前言
重点就一个:对账户的策略组设置需要使用单独设置,不能够直接在 administrator 管理员账户下直接设置策略组,否则你就自己把自己玩完了!
(原前言:先说说为什么会去折腾这个吧。因为平时不是一个人住的,朋友偶尔也会用下我电脑浏览网页什么的,那平时要是我也在的话那还好说,那要是我不在,他又急用电脑呢?直接拒绝吧,不合适;给密码吧,又有隐私、安全方面的顾虑,怎么办?
开始的时候是想通过软件先限制权限的,比如家长控制类的软件(找过几个都有各种小问题)、大势至(各种限制,是挺合适的,可是好像不是给本机用的…就没细研究了),甚至还有火绒的家长控制,但是发现没办法限制文件管理器的操作。
剩下能想到的办法似乎只有新建一个账号了。)
实际操作
新建本地账户
1、直接启用 Guest 账户(不建议)
不知道是因为我 win10 是 win7 升级上来的缘故还是本来就这样,我登录 Guest 真的是超级卡,卡到不能用,去百度这方面的内容,好像那些教程里面都没说有卡这方面的问题。(这一步可以跳过!)
2、新建本地用户账户
1.设置–》账户–》其他人员–》+将其他人添加到这台电脑
2.在左侧用户上右键–》点“新用户”–》完成创建操作
3.在中间的用户列表上,右键刚刚创建的用户–》点“属性”–》隶属于–》点底下的添加–》输入框输入组名称“Guests”后,检查名称–》确定 (你也可以将你的用户归到别的组下)
到这里,一个本地用户就创建好了。
设置用户权限
1、允许运行的程序
我们要让指定用户只能运行的程序,分成两种,一个是 UWP,一个是传统的 exe 可执行程序
UWP
设置–》其他人员–》设置分配的访问权限–》选择账户–》选择应用
分别设置好哪个账户可以访问哪个 UWP 应用。
EXE(重点)
<font color=red>这里有个天坑,这边先说,千万别按照百度出来的资料里面说的那样直接去组策略里面设置“只运行指定的 Windows 应用程序”</font>
如果有这么弄过,并且限制还没解决的,可以看下后面说的解决办法吧
正确的步骤:
1、Win+R 运行 mmc.exe,会打开控制台,点文件–》添加/删除管理单元
在添加/删除管理单元窗口找到组策略对象编辑器–》点中间的“添加”
这时候会进人一个向导窗口–》点击“浏览”–》在对象的用户页找到要设置的用户名–》点“确定”–》完成
到这里就添加好了只针对我们指定用户的组策略了,在上面的确定添加后,控制台窗口就能看的这个策略了
2、在该策略里面找到“用户配置”–》管理模板–》系统–》双击打开“只运行指定的 Windows 程序”
在这里可以同时限制下文件资源的访问
“用户配置”–》管理模板–》Windows 组件–》文件资源管理器–》双击打开“防止从“我的电脑”访问驱动器”
到这里就可以关闭控制台窗口了,不过没保存的话会提示你保存,选个位置保存吧,默认就好了
这里的限制访问文件资源管理器只是通过“我的电脑”访问跟 IE 访问的打不开,通过浏览器还是可以打开的,最彻底的办法应该是去文件的属性里面设置,这个后面再讲。
2、限制访问文件资源
1、通过注册表隐藏磁盘分区(不重要,可以略过)
不要直接打开 regedit,去 C:\Users\要设置的用户名\找到 NTUSER.DAT,管理员运行 PowerShell 或 C-M-D 命令,执行以下命令 reg load HKU\要设置的用户名 C:\Users\要设置的用户名\ntuser.dat
执行完上面的操作之后,运行 regedit 打开注册表编辑器就能看的 HKEY_USERS\要设置的用户名 了,找到 HKEY_USERS\要设置的用户名\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
右键新建 NoDrives–》DWOR(32 位)–》十进制 数值 67108863(这个值是隐藏所有,想单独隐藏某个分区的可以去网上搜下对照表)
2、通过文件属性限制操作
这个应该是最直接的,设置后浏览器也不可访问
直接以分区 E 盘举例,分区右击–》安全–》编辑–》点“添加”–》输入要限制的用户名–》点“检查名称”–》确定
在安全页面选择刚添加的那个用户,在下面的权限–》拒绝 那一列都打勾吧
整理新用户的桌面
到了这一步,权限设置部分基本弄完了,整理下新用户的桌面,把不想给用户看到的桌面内容都清了吧
(<font color=red>要注意,自己用的账户的桌面有些资源也在这里面,最好把公用桌面里面的资源、快捷方式什么的都复制到自己用户名下的桌面</font>)
去 C:\Users\Public 也就是公用里面找到公用桌面,把里面没用的东西都删了。
记得顺手把允许运行的程序的快捷方式复制一份到 TA 用户名下的桌面文件夹里面。
后语
天坑
前面开始的时候,说到设置“只运行指定的 Windows 应用程序”这一步的时候说到这边有一个天坑,那就是我们去找这方面的设置教程,教程里面说的都是“打开组策略,找到只运行指定的 Windows 应用程序,设置只允许运行的程序”,我找了好多教程,都没提到过做了这一步会怎么样…… 这么做的后果就是如果你确认了,并且关掉了组策略窗口,那么恭喜你,你本机所有用户都运行不了除了允许运行外的程序,包括 cmd、组策略、任务管理器…..都无法运行,UWP 倒是挺多都能运行的。
你能明白我那时候的心情吗…
百度出来的解决方法挺多的,不过我用不了,找了十来天,绝望的都准备重装系统了
爬坑
1、高级模式或者叫安全模式或者 RE,反正是能运行命令的就可以了,具体百度(我的进不去这些模式)
2、直接删除文件夹 GroupPolicy、GroupPolicyUsers(好像删除里面某个文件就好了,不管了,直接删除这两个文件夹就好了)
最后
关于这方面的内容网上似乎没有完整的教程,基本都是扒来扒去雷同的(我是没找到完整的),有些问题的解决办法似乎又藏得很深……
干脆就花个时间整理个教程,免得自己以后忘记了
<font color=red>如果你看了之后也想找着试试,请量力而行,万一不幸系统出问题我可是不负责任的</font>
发之前想了好久也不知道发哪个版块合适,干脆还是发这边吧。
纯手打,如果觉得对你有帮助,给个好评,有什么不足、错误的地方也欢迎大家指出。
