我的研究让我找到了这一点 - >打开“安全配置和分析”msc snapin,将模板导出到.inf,在“安全模板”mmc snapin中打开.inf,但在这里我已经放慢了进度。
如何在 .inf 文件中创建自定义策略,以便将其重新模块化回 dbs 文件?具体来说,我正在寻找一种策略来阻止一组用户通过 lusrmgr.msc、control userpassword[2] 或 net user 操纵其他用户帐户。
答案1
没有细粒度的权限来让您“锁定”对“本地用户和组”(旧注册表 SAM 配置单元)的操作。这不是安全模板没有语法的问题,而是没有功能来执行此操作。您无法“委托”或限制修改机器上的 SAM 的权限——产品无法做到这一点。
编辑:
仅通过访问注册表的 SAM 和 SECURITY 配置单元的 API“允许”访问 SAM。这些 API 进行安全检查,据我所知,这些检查是硬编码的。没有地方可以更改权限来改变这些 API 的行为。您描述的所有程序都使用这些 API 来更改注册表。您不能将 SAM 的控制权委托给有限的用户、其他组等——它是硬编码在产品中的。
如果您不希望用户乱搞只有“管理员”才允许做的事情,就不要让他们成为“管理员”。只要他们仍然是“管理员”组的成员,您尝试做的任何其他事情都是徒劳的,用户可以撤消。
以下是关于该架构的一些背景信息:http://technet.microsoft.com/en-us/library/cc961760.aspx?ppud=4
旧版 Windows NT 4.0 域使用 SAM 作为帐户和组的后端存储,在委派控制方面存在这些限制。这也是 Active Directory 优于 NT 4.0 的另一个原因。就个人电脑上的 SAM 而言,就委派功能而言,我们仍处于 NT 4.0 时代,即使在 Windows 7 上也是如此(我认为这种情况不会改变)。