禁用Power users 组建立用户权限

1．方案一：通过删除注册表键值使用户不能创建新用户

实现方法：

运行regedt32.exe 打开注册表，打开其中目录HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Groups

就是这个Groups 就是负责建立用户的。删掉它，系统就不能建立用户了，更谈不上提升为管理员了。所以，不过在这个操作之前，你必须要进行备份，必要的时候，可以还原。

　　备份方法：右键点击Groups 选择“导出”，给导出的文件起个名字，保存好，就可以了。

说明：

如果你进入注册表的时候，只能看到HKEY_LOCAL_MACHINE\SAM这一级目录，其他的都看不到。那是因为你权限不够，右键点击相应目录选择“权限”，把当前登录用户设置为“允许完全控制”就可以了。以此类推，一直找到Groups 目录为止。但是此方法彻底杜绝了组概念，在还原注册表之前将无法对用户组进行操作，因此不推荐。

2．通过组策略配合NET命令的NTFS权限实现

从建立账户的路径来考虑，用户创建账户的路径有一下三种：

1,通过命令行调用net 命令

2.通过计算机管理中的用户和组

3.通过控制面板用户账户创建

实现方法：

1.通过策略中的用户策略实现隐藏计算机管理中的用户和组与控制面板中的用户账户，如图：

图一策略禁用本地用户和组属性

图二用户登录系统计算机管理的菜单

2.通过策略中的用户策略实现隐藏控制面板中的用户账户

图三禁用控制面板中的用户帐户

图四用户登录系统后看到的界面

3.通过设置net.exe的NTFS权限，使power users组对系统盘C:\Windows\System32目录下的net.exe文件的权限为全部拒绝，如图：

图五net文件的权限设置

图六用户使用net命令的效果

结论：这样用户新建用户的三条路径都成功禁止了，并且策略与NTFS权限都是针对用户做的设置，如果计算机遇到故障，需要调用到相关程序，可以用本地管理员Administrator身份登录计算机，便不会受到策略以及NTFS权限的影响。