概要
, [& L$ l9 t& F( Q- L
" y* ]4 o* V: k- `: B 本文介绍了如何在工作组设置中基于
WindowsServer2003的
计算机上将本地策略应用于除
管理员以外的所有
用户。
1 h s4 ?0 U' I; T" g9 x* Y
' g4 K$ x: E1 O! i p 在工作组设置(而非域)中使用基于WindowsServer2003的计算机时,可能需要在该计算机上实施本地策略,这些策略可应用于该计算机的所有用户,但不可应用于管理员。有了这一例外,管理员可以保留对计算机的无限制访问权和控制权,并且还可以限制可登录该计算机的用户。
. W/ }% B. |8 [- q, q% C
* A/ r, F0 d A5 I) j 将本地策略应用于除管理员以外的所有用户
! W: U4 u: ]6 K- e
8 G- d+ M3 U; X! S" ]. D# N, z% }
要对除管理员以外的所有用户实施本地策略,请执行以下步骤:
; A9 |# j; i! V+ @3 k' S( }0 k9 p& \) i- h+ b3 `. V+ C8 B0 e
以管理员身份登录到计算机。
4 B ]$ Y: W" g& W1 K; P6 i2 F% B5 @- e8 H
打开本地
安全策略。要实现这一点,请执行以下操作:
: {& a6 F1 Q, H* N# W3 }
9 a9 d- E) S }
单击开始\运行,键入gpedit.msc,然后按ENTER键。
# |/ n0 g! F8 y3 _" M0 q6 v- J1 M
或者单击开始\运行,键入mmc,按ENTER键,添加“组策略
对象编辑器”,然后为本地安全策略对其进行配置。
2 \7 A! p% ]6 [8 h) h& g- A$ S9 U+ l z! M; r, R# d% A1 A" T
如果删除运行命令是您所需要的策略之一,
Microsoft建议您通过“
Microsoft管理控制台”(MMC)编辑该策略,然后将结果保存为图标。这样,您不需要使用运行命令就可以重新打开该策略了。
! ]! F- A+ z, M3 e. W
( I( j4 `. w4 m0 @, l 展开用户配置对象,然后展开管理模板对象。
! z5 I* U! H7 @2 i
7 J& H: v4 W( F: R9 f+ V9 c2 ^
8 i8 p$ R" S" q" A 启用您所需的任何策略(例如,“隐藏桌面上的‘网上邻居'”或“隐藏桌面上的InternetExplorer图标”)。
* g) _5 q. R0 l' o2 {" @* N
备注:一定要选择正确的策略,否则,您可能会限制管理员登录计算机(以及完成配置计算机所需步骤)的能力。Microsoft建议您记录所做的任何更改。
. ^7 _. Q, b# F2 j+ v4 u7 j
5 F0 L5 V$ f8 k: p& [; v 关闭“Gpedit.msc组策略”管理单元,或者,如果您使用MMC,请将控制台保存为图标,以便以后可以访问它,然后从计算机注销。
' l' s! K! `# N w' u5 w. X( ~' v
2 N) ^- |) C; N3 K3 N 以管理员身份登录到计算机。
/ I$ m: X5 |2 t8 N- s ~6 S
! l3 _$ x( T1 e! T* a' J 您可以在此登录会话中验证以前所做的策略更改,因为在默认情况下,本地策略会应用于包括管理员在内的所有用户。
0 L l. i) E1 r4 |1 P9 e
/ \( l6 z% a: k; Y# L$ x1 k 从计算机注销,然后以此计算机所有其他用户(您希望他们应用这些策略)的身份登录到计算机。这些策略是为所有这些用户和管理员而实现的。
% J5 E3 H9 m' j5 }; R
2 [4 B. Y. g4 G7 m
备注:对于在这一步未登录到计算机的任何用户帐户,都无法为其实现这些策略。
% d" M8 V, \; ]6 ? A; {8 e
$ v& o' H7 X! W. j0 z6 H/ b
以管理员身份登录到计算机。
1 A" P# y* k. L2 v0 t2 B) a- O, [+ i0 n
单击开始,指向控制面板,然后单击文件夹选项。选择查看选项卡,选中“显示隐藏文件或文件夹”,然后点确定以便可以查看“组策略”隐藏文件夹。或者,打开“Windows资源管理器”,单击工具,然后单击文件夹选项以查看这些设置。
, ]! G U2 x& y
x8 X) h- q0 h, U& k 将位于%Systemroot%\System32\GroupPolicy\User文件夹中的Registry.pol文件复制到备份位置(例如,复制到另一
硬盘、软盘或文件夹)。
8 |) ^/ t* o# `7 N# ^: p6 h
v0 V' p( o. o3 N. D0 C
使用“Gpedit.msc组策略”管理单元或您的MMC图标再次打开本地策略,然后启用在为该计算机创建的原始策略中禁用的实际
功能。
2 M( l' c; n! C
5 k4 g3 P3 @% X S( D' I1 |, V( ~
备注:执行此操作时,“策略编辑器”会创建一个新的Registry.pol文件。
# M# V- x' y/ ]8 B; E! R2 l- m
% ]# H3 }1 [0 ]5 Z- e 关闭策略编辑器,然后将创建的备份Registry.pol文件复制回%Systemroot%\System32\GroupPolicy\User文件夹中。
2 S" [; L$ a, z. L6 x
2 W, n" t6 G! v$ b' U+ W" S 系统提示替换现有文件时,单击是。
5 J9 F+ B: Q+ S! ^4 w5 Z4 W l' n# n1 T* R; j- r
从计算机注销,然后以管理员身份登录。
( X2 X8 e0 J. M
% N# J# N2 @7 u
( B* d, {3 O) M( i4 [7 v7 d 由于您是以管理员身份登录到计算机,您可以验证是否没有实施最初所做的更改。从计算机注销,然后以其他用户身份登录。
$ g* V& I& v; I6 y" G6 i* S 由于您是以用户(而非管理员)身份登录到计算机,您可以验证是否实施了最初所做的更改。
) S: Q7 i5 \' e1 i* l3 n% g' d* Q/ n$ s8 @ d9 L9 N
以管理员身份登录计算机,以确认本地策略不影响您以本地管理员身份登录该计算机。
. F2 w* W* u- a% e/ z. i4 ]- I, W
+ a; B, r3 B* t! n
恢复原始本地策略
' P+ {6 }" B' X& |! S( l
( A- `0 J. k& ^" U+ `8 B8 e- @
要撤消本文中“将本地策略应用于除管理员以外的所有用户”一节介绍的过程,请执行以下步骤:
/ @' L; L% A3 B4 N. _
1 q$ H: J" V4 S 以管理员身份登录到计算机。
: w6 E1 P: b2 C: a1 l e- M
! F/ q* s( F( i. k8 n 单击开始,指向控制面板,然后单击文件夹选项。单击查看选项卡,单击“显示隐藏文件和文件夹”,然后单击确定以便可以查看“组策略”隐藏文件夹。或者,打开“Windows资源管理器”,单击工具,然后单击文件夹选项。
6 }. u7 O( w7 e V- ^
8 }5 U/ d1 W Q' V 从%Systemroot%\System32\GroupPolicy\User文件夹中移动、重命名或删除Registry.pol文件。
' w" K: I1 X% r! {) B
) p# o7 V5 X5 C$ S* Q, b 在您从计算机注销或重新启动计算机后,“Windows文件保护”系统会创建另一个默认的Registry.pol文件。
, U3 A3 G: p. {1 ^5 S& d
8 J0 T& V! `- K, k8 V! i 打开本地策略。要实现这一点,请单击开始\运行,然后键入gpedit.msc。或者,单击开始\运行,键入mmc,加载本地安全策略。然后,将设为禁用或启用的所有项目设为未配置,以撤消Registry.pol文件所指定的对WindowsServer2003注册表实施的任何策略更改。
4 c) U6 E1 w$ \ y- e
6 v8 S/ u( M' z$ v U 以管理员身份从计算机注销,然后再次以管理员身份登录该计算机。
/ E/ X: f" K$ M1 c2 K
/ f0 F' B# I" E. _
从计算机注销,然后以本地计算机的所有用户身份登录到该计算机,这样也可以针对它们的帐户撤消更改。
