在Win2003系统中打开组策略编辑器，展开【计算机配置\Windows设置\安全设置\本地策略\用户权限分配】。

通过用户权限分配，可以为某些用户和组授予或拒绝一些特殊的权限，如关闭系统、更改系统时间、拒绝本地登录、允许在本地登录等。

常用的用户权限分配策略主要有以下几个：

（1）“从网络访问此计算机”

默认情况下任何用户都可以从网络访问计算机，可以根据实际需要撤销某用户或某组用户从网络访问计算机的权限。

（2）“拒绝从网络访问这台计算机”

某些用户只在本地使用，不允许其通过网络访问此计算机，就可以将该用户加入此策略中。

如果某用户同时出现在“从网络访问此计算机”和“拒绝从网络访问这台计算机”两个策略中，那么当然是以拒绝优先。

（3）“允许在本地登录”

此登录权限确定了可交互式登录到该计算机的用户，要在计算机所连接的键盘上按Ctrl+Alt+Del组合键登录，就需要用户拥有此登录权限。另外，一些能使用户进行登录的服务或管理应用程序可能也需要此登录权限。

（4）“拒绝本地登录”

设置拒绝哪些用户登录到该计算机。如果一个用户账户既出现在“允许在本地登录”列表中，又在“拒绝本地登录”列表中，那么将以拒绝优先。
什么情况下会用到拒绝本地登录呢？比如创建了一个账号test，这个账号的目的是用来访问网络共享，而不希望他能够登录到计算机，那么就可以将账号test加入到这项策略中。

（5）“关闭系统”

如果希望普通用户具有关闭计算机的权限，可以将其加入该项设置。

可以看到，users组并没有关机的权限，如果希望某个普通用户能够关机，只要将该用户添加到此项设置中即可。

（6）“从远程系统强制关机”
设置用户在通过远程桌面访问时，是否可以关闭服务器。默认只有管理员组有此权限。

（7）“更改系统时间”
无论是在本地还是远程登录，默认只有Administrators和Powre Users组的成员可以更改时间。
 

本文转自 yttitan 51CTO博客，原文链接:http://blog.51cto.com/yttitan/1574508