用户特定权限设置指南

首先，在服务器上安装WINDOWS2003操作系统，并且做好终端服务组件的安装设置等。这些在客户支持光盘里面有详细的介绍，此处不再赘述。安装配置好基本的Windows2003终端服务器之后，我们就可以按照安全的需求来对用户的数据和权限进行一定的配置操作了。

       为了以后的管理方便，也为了下面对用户的权限设置更加方便易行，我们先把所有用户的数据文件移到系统盘以外的驱动器盘中。比如我这里把用户的数据全部移动到D盘中。一、移动用户数据到非系统盘在做这项工作之前，{zh0}仅仅是超级用户有登陆过，其他的用户未登陆过，具体的做法是：用超级用户登陆，运行regedit注册表编辑器，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList下的一个项ProfilesDirectory，原来的值为 %SystemDrive%\Documents and Settings，将%SystemDrive%改成D：，现在，便将以后登陆的用户的“我的文档”、“配置文件”等都移动到了D盘了，此时用一个新建的用户试登陆一次，便会自动在D盘建立一个对应注册表中的主文件夹了。当然新建用户目前还是无法登陆的，还需要将原c:\ Documents and Settings\的All Users、Default User拷贝到D盘的Documents and Settings目录下，Default User目录是隐含属性的，需要在文件夹选项中，显示隐含文件的选项选上，按照原C盘的Documents and Settings目录设置的权限，对D盘的Documents and Settings目录设置权限。记住，如果需要移动Documents and Settings，尽量在除超级用户外，其他用户都没有登陆的情况下来更改，更改后，C：\Documents and Settings也不能删除，因为超级用户的设置还在里面，新建一个用户，加入到超级用户组中，用该帐号登陆到系统中，将C：\Documents and Settings\Administrator目录删除掉，再用超级用户登陆一次，你便可以发现，超级用户的设置也移动到了D盘了，重新启动机器一次，删除C:\ Documents and Settings目录。（如果系统提示不能删除，可以不用删除，但里面的数据其实已经全部在前面的操作中移到了D盘，并不影响操作）到此，便将用户的数据目录放置在其他的驱动器中，便于管理。二、对用户进行某些权限设置 1、每个用户只能看到自已的文件，只能使用分配的权限。实现这项功能只要把用户的私人目录映射成为一个独立的盘符，然后把其他的驱动器全部隐藏，同时防止用户访问隐藏的驱动器。这样普通用户进去后打开我的电脑，只能看到由自己的私人目录映射出来的盘符，也就是只能看到自己的文件了。具体操作如下：{dy}步、把私人目录映射成为单独的盘符。设置每个用户的私人目录为一个固定的驱动器盘符，比如G:，可以在%SystemDrive%\Documents and Settings\All Users\「开始」菜单\程序\启动\下添加一个bat脚本文件，（此处的%SystemDrive%是具体放用户数据文件夹的盘符，默认是在C盘，如果已经移动了，则以移动的位置为准，如我们上面移动用户数据是放在D盘，则这里也就是D:\Documents and Settings\All Users\「开始」菜单\程序\启动\）下图是默认的C盘里建立。 该文件的内容为subst G: “% USERPROFILE%”（可以用记事本编辑好内容后以bat为后缀名保存的方法来创建该脚本文件）如图 这个时候只要用户进入系统就会自动执行该命令，也就把每个人的私人目录映射成了一个相同的G驱动器了，而该G驱动器指向了每个用户自己的私人目录。注：要求映射出来的盘符是排在{zh1}的，这样为后面隐藏其他盘符提供方便。如果映射的时候脚本文件出现DOS死循环的话，则把BAT文件里面的命令由SUBST改为SUBST.EXE，其它的不变。即：subst.exe G: “% USERPROFILE%” 第二步、隐藏“我的电脑”中指定的驱动器此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。超级用户打开开始菜单中的运行，在里面输入gpedit.msc后确定进入到组策略编辑器打开“本地计算机策略→用户配置→管理模板→Windows 组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器” 启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。但不能限制所有的驱动器，否则将把映射出来的驱动器也隐藏。 确定应用之后退出，这时候我的电脑中的就不会出现你选中要隐藏的盘符了。但在你选择要隐藏的盘符时会发现只有Ａ、Ｂ、Ｃ、Ｄ四个盘符可以任意搭配来隐藏，要不就隐藏所有的驱动器，而对于Ｄ以后的盘符并没有在列表中出现。如果要隐藏Ｄ盘以后的驱动器该怎么办呢？那只有修改注册表来实现了。管理员运行“regedit”进入注册表编辑器，依次进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，在右边窗体中新建“NoDrives”数据类型选择“REG_DWORD”，单击“确定”按钮。在接下来弹出的DWORD值编辑器对话框的“基数”分组框中选择“十进制”单选钮，在“数据”编辑框中输入你要隐藏的驱动器号并确定，重新启动系统后相应的驱动器即被隐藏。注意：在这里使用2的N次方（N=1，2，3，……）来代表一个驱动器号，如：A为 1, B为 2, C为 4, D为 8, [...]