用户权限分配、安全选项、本地组策略设置

打印机共享|提示“无法访问，您可能没有权限使用网络资源”
1.在运行命令窗口中输入“gpedit.msc”打开本地组策略编辑器。

2.依次选择【计算机配置】-【Windows设置】-【安全设置】-【本地策
略】-【用户权限分配】，打开“拒绝从网络访问这台计算机”删除“Guest”。

3.依次选择【计算机配置】-【Windows设置】-【安全设置】-【本地策
略】-【安全选项】，打开“网络访问：本地账户的共享和安全模型”
设置为“仅来宾-对本地用户进行身份验证，其身份为来宾”。

4.依次选择【计算机配置】-【Windows设置】-【安全设置】-【本地策
略】-【安全选项】，打开“账户：使用空密码的本地账户只允许进行
控制台登录”选择“已禁用”。

打印机共享|连接共享打印机需要用户名和密码1．打开【控制面板】，选择【管理工具】。

2．在【管理工具】中，选择【计算机管理】。

3．在【计算机管理】中依次选择本【地用户和组】-【用户】。

4．在Guest账户上右键单击，选择【属性】，将下方的勾选全部取消。

本地安全组策略是Windows操作系统中的一种安全机制，用于控制计算机本地账户的访问权限。

其详细描述如下：
本地账户管理：可以指定密码策略、启用或禁用本地账户、更改本地账户的名称等。

用户权限：可以控制本地用户访问计算机资源（如文件夹、注册表等）的权限，包括允许或拒绝访问、授权运行特定程序等。

安全选项：可以设定一些安全选项来增强计算机的安全性，如自动锁定屏幕、安全审计日志、强制密码复杂性等。

事件审核：可以开启事件审核功能，记录用户在计算机上发生的特定活动，以便进行安全审计。

高级审核策略：可以针对特定用户或计算机启用高级审核策略，精确控制哪些事件会被记录，以及如何通知管理员。

总之，本地安全组策略提供了一系列安全设置和控制选项，使得管理员可以更加细致地管理和保护计算机系统和数据。

组策略与安全设置系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。

组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。

因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。

计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。

可以通过以下两个方法来设置组策略。

●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。

●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。

计算机配置实例演示当我们要将Windows Server2012 计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时，系统都不会再询问了。

注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。

用户配置实例演示以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。

也就是经过以下设置后，浏览器内的安全和连接标签消失了。

用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

帐户：使用空白密码的本地帐户只允许进行控制台登录此策略设置确定是否允许使用空白密码的本地帐户通过网络服务（如终端服务、Telnet 和文件传输协议(FTP)）进行远程交互式登录。

如果启用此策略设置，则本地帐户必须有一个非空密码，才能从远程客户端执行交互式或网络登录。

“帐户：使用空白密码的本地帐户只允许进行控制台登录”设置的可能值为：•已启用•已禁用•没有定义注意：此策略设置不影响在控制台上以物理方式执行的交互式登录，也不影响使用域帐户的登录。

警告：使用远程交互式登录的第三方应用程序有可能跳过此策略设置。

漏洞：空白密码会对计算机安全造成严重威胁，应当通过组织的策略和适当的技术措施来禁止。

实际上，Windows Server 2003 Active Directory® 目录服务域的默认设置需要至少包含七个字符的复杂密码。

但是，如果能够创建新帐户的用户跳过基于域的密码策略，则他们可以创建具有空白密码的帐户。

例如，某个用户可以构建一个独立的计算机，创建一个或多个具有空白密码的帐户，然后将该计算机加入到域中。

具有空白密码的本地帐户仍将正常工作。

任何人如果知道其中一个未受保护的帐户的名称，都可以用它来登录。

对策：启用“帐户：使用空白密码的本地帐户只允许进行控制台登录”设置。

潜在影响：无。

这是默认配置。

帐户：重命名系统管理员帐户此策略设置确定另一个帐户名是否与Administrator 帐户的SID 相关联。

“帐户：重命名系统管理员帐户”设置的可能值为：•用户定义的文本•没有定义漏洞：Administrator 帐户存在于运行Windows 2000、Windows Server 2003 或Windows XP Professional 操作系统的所有计算机上。

如果重命名此帐户，会使未经授权的人员更难猜测这个具有特权的用户名和密码组合。

无论攻击者可能使用多少次错误密码，内置的Administrator 帐户都不能被锁定。

组策略以及来宾用户权限的设置我都是用组策略来实现这个目的的具体用法如下（简单的）Windows 2000/XP/2003 组策略控制台如果是Windows 2000/XP/2003 系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc 并确定，即可运行程序。

使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：1）打开Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC 并回车，运行控制台程序）。

2）在“文件”菜单上，单击“添加/删除管理单元”。

3）在“独立”选项卡上，单击“添加”。

4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

6）单击“完成”，单击“关闭”，然后单击“确定”。

组策略管理单元即打开要编辑的组策略对象。

对于不包含域的计算机系统来说，在上面第5 步的界面中，只有“计算机”标签，而没有其他标签项目。

通过上面的方法，我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。

在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003 组策略管理控制台同样也有三种状态，只不过名字变了。

它们分别是：已启用、未配置、已禁用。

四、“桌面”设置Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。

下面就让我们来看看几个实用的配置实例：位置：“组策略控制台→用户配置→管理模板→桌面”1．隐藏桌面的系统图标（Windows 2000/XP/2003）虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。