。临时工作人员的计算机和帐号
。咨询人员和顾问的帐号
。学生用网络帐号
。客人帐号和用于匿名访问的帐号
另一种情况是在一般应用时限制用户更改计算机,不将计算机分配给某些个人。你可能乐意让这些计算机处于相同背景之下,具有相同的应用程序和相同的资源配置(工作组成员关系、打印机连接等)。下列应用环境使人们有充分的理由来限制用户的能力:
。用于特定目的或程序的计算机
。学校网络中的学生计算机实验室所用计算机
。一般应用的计算机
。在网吧中公用的计算机
对于这几类用户,需要一种机制限制这些用户帐号利用资源,还要有一种方法限制使用计算进行修改操作。系统策略编辑器(System Policy Editor)是用于限制此类帐户的工具。本章介绍这种工具,并说明在你的网络可能进行的修改,以增强网络的安全性。利用系统策略编辑器可以修改的系统选项是以树状结构安排的,树的每个分支用于维护Windows NT或Windows 95的某一特定行为或性能。其中的某些选项对Windows 95 或Windows NT计算机的安全性影响更大一些。
为了对总体情况有所了解(许多重要的选项隐葳在策略树的无危害分支中),及由于你并不知道可限制哪些性能,因而本章将介绍Windows 95或Windows NT的System Policy 树,给你一个完整的概念。首先看一下如何利用系统策略编辑器加载,编辑和激活Windows 95或Windows NT的系统策略。
系统策略编辑器的使用
系统策略是Windows 95或计算机的特定行为,网络管理员通过系统策略文件能够控制该计算机。用户能否更改桌面设置即是系统策略的一个实例,需要多长的口令也是这方面的例子。管理员可利用系统策略编辑器来管理系统策略。若在你的Windows NT Server 桌面上选择开始->管理工具->系统策略编辑器。在此你还可找到用于管理网络的其它工具,如User Manager for Domains(域用户管理器)、Disk Administrator(磁盘管理? 及Performance Monitor(性能监控器)等。
注意:你必须利用Administrator(管理员)帐号(或作为Administrators、Domain Admins组一部分的某个帐号),才能使用系统策略编辑器在斧系统注册表(registry)进行修改。
下面从下列方面介绍如何利用系统策略编辑器在你的网络上实现计算机与用户策略:
。策略与系统策略编辑器(System Policy Editor)
。打开策略文件或注册表
。计算机策略与用户或组策略的比较
。策略的实现
。Windows 95策略或Windows NT策略的比较
下面将介绍利用系统策略编辑器进行注册表设置的方法,还将讨论对Windows 95或Windows NT的计算机策略,以及相同操作系统下的用户与用户组策略。
了解策略与系统策略编辑器
系统策略编辑器(System Policy Editor)是你的工具包中一个重要部分,尤其是在管理大型网络时,更是如此。在有效使用系统策略编辑器之前,需要知道Windows 95或Windows NT注册表是什么,并必须了解什么是策略,系统策略编辑器能做什么等方面的知识。
注册表设置
Windows NT Registry(注册表)包含许多关键字(key),内有影响操作系统的值。例如有一种关键字是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ShutdownWithoutLogon,对于Windows NT Server计算机,
它的缺省值是0;但对于Windows NT Workstation计算机,它的缺省值是1。其含义为该计算机显示WinLogon提示符,具有带灰色的Shutdown选项;在操作系统允许关计算机之前,该计算机的用户必须成功地进行了注册。
通过修改关键字的值,你可以改变计算机的性能。如果希望你的工作站用户在关计算机之前注册,你可把此关键字的值改为1。如果希望在没注册到控制台的情况下允许任何人关掉你的服务器计算机,应将关键字的值改为0。
系统策略
如果你有许多需在Windows 95和Windows NT上修改的注册表设置??用于限制用户能做什么和让你更容易管理??你可以调用这些设置来改变"策略"。这样的安排符合Microsoft的策略定义。利用系统策略编辑器能够建立策略文件,用于特定的计算机、用户、用户组或在你网络上的所有用户。
一般在使用"策略"(policy)一词时会产生某些混淆。它可认为是利用系统策略编辑器而进行的特定注册表设置,也能认为是收于一个Windows 95或Windows NT策略文件中注册表设置的集合。
系统策略编辑器并不能做你自己利用Windows 95或Windows NT的Registry Editor(注册表编辑器)所做不到的事情。系统策略编辑器简单地提供一个较为结构化的接口,并为在注册表关键字中放入合适的值提供某些指导。
例如,若你希望将Windows NT用户的背景图案设定为Winnt256.bmp,可以系统策略编辑器中为该用户建立一个策略,并使在用户Policy的桌面部分指定为Winnt256.bmp wallpaper。你也能够在注册表中此用户的配置文件上直接进行修改,由该表的HKEY_USERS关键字中用户SID加以确认。如果用户是注册和利用显示控制面板Control Panel程序所显示的。你不需要编辑其中的多数设置(例如WaiToKillAppTimeout),但它们对操作系统来说必须有,而且你应该了解它们。
当你直接修改Windows NT Registry时,必须知道应作哪些更改,在哪里执行。例如,你应知道SID与用户的对应关系,因为关于用户的信息存储于SID,而不是用户名。
Control Panel程序存储作为其一部分的各注册表关键字位置。也可帮你选择关键字的值和帮你进行编辑(例如,它们可提供位图文件清单,以选择背景)。同样,系统策略编辑器向你提供菜单和选择值,比Control Panel程序更为灵活,可以拖它的关键字列表及从.ADM文本文件中进行有效的选择。通过扩展这些.ADM文件,能够扩大系统策略编辑器的功能。
对于为系统策略编辑器中用户所进行的策略修改与经Registry Editor或Control Panel所作的直接修改,其差别之一是前者的修改可能不一定立即产生效果。如果你利用Policy Editor编辑策略文件(.POL文件),而不是利用编辑器直接编辑注册表,那么策略保存在适当位置和用户利用帐号注册之后,修改就产生效果。
每次用户注册时系统策略就产生影响。例如,一种系统策略可把背景设定为Winnt256.bmp。用户可以利用控制面板将背景修改成另外样子,但下次用户注册时,背景将仍变回到Winnt256.bmp。这是系统策略与用户环境文件(profile)的一个重要差别。
打开策略文件或注册表在你能够增加或编辑策略之前,必须做下列之一工作(均可由系统策略管理程序的文件菜单完成):
。创建一个新的策略文件
。打开一个现有的策略文件
。打开局部注册表
。连接到远端计算机的注册表
