用域管理员用户禅段登陆后在组策略里可以设置这些权限,或者用客户机迹做的本地管理员登陆客户机后在本地策略里也能设置,设置好后禁用本地管理员用户,这样客户端就无法登陆本地修改本地策略,域管姿袭衡理员是可以开启本地管理员的.这是你后两个问题的解决方法,关于你第一个禁止用户使用组策略,新建的域用户只要不在管理员那些组里,默认登陆后就没有权限看策略,连关机权限都没有
