1. 我怎样能阻止一个用户或计算机访问网络上所有的计算机?我只是希望他们能够访问一个服务器。

　　2. 怎样才能防止一些是本地管理员的用户以本地控制者身份登陆?

　　3. 如果你在网络上有两个位于相同物理位置的主机，你希望补充一个用户政策，要求至少设置8位密码并且应满足复杂性要求，你会在物理位置应用帐户政策设置?你应当使用什么用户政策?

4. 我在Windows 2000 Advanced Server上有一个NTFS文件夹。我希望设置这个文件夹的属性，这样用户就不能删除文件或文件夹，但是他们能够在文件夹中保存和修改。我应该怎么办?

　　Wes Noonan:1. 一个有效的方法是将用户加到你建立的组中(例如，服务器A用户)，之后将该组从本地用户组中移出。接下来，将该组归到服务器上一些恰当的本地组中，赋予他们你所希望的访问权限。例如，如果你希望这些用户仅仅是普通用户，你可以将全球组加到本地“用户”组。

　　2. 这取决于这些用户的种类。如果他们是已被赋予本地控制者权利组的成员(例如，本地管理员)，那就没有办法了。如果你的主机足够小，你可以列出所有计算机，具体设置你允许哪些可以登陆，包括本地控制者，但是我想这个方法很快就会变成不可管理的(每次你增加一台计算机，都意味着你需要更新可登陆计算机的列表)，同时如果这些用户是本地管理员(他们可以进入，可以不接受设置)那么会使得实施无效。

　　现在，假设不是本地管理员，那在本地控制者默认组政策中定义了登陆本地控制者的权限。你可以在Active Directory用户和计算机中，右键点击本地控制者OU，选择“属性”。点击“组政策”，选择政策点击“编辑”。按照以下的分支定位使用组政策目标编辑器:

　　计算机配置 > Windows设置> 安全设置 >本地政策 >用户权限分配

　　在右边的窗口，找“本地登陆”或“允许本地登陆”(由于你使用的Windows版本不同，会有不同表述)。双击政策，从列表中增加/移除用户，选择“定义这些组政策”框来定义将允许谁进行本地登陆。按照默认值，以下的用户/组能本地登陆到本地控制者:

　　1. 用户操作者 
　　2. 管理员 
　　3. 备份操作者 
　　4. 打印操作者 
　　5. 服务器操作者 
　　6. 对应的网络用户
　　通常，不是直接编辑本地控制者组政策的默认值，而是新建一个新的目标组政策。还要警告你，更改默认设置可以对系统引起不能预期的潜在的破坏。

　　3. 你需要在每个主机上分别应用用户政策。尽管MMC snap-ins组政策中为OU和物理位置列出了“密码政策”分支，但是你只能定义主机层的密码政策。这是因为对给定的 只能有一个单独的密码政策，也就是说你只能在主机层定义密码政策。还有，根据实际经验，你应该直接新建一个以密码政策设置为目标的组政策，而不是更改默认的主机政策。

　　4. 可以编辑文件夹和文家的高级安全属性。右键点击要设置的文件夹，选择“属性”。选择安全标签，点击“高级”。增加或者编辑恰当的用户，具体设置如下权限:

　　移动文件夹/操作数据 
　　列出文件夹/读取数据 
　　读取属性 
　　读取扩展属性 
　　新建文件/写入数据 
　　新建文件夹/追加数据 
　　写入属性 
　　写入扩展属性 
　　读取权限 
　　更改权限
　　由于你的具体要求，你可能需要也可能不需要设置上边的权限。关键是要记得不要赋予其“删除子文件夹和文件”和“删除”权限。

　　切记你需要删除继承，使你可以作必要的更改。

http://www.hack58.net/Article/60/63/2006/8394.htm