如何限制对非pipe理员用户的命令shell / explorer的访问

有没有办法限制特定的(非pipe理员)用户访问Wim XP系统上的cmd,Windows工具,资源pipe理器?

部分我考虑通过组策略和login脚本来做到这一点1.拒绝从组策略访问cmd,本地磁盘,registry编辑器等(允许批量)2.configurationlogin脚本,pipe理员用户从registry中删除此限制非pipe理员用户将无法删除限制,因为它没有权限。

有没有更好的,哪些还应该涵盖更多的限制条款?

如果您通过组策略设置限制,请不要使用registry黑客脚本来取消它们。 在下次政策更新时,GP将重新申请,所有更改将会丢失。

我们通过两个用户configurationGPO来实现这一点,其中一个为普通用户设置所有限制。 然后,我们有第二个具有更高优先级链接顺序和安全筛选的GPO,因此它只适用于pipe理员。 这样,在GP应用程序中,系统将根据谁login,应用适当的权限。

请记住,只有用户configuration设置可以通过这种方式完成(因为计算机设置在启动时适用,不会评估login的用户)。