搜索
=8444523562Windows2003server系列产品简介Windows2003server各种产品安装的系统需求Windows2003server安装及常见问题的处理Windows2003server升级及常见问题的处理Windows2003server无人值守的安装及常见问题的处理其他相关问题什么是用户帐户存在于WINDOWS2000,XP,2003中系统中的一种对象包含有多种属性,如用户名,密码等不同用户帐户的配置环境不同不同用户帐户的用户名和密码不同不同用户帐户的SID(安全标识符)不同本地用户帐户使用”本地用户和组”创建存储在SAM数据库中登录时进行本地身份验证域用户帐户使用”AD用户和计算机”创建存储在ActiveDirectory数据库中登录时进行网络身份验证本地用户帐户“本地用户和组”---lusrmgr.mscNetuser脚本域用户帐户“AD用户和计算机”---dsa.mscUseradd脚本一部分信息存储在注册表中克隆用户帐户提升用户帐户权限隐藏用户帐户最长127个字符存储在SAM数据库中或AD中默认较弱有加密方法(WINDOWS默认是对半开加密,建议使用SYSKEY工具)空密码的问题密码策略什么是用户配置文件用户配置文件的类型本地漫游(桌面跟我走)强制漫游如何使多个用户使用同一个用户配置文件权限问题是很多站长容易模糊的地方,调试网站莫名其妙地出现问题很多都是权限问题。NTFS(NTfilesystem)权限能够很好控制系统上的资源。NTFS相对于fat32,只能在windowsNT以上使用、访问。许多经验丰富的管理员都熟悉应用于每个文件、文件夹、注册表项、打印机和活动目录(ActiveDirectory)对象的新技术文件系统(NTFS)。NTFS最初在WindowsNT中推出,以替代文件分配表(FAT)文件系统。这些年来,NTFS已经历几次改变。Windows2000、WindowsServer2003和WindowsXP使用其当前版本NTFSv5。标准权限NTFS权限可设定为允许(Allow)或拒绝(Deny)WindowsServer2003提供七种标准NTFS权限:完全控制权限、修改权限、读取和执行权限、列出文件夹目录权限、读取权限、写入权限和特别的权限。完全控制(FullControl):用户可以修改、增加、移动和删除文件,以及它们相关的属性和目录。另外,用户还能改变所有文件和子目录的权限设置。修改(Modify):用户能够查看和修改文件和文件属性,包括删除和添加目录文件或文件属性。读取与执行(Read&Execute):用户可以运行可执行文件,包括脚本。读取(Read):用户能够查看文件和文件属性。写入(Write):用户能够改写文件。权限目的读取该这个权限是对文件夹内容提供访问的第一个权限。没有这个权限,只能给用户“拒绝访问”的消息。这个权限允许用户查看所有权、权限和文件属性。写入该权限允许授权用户创建文件和子文件夹。也能改变文件属性以及查看所有权和权限。列出文件夹目录该权限允许用户查看这个文件夹管理下的文件和子文件夹。读取及运行该权限允许授权用户读取这个文件夹下的文件以及运行应用程序。修改该权限让授权用户可以删除管理下的文件夹和所有权限。完全控制该权限允许用户获得所有权及处理上面权限的所有动作。文件权限除了没有【列出文件夹目录】一项外,与文件夹权限基本相同。NTFS也允许分配刚才描述的权限的高级版本,这些权限是一般权限的更详细版本,如下图所示。也就是说,可以更精确的说明需要给用户提供的访问级别,例如,对于基本权限的【读取及运行】选项可以分为运行文件、读取数据。权限项目对话框为设置这个高级权限,在属性对话框的【安全】页上单击【高级】按钮,然后在出现的对话框里单击【查看/编辑】按钮。为了管理上的方便性与灵活性,应当把权限赋予用户组,再将用户帐户加入相应的组中以获得相应的访问权限。而不要将访问权限直接赋予某个特定用户。2、权限属性为了文件夹和文件的更进一步的访问控制,需要理解权限的属性。权限有下列属性:权限是累积的。一个用户的总体权限是所有准许用户使用或访问一个对象的权限的总和。例如:如果一个用户同时属于A、B两个组的成员,通过A组成员身份获得了某文件的读取权限,同时通过B组成员身份获得了该文件的运行权限,那么,用户的全部访问权限是读取及运行。拒绝权限选项将忽略在特定对象上准许用户的权限。如果一个用户通过多个组的成员身份获得了完全控制权限,只要在一个组中选择拒绝完全控制选项,这个用户就完全被拒绝在所在文件或文件夹之外。3、继承对给定文件夹分配的权限能够默认传播给子文件夹和文件,换句话说,如果某个组对一个文件夹能够访问,其所有的子文件夹也允许该组访问,对于文件也一样。阻止或允许权限继承,只需在安全选项卡上不选中或选中【允许将来自父系的可继承权限传播给该对象】选项。每次不选中这个复选框,就会提示拷贝或者删除被继承的权限。通过对一个文件夹关闭继承,使这个文件夹变成父节点,如果其子文件夹已经打开继承选项,它们会继承父节点的权限。4、所有权每个对象都有所有者。所有者控制如何设置对象的权限以及将权限授予谁,如下图即为文件所有者窗口。文件所有者对话框NTFS权限通过Windows资源管理器采用。右键单击要控制访问的文件夹或文件并从弹出的菜单中选择【属性】,打开文件夹或文件【属性】对话框。对文件夹与文件配置NTFS权限的过程是相同的,但NTFS权限通常对文件夹采用。文件或文件夹【属性】对话框中的标签取决于计算机已经配置的选项。对NTFS分区上的文件夹与文件,对话框中有个【安全】标签,如下图所示。对象一经创建,创建对象的人自动成为其所有者。管理员将创建并拥有ActiveDirectory中和网络服务器上的多数对象。用户将在其主目录中创建和拥有数据文件,及在网络服务器上创建和拥有某些数据文件。所有权可以用以下方式转换:当前所有者可以授予其他用户【获得所有权】权限,允许这些用户在任何时候取得所有权。管理员可以获得其管理及控制下的任何对象的所有权。例如,如果员工突然离开公司,管理员可以控制员工的文件。5、复制和移动后NTFS权限的变化复制或移动NTFS文件时,这些文件设置的权限可能改变。准则如下:如果将文件从一个文件夹移到同一卷中的另一文件夹,则文件保持原有NTFS权限。如果将文件从一个文件夹移到不同卷中的另一文件夹,与目标文件夹有相同的权限。如果将文件从一个文件夹复制到相同或不同卷中的另一文件夹,则文件与目标文件夹有相同的权限。如果文件复制或移动到FAT分区,则不保留任何NTFS权限。微软精细的安全权限(高级),以下内容:遍历文件夹/执行文件(TraverseFolder/ExecuteFile):用户可以通过文件夹到达其它文件或文件夹,即使这些文件夹没有遍历文件或文件夹的权限。只有在“组策略”管理单元中没有将“跳过遍历检查”用户权限授予用户组或用户时,遍历文件夹才会生效。(默认情况下,Everyone用户组拥有“跳过遍历检查”用户权限。)列出文件夹/读取数据(ListFolder/ReadData):用户可以查看一个文件的内容和数据文件列表。读取属性(ReadAttributes):用户可以查看一个文件或文件夹的属性,如只读和隐藏。(NTFS定义这些属性。)读取扩展属性(ReadExtendedAttributes):用户可以查看一个文件或文件夹的扩展属性。(扩展属性由程序定义,可能各不相同。)建立文件/写入数据(CreateFile/WriteData):建立文件权限允许用户在文件夹内建立文件。(这个权限只应用于文件夹。)写入数据权限允许用户改写文件,覆盖现有内容。(这个权限只应用于文件。)建立文件夹/附加数据(CreateFolders/AppendData):建立文件夹权限允许用户在文件夹内建立文件夹。(这个权限只应用于文件夹。)附加数据权限允许用户修改文件末尾部分,但他们不能改变、删除或覆盖现有数据。(这个权限只应用于文件。)写入属性(WriteAttributes):用户可以修改文件或文件夹的属性,如只读或隐藏。(NTFS定义这些属性。)写入扩展属性(WriteExtendedAttributes):用户可以修改一个文件或文件夹的扩展属性。删除(Delete):用户可以删除文件或文件夹。(如果用户在该文件或文件夹上没有删除权限,但是在其父级的文件夹上有删除子文件及文件夹权限,那么就仍然可以删除它。)读取权限(ReadPermissions):用户拥有文件或文件夹的读取权限,如完全控制、读取和写入。变更权限(ChangePermissions):用户拥有文件或文件夹的变更权限,如完全控制、读取和写入。取得所有权(TakeOwnership):用户可以取得文件或文件夹的所有权。文件的所有者总能改变这个文件的权限,不管文件或文件夹受到何种权限的保护。继承和外来权限优先级。一般认为拒绝的优先权最高,但事实并非如此。以下为权限等级:外来拒绝外来允许继承拒绝继承允许当一名用户访问每个文件、文件夹、注册表项、打印机和活动目录对象时,系统从上到下检查其权限。如果满足四个条件中的一个,它准许或拒绝访问。这使得你可以设置一个对象的权限继承,并对你的通用权限策略进行良好控制。总结:NTFS权限为系统资源提供许多控制选项。如果用户在活动目录结构下无法访问所需数据或对象,查看这些权限的等级,你就能找出问题。Converte:/fs:ntfsConvertE:/FS:NTFS1、配置共享权限要控制用户对共享文件夹的访问权限,可以指定其共享权限。共享权限比NTFS权限简单,只适用于文件夹(而NTFS权限则可以针对文件和文件夹)。要指定共享权限,可单击【属性】对话框中【共享】标签的【权限】按钮,打开【共享权限】对话框,可以指定三种类型的共享权限:完全控制:共享权限可以完全访问共享文件夹。更改:共享权限可以改变文件内容或删除文件。读取:共享权限可以浏览与执行共享文件夹中的文件。第2步【创建共享文件夹向导】启动。指定要共享的文件夹(可以用【浏览】按钮选择文件夹)并提供共享名和说明(如下图示),然后单击按钮继续。文件夹共享名和说明对话框2、通过网络访问共享资源用户访问共享资源的方法有多种,下面介绍三种最常用的方法:(1)通过网上邻居双击【网上邻居】图标→【整个网络】→【MicrosoftWindowsNetwork】→【工作组】→【计算机名】即可访问共享文件夹,如后图所示。(2)在Windows资源管理器中映射网络盘双击【我的电脑】→【工具】→【映射网络驱动器】,弹出如下图所示对话框。映射网络驱动器(3)通过NETUSE命令行实用程序通过NETUSE命令行实用程序,可以方便快捷地映射网络盘。这个命令的语法为:NETUSEX:\\computername\sharename。例如,下列命令将G盘映射到计算机AppServer上的AppDate共享,可以使用的语法是:NETUSEG:\\Appserver\AppData。安全模板安全配置和分析F8DCPROMO如何设置类级别分两步走首先设置客户端c:\ipconfig/setclassid“本地网卡名称”自定义命名再次设置服务器端右键服务器—定义用户类别—选择服务器选项高级设置NETBIOS名最长为15位HOSTNBTSTAT–N用户帐号拨入权限条件权限配置文件活动目录服务是Windows2003操作系统平台的中心组件之一。理解活动目录对于理解Windows2003的整体价值是非常重要的。关于活动目录服务所涉及概念和技术的介绍描述了活动目录的用途,提供了对其工作原理的概述