受限制的組選項(xiàng)允許管理員管理敏感組之間的關(guān)系。例如，如果Administrators組只包括一個(gè)內(nèi)建的Administrator賬戶，Administrators組就可以被添加到受限制組中，而Administrator也可以添加到Administrators組成員欄目下。這樣的設(shè)置可以阻止其它用戶使用一 些工具軟件提升自己的特權(quán)到Administrators組。

　　不是所有的組都需要被添加進(jìn)受限制的組，建議只有那些比較敏感的組才通過(guò)配置安全模板加入進(jìn)去，其余沒(méi)有加入到受限制組的組將會(huì)保持他們自己的關(guān)系列表。

　　對(duì)于所有在該選項(xiàng)中列出的用戶組，任何顯示在這里的組和/或用戶都已經(jīng)不再是他們?cè)瓉?lái)所加入的組成員了，并且任何沒(méi)有在配置列表中顯示的當(dāng)前組的用戶和/或組都將被刪除。

　　通過(guò)安全模板組件修改受限制組

　　因?yàn)槭芟拗平M選項(xiàng)中的設(shè)置需要根據(jù)實(shí)際環(huán)境進(jìn)行，所以做好的配置文件(inf文件)中只設(shè)定了一個(gè)受限制組。然而，實(shí)際應(yīng)用中可能需要限制域中其它敏感組的關(guān)系。

　　要查看SCM模板中限制組的設(shè)置，依次雙擊：

　　安全模板

　　默認(rèn)的配置文件目錄(%SystemRoot%\Security\Templates)

　　特定的配置文件

　　受限制的組

　　注意：在對(duì)一個(gè)配置文件進(jìn)行了任何修改之后，請(qǐng)記得保存修改，然后在正式使用之前一定要先測(cè)試好。

　　以下步驟演示了如何向列表中添加一個(gè)受限制的組：

　　右鍵點(diǎn)擊受限制的組

　　選擇添加組

　　點(diǎn)擊瀏覽按鈕

　　雙擊每個(gè)需要添加的組，點(diǎn)擊確定 - 確定

　　在右側(cè)列表中雙擊新添加的組

　　點(diǎn)擊添加

　　雙擊每個(gè)希望添加到該組的組和/或用戶

　　點(diǎn)擊確定 - 確定

　　對(duì)于工作站來(lái)說(shuō)，安全模板中建議的設(shè)置是設(shè)置Power Users組沒(méi)有成員，這是一個(gè)很好的安全經(jīng)驗(yàn)。然而，使用老程序的環(huán)境或者用戶自己寫(xiě)的一些工具可能需要使用者對(duì)特定的文件、文件夾或者注冊(cè)表鍵具有一些類(lèi)似Power Users的特權(quán)。按理說(shuō)，對(duì)于文件、文件夾和注冊(cè)表鍵所需要的權(quán)限應(yīng)當(dāng)被視為統(tǒng)一，而不是靠把用戶添加到Power Users組代替。進(jìn)一步說(shuō)，你不能為了讓你的程序能正常運(yùn)行而要求用戶必須是Administrators組的組員。