Windows Server 2003成员服务器基准用户权限分配策略
2007-07-19 07:52:59
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://winda.blog.51cto.com/55153/34562 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
在这里,“没有定义”设置仅适用于用户;管理员仍具有用户权限。本地管理员可作更改,但在组策略下一次被刷新或重新应用时,任何基于域的组策略设置都会覆盖这些更改。 |
1.成员服务器用户权限分配策略概述
可以在Windows Server 2003 SP1或R2版本中,组策略对象编辑器的以下位置配置用户权限分配设置:计算机配置\Windows 设置\安全设置\本地策略\用户权限分配,如图10-49所示。
图10-49 成员服务器组策略编辑器控制台中的“用户权限分配”
对于组织中的各种类型的服务器而言,默认用户权限分配是不同的。例如,Windows Server 2003向成员服务器和域控制器上的内置组分配不同的权限。下面介绍成员服务器与域控制器上各个内置组之间的相似性。
在成员服务器上的Power Users组,具有大多数管理功能,只有一些限制。Power Users组成员可以运行旧应用程序以及经认证适合Windows Server 2003 SP1、R2或Windows XP的应用程序;HelpServicesGroup组为帮助和支持中心的组,Support_388945a 0默认是此组的成员;TelnetClients组成员可以访问网络上的Telnet服务器。
在域控制器上,Server Operators组成员可以管理域服务器;Terminal Server License Services组成员可以访问网络上的终端服务器许可证服务器;Windows Authorization Access Group组成员可以访问用户对象上的计算TokenGroupsGlobalAndUniversal属性。
Guests组以及用户账户Guest和Support_388945a 0在不同域之间具有唯一的SID。因此,在只存在特定目标组的计算机上,可能需要修改此用户权限分配的组策略。另外,还可对策略模板单独进行编辑,以便将合适的组都包含在.inf 文件中。例如,在测试环境中,可以在域控制器上创建域控制器组策略。
|
|
由于Guests组的成员、Support_ |
2,成员服务器用户权限分配策略设置建议
如表10-17所示包括了适用于中定义的所有3种环境的用户权限分配设置建议。表后的内容提供了有关每个设置的附加信息(此处略)。
表10-17 用户权限分配设置建议
|
设 置 |
旧 客 户 端 |
企业客户端 |
专用安全—限制功能 |
|
从网络访问此计算机 |
没有定义 |
没有定义 |
Administrators、Authenticated Users、ENTERPRISE DOMAIN CONTROLLERS |
|
以操作系统方式操作 |
没有定义 |
没有定义 |
No One |
|
调整进程的内存配额 |
没有定义 |
没有定义 |
Administrators、NETWORK SERVICE、LOCAL SERVICE |
|
允许在本地登录 |
Administrators、Backup Operators、Power Users |
Administrators、Backup Operators、Power Users |
Administrators |
|
通过终端服务允许登录 |
Administrators 和 Remote Desktop Users |
Administrators和Remote Desktop Users |
Administrators |
|
备份文件和目录 |
没有定义 |
没有定义 |
Administrators |
|
跳过遍历检查 |
没有定义 |
没有定义 |
Authenticated Users |
|
更改系统时间 |
没有定义 |
没有定义 |
Administrators |
|
创建页面文件 |
没有定义 |
没有定义 |
Administrators |
|
创建标记对象 |
没有定义 |
没有定义 |
No One |
|
创建全局对象 |
没有定义 |
没有定义 |
Administrators、SERVICE |
|
创建永久共享对象 |
没有定义 |
没有定义 |
No One |
|
调试程序 |
没有定义 |
Administrators |
No One |
|
拒绝从网络访问这台计算机 |
ANONOYMOUS LOGON;Guests;Support_ |
ANONOYMOUS LOGON;Guests;Support_ |
ANONOYMOUS LOGON; Guests;Support_ |
|
所有非操作系统服务账户 |
所有非操作系统服务账户 |
所有非操作系统服务账户 | |
|
拒绝作为批处理作业登录 |
Guests;Support_ |
Guests;Support_ |
Guests;Support_ |
|
拒绝作为服务登录 |
没有定义 |
没有定义 |
No One |
(续表)
|
设 置 |
旧 客 户 端 |
企业客户端 |
专用安全—限制功能 |
|
拒绝本地登录 |
没有定义 |
没有定义 |
Guests;Support_ |
|
通过终端服务拒绝登录 |
Guests |
Guests |
Guests |
|
允许计算机和用户账户被信任以便用于委任 |
没有定义 |
没有定义 |
Administrators |
|
从远程系统强制关机 |
没有定义 |
没有定义 |
Administrators |
|
生成安全审核 |
没有定义 |
没有定义 |
NETWORK SERVICE、LOCAL SERVICE |
|
身份验证后模拟客户端 |
没有定义 |
没有定义 |
Administrators、SERVICE |
|
增加计划优先级 |
没有定义 |
没有定义 |
Administrators |
|
装载和卸载设备驱动程序 |
没有定义 |
没有定义 |
Administrators |
|
内存中锁定页面 |
没有定义 |
没有定义 |
No One |
|
作为批处理作业登录 |
没有定义 |
没有定义 |
没有定义 |
|
作为服务登录 |
没有定义 |
没有定义 |
NETWORK SERVICE |
|
管理审核和安全日志 |
没有定义 |
没有定义 |
Administrators |
|
修改固件环境值 |
没有定义 |
没有定义 |
Administrators |
|
执行卷维护任务 |
没有定义 |
没有定义 |
Administrators |
|
配置单一进程 |
没有定义 |
没有定义 |
Administrators |
|
配置系统性能 |
没有定义 |
没有定义 |
Administrators |
|
从扩展坞中取出计算机 |
没有定义 |
没有定义 |
Administrators |
|
替换进程级别标记 |
没有定义 |
没有定义 |
LOCAL SERVICE、NETWORK SERVICE |
|
还原文件和目录 |
没有定义 |
没有定义 |
Administrators |
|
关闭系统 |
没有定义 |
没有定义 |
Administrators |
|
同步目录服务数据 |
没有定义 |
没有定义 |
No One |
|
取得文件或其他对象的所有权 |
没有定义 |
没有定义 |
Administrators |
本文出自 “王达博客” 博客,请务必保留此出处http://winda.blog.51cto.com/55153/34562
本文出自 51CTO.COM技术博客