Windows2008用户组和权限最好

Windows server 2008系统基础优化技巧windows 2008基础优化技巧：1.取消登录时按“ctrl+alt+del”登录系统开始菜单---管理工具---本地安全策略依次进入：本地策略--安全选项找到：交互式登录无需按ctrl+alt+del然后双击，设置为“已启用”这样每次开机的时候，就可以直接输入密码登录系统了2.加快登录的时间关闭“关机事件跟踪”如果不想每次关机的时候都出现“关机事件跟踪”的对话框在开始菜单的运行输入“gpedit.msc”打开组策略编辑器依次进入：计算机配置--管理模板--系统在最下面找到“显示关闭事件跟踪程序”双击进入属性，设为“禁用”就可以了3.调整默认IE ESC(IE增强安全设置)2008的ie7默认情况下开启了安全设置，不修改的情况下，每次打开新的网站ie都会问是否安全站点，作为服务器使用的话，可以提高服务器的安全性，但是如果作为桌面使用的话，就会很烦人。

打开“服务器管理器”，在“安全信息”下面点击“配置IE ESC”设置“管理员”和“用户”都是“禁用”即可解决4.作为桌面系统使用的时候，我们需要对2008进行一些调整：调整系统性能进入控制面板的系统和维护，打开“高级系统设置”选择性能下面的“设置”在“视觉效果”标签下面选择“调整为最佳性能”在“高级”标签下面的“处理器计划”选择“程序”在“高级”标签下面的“虚拟内存”选择“让系统自动管理”在“数据执行保护”标签下面，选择“仅为基本windows 服务和程序启用DEP”点击“添加功能”进入添加功能界面，勾选“.NET Framework 3.0功能”，“高质量Windows 音频视频体验”，“简单TCP/IP服务”，“桌面体验”(如果想打开AERO玻璃效果，还要勾选“Windows PowerShell")后点击安装(需要重启电脑)在“服务”中将“Themes”服务设为自动并开启在“控制面板、外观和个性化”里面就可以使用vista主题了。

Windows 操作系统六大顾客组及系统帐户权限功效设立分析在Windows 系统中，顾客名和密码对系统安全的影响毫无疑问是最重要。

通过一定方式获得计算机顾客名，然后再通过一定的办法获取顾客名的密码，已经成为许多黑客的重要攻击方式。

即使现在许多防火墙软件不端涌现，功效也逐步加强，但是通过获取顾客名和密码的攻击方式仍然时有发生。

其实通过加固Windows 系统顾客的权限，在一定程度上对安全有着很大的协助。

Windows 是一种支持多顾客、多任务的操作系统，不同的顾客在访问这台计算机时，将会有不同的权限。

同时，对顾客权限的设立也是是基于顾客和进程而言的，Windows 里，顾客被分成许多组，组和组之间都有不同的权限，并且一种组的顾客和顾客之间也能够有不同的权限。

下列就是常见的顾客组。

ers普通顾客组，这个组的顾客无法进行故意或无意的改动。

因此，顾客能够运行通过验证的应用程序，但不能够运行大多数旧版应用程序。

Users 组是最安全的组，由于分派给该组的默认权限不允许组员修改操作系统的设立或顾客资料。

Users 组提供了一种最安全的程序运行环境。

在通过NTFS 格式化的卷上，默认安全设立旨在严禁该组的组员危及操作系统和已安装程序的完整性。

顾客不能修改系统注册表设立、操作系统文献或程序文献。

Users 能够创立本地组，但只能修改自己创立的本地组。

Users 能够关闭工作站，但不能关闭服务器。

2.Power Users高级顾客组，Power Users 能够执行除了为Administrators 组保存的任务外的其它任何操作系统任务。

分派给Power Users 组的默认权限允许Power Users 组的组员修改整个计算机的设立。

但Power Users 不含有将自己添加到Administrators 组的权限。

在权限设立中，这个组的权限是仅次于Administrators 的。

3.Administrators管理员组，默认状况下，Administrators 中的顾客对计算机/域有不受限制的完全访问权。

本地用户高级共享（修改-完全）应用场景高级共享能够提供给客户读取或者读写的权限，但有的用户需要修改或者已经上传的共享文件，则此时需要设置共享的修改或者完全权限。

一、配置操作高级共享可以给用户组分配只读/读写共享权限，具有读写权限的用户可以改变文件内容，但是修改文件名时却提示没有权限，如下图所示，还需要调整共享和NTFS权限。

（一）准备工作1.创建组，把用户加入相应的组服务器管理器—配置—本地用户和组—组新建组—xgz(组名)—创建用户ww和ll加入相应的组，有两种操作方式：组中加入用户，用户加入相应的组。

（1）用户加入组：双击ww用户—隶属于—添加—高级—立即查找—Ctrl+xgz 可以选定一个或者多个组名（也可以zdz输入组名，检查名称（可以快速查找到）。

优点：可以一次加入多个组。

（2）组添加用户：双击打开xgz组—添加—高级—立即查找—Ctrl+ww(同时选多个不连续的用户)—确定（也可以ww输入用户名，检查名称（可以快速查找到）。

优点：可以一次加入多个用户。

2.建立共享的文件夹和文件在C盘建立gxzl文件夹，在此文件夹中建立gxzlwj文本文件，内容为1234 （二）共享配置（修改）权限。

需要设置共享的访问权限为“完全控制”。

（二）共享配置（完全）2.设置底层的文件夹NTFS权限右击gxzl文件夹——属性——安全——编辑——添加——高级—立即查找—wqz——保持默认读取权限不动—勾选“完全控制”（下面的“修改”和“写入”会自动勾选）—确定。

4. win7客户机再次测试（完全控制）win7客户机访问共享时，wqz的用户登录，能够读取文件内容，编辑文件内容，修改文件名，还能够调整共享文件夹的各个用户的“安全”属性，即修改各个用户的NTFS权限。

在win可以访问共享测试:192.168.100.131然后输入用户名sq密码sq,123结果能够访问，读取文件内容,编辑文件内容，修改文件名，还能修改ly等用户的NTFS权限。

第一章基本概念1、windows server 2008家族共有几个版本？2、简述工作组架构和域架构的网络各自的特点？3、域中的计算机类型可以是：域控制器、成员服务器、独立服务器、其他计算机。

第二章安装1、windows server2008提供两种安装模式：完整安装，服务器核心安装。

2、windows只支持安装到NTFS磁盘分区里。

3、windows server 2008系统默认的本地用户密码至少6个字符，而且不可包含用户名中超过两个以上的连续字符，还有至少A-Z,a-z，0-9，非字母数字中的3组。

4、注销和锁定的区别？第三章基本环境设置1、计算机默认所属的工作组名为WORKGROUP。

2、IPCONFIG 和ping命令的功能。

3、如何通过代理服务器上网？4、如何启用和禁用IE增强的安全设置。

5、防火墙的例外启用。

6、公用和专用网络的区别？7、通过设备管理器来管理计算机内的设备。

8、驱动程序签名。

9、环境变量分为系统环境变量和用户环境变量。

10、环境变量的设置。

11、MMC有什么作用。

12、虚拟内存是pagefile.Sys文件13、休眠文件是hiberfil.Sys文件14、通过任务管理器管理计算机内的应用程序和进程。

第四章本地用户和组账户1、本地安全账户管理器SAM2、内置了两个用户账号administrator 和Guest，Guest默认是禁用。

3、Everyone，任何一个用户都属于这个组。

4、系统默认只有administrator组内的用户才有权限管理用户和组账户。

5、系统默认新建的本地用户账号42天后更改密码。

6、密码重设盘可以重设密码第五章AD域1、AD域服务负责目录数据库的存储、添加、删除、修改、查询。

2、AD 域命名空间采用DNS架构3、AD域内的资源是以对象的形式存在的。

4、组织单元是一个特殊的容器。

5、域树和域林和组织单元的关系6、域之间的信任关系是双向信任。

7、AD DS的目录数据存在域控制器内。

WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略，密码策略，密码过期默认42天服务账户设置成永不过期，帐户锁定策略，本地策略，审核策略，计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。

1.在⼯作组中的安全策略，打开本地安全策略。

2.打开本地安全策略之后选择密码策略，可以看到有很多的策略，先看第⼀个密码复杂性要求。

3.打开密码必须符合复杂性要求，默认是打开的，我们在设置密码的时候，不能设置纯数字或者纯字母，必须要有数字加⼤⼩写。

4.密码长度最⼩值，这个是设置密码最低⼩于⼏位数，默认是0，这⾥修改为6位，在设置密码的时候必须满⾜6位，包括数字字母⼤⼩写或者特殊符号。

5.密码最短使⽤期限，默认是0天这⾥设置为30天，在30天不会提⽰你修改密码，必须要使⽤30天才能改密码。

6.密码最长使⽤期限，默认是42天，这⾥修改为60天超过60天之后会提⽰让你修改密码。

7.强制密码历史，这个选项是你修改密码时不能⼀样，默认是0，这⾥设置为3次，修改3次密码之后才能修改回第⼀次使⽤的密码。

8.打开账户锁定策略，账户锁定值默认是0次，可以设置5次超过5次就会把这个账户锁定，为了防⽌别⼈⼊侵你的电脑，等待半个⼩时之后就会⾃动解锁，或者联系管理员⾃动解锁。

9.账号锁定时间，默认是30分钟⾃动解锁，也可以⾃⼰修改，这⾥修改为3分钟⾃动解锁。

10.现在lisi这个⽤户输错五次密码，就算输⼊正确的密码，提⽰账户已锁定，⽆法登录。

11.打开服务器管理器，选择本地⽤户和组，可以查看lisi这个⽤户，输错5次密码之后账户已锁定，管理员可以⼿动把这个勾去掉，然后确定就能登⼊了，或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。

12.打开本地策略，选择审核登录事件，默认是⽆审核，这⾥我勾选成功跟失败，然后确定。

13.打开事件查看器，选择安全把⾥⾯的事件先全部删除，然后使⽤lisi远程登录到这台计算机。

windows2008 iis7配置说明（带图）一、安装必须的iis7 组件iis7 被分成了很多个组件，你需要安装这些组件。

下图对应的功能，可以通过以下步骤打开：开始--> 控制面板--> 程序--> 打开或关闭windows 功能二、配置iis71、为站点设置单用户，绑定硬盘独立站点文件夹。

双击创建的用户，将该用户隶属于guests组打开硬盘上对应的网站所在文件夹，点右键—属性，增加这个单用户，并设置权限为允许修改、读取、写入权限，如下图：2、iis7配置使用环境默认装完iis7之后，使用asp程序会发现提示数据库连接失败，在网上找了找，说是因为ms jet引擎改变了临时目录的位置，但是又没有对临时的存取权限，导致数据库使用失败。

如果使用access。

先要设置应用程序池(application pool)为classic .net apppool，而不是默认的default apppool，可以在网站目录里对每个站点设置，也可以在站点进行单独设置。

选择好要设置的站点之后，点右边的“基本设置”即可调出应用程序池设置对话框。

特殊说明下：x64系统没有提供64位的access数据库连接驱动，所以需要修改classic .net apppool应用程序池：“编辑应用程序池”——“高级设置”中的“启用32位应用程序”设为true，而默认是flase。

如果你是vista+iis7，那么还需要再给“系统盘:\windows\serviceprofiles\networkservice\appdata\local\temp”目录添加一个“authenticatedusers”的用户，其中appdata目录是隐藏的，在进入的时候可以直接在地址栏输入路径，或者在文件夹选项里显示隐藏文件。

iis 的应用程序池根据托管管道模式分了两种类型：集成和经典集成.net 模式下，应用程序不应在<system.web>/<httpmodules> 配置节中指定 模块组件，而应使用<system.webserver>/<modules> 配置节来加载 模块组件。

域环境下共‎享文件夹加‎密、Windo‎w s 2008 Serve‎r局域网共‎享文件夹设‎置权限设置‎的方法当前，国内很多企‎事业单位处‎于网络统一‎管理和网络‎安全的需要‎，通常会组建‎域环境，将局域网内‎部电脑全部‎加入到域里‎面进行控制‎。

毋庸置疑，通过Win‎d ows域‎控制器可以‎集中管理局‎域网电脑使‎用权限、统一推送补‎丁或分发各‎种策略，从而极大地‎保护了局域‎网网络安全‎，也规范了网‎络管理。

同时，在很多企事‎业单位局域‎网中，通常都有自‎己的局域网‎文件服务器‎，并且经常共‎享一些文件‎供局域网用‎户访问。

虽然通过域‎控制器可以‎设置局域网‎电脑访问共‎享文件的相‎关权限，一定程度上‎保护共享文‎件的安全。

那么，域环境下如‎何设置服务‎器共享文件‎的安全呢？具体如下：比如我们现‎在新来了一‎个员工李斯我们需要为‎他配备电脑‎，安装off‎i ce，配置邮箱，文件共享驱‎动的映射等‎诸多事项。

那么我们可‎以利用组策‎略为员工添‎加文件共享‎服务器的映‎射驱动，同时也会对‎该用户访问‎权限也会随‎之生效1.我们需要为‎新员工奖励‎域账户，并添加到所‎属部门的 ou（人事）2.还需要在文‎件共享服务‎器为其添加‎相应的访问‎权限。

3. 开始-管理工具-组策略管理‎4.选择-人事（ou）-邮件点击-在这个域中‎创建GPO‎并在此处链‎接5.输入GPO‎名称“人事文件映‎射驱动”点击-确定6.选择GPO‎人事文件映‎射驱动右键-点击编辑7.选择用户配‎置-首选项-windo‎w s设置-驱动器映射‎-右键点击新‎建-点击映射驱‎动器8.编辑新建驱‎动器属性，在本属性中‎的设置直接‎关系到能否‎正确的发布‎驱动器，所以我们要‎细细的分析‎一下。

在此类型的‎下拉列表中‎提供了四个‎选择：创建、替换、更新和删除‎。

组策略的应‎用结果会因‎选定的操作‎以及驱动器‎号是否已经‎存在而异。

[创建]：为用户创建‎新的映射驱‎动器。

一、WINDOWS的用户和用户组说明 1、基本用户组 Administrators 属于该administators本地组内的用户，都具备系统管理员的权限，它们拥有对这台计算机最大的控制权限，可以执行整台计算机的管理任务。

内置的系统管理员账号Administrator就是本地组的成员，而且无法将它从该组删除。

如果这台计算机已加入域，则域的Domain Admins会自动地加入到该计算机的Administrators组内。

也就是说，域上的系统管理员在这台计算机上也具备着系统管理员的权限。

Backup OPerators 在该组内的成员，不论它们是否有权访问这台计算机中的文件夹或文件，都可以通过“开始”－“所有程序”－“附件”－“系统工具”－“备份”的途径，备份与还原这些文件夹与文件。

Guests 该组是提供没有用户帐户，但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。

该组最常见的默认成员为用户帐号Guest。

Network Configuration Operators 该组内的用户可以在客户端执行一般的网络设置任务，例如更改IP地址，但是不可以安装/删除驱动程序与服务，也不可以执行与网络服务器设置有关的任务，例如DNS服务器、DHCP服务器的设置。

Power Users 该组内的用户具备比Users组更多的权利，但是比Administrators组拥有的权利更少一些，例如，可以： 创建、删除、更改本地用户帐户 创建、删除、管理本地计算机内的共享文件夹与共享打印机 自定义系统设置，例如更改计算机时间、关闭计算机等 但是不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。

Remote Desktop Users 该组的成员可以通过远程计算机登录，例如，利用终端服务器从远程计算机登录。

多选题1 动态磁盘可支持多种特殊的动态卷，包括（）。

ABC 跨区卷镜像卷带区卷2 Hyper-V安装虚拟机操作系统的方式有哪些？ABCD 系统光盘光盘镜像文件可引导的软盘基于网络的安装服务器3 镜像卷创建后，如果要将其中一块磁盘独立出来使用，可以通过哪些方法实现（）？BC中断镜像卷删除镜像卷4 NTFS文件系统的特点主要体现在哪些方面（）？A BCD 可以对单个文件或文件夹设置权限支持更大的磁盘容量支持文件加密和压缩功能，包括压缩或解压缩驱动器、文件夹或特定文件的功能支持磁盘配额，监视和控制用户使用的磁盘空间量5 Windows Server 2008的版本有（）。

ABCD WEB版标准版企业版数据库服务器版6 当用户对文件夹进行重命名、复制和移动操作时，权限会发生相应变化，以下说法正确的是（）。

BC 当对共享的文件夹进行重命名操作时，系统将取消其共享属性当将共享的文件夹复制到其他分区后，原文件夹仍保留共享属性7 关于Windows活动目录服务的描述中，正确的是（）。

ABD 活动目录存储了有关网络对象的信息活动目录服务把域划分为组织单元活动目录服务具有可扩展性和可调整性8 Windows Server 2008 依据磁盘的配置方式，将磁盘分为（）和（）两种类型。

AC 基本磁盘动态磁盘9 对于Winidows Server 2008系统，以下（）做法有利于提高计算机的安全性。

BC 重命名Administrator帐户及时下载并安装操作系统漏洞补丁10 Hyper-V中可以建立哪几种类型的虚拟网络，分别是（）。

ACD 专用虚拟网络内部虚拟网络外部虚拟网络11 Hyper-V的主要特征及功能包括（）。

ACD 快速的迁移可以通过MMC控制台实现远程管理集成Linux组件，实现了对Linux的支持12 某学校的网络中有一台IIS 服务器，学校利用该服务器同时向互联网发布了多个WEB站点，可以通过（）方法区分用一台服务器上的不同站点。

01-windows⽤户和⽤户组1.服务器操作系统版本Windows服务器操作系统：win2000 win2003 win2008 win2012Linux服务器操作系统：Radhat Centos2.服务器⽤户和组管理学习⽤户管理主要是为了设置不同的权限。

每个账户有⾃⼰唯⼀的SID（安全标识符）S-1-5-21-426206823-2579496042-14852678-500S-1-5-21-426206823-2579496042-14852678⽤户UID ：500windows系统管理员UID是500普通⽤户UID时1000开始为不同的账户赋权限，也就是为⽤户的UID赋权限windows⽤户的账户密码存放的位置：C:\windows\system32\config\SAM，这个⽂件经过hash，不可逆。

⽤户类别1)内置账户（默认）administrator #管理员账户guest #来宾账户权限很⼩，下载的⽂件保存不住计算机服务组件相关的系统帐号system #系统账户 == 权限⾄⾼⽆上local services #本地服务账户 == 权限等于普通账户开启声卡等等服务network services #⽹路服务账户 == 权限等于普通账户⽹络⽅⾯的服务services.msc 打开的窗⼝就是服务窗⼝，⾥⾯对应的每⼀⾏都需要⼀个账户来管理。

user profile ⽤户配置⽂件 C:\Users\xxx == linux中的home2)⽤户和组①⽤户管理Dos命令net user #查看所有⽤户net user ⽤户名密码 #改密码net user ⽤户名密码 /add #创建⼀个⽤户net user ⽤户名 /del #删除⼀个⽤户net user ⽤户名 /active:yes/no 激活或禁⽤⽤户②组管理组的作⽤：简化权限的赋予赋权限⽅式：⽤户---组---赋权限⽤户---赋权限内置组：内置组的权限默认已经被系统赋3予组管理Dos命令：net localgroup #组列表net localgroup 组名 #查看该组的成员net localgroup ⽤户组⽤户名 /add #将⽤户添加到⽤户组net localgroup ⽤户组⽤户名 /del #将某⽤户将该组中删除net localgroup 组名 /add #增加某个组net localgroup 组名 /del #删除某个组。

win2008 网络共享权限设置说明系统环境：Windows 2008 Sserver Enterprise sp2备注：本文中的网络共享指通过映射磁盘驱动器形式进行共享；文中所有权限设置均不考虑网络安全状况，仅针对用户访问权限。

假设需求：实现共享文件夹下合法用户登录后对全部文件及文件加可读，具体用户对应的业务文件夹可写。

帐号：张三、李四、王五共享文件夹根目录下设置子文件夹：1、2、3、4要求实现权限：1）各帐号可对根目录下文件及子文件夹1-4可读，对子文件夹4可写；2）张三对文件夹1可写，李四对文件夹2可写，王五对文件夹3可写。

实现步骤：一、建立用户及用户组1.新建用户：张三、李四、王五（用户为系统真实可登录用户，需设置好密码及密码策略可关闭用户远程登录权限）2.新建用户组：共享组（并将以上新建立的用户加入用户组中），新建立用户后默认是Users组中，更改为自己建立的组即可（备注：以下实例操作中共享文件夹名字、用户名、用户组不同，请自行修改）二、建立共享根目录文件夹1.右键共享根目录文件夹，选“共享”并按以下图示设置共享用户及权限选择增加everyone为：参与者2.调整共享文件夹选项中的“安全”权限：1）设置共享组、everyone、Users组对共享根目录文件夹为：读取和执行、列出文件夹和目录、读取权限（如以上3个用户或组含有其他“特殊”权限请务必删除，否则会影响后续权限设置，其他用户权限可保持原来的设置）<这里的主要地方是理解用户的包含关系，本人理解为自己新建立的用户既属于everyone也属于Users组也属于共享组，所以权限设置上如果everyone及Users组共享组有的，用户也会有>三、新建立子文件夹并设置权限1.公共文件夹只需设置Users组（或共享组、everyone）的完全控制权限即可2.专用文件夹（即文件夹1-3）权限设置1)检查文件夹下Users、共享组、everyone权限确保以上用户只有：读取和执行、列出文件夹和目录、读取权限2）增加专属用户对文件夹的权限操作如下：文件夹点右键选“属性”，在“安全”选项下的“编辑”中，增加专属用户对该文件夹的完全控制权限即可。

Windows Server 2008
1.项目1：在独立或成员服务器上建立本地组Group_test、本地账户User1，把User1加入到Group_test组中；设置User1用户下次登录时修改密码。

1）添加账户User1
图1-1 新建用户
2）添加用户User1，并且设置用户在下次登录时修改密码。

图1-2 设置用户User1
3）新建组
图1-3 新建组4）将用户User1添加到组Group_test中
图1-4 添加用户
2.项目2：用项目1中建立的User1账户登录，修改密码。

1）使用用户User1登录
图2-1选择用户
2）User1首次登录时需要修改密码
图2-2 User1登录
3）User1修改密码
图2-3 User1用户修改密码
3、简述用户和组的关系？
新建用户和组都是为了方便管理者管理，但是又有不同。

用户主要是针对移动性比较大的用户设置，无论他到本域中的哪里使用计算机，只要用得是同一个账号，就使用的是相同的权限和设置。

用户针对的是比较固定的计算机设置的，使本计算机只能做某些事，权限固定，不论什么账户登陆，都使用相同的配置与权限。

组针对的就是多个用户或计算机的的管理，只要将用户或计算机添加到新建的组里就行了。