最近笔者为了防止黑客入侵服务器后随意的使用组策略而将组策略的管理单元进行了设置,步骤如下:
第一步:以管理员administrator的身份登录系统。
第二步:通过任务栏的“开始->运行->输入gpedit.msc”,启动组策略编辑器。
第三步:依次展开“本地计算机策略->用户设置->管理模板->windows组件->Microsoft management Console->受限的/许可的管理单元->组策略”。
第四步:在右边找到“组策略对象编辑器”。(如图1)
&picid=390148.jpg) |
| 图1 点击看大图 |
第五步:双击“组策略对象编辑器”项,在弹出的窗口中选择“已禁用”。(如图2)
 |
| 图2 |
第六步:确定后退出组策略编辑器。
笔者本来认为这样就彻底防范了黑客使用组策略修改本地服务器或域的统一配置,并且按照常规思路来说只要我们将管理员administrator帐户密码设置的足够强大,要恢复修改组策略时通过他来启动组策略编辑器即可。谁知道修改后使用administrator帐户再次登录系统准备启动组策略时却出现了“下面在该文档中引用的管理单元受到策略限制。请与您的系统管理员联系,获得详细信息。组策略对象编辑器”的提示。(如图3)确定后显示“创建管理单元失败,用户策略不容许MMC创建管理单元”。(如图4)
|
| 图3 |
&picid=390156.jpg) |
| 图4 点击看大图 |
看来按照我们常规的思路administrator作为内建的管理员帐户,他的权限应该是最大的,对于任何设置来说他都是应该有足够的权限进行修改的,其他具有管理员权限的帐户对系统的改动都不应该在administrator上生效。然而事实却与理论相反,一旦对“组策略对象编辑器”设置了“已禁用”,所有用户都失去了访问组策略的能力。也就是说任何一个用户禁用了组策略都将会对administrators组产生影响,当然也包括administrator。
