宾客账户(guest)或受限用户(user)权限设置

admin管理员组

文章数量:1531793

2024年1月25日发(作者：)

宾客账户（guest）或受限用户（user）的权限设置

当你的电脑常常需要被他人利用，可是你又不希望他人看你的某些重要文件或不许诺他人运行某些应用程序或担忧自己系统某些重要参数被修改时，你能够先以治理员身份登录Windows系统，参照以下几条作相应设置，然后开通宾客账户或新建一个一般user账户（不是治理员，而是受限用户），让他人用那个账户登录系统，这时你就能够够安心你的电脑任意让他人折腾。

一、限制用户对文件的访问权限

若是程序所在的磁盘分区文件系统为NTFS格式，治理员账户能够利用NTFS文件系统提供的文件和文件夹平安选项操纵用户对程序及文件的访问权限。通常情形下，一个应用程序安装到系统后，本地运算机的所有账户都能够访问并运行该应用程序。若是取消分派给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。

例如，要禁止受限用户运行Outlook Express应用程序，能够进行如下的操作：

（1）、以administrator账户登录系统，若是当前系统启用了简单文件共享选项，需要将该选项关闭。具体做法是，在Windows阅读器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“利用简单文件共享”选项的选择，点击“确信”。

（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。

（3）、点击“平安”选项页，能够看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。

（4）、取消“从父项继承那些能够应用到子对象的权限项目，包括那些再次明肯概念的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，现在能够看到用户所具有的权限改成不继承的。

（5）、点击“确信”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确信”，完成权限的设置。

要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并给予相应的访问权限。

这种方式许诺治理员针对每一个用户来限制他访问和运行指定的应用程序的权限。可是这需要一个超级重要的前提，那确实是要求应用程序所在的分区格式为NTFS，不然，一切都无从谈起。

关于FAT/FAT32格式的分区，不能应用文件及文件夹的平安选项，咱们能够通过设置运算机的策略来禁止运行指定的应用程序。

二、启用“不要运行指定的Windows应用程序”策略

在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就能够够限制用户运行这些应用程序。设置方式如下：

（1）、在“开始”“运行”处执行命令，启动组策略编辑器，或运行mmc命令启动操纵台，并将“组策略”治理单元加载到操纵台中；

（2）、依次展开“‘本地运算机’策略”“用户设置”“治理模板”，

点击“系统”，双击右边窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。

（3）、点击“添加”，输入不运行运行的应用程序名称，如命令提示符，点击“确信”，现在，指定的应用程序名称添加到禁止运行的程序列表中。

（4）、点击“确信”返回组策略编辑器，点击“确信”，完成设置。

当用户试图运行包括在不许诺运行程序列表中的应用程序时，系统会提示警告信息。把不许诺运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，能够将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或将指定的应用程序从不许诺运行列表中删除（这要求删除后列表可不能成为空白的）。

这种方式只阻止用户运行从Windows资源治理器中启动的程序，关于由系统进程或其他进程启动的程序并非能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不单单是受限用户，Administrators组中的账户乃至是内建的administrator帐户都将受到限制，因此给治理员带来了必然的不便。当治理员需要执行一个包括在不许诺运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不许诺运行程序列表中。需要注意的是，不要将组策略编辑器（）添加到禁止运行程序列表中，不然会造成组策略的自

锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。

提示：若是没有禁止运行“命令提示符”程序的话，用户能够通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序添加不运行列表中，通过XP的桌面运行该程序是被限制的，可是在“命令提示符”下运行notepad命令，能够顺利的启动记事本程序。因此，要完全的禁止某个程序的运行，第一要将添加到不许诺运行列表中。

三、设置软件限制策略

软件限制策略是本地平安策略的一个组成部份，治理员通过设置该策略对文件和程序进行标识，将它们分为可信任和不可信任两种，通过给予相应的平安级别来实现对程序运行的操纵。那个方法关于解决未知代码和不可信任代码的可操纵运行问题超级有效。软件设置策略利用两个方面的设置对程序进行限制：平安级别和其他规那么。

平安级别分为“不许诺的”和“不受限制的”两种。其中，“不许诺的”将禁止程序的运行，不论用户的权限如何；“不受限的”许诺登录用户利用他所拥有的权限来运行程序。

其它规那么，即由治理员通过制定规那么对指定的一批或一个文件和程序进行标识，并给予“不许诺的”或“不受限的”平安级别。在那个部份中，治理员能够制定四种类型的规那么，依照优先级别别离是：散列规那么、证书规那么、途径规那么和Internet区域规那

么，这些规那么将对文件的访问和程序的运行提供最大限度的授权级别。

软件限制策略的设置

一、访问软件限制策略

作为本地平安策略的一部份，软件限制策略同时也包括在组策略中，这些策略的设置必需以administrator账户或Administrators组成员的身份登录系统。软件限制策略的访问方式有两种：

（1）、在“开始”“运行”处运行，启动本地平安策略编辑器，在“平安设置”下能够看到“软件限制策略”项目。

（2）、在“开始”“运行”处运行，启动组策略编辑器，在“运算机设置”“Windows设置”“平安设置”下能够看到“软件限制策略”。

二、新建软件限制策略

第一次打开“软件限制策略”时，该项目是空的。策略需要由治理员手动添加。方式是点击“软件限制策略”使其处于选中状态，点击编辑器窗口“操作”菜单下的“新建一个策略”项目，现在能够看到“软件限制策略”下增加了“平安级别”和“其它规那么”和三条属性，如图2所示。一旦执行了新建策略操作后，就不能再次执行该操作，而且那个策略也不能删除。

3、设置默许的平安级别

新建软件限制策略后，策略的默许平安级别为“不受限的”，若是要更改默许的平安级别，需要在“平安级别”中进行设置，方式如下：

（1）、打开“平安级别”，在右边窗格中，能够看到有两条设置，其中图标中带有一个小对号的设置为默许设置；

（2）、点击不是默许值的那条设置，单击右键，选择“设置为默许”项。当设置“不许诺的”为默许值时，系统会显示一个提示信息对话框，点击“确信”即可。

该步骤也能够双击非默许的设置，在弹出的属性窗口中，点击“设为默许值”。

4、设置策略的作用范围和对象

通过策略的“强制”属性能够设置策略应用的软件文件是不是包括库文件和作用的对象是不是包括治理员账户。通常情形下，为了幸免引发系统没必要要的问题和便于对系统的治理，策略的作用范围应设置为不包括库文件的所有软体文件，作用对象设置为除本地治理员外的所有效户。设置的方式如下：

（1）、单击“软件限制策略”，双击右边窗格中的“强制”属性项目；

（2）、选择“除去库文件（如Dll文件）之外的所有软体文件”选项和“除本地治理员之外的所有效户”选项，单击“确信”。

五、制定规那么

只通过平安级别的设置，显然不能专门好的实现对文件和程序的操纵，必需通过制定合理的规那么来标识那些禁止或许诺运行的文件和程序，并进而实现对这些文件和程序的灵活操纵。上文中提到可制定规那么的类型有四种：散列规那么、证书规那么、途径规那么和

Internet区域规那么。它们标识文件和制定规那么的方式如下：

散列规那么：利用散列算法计算出指定文件的散列，那个散列是唯一标识该文件的一系列定长字节。制定了散列规那么后，用户访问或运行文件时，软件限制策略会依照文件的散列及平安级别来许诺或阻止对该文件进行访问或运行。当文件移动或重命名，可不能阻碍文件的散列，软件限制策略对该文件仍然有效。制定方式如下：

（1）、点击“软件限制策略”下的“其它规那么”，在“其他规那么”上单击右键，或在右边窗格的空白区域单击右键，选择“新散列规那么”。

（2）、点击“阅读”，指定要标识的文件或程序，例如，确认后，在文件散列中能够看到计算出来的散列，在“平安级别”当选择“不许诺的”或“不受限的”，点击“确信”，在“其它规那么”中能够看到新增了一条类型为散列的规那么。

证书规那么：利用与文件或程序相关联的签名证书进行标识。证书规那么需要的证书能够是自签名的、由证书颁发机构（CA）颁发或是由Windows2000公钥机构发布。证书规那么不该用于EXE文件和DLL文件，它要紧应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后，运行该文件时，软件限制策略会依照该文件的平安级别来决定是不是能够运行。文件的移动和更名可不能对证书规那么的应用产生阻碍。制定证书规那么时要求能够访问到用来标识文件的证书文件，证书文件的扩展名为.CER。创建方式同散列规那么。

途径规那么：利用文件或程序的途径进行标识，该规那么能够针对一个指定的文件、用通配符表示的一类文件或是某一途径下的所有文件及子文件夹中的文件。由于标识是由途径来完成的，当文件移动或重命名时，途径规那么会失去作用。在途径规那么中，依照途径范围的大小，优先级别各有高低，范围越大，优先级越低。通常途径的优先级从高到低为：指定的文件、带途径的以通配符表示的一类文件、通配符表示的一类文件、途径、上一级途径。创建方式同散列规那么。

Internet区域规那么：利用应用程序下载的Internet区域进行标识。区域要紧包括：Internet、本地Intranet、本地运算机、受限制的站点、受信任的站点。该规那么要紧应用于Windows的安装程序包。创建方式同散列规那么。

六、保护可执行代码的文件类型

不论是那种规那么，它所阻碍的文件类型只有“指派的文件类型”属性中列出的那些类型，这些类型是所有规那么共享的。某些情形下，治理员可能需要删除或添加某种类型的文件，以便规那么能够对这种文件失去或产生作用，这就需要咱们来保护“指派的文件类型”属性。方式如下：

（1）、单击“软件限制策略”，双击右边窗格中的“指派的文件类型”属性项目；

（2）、若是新增一种文件类型，在“文件扩展名”处输入添加的扩展名，点击“添加”；若是要删除一种文件类型，单击列表中的制定类型，点击“删除”。

7、利用规那么的优先级灵活操纵程序的运行

四种规那么的优先级从高到依次为：散列规那么、证书规那么、途径规那么、Internet区域规那么。若是有超过一条以上的规那么同时作用于同一个程序，那么优先级最高的规那么设定的平安级别将决定该程序是不是能运行。若是多于一条的同类规那么作用于同一个程序，那么同类规那么中最具限制力的规那么将起作用。这为咱们提供了一条对程序的运行进行灵活操纵的途径。单一规那么的作用成效尽管全面，可是也限制了咱们所需要的那些部份，复合规那么的综合作用将产生诸如“除咱们需要的/不需要的之外，其他全数不许诺/不受限制”如此的成效，这或许才是咱们真正需要的平安级别。

提示：软件限制策略的生效需要注销并从头登录系统。若是在软件限制策略中为一个程序制定了一条平安级别为“不受限的”规那么，而那个程序包括在“不要运行指定的Windows应用程序”策略的不许诺运行程序列表中，那么最终那个程序是不许诺运行的。要取消对程序的限制，需要将相关的规那么删除：在“其他规那么”中的规那么列表中，在要删除的规那么上点击右键，选择“删除”即可。

上述三种限制程序运行的方法各有特点。从限制的实现方式和成效来看，限制用户对文件的访问权限能够让治理员以Administartor账户身份对所有效户的权限进行操纵，作用的范围能够是所有类型的文件和文件夹，可是这种方式受到应用环境的限制。采取基于策略的方法，不论是启用“不要运行指定的Windows应用程序”策略仍是设置软件限制策略，关于要限制的用户对象作用范围来讲都是用户组，

不能针对具体的用户进行设置，要么是所有的用户，要么是除治理员组外的所有效户。可是这些方法对系统环境的要求不高，在XP系统中都能够进行实施。另外，基于策略的设置能够对运算机进行加倍灵活的治理。专门是软件限制策略许诺治理员通过量种方式对程序进行标识，关于程序的运行具有很高的可控性。

本文标签： 运行文件策略程序限制