实验环境:Windows 11 专业版
Win+R 常用命令
gpedit.msc 打开本地组策略
regedit 打开注册表
netplwiz 添加用户
lusrmgr.msc 打开本地用户和组
secpol.msc 打开本地安全策略
通过本地组策略禁用系统程序
禁用控制面板与PC设置
用户配置>管理模版>控制面板,将“禁止访问控制面板和PC设置”修改为“已启用”。
通过注册表禁用
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,将“NoControlPanel”修改为“1”值即可禁用。
禁用本地组策略
用户配置>管理模版>Windows组件>MicroSoft 管理控制台>受限的/许可的管理单元>组策略,将“组策略编辑器”修改为“已禁用”。
通过注册表恢复
HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC{8FC0B734-A0E1-11D1-A7D3-0000F87571E3},将“Restrict_Run”修改为“0”值即可恢复。
禁用注册表
用户配置>管理模版>系统,将“阻止访问注册表编辑工具”修改为“已启用”。
通过命令禁用
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /t Reg_dword /v DisableRegistryTools /f /d 2
通过注册表禁用
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,新建 DWORD 32位(REG_DWORD),命名为“DisableRegistryTools”,十六进制值设置为“2”。
除了在本地组策略里面重新启用之外,只能用三方工具进行启用。推荐 Reg Organizer ,Registry Workshop 需要收费,但可以试用。
通过本地组策略进行安全设置
计算机配置>Windows设置>安全设置>本地策略>安全选项,列出常用选项。
- 交互式登录:不需按CTRL+ALT+DEL
- 交互式登录:计算机账户锁定阈值
- 交互式登录: 不显示登录时的用户名
- “账户:重命名系统管理员账户”
- “账户:管理员账户状态”
- 用户帐户控制: 以管理员批准模式运行所有管理员
案例演练
实现标准用户安装软件时无需输入管理员密码(禁用UAC)
禁用上一章节列出的“用户帐户控制: 以管理员批准模式运行所有管理员”,然后重启计算机生效。
通过注册表禁用
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System,将“EnableLUA”修改为“0”值。
需要注意的是,重启后,部分系统级文件夹会变得无法写入。例如:Program Files和Program Files (x86)这两个文件夹是大多数软件默认的安装路径,文件夹所有者会由原来的 Administrators 变成TrustedInstaller,任何用户都无法往里面安装程序。如果你是管理员账户,有需要往里面安装程序的话,可以将这两个文件夹所有者改回 Administrators 用户组。
标准用户如果需要安装游戏加速器之类的软件的话,虽然可以安装成功,但是在打开运行的过程中需要修改系统级的网络配置,但标准用户是没有这个权限的,所以会报各种错误。
综上所述,如果用户对安装新软件的需求比较大,而且又是游戏玩家,建议直接将其直接放入 Administrators 用户组,会省下很多麻烦。至于怕其弄乱系统设置之类的,这个完全可以做进一步的处理。按照之前所述,禁用掉系统关键程序即可。
评论区