使用组策略集中配置域中计算机特定文件夹安全

使用组策略配置文件夹安全

如果域中的某个部门计算机有相同的文件夹目录，且安全性要求一致时，可以使用组策略统一设置NTFS权限。如果某个计算机的本地管理员修改了该文件夹的NTFS权限，则组策略一刷新，其NTFS权限又回到组策略的设置。

以下示例演示使用组策略控制市场部门计算机”c:\销售资料”文件的权限。

3.12.1示例：使用组策略设置文件夹安全

在市场部的计算机c盘根目录下都有一个“销售资料”文件夹，根据公司要求，市场部门的用户有读、写和修改的权限，Domain Admins组有完全控制权。

任务：

u 在域控制器上创建参照文件夹

u 使用组策略设置NTFS权限

u 在计算机上验证NTFS权限

步骤：

1. 如图3-242所示，在DCServer上，打开组策略管理工具，右击市场部组织单元链接的组策略“marketGPO”，点击“编辑”。

2. 如图3-243所示，在出现的组策略管理编辑器，点中“计算机配置”à“策略”à“Windows设置”à“安全设置”à“文件系统”，在详细窗口，右击，点击“添加文件”。

图 3-242 编辑组策略 图 3-243 添加文件夹

3. 如图3-244所示，在出现的添加文件或文件夹对话框，点击“新建文件夹”。创建参照文件夹。输入名称“销售资料”，点击“确定”。

4. 如图3-245所示，在出现的数据库安全设置对话框，可以看到默认的安全设置。删除Creator Owner、System、administrators和Users组的权限。

图 3-244 创建参照文件夹 图 3-245 编辑安全设置

5. 如图3-246所示，点击“添加”，授权“Domain Admins”组完全控制权，“G_市场部员工”修改权，点击“确定”。

6. 如图3-247所示，在出现的添加对象对话框，选则“配置这个文件或文件夹，然后”，选择“向所有子文件夹和文件传播继承权限”，点击“确定”。

图 3-246 编辑安全 图 3-247 指定继承性

7. 如图3-248所示，完成后可以看到%SystemDrive%\销售资料文件夹。

8. 如图3-249所示，在MarketPC1上，以域管理员身份登录。

图 3-248 添加的文件夹 图 3-249 登录

9. 如图3-250所示，在C盘根目录下，右击空白处点击“新建”à“文件夹”。

10. 如图3-251所示，重命名为“销售资料”，右击“销售资料”文件夹，点击“属性”。

图 3-250 新建文件夹 图 3-251 打开文件夹属性

11. 如图3-252所示，在出现的销售资料属性对话框，在安全标签下，可以看到默认的文件夹权限。

12. 如图3-253所示，点击“开始”à“运行”，输入gpupdate /force刷新组策略。

图 3-252 默认的NTFS权限 图 3-253 刷新组策略

13. 如图3-254所示，再次打开销售资料属性，在安全标签下，可以看到组策略设置的NTFS权限。

14. 如图3-255所示，在MarketPC2上，在C盘根目录下，创建一个“销售资料”文件夹。

图 3-254 组策略设置的权限 图 3-255 创建文件夹

15. 如图3-256所示，点击“开始”à“运行”，输入gpupdate /force，点击“确定”，刷新组策略。

16. 如图3-257所示，右击“销售资料”文件夹，点击“属性”，在出现的销售资料属性对话框，在安全标签下，可以看到组策略设置的安全。

图 3-256刷新组策略 图 3-257 组策略设置的权限

总结：使用组策略可以集中配置域中计算机某个特定文件夹的安全。比如不允许本地计算机的管理员在program files文件夹添加文件或文件夹，这样本地管理员就不能安装程序到program files目录下。

广告