使用組策略集中配置域中計算機特定文件夾安全

使用組策略配置文件夾安全

若是域中的某個部門計算機有相同的文件夾目錄，且安全性要求一致時，能夠使用組策略統一設置NTFS權限。若是某個計算機的本地管理員修改了該文件夾的NTFS權限，則組策略一刷新，其NTFS權限又回到組策略的設置。

如下示例演示使用組策略控制市場部門計算機」c:\銷售資料」文件的權限。

3.12.1示例：使用組策略設置文件夾安全

在市場部的計算機c盤根目錄下都有一個「銷售資料」文件夾，根據公司要求，市場部門的用戶有讀、寫和修改的權限，Domain Admins組有徹底控制權。

任務：

u 在域控制器上建立參照文件夾

u 使用組策略設置NTFS權限

u 在計算機上驗證NTFS權限

步驟：

1. 如圖3-242所示，在DCServer上，打開組策略管理工具，右擊市場部組織單元連接的組策略「marketGPO」，點擊「編輯」。

2. 如圖3-243所示，在出現的組策略管理編輯器，點中「計算機配置」à「策略」à「Windows設置」à「安全設置」à「文件系統」，在詳細窗口，右擊，點擊「添加文件」。

圖 3-242 編輯組策略 圖 3-243 添加文件夾

3. 如圖3-244所示，在出現的添加文件或文件夾對話框，點擊「新建文件夾」。建立參照文件夾。輸入名稱「銷售資料」，點擊「肯定」。

4. 如圖3-245所示，在出現的數據庫安全設置對話框，能夠看到默認的安全設置。刪除Creator Owner、System、administrators和Users組的權限。

圖 3-244 建立參照文件夾 圖 3-245 編輯安全設置

5. 如圖3-246所示，點擊「添加」，受權「Domain Admins」組徹底控制權，「G_市場部員工」修改權，點擊「肯定」。

6. 如圖3-247所示，在出現的添加對象對話框，選則「配置這個文件或文件夾，而後」，選擇「向全部子文件夾和文件傳播繼承權限」，點擊「肯定」。

圖 3-246 編輯安全 圖 3-247 指定繼承性

7. 如圖3-248所示，完成後能夠看到%SystemDrive%\銷售資料文件夾。

8. 如圖3-249所示，在MarketPC1上，以域管理員身份登陸。

圖 3-248 添加的文件夾 圖 3-249 登陸

9. 如圖3-250所示，在C盤根目錄下，右擊空白處點擊「新建」à「文件夾」。

10. 如圖3-251所示，重命名爲「銷售資料」，右擊「銷售資料」文件夾，點擊「屬性」。

圖 3-250 新建文件夾 圖 3-251 打開文件夾屬性

11. 如圖3-252所示，在出現的銷售資料屬性對話框，在安全標籤下，能夠看到默認的文件夾權限。

12. 如圖3-253所示，點擊「開始」à「運行」，輸入gpupdate /force刷新組策略。

圖 3-252 默認的NTFS權限 圖 3-253 刷新組策略

13. 如圖3-254所示，再次打開銷售資料屬性，在安全標籤下，能夠看到組策略設置的NTFS權限。

14. 如圖3-255所示，在MarketPC2上，在C盤根目錄下，建立一個「銷售資料」文件夾。

圖 3-254 組策略設置的權限 圖 3-255 建立文件夾

15. 如圖3-256所示，點擊「開始」à「運行」，輸入gpupdate /force，點擊「肯定」，刷新組策略。

16. 如圖3-257所示，右擊「銷售資料」文件夾，點擊「屬性」，在出現的銷售資料屬性對話框，在安全標籤下，能夠看到組策略設置的安全。

圖 3-256刷新組策略 圖 3-257 組策略設置的權限

總結：使用組策略能夠集中配置域中計算機某個特定文件夾的安全。好比不容許本地計算機的管理員在program files文件夾添加文件或文件夾，這樣本地管理員就不能安裝程序到program files目錄下。

廣告