檔案權限和註冊表權限的另類使用方法
 

　在一個大型的網路，出於安全的考慮，網路管理員可能不允許用戶隨意修改自己的IP位址、不允許用戶使用撥號連接，初一看好像沒有什麼好辦法，前段時間剛好有客戶提出了不想讓用戶撥號的要求（技術部門無法對電話交換機無法進行管理），於是想了想，今天作一個總結。

　　客戶使用了Windows 2000的AD結構，而且Clinet基本都是Win2K Pro，分區類型有NTFS和FAT，本來如果都是用的NTFS的話，對一些DLL檔案進行權限設置也可以滿足，我這裡選擇的是raschap.dll，當然，類似的DLL也有一些（俺也懶得整理了），在CMD彈出視窗執行下面的命令：

　　cacls %systemroot%system32

　　aschap.dll /e /d everyone

　　然後重新啟動機器，你會發現你已經建立好的撥號連接都看不到了，而且在你新建連接的時候會出現錯誤，報告權限不足。如果需要用的時候，把該dll的權限改回來即可（需要重新啟動機器喔）

　　cacls %systemroot%system32

　　aschap.dll /e /g everyone:r

　　由於客戶使用的是AD結構，設置權限可以在組策略裡面來實現，把下面的內容加到你的安全模板檔案的"File Security"段，然後應用該模板即可。

　　"%systemroot%system32

　　aschap.dll",1,"D:PAR(D;OICI;FA;;;WD)"

　　當然，在這裡出現了一個這樣的問題，如果磁碟是FAT或者FAT32就無法應用NTFS權限來解決了，我們就只能在註冊表裡面想辦法了，開啟你的Regedt32，轉到

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces

　　然後在表單上的「安全」－「權限」

　　uncheck 「允許繼承...」，並設置為Everyone只讀，一切OK；

　　如果需要應用在AD中我們可以在組策略的inf檔案中的「Registry Keys」段裡新增以下一行

　　"machinesystemcurrentcontrolsetservices cpipparametersinterfaces", 0, "D:AR(A;CI;KR;;;WD)"

　　設置了註冊表的權限後，系統無法從 DHCP 服務器上獲取IP，無法自己修改IP，很多與網路相關的修改都無法成功，當然，如果你公司內部使用了DHCP就會出問題喔...

　　其實我今天說的這2個都只是一些方法而已，還有很多種方法（這2種只是比較另類的方法而已），只要你自己願意去想願意去試，還可以找到的，也許你認為用戶可以自己去修改這些權限從而繞過限制，想一想，如果你不告訴用戶修改的辦法，你自己去多找一些dll檔案，多找一些註冊表項，用戶要找到這些頭會大得不行的，你說呢？