设置本地组策略不对特定用户生效
适用范围:本地组策略的“用户配置”部分。
本地组策略的用户配置部分存储在C:\WINDOWS\system32\GroupPolicy\User\Registry.pol文件。
只需要对该文件设置合适的NTFS权限,就可以设置本地组策略(用户配置部分)不对某些特定用户生效。
举个例子,在组策略→用户配置→管理模板→系统里启用“禁用注册表编辑工具”策略项,现在希望当Test用户登录系统时,能够照样打开注册表编辑工具(也就是说“禁用注册表编辑工具”这条策略对Test用户无效)。
可以采用以下步骤:
1. 打开“我的电脑”窗口,进入C:\WINDOWS\system32\GroupPolicy\User文件夹。
2. 打开该文件夹下Registry.pol文件的属性对话框。
3. 切换到“安全”标签页,单击“添加”按钮,添加Test用户,然后勾选“读取”权限右侧的“拒绝”复选框。
4. 单击“确定”按钮,保存所做的设置。
由于组策略的“用户配置”的大部分设置都是在用户登录以后加载到注册表中,而这时候系统无法读取C:\WINDOWS\system32\GroupPolicy\User\Registry.pol文件,从而无法应用相应的组策略设置。
注意 组策略的“计算机配置”部分,由于在用户登录之前就已经加载到注册表中(位于HKLM下),所以这时候我们无法通过修改NTFS权限的方法对其进行定制。