win XP通過安全模板如何修改受限制的組

　　受限制的組選項允許管理員管理敏感組之間的關系。例如，如果Administrators組只包括一個內建的Administrator賬戶，Administrators組就可以被添加到受限制組中，而Administrator也可以添加到Administrators組成員欄目下。這樣的設置可以阻止其它用戶使用一 些工具軟件提升自己的特權到Administrators組。

　　不是所有的組都需要被添加進受限制的組，建議只有那些比較敏感的組才通過配置安全模板加入進去，其余沒有加入到受限制組的組將會保持他們自己的關系列表。

　　對於所有在該選項中列出的用戶組，任何顯示在這裡的組和/或用戶都已經不再是他們原來所加入的組成員了，並且任何沒有在配置列表中顯示的當前組的用戶和/或組都將被刪除。

　　通過安全模板組件修改受限制組

　　因為受限制組選項中的設置需要根據實際環境進行，所以做好的配置文件(inf文件)中只設定了一個受限制組。然而，實際應用中可能需要限制域中其它敏感組的關系。

　　要查看SCM模板中限制組的設置，依次雙擊：

　　安全模板

　　默認的配置文件目錄(%SystemRoot%\Security\Templates)

　　特定的配置文件

　　受限制的組

　　注意：在對一個配置文件進行了任何修改之後，請記得保存修改，然後在正式使用之前一定要先測試好。

　　以下步驟演示了如何向列表中添加一個受限制的組：

　　右鍵點擊受限制的組

　　選擇添加組

　　點擊浏覽按鈕

　　雙擊每個需要添加的組，點擊確定 - 確定

　　在右側列表中雙擊新添加的組

　　點擊添加

　　雙擊每個希望添加到該組的組和/或用戶

　　點擊確定 - 確定

　　對於工作站來說，安全模板中建議的設置是設置Power Users組沒有成員，這是一個很好的安全經驗。然而，使用老程序的環境或者用戶自己寫的一些工具可能需要使用者對特定的文件、文件夾或者注冊表鍵具有一些類似Power Users的特權。按理說，對於文件、文件夾和注冊表鍵所需要的權限應當被視為統一，而不是靠把用戶添加到Power Users組代替。進一步說，你不能為了讓你的程序能正常運行而要求用戶必須是Administrators組的組員。