windows server 2008 下怎么讓普通賬戶變成和Administrator一樣的權限!
添加到administrator組后 刪除其他隸屬組 應用保存 試試吧。
追問
關鍵是別的組還有用戶!現在就想把一用戶的權限和Administrator一樣!
回答
我的意思是:將需要管理員權限的用戶添加到administrator組后,刪除該用戶隸屬的其他組,跟其他組里有沒有用戶沒關系。
意思就是將該用戶直接拉入administrator組。
你再試試,一定要刪除此用戶其他隸屬組(windows用戶權限是不可逆的,就是說如果該用戶同時在administrator組與guests組時,guests組的權限會約束他)。
windows serve 2008上普通用戶關機權限設置技巧
在windows serve 2008上創建的普通用戶默認不具備關機權限,我們只要用管理員帳號進入系統,經過簡單設置就可以了。
我們在Win2008開始菜單中輸入 secpol.msc打開本地安全策略,我們定位到“本地策略”-“用戶權限分配”,在右邊我們可以找到“關閉系統”,這里我們可以看到默認情況下只有Administrators組用戶和Backup Operatorsr組用戶可以關閉Windows Server 2008系統。
接下來我們雙擊“關閉系統”設置該安全策略的屬性,在打開的“關閉系統 屬性”對話框中單擊“添加用戶或組”按鈕,
在彈出的“選擇用戶或組”對話框中我們輸入用戶名,這里我們的用戶名為“Vista地帶”,然后單擊右邊的“檢查名稱”按鈕即可確定即可。
Windows 2008如何能像Vista一樣,可以從右鍵取得管理員權限的注冊表文件???
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
@="管理員取得所有權"
[HKEY_CLASSES_ROOT\*\shell\runas\Command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
"IsolatedCommand"="\"%1\" %*"
[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="管理員取得所有權"
[HKEY_CLASSES_ROOT\Directory\shell\runas\Command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
復制以上代碼保存為2008.reg導入注冊表即可
Windows Server 2008常見的安全設置
相信很多人都知道Windows Server 2008系統的安全功能非法強大,而它的強大之處不僅僅是新增加了一些安全功能,而且還表現在一些不起眼的傳統功能上。這不,巧妙對Windows Server 2008系統的組策略功能進行深入挖掘,我們可以發現許多安全應用秘密;現在本文就為各位朋友貢獻幾則這樣的安全秘密,希望能對大家有用!
1、限制使用迅雷進行惡意下載
在多人共同使用相同的一台計算機進行工作時,我們肯定不希望普通用戶隨意使用迅雷工具進行惡意下載,這樣不但容易浪費本地系統的磁盤空間資源,而且也會大大消耗本地系統的上網帶寬資源。而在Windows Server 2008系統環境下,限制普通用戶隨意使用迅雷工具進行惡意下載的方法有很多,例如可以利用Windows Server 2008系統新增加的高級安全防火牆功能,或者通過限制下載端口等方法來實現上述控制目的,其實除了這些方法外,我們還可以巧妙地利用該系統的軟件限制策略來達到這一目的,下面就是該方法的具體實現步驟:
首先以系統管理員權限登錄進入Windows Server 2008系統,打開該系統的“開始”菜單,從中點選“運行”命令,在彈出的系統運行文本框中,輸入“gpedit.msc”字符串命令,進入對應系統的組策略控制台窗口;
其次在該控制台窗口的左側位置處,依次選中“計算機配置”/“Windows設置”/“安全設置”/“軟件限制策略”選項,同時用鼠標右鍵單擊該選項,並執行快捷菜單中的“創建軟件限制策略”命令;
接着在對應“軟件限制策略”選項的右側顯示區域,用鼠標雙擊“強制”組策略項目,打開如圖1所示的設置對話框,選中其中的“除本地管理員以外的所有用戶”選項,其余參數都保持默認設置,再單擊“確定”按鈕結束上述設置操作;
圖1 軟件限制策略
下面選中“軟件限制策略”節點下面的“其他規則”選項,再用鼠標右鍵單擊該組策略選項,從彈出的快捷菜單中點選“新建路徑規則”命令,在其后出現的設置對話框中,單擊“瀏覽”按鈕選中迅雷下載程序,同時將對應該應用程序的“安全級別”參數設置為“不允許”,最后單擊“確定”按鈕執行參數設置保存操作;
重新啟動一下Windows Server 2008系統,當用戶以普通權限賬號登錄進入該系統后,普通用戶就不能正常使用迅雷程序進行惡意下載了,不過當我們以系統管理員權限進入本地計算機系統時,仍然可以正常運行迅雷程序進行隨意下載。
2、拒絕網絡病毒藏於臨時文件
現在Internet網絡上的病毒瘋狂肆虐,一些“狡猾”的網絡病毒為了躲避殺毒軟件的追殺,往往會想方設法地將自己隱藏於系統臨時文件夾,那樣一來殺毒軟件即使找到了網絡病毒,也對它無可奈何,因為殺毒軟件對系統臨時文件夾根本無權“指手划腳”。為了防止網絡病毒隱藏在系統臨時文件夾中,我們可以按照下面的操作設置Windows Server 2008系統的軟件限制策略:
首先打開Windows Server 2008系統的“開始”菜單,從中點選“運行”命令,在彈出的系統運行對話框中,輸入組策略編輯命令“gpedit.msc”,單擊“確定”按鈕后,進入對應系統的組策略控制台窗口;
圖2 將“安全級別”參數設置為“不允許”
其次在該控制台窗口的左側位置處,依次選中“計算機配置”/“Windows設置”/“安全設置”/“軟件限制策略”/“其他規則”選項,同時用鼠標右鍵單擊該選項,並執行快捷菜單中的“新建路徑規則”命令,打開如圖2所示的設置對話框;單擊其中的“瀏覽”按鈕,從彈出的文件選擇對話框中,選中並導入Windows Server 2008系統的臨時文件夾,同時再將“安全級別”參數設置為“不允許”,最后單擊“確定”按鈕保存好上述設置操作,這樣一來網絡病毒日后就不能躲藏到系統的臨時文件夾中了。
3、禁止來自外網的非法ping攻擊
我們知道,巧妙地利用Windows系統自帶的ping命令,可以快速判斷局域網中某台重要計算機的網絡連通性;可是,ping命令在給我們帶來實用的同時,也容易被一些惡意用戶所利用,例如惡意用戶要是借助專業工具不停地向重要計算機發送ping命令測試包時,重要計算機系統由於無法對所有測試包進行應答,從而容易出現癱瘓現象。為了保證Windows Server 2008服務器系統的運行穩定性,我們可以修改該系統的組策略參數,來禁止來自外網的非法ping攻擊:
首先以特權身份登錄進入Windows Server 2008服務器系統,依次點選該系統桌面上的“開始”/“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“gpedit.msc”,單擊回車鍵后,進入對應系統的控制台窗口;
其次選中該控制台左側列表中的“計算機配置”節點選項,並從目標節點下面逐一點選“Windows設置”、“安全設置”、“高級安全Windows防火牆”、“高級安全Windows防火牆——本地組策略對象”選項,再用鼠標選中目標選項下面的“入站規則”項目;
接着在對應“入站規則”項目右側的“操作”列表中,點選“新規則”選項,此時系統屏幕會自動彈出新建入站規則向導對話框,依照向導屏幕的提示,先將“自定義”選項選中,再將“所有程序”項目選中,之后從協議類型列表中選中“ICMPv4”,如圖3所示;
圖3 協議類型列表中選中“ICMPv4”,
之后向導屏幕會提示我們選擇什么類型的連接條件時,我們可以選中“阻止連接”選項,同時依照實際情況設置好對應入站規則的應用環境,最后為當前創建的入站規則設置一個適當的名稱。完成上面的設置任務后,將Windows Server 2008服務器系統重新啟動一下,這么一來Windows Server 2008服務器系統日后就不會輕易受到來自外網的非法ping測試攻擊了。
小提示:盡管通過Windows Server 2008服務器系統自帶的高級安全防火牆功能,可以實現很多安全防范目的,不過稍微懂得一點技術的非法攻擊者,可以想辦法修改防火牆的安全規則,那樣一來我們自行定義的各種安全規則可能會發揮不了任何作用。為了阻止非法攻擊者隨意修改Windows Server 2008服務器系統的防火牆安全規則,我們可以進行下面的設置操作:
首先打開Windows Server 2008服務器系統的“開始”菜單,點選“運行”命令,在彈出的系統運行文本框中執行“regedit”字符串命令,打開系統注冊表控制台窗口;選中該窗口左側顯示區域處的HKEY_LOCAL_MACHINE節點選項,同時從目標分支下面選中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注冊表子項,該子項下面保存有很多安全規則;
其次打開注冊表控制台窗口中的“編輯”下拉菜單,從中點選“權限”選項,打開權限設置對話框,單擊該對話框中的“添加”按鈕,從其后出現的帳號選擇框中選中“Everyone”帳號,同時將其導入進來;再將對應該帳號的“完全控制”權限調整為“拒絕”,最后點擊“確定”按鈕執行設置保存操作,如此一來非法用戶日后就不能隨意修改Windows Server 2008服務器系統的各種安全控制規則了。
4、禁止普通用戶隨意上網訪問
通常Windows Server 2008系統都被安裝到重要的計算機中,為了防止該計算機系統受到安全威脅,我們往往需要想辦法限制普通用戶在該系統中隨意上網訪問;但是如果簡單關閉該系統的上網訪問權限,又會影響特權用戶正常上網,那么我們如何才能限制普通用戶上網,而又不影響特權用戶進行上網訪問呢?其實很簡單,我們可以按照下面的操作來修改Windows Server 2008系統的組策略參數:
首先以普通權限的帳號登錄Windows Server 2008系統,打開對應系統中的IE瀏覽器窗口,單擊其中的“工具”菜單項,從下拉菜單中點選“Internet選項”命令,彈出Internet選項設置窗口;
其次點選Internet選項設置窗口中的“連接”選項卡,進入連接選項設置頁面,單擊該設置頁面中的“局域網設置”按鈕,選中其后設置頁面中的“為LAN使用代理服務器”選項,再任意輸入一個代理服務器的主機地址以及端口號碼,再單擊“確定”按鈕執行參數設置保存操作;
之后注銷Windows Server 2008系統,換用具有特殊權限的用戶帳號重新登錄進入Windows Server 2008系統,依次點選“開始”、“運行”命令,在其后出現的系統運行框中輸入“gpedit.msc”命令,單擊“確定”按鈕后,進入對應系統的組策略控制台窗口;
圖4 禁止普通用戶隨意上網訪問
選中該控制台窗口左側位置處的“計算機配置”節點選項,再從目標節點下面依次展開“管理模板”、“Windows組件”、“Internet Explorer”、“Internet控制面板”子項,再用鼠標雙擊目標子項下面的“禁用連接頁”組策略項目,此時系統屏幕上會彈出如圖4所示的目標組策略屬性設置對話框,選中“已啟用”選項,再單擊“確定”按鈕執行設置保存操作,這么一來,普通權限的用戶日后在Windows Server 2008系統中嘗試訪問網絡時,IE瀏覽器會自動連接一個失效的代理服務器,那么IE瀏覽器自然也就不能正常顯示網絡頁面內容了;而具有特殊權限的用戶在Windows Server 2008系統中嘗試進行網絡訪問時,IE瀏覽器會直接顯示出目標站點的內容,不需要通過代理服務器進行中轉。
5、斷開遠程連接恢復系統狀態
很多時候,一些不懷好意的用戶往往會同時建立多個遠程連接,來消耗Windows Server 2008服務器系統的寶貴資源,最終達到搞垮服務器系統的目的;為此,在實際管理Windows Server 2008服務器系統的過程中,一旦我們發現服務器系統運行狀態突然不正常時,可以按照下面的辦法強行斷開所有與Windows Server 2008服務器系統建立連接的各個遠程連接,以便及時將服務器系統的工作狀態恢復正常:
首先在Windows Server 2008服務器系統桌面中依次點選“開始”、“運行”選項,在彈出的系統運行對話框中,輸入“gpedit.msc”命令,單擊回車鍵后,進入目標服務器系統的組策略控制台窗口;
圖5 刪除所有用戶遠程訪問連接
其次選中組策略控制台窗口左側位置處的“用戶配置”節點分支,並用鼠標逐一點選目標節點分支下面的“管理模板”/“網絡”/“網絡連接”組策略選項,之后雙擊“網絡連接”分支下面的“刪除所有用戶遠程訪問連接”選項,在彈出的如圖5所示的選項設置對話框中,選中“已啟用”選項,再單擊“確定”按鈕保存好上述設置,這樣一來Windows Server 2008服務器系統中的的各個遠程連接都會被自動斷開,此時對應系統的工作狀態可能會立即恢復正常。
怎么獲取windows server 2008管理員權限
加入管理員組 要不就是讓Administrator給予權限
關於Windows Server 2008 文件夾共享權限設置問題
最近幫一個客戶在一台Windows Server 2008 R2 上設置文件夾共享權限,客戶沒有很變態的要求,就只是簡單的某幾個賬號或組有FullConstrol 某幾個有ReadOnly就這樣,看似很簡單的,不過設置過程中發現了一些問題,特開貼和大家請教或分享。 以下內容均在測試環境,非我客戶的正式環境。
測試環境:
Windows 2008R2 做共享,所用賬號均為本地賬號,無AD環境。
訪問的客戶端:XP SP2
分享一:
在服務器上開設一賬戶:User1 並加入administrators組
設置一共享文件夾,權限為:
設置完成后,在一客戶端用user1訪問test文件夾,結果提示沒權限
為了證實確實是User1用戶訪問,請看:
納悶了,明明user1是屬於administrators組,怎么就沒權限訪問了呢?
單獨添加一個user1到共享權限里面去,試試。
說明對administrators授權進行的訪問,貌似在windows 2008上是不行的,原因是什么呢?還希望有知道的朋友分享分享。
分享二:
根據情形一的設置,手動添加了添加user1有讀/寫,同時還是屬於administrators組,那么理論上,刪除修改添加應該都沒問題吧,誰知道:
那么是不是還存在有個windows 2003 共享權限的設定呢?答案是肯定的。那在哪里呢?就在下面這個位置:
實際上,上面的例子,在實際使用中應該不存在的,因為經過發現在Windows 2008上,對文件夾右鍵菜單里面的【共享】,並選擇【特定用戶】確定之后,里面貌似就自動添加了Everyone 並給了FullControl權限。以上只是希望通過這個問題,告訴大家還有這個權限的存在。
同時在這里面添加的用戶會自動添加到【安全】權限中,當然,相反在【特定用戶】里面刪除掉用戶,那么【安全】里面也就沒有了。
以前在2003的時候,一般都是需要手動設置【共享權限】給於Everyone 完全控制,然后在【安全】里面做限制,現在到了2008,只需要在【特定用戶】這個界面做一步操作就可以了。但是更詳細的權限設置,還是需要到【安全】里面做操作。
有時候,在【特定用戶】里面添加完用戶,回到【安全】里面看,卻發現沒有,這個時候需要點【編輯】之后,就會看到了。
還有,在【特定用戶】里面是不會顯示Everyone和Users這2個組的,就算手動添加,確定之后,再回到這里,也看不到。不過在【安全】里面就可以看到了。是否還有其他組,暫時還沒發現。
關於第一個問題:
1,在08R2里,多出了一個共享的項目,我們在這里可以發現,一個用戶屬於管理員組,如果這個用戶創建了一個文件夾,默認情況下,這個文件夾的共享權限是這個用戶可以讀寫,管理員組擁有所有權,針對這個管理員組的所有者,是不能夠進行權限的疊加和分減,這是一個特性,因為他是所有者,所以你共享后user1沒有權限訪問,因為共享里只有administrator讀寫並沒有其他用戶
2,第二個問題也是同上,共享里user1可以讀寫,雖然他屬於管理員組,在安全里管理員組的成員有完全權限,但所有者是一個特性只有在特殊時候使用,比如奪權的時候,所以他不參與疊加權限,故 user1沒有權限新建,因為他沒有安全里的讀寫權限
3,08R2的高級全先去到是和以前的系統差不多!這個大家都懂就不多說了!
總結,所有者是一個特性,是一個特殊的群組,每個文件夾都會有這個管理員的存在,所有應該是不會賦予我們形象中的那種權限,只會在特使請看看下進行奪權使用!
| 最近幫一個客戶在一台Windows Server 2008 R2 上設置文件夾共享權限,客戶沒有很變態的要求,就只是簡單的某幾個賬號或組有FullConstrol 某幾個有ReadOnly就這樣,看似很簡單的,不過設置過程中發現了一些問題,特開貼和大家請教或分享。 以下內容均在測試環境,非我客戶的正式環境。
更多1
樓主關注
版主推薦 |
|
大區版主 On My Way! 帖子 精華 無憂幣
|
發表於 2012-3-12 22:01 | 來自 51CTO網頁 [只看他] 沙發 關於第一個問題:
|
|
初級工程師 帖子 精華 無憂幣
|
發表於 2012-3-14 09:01 | 來自 51CTO網頁 [只看他] 板凳 引用:原帖由 IT之夢 於 2012-3-12 22:01 發表 感謝版主非常詳細的解釋。根據您的解釋,我的理解就是如果【所有者】是管理員組,由於特性,所以權限不能疊加。導致不能正常進行訪問。之前我的文件夾確實【所有者】是administrators,下面的測試我做了修改: 本帖最后由 acern 於 2012-3-14 09:06 編輯 |
|
大區版主 On My Way! 帖子 精華 無憂幣
|
發表於 2012-3-14 09:24 | 來自 51CTO網頁 [只看他] 地板 引用:原帖由 acern 於 2012-3-14 09:01 發表 我測試了一下,平台是windows server 2008 R2 6.1版本,沒有發現這個問題!在特定用戶里,可以正常添加everyone和users!
|
|
初級工程師 帖子 精華 無憂幣
|
發表於 2012-3-14 10:21 | 來自 51CTO網頁 [只看他] 5# 引用:原帖由 IT之夢 於 2012-3-14 09:24 發表 可以添加,只是在【特定用戶】的界面里面不會顯示,在【安全】選項卡會有顯示。當然添加之后,也是生效的。 |
|
大區版主 On My Way! 帖子 精華 無憂幣
|
發表於 2012-3-14 10:59 | 來自 51CTO網頁 [只看他] 6# 引用:原帖由 acern 於 2012-3-14 10:21 發表 我現在沒有工作組環境 我在域里可以正常顯示,授權后可以正常訪問!
|
|
技術員 帖子 精華 無憂幣
|
發表於 2013-3-21 08:47 | 來自 51CTO網頁 [只看他] 7# 引用:原帖由 IT之夢 於 2012-3-14 10:59 發表 艷陽,如果是本地帳號的共享訪問需要將本地組策略中的“網絡訪問:本地帳戶的共享和安全模型改為:經典-對本地用戶進行身份驗證……” share.PNG (176.82 KB) 2013-3-21 08:47
share-02.PNG (27.98 KB) 2013-3-21 08:47
|
|
大區版主 On My Way! 帖子 精華 無憂幣
|
發表於 2013-3-21 08:58 | 來自 51CTO網頁 [只看他] 8# 引用:原帖由 boy_hxm 於 2013-3-21 08:47 發表 收到!共享向導是給傻瓜用戶使用的!不需要基礎用戶操作過多就可以達到共享的目的!對於我們來說取消是對的!
|
|
技術員 帖子 精華 無憂幣
|
發表於 2013-3-21 09:07 | 來自 51CTO網頁 [只看他] 9# 引用:原帖由 IT之夢 於 2012-3-14 10:59 發表 還有一點忘記了,這里還需要開通一些策略,可以在網絡搜索“匿名用戶訪問共享文件夾”都有介紹。 |
|
技術員 帖子 精華 無憂幣
|
發表於 2013-3-21 09:19 | 來自 51CTO網頁 [只看他] 10# 引用:原帖由 IT之夢 於 2013-3-21 08:58 發表 其實不然,要看用戶的理解程度,個人認為在XP時代的那個簡單共享還可以算得上傻瓜,vista,2008后,反而變成畫蛇添足了,變得復雜了,樓主就是鑽進去了出不來。 |
windows server 2008 r2 自定義一個管理員用戶,遠程桌面和在本地登錄正常,但從網絡訪問只擁有普通用戶權限
這個只要給他相應的文件夾的權限,就可以訪問了。關鍵是共享的時候有2層權限。
1.是共享的權限,包括:完全控制,寫入,讀取
2.文件夾NTFS權限,包括:完全控制、寫入、讀取權限等很多
最終有效權限是二者之最小值,(”禁止“的除外)
追問
問題是該用戶本地訪問時是擁有管理員權限的,但是從網絡共享訪問就只有普通用戶權限,他和默認的administrator同時只屬於administrators從網絡共享訪問時administrator有權限但他沒有,相應的文件夾又沒有針對具體用戶設權限
並且機器是用原盤新裝的,多台機器是同樣的現象,不知是windows server 2008 r2 特別的地方還是bug 其他2003的機器是正常的
回答
"他和默認的administrator同時只屬於administrators"
你這句話的“他”是誰?“administrators”是誰?是哪個機器的還是域的?!
追問
是自建的用戶比如db2admin屬於administrators組是要訪問的機器上的,共享時不是要輸入用戶名口令嗎?輸db2admin和他的口令不行,輸administrators的可以
回答
你看看你所謂的共享文件夾是不是有一個叫TRUSTEDINSTALLER的權限。
追問
所有者是Administrators,我建的用戶也是屬於Administrators組的
回答
TRUSTEDINSTALLER這個權限在的話她不認組,只認用戶,誰建立的就只有誰能改動。
追問
問題是我明確將權限授予users組就可以,但明確只授予Administrators就不可以!
本地登錄是可以的,網絡共享是不可以的
回答
你安全和共享都選了嗎? NTFS的共享是共享權限和安全權限的交集。
追問
都設了,這些都想到了,一切在2003下都是好的,搬到2008就不可以了
回答
那我也幫不上忙了,自求多福把