有没有办法限制特定用户(非管理员)对 Wim XP 系统上的 cmd、Windows 工具、资源管理器的访问?
我部分考虑通过组策略和登录脚本来执行此操作 1. 从组策略拒绝访问 cmd、本地磁盘、注册表编辑器等(允许批处理) 2. 配置一个登录脚本,对于管理员用户,从注册表中删除此限制,对于非管理员用户,它将无法删除限制,因为它没有权限。
有没有更好的并且还应该涵盖更多限制项目?
答案1
如果您通过组策略设置限制,请不要使用注册表黑客脚本来取消设置。下次刷新策略时,GP 将重新应用,所有更改都将丢失。
我们通过两个用户配置 GPO 来实现这一点,其中一个 GPO 为普通用户设置所有限制。然后,我们还有第二个 GPO,它具有更高的优先级链接顺序和安全过滤,因此它仅适用于管理员。这样,在 GP 应用期间,系统将根据登录的用户应用适当的权限。
请记住,只有用户配置设置可以通过这种方式完成(因为计算机设置在启动时应用并且不评估谁登录)...