当前位置:文档之家 › 2003域中限制用户安装和卸载软件的权限

2003域中限制用户安装和卸载软件的权限

  • 格式:doc
  • 大小:54.50 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

win 域环境下被组策略拒绝本地登录的解决方法

win 域环境下被组策略拒绝本地登录的解决方法

在win2003的域环境下,组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题,使管理员的日常维护效率大大提高,但世间万物皆有利弊,同样人也一样会犯错误,在日常的维护工作中,由于管理员的疏忽操作导致的各种问题比比皆是。

下面我们就来讨论一种看似比较棘手的情况。

在win2003中,当某个域中的用户或本地用户被策略拒绝了本地登陆的权限,当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”,使得用户无法登陆本地计算机,同样也不能登陆域,通常遇到这种问题,我们的解决办法是,用管理员账号登陆域控制器,修改一下策略,把此用户从“拒绝本地登录”列表中删除即可,但如果由于人为的操作失误,管理员把所以用户的本地登陆权限都禁止了,导致了域中所有用户都不能本地登陆域内计算机(包括域管理员以及本地管理员),这种情况就比较棘手了,我们用什么方法能解决这看似不能解决的问题呢?通过查询相关资料以及测试,我们知道所有策略的设置都保存在域控制器(DC)的windows文件夹下的sysvol文件夹下,以GUID为文件夹名,其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GU ID\MACHINE\Microsoft\windows NT\SecEdit\GptTmpl.inf 这个文件中,这是一个文本文件,能通过记事本编辑,要解除对所有用户本地登录限制,我们只需修改这个文本文件,把拒绝登陆的相关信息删除就OK了,而在默认情况下,存放策略设置的sysvol这个文件夹在DC上是被共享的,那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹,远程修改GptTmpl.inf文件,从而解除本地登陆限制呢,下面我们就用虚拟机来做个实验,来模拟一下这样的网络环境,看看能不能达到我们预想的效果。

通过查询资料得知:➢默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9➢默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9实验的拓扑环境如下:先部署一个域 ,用物理机做DNS,IP为192.168.11.1域中有两台计算机,Florence为DC,Berlin为加入域的一台成员服务器,Perth为一台工作站。

Windows 2003 FSO权限设置

Windows 2003 FSO权限设置

Windows 2003 FSO权限设置第一步是有别于Windows 2000设置的关键:右击C盘,点击“共享与安全”,在出现在对话框中选择“安全”选项卡,将Everyone、Users组删除,删除后如果你的网站连ASP程序都不能运行,请添加IIS_WPG组(图1),并重启计算机经过这样设计后,FSO木马就已经不能运行了。

如果你要进行更安全级别的设置,请分别对各个磁盘分区进行如上设置,并为各个站点设置不同匿名访问用户。

下面以实例来介绍(假设你的主机上E盘Abc文件夹下设站点):1.打开“计算机管理→本地用户和组→用户”,创建Abc用户,并设置密码,并将“用户下次登录时须更改密码”前的对号去掉,选中“用户不能更改密码”和“密码永不过期”,并把用户设置为隶属于Guests组。

2.右击E:\Abc,选择“属性→安全”选项卡,此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样),删除Everyone的完全控制(如果不能删除,请点击[高级]按钮,将“允许父项的继承权限传播”前面的对号去掉,并删除所有),添加 Administrators及Abc用户对本网站目录的所有安全权限。

3.打开IIS管理器,右击主机名,在弹出的菜单中选择“属性→目录安全性”选项卡,点击身份验证和访问控制的[编辑],弹出图2所示对话框,匿名访问用户默认的就是“IUSR_机器名”,点击[浏览],在“选择用户”对话框中找到前面创建的Abc账户,确定后重复输入密码。

经过这样设置,访问网站的用户就以Abc账户匿名身份访问E:\Abc文件夹的站点,因为Abc账户只对此文件夹有安全权限,所以他只能在本文件夹下使用FSO。

---------------------------------------------------------------------------------现在绝大多数的虚拟主机都禁用了 ASP 的标准组件:FileSystemObject,因为这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作(当然,这是指在使用默认设置的 Windows NT / 2000 下才能做到)。

windows 2003文件服务器详细权限设置

windows 2003文件服务器详细权限设置

windows 2003文件服务器详细权限设置window server 2003文件服务器要求达到如下目标:1.网络管理员对所有共享文件夹都拥有完全控制权;2.所有员工对公共文件夹只拥有读取权限;3.每位员工只对自己的私人文件夹拥有完全控制权,且不能读取其他员工的文件夹;4.每位员工所能使用的磁盘空间有一定限制,并且已用空间达到一定程度后会得到警告。

创建用户和文件夹:根据经理提出的目标,阿昊首先为每位员工创建用户账户,并且在磁盘的NTFS分区中规划合理的文件夹结构。

私人文件夹以员工姓名命名,在域中添加用户的过程简述如下:1. 依次单击“开始/管理工具/Active Directory用户和计算机”,在打开窗口的左窗格中右击“Users”容器,执行“新建/用户”命令。

2. 在打开的“新建对象→用户”对话框中键入用户登录名(如“hongxiaowei”)和用户的全称(如“洪晓卫”)。

单击“下一步”按钮,在密码设置选项卡中设定密码并依次单击“下一步/完成”按钮。

重复此过程创建其他用户(如图1)。

图1 创建用户账户安装文件服务器:因为在默认情况下Windows Server 2003并没有安装“文件服务器”组件,因此阿昊手动将这些组件添加了进来。

1. 依次单击“开始/管理工具/管理您的服务器”,打开“管理您的服务器”窗口。

在“管理您的服务器角色”区域中单击“添加或删除角色”按钮,进入配置向导并单击“下一步”按钮。

2. 配置向导检测完网络设置后打开“服务器角色”选项卡。

在“服务器角色”列表中选中“文件服务器”选项,并单击“下一步”按钮。

3. 在打开的“文件服务器磁盘配额”选项卡中勾选“为此服务器的新用户设置默认磁盘空间配额”复选框,然后根据磁盘剩余空间及用户实际需要在“将磁盘空间限制为”和“将警告级别设置为”编辑框中键入合适的数值。

另外,勾选“拒绝将磁盘空间给超过配额限制的用户”复选框,可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。

2003卸载域控制器

2003卸载域控制器

卸载域控制器前两天朋友遇到一个问题卸载与控制器时别拒绝卸载,我的朋友很着急我几天写这篇笔记就教大家两种卸载域控制器的方法。

第一种是正常卸载,用dcpromo这条既能升域又能降域的命令。

第二种方法是强制降域这就比较麻烦了下面我们一一介绍一下这两种方法第一种降域方法:开始=》运行=》打上命名dcpromo 点击确定如图:1.2.下一步:删除Active Directory 如果这不是最后一台域控制器就不要在(这服务器是域控制器的最后一个域控制器)前打勾如图:3.下一步要求你输入一个密码注意这个密码将来是本地管理员的密码,这台机器一经卸载就不成为域控制器的身份出现了所以这个密码是本地管理员的密码!如图:4.下一步删除活动目录(Active Directory)成为成员服务器如图:5.卸载成功!这时它能够正常的找到它的复制伙伴告诉它已经不是域控制器了下次复制活动目录不要找它了。

下面我向大家介绍一个强制卸载。

这种方法是我推荐的方法域控制器能够正常复制我们最好使用第一种方法,但是在日常的工作中都是域控制器与其它服务器失去联系,活动目录不能正常复制,域控制器失去存在的意义了我们才会去卸载它,当我们卸载失去联系的域控制器,会看到一个错误提示:(无法联系到此域的其它Active Directory域控制器),这就话就是告诉我们域控制器将无法正常复制活动目录(Active Directory)。

正常的卸载在上面说过其它Active Directory域控制器能够得到这台别卸载的域控制器的消息,会告诉KCC这台服务器已经不是域控制器了下一次复制不需要在寻找着台服务器,正常卸载会自动告诉它的复制伙伴,一但强制卸载就是告诉我们已经寻找不到自己的复制伙伴,我们要手动告诉这台服务器卸载的消息。

强制卸载步骤1. 开始=》运行=》打上命名dcpromo /forceremoval下一步:强制删除(Active Directory)下一步设置一个本地管理员密码:下一步:不通知复制伙伴自行降域。

Windows Server 2003 文件夹权限与共享

Windows Server 2003 文件夹权限与共享
DC才有。对应%systemroot%\SYSVOL\sysvol\域名\scripts文件 夹,供登录时自动运行脚本文件。(为了兼容NT4)
SYSVOL
DC才有。对应%systemroot%\SYSVOL\sysvol文件夹。
禁用默认共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSe t\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 (服务器版) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSe t\Services\lanmanserver\parameters] "AutoShareWks"=dword:00000000 (专业版)
新建文件夹并共享(7)
新建文件夹并共享(8)
映射网络驱动器(1)
或打开网上邻居,点工具菜单。
映射网络驱动器(2)
映射网络驱动器(3)
映射网络驱动器(4)
映射网络驱动器(5)
如何跨域访问共享文件
如果共享文件位于其它域的计算机,且与你所 在的域没有建立任何信任关系,则在连接时会 出现要求输入用户名与密码的对话框,此时必 须输取及 执行
读取
写入
数据清单属性 (只有文件夹会 有这项权限)
设置NTFS标准访问权限(1)
设置NTFS标准访问权限(2)
这些都是继承来的。
去掉此处选择,以切断默认的继承。
设置NTFS标准访问权限(3)
设置NTFS标准访问权限(4)
设置NTFS标准访问权限(5)
设置NTFS标准访问权限(6)
关于所有权(1)

如何用组策略禁止用户安装程序及删除程序(包括系统管理员也要禁止)

如何用组策略禁止用户安装程序及删除程序(包括系统管理员也要禁止)

如何用组策略禁止用户安装程序及删除程序(包括系统管理员也要禁止)?运行gpedit.msc用户配置-->控制面板-->添加或删除程序-->删除"添加或删除程序",改为已启用防止用户使用“添加或删除程序”。

这个设置从“控制面板”删除“添加或删除程序”并从菜单删除“添加或删除程序”项目。

“添加或删除程序”允许用户安装、卸载、修复并添加和删除Window s 2000 Professional 的功能和组件以及种类很广的Window s 程序。

发行或分配给用户的程序出现在“添加或删除程序”中。

如果停用或不配置这个设置,所有用户都可以使用“添加或删除程序”。

处于启用状态时,这个设置的优先级高于这个文件夹中的其它设置。

这个设置不防止用户用其它工具和方法安装或卸载程序。

内置管理员帐号是不可以降级的。

只可以禁用。

组策略中没有这样的设置,可以结合楼上的说法,禁用内置管理员帐号,给用户普通用户权限【软件限制策略】即可实现。

软件限制策略更多地应用到已经安装的程序,用来阻止其运行。

你可以尝试添加这样几条条策略:文件名为*setup*.exe,阻止;文件名为"*.msi",阻止。

这样字就可以阻止微软Windows Installer安装程序格式的安装包进行安装,但是缺点是如果是E XE可执行文件进行的安装,那么用户将Setup.exe改名即可以安装了。

软件限制策略:不允许----所有,只允许----特定。

自然就无法安装软件了。

原帖由pils于 2008-11-16 22:42 发表软件限制策略:不允许----所有,只允许----特定。

自然就无法安装软件了。

不可以的,不允许的优先级要高于允许策略。

▉▉▉▉▉▉▉▉▉▉▉▉▉ 99%运行services.msc运行services.msc,将Windows Installer设为已禁用即可。

组策略中"禁止用户安装"为什么不起作用?在我的工作中我不想让别人在我的电脑上安装其他的软件,我于是我打开"组策略"(gpedit.msc)-->"计算机配置"-->"管理模板"-->"Windows组件"-->"Windows Installer"下启用"禁止用户安装".可是计算机重起后,我试着安装软件还是能安装上,我不想通过在“管理员”设置一个受限用户来控制这种情况!请问怎样通过组策略或其他的技巧来实现,谢谢!Windows Installer 是系统的一个安装服务程序,它负责由应用程序启动的安装服务。

Windows 2003 网站目录安全权限设置指南

Windows 2003 网站目录安全权限设置指南

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展,各高校所运维的网站数量和规模与日俱增。

与此同时,Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可,基于IIS WEB服务器软件的网站数量也越来越多。

通常情况,高校的大多数服务器,会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责:少数用户单位将会自主开发,或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下,如果不对服务器的默认安全权限进行调整,便将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。

最常遇到的情况是:一台Windows 2003服务器上运行着多个网站,其中某个网站存在着安全漏洞(例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站,取得权限,上传网页木马,得到了一个WEB SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有WEB站点的源文件,往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客,浏览这些页面时便将感染上病毒,结果引来用户的严重不满和投诉,同时也严重损害了学校的形象。

为了避免类似事件的发生,我们有必要将网站和数据库分开部署,通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是,仅启用以上的安全措施还是远远不够的,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限做严格的控制,实现各网站之间权限的隔离,做法如下:在WEB服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

windows 2003 终端服务超出最大允许连接数的解决方法

windows 2003 终端服务超出最大允许连接数的解决方法

使用远程桌面的朋友可能经常会遇到“超出最大允许连接数”的问题,这是因为remote desktop for administrator缺省设置是2个连接,而且如果远程登录后不注销而直接关闭远程桌面,实际上session还留在服务器端,所以再次连接就很容易出现上面的提示。解决办法一是用注销来关闭远程桌面,二是限制已经断开连接的session存在的时间,三是增加连接数。
<Connection File> -- 指定连接的 .rdp 文件的名称。
/v:<sever[:port]> -- 指定要连接到的终端服务器。
/console -- 连接到服务器的控制台会话。
/f -- 以全屏模式启动客户端。
/w: <width> -- 指定远程桌面屏幕的宽度。
/h:<height> -- 指定远程桌面屏幕的亮度。
先说增加连接数,目前的两种方法,我明天去测试一下:
(1)开始- 运行- gpedit.msc- 管理模板- Windows组件- 终端服务- 限制连接数量- 启用 TS允许的最大连接数(可修改,不过好像并没有解决我的问题,远程连接服务器还是提示超过了最大允许连接数)
(2)开始- 运行- gpedit.msc- 管理模板- Windows组件- 终端服务- 限制连接数量- 选择“已禁用”,打开终端服务器配置-网卡-把那个允许最大连接数值改的大一些(经过我的测试,此种方法不可用,因为允许最大连接数不可修改,默认为2)。
第一步、首先你可以telnet到此主机上(不管你用哪种方法),当然如果能直接操作机器更好,不过直接操作就不必用命令行了,用控制台更直观,这里不是我们讲述的问题,略过。
第二步、Telnet上去后,先看登陆的用户:
输入命令:query user

windows2003务器安全设置_注册表修改__删除不安全组件__禁用无关服务

windows2003务器安全设置_注册表修改__删除不安全组件__禁用无关服务

现在说第二篇:注册表修改删除不安全组件禁用无关服务.(1)服务器安全设置篇(3-1) - 入侵方法介绍端口限制磁盘权限设置(2)服务器安全设置篇(3-2) - 注册表修改删除不安全组件禁用无关服务(3)服务器安全设置篇(3-3) - 网站WEB目录权限 SQL SERVER2000设置(4)服务器安全设置篇(3-4) - 备份杀毒审计1注册表是啥东西?注册表包含Windows 在运行期间不断引用的信息,例如,每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,也只是随便说说,改注册表,,限一些东西而已点击"开始" -- "运行" -- "regedit" -- "确定"就可以打开注册表了..(1).关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled” 数据为默认值“0”(0在十六进制,十进制都是一样) 如图:(以下就不做图例了,差不多的.看看也懂.)(2).禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous” 数据值为“1” [2003默认为1](3).禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareServer” 数据值为“0”(4).禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareWks” 数据值为“0”(5).通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”值名为“SynAttackProtect” 数据值为“1”2.禁止dump file我的电脑>点击右键"属性">高级>启动和故障恢复把写入调试信息改成无。

域用户安装软件权限

域用户安装软件权限

域用户安装软件权限问题描述:在一个多用户的系统中安装一个软件,使各个用户在安装完后都出现该软件的图标并能正常运行(比如联众)。

现在的问题是在我安装完后,只有我的环境中有,其他的都没有,拷贝快捷方式也不能用,不得已只能分别重新安装。

问题回答:如果程序在设计的时候允许默认安装模式是写入x:\Documents and settings\All user的profile 和\Program Files\Common Files,那么大多数程序是可以被多用户公用的。

但很多的程序并不支持这个功能,或者说程序的设计者在多用户方面考虑欠妥。

另外一方面,很多的程序并没有考虑在域中domain user权限的环境下使用,对于注册表和安装目录都需要有读写权限。

通常的情况下,都可以通过迁移安装软件的那个账户(常常是Local administrator)下的profile 来达到这个目的。

下面以domain user使用office2000的办法来说明这个问题。

问:在安装了office2000和微软vb,vc++6.0的win2000电脑上,域用户第一次登陆并第一次运行office2000(例如outlook)或者vb时就会出现office2000设置,要等半天设置好之后才能运行这些程序。

如果没有等0ffice设置完而点击取消了,下次运行时还是会设置;如果耐心等office设置运行完下次就不会出现了。

有没有可以让新开的域用户第一次使用时不出现这些烦人的设置呢?答:导致这个动作的原因是这样的:每当登陆的用户发生变化,启动office后,office都会调用data1.msi重新注册用户信息。

如果在当前路径和系统路径找不到此文件,就会弹出对话框询问此文件的位置。

如果能够找到此文件,哪怕当前目录无法写入,系统也不会提示错误,正常进入,这可能是设计使然:)那么,我们一般有2中办法来解决这个问题。

一、在管理员的环境下启动office以后,copy管理员的profile。

windows 2003系统目前最完善最完美的安全权限方案

windows 2003系统目前最完善最完美的安全权限方案

在“服务”里关闭 iis admin service 服务。 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为 20M 即:20480000) 存盘,然后重启 iis admin service 服务。 >> 解决 SERVER 2003 无法下载超过 4M 的附件问题 在“服务”里关闭 iis admin service 服务。 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 找到 AspBufferingLimit 把它修改为需要的值(可修改为 20M 即:20480000) 存盘,然后重启 iis admin service 服务。 >> 超时问题 解决大附件上传容易超时失败的问题 在 IIS 中调大一些脚本超时时间,操作方法是: 在 IIS 的“站点或虚拟目录”的“主目录”下点击 “配置”按钮, 设置脚本超时时间为:300 秒 (注意:不是 Session 超时时间) 解决通过 WebMail 写信时间较长后,按下发信按钮就会回到系统登录界面的问题 适当增加会话时间(Session)为 60 分钟。在 IIS 站点或虚拟目录属性的“主目录”下点击“配置--> 选项”, 就可以进行设置了(Windows 2003 默认为 20 分钟) >> 修改 3389 远程连接端口 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0000 端口号 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:0000 端口号 设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号 >> 本地策略--->用户权限分配 关闭系统:只有 Administrators 组、其它全部删除。 通过终端服务允许登陆:只加入 Administrators,Remote Desktop Users 组,其他全部删除 >> 在安全设置里 本地策略-用户权利分配,通过终端服务拒绝登陆 加入 ASPNET IUSR_ IWAM_ NETWORK SERVICE (注意不要添加进 user 组和 administrators 组 添加进去以后就没有办法远程登陆了) >> 在安全设置里 本地策略-安全选项 网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径; 网络访问:可远程访问的注册表路径和子路径; 将以上四项全部删除

Win2003共享及权限设置(简明)

Win2003共享及权限设置(简明)

Win2003共享及权限设置(简明)Win2003共享及权限设置(简明)一、基础系统环境的设置点开始->运行,输入gpedit.msc然后按确定。

点windows设置下面的安全设置,然后本地策略->用户权利分配,右边框中拒绝从网络访问计算机中不得有guest用户,如果有请删除。

然后回到安全选项,右边框中查找:1、网络访问:本地账户的安全和共享模式,改为经典-本地用户以自己的身份验证。

2、来宾账户状态,改为已启用。

3、使用空白密码的账户只允许控制台登陆,改为已禁用。

这样系统基础环境设置完毕。

二、添加共享用户点开始->所有程序->管理工具->计算机管理,点击系统工具下方的本地用户和组,点击用户,在右边框中下方空白处右键新用户,添加用户,用户名自己起,密码自己想,用户名和密码不能和其它用户相同,下面选项中,把用户下次登录时须更改密码前面的勾去掉,在用户不能更改密码和密码永不过期前面打勾。

(这几点很重要,有不少人错在这里,在查看共享文件夹时提示无权限拒绝访问)。

添加完成,后面如果还有其它用户的话照例添加。

组的用途就是比如A和B两用户共享文件夹的权限是完全相同的,那就可以吧A和B两用户添加到一个组里,这样在后面共享权限和安全设置里就可以添加这个组,不需要一个一个用户的添加了,当然这适用于较多有相同权限的用户,这样比较省时间。

添加方法就是新建一个组,组名自己起(比如AB),然后点下面的添加,然后点高级,点立即查找,在下面框中找到A用户,然后双击A用户,然后再点击高级,立即查找,找到B 用户双击,这样在输入对象名称来选择下面的框中,A和B用户都在里边,然后点确定,回到新建组对话框,然后点击创建,这样这个组就添加完成了。

用户和组的添加方法就到这里,继续添加其它用户的话以此类推。

三、共享文件夹的权限划分和安全设置新建a、b、c三个文件夹(文件夹名简单,为了测试时便于记忆),1、以a文件夹为例,点右键->选共享此文件夹,共享名默认即可,点共享和安全按钮,把组和用户名称框中的所有用户和组都删掉,然后点击添加->高级->立即查找,假设a文件夹里的内容,对A用户有完全的权限(可读可写可修改可删除),那就在下面的框中找到A用户,双击,然后按确定,这样A用户就被添加进去了,然后在下面的权限框中根据A用户的权限选择完全控制的权限。

终级Win2003服务器安全配置篇

终级Win2003服务器安全配置篇

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置,实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示,此演示基本上保留系统默认的那些权限组不变,保留原味,以免取消不当造成莫名其妙的错误.看过这个演示,之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置:C:\WINDOWS\Application Compatibility Scripts 不用做任何修改,包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件,创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改,包括其下所有子目录C:\WINDOWS\inf不用做任何修改,包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改,包括其下所有子目录C:\WINDOWS\msagent 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改,包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限,取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改,其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改,包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改,包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限,其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限,给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改,包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

域用户安装软件权限

域用户安装软件权限

问题描述:在一个多用户的系统中安装一个软件,使各个用户在安装完后都出现该软件的图标并能正常运行(比如联众)。

现在的问题是在我安装完后,只有我的环境中有,其他的都没有,拷贝快捷方式也不能用,不得已只能分别重新安装。

问题回答:如果程序在设计的时候允许默认安装模式是写入x:\Documents and settings\All user的profile 和\Program Files\Common Files,那么大多数程序是可以被多用户公用的。

但很多的程序并不支持这个功能,或者说程序的设计者在多用户方面考虑欠妥。

另外一方面,很多的程序并没有考虑在域中domain user权限的环境下使用,对于注册表和安装目录都需要有读写权限。

通常的情况下,都可以通过迁移安装软件的那个账户(常常是Local administrator)下的profile 来达到这个目的。

下面以domain user使用office2000的办法来说明这个问题。

问:在安装了office2000和微软vb,vc++6.0的win2000电脑上,域用户第一次登陆并第一次运行office2000(例如outlook)或者vb时就会出现office2000设置,要等半天设置好之后才能运行这些程序。

如果没有等0ffice设置完而点击取消了,下次运行时还是会设置;如果耐心等office设置运行完下次就不会出现了。

有没有可以让新开的域用户第一次使用时不出现这些烦人的设置呢?答:导致这个动作的原因是这样的:每当登陆的用户发生变化,启动office后,office都会调用data1.msi重新注册用户信息。

如果在当前路径和系统路径找不到此文件,就会弹出对话框询问此文件的位置。

如果能够找到此文件,哪怕当前目录无法写入,系统也不会提示错误,正常进入,这可能是设计使然:)那么,我们一般有2中办法来解决这个问题。

一、在管理员的环境下启动office以后,copy管理员的profile。

office无法卸载和无法安装的解决办法

office无法卸载和无法安装的解决办法

o f f i c e无法卸载和无法安装的解决办法集团标准化办公室:[VV986T-J682P28-JP266L8-68PNN]一、症状:1。

点OFFICE里面的任何一个,比如WORD就会弹出一个错误的提示筐,说的是:这个操作只对当前安装的产品有效,无法运行该命令。

系统里面的一些OFFICE文档也是无法识别的。

现在想把OFFICE2003删除,可在控制面板的"添加/删除程序"里面也找不到相应的删除项目,用优化大师删除,又说不能删除,这个与WINDOWS存在关联。

2。

在需要卸载或者更新Office 2003的时候,Window提示:“无法打开此修补程序包”,然后出错,停止卸载,尝试再安装一次,再卸载但是卸载的时候总是被错误打断!而不会出现卸载的窗口,不知道如何才能卸载。

3。

当您首次尝试安装 Microsoft Office 2000 或 Microsoft Office XP,或者运行某个 Office 程序时,可能收到一条错误信息。

如果您是通过 Administrator 用户帐户登录计算机的,可能收到下面的错误信息:Fatal error during installation如果您是通过具有管理员权限的标准用户帐户登录计算机的,可能收到下面的错误信息:This patch package could not be the application vendor to verify that this is a valid Windows Installer patch package.二、原因:如果注册表中包含来自安装的较低版本 Office 的 Microsoft Windows Installer 信息,可能会发生此问题。

注册表中包含错误的有关office的信息。

三、解决方案1.从 Microsoft 下载中心可以下载以下文件:要使用 Windows 清理实用工具,请按下列步骤操作:a. 单击“开始”,指向“程序”,然后单击“Windows 安装清理”。

office2003无法卸载的解决方法

office2003无法卸载的解决方法

office2003无法卸载的解决方法office2003安装时显示已经安装,需卸载后再安装,可是又无法卸载, 弹出对话框"windows installer无法访问你要使用的功能所在的网络位置"提示找不到Pro11.msi文件解决办法:方法1:(大众方法,成功率高)原因是注册表中包含来自安装的较低版本Office 的Microsoft Windows Installer 信息,可能会发生此问题。

注册表中包含错误的有关office的信息。

要解决此问题,请运行Windows Installer 清理实用工具:,删除Windows Installer 注册表设置,然后就可以删除office 硬盘文件,或者重新安装Office。

Windows Installer 清理实用工具(下载地址/download/e/9/d/e9d80355-7ab4-45b8-80e 8-983a48d5e1bd/msicuu2.exeWindows Installer 清理实用工具可执行下列功能:1、提供一个对话框,您可以从中选择一个或多个由Windows Installer 安装的程序2、请在“Windows Installer 清理”对话框中的“已安装的产品”列表中选择所需程序。

选择后,实用工具只删除与这些程序有关的Windows Installer 配置信息。

3、删除构成所选程序的Windows Installer 配置信息的文件和注册表设置在出现错误信息时应该怎么办?Windows Installer 清理实用工具在出现问题时会通知您。

下表列出了Windows Installer 清理实用工具可能显示的错误信息及这些错误发生的原因。

该实用工具要求与Msizap.exe版本 2 或更高版本位于同一文件夹中。

原因:无法在Msicuu.exe 所在的同一文件夹中找到Msizap.exe 版本2。

您必须具有管理员权限才能运行此实用工具。

组策略禁用注册表、限制应用程序的方法及解除的方法

组策略禁用注册表、限制应用程序的方法及解除的方法

1.限制使用应用程序(Windows 2000/XP/2003)顺次点击“组策略控制台”→“用户配置”→“管理模板”→“系统”中的“只运行许可的Windows应用程序”,双击之后启用此策略,然后点击下面的“允许的应用程序列表”中的“显示”按钮。

会弹出一个“显示内容”的对话框,在这里单击“添加”按钮,然后添加你允许运行的应用程序即可。

以后一般用户就只能运行“允许的应用程序列表”中的程序,其他程序就无法运行了!2.禁用注册表编辑器(Windows 2000/XP/2003)为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。

具体操作方法:打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策。

此策略被启用后,用户试图启动注册表编辑器(Regedit.exe及Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。

如何解决上面谈到的利用组策略限制应用程序运行和禁用注册表编辑器的问题。

基于具体步骤差不多,就二为一解决这两个问题。

首先,开机时按F8键进入安全模式选项,选择其中的“带命令行提示的安全模式”,进入后打开命令提示符窗口,输入“mmc”(Microsoft管理控制台),按Enter键就打开了该程序。

接下来,点击“文件”菜单下的“添加/删除管理单元”(或直接用快捷键“Ctrl+M”),在出现的对话框中点击“添加”按钮,选定其中的“组策略”,点击“添加”,会出现“欢迎使用组策略向导”窗口,点“下一步”直到最后单击“完成”按钮即可,关闭可添加的管理单元列表,然后在“添加/删除管理单元”对话框中点击“确定”按钮,在“控制台根节点”窗口的左侧“控制台根节点”项目中会多了一个“本地计算机”,把它给展开,接下来的操作就跟你启用“限制使用应用程序”和“禁用注册表编辑器”时一样了。

具体步骤就不多说了,大家可以参考文章开头相关内容进行操作。

注意,您只需把“只运行许可的Windows应用程序”和“阻止访问注册表编辑工具”里的“启用”改为“未配置”就行了。

禁止域用户安装软件

禁止域用户安装软件

禁止域用户安装软件
貌似简单的问题,其实并不简单
1.域用户默认属于本地users组,是没有软件安装权限的.可是有些软件只要你把安装路径修改一下照样能够安装.比如wareshark就可以顺利逃过这一劫.原因是users组队program files 文件夹没有写权限,换个目录自然就搞定了.但是如果希望限制域用户安装卸载软件,这个限制还是很有必要的.
2.关闭installer服务.这个方法只能限制msi格式软件包的安装,所有exe com格式的软件包它管不着.
3.锁定注册表.这招太狠了,劝君莫用.因为某些安装好的软件在运行时也要修改注册表的.但是效果不错,用不用还要慎重考虑啊
4.修改组策略
a.运行,键入"gpedit.msc"
b.窗口左侧显示“本地计算机策略”,依次展开“用户配置”——“管理模板”——“系统”项目
c.此时右侧栏目会出现配置项列表,最重要的是修改“不要运行指定的Windows程序”和“只运行指定的Windows程序”,默认“未被配置”双击可进行修改
d.如果要禁用QQ、TM、MSN等IM工具,可以启用“不要运行指定的Windows程序”,在进程列表中输入程序的进程名,如"qq.exe"、"msn.exe"等依次添加。

其它类似,可以在任务管理器中查找应用程序的进程名,添加予以限制。

e.若限制比较严格,可使用“只运行指定的Windows程序”,就可以把非法程序全毙掉了
这种方法太繁琐,修改起来也麻烦,不推荐使用.
5.运行各种专用的管理软件,不过请支持正版事业.。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

何在2003域中限制用户安装和卸载软件的权限,我应该怎么通过设置
策略实现?
可以考虑“power users”组,改组是受限制的。

尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低,但“power users”组成员依然可以有较大权限来访问系统。

如果您的组织中使用了“power users”组,则应仔细地控制该组的成员,并且不要实现用于“受限制的组”设置的指导。

“受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置:
计算机配置\windows 设置\安全设置\受限制的组
通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上,管理员可以为gpo 配置受限制
的组。

如果某个组受限制,您可以定义该组的成员以及它所属的其他组。

不指定这些组成员将使该组完全
受限。

只有通过使用安全模板才能使组受限。

查看或修改“受限制的组”设置:
.打开“安全模板管理控制台。

注意:默认情况下,“安全模板管理控制台”并没有添加到“管理工具”菜单。

要添加它,请启动microsoft
管理控制台(mmc.exe) 并添加“安全模板”加载项
2.双击配置文件目录,然后双击配置文件。

3.双击“受限制的组”项。

4.右键单击“受限制的组”
5.选择“添加组”
6.单击“浏览”按钮,再单击“位置”按钮,选择需浏览的位置,然后单击“确定”。

注意:通常这会使列表的顶部显示一个本地计算机。

7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。

单击“高级”按钮,然后单击“立即查找”按钮,列出所有可用组。

选择需要限制的组,然后单击“确定”。

单击“添加组”对话框上的“确定”来关闭此对话框。

对于所列出的组来说,将添加当前不是所列组成员的任何组或用户,而当前已是所列组成员的所有
用户或组将从安全模板中删除。

为完全限制“power users”组,此组的所有用户和组成员的设置都将删除。

对于组织中不准备使用的内置组(例如“backup operators”组),建议您限制它。

如何使用组策略的进行软件分发和如何制作.msi文件?
软件分发是这样进行的:分配应用程序打开“软件安装”管理单元,单击控制台中的“软件安装”节点。

位置:group_policy_object_name-计算机配置(或用户配置)- 软件设置- 软件安装,右键单击详细信息窗格,单击“新建”,然后单击“软件包”。

在“打开”对话框中,单击要分配的“windows 安装程序”软件包,然后单击“打开”。

(“打开”对话框将显示位于默认软件分发位置的软件包。

有关如何设置默认软件分发位置的指示,请参阅相关主题。

)如果windows 安装程序包位于不同的网络共享位置,请单击“浏览”查找该软件包的分发位置。

在“部署软件”对话框中,单击“已分配”,然后单击“确定”。

有很多软件都可以制作msi文件,比如advanced installer,微软光盘也自带一个,不过并不好用,建议找第三方的工具。

域环境下,有很多职员可以用软件或光盘把本地帐号的密码破解的,请问有没有办法把本地管理员帐
号删除掉?或有没有更好的方法?
内置的本地管理员帐户是众所周知的帐户名,易于成为攻击者的目标。

建议您另外为该帐户选择一个名称,并且避免使用可表明管理身份或较高的访问权限帐户的名称。

同时,务必还使用“计算机管理”控制台来更改本地管理员的默认描述。

如果对此帐户进行了重命名,但是忘了更改默认描述:“管理计算机(域)的内置帐户”,这不足以职员的注意力。

还一定要记住,如果允许匿名帐户枚举系统上的用户,在很大程度上会与重命名管理员帐户所带来的安全好处相抵消。

如果使用“帐户: 重命名系统管理员帐户”设置,重命名此帐户及其描述,会强制攻击者在破解此帐户时,必须找出帐户名和密码,而不是只找出密码。

重命名后的帐户名及其描述不应当包括以下术语:root、su、admin、adm 或supervisor。

因此,建议使用“帐户: 重命名系统管理员帐户”设置,将此帐户重命名为不表明管理或较高特权访问帐户的名称。

这就是孙子兵法的
迷魂阵。

在部署策略时,遇到了冲突。

同事都不明白是怎么回事?
这是因为组策略有优先级,你要记住这些规则:计算机策略覆盖用户策略;不同层次的策略产生冲突时,子容器上的gpo优先级高;同一容器上多个gpo产生冲突时,处于gpo列表最高位置的gpo优先
级最高。

总体原侧就是:后执行的优先级高。

这样,处理方法是:
变更组策略的应用顺序;阻止继承;强制(禁止替代);避免变更应用顺序。

为了更好的理解,我在这里列举一个例子一起分析一下。

部署组策略时遇到冲突,如何调整要根据实际情况进行分析。

由于你没有说明是在什么情况下部署的组策略。

那么我要分几个情况来讲述。

如果对计算机和对用户的组策略发生冲突,则在缺省情况下,针对计算机的组策略优先;如果是本地组策略和域中组策略发生冲突,那么就要分析一下:如果是域环境下是是域安全策略生效,如果是本地用户登录,则是本地安全策略起作用。

由此我们知道了这个问题的实质就是优先级的高低。

本地组策略对象存储在各个本地计算机上。

一台计算机上只存储一个本地组策略对象,而且它有一个在非本地组策略对象中可用的设置子集。

如果二者的设置发生冲突,非本地组策略对象的设置能覆盖本地组策略对象的设置。

如果不冲突,则都可以应用。

_7Q4X U-n7b W(T
假设我们以配置用户桌面上有无“网上邻居”图标这一策略项为例来分析组策略冲突时的生效级别。

"I
l4r } |/v
一、同一ou上多个组策略
我们先在“active directory用户和计算机”中新建一个ou(组织单元)“1”,并在其中新建一个用户“lzy”。

然后我们给“1”这个ou建立两个组策略:一个命名为“有‘网上邻居’”,并对其进行配置,停用“隐藏桌面上的‘网上邻居’图标”这一项目;另一个命名为“无‘网上邻居”’,并对其进行配置,启用“隐藏桌面上的‘网上邻居’
图标”这一项目。

当这两个互相存在冲突的策略同时作用于ou“1”时,以排在最上面策略为准(策略由下而上执行,以最后执行的为准)。

即用户chen登录时桌面上还是有“网上邻居”图标的.
如果我们对排列在下的“无‘网上邻居”’策略设置了“禁止替代”,或者两者都设置了“禁止替代”,则以排在下面的“无‘网上邻居’”为准,即ou“1”中的用户lzy登录时桌面上将没有“网上邻居”图标。

其原因是“禁止替代”具有强行执行的效力,并且,依据“禁止替代的权限不可下降”的原则,先执行的“不可替代”项目将屏蔽
掉其后执行的“禁止替代”项目。

二、父ou和子ou
在域上新建ou“2”,并建立它的子ou“2(1)”,同时在子ou“2(1)”中建立用户“yangsir”。

在父ou“2”上新建一个组策略“无‘网上邻居’”,并对其进行相应配置;在子ou“2(1)”上新建组策略“有‘网
上邻居’”,并对其进行相应配置。

大家知道一个ou上的组策略在默认情况下是要继承到其子ou上的。

而这时子ou中的策略项目和其父ou上的项目存在冲突。

在这种情况下,以子ou上的项目为准(先执行父ou上的策略,后执行子ou上的策略,以后执行的为准),即子ou中的用户yangsir登录时,桌面上仍然有“网上邻居”图标。

另外,与第一种情况相同,如果父ou“2”上的“无‘网上邻居’”策略设置了“禁止替代’,即便是子ou“2 (1)”上的“有‘网上邻居”’也设置了“不可替代”,其最终执行结果依旧以先执行的父ou为准,即桌面无“网上邻居”。

三、“阻止策略继承”与“禁止替代” A
“阻止策略继承”将阻断子ou从父级ou乃至更高级ou或域上继承组策略设置。

而在父级ou的策略上设置“禁止替代”,将使设置在子ou上的“阻止策略继承”失效。

即这时用户yangsir登录时,产生效果的依旧是从父级ou上继承下来的,被设置为“禁止替代”的策略——“无‘网上邻居’”,这时桌面上将没有“网上
邻居”图标。