这个例子是关于受限制的组的,为了加强用户管理,确保用户不会获得不适当的权限我们通常使用受限制的组来进行用户管理,使某些组中只能有某些用户,在组策略中表现的比较直观,可以直接看到用户名,在文件中通常是这样: [Group Membership](这一段也非常重要,后面那些数字实际上代表的是安全主体如用户,组等,这些数字是他们的ID,这一段也非常重要,后面也会有一个例子.)
*S-1-5-32-544__Memberof =
*S-1-5-32-544__Members = *S-1-5-21-942181674-3895121813-666707924-1106,*S-1-5-21-942181674-3895121813-666707924-1109,*S-1-5-21-942181674-3895121813-666707924-1113,*S-1-5-21-942181674-3895121813-666707924-1114,*S-1-5-21-942181674-3895121813-666707924-1609,*S-1-5-21-942181674-3895121813-666707924-500
*S-1-5-21-942181674-3895121813-666707924-512__Memberof =
*S-1-5-21-942181674-3895121813-666707924-512__Members = *S-1-5-21-942181674-3895121813-666707924-500
*S-1-5-21-942181674-3895121813-666707924-520__Memberof =
*S-1-5-21-942181674-3895121813-666707924-520__Members = *S-1-5-21-942181674-3895121813-666707924-500
*S-1-5-21-942181674-3895121813-666707924-1605__Memberof =
*S-1-5-21-942181674-3895121813-666707924-1605__Members = *S-1-5-21-942181674-3895121813-666707924-500
*S-1-5-21-942181674-3895121813-666707924-1104__Memberof =
*S-1-5-21-942181674-3895121813-666707924-1104__Members = *S-1-5-21-942181674-3895121813-666707924-500
*S-1-5-21-942181674-3895121813-666707924-518__Memberof =
*S-1-5-21-942181674-3895121813-666707924-518__Members = *S-1-5-21-942181674-3895121813-666707924-500 类似于*S-1-5-21-942181674-3895121813-666707924-518__Memberof 表示两方面的意思,前半部分:*S-1-5-21-942181674-3895121813-666707924-518表示这是一个组,余下的半部分表示后面的值表示的是这个组所属于的组,这些值是用ID显示而不是组名. 类似于*S-1-5-21-942181674-3895121813-666707924-518__Members也表示两方面的意思,前半部分*S-1-5-21-942181674-3895121813-666707924-518表示这是一个组,后半部分表示这个组中的成员为后面的值,后面的值都是用ID显示,表示一个用户.上面的例句中就表示在这个组中只能有*S-1-5-21-942181674-3895121813-666707924-500这个用户,这实际上是administrator,其它的用户是不能加入到这个组中的. 假设我们不希望这个组有限制,那么将关于这个组的条目删除即可,假如我们要在某个组内进行加或删用户,那只要将那个用户的ID添加到该条目的值内或者从该条目中删除即可,多个值之间用","隔开. 再就是如何取得用户或组的ID,可以使用一个简单的办法,那就是将用户添加到这个组中,然后打开文件看一下,就看到用户的ID乐,组ID用同样的办法也可以得到.:)
(出处:http://www.sheup.com)