【IT168 专稿】在公司如何保证自己计算机的安全呢？也许你自己懂得防范方法，但是经常有人随便使用你的计算机登录系统进行操作，恐怕你的计算机就危险了。也许有的读者会问：“自己的计算机自己修改密码不就完了，不知道密码无法登录，这样计算机就安全多了。”不过如果你的公司使用了带域的网络的话，所有计算机都加入了域。只要拥有域帐户的用户都可以在任何一台计算机上登录。即使你修改了自己帐户的密码，其他人依然可以使用各自的域帐户进入系统桌面。遇到这种情况我们如何做到独机独用呢？这就要靠系统的组策略发挥威力了。

    一，什么是组策略：

    说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

    简单点说，修改组策略就是修改注册表中的配置。当然组策略使用更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。通过组策略修改系统参数更加直观，灵活。

    我们通过桌面的“开始->运行->输入GPEDIT.MSC”回车后进入组策略编辑器，在组策略编辑器中我们可以设置各项系统参数。（如图1）

图-1

    第一步：通过gpedit.msc进入组策略编辑器。

    第二步：如果你只希望自己的帐户可以登录本机，其他所有用户包括域管理员都无法进入系统的话，可以在组策略编辑器中找到“本地计算机”策略->计算机配置->Windows设置->安全设置->本地策略->用户权利指派->在本地登录。（如图2）

图-2

    第三步：双击“在本地登录”选项，在弹出的“本地安全策略设置在本地登录”窗口中将除了自己帐户以外的其他所有帐户和用户组删除。（如图3）

图-3

    第四步：确定后该计算机就只能使用admin这个用户独有帐户登录了，虽然该计算机加入了公司的域，不过其他域帐户依然无法登录该计算机的系统。此方法也被称为白名单法，他可以指定容许登录本机的帐户，而其他没有授权的帐户均无法登录，包括域帐户。

    小提示：
   
    在实际使用中不建议大家把域管理员帐户组从刚才的“本地安全策略设置在本地登录”窗口中删除，因为域管理员应该拥有公司网络的最高权限，在关键时刻负责维护计算机，所以一旦计算机出问题而域管理员被禁止登录的话恐怕只有重新安装操作系统了。

    另外如果你的电脑使用人比较多，但有一两人比较不自觉，你不想让他们用你的电脑，可以采用下面介绍的黑名单法：

    第一步：通过gpedit.msc进入组策略编辑器。

    第二步：在组策略编辑器中找到“本地计算机”策略->计算机配置->Windows 设置->安全设置->本地策略->用户权利指派->拒绝本地登录。（如图4）

图-4

    第三步：双击“拒绝本地登录”选项，在弹出的“本地安全策略设置拒绝本地登录”窗口中将不容许登录本机的帐户添加进去，可以是本地帐户也可以是域帐户。如本例将softer计算机的LI添加，禁止该帐户登录系统。（如图5）

图-5

    该方法被称为黑名单法，他将禁止设置的帐户登录系统，对于其他没有设置的帐户都可以随意使用该计算机。

    总结：

    通过组策略的白名单与黑名单可以轻松控制用户登录某计算机的权限，从而大大提高本地计算机的安全。