我需要锁定一台 Windows Vista 商用电脑。其中一个要求是,只有 (本地) 管理员才能访问 C:\Windows\System32\regedit.exe。这是一台独立的电脑,未连接到 ActiveDirectory 或类似的东西。
此 PC 上 regedit 的默认 ACL 权限为:
regedit.exe D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)S:AI
我尝试将所有者更改为管理员,并取消选中用户组的“读取和执行”权限。我认为我的用户仍然在本地管理员组中,并且他们对 regedit.exe 具有“读取”和“读取和执行”权限。但是,当我尝试以管理员用户身份登录打开文件时,我无法再打开 regedit.exe,即使我右键单击打开“以管理员身份运行”。我收到一条错误:
Windows 无法访问指定的设备、路径或文件。您可能没有适当的权限来访问该项目。
我对 Windows Vista 文件访问有什么误解?哪些设置允许管理员组中的用户打开 regedit.exe,但不允许其他用户打开?
答案1
嗯...除非你锁定整台机器,否则这样的事情根本就不会起作用。
有数百种第三方工具可以编辑注册表。
但是如果您只是想要基本的禁用对 regedit 保护的访问,请打开注册表编辑器并导航到HKEY_CURRENT_USER\ Software\ Microsoft\ CurrentVersion\并创建名称和值为 的PoliciesDword 。DisableRegistryTools1
并做了!
答案2
不幸的是,您无法对整个注册表本身执行此操作,但可以将所有您不希望其访问的用户放入一个新组,然后授予该组对该 regedit.exe 程序以及您不希望他们接触的任何其他程序的“拒绝”权限。拒绝将否决您之前设置的任何其他权限。如果您在某些文件夹上执行此操作,可能会限制它们太多,并“破坏”某些程序,因此如果您这样做,请进行测试。
由于它将继承权限,因此您需要进入高级并取消选中该选项,然后在出现提示时单击复制。这将复制继承的权限,但使它们源自那里。
正如指出的那样,这不会阻止知识渊博的用户,但会阻止大多数人。
如果您确实需要为特定用户锁定计算机,我推荐这个程序(它真的非常棒):