来宾账户权限设置。

1. 来宾账户权限设置。

当你的电脑经常需要被别人使用，但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时，你可以先以管理员身份登录Windows系统，参照以下几条作相应设置，然后开通来宾账户或者新建一个普通user账户（不是管理员，而是受限用户），让别人用这个账户登录系统，这时你就可以放心你的电脑任意让别人折腾。
一、限制用户对文件的访问权限
如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。
例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作：
（1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。
（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。
（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。
（4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。
（5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。
要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。
这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，一切都无从谈起。
对于FAT/FAT32格式的分区，不能应用文件及文件夹的安全选项，我们可以通过设置计算机的策略来禁止运行指定的应用程序。

二、启用“不要运行指定的Windows应用程序”策略
在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。设置方法如下：
（1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器，或者运行mmc命令启动控制台，并将“组策略”管理单元加载到控制台中；
（2）、依次展开“‘本地计算机’策略”“用户设置”“管理模板”，点击“系统”，双击右侧窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。
（3）、点击“添加”，输入不运行运行的应用程序名称，如命令提示符cmd.exe，点击“确定”，此时，指定的应用程序名称添加到禁止运行的程序列表中。
（4）、点击“确定”返回组策略编辑器，点击“确定”，完成设置。
当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。
这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要注意的是，不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。
提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序(notepad.exe)添加不运行列表中，通过XP的桌面运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。

三、设置软件限制策略
软件限制策略是本地安全策略的一个组成部分，管理员通过设置该策略对文件和程序进行标识，将它们分为可信任和不可信任两种，通过赋予相应的安全级别来实现对程序运行的控制。这个措施对于解决未知代码和不可信任代码的可控制运行问题非常有效。软件设置策略使用两个方面的设置对程序进行限制：安全级别和其他规则。
安全级别分为“不允许的”和“不受限制的”两种。其中，“不允许的”将禁止程序的运行，不论用户的权限如何；“不受限的”允许登录用户使用他所拥有的权限来运行程序。
其它规则，即由管理员通过制定规则对指定的一批或一个文件和程序进行标识，并赋予“不允许的”或“不受限的”安全级别。在这个部分中，管理员可以制定四种类型的规则，按照优先级别分别是：散列规则、证书规则、路径规则和Internet区域规则，这些规则将对文件的访问和程序的运行提供最大限度的授权级别。
软件限制策略的设置
1、访问软件限制策略
作为本地安全策略的一部分，软件限制策略同时也包含在组策略中，这些策略的设置必须以administrator账户或Administrators组成员的身份登录系统。软件限制策略的访问方式有两种：
（1）、在“开始”“运行”处运行secpol.msc，启动本地安全策略编辑器，在“安全设置”下可以看到“软件限制策略”项目。
（2）、在“开始”“运行”处运行gpedit.msc，启动组策略编辑器，在“计算机设置”“Windows设置”“安全设置”下可以看到“软件限制策略”。
2、新建软件限制策略
首次打开“软件限制策略”时，该项目是空的。策略需要由管理员手动添加。方法是点击“软件限制策略”使其处于选中状态，点击编辑器窗口“操作”菜单下的“新建一个策略”项目，此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性，如图2所示。一旦执行了新建策略操作后，就不能再次执行该操作，并且这个策略也不能删除。
3、设置默认的安全级别
新建软件限制策略后，策略的默认安全级别为“不受限的”，如果要更改默认的安全级别，需要在“安全级别”中进行设置，方法如下：
（1）、打开“安全级别”，在右侧窗格中，可以看到有两条设置，其中图标中带有一个小对号的设置为默认设置；
（2）、点击不是默认值的那条设置，单击右键，选择“设置为默认”项。当设置“不允许的”为默认值时，系统会显示一个提示信息对话框，点击“确定”即可。
该步骤也可以双击非默认的设置，在弹出的属性窗口中，点击“设为默认值”。
4、设置策略的作用范围和对象
通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。通常情况下，为了避免引起系统不必要的问题以及便于对系统的管理，策略的作用范围应设置为不包含库文件的所有软体文件，作用对象设置为除本地管理员外的所有用户。设置的方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“强制”属性项目；
（2）、选择“除去库文件（如Dll文件）以外的所有软体文件”选项和“除本地管理员以外的所有用户”选项，单击“确定”。
5、制定规则
只通过安全级别的设置，显然不能很好的实现对文件和程序的控制，必须通过制定合理的规则来标识那些禁止或允许运行的文件和程序，并进而实现对这些文件和程序的灵活控制。上文中提到可制定规则的类型有四种：散列规则、证书规则、路径规则和Internet区域规则。它们标识文件以及制定规则的方法如下：
散列规则：利用散列算法计算出指定文件的散列，这个散列是唯一标识该文件的一系列定长字节。制定了散列规则后，用户访问或运行文件时，软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。当文件移动或重命名，不会影响文件的散列，软件限制策略对该文件依然有效。制定方法如下：
（1）、点击“软件限制策略”下的“其它规则”，在“其他规则”上单击右键，或在右侧窗格的空白区域单击右键，选择“新散列规则”。
（2）、点击“浏览”，指定要标识的文件或程序，例如cmd.exe，确认后，在文件散列中可以看到计算出来的散列，在“安全级别”中选择“不允许的”或“不受限的”，点击“确定”，在“其它规则”中可以看到新增了一条类型为散列的规则。
证书规则：利用与文件或程序相关联的签名证书进行标识。证书规则需要的证书可以是自签名的、由证书颁发机构（CA）颁发或是由Windows2000公钥机构发布。证书规则不应用于EXE文件和DLL文件，它主要应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后，运行该文件时，软件限制策略会根据该文件的安全级别来决定是否可以运行。文件的移动和更名不会对证书规则的应用产生影响。制定证书规则时要求能够访问到用来标识文件的证书文件，证书文件的扩展名为.CER。创建方法同散列规则。
路径规则：利用文件或程序的路径进行标识，该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的，当文件移动或重命名时，路径规则会失去作用。在路径规则中，根据路径范围的大小，优先级别各有高低，范围越大，优先级越低。通常路径的优先级从高到低为：指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。创建方法同散列规则。
Internet区域规则：利用应用程序下载的Internet区域进行标识。区域主要包括：Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。该规则主要应用于Windows的安装程序包。创建方法同散列规则。
6、维护可执行代码的文件类型
不论是那种规则，它所影响的文件类型只有“指派的文件类型”属性中列出的那些类型，这些类型是所有规则共享的。某些情况下，管理员可能需要删除或添加某种类型的文件，以便规则能够对这类文件失去或产生作用，这就需要我们来维护“指派的文件类型”属性。方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“指派的文件类型”属性项目；
（2）、如果新增一种文件类型，在“文件扩展名”处输入添加的扩展名，点击“添加”；如果要删除一种文件类型，单击列表中的制定类型，点击“删除”。
7、利用规则的优先级灵活控制程序的运行
四种规则的优先级从高到依次为：散列规则、证书规则、路径规则、Internet区域规则。如果有超过一条以上的规则同时作用于同一个程序，那么优先级最高的规则设定的安全级别将决定该程序是否能运行。如果多于一条的同类规则作用于同一个程序，那么同类规则中最具限制力的规则将起作用。这为我们提供了一条对程序的运行进行灵活控制的途径。单一规则的作用效果虽然全面，但是也限制了我们所需要的那些部分，复合规则的综合作用将产生诸如“除了我们需要的/不需要的以外，其他全部不允许/不受限制”这样的效果，这也许才是我们真正需要的安全级别。
提示：软件限制策略的生效需要注销并重新登录系统。如果在软件限制策略中为一个程序制定了一条安全级别为“不受限的”规则，而这个程序包含在“不要运行指定的Windows应用程序”策略的不允许运行程序列表中，那么最终这个程序是不允许运行的。要取消对程序的限制，需要将相关的规则删除：在“其他规则”中的规则列表中，在要删除的规则上点击右键，选择“删除”即可。
上述三种限制程序运行的措施各有特点。从限制的实现方法和效果来看，限制用户对文件的访问权限可以让管理员以Administartor账户身份对所有用户的权限进行控制，作用的范围可以是所有类型的文件和文件夹，但是这种方法受到应用环境的限制。采取基于策略的措施，不论是启用“不要运行指定的Windows应用程序”策略还是设置软件限制策略，对于要限制的用户对象作用范围来讲都是用户组，不能针对具体的用户进行设置，要么是所有的用户，要么是除管理员组外的所有用户。但是这些措施对系统环境的要求不高，在XP系统中都可以进行实施。另外，基于策略的设置可以对计算机进行更加灵活的管理。特别是软件限制策略允许管理员通过多种方式对程序进行标识，对于程序的运行具有很高的可控性。

2. 如何设置来宾账户权限

慢慢看下面：

当你的电脑经常需要被别人使用，但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时，你可以先以管理员身份登录Windows系统，参照以下几条作相应设置，然后开通来宾账户或者新建一个普通user账户（不是管理员，而是受限用户），让别人用这个账户登录系统，这时你就可以放心你的电脑任意让别人折腾。
一、限制用户对文件的访问权限
如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。
例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作：
（1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。
（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。
（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。
（4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。
（5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。
要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。
这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，一切都无从谈起。
对于FAT/FAT32格式的分区，不能应用文件及文件夹的安全选项，我们可以通过设置计算机的策略来禁止运行指定的应用程序。

二、启用“不要运行指定的Windows应用程序”策略
在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。设置方法如下：
（1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器，或者运行mmc命令启动控制台，并将“组策略”管理单元加载到控制台中；
（2）、依次展开“‘本地计算机’策略”“用户设置”“管理模板”，点击“系统”，双击右侧窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。
（3）、点击“添加”，输入不运行运行的应用程序名称，如命令提示符cmd.exe，点击“确定”，此时，指定的应用程序名称添加到禁止运行的程序列表中。
（4）、点击“确定”返回组策略编辑器，点击“确定”，完成设置。
当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。
这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要注意的是，不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。
提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序(notepad.exe)添加不运行列表中，通过XP的桌面运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。

三、设置软件限制策略
软件限制策略是本地安全策略的一个组成部分，管理员通过设置该策略对文件和程序进行标识，将它们分为可信任和不可信任两种，通过赋予相应的安全级别来实现对程序运行的控制。这个措施对于解决未知代码和不可信任代码的可控制运行问题非常有效。软件设置策略使用两个方面的设置对程序进行限制：安全级别和其他规则。
安全级别分为“不允许的”和“不受限制的”两种。其中，“不允许的”将禁止程序的运行，不论用户的权限如何；“不受限的”允许登录用户使用他所拥有的权限来运行程序。
其它规则，即由管理员通过制定规则对指定的一批或一个文件和程序进行标识，并赋予“不允许的”或“不受限的”安全级别。在这个部分中，管理员可以制定四种类型的规则，按照优先级别分别是：散列规则、证书规则、路径规则和Internet区域规则，这些规则将对文件的访问和程序的运行提供最大限度的授权级别。
软件限制策略的设置
1、访问软件限制策略
作为本地安全策略的一部分，软件限制策略同时也包含在组策略中，这些策略的设置必须以administrator账户或Administrators组成员的身份登录系统。软件限制策略的访问方式有两种：
（1）、在“开始”“运行”处运行secpol.msc，启动本地安全策略编辑器，在“安全设置”下可以看到“软件限制策略”项目。
（2）、在“开始”“运行”处运行gpedit.msc，启动组策略编辑器，在“计算机设置”“Windows设置”“安全设置”下可以看到“软件限制策略”。
2、新建软件限制策略
首次打开“软件限制策略”时，该项目是空的。策略需要由管理员手动添加。方法是点击“软件限制策略”使其处于选中状态，点击编辑器窗口“操作”菜单下的“新建一个策略”项目，此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性，如图2所示。一旦执行了新建策略操作后，就不能再次执行该操作，并且这个策略也不能删除。
3、设置默认的安全级别
新建软件限制策略后，策略的默认安全级别为“不受限的”，如果要更改默认的安全级别，需要在“安全级别”中进行设置，方法如下：
（1）、打开“安全级别”，在右侧窗格中，可以看到有两条设置，其中图标中带有一个小对号的设置为默认设置；
（2）、点击不是默认值的那条设置，单击右键，选择“设置为默认”项。当设置“不允许的”为默认值时，系统会显示一个提示信息对话框，点击“确定”即可。
该步骤也可以双击非默认的设置，在弹出的属性窗口中，点击“设为默认值”。
4、设置策略的作用范围和对象
通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。通常情况下，为了避免引起系统不必要的问题以及便于对系统的管理，策略的作用范围应设置为不包含库文件的所有软体文件，作用对象设置为除本地管理员外的所有用户。设置的方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“强制”属性项目；
（2）、选择“除去库文件（如Dll文件）以外的所有软体文件”选项和“除本地管理员以外的所有用户”选项，单击“确定”。
5、制定规则
只通过安全级别的设置，显然不能很好的实现对文件和程序的控制，必须通过制定合理的规则来标识那些禁止或允许运行的文件和程序，并进而实现对这些文件和程序的灵活控制。上文中提到可制定规则的类型有四种：散列规则、证书规则、路径规则和Internet区域规则。它们标识文件以及制定规则的方法如下：
散列规则：利用散列算法计算出指定文件的散列，这个散列是唯一标识该文件的一系列定长字节。制定了散列规则后，用户访问或运行文件时，软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。当文件移动或重命名，不会影响文件的散列，软件限制策略对该文件依然有效。制定方法如下：
（1）、点击“软件限制策略”下的“其它规则”，在“其他规则”上单击右键，或在右侧窗格的空白区域单击右键，选择“新散列规则”。
（2）、点击“浏览”，指定要标识的文件或程序，例如cmd.exe，确认后，在文件散列中可以看到计算出来的散列，在“安全级别”中选择“不允许的”或“不受限的”，点击“确定”，在“其它规则”中可以看到新增了一条类型为散列的规则。
证书规则：利用与文件或程序相关联的签名证书进行标识。证书规则需要的证书可以是自签名的、由证书颁发机构（CA）颁发或是由Windows2000公钥机构发布。证书规则不应用于EXE文件和DLL文件，它主要应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后，运行该文件时，软件限制策略会根据该文件的安全级别来决定是否可以运行。文件的移动和更名不会对证书规则的应用产生影响。制定证书规则时要求能够访问到用来标识文件的证书文件，证书文件的扩展名为.CER。创建方法同散列规则。
路径规则：利用文件或程序的路径进行标识，该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的，当文件移动或重命名时，路径规则会失去作用。在路径规则中，根据路径范围的大小，优先级别各有高低，范围越大，优先级越低。通常路径的优先级从高到低为：指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。创建方法同散列规则。
Internet区域规则：利用应用程序下载的Internet区域进行标识。区域主要包括：Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。该规则主要应用于Windows的安装程序包。创建方法同散列规则。
6、维护可执行代码的文件类型
不论是那种规则，它所影响的文件类型只有“指派的文件类型”属性中列出的那些类型，这些类型是所有规则共享的。某些情况下，管理员可能需要删除或添加某种类型的文件，以便规则能够对这类文件失去或产生作用，这就需要我们来维护“指派的文件类型”属性。方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“指派的文件类型”属性项目；
（2）、如果新增一种文件类型，在“文件扩展名”处输入添加的扩展名，点击“添加”；如果要删除一种文件类型，单击列表中的制定类型，点击“删除”。
7、利用规则的优先级灵活控制程序的运行
四种规则的优先级从高到依次为：散列规则、证书规则、路径规则、Internet区域规则。如果有超过一条以上的规则同时作用于同一个程序，那么优先级最高的规则设定的安全级别将决定该程序是否能运行。如果多于一条的同类规则作用于同一个程序，那么同类规则中最具限制力的规则将起作用。这为我们提供了一条对程序的运行进行灵活控制的途径。单一规则的作用效果虽然全面，但是也限制了我们所需要的那些部分，复合规则的综合作用将产生诸如“除了我们需要的/不需要的以外，其他全部不允许/不受限制”这样的效果，这也许才是我们真正需要的安全级别。
提示：软件限制策略的生效需要注销并重新登录系统。如果在软件限制策略中为一个程序制定了一条安全级别为“不受限的”规则，而这个程序包含在“不要运行指定的Windows应用程序”策略的不允许运行程序列表中，那么最终这个程序是不允许运行的。要取消对程序的限制，需要将相关的规则删除：在“其他规则”中的规则列表中，在要删除的规则上点击右键，选择“删除”即可。
上述三种限制程序运行的措施各有特点。从限制的实现方法和效果来看，限制用户对文件的访问权限可以让管理员以Administartor账户身份对所有用户的权限进行控制，作用的范围可以是所有类型的文件和文件夹，但是这种方法受到应用环境的限制。采取基于策略的措施，不论是启用“不要运行指定的Windows应用程序”策略还是设置软件限制策略，对于要限制的用户对象作用范围来讲都是用户组，不能针对具体的用户进行设置，要么是所有的用户，要么是除管理员组外的所有用户。但是这些措施对系统环境的要求不高，在XP系统中都可以进行实施。另外，基于策略的设置可以对计算机进行更加灵活的管理。特别是软件限制策略允许管理员通过多种方式对程序进行标识，对于程序的运行具有很高的可控性。

3. 如何设置来宾用户权限？

设置的方法和详细的操作步骤如下：
1、首先，右键单击计算机桌面的“计算机”图标，然后单击“管理”选项，如下图所示，然后进入下一步。



2、其次，完成上述步骤后，用鼠标依次单击“计算机管理”-->“本地用户和组”-->“用户”-->“Guest”选项，右键单击“Guest”选项，在“常规”选项卡中，仅选中“密码永不过期”这一项，如下图所示，然后进入下一步。




3、接着，完成上述步骤后，在“Guest属性”窗口中，单击“隶属于”选项卡，然后单击“添加”按钮以输入“组”的名称，然后单击“确定”按钮，如下图所示，然后进入下一步。



4、最后，完成上述步骤后，就可以在“本地用户和组”的“组”中检查每个组的权限，如下图所示。这样，问题就解决了。

4. 怎么设置来宾用户权限?

1、要给来宾账户设置权限，点击桌面的“开始”找到并打开“运行”选项。

2、弹出运行后，输入gpedit.msc并点击“确定”进入到组策略窗口。

3、进入组策略管理窗口后，点击展开计算机配置选项下的“windows设置”选项。

4、展开windows设置选项后，在它选项下找到且点击打开“安全设置”选项。

5、然后，再从安全设置选项中点击打开进入到“本地策略”选项下，并从本地策略选项中打开“用户权利指派”。

6、接着，在用户权利指派选项的右侧界面，找到想给来宾账户设置权限的某些选项，并右键选择“属性”。

7、右键属性弹出小面板后，在小面板找到来宾账户Guest并选中它，然后点击删除按钮，这样即可禁用它这个选项的所有使用权限。完成。

5. 怎么设置来宾用户权限

用管理员用户登录系统，在我的电脑上右键---管理---本地用户和组---用户，在这里新建用户，或直接用guest用户，在guest用户上右键---属性，把此帐号已停用的勾取消即可，在guest上右键属性--隶属于--默认来宾是使用权限，不是最高权限，要改就删除这个权限，再点添加---高级---立即查找--选Administrators确定这样就可以了

6. 怎么设置来宾用户权限

问题一：怎么设置来宾用户权限?  如果你想更改来宾的权限只要在我的电脑右键菜单里选择“管耽”，“本地用户和组”，“GUEST”右键，在“隶属于”里添加些有特定权限的组就可以了。 
  如果要进行更详细的设置需要通过“组策略”：在控制面板-管理工具-本地安全策略-安全设置-本地策略-用户权利指派里面指派帐户的权利，根据需要设置来宾用户的权限就可以了。 
  
   问题二：如何设置来宾用户权限？  .你可以进入控制版面里的帐户用户里去设置。 
  来宾帐户是一个受限用户，不能做一些关于系统的设置或者其他的动作。 
  你可以在控制版面里去设置的。 
  你的电脑文件系统应该是fat32的吧 你把他转换成NTFS就好了 
  在WinXP中要把某分区的文件系统由FAT32转换为NTFS，同时又保留分区中的数据不变，可以使用WinXP自带的命令 
  依次点击“开始”→“运行”，输入“cmd”后回车打开“命令提示符”窗口。在命令提示符状态下键入“convert F:/FS:NTFS /V”，回车，这里的“F：”就是要转换文件系统的分区，参数“V”表示在转换时显示详细信息，可以不使用此参数。在重启电脑时，WinXP会自动先将F:盘转换为NTFS文件系统（会在进入系统前显示相关过程），然后再进入系统。 
  注意： 
  在这个过程中，一定要保证不断电，否则可能使系统产生异常，而且该分区的使用可能受到影响。 
  进入控制面版=>用户账户=>创建新账户 
  来宾帐户默认是一个受限用户可以修改 你要看一下你的是不是被修改了。受限用户可以看到你电脑上的所有东西。。但不可以删除和安装任何东西。 也就是说不可以修改主册表。 
  一、打开控制面板－－用户帐户－－计算机管理员，你就可以更改你的用户名和图片了。 
  二、用户帐户是用来验证登录你的计算机的人的身份的，可以防止黑客进入你的系统，可以防止别人使用你的电脑，查看你的文件等。没有帐户的人可以用来宾帐户登录到你的计算机。密码保护的文件、文件夹和设置不能被来宾用户访问。 
  
   问题三：怎么设置来宾账户的权限？  打开我的电脑--工具-俯文件夹选项--查看--使用简单的文件共享前面的钩去掉--确定--假让别人不能动你的D盘，右击D盘--属性--安全--添加--高级---立即查找--将来宾账户添加进去--就可以设置它的权限了 
  
   问题四：win7下如何设置来宾账户权限  先确保你的D盘是ntfs格式。选择d盘右击--共享和安全--安全--组或用户名称功如果没有guest则选择添加--高级--立即查找，找到guest点确定--确定，回到安全，选中guest,下面guest的权限中所有允许的对钩全部去掉，确定就可以了。如果d盘不是ntfs格式，上网搜一下转换方法。右击d盘--属性就可以看到是什么格式了。 
  
   问题五：怎么限制来宾用户的使用权限  我的电脑---右键---管理----本地用户和组----新建用户， 
  然后在用户----右键---属性，隶属于“user”这样就行了。这个用户只有使用权限 。要是隶属于“administrator”就是管理权限 。希望这些对你有帮助。 
  
   问题六：怎么设置来宾用户才有使用QQ的权限  方法1：找到QQ目录，把QQ.EXE发送到桌面方法2：用“计算机管理员”类型帐号登陆计算机，打开“开始”→“设置”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“用户权利指派”。然后给你的guest设置任何权限。 
  
   问题七：xp系统如何设置来宾账户的权限  你好来宾账户默认是无法对注册表进行关键操作的，所以自然就无法安装软件至于你说的限制对文件进行操作，可以这么设置打开我的电脑--工具--文件夹选项--查看--使用简单的文件共享前面的钩去掉--确定--假让别人不能动你的D盘，右击D盘--属性--安全--添加--高级---立即查找--将来宾账户添加进去--就可以设置它的权限了 ，里面有工多权限不希望他有的权限把勾去掉就行。 
  
   问题八：来宾账户怎么获得系统管理员权限  先用系统管理员身份设置： 
  1、右键“我的电脑”―管理―本地用户和组 
  2浮在“本地用户和组”选“用户”找到“来宾用户” 
  3、右键属性―隶属于―添加―高级―立即查找―ADMINISTRATOR―确定，即可 
  
   问题九：怎么把来宾账户设置的和管理员权限差不多  如果想要来宾账户有管理的权限，将他加入管理员组就行，但这样不安全。（具体方法如下） 
  如果只是想要来宾帐户有安装软件的权限，我的电脑右键-管理-本地用户和组-用户-在右边的Guest用户上右键属性-选择权限 
  建议不要启用来宾帐户，这样是允许网络上别订计算机来访问，极不安全。 
  想要用另一个用户登录计算机的话，建一个用户就行，也是在这里面，用管理员登录给这个帐户一定的权限 
  
   问题十：如何让来宾用户拥有管理员权限 5分 把 Guest 账户，隶属于 administrators 组就可以了， 
  “我的电脑”右键，管理，系统工具，本地用户和组，用户，“Guest”用户右键，属性，隶属于，删除 Guests 组，添加 administrators 组，确定。

7. 如何设置来宾用户权限？

设置的方法和详细的操作步骤如下：
1、首先，右键单击计算机桌面的“计算机”图标，然后单击“管理”选项，如下图所示，然后进入下一步。



2、其次，完成上述步骤后，用鼠标依次单击“计算机管理”-->“本地用户和组”-->“用户”-->“Guest”选项，右键单击“Guest”选项，在“常规”选项卡中，仅选中“密码永不过期”这一项，如下图所示，然后进入下一步。




3、接着，完成上述步骤后，在“Guest属性”窗口中，单击“隶属于”选项卡，然后单击“添加”按钮以输入“组”的名称，然后单击“确定”按钮，如下图所示，然后进入下一步。



4、最后，完成上述步骤后，就可以在“本地用户和组”的“组”中检查每个组的权限，如下图所示。这样，问题就解决了。

8. 电脑来宾账户权限设置

一、限制用户对文件的访问权限
如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。
例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作：
（1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。
（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。
（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。
（4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。
（5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。
要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。
这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，一切都无从谈起。
对于FAT/FAT32格式的分区，不能应用文件及文件夹的安全选项，我们可以通过设置计算机的策略来禁止运行指定的应用程序。

二、启用“不要运行指定的Windows应用程序”策略
在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。设置方法如下：
（1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器，或者运行mmc命令启动控制台，并将“组策略”管理单元加载到控制台中；
（2）、依次展开“‘本地计算机’策略”“用户设置”“管理模板”，点击“系统”，双击右侧窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。
（3）、点击“添加”，输入不运行运行的应用程序名称，如命令提示符cmd.exe，点击“确定”，此时，指定的应用程序名称添加到禁止运行的程序列表中。
（4）、点击“确定”返回组策略编辑器，点击“确定”，完成设置。
当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。
这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要注意的是，不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。
提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序(notepad.exe)添加不运行列表中，通过XP的桌面运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。

三、设置软件限制策略
软件限制策略是本地安全策略的一个组成部分，管理员通过设置该策略对文件和程序进行标识，将它们分为可信任和不可信任两种，通过赋予相应的安全级别来实现对程序运行的控制。这个措施对于解决未知代码和不可信任代码的可控制运行问题非常有效。软件设置策略使用两个方面的设置对程序进行限制：安全级别和其他规则。
安全级别分为“不允许的”和“不受限制的”两种。其中，“不允许的”将禁止程序的运行，不论用户的权限如何；“不受限的”允许登录用户使用他所拥有的权限来运行程序。
其它规则，即由管理员通过制定规则对指定的一批或一个文件和程序进行标识，并赋予“不允许的”或“不受限的”安全级别。在这个部分中，管理员可以制定四种类型的规则，按照优先级别分别是：散列规则、证书规则、路径规则和Internet区域规则，这些规则将对文件的访问和程序的运行提供最大限度的授权级别。
软件限制策略的设置
1、访问软件限制策略
作为本地安全策略的一部分，软件限制策略同时也包含在组策略中，这些策略的设置必须以administrator账户或Administrators组成员的身份登录系统。软件限制策略的访问方式有两种：
（1）、在“开始”“运行”处运行secpol.msc，启动本地安全策略编辑器，在“安全设置”下可以看到“软件限制策略”项目。
（2）、在“开始”“运行”处运行gpedit.msc，启动组策略编辑器，在“计算机设置”“Windows设置”“安全设置”下可以看到“软件限制策略”。
2、新建软件限制策略
首次打开“软件限制策略”时，该项目是空的。策略需要由管理员手动添加。方法是点击“软件限制策略”使其处于选中状态，点击编辑器窗口“操作”菜单下的“新建一个策略”项目，此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性，如图2所示。一旦执行了新建策略操作后，就不能再次执行该操作，并且这个策略也不能删除。
3、设置默认的安全级别
新建软件限制策略后，策略的默认安全级别为“不受限的”，如果要更改默认的安全级别，需要在“安全级别”中进行设置，方法如下：
（1）、打开“安全级别”，在右侧窗格中，可以看到有两条设置，其中图标中带有一个小对号的设置为默认设置；
（2）、点击不是默认值的那条设置，单击右键，选择“设置为默认”项。当设置“不允许的”为默认值时，系统会显示一个提示信息对话框，点击“确定”即可。
该步骤也可以双击非默认的设置，在弹出的属性窗口中，点击“设为默认值”。
4、设置策略的作用范围和对象
通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。通常情况下，为了避免引起系统不必要的问题以及便于对系统的管理，策略的作用范围应设置为不包含库文件的所有软体文件，作用对象设置为除本地管理员外的所有用户。设置的方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“强制”属性项目；
（2）、选择“除去库文件（如Dll文件）以外的所有软体文件”选项和“除本地管理员以外的所有用户”选项，单击“确定”。
5、制定规则
只通过安全级别的设置，显然不能很好的实现对文件和程序的控制，必须通过制定合理的规则来标识那些禁止或允许运行的文件和程序，并进而实现对这些文件和程序的灵活控制。上文中提到可制定规则的类型有四种：散列规则、证书规则、路径规则和Internet区域规则。它们标识文件以及制定规则的方法如下：
散列规则：利用散列算法计算出指定文件的散列，这个散列是唯一标识该文件的一系列定长字节。制定了散列规则后，用户访问或运行文件时，软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。当文件移动或重命名，不会影响文件的散列，软件限制策略对该文件依然有效。制定方法如下：
（1）、点击“软件限制策略”下的“其它规则”，在“其他规则”上单击右键，或在右侧窗格的空白区域单击右键，选择“新散列规则”。
（2）、点击“浏览”，指定要标识的文件或程序，例如cmd.exe，确认后，在文件散列中可以看到计算出来的散列，在“安全级别”中选择“不允许的”或“不受限的”，点击“确定”，在“其它规则”中可以看到新增了一条类型为散列的规则。
证书规则：利用与文件或程序相关联的签名证书进行标识。证书规则需要的证书可以是自签名的、由证书颁发机构（CA）颁发或是由Windows2000公钥机构发布。证书规则不应用于EXE文件和DLL文件，它主要应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后，运行该文件时，软件限制策略会根据该文件的安全级别来决定是否可以运行。文件的移动和更名不会对证书规则的应用产生影响。制定证书规则时要求能够访问到用来标识文件的证书文件，证书文件的扩展名为.CER。创建方法同散列规则。
路径规则：利用文件或程序的路径进行标识，该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的，当文件移动或重命名时，路径规则会失去作用。在路径规则中，根据路径范围的大小，优先级别各有高低，范围越大，优先级越低。通常路径的优先级从高到低为：指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。创建方法同散列规则。
Internet区域规则：利用应用程序下载的Internet区域进行标识。区域主要包括：Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。该规则主要应用于Windows的安装程序包。创建方法同散列规则。
6、维护可执行代码的文件类型
不论是那种规则，它所影响的文件类型只有“指派的文件类型”属性中列出的那些类型，这些类型是所有规则共享的。某些情况下，管理员可能需要删除或添加某种类型的文件，以便规则能够对这类文件失去或产生作用，这就需要我们来维护“指派的文件类型”属性。方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“指派的文件类型”属性项目；
（2）、如果新增一种文件类型，在“文件扩展名”处输入添加的扩展名，点击“添加”；如果要删除一种文件类型，单击列表中的制定类型，点击“删除”。
7、利用规则的优先级灵活控制程序的运行
四种规则的优先级从高到依次为：散列规则、证书规则、路径规则、Internet区域规则。如果有超过一条以上的规则同时作用于同一个程序，那么优先级最高的规则设定的安全级别将决定该程序是否能运行。如果多于一条的同类规则作用于同一个程序，那么同类规则中最具限制力的规则将起作用。这为我们提供了一条对程序的运行进行灵活控制的途径。单一规则的作用效果虽然全面，但是也限制了我们所需要的那些部分，复合规则的综合作用将产生诸如“除了我们需要的/不需要的以外，其他全部不允许/不受限制”这样的效果，这也许才是我们真正需要的安全级别。
提示：软件限制策略的生效需要注销并重新登录系统。如果在软件限制策略中为一个程序制定了一条安全级别为“不受限的”规则，而这个程序包含在“不要运行指定的Windows应用程序”策略的不允许运行程序列表中，那么最终这个程序是不允许运行的。要取消对程序的限制，需要将相关的规则删除：在“其他规则”中的规则列表中，在要删除的规则上点击右键，选择“删除”即可。
上述三种限制程序运行的措施各有特点。从限制的实现方法和效果来看，限制用户对文件的访问权限可以让管理员以Administartor账户身份对所有用户的权限进行控制，作用的范围可以是所有类型的文件和文件夹，但是这种方法受到应用环境的限制。采取基于策略的措施，不论是启用“不要运行指定的Windows应用程序”策略还是设置软件限制策略，对于要限制的用户对象作用范围来讲都是用户组，不能针对具体的用户进行设置，要么是所有的用户，要么是除管理员组外的所有用户。但是这些措施对系统环境的要求不高，在XP系统中都可以进行实施。另外，基于策略的设置可以对计算机进行更加灵活的管理。特别是软件限制策略允许管理员通过多种方式对程序进行标识，对于程序的运行具有很高的可控性。