如何賦予本地users組能具有共享文件的權限

公司現在需要這樣的要求,就是普通用戶在本機上可以共享文件的權限,而其他的權限可以沒有.該如何辦呢?
 
我們首先要了解本地計算機中有那些組,以及這些組有那些權限.
 
我們看看微軟的默認組的權限:
 
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/f6e01e51-14ea-48f4-97fc-5288a9a4a9b1.mspx?mfr=true
 
默認本地組
“本地用戶和組”Microsoft 管理控制檯 (MMC) 中的“組”文件夾顯示了默認本地組以及您創建的本地組。默認本地組是在安裝獨立服務器或運行 Windows Server 2003 的成員服務器時自動創建的。屬於本地組，會賦予用戶在本地計算機上執行各項任務的權利和能力。有關基於域的組的詳細信息，請參閱默認組。
 
可以向本地組添加本地用戶帳戶、域用戶帳戶、計算機帳戶以及組帳戶。但不能向域組帳戶添加本地用戶帳戶和本地組帳戶。有關向本地組添加成員的詳細信息，請參閱爲本地組添加成員。
 
注意
 
• 要了解您應該加入哪個組才能執行特定的過程，“幫助和支持中心”的“如何操作”下的許多詳細主題均提供了有關此信息的說明。
 
 
 
下表列出了“組”文件夾中默認組的描述以及爲每個組指派的用戶權利。這些權利是在本地安全策略中指派的。有關該表中列出的用戶權利的完整說明，請參閱用戶權限分配。有關如何編輯這些權利的信息，請參閱爲本地計算機指派用戶權利。
 
 
組 描述 默認用戶權利
Administrators
 該組的成員具有對服務器的完全控制權限，並且可以根據需要向用戶指派用戶權利和訪問控制權限。管理員帳戶也是默認成員。當該服務器加入域中時，Domain Admins 組會自動添加到該組中。由於該組可以完全控制服務器，所以向該組添加用戶時請謹慎。詳細信息，請參閱默認本地組和默認組。
 從網絡訪問此計算機；調整某個進程的內存配額；允許本地登錄；允許通過終端服務登錄；備份文件和目錄；忽略遍歷檢查；更改系統時間；創建頁面文件；調試程序；從遠程系統強制關機；提高調度優先級；加載和卸載設備驅動程序；管理審覈和安全日誌；修改固件環境變量；執行卷維護任務；調整單一進程；調整系統性能；從擴展塢中取出計算機；恢復文件和目錄；關閉系統；取得文件或其他對象的所有權。
 
Backup Operators
 該組的成員可以備份和還原服務器上的文件，而不管保護這些文件的權限如何。這是因爲執行備份任務的權利要高於所有文件權限。他們不能更改安全設置。
 從網絡訪問此計算機；允許本地登錄；備份文件和目錄；忽略遍歷檢查；還原文件和目錄；關閉系統。
 
DHCP Administrators（與 DHCP 服務器服務一起安裝）
 該組的成員具有對“動態主機配置協議 (DHCP) 服務器”服務的管理訪問權限。該組提供了一種方式，僅授予對 DHCP 服務器的有限管理訪問權，而不提供對服務器的完全訪問權。該組的成員可以使用 DHCP 控制檯或 Netsh 命令在服務器上管理 DHCP，但不能在服務器執行其他管理任務。
 沒有默認的用戶權利。
 
DHCP Users（與 DHCP 服務器服務一起安裝）
 該組的成員具有對 DHCP 服務器服務的只讀訪問權。該權限允許成員查看存儲在特定 DHCP 服務器上的信息和屬性。當支持人員需要獲得 DHCP 狀態報告時，這種信息對他們很有用。
 沒有默認的用戶權利。
 
Guests
 該組的成員擁有一個在登錄時創建的臨時配置文件，在註銷時，該配置文件將被刪除。來賓帳戶（默認情況下已禁用）也是該組的默認成員。
 沒有默認的用戶權利。
 
HelpServicesGroup
 該組允許管理員將對所有支持應用程序的權利設置成公用的。默認情況下，該組的唯一成員是與 Microsoft 支持應用程序相關的帳戶，例如遠程協助。不要在該組中添加用戶。
 沒有默認的用戶權利。
 
Network Configuration Operators
 該組的成員可以更改 TCP/IP 設置並更新和發佈 TCP/IP 地址。該組中沒有默認的成員。
 沒有默認的用戶權利。
 
Performance Monitor Users
 該組的成員可以從本地服務器和遠程客戶端監視性能計數器，而不用成爲 Administrators 或 Performance Log Users 組的成員。
 沒有默認的用戶權利。
 
Performance Log Users
 該組的成員可以從本地服務器和遠程客戶端管理性能計數器、日誌和警報，而不用成爲 Administrators 組的成員。
 沒有默認的用戶權利。
 
Power Users
 該組的成員可以創建用戶帳戶，然後修改並刪除所創建的帳戶。他們可以創建本地組，然後在他們已創建的本地組中添加或刪除用戶。還可以在 Power Users 組、Users 組和 Guests 組中添加或刪除用戶。成員可以創建共享資源並管理所創建的共享資源。他們不能取得文件的所有權、備份或還原目錄、加載或卸載設備驅動程序，或者管理安全性以及審覈日誌。
 從網絡訪問此計算機；允許本地登錄；忽略遍歷檢查；更改系統時間；調整單一進程；從擴展塢中取出計算機；關閉系統。
 
Print Operators
 該組的成員可以管理打印機和打印隊列。
 沒有默認的用戶權利。
 
Remote Desktop Users
 該組的成員可以遠程登錄服務器。
 
詳細信息，請參閱使用戶可以遠程連接到服務器。
 允許通過終端服務登錄。
 
Replicator
 Replicator 組支持複製功能。Replicator 組的唯一成員應該是域用戶帳戶，用於登錄域控制器的 Replicator 服務。不能將實際用戶的用戶帳戶添加到該組中。
 沒有默認的用戶權利。
 
Terminal Server Users
 該組包含當前登錄到使用終端服務器的系統的所有用戶。用戶可以與 Windows NT 4.0 一起運行的任何程序都將爲 Terminal Server User 組的成員而運行。指派給該組的默認權限使其成員可以運行大多數較舊版本的程序。
 沒有默認的用戶權利。
 
Users
 該組的成員可以執行一些常見任務，例如運行應用程序、使用本地和網絡打印機以及鎖定服務器。用戶不能共享目錄或創建本地打印機。默認情況下，Domain Users、Authenticated Users 以及 Interactive 組是該組的成員。因此，在域中創建的任何用戶帳戶都將成爲該組的成員。
 從網絡訪問此計算機；允許本地登錄；忽略遍歷檢查。
 
WINS Users（與 WINS 服務一起安裝）
 該組的成員具有對 Windows Internet 名稱服務 (WINS) 的只讀訪問權。該權限允許成員查看存儲在某個指定的 WINS 服務器上的信息和屬性。當支持人員需要獲得 WINS 狀態報告時，這種信息對他們很有用。
 沒有默認的用戶權利。
 
 
 
 
看了上面的說明,我們可以看到:
 
那就是說最起碼具有POWER USERS組才能共享文件.
 
那POWER USERS還具有其他的權限,那我們該怎麼辦呢?
 
比Users組高一級的Power Users組成員擁有管理貢獻資源的權限，但是這個組還有其他權限，我們可以通過將用戶加入Power Users組並限制其他權限來達到目的。
 
Power Users組成員主要比Users組成員多以下權限：
1．創建並修改用戶賬戶
2．編輯Power Users組、Users組和Guests組成員
3．創建並管理共享
4．文檔中沒有提到，但是Power Users組成員有安裝程序的權限
 
如果我們將一個用戶帳號加入Power Users組並限制其1、2、4點的權限，那麼這一用戶帳號將獲得類似users組成員的權限同時能夠創建共享。
 
我們可以按以下步驟使用戶無法使用用戶權限編輯的權限：
1．在c:\windows\system32\nusrmgr.cpl文件上設置Power Users組的拒絕讀取和運行權限，這將使用戶無法使用控制面板內的用戶賬戶功能
2．在c:\windows\system32\lusrmgr.msc文件上設置Power Users組的拒絕讀取和運行權限，這將使用戶無法直接使用本地用戶和組的MMC控制檯，但是即使這樣用戶還是可以通過啓動mmc.exe命令然後安裝本地用戶和組插件來使用這一控制檯。最保險的方法是在c:\windows\system32\mmc.exe上設置拒絕權限，不過這樣涉及的範圍較大，需要考慮用戶實際的情況後才能確定安全與否。
以上步驟使用戶無法做到先前列表裏的第一、第二點。
 
通過以下步驟禁止用戶安裝程序（注意，這些步驟將導致所有用戶，包括管理員無法安裝程序）
1．啓動gpedit.msc
2．定位到計算機配置->管理模板->Windows組件->windows installer，啓用“禁用windows installer”, 啓用“禁止用戶安裝”即可。
這些步驟使用戶無法安裝程序。