《WINDOWS 用户权限怎么设置.docx》由会员分享,可在线阅读,更多相关《WINDOWS 用户权限怎么设置.docx(5页珍藏版)》请在三一办公上搜索。
1、WINDOWS 用户权限怎么设置WINDOWS 用户权限怎么设置 二O一一年 月 日製作 首先申明我的系統是香港的繁體正版的 在開始 運行里輸入 control userpasswords2 (權限管理) 按 確定 輸入密碼 : 注明: 一般電腦沒有多個用戶密碼是空的 有多個用戶沒有設定Administratou密碼的直1 接確定就可以了電腦使用者帳戶: 下面就是設置用戶權限的: 選擇下面用戶 Administrators, Adminyt Administrators管理员组 2 Guest Guests:来宾组 Mrp2 Power Users,高级用户组 選擇內容 3 選擇群組成員資格設
2、定改用戶的權限: 下面是你所選擇用戶分配的權限: 4 Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。 Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。 Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组
3、的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。 Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许 5 成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户
4、不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。 Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。 Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。 其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许
5、把该组归为用户的行列更为贴切。 6 默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。 对于Winnt,Administrators
6、拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权! 现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。 7 那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家
7、要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。 对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:www目录,也就是网站目录读、写权。 最后,还要把cmd.exe这个文件给挖出来,只给Administrator完
8、全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。 8 当然这也有个前提-虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务
9、的提供者-IIS来解释执行的,所以它的执行并不需要运行的权限。 用管理员用户登录系统,在我的电脑上右键-管理-用户和组-用户,在这里新建用户,或直接用guest用户,在guest用户上右键-属性,把此帐号已停用的勾取消即可。另外除administrator用户外,要再建一个用户,设权限为管理员权限,不然你开启新用户后找不到administrator用户。 新建用户并赋予权限方法,在用户项右侧空白地方右键-新建用户,设置名称及密码后,关闭,在用户上右键属性-隶属于-默认新用户是使用权限,不是最高权限,要改就删除这个权限,再点添加-高级-立即查找-选Administrators确定,即把此用户列入到超级管理员组中。如果只给访问不许设置任何属性,就给一个guest的权限即可。 至于想不让别人看你的文件,首先文件所在盘为NTFS格式,你用管理员组用户进入系统,在这个文件上右键-属性-安全-把除超级管理员以外的帐号全删了,那她用别的用户进入时就打不开这个文件夹,(注意在删时可能提示从父继承权限,9 这时点下面的高级,把从父继承前的勾取消-复制,确定返回后就能删了。 限制端口就可以了.QQ用的是tcp和UDP,邮件用的是pop3端口110协议和smtp端口25协议.上网是80端口.在网上邻居就是设置IP地址哪里有高级限制端口 10
