网络安全 频道

限制用户和管理员的访问

1. 我怎样能阻止一个用户或计算机访问网络上所有的计算机?我只是希望他们能够访问一个服务器。

  2. 怎样才能防止一些是本地管理员的用户以本地控制者身份登陆?

  3. 如果你在网络上有两个位于相同物理位置的主机,你希望补充一个用户政策,要求至少设置8位密码并且应满足复杂性要求,你会在物理位置应用帐户政策设置?你应当使用什么用户政策?

4. 我在
Windows 2000 Advanced Server上有一个NTFS文件夹。我希望设置这个文件夹的属性,这样用户就不能删除文件或文件夹,但是他们能够在文件夹中保存和修改。我应该怎么办?

  Wes Noonan:1. 一个有效的方法是将用户加到你建立的组中(例如,服务器A用户),之后将该组从本地用户组中移出。接下来,将该组归到服务器上一些恰当的本地组中,赋予他们你所希望的访问权限。例如,如果你希望这些用户仅仅是普通用户,你可以将全球组加到本地“用户”组。

  2. 这取决于这些用户的种类。如果他们是已被赋予本地控制者权利组的成员(例如,本地管理员),那就没有办法了。如果你的主机足够小,你可以列出所有计算机,具体设置你允许哪些可以登陆,包括本地控制者,但是我想这个方法很快就会变成不可管理的(每次你增加一台计算机,都意味着你需要更新可登陆计算机的列表),同时如果这些用户是本地管理员(他们可以进入,可以不接受设置)那么会使得实施无效。

  现在,假设不是本地管理员,那在本地控制者默认组政策中定义了登陆本地控制者的权限。你可以在Active Directory用户和计算机中,右键点击本地控制者OU,选择“属性”。点击“组政策”,选择政策点击“编辑”。按照以下的分支定位使用组政策目标编辑器:

  计算机配置 > 
Windows设置> 安全设置 >本地政策 >用户权限分配

  在右边的窗口,找“本地登陆”或“允许本地登陆”(由于你使用的
Windows版本不同,会有不同表述)。双击政策,从列表中增加/移除用户,选择“定义这些组政策”框来定义将允许谁进行本地登陆。按照默认值,以下的用户/组能本地登陆到本地控制者:

  1. 用户操作者 
  2. 管理员 
  3. 备份操作者 
  4. 打印操作者 
  5. 服务器操作者 
  6. 对应的网络用户
  通常,不是直接编辑本地控制者组政策的默认值,而是新建一个新的目标组政策。还要警告你,更改默认设置可以对系统引起不能预期的潜在的破坏。

  3. 你需要在每个主机上分别应用用户政策。尽管MMC snap-ins组政策中为OU和物理位置列出了“密码政策”分支,但是你只能定义主机层的密码政策。这是因为对给定的 只能有一个单独的密码政策,也就是说你只能在主机层定义密码政策。还有,根据实际经验,你应该直接新建一个以密码政策设置为目标的组政策,而不是更改默认的主机政策。

  4. 可以编辑文件夹和文家的高级安全属性。右键点击要设置的文件夹,选择“属性”。选择安全标签,点击“高级”。增加或者编辑恰当的用户,具体设置如下权限:

  移动文件夹/操作数据 
  列出文件夹/读取数据 
  读取属性 
  读取扩展属性 
  新建文件/写入数据 
  新建文件夹/追加数据 
  写入属性 
  写入扩展属性 
  读取权限 
  更改权限
  由于你的具体要求,你可能需要也可能不需要设置上边的权限。关键是要记得不要赋予其“删除子文件夹和文件”和“删除”权限。

  切记你需要删除继承,使你可以作必要的更改。

http://www.hack58.net/Article/60/63/2006/8394.htm

0
相关文章