win XP通过安全模板如何修改受限制的组

　　受限制的组选项允许管理员管理敏感组之间的关系。例如，如果Administrators组只包括一个内建的Administrator账户，Administrators组就可以被添加到受限制组中，而Administrator也可以添加到Administrators组成员栏目下。这样的设置可以阻止其它用户使用一 些工具软件提升自己的特权到Administrators组。

　　不是所有的组都需要被添加进受限制的组，建议只有那些比较敏感的组才通过配置安全模板加入进去，其余没有加入到受限制组的组将会保持他们自己的关系列表。

　　对于所有在该选项中列出的用户组，任何显示在这里的组和/或用户都已经不再是他们原来所加入的组成员了，并且任何没有在配置列表中显示的当前组的用户和/或组都将被删除。

　　通过安全模板组件修改受限制组

　　因为受限制组选项中的设置需要根据实际环境进行，所以做好的配置文件(inf文件)中只设定了一个受限制组。然而，实际应用中可能需要限制域中其它敏感组的关系。

　　要查看SCM模板中限制组的设置，依次双击：

　　安全模板

　　默认的配置文件目录(%SystemRoot%\Security\Templates)

　　特定的配置文件

　　受限制的组

　　注意：在对一个配置文件进行了任何修改之后，请记得保存修改，然后在正式使用之前一定要先测试好。

　　以下步骤演示了如何向列表中添加一个受限制的组：

　　右键点击受限制的组

　　选择添加组

　　点击浏览按钮

　　双击每个需要添加的组，点击确定 - 确定

　　在右侧列表中双击新添加的组

　　点击添加

　　双击每个希望添加到该组的组和/或用户

　　点击确定 - 确定

　　对于工作站来说，安全模板中建议的设置是设置Power Users组没有成员，这是一个很好的安全经验。然而，使用老程序的环境或者用户自己写的一些工具可能需要使用者对特定的文件、文件夹或者注册表键具有一些类似Power Users的特权。按理说，对于文件、文件夹和注册表键所需要的权限应当被视为统一，而不是靠把用户添加到Power Users组代替。进一步说，你不能为了让你的程序能正常运行而要求用户必须是Administrators组的组员。