基于域环境的共享权限
1.配置域服务器
在域用户与计算机中新建ou(组织单元):
新建文件夹,共享,设置权限,与安全选项:
新建2个全局组,2个本地域组,一个用户:
在客户机网上邻居-文件夹选项,选中在文件夹中显示常见任务:
点击搜索active directory:
选择共享文件夹,lu等选项,点击开始查找:
搜索到相关共享文档:
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
服务器文件共享权限设置方法说明 随着企业的发展,利用计算机进行信息化管理变得越来越重要。员工进行计算机协同工作时,很多文件、资料需要共享。然而普通的共享方式对于很多信息是不安全的,因此我们需要对共享的权限进行控制,让不同身份的用户对文件夹、文件具有不同的访问权限。 下面就是设置权限访问的具体实施方法: 一、需求分析 1、为每个部门建立一个文件夹,文件夹允许对应部门的人员进行完全权限的访问,领导可进行只读访问,其他人员不能访问。 2、建立“常用软件”文件夹,计算机管理人员可以进行完全权限访问,其他人员进行只读访问。 3、建立“公司发文”文件夹,发文人员进行读写访问,其他人员进行只读访问。 4、建立“中转站”文件夹,用于人员之间的资料互换,所有人员具有读写权限。 5、建立“常用报表”文件夹,其中设立各类报表的子文件夹,并对子文件夹设立权限。 需要修改其中内容的人员具有读写权限,只需查看的人员具有只读权限,其他人员无权访问。(具体人员和相关访问权限另附) 二、设备配置 1、购买一台服务器计算机,并建好局域网。 2、服务器上安装Windows服务器操作系统,如Windows Server 2003。 3、安装文件服务器,文件服务器是Windows Server的一个组件。 4、服务器上至少有一个NTFS格式的磁盘分区,用于存放共享的资源。 三、文件夹建立 1、在NTFS格式的分区上建立一个文件夹作为共享根目录。 2、在根目录下建立各个分目录文件夹。如常用软件、常用报表、中转站、人力部、技术部、进出口部等。 3、在分目录下建立子目录文件夹。如常用报表下的生产日报表、船期表、纸样图等。 四、建立用户和组
电脑局域网共享设置 1. 硬件是否连通 我们在计算机的连机之前首先要确认的就是这两台计算机在网络上是否已经连接好了,也就是说硬件部分是否连通。可以通过开始-运行中用ping命令来检测。将两台计算机都最好是各自手动设置IP(比如172.192.0.1 子网掩码255.255.255.0 而另一个是172.192.0.2 子网掩码相同)使用命令ping 172.192.1.2(在IP是172.192.0.1 的计算机上使用)使用ping 172.192.0.1 (IP是172.192.0.2上使用)看两台电脑是否已经连通。若连通了就可以了,若没那就要检查硬件的问题了,比如网卡是不是好的有没有插好网线是不是好的一般也就这3个情况了。 关于IP的具体设置步骤: 我的电脑-控制面板-网络连接-本地连接右键属性-常规-找到TCP/IP协议-点下面的属性-常规-选择使用下面的IP地址,然后填IP和子网掩码就可以了。 2.在网络邻居看不到对方 请确认自己的工作组是否正确双方应在相同的工作组里面具体的操作如下: 电击“我的电脑右键-属性-计算机名”可以看到你的工作组。要修改的话就点“更改”就可以了。 3. 出现字句“您可能没有权限使用网络资源,请与这台服务器的管理员联系以查明您是否有访问权限” 在说明时没有特别指出的话我们都以默认的guest帐户连机 ⑴当你在自己的电脑上点机网络邻居的时候出现的,可能的原因有: ①XP本身所自带的网络防火墙没有关闭,请关闭。设置如下: 我的电脑-控制面板-网络连接-本地连接右键属性-高级就可以看到了,把那个勾去掉,不用管它的提示。 ⑵当你在网络邻居的查看工作组计算机里面看到了对方,但点击的时候出现上面字句的原因: ①恭喜你原因是出在对方的计算机上的 ②对方没有关掉防火墙(自身的,后来装的都有可能) ③对方没有开启guest帐户 ④位于我的电脑-控制面板-管理工具-安全设置-本地安全策略-用户权利指派中的“拒绝从网络登陆”看看有没,有guest 就删除 ⑸对方在注册表里做过一些修改如下: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000001 ;禁止空连接若改2则匿民用户无法连接你的IPC共享把这个删除就可以了。 4.连机是不是一定要开启guest帐户 答案是否定的,连机不一定非要开启guest帐户。只要你愿意,你甚至可以有管理员帐户登陆,只要更改相关的设置就可以了。设置如下: 我的电脑-控制面板-管理工具-安全设置-本地安全策略-安全选项中“网络访问:本地帐户的共享和安全模式”(默认是来宾)改为“经典”即可。然后连机点击对方的时候,用户那一栏是可以自己填的,可以用对方电脑上的任何已经开启了的用户进行登陆。不过需要注意的一点是在这个安全选项中还有一项那就是“帐户:使用空白密码的本地帐户只允许进行控制台登陆”也就是说对方电脑上的别的帐户,比如说管理员帐户密码是空的反而不能登陆。这时可以关掉这个项或者让对方给需要登陆的帐户设置个密码。 5.关于guest帐户的一些问题
如何对局域网共享文件设置访问权限 电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。这篇文章主要介绍了如何对局域网共享文件设置访问权限、如何对不同电脑设置不同权限,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧 具体介绍 许多企业日常工作离不开文件共享,通常是在一台文件服务器存储共享文档,局域网内的用户就可以通过访问这台服务器来读取、上传、下载自己所需要的文件了,那么问题来了,如何对不同的用户设置不同的访问权限呢?例如只允许某个用户读取而不允许其上传、删除文件要如何实现呢? 通过大势至共享文件管理系统可以简单的解决这个问题并在服务器安装运行主程序SharedFileMonitor,然后点击软件左上角的“启动保护”按钮。软件启动后会自动扫描本机的共享文件,并显示在共享文件列表,如下图所示:
如果想要为局域网内不同电脑设置不同的访问权限,则需要将软件默认的用户名模式改为MAC地址模式,方法是点击软件顶部“全局设置”,勾选“启用MAC权限模式”,这样,左侧的用户列表就会变为MAC地址列表,如下图所示: 然后就是设置访问权限了,操作步骤也很简单,首先选中要设置权限的共享文件夹,然后在左侧MAC列表选中MAC 地址,最后勾选用户权限,如下图所示,表示对共享文件设置了禁止删除的权限。 同样的,通过大势至共享文件管理系统,可以实现对共享文件的权限设置包括:禁止删除、禁止修改、禁止剪切/重命名、禁止新建、禁止复制/拖拽文件、禁止复制文件内容、禁止另存为、禁止打印、禁止读取。此外还可以详细记录共享文件的访问操作日志,便于管理者查询和备份。 相关阅读:2018网络安全事件: 一、英特尔处理器曝“Meltdown”和“Spectre漏洞” 2018年1月,英特尔处理器中曝“Meltdown”(熔断)和
http: 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答: 根据您的描述,我对这个问题的理解是: 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.
我为机房装了深蓝GHOSTXP_SP3纯净版 4.2_N260的系统,因为有大量的机器要装,还要装软件挺麻烦的。所以我就用了这种ghost的安装,安装是挺顺利的。但是接着问题就出现了,因为学生们用工作组共享的方法去往教师机上存放和下载东西。可是当机器之间互相访问时出现了以下的错误提示: 这又是怎么回事呢?我在网上找了好多的局域网共享的解决办法,都是行不通的。但是有必要看看别人排错的经验和步骤呀? 其实,做最简单的操作就是这种GhostXP系统在他们封装的时候,就已经将部分不经常用的安全选项给禁用了。在Ghost xp的ISO文件中,又“维护工具”他们就已经为我们这些菜鸟准备好了。只要执行以下几个批处理文件和注册表项的修改就好了。 不过,想了解封装的那些家伙搞了什么鬼,就有很多原因会造成你这中情况...需要你一一排除 1.策略阻止网络访问(没有权限访问,登录失败) 在运行里输入gpedit.msc,弹出组策略管理器,在‘计算机配置-Windows设置-本地策略-用户权利指派’中,有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机,如果其中有GUEST账号,解决办法是删除拒绝访问中的GUEST 账号。 2.起用Guest(来宾)账户(双击网上邻居电脑需要密码) Account active Yes;如果该账户不是活动的,请使用下面的命令授予来宾账户网络访问: yes 或者在管理工具->计算机管理->本地用户和组中打开Guest账户 正确安装网络组件,是否开启NETBIOS。
目前,大多数网络是混合网,因此需要在TCP/IP协议上捆绑NETBIOS解析计算机名。查看是否选定“文件和打印服务”组件,如果已将其取消选中,“浏览服务”将不绑定到NetBIOS接口。成为备份浏览器并且没有启用“文件和打印共享”的基于Windows的计算机无法将浏览列表与客户机共享。任何将要包括在浏览列表中的计算机也都必须启用“文件和打印共享”。 如果装有防火墙和把防火墙关掉.! 多种方法访问“网络计算机” 例如要打开网络中名为“Killer”的计算机,其IP地址为 192.168. 1.8,如果你不清楚其它机器的IP地址,你可以使用“PING计算机名”来获得它的IP地址。用计算机名访问,NETBIOS提供的服务。点击“开始”菜单,单击“运行”,在地址栏输入“\Killer”,单击“确定”。用IP地址访问,在地址输入栏中输入“\ 192.168. 1.8”,单击“确定”。局域网文件共享设置方法 悬赏分:0 |解决时间:2009-1-13 21:33 |提问者: lei52113 具体情况是这样的,在局域网工作组里地址是 10.67.**.**,但是在 10.67.**.**这个地址后面有两台电脑,这台机子是双网卡换有个地址IP是 192.168. 0.1,另一台机子是 192.168.
共享文件夹权限整理 1.权限简介 1.1 用户组简介 Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。 Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。 Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。 Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。 Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。 其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
域网访问报无权限解决方法: 1、设置本地的administrator账户的密码; 2、设置网络访问模式为经典模式; 3、设置允许从网络访问计算机的用户账户(加入Guest组); 4、设置禁止从网络访问计算机的用户账户(删除Guest组)。 设置方法: 开始→运行gpedit.msc-→计算机配置→windows设置→安全设置(Security Settings)→本地策略(Local Policies) 1、用户权利指派(User Rights Assignment)→从网络访问此计算机(Access this computer from the network)→添加Guest组. 2、用户权利指派(User Rights Assignment)→拒绝从网络访问这台计算机(Deny access to this computer from the network)→删除Guest组. 3、安全选项(Security Options)→网络访问:本地账户的共享和安全模式(Network access:Sharing and security model for local accounts)→更改为经典模式. 如果你完全按照了上面的方法操作,网络仍然不能访问,请运行REGEDIT,到: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 上将此子健中的值restrictanonymous 设为0就行了。 把:restrictanonymoussam的值也改成0吧。 以下是说明: 1、RestrictAnonymous 中登记了控制任何用户获取本机信息的级别的设置,如果RestrictAnonymous 被设置为0(默认值)的话,任何用户都可以通过网络获取本机的信息,包含用户名,详细的帐号策略和共享名。这些信息可以被攻击者在攻击计算机的时候所利用。通过这些信息,攻击者就有可能了解到当前计算机的系统管理员帐号,网络共享的路径以及不健壮的密码。修改此安全级别的方法如下:运行Regedit.exe 编辑注册表,定位到子健HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 上将此子健中的值restrictanonymous 由不安全的0值修改为安全级别高一些值1 或2。注意:此安全级别如果提高的话有可能造成本计算机在局域网内无法被访问到。 2、当禁用了TIP/IP高级选项中的Wins中的NetBios设置,局域网无法被访问到。 3、如果中了震荡波病毒将不能访问到局域网。
共享文件夹权限设置问题 WINDOWS-2003-SERVER共享设置很罗唆,罗索的代价是换来点点安全,个人认为WINDOWS、NETWARE、UNIX、LINUX这些服务器操作系统里还是UNIX、LINUX最好,安全简单易于操作。WIN2003SERVER用在普通服务器和简单管理上还是不错的,毕竟是窗口界面,易于操作。写这些很麻烦,光截图就够我受的,希望能给与你一些帮助,共同交流学习!以下灌水贴多,不要怪罪! (图片截取、软件环境来自Windows 2003 Server企业正版用户,XP来自正版专业版) W2003设置共享文件有4种方式,你可以看系统帮助文件有介绍的,在索引里键入“共享”查看相关主题,里面介绍了3种方法,文件夹直接设置,计算机管理共享设置,命令行设置。我贴些图是介绍文件夹共享设置和计算机管理设置。 首先你要开启部分网络共享服务,在管理工具的服务项目里找。安全设置服务里可以设置网络登陆用户帐号保留的时间长短, 先开始设置文件共享。 假设你的公司有老板,部门经理,普通人员访问共享,老板可以查看所有共享并修改,部门经理查看所有共享但不能修改,普通人员只能查看部门制定的文件,怎样让他们有不同权限和级别,关键看你对他们用户权限的定义。 假设老板取用户名为ADMIN,部门经理取名为:EASY,普通人员取名为:TEMP, 那么首先打开【开始】【管理工具】【计算机管理】中的【本地用户和组】,一一将这些用户添加进去,记住这三个用户均要设置密码,并且密码均不一样。 当ADMIN EASY TEMP 帐号都添加进去后,记住把用户列表里的Guest Everyone用户停用了,就是右键点击属性,把账户已禁用这个复选框打上勾。 当所有用户都已添加完成时,然后就是给这些用户赋予权限了,赋予权限的不同,所操作共享的级别也不同。 点击计算机管理左边目录树的组文件夹,在右边窗口空白处点击右键,选择添加新组。 设定一个组名成为KAKA,然后再点击界面上的【添加】按钮,弹出对话框,点击【高级】,弹出对话框,点击【立即查找】,这是现面就显示出刚才你添加的哪几个用户了,双击admin,返回了上一个对话框,这是你看到ADMIN用户已添加到白色的添加框里了,再点击【高级】【立即查找】,双击easy,返回上一个对话框,再点击【高级】【立即查找】,双击temp,返回上一个对话框,如图所示,这时候这三个用户就都添加进去了,点击【确定】按钮,点击下个对话框里的【创建】按钮!点击【关闭】OK! 然后你在点击目录树用户文件夹,接着返回用户对话框里,右键点击TEMP用户属性,点【隶属于】标签,发现temp用户隶属于两个组,删处Users这个隶属组,让TEMP用户直隶属于KAKA这个组,依次改了ADMIN,EASY两个用户的隶属,让这三个用户只属于KAKA组,为什么这样做,是因为如果他们属于两个组,当你设置某些文件夹共享属性时,当他们无法以KAKA组用户成员查看时,却可以换身份以其他组成员身份进入,这样你设置的共享权限密码也就失去作用了。 至此,这三个用户身份的界定以完成。开始设置他们在共享文件夹中担当的角色和级别了 假设我们在C盘有一个wmpub文件夹要设置在网络中共享,让大家都可以看到,该文件夹里面又有三个文件夹,一个caiwu一个tools一个wmiislog,3文件夹让经理和老板看到,并且老板可以修改任何一个文件
我为机房装了深蓝GHOSTXP_SP3纯净版4.2_N260的系统,因为有大量的机器要装,还要装软件挺麻烦的。所以我就用了这种ghost的安装,安装是挺顺利的。但是接着问题就出现了,因为学生们用工作组共享的方法去往教师机上存放和下载东西。可是当机器之间互相访问时出现了以下的错误提示: 这又是怎么回事呢?我在网上找了好多的局域网共享的解决办法,都是行不通的。但是有必要看看别人排错的经验和步骤呀? 其实,做最简单的操作就是这种Ghost XP系统在他们封装的时候,就已经将部分不经常用的安全选项给禁用了。在Ghost xp的ISO文件中,又“维护工具”他们就已经为我们这些菜鸟准备好了。只要执行以下几个批处理文件和注册表项的修改就好了。 不过,想了解封装的那些家伙搞了什么鬼,就有很多原因会造成你这中情况... 需要你一一排除 1.策略阻止网络访问(没有权限访问,登录失败) 在运行里输入gpedit.msc,弹出组策略管理器,在‘计算机配置-Windows设置-本地策略-用户权利指派’中,有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机,如果其中有GUEST账号,解决办法是删除拒绝访问中的GUEST账号。 2.起用Guest(来宾)账户(双击网上邻居电脑需要密码) 使用net user guest确保为网络访问设置了来宾账户,如果该账户是活动的,命令输出中会出现一行类似下面这样的内容:Account active Yes;如果该账户不是活动的,请使用下面的命令授予来宾账户网络访问:net user guest /active:yes 或者在管理工具->计算机管理->本地用户和组中打开Guest账户 正确安装网络组件,是否开启NETBIOS。 目前,大多数网络是混合网,因此需要在TCP/IP协议上捆绑NETBIOS解析计算机名。查看是否选定“文件和打印服务”组件,如果已将其取消选中,“浏览服务”将不绑定到NetBIOS 接口。成为备份浏览器并且没有启用“文件和打印共享”的基于Windows的计算机无法将浏览列表与客户机共享。任何将要包括在浏览列表中的计算机也都必须启用“文件和打印共享”。 如果装有防火墙和把防火墙关掉.! 多种方法访问“网络计算机” 例如要打开网络中名为“Killer”的计算机,其IP地址为192.168.1.8,如果你不清楚其它机器的IP地址,你可以使用“PING计算机名”来获得它的IP地址。用计算机名访问,NETBIOS 提供的服务。点击“开始”菜单,单击“运行”,在地址栏输入“\Killer”,单击“确定”。用IP地址访问,在地址输入栏中输入“\192.168.1.8”,单击“确定”。
域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”,选择“管理” b。选择“本地用户和组” c。选择“组”, d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务,双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5。在弹出窗口中,选择添加。 6。输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。需要修改服务,驱动,系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份,不属于管理员直接拒绝。 由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。
域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候,默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,Domain Users组只隶属于本地的Users组,在本地的administrators组中没有Doamin Users组;然而安装windows服务必须是本地administrators组中的用户才可以安装。
从上图中可以看到,Domain Admins组默认就是在本地的administratos组中
的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除,后果就导致了只有本地管理员能安装windows服务,域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务,就需要获得本地的administrators组的权限,有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中,然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1: 创建datong.vbs,内容如下: Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域(例如https://www.doczj.com/doc/ba8954001.html,)”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”
局域网内所有电脑的文件共享设置 应用场景: 在同一个路由器下挂的两台电脑A和B(或多台)可以互相共享文件,如电脑、音乐等,不需要下载下来,可以直接双击访问,并且可以设置权限对共享的文件只读或删改。 优势:操作简单,功能强大,由于在同一个局域网内传输速度很快,并且不需要双方同时操作(同时操作指一端发另一端要点击接收),如电脑A有个文件夹要传到周围几个人看,这个A时候可以在局域网内设置共享文件夹,其它同事有空就可以上去看,也可以下载下来。 缺点:这种共享设置受局域网管理员的管理,如果管理员出于信息安全的目的关闭了这个功能,那就只能采用其它方法了。操作方法: 1、将两台电脑都连接到同一个路由器下面,这里以TP-LINK路由 器为例,型号为TL-WR886N,连接方式可以是有线或无线。设想场景是电脑A 要共享文件夹01,电脑B要访问,并且B要修改文件夹01的内容,同时将文件02上传到文件夹1中。( 电脑A的系统为win7 32位旗舰版,电脑B为 win7 64位专业版)。 2、在电脑A的E建立“文件夹1”,并保存有3首MP3和1部电 影,如图1、2所示。
图1 图2 3、选中文件夹1并点击鼠标右键,在出现的菜单中选择“属 性”。在出现的属性界面中点击共享,如图3所示。
点击“共享”选项,如图4所示 图4 接着出现“文件共享”的界面,如图5,点击选择框的下拉选项,选定 “Everyone”,再按“添加”。
图5 图6
图7 点击“安全”的设置界面,选中“everyone”以后点击“编辑”,可以对来访用户的权限进行设置,包括读取、修改和写入。 图8
通过“应用到”和“权限”的结合,可以进行任意的权限设置。 文件夹共享和安全权限设置<实例:只允许用户新建文件夹和管理所建文件夹权限> 目的: 文件服务器上的一个共享文件夹Share(NTFS),需要允许域中的用户组Domain Users用户在S hare根目录下进行文件夹新建,改名,但是不允许新建文件。同时Domain Users用户组中的用户要求对自己所创建的文件夹有完全控制权限<包括删除>,并且可以对文件夹能进行权限更改。 操作: 一,共享权限设置: 选中文件夹Share ——属性——选中<共享>选项——选中<共享此文件夹>,在下方文本框中输入共享名――点击< 权限>按钮――权限对话框中默认为Everyone ――将并设置为完全控制。(这里你也可以只对Domain Users用户组授予完全控制权限)如下图: 共享权限: “读取”权限允许:
查看文件名和子文件夹名 查看文件中的数据 运行程序文件 “更改”权限除允许所有的“读取”权限外,还允许: 添加文件和子文件夹 更改文件中的数据 删除子文件夹和文件 “完全控制”权限除允许全部“读取”及“更改”权限外,还允许: 更改权限(仅适用于NTFS 文件和文件夹) 二,安全权限设置: 在属性对话框中――选中<安全>选项――点右下角的<高级>按钮――出现<高级安全设置>对话框,去除<允许父项的继承权限传播到该对象和所有子对象>前面的复选框――出现一个<安全>提示对话框,点击<复制>――此时,在<权限项目>下面的方框中――有Administrators(本地管理员组),SYSTEM,CREATOR OWNER,Users(本地普通用户组,可以删除)四个对象和相应的权限――添加――选择域中的Domain Users用户组, 确定――出现
XP系统局域网共享权限设置方法 "打开桌面上“我的电脑”快捷图标,在开启的主界面中依次打开“工具→文件夹选项”,在打开的对话框中单击“查看”选项卡,去除“使用简单共享(推荐)”的勾选。然后打开“控制面板”,双击“用户账户”选项,创建一个带有密码的用户。以鼠标右键单击需要共享的文件夹,单击右键菜单上的“共享和安全”选项,单击“共享”选项卡,点选“共享该文件夹”选项,单击“权限”按钮,在“权限”设置框中选中everyone”,单击“删除”按钮将其删除。再单击“添加”按钮,选择刚刚设置有密码的账户,单击“确定”按钮即可。这样当局域网的用户想查看该共享文件夹时,只有输入正确的用户名和密码才能进入。"" 按照上述方法操作后,局域网共享文件访问提示没有访问权限,需怎么操作? 访问报无权限解决方法: 1.设置本地的administrator账户的密码. 2.设置网络访问模式为经典模式. 3.设置允许从网络访问计算机的用户账户(加入Guest组). 4.设置禁止从网络访问计算机的用户账户(删除Guest组). 设置方法:
开始--> 运行gpedit.msc--> 计算机配置--> windows设置--> 安全设置(Security Settings)--> 本地策略(Local Policies) 1.:用户权利指派(User Rights Assignment)-->从网络访问此 计算机(Access this computer from the network)-->添加Gue st组. 2.:用户权利指派(User Rights Assignment)-->拒绝从网络访 问这台计算机(Deny access to this computer from the netw ork)-->删除Guest组. 3.:安全选项(Security Options)-->网络访问:本地账户的共享 和安全模式(Network access:Sharing and security model fo r local accounts)-->更改为经典模式. 如果你完全依了上面的方法都不行,请运行REGEDIT,到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 上将此子健中的值 restrictanonymous设为0就行了。 把:restrictanonymoussam的值也改成0吧。 以下是说明: 1、 RestrictAnonymous 中登记了控制任何用户获取本机信息的级别的设置,如果 RestrictAnonymous 被设置为0(默认值) 的话,任何用户都可以通过网络获取本机的信息,包含用户名,
https://www.doczj.com/doc/ba8954001.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
局域网中,设置共享文件夹权限 好久没有折腾电脑了,应同事需要,上网找了这篇资料,搞定! 浏览原贴请点击https://www.doczj.com/doc/ba8954001.html,/edu/1533/2006/1018/10du152531_1.shtml 假定有三台电脑分别是 Computer01 Computer02 Computer03 用户分别是 \\Computer01\User01 \\Computer02\User02 \\Computer03\User03 \\Computer01\User01 想把自己的\\Computer01\movie 只共享给\\Computer02\User02,而\\Computer03\User03 则无法打开。 \\Computer01\User01 应该执行以下步骤: 给每台电脑的每个用户都设置密码,尤其不要忘记administrator只有设置了密码,用户才会被其他电脑识别。为没有密码的用户设置权限是没有意义的。 运行gpedit.msc 打开"本地计算机"策略->计算机配置->Windows 设置->安全设置->本地策略->安全选项。 设置网络访问:本地帐户的共享和安全模式为典型:本地用户作为自身进行验证。 这样就可以识别来访者的身份,否则所有的来访用户都被视为Guest 打开控制面板,管理工具,计算机管理,计算机管理(本地),系统工具,本地用户和组,用户 添加用户User02 并输入密码 这样\\Computer02\User02 就可以登陆到Computer01 在movie文件夹上点右键,进入共享与安全,共享该文件夹 点权限按钮,删除Everyone 并添加User01 和User02 (必须添加User01,否则不能实现。如User01为administrator,可不添加) 这样登陆到Computer01的User02就可以读取\\Computer01\movie文件夹了 文件夹共享后,同一局域网的电脑都可以直接打开, 但只想让一部分朋友看见里的内容。 1.禁用Guest账号,然后添加一个账号并设置密码(你和你朋友知道的). 2.修改用户访问策略 单击“开始→运行”,在运行框中输入“gpedit.msc”,在组策略窗口中依次展开“本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,打开“从网络访问此计