我的研究导致了我这一点 – >打开“安全configuration和分析”mscpipe理单元,将模板导出到.inf,在“安全模板”mmcpipe理单元中打开.inf,但这里是我放慢了进度的地方。
如何在.inf文件中创build自定义策略,以重新模块化回dbs文件? 具体而言,我正在寻找一个策略,以防止一组用户通过lusrmgr.msc,控制用户密码[2]或networking用户操纵其他用户帐户。
没有细粒度的权限来使您能够“locking”“本地用户和组”(旧的registrySAMconfiguration单元)的操作。 这不是没有安全模板的语法的问题,而是没有function来做到这一点。 您不能“委托”或限制在一台机器上修改SAM的权限 – 产品无法做到这一点。
编辑:
只有通过访问registry的SAM和SECURITYconfiguration项的API才能访问SAM。 这些API进行安全检查,据我所知,这些检查是硬编码的。 没有什么地方可以改变权限来改变这些API的行为。 您所描述的所有程序都使用这些API来更改registry。 你不能将SAM的控制委派给有限的用户,其他组织等 – 它在产品中是硬编码的。
如果你不希望用户捣乱只有“pipe理员”允许做的事情,不要让他们成为“pipe理员”。只要他们仍然是“pipe理员”组的成员,你还想做的任何事情是一个徒劳无功的尝试,可以由用户不做。
有关架构的一些背景是在这里: http : //technet.microsoft.com/en-us/library/cc961760.aspx?ppud=4
旧的Windows NT 4.0域使用SAM作为帐户和组的后端存储,并且受到委派控制权限的限制。 Active Directory的另外一个原因是比NT 4.0更好。 就个人电脑上的SAM而言,就授权function而言,即使在Windows 7上,我们仍然处于新台币4.0天(我没有看到这种变化)。