使用组策略控制域工作站本地文件夹或文件的用户权限

作为网管员,很多时候客户端的权限问题乃是最为纠结的一件事了,下面我们向大家介绍下通过组策略的文件系统向客户端赋权,这样的话大大节省了网管员的时间,也避免了客户端因为软件不能正常运行而抱怨不休的情况。

在调整设置的时候，下列问题要注意:

该策略是针对计算机的

策略是应用在计算机设置上

可能客户端组策略结果中无法正常显示出策略应用集，但是却能够正常使用（这也是我纳闷的一点）

使用相对路径的时候注意大小写的书写

不建议对对所有文件夹赋权，以免客户端对系统盘操作权限过大，照成系统未知问题

参考文章:在附件，请下载查看！

1、我们在域控上打开组策略管理器，选中需要调整这个设置的组织单元，右键点击新建组策略，在选中新建的策略，右键选择编辑

2、在弹出的组策略管理编辑器页面中选择计算机配置--策略--windows设置--安全设置--文件系统，右键点击文件系统，在点击添加文件

3、在弹出的对话框里选择对应域用户下面的桌面的对应位置，点击确定。会弹出右下边的图

请注意：

这里输入的是绝对路径，（作为域控，肯定不会安装一些日常应用软件，因此而导致服务器上不存在与客户端对应的文件夹，所以我们需要用到相对路径来达到我们的目的），而客户端又有XP和win7之分，大家都知道，win7系统是有Program Files和Program Files（X86）两个文件夹，所以这里我们也要添加两个。

实际环境中不建议把Program Files整个文件夹的权限给domain users 应该针对其中的部分软件安装的文件夹路径赋权，以免造成客户端权限过大而导致系统被更改等等原因，这样的话就有点得不偿失了。

文件夹路劲是可以手动输入的。

在添加无管理员权限的用户桌面的时候，是添加%systemdrive%\users\public\desktop或者%UserProfile%\Desktop这个路劲。有管理员权限的用户就是用户名所对应的文件夹下面的桌面。

4、点击添加，在弹出的对话框里输入domain users再点击右边的检查名称，然后再点击确定

5、选中刚刚添加的domain users，在下面的权限允许里调整权限，调整好后点击应用，再点击确定

6、在弹出的对话框中我们设置相应的权限，我们设置的权限为除了完全控制其他全部赋予客户端，然后点击确定，在这一步弹出的页面中询问关于此文件夹的权限问题：

添加此权限到所有子文件夹和文件

此权限替换所有子文件夹和文件的权限

不允许此权限下发到子文件夹和文件

这里我们选择替换所有子文件夹和文件的权限，同理添加其他文件夹，权限设置与此一致。

7、在域服务器中以管理员身份运行Windows PowerShell，然后输入gpupdate /force，强制刷新一下组策略

8、去用户客户端，重启一下用户电脑，看下桌面文件夹的权限，这里我们可以看到domain users有修改权限，然后在和其他文件夹权限作对比。