WindowsServer2003成員伺服器基準使用者許可權分配策略
以下內容是摘自筆者編著,最新出版的《網管員必讀——網路安全》(第2版)一書。
10.5.2 Windows Server 2003成員伺服器基準使用者許可權分配策略
使用者許可權分配向使用者和組提供組織中計算機的登入許可權或特權。登入許可權的一個示例是互動登入計算機的許可權。特權的一個示例是關閉計算機的許可權。這兩種使用者許可權都由管理員作為電腦保安設定的一部分分配給單個使用者或組。
|
|
在這裡,“沒有定義”設定僅適用於使用者;管理員仍具有使用者許可權。本地管理員可作更改,但在組策略下一次被重新整理或重新應用時,任何基於域的組策略設定都會覆蓋這些更改。
|
1.成員伺服器使用者許可權分配策略概述
可以在Windows Server 2003 SP1或R2版本中,組策略物件編輯器的以下位置配置使用者許可權分配設定:計算機配置Windows 設定安全設定本地策略使用者許可權分配,如圖10-49所示。
圖10-49 成員伺服器組策略編輯器控制檯中的“使用者許可權分配”
對於組織中的各種型別的伺服器而言,預設使用者許可權分配是不同的。例如,Windows Server 2003向成員伺服器和域控制器上的內建組分配不同的許可權。下面介紹成員伺服器與域控制器上各個內建組之間的相似性。
在成員伺服器上的Power Users組,具有大多數管理功能,只有一些限制。Power Users組成員可以執行舊應用程式以及經認證適合Windows Server 2003 SP1、R2或Windows XP的應用程式;HelpServicesGroup組為幫助和支援中心的組,Support_388945a0預設是此組的成員;TelnetClients組成員可以訪問網路上的Telnet伺服器。
在域控制器上,Server Operators組成員可以管理域伺服器;Terminal Server License Services組成員可以訪問網路上的終端伺服器許可證伺服器;Windows Authorization Access Group組成員可以訪問使用者物件上的計算TokenGroupsGlobalAndUniversal屬性。
Guests組以及使用者賬戶Guest和Support_388945a0在不同域之間具有唯一的SID。因此,在只存在特定目標組的計算機上,可能需要修改此使用者許可權分配的組策略。另外,還可對策略模板單獨進行編輯,以便將合適的組都包含在.inf 檔案中。例如,在測試環境中,可以在域控制器上建立域控制器組策略。
|
|
由於Guests組的成員、Support_388945a0和Guest之間存在唯一的SID,因此某些用於強化伺服器的設定無法通過附帶的安全模板進行自動化。這些設定將在後面的“其他安全設定”部分介紹。
|
2,成員伺服器使用者許可權分配策略設定建議
如表10-17所示包括了適用於中定義的所有3種環境的使用者許可權分配設定建議。表後的內容提供了有關每個設定的附加資訊(此處略)。
表10-17 使用者許可權分配設定建議
|
設 置
|
舊 客 戶 端
|
企業客戶端
|
專用安全—限制功能
|
|
從網路訪問此計算機
|
沒有定義
|
沒有定義
|
Administrators、Authenticated
Users、ENTERPRISE DOMAIN CONTROLLERS |
|
以作業系統方式操作
|
沒有定義
|
沒有定義
|
No One
|
|
調整程式的記憶體配額
|
沒有定義
|
沒有定義
|
Administrators、NETWORK
SERVICE、LOCAL SERVICE |
|
允許在本地登入
|
Administrators、Backup Operators、Power Users
|
Administrators、Backup
Operators、Power Users |
Administrators
|
|
通過終端服務允許登入
|
Administrators 和Remote Desktop Users
|
Administrators和Remote Desktop Users
|
Administrators
|
|
備份檔案和目錄
|
沒有定義
|
沒有定義
|
Administrators
|
|
跳過遍歷檢查
|
沒有定義
|
沒有定義
|
Authenticated Users
|
|
更改系統時間
|
沒有定義
|
沒有定義
|
Administrators
|
|
建立頁面檔案
|
沒有定義
|
沒有定義
|
Administrators
|
|
建立標記物件
|
沒有定義
|
沒有定義
|
No One
|
|
建立全域性物件
|
沒有定義
|
沒有定義
|
Administrators、SERVICE
|
|
建立永久共享物件
|
沒有定義
|
沒有定義
|
No One
|
|
除錯程式
|
沒有定義
|
Administrators
|
No One
|
|
拒絕從網路訪問這臺計算機
|
ANONOYMOUS LOGON;Guests;Support_388945a0
|
ANONOYMOUS LOGON;Guests;Support_388945a0
|
ANONOYMOUS LOGON;
Guests;Support_388945a0 |
|
所有非作業系統服務賬戶
|
所有非作業系統服務賬戶
|
所有非作業系統服務賬戶
|
|
|
拒絕作為批處理作業登入
|
Guests;Support_388945a0
|
Guests;Support_388945a0
|
Guests;Support_388945a0
|
|
拒絕作為服務登入
|
沒有定義
|
沒有定義
|
No One
|
(續表)
|
設 置
|
舊 客 戶 端
|
企業客戶端
|
專用安全—限制功能
|
|
拒絕本地登入
|
沒有定義
|
沒有定義
|
Guests;Support_388945a0
|
|
通過終端服務拒絕登入
|
Guests
|
Guests
|
Guests
|
|
允許計算機和使用者賬戶被信任以便用於委任
|
沒有定義
|
沒有定義
|
Administrators
|
|
從遠端系統強制關機
|
沒有定義
|
沒有定義
|
Administrators
|
|
生成安全稽核
|
沒有定義
|
沒有定義
|
NETWORK SERVICE、LOCAL SERVICE
|
|
身份驗證後模擬客戶端
|
沒有定義
|
沒有定義
|
Administrators、SERVICE
|
|
增加計劃優先順序
|
沒有定義
|
沒有定義
|
Administrators
|
|
裝載和解除安裝裝置驅動程式
|
沒有定義
|
沒有定義
|
Administrators
|
|
記憶體中鎖定頁面
|
沒有定義
|
沒有定義
|
No One
|
|
作為批處理作業登入
|
沒有定義
|
沒有定義
|
沒有定義
|
|
作為服務登入
|
沒有定義
|
沒有定義
|
NETWORK SERVICE
|
|
管理稽核和安全日誌
|
沒有定義
|
沒有定義
|
Administrators
|
|
修改韌體環境值
|
沒有定義
|
沒有定義
|
Administrators
|
|
執行卷維護任務
|
沒有定義
|
沒有定義
|
Administrators
|
|
配置單一程式
|
沒有定義
|
沒有定義
|
Administrators
|
|
配置系統效能
|
沒有定義
|
沒有定義
|
Administrators
|
|
從擴充套件塢中取出計算機
|
沒有定義
|
沒有定義
|
Administrators
|
|
替換程式級別標記
|
沒有定義
|
沒有定義
|
LOCAL SERVICE、NETWORK SERVICE
|
|
還原檔案和目錄
|
沒有定義
|
沒有定義
|
Administrators
|
|
關閉系統
|
沒有定義
|
沒有定義
|
Administrators
|
|
同步目錄服務資料
|
沒有定義
|
沒有定義
|
No One
|
|
取得檔案或其他物件的所有權
|
沒有定義
|
沒有定義
|
Administrators
|
本文轉自王達部落格51CTO部落格,原文連結http://blog.51cto.com/winda/34562如需轉載請自行聯絡原作者
茶鄉浪子
相關文章
- odoo 許可權分配Odoo
- 許可權管理策略
- mysql 新增、刪除使用者和許可權分配MySql
- oracle資料庫使用者建立、許可權分配Oracle資料庫
- jenkins原理篇——成員許可權管理Jenkins
- MySQL建立使用者,配置許可權、密碼策略MySql密碼
- Oracle建立表空間、使用者、分配許可權語句Oracle
- Oracle 使用者、物件許可權、系統許可權Oracle物件
- .NET 程式許可權控制、獲得管理員許可權程式碼
- 使用者許可權繼承另一使用者的許可權繼承
- 【許可權管理】Oracle中檢視、回收使用者許可權Oracle
- win10企業版如何成為最高許可權使用者_win10怎麼成為最高許可權使用者Win10
- 如何檢查某使用者是否分配了某ABAP許可權物件物件
- 程式請求管理員許可權
- windows7管理員許可權Windows
- oracle使用者許可權Oracle
- mysql使用者許可權MySql
- oracle 使用者許可權Oracle
- win10管理員許可權如何獲取 win10怎樣讓當前使用者獲得管理員許可權Win10
- Oracle 9i資料庫的使用者建立以及許可權分配Oracle資料庫
- 利用sudo命令為Ubuntu分配管理許可權(轉)Ubuntu
- oracle給使用者分配特定使用者下特定表的只讀許可權Oracle
- win10管理員許可權怎麼取消_win10如何關掉管理員許可權Win10
- w10如何獲得管理員許可權_win10怎麼取得管理員許可權Win10
- 如何獲取最高管理員許可權 win10教育版最高管理員許可權Win10
- 提取使用者許可權或是不同資料庫使用者許可權的同步資料庫
- mysql使用者許可權管理MySql
- mysql使用者和許可權MySql
- 使用者物件許可權管理物件
- Oracle使用者與許可權Oracle
- 使用者許可權 plsql OracleSQLOracle
- Oracle使用者許可權管理Oracle
- linux使用者許可權Linux
- Oracle 使用者許可權管理與常用許可權資料字典列表Oracle
- win10怎麼獲取管理員許可權_win10讓當前使用者獲得管理員許可權的步驟Win10
- Confluence6對比系統管理員許可權和Confluence管理員許可權
- MySQL新增新使用者、為使用者建立資料庫、為新使用者分配許可權MySql資料庫
- Oracle的物件許可權、角色許可權、系統許可權Oracle物件