本文介紹了如何在工作群組設定中基於Windows Server 2003 的電腦上將本地策略應用於除管理員以外的所有使用者。
在工作群組設定(而非域)中使用基於Windows Server 2003 的電腦時,可能需要在該電腦上實施本地策略,這些策略可應用於該電腦的所有使用者,但不可應用於管理員。有了這一例外,管理員可以保留對電腦的無限制訪問權和控制權,並且還可以限制可登入該電腦的使用者。
將本地策略應用於除管理員以外的所有使用者
要對除管理員以外的所有使用者實施本地策略,請執行以下步驟:
以管理員身份登入到電腦。
開啟本地安全性原則。要實現這一點,請執行以下操作:
單擊開始\運行,鍵入gpedit.msc,然後按ENTER 鍵。
或者單擊開始\運行,鍵入mmc,按ENTER鍵,添加“群組原則物件編輯器”,然後為本地安全性原則對其進行配置。
如果刪除運行命令是您所需要的策略之一,Microsoft 建議您通過“Microsoft 管理主控台”(MMC) 編輯該策略,然後將結果儲存為表徵圖。這樣,您不需要使用運行命令就可以重新開啟該策略了。
展開使用者設定物件,然後展開系統管理範本對象。
啟用您所需的任何策略(例如,“隱藏案頭上的‘網路位置'”或“隱藏案頭上的Internet Explorer 表徵圖”)。
備忘:一定要選擇正確的策略,否則,您可能會限制管理員登入電腦(以及完成配置電腦所需步驟)的能力。Microsoft 建議您記錄所做的任何更改。
關閉“Gpedit.msc 組策略”嵌入式管理單元,或者,如果您使用 MMC,請將控制台儲存為表徵圖,以便以後可以訪問它,然後從電腦登出。
以管理員身份登入到電腦。
您可以在此登入工作階段中驗證以前所做的策略更改,因為在預設情況下,本地策略會應用於包括管理員在內的所有使用者。
從電腦登出,然後以此電腦所有其他使用者(您希望他們應用這些策略)的身份登入到電腦。這些策略是為所有這些使用者和管理員而實現的。
備忘:對於在這一步未登入到電腦的任何使用者帳戶,都無法為其實現這些策略。
以管理員身份登入到電腦。
單擊開始,指向控制台,然後單擊檔案夾選項。選擇查看選項卡,選中“顯示隱藏檔案或檔案夾”,然後點確定以便可以查看“組策略”隱藏檔案夾。或者,開啟“Windows 資源管理員”,單擊工具,然後單擊檔案夾選項以查看這些設定。
將位於 %Systemroot%\System32\GroupPolicy\User 檔案夾中的 Registry.pol 檔案複製到備份位置(例如,複製到另一硬碟、磁碟片或檔案夾)。
使用“Gpedit.msc 組策略”嵌入式管理單元或您的 MMC 表徵圖再次開啟本地策略,然後啟用在為該電腦建立的原始策略中禁用的實際功能。
備忘:執行此操作時,“策略編輯器”會建立一個新的 Registry.pol 檔案。
關閉策略編輯器,然後將建立的備份 Registry.pol 檔案複製回%Systemroot%\System32\GroupPolicy\User 檔案夾中。
系統提示替換現有檔案時,單擊是。
從電腦登出,然後以管理員身份登入。
由於您是以管理員身份登入到電腦,您可以驗證是否沒有實施最初所做的更改。從電腦登出,然後以其他使用者身份登入。
由於您是以使用者(而非管理員)身份登入到電腦,您可以驗證是否實施了最初所做的更改。
以管理員身份登入電腦,以確認本地策略不影響您以本地管理員身份登入該電腦。
恢複原始本地策略
要撤消本文中“將本地策略應用於除管理員以外的所有使用者”一節介紹的過程,請執行以下步驟:
以管理員身份登入到電腦。
單擊開始,指向控制台,然後單擊檔案夾選項。單擊查看 選項卡,單擊“顯示隱藏檔案和檔案夾”,然後單擊確定 以便可以查看“組策略”隱藏檔案夾。或者,開啟“Windows 資源管理員”,單擊工具,然後單擊檔案夾選項。
從 %Systemroot%\System32\GroupPolicy\User 檔案夾中移動、重新命名或刪除Registry.pol 檔案。
在您從電腦登出或重新啟動電腦後,“Windows 檔案保護”系統會建立另一個預設的 Registry.pol 檔案。
開啟本地策略。要實現這一點,請單擊開始\運行,然後鍵入gpedit.msc。或者,單擊開始\運行,鍵入mmc,載入本地安全性原則。然後,將設為禁用或啟用的所有項目設為未配置,以撤消 Registry.pol 檔案所指定的對 Windows Server2003 註冊表實施的任何策略更改。
以管理員身份從電腦登出,然後再次以管理員身份登入該電腦。
從電腦登出,然後以本機電腦的所有使用者身份登入到該電腦,這樣也可以針對它們的帳戶撤消更改。