禁用Power users 組建立使用者權限

1．方案一：通過刪除註冊表索引值使使用者不能建立新使用者

實現方法：

運行regedt32.exe 開啟註冊表，開啟其中目錄HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Groups

就是這個Groups 就是負責建立使用者的。刪掉它，系統就不能建立使用者了，更談不上提升為管理員了。所以，不過在這個操作之前，你必須要進行備份，必要的時候，可以還原。

　　備份方法：右鍵點擊Groups 選擇“匯出”，給匯出的檔案起個名字，儲存好，就可以了。

說明：

如果你進入註冊表的時候，只能看到HKEY_LOCAL_MACHINE\SAM這一級目錄，其他的都看不到。那是因為你許可權不夠，右鍵點擊相應目錄選擇“許可權”，把當前登入使用者佈建為“允許完全控制”就可以了。以此類推，一直找到Groups 目錄為止。但是此方法徹底杜絕了組概念，在還原註冊表之前將無法對使用者組進行操作，因此不推薦。

2．通過組策略配合NET命令的NTFS許可權實現

從建立賬戶的路徑來考慮，使用者建立賬戶的路徑有一下三種：

1,通過命令列調用net 命令

2.通過電腦管理中的使用者和組

3.通過控制台使用者賬戶建立

實現方法：

1.通過策略中的使用者策略實現隱藏電腦管理中的使用者和組與控制台中的使用者賬戶，

650) this.width=650;" src="http://www.bkjia.com/uploads/allimg/131227/233Q52192-0.png" title="1.png" alt="223754333.png" />

圖一策略禁用本機使用者和組屬性

650) this.width=650;" src="http://www.bkjia.com/uploads/allimg/131227/233Q55428-1.png" title="2.png" alt="223809698.png" />

圖二使用者登入系統電腦管理的菜單

2.通過策略中的使用者策略實現隱藏控制台中的使用者賬戶

650) this.width=650;" src="http://www.bkjia.com/uploads/allimg/131227/233Q52E2-2.png" title="3.png" alt="223824872.png" />

圖三禁用控制台中的使用者帳戶

650) this.width=650;" src="http://www.bkjia.com/uploads/allimg/131227/233Q53143-3.png" title="4.png" alt="223836332.png" />

圖四使用者登入系統後看到的介面

3.通過設定net.exe的NTFS許可權，使power users組對系統硬碟C:\Windows\System32目錄下的net.exe檔案的許可權為全部拒絕，

650) this.width=650;" src="http://www.bkjia.com/uploads/allimg/131227/233Q52330-4.jpg" title="5.jpg" alt="223851279.jpg" />

圖五net檔案的使用權限設定

650) this.width=650;" src="http://www.bkjia.com/uploads/allimg/131227/233Q54O6-5.png" title="6.png" alt="223914690.png" />

圖六使用者使用net命令的效果

結論：這樣使用者建立使用者的三條路徑都成功禁止了，並且策略與NTFS許可權都是針對使用者做的設定，如果電腦遇到故障，需要調用到相關程式，可以用本地管理員Administrator身份登入電腦，便不會受到策略以及NTFS許可權的影響。

本文出自 “天鬼皇” 部落格，請務必保留此出處http://ghostlan.blog.51cto.com/5413429/1301848