如何使用组策略对公共电脑系统权限设限

对于公共电脑，设置系统限制可有效地防止对系统设置的改动，从而保证系统稳定运行。 公共电脑的本义，就是保证每一个用户都能使用公共的程序，反对随意改动系统，因此不必开 放那么多程序。
对系统的简单限制莫过于使用注册表。一直以来广受欢迎的注册表修改技巧，其最实用的 一部分就是对系统设限，禁止随意更改系统设置。
但是注册表编辑器的使用比较麻烦，记住具有某种限制功能的键值项名称可没那么容易。 如果要进行相同的限制，可将限制设置保存为.reg格式的注册表文件，使用时双击导入即可； 同时还要准备一个解除限制的注册表文件，以各自己使用。
与通过注册表设置限制效果相同，且更方便的方法是使用组策略。组策略对系统设置的更 改其实也是通过修改注册表，不过界面不同：简洁的文字说明介绍了某项限制的功能和其所针 对的系统，启用／禁用的开关简洁明了，只需记住所需限制功能所属的类别分支即可。
在对系统的限制中，有一项是对注册表本身进行限制，这个限制的危险性在子，往往也会 将自己限制住，想临时恢复某项系统功能都不行，自己给自己找麻烦。因此，必须记住几种解 除注册表限制的方法，临时搜索解决方案总是比较误事。
在域环境中，组策略的应用价值更大。有网管甚至使用它来防止员工离职前对电脑资料进 行删除或破坏。思路很简单，建立一个针对离职员工的OU（组织单位），然后在“计算机配置” 一“安全设置”一“文件系统”中设置用户的文件权限即可。
对系统设限，与给予用户Users组权限一样，都是进一步压缩自由使用电脑的权限，保障 电脑能够持续稳定运行。

将本地策略应用于除管理员以外的用户 对于公共电脑，使用组策略设置限制是很合适的。主要限制项目是桌面、开始菜单和资 源管理器，如禁止对某些分区进行访问。只是在设置限制前要考虑清楚，因为这也可能会把 自己的权限给限制了。如何既保留对用户的限制，而又不使自己也深“限”其中呢？微软给 了一个办法：

第1步运行gpedit.msc，打开组策略对象编辑器。

第2步展开“用户配置”，然后展开“管理模板”。

第3步单击包含要启用策略的文件夹，双击一个策略，然后启用它。例如，如果要隐藏 “网上邻居”图标，请单击“桌面”，并双击“在桌面上隐藏‘网上邻居”’图标，选择“已启 用”单选按钮，单击“应用”按钮，然后单击“确定”按钮。如图1-6所示。 图1-6 第4步关闭组策略对象编辑器，然后注销。

第5步以管理员身份登录计算机。可以在此登录会话中看到所做的策略已经更改应用。 默认情况下，本地策略将应用于包括管理员在内的所有用户。

第6步计算机注销后，以此计算机的一个非管理员用户的身份登录计算机。对此计算机 中希望为其应用这些策略的每个用户重复这一步骤。这样，就为这些用户和管理员实施了本 地策略。
注意：你必须以一个计算机用户的身份登录。对于未在这一步登录的用户账户，将不会为 其实施这些策略。

第7步以管理员身份登录到计算机。

第8步打开“文件夹选项”对话框，选择“查看”选项卡，选择“显示隐藏的文件、文 件夹和驱动器”单选按钮，然后单击“确定”按钮，如图1-7所示。

图1-7

第9步将位于%Systemroot%\System32\GroupPolicy\User文件夹中的Registry.pol文件复 制到备份位置（例如，复制到其他硬盘分区或文件夹中）。

第10步使用组策略对象编辑器再次打开本地策略，然后撤销在第3步中所做的更改。 要撤销在第3步中所做的更改，双击“在桌面上隐藏‘网上邻居…图标，选择“已禁用”单 选按钮，单击“应用”按钮，然后单击“确定”按钮。执行此操作时，组策略对象编辑器会创建一个新的Registry.pol文件。

第11步关闭组策略对象编辑器或MMC，然后将在第9步中创建的Registry.pol备份文 件复制到%Systemroot%\System32\GroupPolicy\User文件夹中，如图1-8所示。如果系统提示 是否替换现有文件，单击“是”按钮。

图1-8

第12步将该计算机注销，然后以管理员身份登录到该计算机。你会看到在第3步中所 做的更改并未实施，原因是以管理员的身份登录了该计算机。

第13步将该计算机注销，然后以另一个用户（或其他多个用户）的身份登录到该计算 机。你会看到在第3步中所做的更改已经实施，原因是以用户身份（而不是管理员身份）登 录到该计算机。

第14步以管理员身份登录计算机，以确认本地策略不影响你作为该计算机的本地管理 员的身份。