本文介绍了如何在工作组配置中基于Windows Server 2003 的电脑上将本地策略应用于除管理员以外的任何用户。

在工作组配置(而非域)中使用基于Windows Server 2003 的电脑时,可能需要在该电脑上实施本地策略,这些策略可应用于该电脑的任何用户,但不可应用于管理员。有了这一例外,管理员能够保留对电脑的无限制访问权和控制权,并且还能够限制可登录该电脑的用户。

将本地策略应用于除管理员以外的任何用户

要对除管理员以外的任何用户实施本地策略,请执行以下步骤:

1.以管理员身份登录到电脑。

打开本地安全策略。执行以下操作:

单击开始\运行,键入gpedit.msc,然后按ENTER 键。

或单击开始\运行,键入mmc,按ENTER键,添加“组策略对象编辑器”,然后为本地安全策略对其进行配置。

假如删除运行命令是您所需要的策略之一,Microsoft 建议您通过“Microsoft 管理控制台”(MMC) 编辑该策略,然后将结果保存为图标。这样,您无需使用运行命令就能够重新打开该策略了。

2.展开用户配置对象,然后展开管理模板对象。

启用您所需的任何策略(例如,“隐藏桌面上的‘网上邻居’”或“隐藏桌面上的Internet Explorer 图标”)。

备注:一定要选择正确的策略,否则,您可能会限制管理员登录电脑(连同完成配置电脑所需步骤)的能力。Microsoft 建议您记录所做的任何更改。

关闭“Gpedit.msc 组策略”管理单元,或,假如您使用 MMC,请将控制台保存为图标,以便以后能够访问他,然后从电脑注销。

3.以管理员身份登录到电脑。

您能够在此登录会话中验证以前所做的策略更改,因为在默认情况下,本地策略会应用于包括管理员在内的任何用户。

从电脑注销,然后以此电脑任何其他用户(您希望他们应用这些策略)的身份登录到电脑。这些策略是为任何这些用户和管理员而实现的。

备注:对于在这一步未登录到电脑的任何用户帐户,都无法为其实现这些策略。

4.以管理员身份登录到电脑。

单击开始,指向控制面板,然后单击文档夹选项。选择查看选项卡,选中“显示隐藏文档或文档夹”,然后点确定以便能够查看“组策略”隐藏文档夹。或,打开“Windows 资源管理器”,单击工具,然后单击文档夹选项以查看这些配置。

将位于 %Systemroot%\System32\GroupPolicy\User 文档夹中的 Registry.pol 文档复制到备份位置(例如,复制到另一硬盘、软盘或文档夹)。

使用“Gpedit.msc 组策略”管理单元或您的 MMC 图标再次打开本地策略,然后启用在为该电脑创建的原始策略中禁用的实际功能。

备注:执行此操作时,“策略编辑器”会创建一个新的 Registry.pol 文档。

关闭策略编辑器,然后将创建的备份 Registry.pol 文档复制回%Systemroot%\System32\GroupPolicy\User 文档夹中。

系统提示替换现有文档时,单击是。

5.从电脑注销,然后以管理员身份登录。

由于您是以管理员身份登录到电脑,您能够验证是否没有实施最初所做的更改。从电脑注销,然后以其他用户身份登录。

由于您是以用户(而非管理员)身份登录到电脑,您能够验证是否实施了最初所做的更改。

6.以管理员身份登录电脑,以确认本地策略不影响您以本地管理员身份登录该电脑。

恢复原始本地策略

要撤消本文中“将本地策略应用于除管理员以外的任何用户”一节介绍的过程,请执行以下步骤:

1.以管理员身份登录到电脑。

单击开始,指向控制面板,然后单击文档夹选项。单击查看 选项卡,单击“显示隐藏文档和文档夹”,然后单击确定 以便能够查看“组策略”隐藏文档夹。或,打开“Windows 资源管理器”,单击工具,然后单击文档夹选项。

从 %Systemroot%\System32\GroupPolicy\User 文档夹中移动、重命名或删除Registry.pol 文档。

在您从电脑注销或重新启动电脑后,“Windows 文档保护”系统会创建另一个默认的 Registry.pol 文档。

2.打开本地策略。要实现这一点,请单击开始\运行,然后键入gpedit.msc。或,单击开始\运行,键入mmc,加载本地安全策略。然后,将设为禁用或启用的任何项目设为未配置,以撤消 Registry.pol 文档所指定的对 Windows Server2003 注册表实施的任何策略更改。

3.以管理员身份从电脑注销,然后再次以管理员身份登录该电脑。

从电脑注销,然后以本地电脑的任何用户身份登录到该电脑,这样也能够针对他们的帐户撤消更改。