注册 登录
编程论坛 Windows论坛

[求助]有关xp受限用户权限提升 怎么禁止

ml232528 发布于 2007-07-25 20:28, 4486 次点击
我的电脑上受限用户可以打开组策略 进行如下操作进行提权
运行->gpedit.msc->windows设置->脚本(启动/关机)->启动->添加->浏览->自己做好的批处理文件
如果批处理文件内容是 net localgroup administrators 受限用户名 /add
那么做好后重起 受限用户就提升到管理员了

我想知道怎么禁止受限用户这样做 但组策略不禁止 也就是管理员能编辑组策略
25 回复
#2
system322007-07-25 21:02
教你个我自己想到的独招.

C:\WINDOWS\system32\net.exe
把net.exe 的.去了

就无法执行net 命令了.

要用的时候改一下
#3
system322007-07-25 21:03
还有就是创建用户的时候 你给他一个user权限,他是没权限做你所说的.
#4
ml2325282007-07-25 21:28
把net.exe我自己也没法用了啊
受限用户就是user 组啊
管理员是administrator 组
#5
ml2325282007-07-25 21:30
有没有方法 让受限用户没法打开组策略 而管理员可以
#6
system322007-07-25 22:15
user 组 组的用户可以通过你说的方法提升权限?
#7
system322007-07-25 22:15
你测试过了吗?
#8
system322007-07-25 22:18
不就可以了.
让开始菜单不显示运行选项【操作方法】 让开始菜单不显示运行选项的具体操作如下:(1)运行regedit.exe,打开注册表编辑器。(2)展开regedit\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\分支。(3)在Explorer右窗口新建一个名为NoRun的DWORD值,将其键值设置为1即可。
#9
system322007-07-25 22:18
guest 用户根本就没这权限
#10
卡卡希比2007-07-26 19:48
教你一招把%WINDIR%\system32\dllcache清空(清空之前,请自行备份)
把cmd.exe删掉,再建一个文件改名为cmd.exe这样,所有批处理都用不了

强吧~~
#11
system322007-07-26 19:50

土办法.
呵呵.
那管理员也用不了了?

#12
ml2325282007-07-26 21:35
以下是引用system32在2007-7-25 22:15:17的发言:
user 组 组的用户可以通过你说的方法提升权限?

今天做了测试 user组用户aaaa

只有本站会员才能查看附件,请 登录


只有本站会员才能查看附件,请 登录


只有本站会员才能查看附件,请 登录


只有本站会员才能查看附件,请 登录


a.bat的内容是net localgroup administrators aaaa /add
重启后 aaaa就成administrators组了
#13
system322007-07-26 21:55
让开始菜单不显示运行选项【操作方法】 让开始菜单不显示运行选项的具体操作如下:(1)运行regedit.exe,打开注册表编辑器。(2)展开regedit\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\分支。(3)在Explorer右窗口新建一个名为NoRun的DWORD值,将其键值设置为1即可。
#14
ml2325282007-07-26 22:10
哈哈试过了 先在是管理员不显示运行选项 不能运行bat文件
但是用户照旧
和我的意思恰恰相反

[此贴子已经被作者于2007-7-26 22:11:18编辑过]

#15
ml2325282007-07-26 22:21
明白了
现在用受限用户打开注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
没有新建的NoRun
也就是说 只有在用受限用户自己改注册表 才对受限用户起作用
也就说受限用户自己可以改回来
换句话说就是没用

[此贴子已经被作者于2007-7-26 22:37:13编辑过]

#16
system322007-07-27 01:01
让他连注册表都进不了他还怎么改?
最简单有效的一个办法.

随便用个加密软件给regedit加个密码不就OK了

运行也没了,还怎么进?

呵呵,你真是异想天开.

guest用户都能像你说的一样做么?我是测试过.

C盘 全给他隐藏禁止了

开始菜单里只留个关机.
我看他怎么弄.
#17
system322007-07-27 01:01
没有做不到的,只有想不到的
#18
system322007-07-27 01:02
要是管理员是我,我非让你什么都搞不成不可.嘿嘿!
#19
system322007-07-27 01:03
aaaa就成administrators组了

图里没看到 aaaa在ad组嘛
#20
system322007-07-27 01:04
你是抓图不抓重点,步骤么搞这么详细,我只要结果
#21
system322007-07-27 01:04
我想看的反倒没
#22
songyuyu2007-07-27 09:00
#23
lthiy2007-07-27 09:01
我因对组策略不了解所以才来学习
#24
ml2325282007-07-27 12:40

今天又在同学机器上试个了
系统是GhostXP_SP2
users组可以那样提权(重起时在登陆界面等一下 以便计算机执行那个文件) guests组没试

不过 我的问题已经解决了
我把管理员密码告诉了大家 原来的users组用户已经删除了
都是同学嘛 不用搞那么多限制 只要他们不把电脑搞坏就行了

#25
system322007-07-27 20:39

原来是为了防止同学用你电脑啊.
用得着这样么..
一个GUEST就可以

#26
卡卡希比2007-07-27 20:40
以下是引用system32在2007-7-27 1:02:09的发言:
要是管理员是我,我非让你什么都搞不成不可.嘿嘿!

我把你显示器,关了

1