组策略就是修改注册表中的相关配置,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便灵活,功能也更加强大。那如何设置本地组策略不对特定用户生效呢?下文给出了详细的描述。
适用范围:本地组策略的“用户配置”部分。
本地组策略的用户配置部分存储在C:\WINDOWS\system32\GroupPolicy\User\Registry.pol文件。
只需要对该文件设置合适的NTFS权限,就可以设置本地组策略(用户配置部分)不对某些特定用户生效。
举个例子,在组策略→用户配置→管理模板→系统里启用“禁用注册表编辑工具”策略项,现在希望当Test用户登录系统时,能够照样打开注册表编辑工具(也就是说“禁用注册表编辑工具”这条策略对Test用户无效)。
可以采用以下步骤:
1.打开“我的电脑”窗口,进入C:\WINDOWS\system32\GroupPolicy\User文件夹。
2.打开该文件夹下Registry.pol文件的属性对话框。
3.切换到“安全”标签页,单击“添加”按钮,添加Test用户,然后勾选“读取”权限右侧的“拒绝”复选框。
4.单击“确定”按钮,保存所做的设置。
由于组策略的“用户配置”的大部分设置都是在用户登录以后加载到注册表中,而这时候系统无法读取C:\WINDOWS\system32\GroupPolicy\User\Registry.pol文件,从而无法应用相应的组策略设置。
注意组策略的“计算机配置”部分,由于在用户登录之前就已经加载到注册表中(位于HKLM下),所以这时候我们无法通过修改NTFS权限的方法对其进行定制
我们要让组策略限制不对特定用户生效,通常情况下是指管理员组,所以还可以按照这篇KB说的方法实现:http://support.microsoft.com/kb/293655/zh-cn。
总结:
希望本文介绍的设置本地组策略的用户配置部分。使之不对特定用户生效的方法能够对读者有所帮助,更多有关组策略的知识还有待于读者去探索和学习。
【编辑推荐】
