组策略中的 用户权限设置

1、将此权限分配给用户使代表该用户运行的程序能够模拟客户端。此种模拟要求此用户权限可防止未经授权的用户说服客户端连接(例如，通过远程过程调用(RPC)或命名管道)到他们已创建的服务，然后模拟该客户端，这样会将未经授权的用户的权限提升至管理级别或系统级别。警告分配此用户权限可能有安全风险。请仅向受信任的用户分配此用户权限。默认值:Administrators
Local Service
Network Service
Service注意: 默认情况下，由服务控制管理器启动的服务已将内置 Service 组添加到它们的访问令牌中。由组件对象模型(COM)基础架构启动的且被配置为在特定帐户下运行的 COM 服务器也已将 Service 组添加到它们的访问令牌中。结果，这些服务在启动时就获得此用户权限。此外，如果下列任何条件存在，用户也可以模拟访问令牌。正在被模拟的访问令牌专供此用户。
在此登录会话中用户通过使用显式凭据登录到网络创建访问令牌。
请求的级别比 Impersonate 低，如 Anonymous 或 Identify。
因为这些因素，所以用户通常不需要此用户权限。有关详细信息，请在 Microsoft Platform SDK 中搜索 "SeImpersonatePrivilege"。警告如果启用此设置，以前具有 Impersonate 权限的程序可能丢失该权限，并且可能无法运行。2、此用户权限确定哪些用户即使在不具有对已遍历目录的权限时也可以遍历目录树。此权限不允许用户列出目录的内容，仅允许遍历目录。此用户权限是在默认域控制器组策略对象(GPO)以及工作站和服务器的本地安全策略中进行定义的。工作站和服务器上的默认值:
Administrators
Backup Operators
Users
Everyone
Local Service
Network Service域控制器上的默认值:
Administrators
Authenticated Users
Everyone
Local Service
Network Service
Pre-Windows 2000 Compatible Access3、这个就很简单了，就是允许你用其他的电脑访问登陆这台电脑。这些详细解释在里面都有，你只要打开看下帮助就可以了。

一、先看看客户端加入域没有 点我的电脑-属性
二、如果加入域了，在域控制器上的AD查看一下策略的所属组 看看客户端所在组有没有权限访问
三、看看策略有没有特别的设置，例如禁止继承等等
四、无法通过域名访问 请检查DNS服务器状况 另外 在你这个环境里 ping 域名 跟 ping IP是没有区别的
五、一般我都是匿名回答的 如果你想继续联系我 可以在“追问”中提出 我会加你好友

如果简单点，可以给域用户指定为power user用户，比user的权限会大，运行软件方面限制少。
如果复杂点，可以在计算机管理里面，新建个用户组，然后在组策略里，自己配置这个组的用户权利指派，以及一些软件限制策略。然后把域用户都指定为这个新用户组。

---