公司现在需要这样的要求,就是普通用户在本机上可以共享文件的权限,而其他的权限可以没有.该如何办呢?
 
我们首先要了解本地计算机中有那些组,以及这些组有那些权限.
 
我们看看微软的默认组的权限:
 
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/f6e01e51-14ea-48f4-97fc-5288a9a4a9b1.mspx?mfr=true
 
默认本地组
“本地用户和组”Microsoft 管理控制台 (MMC) 中的“组”文件夹显示了默认本地组以及您创建的本地组。默认本地组是在安装独立服务器或运行 Windows Server 2003 的成员服务器时自动创建的。属于本地组,会赋予用户在本地计算机上执行各项任务的权利和能力。有关基于域的组的详细信息,请参阅默认组。
 
可以向本地组添加本地用户帐户、域用户帐户、计算机帐户以及组帐户。但不能向域组帐户添加本地用户帐户和本地组帐户。有关向本地组添加成员的详细信息,请参阅为本地组添加成员。
 
注意
 
• 要了解您应该加入哪个组才能执行特定的过程,“帮助和支持中心”的“如何操作”下的许多详细主题均提供了有关此信息的说明。
 
 
 
下表列出了“组”文件夹中默认组的描述以及为每个组指派的用户权利。这些权利是在本地安全策略中指派的。有关该表中列出的用户权利的完整说明,请参阅用户权限分配。有关如何编辑这些权利的信息,请参阅为本地计算机指派用户权利。
 
 
组 描述 默认用户权利
Administrators
 该组的成员具有对服务器的完全控制权限,并且可以根据需要向用户指派用户权利和访问控制权限。管理员帐户也是默认成员。当该服务器加入域中时,Domain Admins 组会自动添加到该组中。由于该组可以完全控制服务器,所以向该组添加用户时请谨慎。详细信息,请参阅默认本地组和默认组。
 从网络访问此计算机;调整某个进程的内存配额;允许本地登录;允许通过终端服务登录;备份文件和目录;忽略遍历检查;更改系统时间;创建页面文件;调试程序;从远程系统强制关机;提高调度优先级;加载和卸载设备驱动程序;管理审核和安全日志;修改固件环境变量;执行卷维护任务;调整单一进程;调整系统性能;从扩展坞中取出计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。
 
Backup Operators
 该组的成员可以备份和还原服务器上的文件,而不管保护这些文件的权限如何。这是因为执行备份任务的权利要高于所有文件权限。他们不能更改安全设置。
 从网络访问此计算机;允许本地登录;备份文件和目录;忽略遍历检查;还原文件和目录;关闭系统。
 
DHCP Administrators(与 DHCP 服务器服务一起安装)
 该组的成员具有对“动态主机配置协议 (DHCP) 服务器”服务的管理访问权限。该组提供了一种方式,仅授予对 DHCP 服务器的有限管理访问权,而不提供对服务器的完全访问权。该组的成员可以使用 DHCP 控制台或 Netsh 命令在服务器上管理 DHCP,但不能在服务器执行其他管理任务。
 没有默认的用户权利。
 
DHCP Users(与 DHCP 服务器服务一起安装)
 该组的成员具有对 DHCP 服务器服务的只读访问权。该权限允许成员查看存储在特定 DHCP 服务器上的信息和属性。当支持人员需要获得 DHCP 状态报告时,这种信息对他们很有用。
 没有默认的用户权利。
 
Guests
 该组的成员拥有一个在登录时创建的临时配置文件,在注销时,该配置文件将被删除。来宾帐户(默认情况下已禁用)也是该组的默认成员。
 没有默认的用户权利。
 
HelpServicesGroup
 该组允许管理员将对所有支持应用程序的权利设置成公用的。默认情况下,该组的唯一成员是与 Microsoft 支持应用程序相关的帐户,例如远程协助。不要在该组中添加用户。
 没有默认的用户权利。
 
Network Configuration Operators
 该组的成员可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址。该组中没有默认的成员。
 没有默认的用户权利。
 
Performance Monitor Users
 该组的成员可以从本地服务器和远程客户端监视性能计数器,而不用成为 Administrators 或 Performance Log Users 组的成员。
 没有默认的用户权利。
 
Performance Log Users
 该组的成员可以从本地服务器和远程客户端管理性能计数器、日志和警报,而不用成为 Administrators 组的成员。
 没有默认的用户权利。
 
Power Users
 该组的成员可以创建用户帐户,然后修改并删除所创建的帐户。他们可以创建本地组,然后在他们已创建的本地组中添加或删除用户。还可以在 Power Users 组、Users 组和 Guests 组中添加或删除用户。成员可以创建共享资源并管理所创建的共享资源。他们不能取得文件的所有权、备份或还原目录、加载或卸载设备驱动程序,或者管理安全性以及审核日志。
 从网络访问此计算机;允许本地登录;忽略遍历检查;更改系统时间;调整单一进程;从扩展坞中取出计算机;关闭系统。
 
Print Operators
 该组的成员可以管理打印机和打印队列。
 没有默认的用户权利。
 
Remote Desktop Users
 该组的成员可以远程登录服务器。
 
详细信息,请参阅使用户可以远程连接到服务器。
 允许通过终端服务登录。
 
Replicator
 Replicator 组支持复制功能。Replicator 组的唯一成员应该是域用户帐户,用于登录域控制器的 Replicator 服务。不能将实际用户的用户帐户添加到该组中。
 没有默认的用户权利。
 
Terminal Server Users
 该组包含当前登录到使用终端服务器的系统的所有用户。用户可以与 Windows NT 4.0 一起运行的任何程序都将为 Terminal Server User 组的成员而运行。指派给该组的默认权限使其成员可以运行大多数较旧版本的程序。
 没有默认的用户权利。
 
Users
 该组的成员可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器。用户不能共享目录或创建本地打印机。默认情况下,Domain Users、Authenticated Users 以及 Interactive 组是该组的成员。因此,在域中创建的任何用户帐户都将成为该组的成员。
 从网络访问此计算机;允许本地登录;忽略遍历检查。
 
WINS Users(与 WINS 服务一起安装)
 该组的成员具有对 Windows Internet 名称服务 (WINS) 的只读访问权。该权限允许成员查看存储在某个指定的 WINS 服务器上的信息和属性。当支持人员需要获得 WINS 状态报告时,这种信息对他们很有用。
 没有默认的用户权利。
 
 
 
 
看了上面的说明,我们可以看到:
 
那就是说最起码具有POWER USERS组才能共享文件.
 
那POWER USERS还具有其他的权限,那我们该怎么办呢?
 
比Users组高一级的Power Users组成员拥有管理贡献资源的权限,但是这个组还有其他权限,我们可以通过将用户加入Power Users组并限制其他权限来达到目的。
 
Power Users组成员主要比Users组成员多以下权限:
1.创建并修改用户账户
2.编辑Power Users组、Users组和Guests组成员
3.创建并管理共享
4.文档中没有提到,但是Power Users组成员有安装程序的权限
 
如果我们将一个用户帐号加入Power Users组并限制其1、2、4点的权限,那么这一用户帐号将获得类似users组成员的权限同时能够创建共享。
 
我们可以按以下步骤使用户无法使用用户权限编辑的权限:
1.在c:\windows\system32\nusrmgr.cpl文件上设置Power Users组的拒绝读取和运行权限,这将使用户无法使用控制面板内的用户账户功能
2.在c:\windows\system32\lusrmgr.msc文件上设置Power Users组的拒绝读取和运行权限,这将使用户无法直接使用本地用户和组的MMC控制台,但是即使这样用户还是可以通过启动mmc.exe命令然后安装本地用户和组插件来使用这一控制台。最保险的方法是在c:\windows\system32\mmc.exe上设置拒绝权限,不过这样涉及的范围较大,需要考虑用户实际的情况后才能确定安全与否。
以上步骤使用户无法做到先前列表里的第一、第二点。
 
通过以下步骤禁止用户安装程序(注意,这些步骤将导致所有用户,包括管理员无法安装程序)
1.启动gpedit.msc
2.定位到计算机配置->管理模板->Windows组件->windows installer,启用“禁用windows installer”, 启用“禁止用户安装”即可。
这些步骤使用户无法安装程序。