用户权限分配、安全选项、本地组策略设置

打印机共享|提示“无法访问，您可能没有权限使用网络资源”
1.在运行命令窗口中输入“gpedit.msc”打开本地组策略编辑器。

2.依次选择【计算机配置】-【Windows设置】-【安全设置】-【本地策
略】-【用户权限分配】，打开“拒绝从网络访问这台计算机”删除“Guest”。

3.依次选择【计算机配置】-【Windows设置】-【安全设置】-【本地策
略】-【安全选项】，打开“网络访问：本地账户的共享和安全模型”
设置为“仅来宾-对本地用户进行身份验证，其身份为来宾”。

4.依次选择【计算机配置】-【Windows设置】-【安全设置】-【本地策
略】-【安全选项】，打开“账户：使用空密码的本地账户只允许进行
控制台登录”选择“已禁用”。

打印机共享|连接共享打印机需要用户名和密码1．打开【控制面板】，选择【管理工具】。

2．在【管理工具】中，选择【计算机管理】。

3．在【计算机管理】中依次选择本【地用户和组】-【用户】。

4．在Guest账户上右键单击，选择【属性】，将下方的勾选全部取消。

本地安全组策略是Windows操作系统中的一种安全机制，用于控制计算机本地账户的访问权限。

其详细描述如下：
本地账户管理：可以指定密码策略、启用或禁用本地账户、更改本地账户的名称等。

用户权限：可以控制本地用户访问计算机资源（如文件夹、注册表等）的权限，包括允许或拒绝访问、授权运行特定程序等。

安全选项：可以设定一些安全选项来增强计算机的安全性，如自动锁定屏幕、安全审计日志、强制密码复杂性等。

事件审核：可以开启事件审核功能，记录用户在计算机上发生的特定活动，以便进行安全审计。

高级审核策略：可以针对特定用户或计算机启用高级审核策略，精确控制哪些事件会被记录，以及如何通知管理员。

总之，本地安全组策略提供了一系列安全设置和控制选项，使得管理员可以更加细致地管理和保护计算机系统和数据。

组策略与安全设置系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。

组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。

因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。

计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。

可以通过以下两个方法来设置组策略。

●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。

●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。

计算机配置实例演示当我们要将Windows Server2012 计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时，系统都不会再询问了。

注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。

用户配置实例演示以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。

也就是经过以下设置后，浏览器内的安全和连接标签消失了。

用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

帐户：使用空白密码的本地帐户只允许进行控制台登录此策略设置确定是否允许使用空白密码的本地帐户通过网络服务（如终端服务、Telnet 和文件传输协议(FTP)）进行远程交互式登录。

如果启用此策略设置，则本地帐户必须有一个非空密码，才能从远程客户端执行交互式或网络登录。

“帐户：使用空白密码的本地帐户只允许进行控制台登录”设置的可能值为：•已启用•已禁用•没有定义注意：此策略设置不影响在控制台上以物理方式执行的交互式登录，也不影响使用域帐户的登录。

警告：使用远程交互式登录的第三方应用程序有可能跳过此策略设置。

漏洞：空白密码会对计算机安全造成严重威胁，应当通过组织的策略和适当的技术措施来禁止。

实际上，Windows Server 2003 Active Directory® 目录服务域的默认设置需要至少包含七个字符的复杂密码。

但是，如果能够创建新帐户的用户跳过基于域的密码策略，则他们可以创建具有空白密码的帐户。

例如，某个用户可以构建一个独立的计算机，创建一个或多个具有空白密码的帐户，然后将该计算机加入到域中。

具有空白密码的本地帐户仍将正常工作。

任何人如果知道其中一个未受保护的帐户的名称，都可以用它来登录。

对策：启用“帐户：使用空白密码的本地帐户只允许进行控制台登录”设置。

潜在影响：无。

这是默认配置。

帐户：重命名系统管理员帐户此策略设置确定另一个帐户名是否与Administrator 帐户的SID 相关联。

“帐户：重命名系统管理员帐户”设置的可能值为：•用户定义的文本•没有定义漏洞：Administrator 帐户存在于运行Windows 2000、Windows Server 2003 或Windows XP Professional 操作系统的所有计算机上。

如果重命名此帐户，会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。

无论攻击者可能使用多少次错误密码，内置的Administrator 帐户都不能被锁定。

组策略以及来宾用户权限的设置我都是用组策略来实现这个目的的具体用法如下（简单的）Windows 2000/XP/2003 组策略控制台如果是Windows 2000/XP/2003 系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc 并确定，即可运行程序。

使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：1）打开Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC 并回车，运行控制台程序）。

2）在“文件”菜单上，单击“添加/删除管理单元”。

3）在“独立”选项卡上，单击“添加”。

4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

6）单击“完成”，单击“关闭”，然后单击“确定”。

组策略管理单元即打开要编辑的组策略对象。

对于不包含域的计算机系统来说，在上面第5 步的界面中，只有“计算机”标签，而没有其他标签项目。

通过上面的方法，我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。

在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003 组策略管理控制台同样也有三种状态，只不过名字变了。

它们分别是：已启用、未配置、已禁用。

四、“桌面”设置Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。

下面就让我们来看看几个实用的配置实例：位置：“组策略控制台→用户配置→管理模板→桌面”1．隐藏桌面的系统图标（Windows 2000/XP/2003）虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。

Win10共享打印机XP无法访问的解决方法
操作步骤:
1、Win10下开启GUEST 账户，按快捷键Win+R，输入gpedit.msc，进入本地组策略-计算机配置-Windows 设置-安全设置-本地策略-安全选项-账户：来宾账户状态设置为启用（注意版本家庭版无组策略）
本地组策略——计算机配置——Windows 设置——安全设置——本地策略——用户权限
分配——从网络访问此计算机，加入GUEST ，拒绝从网络访问此计算机删除GUEST。

2、Win10 共享本地打印机右击要共享的打印机，共享选项卡，共享名很重要，要记住。

设置后加上IP组成网络打印机共享名，如我设置的共享名为500，IP 我192.168.1.100，那么网络打印机共享名为\192.168.1.100500，这个地址之后会用到（可以根据实际的路由下的内网地址设置一个）。

3、WinXP 安装打印机驱动。

Win XP安装与Win10 相同的打印机驱动，设置添加本地计算机。

浏览选择*.INF 格式的驱动安装信息文件（这一步是要把同型号的打印机先添加到本地）
4、更改端口，添加成功后右击刚安装的打印机，打印机属性-端口选项卡-添加端口-Local Port-新端口-输入端口名写入上面提到的\192.168.1.100500这个地址，应用后就可使用打印机了。

win10/win11访问共享打印机需要输入账号密码及0X0000011b报错解决方法最近遇到一台win10系统的电脑访问系统为win10的打印机共享电脑主机，主要遇到两个问题。

1.通过主机名或IP访问打印机主机主机输入账号密码。

2.凭证问题解决后，能看到共享的打即机，但是连接共享打印机时却出现0x0000011b报错网上也找到许多解决方法，大多千篇一律的卸载补丁之类的一堆废话，最后问题还是没解决。

经过摸索，记录一下个人的解决方法，有需求的朋友可以参考一下。

一、账号密码问题1.首先确认打印机主机电脑共享设置完全设置正确，即“控制面板-网络与共享中心-更改高级共享设置”内设置正确。

2.确认“计算机管理-本地用户和组”内guest用户密码为空，guest属性框内所有√去掉，在“控制面板-管理工具”中可以找到。

3.本地组策路设置正确，“控制面板一本地安全策路一本地策略--用户权限分配”，找到“拒绝从网络上访问该计算机”删除guest。

“本地安全策略--安全选项”找到“网络访问-本地账户共享与安全模型”设置为经典（这项至关重要，网上好多相反错误）。

以上都为简略介绍常规的共享设置，此处不详细说明。

确认正确设置后，我们来说说凭据问题。

网上多数解决方法，都是说什么，在用户名里输入“guest”一然后点击确定，这些也都试过了，完全行不通，都是显示用户名或者密码不正确。

其实完全不用这样设置，其格式如下：1.用户名：XXX\Administrator（比如：print\Administrator 即可；XXX可以自己决定，什么名字都可以)。

2.密码：空（此处不需要填写，若前面电脑设置的是启用密码保护共享，则可能是共享主机的登录密码，此处的设置在“更改高级共享设置”中勾选了“有密码保护的共享一有密码保护的共享”，一般都设置为无密码，使用密码具体没有试过。

）3.勾选记住我的凭证然后就设置好了，如何没有勾选，在下次开机重启之后打印文件之前还需要连接，否则无法打印。

关于windows2008 的组策略设置开始---运行----gpedit.msc---组策略----计算机配置---- Windows设置----安全设置---组策略设置：在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;启用不允许匿名访问SAM帐号和共享;启用不允许为网络验证存储凭据或Passport;从文件共享中删除允许匿名登录的DFS$和COMCFG;启用交互登录：不显示上次的用户名;启用在下一次密码变更时不存储LANMAN哈希值;禁止IIS匿名用户在本地登录;3.本地安全策略设置:开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组（备注不要加入User组以后无法远程登录。

）通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户防火墙安全设置：计算机配置----管理模板----网络---网络连接----windows防火墙----标准配置文件---windows防火墙保护所有网络连接---- 启动Tsconfig.msc 右键RDP—TCP 属性安全层SSL （TLS.0）加密级别高（带网络认证安全连接）关于目录权限设置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。