3.2 用户权限分配

·        通过“用户权限分配”策略，可以为某些用户和组授予或拒绝一些特殊的权限，如关闭系统

更改系统时间，拒绝本地登录，允许在本地登录等，用户权限分配中的策略如图所示，

        表列出了一些常用的用户权限分配中的安全策略。

       例如，普通用户bob没有更改系统时间的权限，如何让bob能更改系统时间?可以通过本地安

全策略中的用户权限分配来解决，具体方法如下所述。

       (1)打开“本地安全策略”窗口，展开“本地策略”→“用户权限分配”文件夹。

       (2)双击“更改系统时间”策略，弹出“更改系统时间 属性”对话框，如图所示，单击“添加用户或组”按钮，弹出“选择用户或组”对话框，在对象名称文本框中输入“bob”，单击“确定”按钮。

        (3)以bob登录系统，验证其是否能够更改系统时间。

3.3 安全选项

       通过本地策略中的“安全选项”策略，可以控制一些和操作系统安全相关的设置。安全选项

的策略如图所示。

       表列出了一些常用的安全选项中的安全策略。

        例如，允许系统在未登录的情况下关闭，则双击“关机:允许系统在未登录的情况下关闭”

略，在弹出的对话框中选中“已启用”单选按钮，如图所示。

                      要使本地安全策略生效，记得运行“gpupdate”命令或者重启计算机。

4. 本地组策略

4.1 本地组策略简介

       “组策略”是一组策略的集合，是管理员为用户和计算机定义并控制程序、网络资源及操作系统

行为的主要工具，通过使用组策略可以设置各种软件、计算机和用户策略。

       右击“开始”按钮，选择“运行”，在弹出的窗口中输入“gpeditmsc”，按Enter键运行该命令，弹出“本地组策略编辑器”窗口，如图所示。

       组策略中包含计算机配置和用户配置，本章只介绍计算机配置，计算机配置包括软件设詈

Windows设置和管理模板三部分，如图所示。

       在Windows设置中的安全设置就是前面介绍的本地安全策略，即本地安全策略是本地组策略的一部分。

       管理模板中包括“开始”菜单和任务栏，Windows 组件、打印机、服务器、控制面板、网络、

系统和所有设置等选项，如图所示。

 

       计算机配置一般需要重启计算机才能生效。

4.2 本地组策略的简单应用

       在Windows Server2016中插入光盘或U盘时，默认情况下系统会自动读取并运行指定的应用

程序，这是系统提供的自动播放功能。自动播放虽然给用户带来了很多便利，但同时也会带来不少

麻烦，例如，有时候插入光盘仅仅是想查看光盘中的内容，另外，自动播放还存在安全隐患等，那

么如何禁止自动播放功能呢?

       可以通过设置本地组策略来实现，操作步骤如下。

               (1)在“本地组策略编辑器”窗口中展开“计算机配置”→“管理模板”→“Windows组件“

       →“自动播放策略”文件夹，如图所示。

               (2)双击“关闭自动播放”设置项，弹出“关闭自动播放”窗口，如图所示，

               (3)选中“已启用”单选按钮后单击“确定”按钮，重启计算机后测试是否关闭了自动播放功能。

5. 电脑本地策略组怎么打开

打开本地组策略编辑器应用到: Windows 7, Windows Server 2008 R2 可以使用命令行或使用 Microsoft 管理控制台 (MMC) 打开本地组策略编辑器。

通过命令行打开本地组策略编辑器的步骤 单击“开始”，在“开始搜索”框中键入 gpedit.msc，然后按 Enter。以 MMC 管理单元的方式打开本地组策略编辑器的步骤

1.打开“MMC”。（单击“开始”，在“开始搜索”框中单击，键入 mmc，然后按 Enter。）

2.在“文件”菜单上，单击“添加/删除管理单元”。

3.在“添加或删除管理单元”对话框中单击“组策略对象编辑器”，然后单击“添加”。

4.在“选择组策略对象”对话框中，单击“浏览”。

5.单击“此计算机”编辑本地组策略对象，或单击“用户”编辑管理员、非管理员或每用户本地组策略对象。

6.单击“完成”。

6. 电脑如何进入本地组策略界面

1、首先在Windows10桌面，点击任务栏最左侧的小娜搜索图标。

2、然后在打开的小娜搜索框中输入关键词组策略，这时就可以在上面的搜索结果中找到本地组策略了。

3、最后点击本地组策略菜单项，就可以打开本地组策略编辑器了。

7. 如何打开电脑策略组

1.目前对于组策略编辑器，只有Windows专业版和企业版才会自带此功能。如果是Win家庭版本，则不没有此功能的。右击“计算机”选择“属性”，从打开的“系统”界面中就可以获取Windows版本信息啦。

2.在确保Windows版本正确的情况下，如果打不开“组策略编辑器”，则可以通过以下方法进行修复：

按“Windows+R”打开“运行”窗口，输入“regsvr32 gpedit.dll”并按回车以实现对组策略组件进行注册。

3.接下来我们需要对注册表进行修改操作：

在”运行“窗口中输入”regedit“并点击”确定“以打开”注册表编辑器“。

4.依次展开“HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC”，将右侧名为“RestrictToPermittedSnapins”的值修改为“0”。

5.接下来再依次展开

“HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3} ”

和 HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{0F6B957E-509E-11D1-A7CC-0000F87571E3}“项，将“Restrict_Run”修改为“0”保存。

6当然，以上方法在修复组策略编辑器的操作方法上比较繁琐，且要求电脑操作人员需要具备一定的电脑技巧。如果系统提示因“管理员限制而无法打开”时，我们可以借助专业的操作系统管理工具实现“开启组策略编辑器”功能。直接在百度中搜索“大势至USB端口控制系统”并进行下载。

7安装此程序后，按“Alt+F2”就可以打开程序主界面，在“操作系统控制”栏目中清除勾选“禁用组策略”项，此时就可以恢复并修复组策略功能啦。之后就可以正常使用组策略进行设置操作。

8大势至USB端口控制系统具有存储设备控制功能，可以实现USB存储设备的单向读取操作限制能力。其“操作系统控制”功能可以实现对操作系统关键部分（如“注册表”、“组策略”、“安全模式”、“计算机管

8. 电脑打不开本地策略组

Win+R打开运行，在运行中输入gpedit.msc，打开组策略；

计算机配置->Windows设置->安全设置->本地策略->安全选项->用户帐户控制:管理审批模式下管理员的提升提示行为->修改成“提示凭据”设置系统密码…这个就不用我说了吧，以后安装应用文件都需要输入密码了。

还有一种方法（仅针对那些技术员熊孩纸）：打开管理（Win+R命令compmgmt.msc）；

在计算机管理中选择使用“服务和应用程序”中的“服务”项；

在界面中间的“服务”程序中找到“Windows Installer”项，右键呼出菜单；选择“属性”，点击禁用，如果熊孩纸太顽强还可以在策略组中禁用Windows Installer。

9. 本地策略组在哪打开

戴尔g3启动本地策略组的方法：

1、依次单击电脑左下角的 [开始]—[控制面板]—[管理工具]，在弹出来的窗口中就有本地安全策略，双击打开即可。

2、依次单击电脑左下角的 [开始]—[运行…]，在运行窗口中输入secpol.msc，回车即打开本地安全策略。

win10用户若找不到控制面板，可直接在运行窗口中输入control打开本地策略组。