用户特定权限设置指南 首先，在服务器上安装WINDOWS2003操作系统，并且做好终端服务组件的安装设置等。这些在客户支持光盘里面有详细的介绍，此处不再赘述。安装配置好基本的Windows2003终端服务器之后，我们就可以按照安全的需求来对用户的数据和权限进行一定的配置操作了。为了以后的管理方便，也为了下面对用户的权限设置更加方便易行，我们先把所有用户的数据文件移到系统盘以外的驱动器盘中。比如我这里把用户的数据全部移动到D盘中。一、移动用户数据到非系统盘在做这项工作之前，最好仅仅是超级用户有登陆过，其他的用户未登陆过，具体的做法是：用超级用户登陆，运行regedit注册表编辑器，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList下的一个项ProfilesDirectory，原来的值为 %SystemDrive%\Documents and Settings，将%SystemDrive%改成D：，现在，便将以后登陆的用户的“我的文档”、“配置文件”等都移动到了D盘了，此时用一个新建的用户试登陆一次，便会自动在D盘建立一个对应注册表中的主文件夹了。当然新建用户目前还是无法登陆的，还需要将原c:\ Documents and Settings\的All Users、Default User拷贝到D盘的Documents and Settings目录下，Default User目录是隐含属性的，需要在文件夹选项中，显示隐含文件的选项选上，按照原C盘的Documents and Settings目录设置的权限，对D盘的Documents and Settings目录设置权限。记住，如果需要移动Documents and Settings，尽量在除超级用户外，其他用户都没有登陆的情况下来更改，更改后，C：\Documents and Settings也不能删除，因为超级用户的设置还在里面，新建一个用户，加入到超级用户组中，用该帐号登陆到系统中，将C：\Documents and Settings\Administrator目录删除掉，再用超级用户登陆一次，你便可以发现，超级用户的设置也移动到了D盘了，重新启动机器一次，删除C:\ Documents and Settings目录。（如果系统提示不能删除，可以不用删除，但里面的数据其实已经全部在前面的操作中移到了D盘，并不影响操作）到此，便将用户的数据目录放置在其他的驱动器中，便于管理。二、对用户进行某些权限设置 1、每个用户只能看到自已的文件，只能使用分配的权限。实现这项功能只要把用户的私人目录映射成为一个独立的盘符，然后把其他的驱动器全部隐藏，同时防止用户访问隐藏的驱动器。这样普通用户进去后打开我的电脑，只能看到由自己的私人目录映射出来的盘符，也就是只能看到自己的文件了。具体操作如下：第一步、把私人目录映射成为单独的盘符。设置每个用户的私人目录为一个固定的驱动器盘符，比如G:，可以在%SystemDrive%\Documents and Settings\All Users\「开始」菜单\程序\启动\下添加一个bat脚本文件，（此处的%SystemDrive%是具体放用户数据文件夹的盘符，默认是在C盘，如果已经移动了，则以移动的位置为准，如我们上面移动用户数据是放在D盘，则这里也就是D:\Documents and Settings\All Users\「开始」菜单\程序\启动\）下图是默认的C盘里建立。 该文件的内容为subst G: “% USERPROFILE%”（可以用记事本编辑好内容后以bat为后缀名保存的方法来创建该脚本文件）如图 这个时候只要用户进入系统就会自动执行该命令，也就把每个人的私人目录映射成了一个相同的G驱动器了，而该G驱动器指向了每个用户自己的私人目录。注：要求映射出来的盘符是排在最后的，这样为后面隐藏其他盘符提供方便。如果映射的时候脚本文件出现DOS死循环的话，则把BAT文件里面的命令由SUBST改为SUBST.EXE，其它的不变。即：subst.exe G: “% USERPROFILE%” 第二步、隐藏“我的电脑”中指定的驱动器此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。超级用户打开开始菜单中的运行，在里面输入gpedit.msc后确定进入到组策略编辑器打开“本地计算机策略→用户配置→管理模板→Windows 组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器” 启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。但不能限制所有的驱动器，否则将把映射出来的驱动器也隐藏。 确定应用之后退出，这时候我的电脑中的就不会出现你选中要隐藏的盘符了。但在你选择要隐藏的盘符时会发现只有Ａ、Ｂ、Ｃ、Ｄ四个盘符可以任意搭配来隐藏，要不就隐藏所有的驱动器，而对于Ｄ以后的盘符并没有在列表中出现。如果要隐藏Ｄ盘以后的驱动器该怎么办呢？那只有修改注册表来实现了。管理员运行“regedit”进入注册表编辑器，依次进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，在右边窗体中新建“NoDrives”数据类型选择“REG_DWORD”，单击“确定”按钮。在接下来弹出的DWORD值编辑器对话框的“基数”分组框中选择“十进制”单选钮，在“数据”编辑框中输入你要隐藏的驱动器号并确定，重新启动系统后相应的驱动器即被隐藏。注意：在这里使用2的N次方（N=1，2，3，……）来代表一个驱动器号，如：A为 1, B为 2, C为 4, D为 8, E为 16, F为 32, G为 64……还有，如果你要隐藏A、B、C三个驱动器，输入7即可，因为7=1＋2＋4，而要隐藏A、B、C、E四个驱动器，输入23即可，因为23=1＋2＋4+16。依次类推，就可以隐藏任意的盘符了。如果我们前面把私人目录映射出来的盘符设成了最后一个，将降低计算的难度。注：这里需要特别注意的一点是注册表各个项目之间的优先权问题。组策略的配置其实也就是通过图形界面对注册表进行修改，而它修改生成的键值是在：“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies中，如果我们要自定义隐藏驱动器的话就要在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer中添加建植才有效。但后者的优先权大于前者，也就是说后者的设置将覆盖前者的相关设置。并且不能通过后面所说的删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies中的子项目来解除对管理员的限制，也就是说管理员也将受限制。 第三步、防止用户用其他方式打开隐藏的盘另外，这个策略只是让驱动器在我的电脑中隐藏，如果用户用其他的方法还是可以进入的，比如打开私人目录在地址栏里输入“C：“也是可以打开C盘的。这个时候我们就可以把本地计算机策略→用户配置→管理模板→Windows 组件→Windows资源管理器”中的 “防止从‘我的电脑’访问驱动器”启动。方法和隐藏驱动器是基本一致的。可以参照上面关于隐藏驱动器的操作进行设置。当然，如果禁止访问的驱动器盘符超过了4个，在组策略设置里面也是无法做到的，因为和隐藏盘符一样，只能选择A、B、C和D的任意搭配，要不就全部禁止。这个时候同样可以通过手动修改注册表的形式来实现，进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，在右边窗体中新建“NoViewDrive”数据类型选择“REG_DWORD”，单击“确定”按钮。在接下来弹出的DWORD值编辑器对话框的“基数”分组框中选择“十进制”单选钮，在“数据”编辑框中输入你要禁止的驱动器号数值并确定，重新启动系统后相应的驱动器即被禁止。至
于盘符的计算方法和前面隐藏驱动器的计算方法是完全一致的。当然，这种设置和前面一样，需要注意注册表的优先权。它也将覆盖组策略在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies 中建立的与该设置相关的设置，并对管理员起作用。经过这三步的操作，已经实现了每个用户只能看到自已用户的文件，也就是私人目录。而这两步也就可以实现让普通用户不能访问我的电脑中的其他资源扩展：如果希望对用户管理的更直接和方便，可以把用户的桌面清空，然后再用该用户私人目录映射出来的驱动器中把 “My Documents”）创建快捷方式到桌面，改名为“我的文档”，然后隐藏所有的驱动器。不过对于阻止访问驱动器就不能使用阻止访问所有驱动器的方式了，由私人目录映射出来的驱动器是不能阻止的，否则将影响私人目录的使用。当然，如果一个个用户去设置桌面的话感觉太烦琐了，我们可以用一个普通用户进去设置好之后，退出。用管理员帐号进去，找到该用户的私人目录，进入该目录，用该目录下的NTUSER.DAT文件，替换掉D:\ Documents and Settings\Default User\目录下的NTUSER.DAT文件，记住NTUSER.DAT文件是一个隐含文件。以后的所有用户登陆上来，便按照配置的缺省用户地设置了，没有必要为每个用户都配置一遍。但这种设置对已经登陆过的用户不起作用，因为该用户已经有了自己的私人设置，将不再使用默认的设置。加上这步扩展的设置之后，普通用户就只能在桌面上使用“我的文档”，而“我的电脑”等其他项目都将不显示。极大的保障了安全性。 2、每个用户只能用分配的空间。实现这一步需要启动磁盘配额。由于安装WIN2003用的是NTFS的磁盘格式，所以可以配置磁盘配额。在磁盘属性里有磁盘配额选项，直接配置即可。在NTFS格式下，既可以建立全局磁盘配额，对每用户均起限制，也可以单独设置特殊用户的磁盘配额，限制用户对磁盘空间的使用，比如可以对普通用户分配50M的磁盘空间，超过50M便无法向磁盘写数据了。 需要注意的是由于前面对用户进行设置之后，用户只能看到自己的私人目录，为了安全考虑，也就只允许用户在自己的私人目录里面存储数据。而用户的私人目录是放在存放用户配置数据的驱动器里面的，如：D/Documents_and_Settings。那么就要在D盘对用户进行磁盘的配额设置，而在别的盘设置的磁盘配额由于用户看不到也访问不了而起不了作用。还有保证被分配的磁盘一定要有足够的空间。这点是肯定的。 3、每个用户不能私自装软件。将不允许安装软件的用户设为user组的成员。在windows2003操作系统中，该组的成员默认不允许安装软件。另外在组策略中也有相应的策略来限制用户在安装、执行各种程序。在这里可以有两种方法来实现，一种为指定不允许运行的程序，另外一种则为指定允许运行的程序。当然这两种设置对系统工作所需要的文件是不影响的。注意：在对该策略进行配置的时候务必先打开注册表编辑器，以免由于无法使用注册表而不能把组策略对管理员的限制去掉，那么管理员也将和普通用户一样的受到限制，而且不能修改策略。当然如果把注册表设置成允许运行就没必要了。解除组策略对管理员的限制将在后面提到。 1、启用“不要运行指定的Windows应用程序”策略　　在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。设置方法如下：（1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器。（2）、依次展开本地计算机策略-》用户设置-》管理模板-》系统 双击右侧窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。 （3）、点击“添加”，输入不运行运行的应用程序名称，如腾讯QQ则输入“QQ.exe”，点击“确定” 此时，指定的应用程序名称添加到禁止运行的程序列表中（4）、点击“确定”返回组策略编辑器，点击“确定”，完成设置。当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除。 2、启用“只运行许可的Windows应用程序”策略在组策略中还有一条名为“只运行许可的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户只运行这些应用程序。从而防止其他禁止运行的程序运行。设置方法和启用“不要运行指定的Windows应用程序”策略基本是一致的。可以参照上面的设置进行配置。只是添加的程序是允许运行的，没有加到列表中的程序就一律不允许运行。就是用户重新安装的也不行。这个设置的限制较大，如果允许运行的程序很多的话，管理员工作量也会大很多。特别注意的是采用上面这两个策略的时候，一定要特别注意一些配置程序的特殊性，比如组策略编辑器、注册表编辑器和命令提示符，因为这个设置是对所有用户限制的，包括Administrators组中的账户甚至是内建的administrator帐户，任何用户都将不能启动没有被允许的程序，也就不能对设置的策略进行更改。 另：解除组策略对管理员用户的限制当然也可以用修改注册表的形式来消除组策略对管理员的限制。（所以刚开始打开的注册表的操作是必要的） 其实可以在组策略中，按照您的具体的需求，进行详细的配置，配置后，在前面预先已经打开的注册表编辑器中找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies，该项目中又有一些子项目，可以将子项目中的内容全部删除掉，则对组策略的所有的设置对超级用户都不生效了。但由于优先权的存在，对修改注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer而生成的限制将不能解除。如果确实需要对不同用户组采用不同的策略，那么建议你将服务器升级成域控制器，然后将用户放置到不同的组织单元中，为每个组织单元设置不同的组策略。 4、某用户不能上网设置某个用户不能上网就可以为其起用代理服务上网，并且设置个错误的代理和端口号。在错误的代理和端口号的作用下，该用户当然就无法上网了。同时为了防止用户自己把设置改回来，就可以把设置的选项禁止普通用户使用，这些也可以通过组策略来实现。 1、设置错误代理，禁止用户上网用禁止其上网的用户名登陆进去，打开IE，在其工具栏中选择工具—》internet选项，将出现IE的属性栏，转到连接选项卡， 点击上面的“局域网设置”，进入LAN设置窗体，选中“为LAN使用代理服务器”，然后就是在下面的“地址”框中写入代理服务器，“端口”框中添上端口号。当然这些都是写错误的，比如代理地址：0.0.0.0，端口：0000。 至此，该用户就无法上网了。这里还有个选项“对于本地地址不使用代理服务器”，如果打上勾，也就是错误代理在本地不起作用，用户可以使用本地网络服务。如果不选中这项的话，用户就会在本地的连接中也使用代理，在目¿™个错误的代理下，自然本地连接也不能通的，也就上不了本地网络。至于是选还是不选就要看具体的需求了。当然为了不让用户自己改回设置，就要把IE中的这些设置项隐藏或禁止掉。这里又要利用到组策略了。 2、隐藏internet设置选项（1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器。（2）、依次展开本地计算机策略-》用户设置 -》管理模块 -》windows组件—》Internet Explorer—》Internet控制面板 双击右侧窗格中的“ 禁用连接页”策略，选择“已启用”选项。 以后用户选择IE中的工具—》internet选项，打开的选项窗体中就将不再有“连接”这一选项卡了，自然用户也将无法修改里面的设置了。 在错误代理和端口的作用下，该用户将无法上网。当然，为了不让该组策略对管理员造成限制，我们还是要用上面提到修改注册表的方法来解除策略对管理员的限制作用。 5、设置敏感程序的权限上面对用户的权限已经有了比较全面的设置了，基本上可以做到用户只能使用计算机而不能更改系统的目的。但在系统里面有些敏感程序是可以修改设置的，如果有对计算机比较熟悉的用户，就会存在用户自己更改设置的可能。于是就产生了禁止普通用户运行这些敏感程序的需求。这些敏感程序一般包括命令提示符（cmd.exe），组策略编辑器（gpedit.msc）和注册表编辑器（regedit.exe及regedt32.exe）注：设置这些策略的时候务必先打开注册表编辑器。方便设置完策略后修改注册表来解除设置对管理员的限制。如果不先打开注册表，设置了禁止运行注册表编辑器后，就连管理员也无法运行，从而给管理带来巨大的困难。 ①禁止使用命令提示符在Windows 2000/XP/2003 下，我们可以运行cmd.exe 进入命令提示符状态，并可以继续运行一些DOS 命令和其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符” 并启用此策略。 下面列表框中还有个选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件*.cmd 和*.bat是否可以在计算机上运行。可以按需求配置（一般是不停用）。 ②禁止组策略编辑器打开“组策略控制台→用户配置→管理模板→Windows组件→Microsoft Management Console→受限/许可的管理单元→组策略”，打开右边窗体的“组策略对象编辑器”属性， 禁用该设置。（即在上面选择“已禁止”项目） 以后如果要运行组策略编辑器就会被拒绝，并且弹出警告消息。 ③禁用注册表编辑器为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法：打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具” 并启用此策略。 此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及Regedt32.exe）的时候，系统会禁止这类操作并弹出警告消息。这些禁止后即使用户利用建立脚本文件来启用这些程序也是会禁止执行的。另：经过上面的设置，那些系统敏感程序得到了保护。但为了让系统管理员可以用这些程序进行设置和管理系统，很有必要解除这些设置对管理员的限制。开始设置这些策略的时候打开的注册表编辑器在这个时候就派上用场了，如果你当时没有打开注册表编辑器的话，此时你已经无法运行该程序了，自然也无法解除这些设置对管理员的限制了。策略配置后，在前面预先已经打开的注册表编辑器中找到下面的位置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies，该项目中又有一些子项目，可以将子项目中的内容全部删除掉，则对组策略的所有的设置对超级用户都不生效了。但直接修改注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer生成的限制将不能解除。其实这在前面有所提到，方法是一样的。 注意：以上权限设置是在独立的情况下进行的，对于要进行多种设置同时生效时，必须考虑各个策略的互相作用的情况。制定出前后不会相互制约的配置方法。比如前面用subst.bat脚本文件创建虚拟盘之后，在后面限制某些软件运行的设置时就要允许其运行，这样才能使两种效果同时实现。所以在运用多种策略的时候要注意相互作用的问题。另外，当修改完注册表来解除组策略对管理员的限制后，如果再次对组策略进行了某一项的设置，那么就需要重新解除对管理员的限制，否则以前设置的所有策略都将重新对管理员起作用。如果在设置过程中不小心把管理员的权限也完全限制了，这个时候就只能在启动的时候按F8，进入带命令提示符的安全模式，在提示符下输入：regedit.exe来启动注册表，然后再按照前面所说的解除管理员的方法删除相应建植就可以了。