·限制"域管理员"在本机权限的技巧

　　下面我们就来限制一下"域系统管理员"在本机上的权限。先用管理员Administrator的身份登录到本机。

　　然后打开"控制面板"，再打开"用户和密码"。 (如图一) 我们把域管理员的帐号添加到本地用户中，单击"添加"按钮，出现添加新用户的窗口，这和在前面添加本机用户时看到的画面已经不一样了，我们可以直接输入"域管理员"帐号"Administrator"和他所在的"域Soft.com",再点"下一步"。 (如图二)

图一

图二

　　也可以单击"浏览"，输入一个可以访问域权限的帐号名和密码，输好后点"确定"， (如图三) 此时在列表中就可以看到目前域Soft.com中的用户了，从中选择"Administrator",单击"确定"，单击"下一步"。 (如图四) 将访问级别选择为"受限用户"，单击"完成"。在本机用户列表中已经可以看到该帐号了。

图三

图四

　　现在域管理员Administrator在"本域"中具有超级的权力，但如果他访问本机的话，就只有Users组成员的权限了，这也是Windows 2000 中所应用的"就近原则"，离本机最近的安全设置是有效的。

　　可是如果我们想给多个域用户设置在本机上的权限，采用这样的办法显然不是最好的办法，有没有更方便的办法呢？这就要用到"组"了。

　　我们可以创建一个叫做"OtherUsers"的本地组,默认情况下该组和"Users"组是平等的,然后将域用户添加到这个组中，这样的话该组中的成员在本机上只具有Users组成员的权限。下面我们看看具体的操作。

图五

　　打开"控制面板"中的"用户和密码"，打开"高级"选项卡，单击"高级用户管理"栏中的"高级"按钮。 (如图五) 出现"本地用户和组"的管理窗口，单击左栏中的"组"，打开"操作"菜单， (如图六) 选择"新建组"；"组名"中输入"OtherUsers"，"描述"中输入"域用户组"， (如图七) 接下来是添加成员，单击"添加"按钮，此时出现"本机""ZW"上的用户和组列表，打开查找范围选单，选择域"Soft.com" (如图八)

图六

图七

图八

　　现在我们开始选择用户，在需要的用户名上双击鼠标即可添加，因为"域"中管理员"Administrator"、 "Domain Admins"组、"Enterprise Admins"组成员对本机才有过高的控制权限，通常我们选择这些组即可。添加好后，单击"确定"。再单击"创建"，然后单击"关闭"。现在组和域用户都添加好了，现在"域"中的超级警察就管不了我们的电脑了。

标签：