在工作組設置(而非域)中使用基於 Windows Server 2003 的計算機時,可能需要在該計算機上實施本地策略,這些策略可應用於該計算機的所有用戶,但不可應用於管理員
。有了這一例外,管理員可以保留對計算機的無限制訪問權和控制權,並且還可以限制可登錄該計算機的用戶。
將本地策略應用於除管理員以外的所有用戶
要對除管理員以外的所有用戶實施本地策略,請執行以下步驟:
以管理員身份登錄到計算機。
打開本地安全策略。要實現這一點,請執行以下xx作之一:
單擊開始,然後單擊運行,鍵入 gpedit.msc,然後按 ENTER 鍵。
- 或 -
單擊開始,單擊運行,鍵入 mmc,按 ENTER 鍵,添加“組策略對象編輯器”,然後為本地安全策略對其進行配置。
如果刪除運行 命令是您所需要的策略之一,Microsoft 建議您通過“Microsoft 管理控制台”(MMC) 編輯該策略,然後將結果保存為圖標。這樣,您不需要使用運行 命令就可以重新打開該策略了。
展開用戶配置 對象,然後展開管理模板 對象。
啟用您所需的任何策略(例如,“隱藏桌面上的‘網上鄰居’”或“隱藏桌面上的Internet Explorer 圖標”)。
備注:一定要選擇正確的策略,否則,您可能會限制管理員登錄計算機(以及完成配置計算機所需步驟)的能力。Microsoft 建議您記錄所做的任何更改(在第 10 步中也使用此信息)。
關閉“Gpedit.msc 組策略”管理單元,或者,如果您使用 MMC,請將控制台保存為圖標,以便以後可以訪問它,然後從計算機注銷。
以管理員身份登錄到計算機。
您可以在此登錄會話中驗證以前所做的策略更改,因為在默認情況下,本地策略會應用於包括管理員在內的所有用戶。
從計算機注銷,然後以此計算機所有其他用戶(您希望他們應用這些策略)的身份登錄到計算機。這些策略是為所有這些用戶和管理員而實現的。
備注:對於在這一步未登錄到計算機的任何用戶帳戶,都無法為其實現這些策略。
以管理員身份登錄到計算機。
單擊開始,指向控制面板,然後單擊文件夾選項。單擊查看 選項卡,單擊“顯示隱藏文件或文件夾”,然後單擊確定 以便可以查看“組策略”隱藏文件夾。或者,打開“Windows 資源管理器”,單擊工具,然後單擊文件夾選項 以查看這些設置。
將位於 %Systemroot%\System32\GroupPolicy\User 文件夾中的 Registry.pol 文件復制到備份位置(例如,復制到另一硬盤、軟盤或文件夾)。
使用“Gpedit.msc 組策略”管理單元或您的 MMC 圖標再次打開本地策略,然後啟用在為該計算機創建的原始策略中禁用的實際功能。
備注:執行此xx作時,“策略編輯器”會創建一個新的 Registry.pol 文件。
關閉策略編輯器,然後將在第 10 步創建的備份 Registry.pol 文件復制回%Systemroot%\System32\GroupPolicy\User 文件夾中。
系統提示替換現有文件時,單擊是。
從計算機注銷,然後以管理員身份登錄。
由於您是以管理員身份登錄到計算機,您可以驗證是否沒有實施最初所做的更改。
從計算機注銷,然後以其他用戶身份登錄。
由於您是以用戶(而非管理員)身份登錄到計算機,您可以驗證是否實施了最初所做的更改。
以管理員身份登錄計算機,以確認本地策略不影響您以本地管理員身份登錄該計算機。
恢復原始本地策略
要撤消本文中“將本地策略應用於除管理員以外的所有用戶”一節介紹的過程,請執行以下步驟:
以管理員身份登錄到計算機。
單擊開始,指向控制面板,然後單擊文件夾選項。單擊查看 選項卡,單擊“顯示隱藏文件和文件夾”,然後單擊確定 以便可以查看“組策略”隱藏文件夾。或者,打開“Windows 資源管理器”,單擊工具,然後單擊文件夾選項。
從 %Systemroot%\System32\GroupPolicy\User 文件夾中移動、重命名或刪除Registry.pol 文件。
在您從計算機注銷或重新啟動計算機後,“Windows 文件保護”系統會創建另一個默認的 Registry.pol 文件。
打開本地策略。要實現這一點,請單擊開始,單擊運行,然後鍵入 gpedit.msc。或者,單擊開始,單擊運行,鍵入 mmc,然後加載本地安全策略。然後,將設為禁用 或啟用的所有項目設為未配置 ,以撤消 Registry.pol 文件所指定的對 Windows Server