windows server 2008 下怎么让普通账户变成和Administrator一样的权限!
添加到administrator组后 删除其他隶属组 应用保存 试试吧。
追问
关键是别的组还有用户!现在就想把一用户的权限和Administrator一样!
回答
我的意思是:将需要管理员权限的用户添加到administrator组后,删除该用户隶属的其他组,跟其他组里有没有用户没关系。
意思就是将该用户直接拉入administrator组。
你再试试,一定要删除此用户其他隶属组(windows用户权限是不可逆的,就是说如果该用户同时在administrator组与guests组时,guests组的权限会约束他)。
windows serve 2008上普通用户关机权限设置技巧
在windows serve 2008上创建的普通用户默认不具备关机权限,我们只要用管理员帐号进入系统,经过简单设置就可以了。
我们在Win2008开始菜单中输入 secpol.msc打开本地安全策略,我们定位到“本地策略”-“用户权限分配”,在右边我们可以找到“关闭系统”,这里我们可以看到默认情况下只有Administrators组用户和Backup Operatorsr组用户可以关闭Windows Server 2008系统。
接下来我们双击“关闭系统”设置该安全策略的属性,在打开的“关闭系统 属性”对话框中单击“添加用户或组”按钮,
在弹出的“选择用户或组”对话框中我们输入用户名,这里我们的用户名为“Vista地带”,然后单击右边的“检查名称”按钮即可确定即可。
Windows 2008如何能像Vista一样,可以从右键取得管理员权限的注册表文件???
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
@="管理员取得所有权"
[HKEY_CLASSES_ROOT\*\shell\runas\Command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
"IsolatedCommand"="\"%1\" %*"
[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="管理员取得所有权"
[HKEY_CLASSES_ROOT\Directory\shell\runas\Command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
复制以上代码保存为2008.reg导入注册表即可
Windows Server 2008常见的安全设置
相信很多人都知道Windows Server 2008系统的安全功能非法强大,而它的强大之处不仅仅是新增加了一些安全功能,而且还表现在一些不起眼的传统功能上。这不,巧妙对Windows Server 2008系统的组策略功能进行深入挖掘,我们可以发现许多安全应用秘密;现在本文就为各位朋友贡献几则这样的安全秘密,希望能对大家有用!
1、限制使用迅雷进行恶意下载
在多人共同使用相同的一台计算机进行工作时,我们肯定不希望普通用户随意使用迅雷工具进行恶意下载,这样不但容易浪费本地系统的磁盘空间资源,而且也会大大消耗本地系统的上网带宽资源。而在Windows Server 2008系统环境下,限制普通用户随意使用迅雷工具进行恶意下载的方法有很多,例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能,或者通过限制下载端口等方法来实现上述控制目的,其实除了这些方法外,我们还可以巧妙地利用该系统的软件限制策略来达到这一目的,下面就是该方法的具体实现步骤:
首先以系统管理员权限登录进入Windows Server 2008系统,打开该系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行文本框中,输入“gpedit.msc”字符串命令,进入对应系统的组策略控制台窗口;
其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“创建软件限制策略”命令;
接着在对应“软件限制策略”选项的右侧显示区域,用鼠标双击“强制”组策略项目,打开如图1所示的设置对话框,选中其中的“除本地管理员以外的所有用户”选项,其余参数都保持默认设置,再单击“确定”按钮结束上述设置操作;
图1 软件限制策略
下面选中“软件限制策略”节点下面的“其他规则”选项,再用鼠标右键单击该组策略选项,从弹出的快捷菜单中点选“新建路径规则”命令,在其后出现的设置对话框中,单击“浏览”按钮选中迅雷下载程序,同时将对应该应用程序的“安全级别”参数设置为“不允许”,最后单击“确定”按钮执行参数设置保存操作;
重新启动一下Windows Server 2008系统,当用户以普通权限账号登录进入该系统后,普通用户就不能正常使用迅雷程序进行恶意下载了,不过当我们以系统管理员权限进入本地计算机系统时,仍然可以正常运行迅雷程序进行随意下载。
2、拒绝网络病毒藏于临时文件
现在Internet网络上的病毒疯狂肆虐,一些“狡猾”的网络病毒为了躲避杀毒软件的追杀,往往会想方设法地将自己隐藏于系统临时文件夹,那样一来杀毒软件即使找到了网络病毒,也对它无可奈何,因为杀毒软件对系统临时文件夹根本无权“指手划脚”。为了防止网络病毒隐藏在系统临时文件夹中,我们可以按照下面的操作设置Windows Server 2008系统的软件限制策略:
首先打开Windows Server 2008系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入对应系统的组策略控制台窗口;
图2 将“安全级别”参数设置为“不允许”
其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新建路径规则”命令,打开如图2所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入Windows Server 2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。
3、禁止来自外网的非法ping攻击
我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击:
首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;
其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;
接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;
图3 协议类型列表中选中“ICMPv4”,
之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。
小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作:
首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项,该子项下面保存有很多安全规则;
其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“确定”按钮执行设置保存操作,如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。
4、禁止普通用户随意上网访问
通常Windows Server 2008系统都被安装到重要的计算机中,为了防止该计算机系统受到安全威胁,我们往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限,又会影响特权用户正常上网,那么我们如何才能限制普通用户上网,而又不影响特权用户进行上网访问呢?其实很简单,我们可以按照下面的操作来修改Windows Server 2008系统的组策略参数:
首先以普通权限的帐号登录Windows Server 2008系统,打开对应系统中的IE浏览器窗口,单击其中的“工具”菜单项,从下拉菜单中点选“Internet选项”命令,弹出Internet选项设置窗口;
其次点选Internet选项设置窗口中的“连接”选项卡,进入连接选项设置页面,单击该设置页面中的“局域网设置”按钮,选中其后设置页面中的“为LAN使用代理服务器”选项,再任意输入一个代理服务器的主机地址以及端口号码,再单击“确定”按钮执行参数设置保存操作;
之后注销Windows Server 2008系统,换用具有特殊权限的用户帐号重新登录进入Windows Server 2008系统,依次点选“开始”、“运行”命令,在其后出现的系统运行框中输入“gpedit.msc”命令,单击“确定”按钮后,进入对应系统的组策略控制台窗口;
图4 禁止普通用户随意上网访问
选中该控制台窗口左侧位置处的“计算机配置”节点选项,再从目标节点下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”子项,再用鼠标双击目标子项下面的“禁用连接页”组策略项目,此时系统屏幕上会弹出如图4所示的目标组策略属性设置对话框,选中“已启用”选项,再单击“确定”按钮执行设置保存操作,这么一来,普通权限的用户日后在Windows Server 2008系统中尝试访问网络时,IE浏览器会自动连接一个失效的代理服务器,那么IE浏览器自然也就不能正常显示网络页面内容了;而具有特殊权限的用户在Windows Server 2008系统中尝试进行网络访问时,IE浏览器会直接显示出目标站点的内容,不需要通过代理服务器进行中转。
5、断开远程连接恢复系统状态
很多时候,一些不怀好意的用户往往会同时建立多个远程连接,来消耗Windows Server 2008服务器系统的宝贵资源,最终达到搞垮服务器系统的目的;为此,在实际管理Windows Server 2008服务器系统的过程中,一旦我们发现服务器系统运行状态突然不正常时,可以按照下面的办法强行断开所有与Windows Server 2008服务器系统建立连接的各个远程连接,以便及时将服务器系统的工作状态恢复正常:
首先在Windows Server 2008服务器系统桌面中依次点选“开始”、“运行”选项,在弹出的系统运行对话框中,输入“gpedit.msc”命令,单击回车键后,进入目标服务器系统的组策略控制台窗口;
图5 删除所有用户远程访问连接
其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支,并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项,之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项,在弹出的如图5所示的选项设置对话框中,选中“已启用”选项,再单击“确定”按钮保存好上述设置,这样一来Windows Server 2008服务器系统中的的各个远程连接都会被自动断开,此时对应系统的工作状态可能会立即恢复正常。
怎么获取windows server 2008管理员权限
加入管理员组 要不就是让Administrator给予权限
关于Windows Server 2008 文件夹共享权限设置问题
最近帮一个客户在一台Windows Server 2008 R2 上设置文件夹共享权限,客户没有很变态的要求,就只是简单的某几个账号或组有FullConstrol 某几个有ReadOnly就这样,看似很简单的,不过设置过程中发现了一些问题,特开贴和大家请教或分享。 以下内容均在测试环境,非我客户的正式环境。
测试环境:
Windows 2008R2 做共享,所用账号均为本地账号,无AD环境。
访问的客户端:XP SP2
分享一:
在服务器上开设一账户:User1 并加入administrators组
设置一共享文件夹,权限为:
设置完成后,在一客户端用user1访问test文件夹,结果提示没权限
为了证实确实是User1用户访问,请看:
纳闷了,明明user1是属于administrators组,怎么就没权限访问了呢?
单独添加一个user1到共享权限里面去,试试。
说明对administrators授权进行的访问,貌似在windows 2008上是不行的,原因是什么呢?还希望有知道的朋友分享分享。
分享二:
根据情形一的设置,手动添加了添加user1有读/写,同时还是属于administrators组,那么理论上,删除修改添加应该都没问题吧,谁知道:
那么是不是还存在有个windows 2003 共享权限的设定呢?答案是肯定的。那在哪里呢?就在下面这个位置:
实际上,上面的例子,在实际使用中应该不存在的,因为经过发现在Windows 2008上,对文件夹右键菜单里面的【共享】,并选择【特定用户】确定之后,里面貌似就自动添加了Everyone 并给了FullControl权限。以上只是希望通过这个问题,告诉大家还有这个权限的存在。
同时在这里面添加的用户会自动添加到【安全】权限中,当然,相反在【特定用户】里面删除掉用户,那么【安全】里面也就没有了。
以前在2003的时候,一般都是需要手动设置【共享权限】给于Everyone 完全控制,然后在【安全】里面做限制,现在到了2008,只需要在【特定用户】这个界面做一步操作就可以了。但是更详细的权限设置,还是需要到【安全】里面做操作。
有时候,在【特定用户】里面添加完用户,回到【安全】里面看,却发现没有,这个时候需要点【编辑】之后,就会看到了。
还有,在【特定用户】里面是不会显示Everyone和Users这2个组的,就算手动添加,确定之后,再回到这里,也看不到。不过在【安全】里面就可以看到了。是否还有其他组,暂时还没发现。
关于第一个问题:
1,在08R2里,多出了一个共享的项目,我们在这里可以发现,一个用户属于管理员组,如果这个用户创建了一个文件夹,默认情况下,这个文件夹的共享权限是这个用户可以读写,管理员组拥有所有权,针对这个管理员组的所有者,是不能够进行权限的叠加和分减,这是一个特性,因为他是所有者,所以你共享后user1没有权限访问,因为共享里只有administrator读写并没有其他用户
2,第二个问题也是同上,共享里user1可以读写,虽然他属于管理员组,在安全里管理员组的成员有完全权限,但所有者是一个特性只有在特殊时候使用,比如夺权的时候,所以他不参与叠加权限,故 user1没有权限新建,因为他没有安全里的读写权限
3,08R2的高级全先去到是和以前的系统差不多!这个大家都懂就不多说了!
总结,所有者是一个特性,是一个特殊的群组,每个文件夹都会有这个管理员的存在,所有应该是不会赋予我们形象中的那种权限,只会在特使请看看下进行夺权使用!
| 最近帮一个客户在一台Windows Server 2008 R2 上设置文件夹共享权限,客户没有很变态的要求,就只是简单的某几个账号或组有FullConstrol 某几个有ReadOnly就这样,看似很简单的,不过设置过程中发现了一些问题,特开贴和大家请教或分享。 以下内容均在测试环境,非我客户的正式环境。
更多1
楼主关注
版主推荐 |
|
大区版主 On My Way! 帖子 精华 无忧币
|
发表于 2012-3-12 22:01 | 来自 51CTO网页 [只看他] 沙发 关于第一个问题:
|
|
初级工程师 帖子 精华 无忧币
|
发表于 2012-3-14 09:01 | 来自 51CTO网页 [只看他] 板凳 引用:原帖由 IT之梦 于 2012-3-12 22:01 发表 感谢版主非常详细的解释。根据您的解释,我的理解就是如果【所有者】是管理员组,由于特性,所以权限不能叠加。导致不能正常进行访问。之前我的文件夹确实【所有者】是administrators,下面的测试我做了修改: 本帖最后由 acern 于 2012-3-14 09:06 编辑 |
|
大区版主 On My Way! 帖子 精华 无忧币
|
发表于 2012-3-14 09:24 | 来自 51CTO网页 [只看他] 地板 引用:原帖由 acern 于 2012-3-14 09:01 发表 我测试了一下,平台是windows server 2008 R2 6.1版本,没有发现这个问题!在特定用户里,可以正常添加everyone和users!
|
|
初级工程师 帖子 精华 无忧币
|
发表于 2012-3-14 10:21 | 来自 51CTO网页 [只看他] 5# 引用:原帖由 IT之梦 于 2012-3-14 09:24 发表 可以添加,只是在【特定用户】的界面里面不会显示,在【安全】选项卡会有显示。当然添加之后,也是生效的。 |
|
大区版主 On My Way! 帖子 精华 无忧币
|
发表于 2012-3-14 10:59 | 来自 51CTO网页 [只看他] 6# 引用:原帖由 acern 于 2012-3-14 10:21 发表 我现在没有工作组环境 我在域里可以正常显示,授权后可以正常访问!
|
|
技术员 帖子 精华 无忧币
|
发表于 2013-3-21 08:47 | 来自 51CTO网页 [只看他] 7# 引用:原帖由 IT之梦 于 2012-3-14 10:59 发表 艳阳,如果是本地帐号的共享访问需要将本地组策略中的“网络访问:本地帐户的共享和安全模型改为:经典-对本地用户进行身份验证……” share.PNG (176.82 KB) 2013-3-21 08:47
share-02.PNG (27.98 KB) 2013-3-21 08:47
|
|
大区版主 On My Way! 帖子 精华 无忧币
|
发表于 2013-3-21 08:58 | 来自 51CTO网页 [只看他] 8# 引用:原帖由 boy_hxm 于 2013-3-21 08:47 发表 收到!共享向导是给傻瓜用户使用的!不需要基础用户操作过多就可以达到共享的目的!对于我们来说取消是对的!
|
|
技术员 帖子 精华 无忧币
|
发表于 2013-3-21 09:07 | 来自 51CTO网页 [只看他] 9# 引用:原帖由 IT之梦 于 2012-3-14 10:59 发表 还有一点忘记了,这里还需要开通一些策略,可以在网络搜索“匿名用户访问共享文件夹”都有介绍。 |
|
技术员 帖子 精华 无忧币
|
发表于 2013-3-21 09:19 | 来自 51CTO网页 [只看他] 10# 引用:原帖由 IT之梦 于 2013-3-21 08:58 发表 其实不然,要看用户的理解程度,个人认为在XP时代的那个简单共享还可以算得上傻瓜,vista,2008后,反而变成画蛇添足了,变得复杂了,楼主就是钻进去了出不来。 |
windows server 2008 r2 自定义一个管理员用户,远程桌面和在本地登录正常,但从网络访问只拥有普通用户权限
这个只要给他相应的文件夹的权限,就可以访问了。关键是共享的时候有2层权限。
1.是共享的权限,包括:完全控制,写入,读取
2.文件夹NTFS权限,包括:完全控制、写入、读取权限等很多
最终有效权限是二者之最小值,(”禁止“的除外)
追问
问题是该用户本地访问时是拥有管理员权限的,但是从网络共享访问就只有普通用户权限,他和默认的administrator同时只属于administrators从网络共享访问时administrator有权限但他没有,相应的文件夹又没有针对具体用户设权限
并且机器是用原盘新装的,多台机器是同样的现象,不知是windows server 2008 r2 特别的地方还是bug 其他2003的机器是正常的
回答
"他和默认的administrator同时只属于administrators"
你这句话的“他”是谁?“administrators”是谁?是哪个机器的还是域的?!
追问
是自建的用户比如db2admin属于administrators组是要访问的机器上的,共享时不是要输入用户名口令吗?输db2admin和他的口令不行,输administrators的可以
回答
你看看你所谓的共享文件夹是不是有一个叫TRUSTEDINSTALLER的权限。
追问
所有者是Administrators,我建的用户也是属于Administrators组的
回答
TRUSTEDINSTALLER这个权限在的话她不认组,只认用户,谁建立的就只有谁能改动。
追问
问题是我明确将权限授予users组就可以,但明确只授予Administrators就不可以!
本地登录是可以的,网络共享是不可以的
回答
你安全和共享都选了吗? NTFS的共享是共享权限和安全权限的交集。
追问
都设了,这些都想到了,一切在2003下都是好的,搬到2008就不可以了
回答
那我也帮不上忙了,自求多福把