Win11 组策略设置 Guest 账户权限全攻略
一、准备工作:开启组策略编辑器
Win+R→输入gpedit.msc→回车(需管理员权限)
二、基础权限设置
1. 启用 Guest 账户
- 导航:计算机配置→Windows设置→安全设置→本地策略→安全选项
- 找到:"账户:来宾账户状态"
- 双击→选择 "已启用"→确定
2. 账户基本属性设置
- 导航:计算机配置→Windows设置→安全设置→账户策略→密码策略
- 设置 "密码必须符合复杂性要求" 为禁用(可选)
- 设置 "密码最短使用期限" 为 0 天(可选)
- 设置 "密码最长使用期限"为"不限制" 或适当天数(推荐)
- 设置 "强制密码历史" 为 0(可选)
三、登录权限控制
1. 禁止本地登录(仅允许网络访问)
- 导航:计算机配置→Windows设置→安全设置→本地策略→用户权限分配
- 找到:"拒绝本地登录"
- 双击→添加→输入 "Guest"→确定
2. 允许网络访问(启用共享)
- 导航:计算机配置→Windows设置→安全设置→本地策略→用户权限分配
- 找到:"拒绝从网络访问这台计算机"
- 双击→删除 "Guest" 账户(如有)→确定
3. 启用不安全的来宾登录(SMB 共享)
- 导航:计算机配置→管理模板→网络→Lanman工作站
- 找到:"启用不安全的来宾登录"
- 双击→选择 "已启用"→确定
四、文件系统访问限制(核心安全)
1. 禁止访问特定磁盘 / 分区
- 导航:用户配置→管理模板→Windows组件→文件资源管理器
- 找到:"防止从" 我的电脑 "访问驱动器"
- 双击→选择 "已启用"→在下拉框中选择要禁止的驱动器(如 D:)→确定
2. 限制文件访问权限
- 导航:计算机配置→Windows设置→安全设置→本地策略→用户权限分配
- 找到:**"取得文件或其他对象的所有权"** 和 "修改固件环境值"
- 双击→确保 "Guest" 账户不在列表中
五、系统功能限制(增强安全)
1. 禁止安装软件
- 导航:用户配置→管理模板→Windows组件→Windows Installer
- 找到:"禁止用户安装"
- 双击→选择 "已启用"→确定
2. 阻止访问控制面板和设置
- 导航:用户配置→管理模板→控制面板
- 找到:"禁止访问控制面板和 PC 设置"
- 双击→选择 "已启用"→确定
3. 禁用特定应用程序
- 导航:用户配置→管理模板→系统→不运行指定的Windows应用程序
- 双击→选择 "已启用"→点击"显示" 按钮→添加要禁止的程序(如notepad.exe)→确定
4. 禁止修改系统时间
- 导航:用户配置→管理模板→控制面板→日期和时间
- 找到:"禁止更改系统时间"
- 双击→选择 "已启用"→确定
六、网络与共享权限设置
1. 设置共享文件夹权限
- 在文件夹上右键→属性→安全→编辑→添加→输入 "Guest"→确定
- 在权限列表中,只勾选 "读取" 和 "列出文件夹内容"(不勾选 "写入")→确定
2. 配置网络共享模型
- 导航:计算机配置→Windows设置→安全设置→本地策略→安全选项
- 找到:"网络访问:本地账户的共享和安全模型"
- 双击→选择 "仅来宾 - 对本地用户进行身份验证,其身份为来宾"→确定
3. 启用打印机共享
- 在打印机上右键→属性→共享→勾选 "共享这台打印机"→确定
- 安全→添加 "Guest"→设置"打印" 权限(不勾选 "管理文档")→确定
七、高级安全设置(企业级)
1. 应用程序控制(AppLocker)
- 导航:计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker
- 创建可执行规则:
- 右键 "可执行规则"→选择"创建新规则"
- 选择 "拒绝"→下一步→选择"用户或组"→输入"Guest"→下一步
- 选择 "条件"(如路径、发布者)→设置要阻止的程序→完成 Microsoft Learn
2. 文件访问审计
- 导航:计算机配置→Windows设置→安全设置→高级审计策略配置→对象访问
- 启用 "审核文件系统"和"审核详细文件共享"
- 设置为 "成功和失败"→确定
3. 会话限制
- 导航:计算机配置→Windows设置→安全设置→账户策略→账户锁定策略
- 设置 "账户锁定阈值"(如 3 次无效登录)
- 设置 "账户锁定时间"(如 15 分钟)→确定
八、验证与应用
设置完成后,以 Guest 账户登录测试所有限制是否生效。
九、权限设置速查表
| 权限类型 | 组策略路径 | 设置项 | 推荐值 |
|---|---|---|---|
| 基本状态 | 安全选项 | 账户:来宾账户状态 | 已启用 |
| 登录限制 | 用户权限分配 | 拒绝本地登录 | 添加 Guest |
| 网络访问 | 用户权限分配 | 拒绝从网络访问 | 删除 Guest |
| 软件安装 | Windows Installer | 禁止用户安装 | 已启用 |
| 控制面板 | 控制面板 | 禁止访问控制面板 | 已启用 |
| 磁盘访问 | 文件资源管理器 | 防止访问驱动器 | 已启用 (选驱) |
| 程序限制 | 系统 | 不运行指定程序 | 已启用 (添加程序) |
| 共享设置 | 安全选项 | 网络访问模型 | 仅来宾 |
| 打印机共享 | 打印机属性 | 权限 | 仅打印 (非管理) |
十、安全最佳实践
- 最小权限原则:只赋予完成任务所需的最低权限
- 定期审查:
- 检查 Guest 账户状态(是否被意外启用)
- 审核日志,查看是否有异常访问
- 临时使用后禁用:
- 返回组策略→禁用 "账户:来宾账户状态"
- 或命令行:net user Guest /active:no
总结
通过组策略可以全面、精细地控制 Guest 账户权限,从基础的登录限制到高级的应用程序管控。建议先设置基本权限(启用账户、限制登录),再逐步添加文件访问、软件安装等限制,最后通过测试验证所有设置是否符合预期安全需求。
微信扫一扫打赏
支付宝扫一扫打赏