設定Windows 2003的本地策略應用

本文介紹了如何在工作群組設定中基於Windows Server 2003 的電腦上將本地策略應用於除管理員以外的所有使用者。

在工作群組設定（而非域）中使用基於Windows Server 2003 的電腦時，可能需要在該電腦上實施本地策略，這些策略可應用於該電腦的所有使用者，但不可應用於管理員。有了這一例外，管理員可以保留對電腦的無限制訪問權和控制權，並且還可以限制可登入該電腦的使用者。

將本地策略應用於除管理員以外的所有使用者

要對除管理員以外的所有使用者實施本地策略，請執行以下步驟：

以管理員身份登入到電腦。

開啟本地安全性原則。要實現這一點，請執行以下操作：

單擊開始\運行，鍵入gpedit.msc，然後按ENTER 鍵。

或者單擊開始\運行，鍵入mmc，按ENTER鍵，添加“群組原則物件編輯器”，然後為本地安全性原則對其進行配置。

如果刪除運行命令是您所需要的策略之一，Microsoft 建議您通過“Microsoft 管理主控台”(MMC) 編輯該策略，然後將結果儲存為表徵圖。這樣，您不需要使用運行命令就可以重新開啟該策略了。

展開使用者設定物件，然後展開系統管理範本對象。

　　 啟用您所需的任何策略（例如，“隱藏案頭上的‘網路位置'”或“隱藏案頭上的Internet Explorer 表徵圖”）。

備忘：一定要選擇正確的策略，否則，您可能會限制管理員登入電腦（以及完成配置電腦所需步驟）的能力。Microsoft 建議您記錄所做的任何更改。

關閉“Gpedit.msc 組策略”嵌入式管理單元，或者，如果您使用 MMC，請將控制台儲存為表徵圖，以便以後可以訪問它，然後從電腦登出。

以管理員身份登入到電腦。

您可以在此登入工作階段中驗證以前所做的策略更改，因為在預設情況下，本地策略會應用於包括管理員在內的所有使用者。

從電腦登出，然後以此電腦所有其他使用者（您希望他們應用這些策略）的身份登入到電腦。這些策略是為所有這些使用者和管理員而實現的。

備忘：對於在這一步未登入到電腦的任何使用者帳戶，都無法為其實現這些策略。

以管理員身份登入到電腦。

單擊開始，指向控制台，然後單擊檔案夾選項。選擇查看選項卡，選中“顯示隱藏檔案或檔案夾”，然後點確定以便可以查看“組策略”隱藏檔案夾。或者，開啟“Windows 資源管理員”，單擊工具，然後單擊檔案夾選項以查看這些設定。

將位於 %Systemroot%\System32\GroupPolicy\User 檔案夾中的 Registry.pol 檔案複製到備份位置（例如，複製到另一硬碟、磁碟片或檔案夾）。

使用“Gpedit.msc 組策略”嵌入式管理單元或您的 MMC 表徵圖再次開啟本地策略，然後啟用在為該電腦建立的原始策略中禁用的實際功能。

備忘：執行此操作時，“策略編輯器”會建立一個新的 Registry.pol 檔案。

關閉策略編輯器，然後將建立的備份 Registry.pol 檔案複製回%Systemroot%\System32\GroupPolicy\User 檔案夾中。

系統提示替換現有檔案時，單擊是。

從電腦登出，然後以管理員身份登入。

　　 由於您是以管理員身份登入到電腦，您可以驗證是否沒有實施最初所做的更改。從電腦登出，然後以其他使用者身份登入。

由於您是以使用者（而非管理員）身份登入到電腦，您可以驗證是否實施了最初所做的更改。

以管理員身份登入電腦，以確認本地策略不影響您以本地管理員身份登入該電腦。

恢複原始本地策略

要撤消本文中“將本地策略應用於除管理員以外的所有使用者”一節介紹的過程，請執行以下步驟：

以管理員身份登入到電腦。

單擊開始，指向控制台，然後單擊檔案夾選項。單擊查看 選項卡，單擊“顯示隱藏檔案和檔案夾”，然後單擊確定 以便可以查看“組策略”隱藏檔案夾。或者，開啟“Windows 資源管理員”，單擊工具，然後單擊檔案夾選項。

從 %Systemroot%\System32\GroupPolicy\User 檔案夾中移動、重新命名或刪除Registry.pol 檔案。

在您從電腦登出或重新啟動電腦後，“Windows 檔案保護”系統會建立另一個預設的 Registry.pol 檔案。

開啟本地策略。要實現這一點，請單擊開始\運行，然後鍵入gpedit.msc。或者，單擊開始\運行，鍵入mmc，載入本地安全性原則。然後，將設為禁用或啟用的所有項目設為未配置，以撤消 Registry.pol 檔案所指定的對 Windows Server2003 註冊表實施的任何策略更改。

以管理員身份從電腦登出，然後再次以管理員身份登入該電腦。

從電腦登出，然後以本機電腦的所有使用者身份登入到該電腦，這樣也可以針對它們的帳戶撤消更改。