xp 中如何使用组策略阻止新建立用户帐户

freeman999

xp 中如何使用组策略阻止新建立用户帐户，突然想起这个问题，请大家给出意见？
google到如下信息
XP下禁止添加用户  

2011-05-24 22:16:43|  分类： 局域网 |字号 订阅

XP下添加新用户帐号一般有两类方法：一是通过控制面板添加；另一种是通过DOS命令添加。管理员经常遇到的麻烦是其它用户通过添加用户、提升权限的手段来获取更高的控制权，那么如何禁止其它用户添加新帐号呢？总结起来，有以下几种方法：

一、禁用控制面板中添加用户项：
      打开WIN的组策略(可以在运行中输入GPEDIT.MSC)。然后找到用户配置中的控制面版。在右边的视窗中双击隐藏指定控制板面应用小程序选项。在选择已起用。再点选“显示”按纽。然后把添加“删除用户帐户”写在里面就可以了。
       二、禁用命令行、运行项：
       上面的方法只能限制从控制面板中添加用户，但无法限制从运行或命令行用命令创建新用户，为了更彻底限制用户创建新用户，可以通过组策略禁用“运行”和“命令行”：
      1. 打开“组策略控制台”→“用户配置”→“管理模板”→“系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件.cmd和.bat是否可以在计算机上运行。如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释已设置阻止这一操作。
      2.  开始-运行-输入gpedit.msc 点管理模版 开始菜单选项， 把删除开始运行这项点启用  应用就行了， 那么开始菜单就没有运行了！
     三、禁用开机启动安全模式下使用命令行：
     禁止Windows XP进入安全模式禁用安全模式，限制受限用户修改注册通过修改注册表，使用户无法进入Windows XP带有命令行的安全模式，避免他人在安全模式下利用net user命令修改其他用户的密码，同时限制受限用户访问并修改注册表，避免他人修改注册表启动安全模式。
      使用管理员级别帐户登录Windows XP，在“运行”窗口中输入“regedit”，打开注册表编辑器，找到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot键值，将SafeBoot下的“Minimal”及“Network”项，改名为“Minimal1”及“Network1”或其它与原键值不同的名称，修改完成后，其他人在启动时按F8键进入任何一种安全模式，系统都会自动重启。在注册表编辑器中，选中HKEY_LOCAL _MACHINE，单击右键，选择菜单“权限”，打开“HKEY_ LOCAL_MACHINE的权限”窗口，选中“Users”，勾去“Users的权限”下的“读取”项。这样就可以防止普通用户修改注册表使安全模式。
       四、彻底禁用net命令：
       将net.exe改名限制所有用户使用此命令，此方法涉及到管理员其它一些应用受限，虽然方法简单，效果很好，有一定弊端。
      五、修改注册表，阉割系统添加用户功能：
       方法：运行 regedt32.exe 打开你的注册表，里面有一个目录树：
       打开其中目录 HKEY_LOCAL_MACHINE
       再打开其中目录 SAM
　　再打开其中目录 SAM
　　再打开其中目录 Domains
　　再打开其中目录 Account
　　再打开其中目录 Groups
　　好了，就是这个 Groups 就是负责建立用户的。（注意，在进行下一步操作之前，你先要对Groups进行备份，必要的时候，可以还原。）删掉它，系统就不能建立用户了。无论木马怎样折腾，都无法建立用户，更谈不上提升为管理员了。这个目录里的文件如果被删除，是没有办法还原的。
　   提示：
　　1.可能你进入注册表的时候，只能看到第一个 SAM 目录，其他的都看不到。别着急，那是因为你权限不够，右键点击相应目录选择“权限”，把你自己（通常是 Administrators ）设置为“允许完全控制”就可以了。以此类推，一直找到 Groups 目录为止。
　　2.修改后的注册表Groups项可作导出备份，必要时可以还原。