)很好的安全經(jīng)驗(yàn)。然而,使用老程序的環(huán)境或者用戶自己寫(xiě)的一些工具可能需要使用者對(duì)特定的文件、文件夾或者注冊(cè)表鍵具有一些類(lèi)似Power Users的特權(quán)。按理說(shuō),對(duì)于文件、文件夾和注冊(cè)表鍵所需要的權(quán)限應(yīng)當(dāng)被視為統(tǒng)一,而不是靠把用戶添加到Power Users組代替。進(jìn)一步說(shuō),你不能為了讓你的程序能正常運(yùn)行而要求用戶必須是Administrators組的組員。