受限制的組選項允許管理員管理敏感組之間的關(guān)系。例如，如果Administrators組只包括一個內(nèi)建的Administrator賬戶，Administrators組就可以被添加到受限制組中，而Administrator也可以添加到Administrators組成員欄目下。這樣的設(shè)置可以阻止其它用戶使用一 些工具軟件提升自己的特權(quán)到Administrators組。

　　不是所有的組都需要被添加進(jìn)受限制的組，建議只有那些比較敏感的組才通過配置安全模板加入進(jìn)去，其余沒有加入到受限制組的組將會保持他們自己的關(guān)系列表。

　　對于所有在該選項中列出的用戶組，任何顯示在這里的組和/或用戶都已經(jīng)不再是他們原來所加入的組成員了，并且任何沒有在配置列表中顯示的當(dāng)前組的用戶和/或組都將被刪除。

　　通過安全模板組件修改受限制組

　　因為受限制組選項中的設(shè)置需要根據(jù)實際環(huán)境進(jìn)行，所以做好的配置文件(inf文件)中只設(shè)定了一個受限制組。然而，實際應(yīng)用中可能需要限制域中其它敏感組的關(guān)系。

　　要查看SCM模板中限制組的設(shè)置，依次雙擊：

　　安全模板

　　默認(rèn)的配置文件目錄(%SystemRoot%\Security\Templates)

　　特定的配置文件

　　受限制的組

　　注意：在對一個配置文件進(jìn)行了任何修改之后，請記得保存修改，然后在正式使用之前一定要先測試好。

　　以下步驟演示了如何向列表中添加一個受限制的組：

　　右鍵點擊受限制的組

　　選擇添加組

　　點擊瀏覽按鈕

　　雙擊每個需要添加的組，點擊確定 - 確定

　　在右側(cè)列表中雙擊新添加的組

　　點擊添加

　　雙擊每個希望添加到該組的組和/或用戶

　　點擊確定 - 確定

　　對于工作站來說，安全模板中建議的設(shè)置是設(shè)置Power Users組沒有成員，這是一個很好的安全經(jīng)驗。然而，使用老程序的環(huán)境或者用戶自己寫的一些工具可能需要使用者對特定的文件、文件夾或者注冊表鍵具有一些類似Power Users的特權(quán)。按理說，對于文件、文件夾和注冊表鍵所需要的權(quán)限應(yīng)當(dāng)被視為統(tǒng)一，而不是靠把用戶添加到Power Users組代替。進(jìn)一步說，你不能為了讓你的程序能正常運行而要求用戶必須是Administrators組的組員。