2024年4月28日发(作者：阿里巴巴批发网)

Windows 2008 R2 64位启用远程桌面详细设置

一、

安装Windows 2008 终端服务

先说明一下：安装终端服务最好在域中的计算机上进行，一是可以方便的添加用于访问该服务的

用户；二是可以方便的发布RemoteApp程序；三是可以减少用户的认证次数。但不要在域控制器

上安装终端服务，这会造成很大的安全隐患，终端服务会打开服务器的3389端口，这个黑客最

喜欢的端口会给你的域控制器带来很大的麻烦。微软的测试环境搭设：一台windows 2008域控

制器，一台windows 2008终端服务器，一台windows 7客户端。

关于windows 2008的终端服务的解释，就不说了，微软的Technet上说的很详细。

/zh-cn/library/dd640164(WS.10).aspx。Windows 2008微软的

终端服务比windows 2003强了很多。Windows 2008终端服务的角色服务有：Windows 2008 R2 64

位的终端服务现在已改为远程桌面服务，其实功能还是差不多，只是换了个名称而已。

➢ 远程桌面会话主机（必选，用户使用该功能访问服务器资源）

➢ 远程桌面虚拟化主机 （RemoteApp功能）

➢ 远程桌面授权 （终端服务访问许可证，不申请最多可以使用120天）

➢ 远程桌面连接代理 （负载平衡）

➢ 远程桌面网关 （可以通过Internet访问RemoteApp程序）

➢ 远程桌面Web访问 （用户使用IE浏览器通过内网或外网访问RemoteApp程序）

主要的改变在两点，多了RemoteApp和远程桌面Web访问。其实还有远程桌面网关，不过远程桌

面网关也是为远程桌面Web访问服务的。远程桌面网关支持从Internet访问，我没有申请的域

名，因此就不测试了。

使用域管理员帐号登录，开始安装

1、安装windows 2008终端服务

服务管理器—添加角色，下一步。选择“远程桌面服务”，下一步。

出现“远程桌面简介”，不用管它，继续下一步。选择“远程桌面服务”，下一步。

选择：远程桌面会话主机、远程桌面虚拟化主机、远程桌面授权、远程桌面Web访问，下一

步。

这个界面提示：如果你要规划一台服务器做远程桌面主机（即终端服务器），安装完系统后，

什么程序也不要安装，首先安装“远程桌面服务”，然后再安装应用程序。否则，在安装“远

程桌面服务”以前安装的程序有可能不能使用，解决办法就是卸载重新安装。

身份验证方法，选择“不需要使用网络级别身份验证”。下一步。

注意：如果选择了“需要使用网络级别身份验证”，则XP和Windows 2003不能使用RemoteApp

程序，为了兼容性，还是选择“不需要使用网络级别身份验证”。如果选择了第一项，安装

完成后，也可以通过 远程桌面会话主机配置—RDP_Tcp，右键，属性。常规，取消“仅允

许运行使用网络级别身份验证的远程桌面的计算机连接”。

若要使用网络级别身份验证，必须满足以下要求：

•

•

在客户端计算机上，必须至少使用 Remote Desktop Connection 6.0。

在客户端计算机上，必须使用支持凭据安全支持提供程序 (CredSSP) 协议的操作系统（例如

Windows(R) 7 或 Windows Vista(R)）。

RD 会话主机 必须使用 Windows Server 2008 R2 或 Windows Server 2008。

而XP和Windows 2003不满足上述要求。如果客户端有XP和Windows2003，而选择使用网络

级别身份验证，就不能运行“RemoteApp程序”。

•

指定授权模式：选择“以后配置”，这个选择允许免费使用120天。关于激活终端服务后面

再讲。下一步。

选择允许访问此RD会话主机服务器的用户组，其实就是把要访问的用户组加入到本地的

Remote Desktop Users组中。现在添加也行，以后添加也可以。我的这台计算机已加入域，

我点“添加”，选择域中的组“Domain users”。点“确定”。

输入域管理员帐号和密码，把这个组加入进来。

下一步。

配置客户体验：只选择“桌面元素”，至于使用服务器的声音没有什么用处，下一步。

为RD极权配置搜索范围：这里什么都不要选，以后再配置，点一下。

Web服务器（IIS）：下一步。

选择角色服务：默认选择就可以，一下步。

确认安装选择：我这里有1条警告消息，提示“可能需要重新安装现在应用程序”。如果你

在安装“远程桌面服务”之前没有安装应用程序，就不会有这个警告，我为了制作这个安装

说明文件，装了Office和isee等一些常用软件。点“安装”。安装完成后，重新启动，以

域管理员帐号登录。

继续执行配置：等待完成。

再现几条警告，不要紧，记下警告信息，以后处理。点“关闭”。

在警告信息上点右键，复制，把警告信息复制下来，下面是复制的警告信息：

远程桌面服务: 安装成功，但有警告

警告: 此许可证服务器未注册为 Active Directory 域服务(AD DS)中的服务连接点

(SCP)。它将不显示在“远程桌面会话主机配置”工具的已知许可证服务器列表中。若要将该

许可证服务器注册为 AD DS 中的 SCP，请使用“远程桌面授权管理器”工具中的“复查配置”。

警告: RD Web 访问需要附加配置。在 RD Web 访问网站的“配置”页面上，您需要

指定将提供向用户显示的 RemoteApp 程序和桌面的源。有关详细信息，请参阅

href="ts_::/html/">配

置 RD Web 访问服务器。

已安装以下角色服务:

远程桌面会话主机

远程桌面虚拟化主机

远程桌面授权

远程桌面 Web 访问

警告: 请确保将 RD 会话主机服务器正确配置为使用此授权服务器。有关详细信息，

请参阅

在 RD 会话主机服务器上配置许可证设置。

信息:

使用桌面体验，启用此 RD 会话主机服务器上的 Windows 7 功能。

警告: 使用“远程桌面会话主机配置”工具指定此 RD 会话主机服务器使用的远程桌面授

权服务器。有关详细信息，请参阅

href="::/html/">为 RD 会话主机服

务器配置许可证设置。

2、配置远程桌面授权

微软的终端服务客户端访问许可证 (TS CAL)有下面两种：

TS 每设备 CAL

TS 每用户 CAL

如果使用每设备授权模式，并且客户端计算机或设备初次连接到终端服务器，默认情况

下，向该客户端计算机或设备颁发一个临时证书。在客户端计算机或设备第二次连接到终端

服务器时，如果许可证服务器已激活，并且有足够的 TS 每设备 CAL 可用，许可证服务器将

向该客户端计算机或设备颁发一个永久 TS 每设备 CAL。

TS 每用户 CAL 为一个用户授予通过无限数目的客户端计算机或设备访问终端服务器的

权限。TS 授权不强制使用 TS 每用户 CAL。因此，无论许可证服务器上安装了多少个 TS 每

用户 CAL，均可以建立客户端连接。但这并未使管理员免于考虑 Microsoft 软件许可条款对

每个用户都需要有效的 TS 每用户 CAL 的要求。如果使用每用户授权模式，并且不是每个用

户都有 TS 每用户 CAL，则违反了许可条款。

我们将使用TS 每用户 CAL来配置。

（1） 首先，检查Remote Desktop Users组和TS Web Acess Computers的成员，如果没有

“Domain Users”,则添加。把Domain Admins组添加到TS Web Administrators组中。

注意：TS Web Acess Computers的成员就是组，而微软的帮助文件和官方网站的说明

中都是加入计算机，显然是错误的。

（2）开始—运行，输入control system，选择“远程控制”。

选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接（更安全）”。“应用”。

（3）开始—管理工具—远程桌面服务—远程桌面会话主机配置

在“远程桌面授权模式”上右键，属性。

属性：选择“每用户”，点“应用”，“确定”。

（4）激活服务器（这一步很关键，否则，远程桌面服务只能使用120天）

在MYPC上点右键，选择“激活服务器”。

下一步

连接方法：“自动连接”，下一步

公司信息：随便填写吧

下一步

下一步

许可证计划：选择“企业协议”，下一步

输入协议号码：4954438，下一步

产品版本和许可证类型：产品版本，选择“Windows Server 2008或 Windows Server 2008 R2”；

许可证类型，选择“每用户 CAL (TS 或 RDS)”；数量，输入“300”。下一步

（5）数字签名设置

开始—管理工具—远程桌面服务—RemoteApp 管理器—数字签名设置，更改。

勾选“使用数字证书签名”，再点“更改”

点“确定”，再点下面的“确定”。

（6）远程桌面Web访问配置

开始—管理工具—远程桌面服务—远程桌面Web访问配置

我这里选择“这是一台专用计算机”，输入域帐号和密码，点“登录”。

把源名称更改为远程桌面服务器的名称，我的是“”。点确定。

（7）配置网络身份验证，让XP和Windows 2003使用RemoteApp程序

在安装远程桌面服务器时，我选择了“需要网络级别身份验证”。这个选项规定了只能在Vista

以后的系统才能使用RemoteApp程序，而XP和Windows 2003就不能使用RemoteApp程序，

因此我们把这个选项去掉，让XP和Windows2003也能使用RemoteApp程序。

开始—管理工具—远程桌面服务—远程桌面主机会话配置

取消选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”。

（8）配置RDP-Tcp会话

切换到“会话”选项卡，勾选“改写用户设置”和“改写用户设置”。结束已断开的会话：1

分钟；活动会话限制：从不；空闲会话限制：30分钟。

这个设置主要是为了有些基于C/S架构的软件，有客户端连接限制。比如ERP，公司购买了

50站点，这样就需要控制一下会话了。

至此，远程桌面服务器基本安装完毕。下面的任务是配置

RemoteApp程序

。

3、 配置RemoteApp程序

（1）安装程序

在安装了远程桌面服务的计算机安装软件，与普通的计算机是不同的。在远程桌面服务器上

安装程序有两种方法：

方法一、开始—控制面板—程序，选择“在远程桌面服务器上安装应用程序”。

点这个按钮后，出现下面的界面

下一步，选择一个程序安装，我这里选择一个WinRAR进行测试。

下一步

安装完成。

安装完成后，一定要点这个“完成”按钮，这一点非常重要。

方法二：程序安装前运行命令：change user /install

程序安装完成后运行命令：change user /execute

例如：安装office 2007

在“命令提示符”上，右键，“以管理员方式运行”（如果已关闭了UAC，用户帐号控制并把

当前用户加入到本地管理员组中的，可以直接运行“命令提示符”）。输入命令：

change user /install

安装Office2007，安装过程略。

安装完成后，运行命令：change user /execute

这两种方法的比较：

方法一比较直观，适合安装比较小型的软件，不需要重新启动计算机就可安装完成的软件。

方法二适合安装大型软件，需要重新启动才能完成安装的软件。

（2） 添加RemoteApp程序

开始—管理工具—远程桌面服务—RemoteApp 管理器，添加RemoteApp程序。下一步。

选择“Excel”和“Word”，下一步。

点“完成”。

（3） 制作RemoteApp 程序

添加的RemoteApp程序已经默认可以通过RD Web访问。

制作RemoteApp程序有两种方法:

方法一：在RemoteApp程序上右键，选择“创建.rdp文件”。

方法二：在RemoteApp程序上右键，选择“创建Windows Installer安装包”。

通过以上两种方法创建的文件，默认存放在C:Program FilesPackaged Programs目录

中。

下面重点介绍一下，第二种制作RemoteApp的方法。

在Excel RemoteApp程序上右键，选择“创建Windows Installer安装包”。下一步，

下一步。

在这界面一定要注意。在“桌面”上打勾，创建的程序包安装后，会在桌面上生成程序图标。

在选择 “将此程序的客户端扩展与RemoteApp程序相关联”这个选项时一定要慎重，勾选后，

生成的安装包在客户计算机安装后，会改变客户计算机的文件关联，默认使用RemoteApp程

序来打开文件。如果客户计算机安装了这个RemoteApp程序，且无法连接远程桌面服务器，

本地的相关文件将无法打开。所以，这个选项最好别选为好。

（4） 发布RemoteApp程序

方法1：共享C:Program FilesPackaged Programs目录，让用户从这个文件夹中拷贝

RemoteApp程序，运行即可。

方法2：使用U盘等移动设备拷贝给用户即可。

方法3：打开IE浏览器，输入远程桌面服务器 计算机名或IP/RDWeb

方法4：使用组策略来发布.msi安装包。这个方法可以批量部署程序。

RemoteeApp的配置基本结束，以后再介绍如何来运行RemoteApp程序。

4、 运行RemoteApp程序

客户端计算机能正确运行RemoteApp程序，必须具备以下两个条件：

（1） Remote Desktop Connection必须在6.0以上，如果需要访问 RD Web服务器上的程序，

则Remote Desktop Connection必须在6.1以上。而Windows 2003的Remote Desktop

Connection最高版本只有6.0。Windows XP和Vista的Remote Desktop Connection

的最高版本为7.0。

Remote Desktop Connection可以从微软下载中心找到。

XP KB969084 7.0

Vista KB969084 7.0

Vista 64 KB969084 7.0

Remote Desktop Connection 7.0 下载网址：

/downloads/?pocId=&freetext=KB969084&D

isplayLang=zh-cn

Win2003 KB925876 6.0

Remote Desktop Connection 6.0 for win2003 下载网址：

/downloads/?FamilyID=cc148041-577f-420

1-b62c-d71adc98adb1&DisplayLang=zh-cn

（2） .NET FrameWork 必须在3.0 SP1以上。目前.NET FrameWork的最高版本为3.5 SP1。

其实这个并不是必须的，我写在这里，主要是因为这个软件包非常重要，如果使用

RemtoeApp的打印功能，就必须安装这个软件包，如果不安装此软件包，就会导致

RemoteApp异常终止。

.NET FrameWork 3.5 SP1下载网址：

/downloads/?FamilyID=d0e5dea7-ac26-4ad

7-b68c-fe5076bba986&DisplayLang=zh-cn

如果以前已经安装了.NET Framework的其它版本，先卸载再安装新版本。

 在XP上运行RemoteApp程序

这台XP计算机我已加入域RYBB。

先安装Remote Desktop Connection 7.0和.NET FrameWork 3.5 SP1

1、通过RD Web访问，这个访问是通过安全端口445进行访问的，相对比较安全。

打开IE浏览器，输入10.10.3.253/RDWeb/

选择“是”

输入域帐号和密码，选择“这是一台专用计算机”，点“登录”

鼠标单击“Microsoft Office Excel 2007”

点“连接”

再次输入域帐号和密码，点“确定”

点“查看证书”

点“安装证书”

点“下一步”

选择“将所有的证书放入下无存储区”，点“浏览”

选择“受信任的根证书颁发机构”，点确定

点“下一步”

点“完成”

点“是”

点“是”，再点“确定”，再点“是”，启动RemoteApp Excel 2007。

看起来很麻烦，导入证书做一次就可以了，下次再登录就方便多了。这里一共导入了

两个MYPC的证书，自己可以看一下。

Internet选项—内容—证书—受信任的根证书颁发机构，可以找到MYPC的两个证书。

2、使用远程桌面配置文件rdp来运行RemoteApp程序

使用远程桌面配置文件rdp来运行RemoteApp程序，因为使用了3389端口，因此安

全隐患大大增加，不过只在局域网中使用，安全性基本上可以保证。

第一次，执行，需要输入帐号和密码，以后双击这个文件就可以直接运行，

不需要再输入帐号和密码了，使用很方便。因为操作比较简单，就不啰嗦了。

3、使用MSI安装包来运行RemoteApp程序

使用MSI安装包来运行RemoteApp程序，也使用了3389端口。

双击文件安装，以后就可以用“开始—所有程序—远程程序—Microsoft

Office Excel 2007”来运行。这种方法会在添加/删除程序中出现Excel 2007的项，

如果以后不用了，可以在“控制面板—添加/删除程序”中卸载。这种方法的优点最

突出，使用域帐号登录的用户直接就可以使用，不需要再次输入凭证。

MSI安装包还有一个特点，如果在制作安装包时，选择了“将此程序的客户端扩展与

RemoteApp相关联”，则客户端的相应的文件会和RemoteApp程序关联。这个特点说

不上是优点，但应该也算是一个比较有用的特点，就看怎么来使用了。

 三种运行RemoteApp程序的对比

安全性 易用性 组策略发布 文件关联 使用范围

RD Web 高 比较繁杂 否 否 广域网、局域网

Rdp文件 低 比较简便 否 否 局域网

Msi安装包 低 最简单 能 能 局域网

5、 RemoteApp程序的输入法设置

RemoteApp程序的输入法只能使用服务器上已安装的输入法，而不能使用本地的输入法。

在语言栏上右键，设置，可以添加自己所需的输入法。

6、 RemoteApp程序的文件保存

（1） 首先来看一下通用的RDP设置，开始—管理工具—远程桌面服务—RemoteApp 管理器，

RDP设置，点“更改”。

如果不勾选设备和资源中的选项，将不能被RemoteApp程序使用。例如：如果不勾选“磁

盘驱动器”，RemoteApp程序Excel保存时，只能保存在服务器中，而不能保存在本地磁盘。

除非特殊的原因，我们不想让用户把文件都保存到服务器，这样用不了多久，我们就会为服

务器的磁盘空间不足而苦恼了。

（2） 如果你用RD Web方式运行RemoteApp，你会发现，“驱动器”、“端口”、“其它支

持的PnP设备”，不会勾选。每次都必须手动来选择。

这可以看出，微软总是假设我们使用互联网方式来使用RD Web的RemoteApp。互联网的

速度有时太慢，映射本地的驱动器和端口可能会因网络延时太大而失败。

连接时，要注意选择“驱动器”，以保证保存时能保存到本地磁盘。

在RemoteApp程序Excel中点保存，默认会保存在“我的文档”中，当然这个我的文档

是在服务器，这不是我们希望的。我们希望文档保存在本地计算机的磁盘中。

在左边点“计算机”，右边选择本地磁盘“MYPC1上的C”，选择一个文件夹保存。

远程桌面服务器的安全性：我们发现，在保存时，可以在远程桌面服务器的D盘、E盘的根目录

中存放文件，在C盘的根目录及Windows系统自建的文件夹不能写入文件。因此，我们应该修改磁

盘和目录的NTFS权限，以避免用户写入文件和文件夹。

如上面图所示，修改远程桌面服务器的磁盘和文件夹上的NTFS权限。

策略设置如下：

C盘以外的盘符 删除除administrators组和system组的所有权限。

C盘 只设置Users组读取和执行权限。

具体设置方法：

（1） C盘NTFS权限设置

C盘，右键，属性。“安全”选项卡。

点“高级”

点“更改权限”

 删除Usersr的“创建文件夹、附加数据”和“特殊”这两个权限。读取和执行的权限不

修改也基本能保证用户不会把文件存入到远程桌面服务器自己帐号以外的文件夹中。

用

户自己创建的文件能够删除

。

 如果想让用户对所有的文件夹、子文件夹和文件只有读取的权限，就修改Users的读取

和执行权限，只留下读取权限即可。

用户自己创建的文件不能删除

。不过，这样设置以

后，我担心有的软件可能无法正常运行，没有经过详细的测试，发现有RemoteApp程序

运行异常时，再修改权限也可以。

（2） 在其它盘上设置NTFS权限

在其它盘上设置NTFS权限就很简单，删除除了administrators组和system组以外所

有组的权限。

安装程序最好安装在C:Program files文件夹中。因为系统默认会对这个文件夹进行写

保护。

经过以上设置，我们再来看文件保存。

在C盘根目录及其它目录都不能保存。

无法访问D:。

试验表明，经过NTFS权限设置，完全能对Users组进行控制，不过对Administrators组不

能控制，当然必须要保证管理员用户能访问所有磁盘及文件夹，否则，就会出大问题了。

7、 RemoteApp程序的打印

在 Windows Server® 2008 中，已经通过添加“终端服务轻松打印”打印机驱动程序和一

个只能重定向默认客户端打印机的组策略设置改善终端服务打印。

终端服务轻松打印驱动程序是 Windows Server 2008 中的一项功能，用户可以使用它从终

端服务 RemoteApp(TM) 程序或从终端服务器桌面会话可靠地打印到客户端计算机上的正确

打印机。还能够使用户在本地和远程会话之间获得更一致的打印体验。

“终端服务轻松打印”驱动程序提供以下功能：

•

•

•

提高了针对 RemoteApp 和远程桌面会话的终端服务打印的可靠性。

支持旧版和新版的打印机驱动程序，而无需在终端服务器上安装这些驱动程序。

在打印机枚举性能方面，对特定于 Windows Server 2003 的可伸缩性的改进。在 Winlogon 进

程期间，后台处理程序只枚举用户可在特定会话中使用的打印机，而不枚举所有重定向的打印

机。因此，在每个会话的基础上枚举打印机，而不是在每个用户的基础上枚举打印机。

•

改善了可用的打印机功能。“终端服务轻松打印”驱动程序在远程会话中提供丰富和完整的打

印机功能。当用户查看打印首选项时，可以使用物理打印机驱动程序的所有功能。

（1） 远程桌面服务器设置

必须安装.NET FrameWork 3.0 SP1以上的版本，在Windows 2008中已集成该组件。

服务器管理器—功能—添加功能，勾选“.NET FrameWork 3.5 功能”，安装即可。

（2） 远程桌面服务器组策略设置“终端服务打印”

开始—运行，输入“”，打开本地组策略

计算机配置管理模板Windows 组件远程桌面服务远程桌面会话主机打印机重定向

不允许客户端打印机重定向

 启用 不允许客户端可以使用本地的打印机

 禁用 允许客户端可以使用本地的打印机

我们这里选择“禁用”

首先使用远程桌面轻松打印打印机驱动程序

 启用 RD 会话主机服务器首先尝试使用远程桌面轻松打印打印机驱动程序安

装所有客户端打印机。如果出于任何原因，远程桌面轻松打印打印机驱动程序无法

使用，则使用 RD 会话主机服务器上与所用客户端打印机相匹配的打印机驱动程序。

如果 RD 会话主机服务器上没有与客户端打印机匹配的打印机驱动程序，则客户端

打印机不可用于远程桌面会话。

 禁用 RD 会话主机服务器将尝试查找合适的打印机驱动程序来安装客户端打

印机。如果 RD 会话主机服务器没有与客户端打印机匹配的打印机驱动程序，则服

务器将尝试使用远程桌面轻松打印驱动程序安装客户端打印机。如果出于任何原因，

远程桌面轻松打印打印机驱动程序无法使用，则客户端打印机不可用于远程桌面服

务会话。

我们这里选择“启用”

（3） RemoteApp程序的打印

必须保证在客户端中安装了.NET FrameWork 3.0 SP1。现在最新的版本是.NET

FrameWork 3.5 SP1。否则，打印时会出现RemoteApp程序无响应。

打印时，远程桌面服务器上安装的打印机会全部出现，而本地计算机安装的打印机则

加上（已重定向 X）。

 使用Canon LBP3500（已重定向 2）测试打印，没有问题。

 Microsoft XPS Document Write （已重定向 2）测试打印，没有问题。

 Adobe PDF测试打印，没有问题。

 Microsoft XPS Document Write测试打印，没有问题。

打印的问题比较简单，只要注意别忘了装.NET FrameWork 3.5 SP1就没有问题。下一

篇文章主要讲一个远程桌面服务器的安全设置。

8、 远程桌面服务器安全设置

（1） 开始—运行，输入，打开远程桌面主机会话配置。右键RDP-Tcp，属性。

“常规”选项卡，安全性，安全层更改为“SSL (TLS 1.0)”,加密级别设为“高”。

（2） 开始—运行，输入“”，打开本地组策略编辑器。

计算机配置管理模板Windows 组件远程桌面服务远程桌面会话主机远程会话环境

从“关机”对话框删除“断开连接”选项

 启用 在“关机”对话框中删除“关机”和重新启动。以防止不熟悉的管理员

意外把远程桌面服务器关机或重启。

 禁用 “关机”对话框无改变

这个功能非常有用，特别是公司的域管理员比较多时，你负责远程桌面服务器的管

理，你不想别的管理员因为不小心把这台服务器关闭时，可以启用此选项。不过这

并不影响你使用命令来关机和重启。

重启服务器命令：shutdown –r -f –t 0 (强制计算机立即重启)

关闭服务器命令：shutdown –s -f –t 0 (强制计算机立即关机)

（3） 更改控制面板类文件的权限

 取得c:windowssystem32*.msc文件的所有权为administrats组。在目录

c:windowssystem32*.msc默认的文件所有者为TrustedInstaller。

takeown /F c:windowssystem32*.msc /A (MSE类)

注意：运行这个命令必须以本地计算机的administrator帐号运行才能成功。如

果以域管理员运行，即使加入了本地管理员组，执行命令显示成功，也不能取得

文件所有者。

 删除c:windowssystem32*.msc文件的的所有权限。

我使用脚本来删除Users组对c:windowssystem32*.msc文件的所

有权限，使用方法及下载，请看我的博客文章：

/longx5/blog/item/

批处理命令：

for /R c:windowssystem32 %i in (*.msc) do cscript d: %i /E /R

"BUILTINusers"

出现下面的错误提示:

Starting (Version: 5.2) Script at 2009/12/31 13:57:19

************************************************

* Script not tested on this version of Windows *

************************************************

This script hasn't been tested on version "6.1" of Windows.

Currently, the script has been tested on the following:

Win2000, WinXP, Win2003

Previous versions of Windows NT can use:

"" from the NT 4.0 Resource Kit.

For more recent versions, there may be an update to this script.

Please contact David Burrell (dburrell@)

Note: WMI must be installed for this script to function.

If you need to run this script on the current OS,

and you verified WMI is installed, do the following:

open this script in Notepad

search for Function IsOSSupported()

change this line:

Case "5.0", "5.1", "5.2"

to:

Case "5.0", "5.1", "5.2", "6.1"

Save the script.

Exiting script now.

Operation Complete

Elapsed Time: .078125 seconds.

Ending Script at 2009/12/31 13:57:19

看上面的提示：我们知道在编写时只有Win2000, WinXP, Win2003，因此对于Win2008

不认识，提示中指明了修改的方法：

编辑文件，查找Function IsOSSupported()，把这一行Case "5.0", "5.1", "5.2"

更改为Case "5.0", "5.1", "5.2", "6.1"。这样就可以识别Win2008了。

也可以对整个文件夹或者磁盘的用户权限进行修改，但对于一个目录及子目录下特定

的一组文件进行权限修改无效，因此使用了for命令递归实现。For命令的参数，好多文章中都写了

应该使用%%i，但在命令行执行时会提示：“此时不应该有%%i”，把%%i更改为%i就可以。如果在一

个批处理文件中使用%%i也是可以的，读者可以自己测试。