域用户权限设置 (改变及装软件)

域用户本地权限设置文档一、情况说明本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。

在AD上建立域用户的时候，默认是隶属于Domain Uses用户组我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。

但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。

为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法1、通过组策略强制把Domain Admins加入到每个客户端的本地administrators组中，然后通过大通的权限获取机制安装大通windows服务。

2、通过组策略把Domain Users加入到每个客户端的本地administrators组中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。

下一章节就是解决步骤。

二、解决步骤方法1：创建datong.vbs，内容如下：Set ws = WScript.CreateObject ( "WScript.Shell" )compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" )在AD中右键点击“域（例如）”——>属性——>组策略“新建”——“组策略名称随便取”——“编辑”计算机配置——windows设置——脚本——启动点击“显示文件”，把datong.vbs拷贝到目录中回到策略界面，点击添加，把datong.vbs加入启动策略。

针对Windows Server2003给域账户设置管理员权限【也适用XP】针对袁绪军写的【如何加入域】第5步，在server中没找到用户账户，故用一下步骤取代1、如图，在【我的电脑】上右键，点击【管理】2、如图，在弹出的【计算机管理】页面：选中【本地用户和组】->【组】中，在Administrators 上右键，点击【添加到组】3、如图，点击【添加】4、如图，在弹出的对话框中，点击【高级】5、如图，此时会弹出域服务器的验证。

输入域服务器192.168.0.173的用户名和密码。

点击【确定】6、上一步确定后，如图，点击【立即查找】7、找到刚才加入域的用户“XXX”，选中后，点击【确定】8、如图，再次点击【确定】9、如图，再次点击【确定】，至此，给域账户设置管理员权限完毕。

出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。

然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。

诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。

宫中府中，俱为一体；陟罚臧否，不宜异同。

若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。

侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。

将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。

亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。

先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。

侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也。

臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。

先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。

何在2003域中限制用户安装和卸载软件的权限，我应该怎么通过设置策略实现？可以考虑“power users”组，改组是受限制的。

尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低，但“power users”组成员依然可以有较大权限来访问系统。

如果您的组织中使用了“power users”组，则应仔细地控制该组的成员，并且不要实现用于“受限制的组”设置的指导。

“受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置：计算机配置\windows 设置\安全设置\受限制的组通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上，管理员可以为gpo 配置受限制的组。

如果某个组受限制，您可以定义该组的成员以及它所属的其他组。

不指定这些组成员将使该组完全受限。

只有通过使用安全模板才能使组受限。

查看或修改“受限制的组”设置：.打开“安全模板管理控制台。

注意：默认情况下，“安全模板管理控制台”并没有添加到“管理工具”菜单。

要添加它，请启动microsoft管理控制台(mmc.exe) 并添加“安全模板”加载项2.双击配置文件目录，然后双击配置文件。

3.双击“受限制的组”项。

4.右键单击“受限制的组”5.选择“添加组”6.单击“浏览”按钮，再单击“位置”按钮，选择需浏览的位置，然后单击“确定”。

注意：通常这会使列表的顶部显示一个本地计算机。

7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。

单击“高级”按钮，然后单击“立即查找”按钮，列出所有可用组。

选择需要限制的组，然后单击“确定”。

单击“添加组”对话框上的“确定”来关闭此对话框。

对于所列出的组来说，将添加当前不是所列组成员的任何组或用户，而当前已是所列组成员的所有用户或组将从安全模板中删除。

为完全限制“power users”组，此组的所有用户和组成员的设置都将删除。

来宾账户（guest）或者受限用户（user）的权限设置当你的电脑经常需要被别人使用，但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时，你可以先以管理员身份登录Windows系统，参照以下几条作相应设置，然后开通来宾账户或者新建一个普通user账户（不是管理员，而是受限用户），让别人用这个账户登录系统，这时你就可以放心你的电脑任意让别人折腾。

一、限制用户对文件的访问权限如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。

通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。

如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。

例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作：（1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。

具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。

（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。

（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。

（4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。

（5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。

要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。

简介普通用户加入域后默认是在Domain Users 组里，该组中用户具有将10台计算机加入域的权限，在一些安全要求极高的企业是绝对不允许的，存在较高的风险，所以需要禁止普通domain users 组中用户加域权限；但是可能公司部门较多的时候需要有二级网管来负责普通的运维比如将某部门新入职员工计算机加入域，但是不能将超管的密码外泄所以需要专门用来加域的用户；Windows server 2003 禁用普通domain users组的加域权限（管理员账号不受此限制）1. 在开始运行中输入adsiedit.msc或者输入mmc打开控制台，在控制台中添加adsiedit（如果提示找不到这个命令式因为没有安装SupportTools在2003系统光盘上可以找到D:\SUPPORT\TOOLS\SUPTOOLS.MSI）2. 打开后依次展开图中指示，右击dc=accp,dc=com选择属性，找到ms-DC-MachineAccountQuota，其默认值为10，将此值改为0，并单击OK；Windows server 2008 禁用普通domain users组的加域权限（管理员账号不受此限制）1. 使用管理员的账号登陆域控制器，开始>管理工具>ADSIEdit；3. 右键ADSI编辑器，点击连接到，保持默认点击确定；4. 在DC=benet,DC=com处右击属性（域级别），选择ms-DS-MachineAccountQuota属性，双击，修改其值为0，并单击ＯＫ；微软指南1. 微软帮助文档：/kb/243327/zh-cnWindows server 2003授权特定普通域用户将计算机加入域1. 打开AD管理工具，选择（域级别），右击属性，选择委派控制2. 点击下一步，添加需要提升为具有将计算机加入域的账号（普通域账号账号）3. 在委派页面选择将计算机加如到域，并单击下一步，完成4. 在下面的页面，单击确定退出就完成了对普通用户的权限提升。

电脑如何设置用户权限在日常使用电脑的过程中，我们常常需要在同一台电脑上面对不同的用户进行管理和设置权限。

设置用户权限能够限制用户的行为范围，保护个人信息和电脑系统的安全性。

本文将介绍电脑如何设置用户权限，以帮助大家更好地保护电脑的安全。

一、创建新用户账户创建新用户账户是设置用户权限的第一步。

使用管理员账户登录电脑后，我们可以进行以下步骤来创建新用户账户：1. 点击开始菜单，选择“设置”。

2. 在“设置”窗口中，选择“账户”。

3. 在“账户”窗口中，选择“家庭和其他用户”或“其他用户”，然后点击“添加其他用户”或“添加家庭成员”。

4. 根据提示，填写账户名称、密码等信息，选择是否设置为管理员账户。

5. 点击“下一步”并完成账户创建。

二、管理用户权限创建新用户账户后，我们可以根据需要对不同用户进行权限管理，限制其对电脑系统和个人信息的操作。

以下是一些常见的用户权限管理方法：1. 更改用户类型管理员账户可以更改其他用户账户的类型，包括管理员和标准用户。

管理员账户具有更高的系统权限，可以更改系统设置、安装软件等，而标准用户账户则受到更多限制。

我们可以通过以下步骤更改用户类型：a. 使用管理员账户登录电脑。

b. 进入“设置”>“账户”>“家庭和其他用户”或“其他用户”。

c. 选择要更改的用户账户，点击“更改账户类型”。

d. 根据需要选择管理员或标准用户类型。

2. 设置用户密码为用户账户设置密码可以增加账户的安全性，防止他人未经授权访问电脑系统和个人资料。

我们可以通过以下步骤设置用户密码：a. 使用管理员账户登录电脑。

b. 进入“设置”>“账户”>“家庭和其他用户”或“其他用户”。

c. 选择要设置密码的用户账户，点击“设置密码”。

d. 根据提示，输入密码并确认。

3. 限制应用和功能访问为了保护用户账户和电脑系统的安全，我们可以限制用户访问某些特定的应用程序和功能。

以下是一些常见的限制方法：b. 进入“设置”>“账户”>“家庭和其他用户”或“其他用户”。

计算机软件权限管理与用户设置第一章软件权限管理的概述1.1 软件权限管理的定义和作用软件权限管理是指对计算机软件中的各种功能、数据和资源进行合理的分配和限制，以保证系统的安全、稳定和合法使用。

它能够帮助管理员对软件的使用进行精确控制，防止未授权的访问、篡改或删除操作，并优化系统资源的使用。

1.2 软件权限管理的分类软件权限管理可以分为用户权限管理和角色权限管理两种方式。

用户权限管理是指根据每个用户的身份、职责和需要，对其使用软件的权限进行控制；而角色权限管理是基于角色的，将不同用户划分到不同的角色中，并为每个角色分配相应的权限。

1.3 软件权限管理的重要性合理的软件权限管理能够确保系统的安全性和稳定性，有效地预防各种安全威胁和恶意操作。

同时，它还能帮助提高用户和管理员的工作效率，避免不必要的人工干预。

第二章用户权限管理2.1 用户权限管理的原理用户权限管理通过对用户进行身份验证和授权，限制用户对软件功能和数据资源的访问、操作和修改。

它涉及到用户身份的验证与认证、权限划分和权限控制等关键过程。

2.2 用户权限管理的实施步骤（1）用户身份认证：确定每个用户的身份，通过用户名、密码、指纹或其他身份验证方式进行验证；（2）权限划分：根据用户的职责和需要，将用户分组，并为每个用户组分配特定的权限；（3）权限控制：采用不同的控制策略，如最小权限原则、分级授权等，限制用户在软件中的操作和访问权限；（4）权限审计：对用户的权限使用情况进行监控和审计，及时发现和纠正潜在的安全隐患。

2.3 常用的用户权限管理工具目前，市场上有许多优秀的用户权限管理工具，如Active Directory、LDAP、RBAC等。

这些工具能够帮助管理员实现对用户的身份验证、权限划分和权限控制等功能。

第三章角色权限管理3.1 角色权限管理的原理角色权限管理是一种基于角色的权限管理方式，通过将不同的用户划分到不同的角色中，并为每个角色分配相应的权限，实现权限的集中管理和统一分配。

问题描述：在一个多用户的系统中安装一个软件，使各个用户在安装完后都出现该软件的图标并能正常运行（比如联众）。

现在的问题是在我安装完后，只有我的环境中有，其他的都没有，拷贝快捷方式也不能用，不得已只能分别重新安装。

问题回答：如果程序在设计的时候允许默认安装模式是写入x:\Documents and settings\All user的profile 和\Program Files\Common Files,那么大多数程序是可以被多用户公用的。

但很多的程序并不支持这个功能，或者说程序的设计者在多用户方面考虑欠妥。

另外一方面，很多的程序并没有考虑在域中domain user权限的环境下使用，对于注册表和安装目录都需要有读写权限。

通常的情况下，都可以通过迁移安装软件的那个账户（常常是Local administrator）下的profile 来达到这个目的。

下面以domain user使用office2000的办法来说明这个问题。

问：在安装了office2000和微软vb,vc＋＋6.0的win2000电脑上，域用户第一次登陆并第一次运行office2000(例如outlook)或者vb时就会出现office2000设置，要等半天设置好之后才能运行这些程序。

如果没有等0ffice设置完而点击取消了，下次运行时还是会设置；如果耐心等office设置运行完下次就不会出现了。

有没有可以让新开的域用户第一次使用时不出现这些烦人的设置呢？答：导致这个动作的原因是这样的：每当登陆的用户发生变化，启动office后，office都会调用data1.msi重新注册用户信息。

如果在当前路径和系统路径找不到此文件，就会弹出对话框询问此文件的位置。

如果能够找到此文件，哪怕当前目录无法写入，系统也不会提示错误，正常进入，这可能是设计使然：）那么，我们一般有2中办法来解决这个问题。

一、在管理员的环境下启动office以后，copy管理员的profile。

工作在域模型下"domain users"组的用户，经常会因为没有写入权限等原因造成工作上的不便，应老同事需求具体说下方法，以达到自己动手，丰衣足食的目的。

要达到“我的电脑我做主”只要提升帐户在本地计算机上的权限就好了，"domain users"组的用户默认在本地用户组的"users"里，本地用户组"administrators"里默认只有"administrator"和"domain admins"，我们现在的任务就是强行更改本地计算机管理员帐户的密码，或新建一个本地计算机帐户然后将其提升为本地计算机管理员权限。

实际环境很可能没有光驱之类，所以ERD COMMANDER之类在此不做介绍。

赤手空拳夺权限现在开始，实验环境：DC使用windows server 2003 R2，client 使用windows xp sp2，用户现使用普通的域用户帐户登录客户端，且本地帐户不可用。

运行gpedit.msc打开组策略，然后依次打开“计算机配置”--“windows设置”--“脚本（启动/关机）”，打开“启动”属性，添加脚本"run.bat"，单击“显示文件”弹出目录为"C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup"的窗口，在此目录下新建一个批处理"run.bat"，内容为："net user administrator 123"或"net user cisco 123 /addnet localgroup administrators cisco /add"，最后在“启动”属性窗口点确定，退出组策略，重启。

好了，你现在可以用管理员身份登录本地计算机，如果刚你新建的run.bat里是"net user administrator 123"，也就是说强行修改administrator的密码为123，此时用administrator帐户，密码为123，登录本机，看清楚一定是本机，别登录域，我们只能修改本地计算机上的帐户，域上的可不行。

软件设置打开组策略软件安装打开组策略软件安装1.打开“组策略管理控制台”。

右键单击要编辑的组策略对象，然后单击“编辑”。

2.若要将软件应用程序指派给计算机，请在控制台树中展开“计算机配置\策略”。

若要向用户指派或发布软件应用程序，请在控制台树中展开“用户配置\策略”。

3.展开“软件设置”，然后单击“软件安装”。

其他注意事项要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

设置组策略软件安装的默认值若要将软件安装程序包添加到用户设置，可以发布或指派程序包。

选定站点、域和组织单位的用户使用控制面板中的“添加/删除程序”或使用文件激活可以安装已发布的程序包。

选定站点、域或组织单位中的用户在下次登录时（指派给用户）或计算机重新启动时（指派给计算机）将收到已指派的程序包。

设置组策略软件安装的默认值1.打开“组策略软件安装”。

（在控制台树中，右键单击“软件安装”。

）2.单击“属性”，然后在“常规”选项卡上指定下列选项：o在“默认程序包位置”中，指定默认的软件分发点。

o在“新增数据包”中，指定将新数据包添加到用户设置中的方法。

默认情况下，数据包可以被发布或指派。

（对于计算机，只能指派。

）如果要对每个数据包都选择这些选项，请单击“显示部署软件”对话框。

若要分别对各个数据包进行更多的控制，请单击“高级”。

o根据希望安装过程对用户所显示的外观，单击“安装用户界面选项”中的“基本”或“最大”。

其他注意事项∙要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

禁止域用户安装软件
貌似简单的问题,其实并不简单
1.域用户默认属于本地users组,是没有软件安装权限的.可是有些软件只要你把安装路径修改一下照样能够安装.比如wareshark就可以顺利逃过这一劫.原因是users组队program files 文件夹没有写权限,换个目录自然就搞定了.但是如果希望限制域用户安装卸载软件,这个限制还是很有必要的.
2.关闭installer服务.这个方法只能限制msi格式软件包的安装,所有exe com格式的软件包它管不着.
3.锁定注册表.这招太狠了,劝君莫用.因为某些安装好的软件在运行时也要修改注册表的.但是效果不错,用不用还要慎重考虑啊
4.修改组策略
a.运行，键入"gpedit.msc"
b.窗口左侧显示“本地计算机策略”，依次展开“用户配置”——“管理模板”——“系统”项目
c.此时右侧栏目会出现配置项列表，最重要的是修改“不要运行指定的Windows程序”和“只运行指定的Windows程序”，默认“未被配置”双击可进行修改
d.如果要禁用QQ、TM、MSN等IM工具，可以启用“不要运行指定的Windows程序”，在进程列表中输入程序的进程名，如"qq.exe"、"msn.exe"等依次添加。

其它类似，可以在任务管理器中查找应用程序的进程名，添加予以限制。

e.若限制比较严格，可使用“只运行指定的Windows程序”，就可以把非法程序全毙掉了
这种方法太繁琐,修改起来也麻烦,不推荐使用.
5.运行各种专用的管理软件,不过请支持正版事业.。

问题描述：在一个多用户的系统中安装一个软件，使各个用户在安装完后都出现该软件的图标并能正常运行（比如联众）。

现在的问题是在我安装完后，只有我的环境中有，其他的都没有，拷贝快捷方式也不能用，不得已只能分别重新安装。

问题回答：如果程序在设计的时候允许默认安装模式是写入x:\Documents and settings\All user的profile 和\Program Files\Common Files,那么大多数程序是可以被多用户公用的。

但很多的程序并不支持这个功能，或者说程序的设计者在多用户方面考虑欠妥。

另外一方面，很多的程序并没有考虑在域中domain user权限的环境下使用，对于注册表和安装目录都需要有读写权限。

通常的情况下，都可以通过迁移安装软件的那个账户（常常是Local administrator）下的profile 来达到这个目的。

下面以domain user使用office2000的办法来说明这个问题。

问：在安装了office2000和微软vb,vc＋＋6.0的win2000电脑上，域用户第一次登陆并第一次运行office2000(例如outlook)或者vb时就会出现office2000设置，要等半天设置好之后才能运行这些程序。

如果没有等0ffice设置完而点击取消了，下次运行时还是会设置；如果耐心等office设置运行完下次就不会出现了。

有没有可以让新开的域用户第一次使用时不出现这些烦人的设置呢？答：导致这个动作的原因是这样的：每当登陆的用户发生变化，启动office后，office都会调用data1.msi重新注册用户信息。

如果在当前路径和系统路径找不到此文件，就会弹出对话框询问此文件的位置。

如果能够找到此文件，哪怕当前目录无法写入，系统也不会提示错误，正常进入，这可能是设计使然：）那么，我们一般有2中办法来解决这个问题。

一、在管理员的环境下启动office以后，copy管理员的profile。