2003权限设定SOP

权限是非常重要的，因为几乎每个用户在实际工作中都或多或少地遇到过权限问题。

例如在为一些用户配置运行一些特殊应用程序或服务时；为某些用户分配特定的网络管理任务时等。

每个用户都想有高的权限以方便工作，但在实际网络应用中，却不可能让每个用户都能拥有这样的权限，就像在现实生活中一样，都是根据不同员工在实际工作中的应用需求来设置的。

“用户权限”这个概念非常广，不仅包括常见的文件访问权限和共享权限，还包括重要的网络操作和管理权等，非常多样。

其实在微软的Windows系统中把这些不同的权限分别定义成：安全权限、共享权限和用户权利。

用户的各种权限是用户进行各种具体应用的前提，同时也是网络系统安全保障的基础，所以恰当的用户权限配置不仅是用户的应用需求，同时也是网络系统的安全需求。

许多网络安全事故或隐患就直接或间接来自于不恰当的网络用户权限配置。

本章重点Ø用户权限类型Ø全局工作组系统默认权限Ø用户权限配置的几种方法Ø Windows Server 2003系统用户权限的配置Ø RedHat Linux 9.0系统用户权限的配置8.1 Windows系统用户权利【示例1】为新来的用户Winda（分配为系统管理员组成员）和Alice（除了日常其他工作外，还负责公司的系统备份管理）在Windows Server 2003服务器系统中配置相应的网络控制权限。

在Window系统中，用户权限被区分成“权限”和“权利”两种，“权限”是指授予用户或组对某个对象或对象属性的访问能力，而“权利”专门为用户配置，是为一些特殊的任务操作或管理而设置的。

本节要通过一个具体的示例介绍用户权利的配置方法。

8.1.2 用户权利的配置明白了Windows Server 2003系统中内置的用户和组，以及各自所具有的用户权利后，下面小王就知道该如何为Winda和Alice用户配置相应的用户权利了。

Winda因为属于系统管理员，所以它必须具备本地域系统管理员组Administrators权利，只需把它直接加入到Administrators组中即可，方法如下。

Windows Server 2003安全设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator，并将其禁用b)创建一个用户账户并将其加入管理员组，日常管理工作使用这个账户完成2.启用账户锁定策略开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”3.创建一个日常登录账户通过Runas或者鼠标右键“运行方式”切换管理员权限4.修改本地策略限制用户权限开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”，限制从网络访问该服务器的账户二、服务器性能优化，稳定性优化1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始运行中输入:services.mscb)停止并禁用以下服务puter Browser2.Distributed Link Tracking Client3.Print Spooler（如果没有打印需求可以停止该服务）4.Remote Registry5.Remote Registry（如果没有无线设备可以停止该服务）6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新我的电脑右键属性——自动更新Windows Server 2003会自动下载更新，无须人为打补丁。

2.关闭端口，减少受攻击面（此处以仅提供HTTP协议为例）a)开始运行中输入cmd，运行命令提示符b)在命令提示符中输入netstat -an命令察看当前打开端口图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。

c)禁用TCP/IP 上的NetBIOS1.从“开始”菜单，右键单击“我的电脑”，然后单击“属性”。

Windows2003服务器安装及设置教程——文件及文件夹权限篇一给系统文件设置权限（如需引用或者转载此文，请注明作者：含笑，出处：）系统文件对系统的稳定性有无可争议的作用，同时对系统的操作也是通过这些系统文件进行的。

通过设置系统文件的访问权限，让一些操作只能由管理员来操作。

这样系统的安全性就大大提高。

不多说了，下面将说明需要设置权限的系统文件，设置为只有Administrators组可以访问，并且拒绝Guests组访问。

1."%SystemDrive%/boot.ini"2.Windows主要依赖Boot.ini文件来确定计算机在重启（引导）过程中显示的可供选取的操作系统类别3."%SystemDrive%/AUTOEXEC.BAT"4.装有DOS或 Windows操作系统的计算机在启动的时候，都要自动执行 AUTOEXEC.BAT 批处理文件5."%SystemDrive%/Program Files/Internet Explorer/iexplore.exe"6.Microsoft Internet Explorer的主程序7."%SystemRoot%/system32/net.exe"8.windows内置的一个管理网络资源的命令9."%SystemRoot%/system32/net1.exe"10.windows内置的一个管理网络资源的命令11."%SystemRoot%/system32/cmd.exe"12.命令行程序，类似与微软的DOS操作系统13."%SystemRoot%/system32/ftp.exe"14.File Transfer Program，微软的FTP文件传输程序15."%SystemRoot%/system32/scrrun.dll"16.FSO组件，需要支持FSO的话该文件不要设置权限17."%SystemRoot%/system32/shell.dll"18.Shell.ａｐｐｌｉｃａｔｉｏｎ组件支持文件19."%SystemRoot%/system32/netstat.exe"20.MicrosoftWindows用于检查所有TCP、IP以及UDP连接的统计情况21."%SystemRoot%/system32/regedit.exe"22.注册表编辑器23."%SystemRoot%/system32/secedit.exe"24.安全策略管理器25."%SystemRoot%/system32/gpresult.exe"26.组策略结果命令行工具27."%SystemRoot%/system32/gpupdate.exe"28.组策略刷新程序29."%SystemRoot%/system32/at.exe"30.计划运行任务31."%SystemRoot%/system32/attrib.exe"32.显示和更改文件和文件夹属性的DOS命令33."%SystemRoot%/system32/"34.格式化命令35."%SystemRoot%/system32/logoff.exe"36.注销用户命令37."%SystemRoot%/system32/shutdown.exe"38.关闭计算机命令39."%SystemRoot%/system32/telnet.exe"40.Microsoft Windows虚拟终端程序41."%SystemRoot%/system32/wscript.exe"42.Windows环境下的脚本宿主引擎43."%SystemRoot%/system32/doskey.exe"44.重新调用命令行创建宏45."%SystemRoot%/system32/help.exe"46.Windows 帮助程序47."%SystemRoot%/system32/ipconfig.exe"48.用于快速浏览系统的TCP/IP配置49."%SystemRoot%/system32/nbtstat.exe"50.用于显示TCP/IP上的NETBIOS(NETBT)的状态51."%SystemRoot%/system32/print.exe"52.Windows打印程序53."%SystemRoot%/system32/xcopy.exe"54.复制文件及文件夹的Dos文件55."%SystemRoot%/system32/debug.exe"56.程序测试与编辑工具57."%SystemRoot%/system32/regedt32.exe"58.注册表编辑器59."%SystemRoot%/system32/reg.exe"60.用于在命令行下编辑注册表的工具61."%SystemRoot%/system32/register.exe"62.程序注册工具63.64.下面的文件作用不再一一列举，有兴趣的话可以搜索引擎查询一下65."%SystemRoot%/system32/replace.exe"66.67."%SystemRoot%/system32/nwscript.exe"68.69."%SystemRoot%/system32/share.exe"70.71."%SystemRoot%/system32/ping.exe"72.73."%SystemRoot%/system32/ipsec6.exe"74.75."%SystemRoot%/system32/netsh.exe"77."%SystemRoot%/system32/"78.79."%SystemRoot%/system32/route.exe"80.81."%SystemRoot%/system32/tracert.exe"82.83."%SystemRoot%/system32/powercfg.exe"84.85."%SystemRoot%/system32/nslookup.exe"86.87."%SystemRoot%/system32/arp.exe"88.89."%SystemRoot%/system32/rsh.exe"90.91."%SystemRoot%/system32/netdde.exe"92.93."%SystemRoot%/system32/mshta.exe"94.95."%SystemRoot%/system32/mountvol.exe"96.97."%SystemRoot%/system32/tftp.exe"98.99."%SystemRoot%/system32/setx.exe" 100.101."%SystemRoot%/system32/find.exe" 102.103."%SystemRoot%/system32/finger.exe" 104.105."%SystemRoot%/system32/where.exe"107."%SystemRoot%/system32/regsvr32.exe"108.109."%SystemRoot%/system32/cacls.exe"110.111."%SystemRoot%/system32/sc.exe"112.113."%SystemRoot%/system32/shadow.exe"114.115."%SystemRoot%/system32/runas.exe"116.117."%SystemRoot%/system32/wshom.ocx"118.119."%SystemRoot%/system32/wshext.dll"120.121."%SystemRoot%/system32/shell32.dll"122.123."%SystemRoot%/system32/zipfldr.dll"124.125."%SystemRoot%/PCHealth/HelpCtr/Binaries/msconfig. exe"126.127."%SystemRoot%/notepad.exe"128.129."%SystemRoot%/regedit.exe"130.131."%SystemRoot%/winhelp.exe"132.133."%SystemRoot%/winhlp32.exe"134.135."%SystemRoot%/system32/notepad.exe"136.137."%SystemRoot%/system32/edlin.exe"138.139."%SystemRoot%/system32/posix.exe"140.141."%SystemRoot%/system32/atsvc.exe"142.143."%SystemRoot%/system32/qbasic.exe"144.145."%SystemRoot%/system32/runonce.exe"146.147."%SystemRoot%/system32/syskey.exe"148.149."%SystemRoot%/system32/cscript.exe"150.151."%SystemRoot%/system32/sethc.exe"152.防止WINDOWS漏洞[粘置键]的"变态入侵之有史以来最酷的Windows后门sethc_exe153."%SystemRoot%/ServicePackFiles/i386/sethc.exe"154.防止WINDOWS漏洞[粘置键]的"变态入侵之有史以来最酷的Windows后门sethc_exe完成。

windows 2003文件服务器详细权限设置window server 2003文件服务器要求达到如下目标：1．网络管理员对所有共享文件夹都拥有完全控制权；2．所有员工对公共文件夹只拥有读取权限；3．每位员工只对自己的私人文件夹拥有完全控制权，且不能读取其他员工的文件夹；4．每位员工所能使用的磁盘空间有一定限制，并且已用空间达到一定程度后会得到警告。

创建用户和文件夹：根据经理提出的目标，阿昊首先为每位员工创建用户账户，并且在磁盘的NTFS分区中规划合理的文件夹结构。

私人文件夹以员工姓名命名，在域中添加用户的过程简述如下：1. 依次单击“开始/管理工具/Active Directory用户和计算机”，在打开窗口的左窗格中右击“Users”容器，执行“新建/用户”命令。

2. 在打开的“新建对象→用户”对话框中键入用户登录名（如“hongxiaowei”）和用户的全称（如“洪晓卫”）。

单击“下一步”按钮，在密码设置选项卡中设定密码并依次单击“下一步/完成”按钮。

重复此过程创建其他用户（如图1）。

图1 创建用户账户安装文件服务器：因为在默认情况下Windows Server 2003并没有安装“文件服务器”组件，因此阿昊手动将这些组件添加了进来。

1. 依次单击“开始/管理工具/管理您的服务器”，打开“管理您的服务器”窗口。

在“管理您的服务器角色”区域中单击“添加或删除角色”按钮，进入配置向导并单击“下一步”按钮。

2. 配置向导检测完网络设置后打开“服务器角色”选项卡。

在“服务器角色”列表中选中“文件服务器”选项，并单击“下一步”按钮。

3. 在打开的“文件服务器磁盘配额”选项卡中勾选“为此服务器的新用户设置默认磁盘空间配额”复选框，然后根据磁盘剩余空间及用户实际需要在“将磁盘空间限制为”和“将警告级别设置为”编辑框中键入合适的数值。

另外，勾选“拒绝将磁盘空间给超过配额限制的用户”复选框，可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。

Windows 2003网站安全权限设置指南Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可，基于IIS Web服务器软件的网站数量也越来越多。

通常情况下，高校的大多数服务器会由技术力量相对雄厚的网络中心等IT 资源部门运维管理。

而网站程序的制作则由各单位、各部门自主负责，少数用户单位会自主开发，或者请专业的IT公司代为开发。

更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此，各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行多个网站，其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤)，黑客便可通过攻击该网站取得权限，上传网页木马，得到了一个Web SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有Web站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便会感染上病毒，不仅引来用户的严重不满和投诉，同时也使学校的形象严重受损。

为了避免类似事件的发生，我们有必要分开部署网站和数据库。

通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还远远不够，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限作出严格的控制，实现各网站之间权限的隔离，方法如下：在Web服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。

3.将各个网站分配到相应的应用程序池。

1、目的
建立财务部会计的岗位职责，确定财务部会计工作的权力和责任，使全公司生产有序进行。

2、责任
由财务部负责本规程的起草，财务部会计负责执行，财务部经理负责监督。

3、范围
本规程用于规范财务部会计的岗位职责。

4、内容：
4．1、职务名称：财务部会计。

4．2、负责各项会计凭证的审核、编号、装订及保管。

4．3、负责各种明细分类帐的登载及保管。

4．4、负责总、分类帐的登录与保管。

4．5、负责帐务调整事项。

4．6、负责办理所得税预估暂缴及结算申报自缴税款事项。

4．7、负责财务结构的分析及会计报告的编制事项。

4．8、负责公司会计有关凭证、帐册的审计、稽核、结帐、调整决算事项。

4．9、负责会计传票的审核，复对事项。

4．10、负责会计报表，决算报表的编制，分析与呈报。

4．11、负责销售帐务的核算。

4．12、负责税务的处理及其他有关会计事项的办理。

4．13、负责和总务部仓库管理员核对物料，进行盘点。

windows 2003最完善最完美的权限及安全设置解决方案1. IIS6.0的安装和设置1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络COM+ 访问（必选）|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务———Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS （S）"。

在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)1.2. IIS (Internet信息服务器管理器) 在"主目录"选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”建议使用W 3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。

1.3. 在IIS6.0 -本地计算机- 属性- 允许直接编辑配置数据库在IIS中属性->主目录->配置->选项中，在网站“启用父路径”前面打上勾1.4. 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”1.5. 优化IIS6应用程序池1、取消“在空闲此段时间后关闭工作进程（分钟）”2、勾选“回收工作进程（请求数目）”3、取消“快速失败保护”1.6. 解决SERVER 2003不能上传大附件的问题在“服务”里关闭iis admin service 服务。

Windows Server 2003 工作手册一、在Windows Server 2003 中为DNS 配置Internet 访问概要本分步指南说明如何在Windows Server 2003 产品中为域名系统(DNS) 配置Internet 访问。

DNS 是Internet 上使用的核心名称解析工具。

DNS 负责主机名称和Internet 地址之间的解析1、如何从运行Windows Server 2003 的独立服务器开始运行Windows Server 2003 的独立服务器成为网络的DNS 服务器。

第一步，为该服务器分配一个静态Internet 协议(IP) 地址。

DNS 服务器不应该使用动态分配的IP 地址，因为地址的动态更改会使客户端与DNS 服务器失去联系。

第1 步：配置TCP/IP单击开始，指向控制面板，指向网络连接，然后单击本地连接。

单击属性.单击Internet 协议(TCP/IP)。

，然后单击属性.单击常规选项卡。

单击使用下面的IP 地址，然后在相应的框中键入IP 地址、子网掩码和默认网关地址。

单击高级，然后单击DNS 选项卡。

单击附加主要的和连接特定的DNS 后缀。

单击以选中附加主DNS 后缀的父后缀复选框。

单击以选中在DNS 中注册此连接的地址复选框。

注意，运行Windows Server 2003 的DNS 服务器必须将其DNS 服务器指定为它本身。

如果该服务器需要解析来自它的Internet 服务提供商(ISP) 的名称，您必须配置一台转发器。

在本文稍后的如何配置转发器部分将讨论转发器。

单击确定三次。

备注: 如果收到一个来自DNS 缓存解析器服务的警告，单击确定关闭该警告。

缓存解析器正试图与DNS 服务器取得联系，但您尚未完成该服务器的配置。

第2 步：安装Microsoft DNS 服务器单击开始，指向控制面板，然后单击添加或删除程序。

单击添加或删除Windows 组件。

Windows Server 2003 配置规范1. 概述 本文档规定了公司范围内安装有 Windows Server 2003 操作系 统的主机应当遵循的操作系统设置规范， 旨在指导系统管理人员进行 Windows Server 2003 操作系统的配置。

1.1 适用范围本规范的使用者包括： 服务器系统管理员、应用管理员、网络安全管理员。

本规范适用的范围包括： 公司运行的 Windows Server 2003 服务器系统。

1.2 实施 本规范的解释权和修改权属信息技术中心， 在本标准的执行过程 中若有任何疑问或建议，应及时反馈。

本标准一经颁布，即为生效。

1.3 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明 业务需求和原因，送交信息技术中心进行审批备案。

1.4 检查和维护 根据公司经营活动的需要，每年检查和评估本标准，并做出适当 更新。

如果在突发事件处理过程中，发现需对本标准进行变更，也需第 1 页 共 12 页要进行本标准的维护。

2. 事件日志配置 2.1. 系统日志大小设置 所有日志的覆盖方式都设置为：按需要覆盖事件 大小设置为：应用程序 16384KB 16384KB 2.2. 修改事件日志的存放路径 在 D 盘建立目录： D:\Sec\syslog，其权限设置为： Administrators、System 完全控制 Power Users、Users 列出文件夹目录 CREATOR OWNER 权限为空 然后修改以下键值： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Eventlog\Security] file  D:\Sec\SysLog\SecEvent.Evt [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Eventlog\System] file  D:\Sec\SysLog\SysEvent.Evt [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Eventlog\Application] file  D:\Sec\SysLog\AppEvent.Evt第 2 页 共 12 页安全 16384KB系统2.3.系统审计日志应用程序、 安全性和系统事件日志的设置都应在域策略中配置并应用 到域中的所有成员服务器。

密级：机密文档编号：WJ--19--05 第1 版分册名称：第1册/共1册Windows2003服务器安全配置手册（申告处理中心）技术运营中心技术手册文件修改控制目录1.引言 (4)1.1目的 (4)1.2背景 (4)1.3术语 (4)1.3.1什么是 (4)1.4人员 (4)2.系统概述 (4)2.1适用范围 (4)2.2系统特性简介 (4)3.权限设置 (5)4.协议设置 (7)5.IIS的安全设置： (8)5.1删掉C:/INETPUB目录，删除IIS不必要的映射 (8)5.2“目录安全性”设置 (9)5.3"应用程序配置" (10)5.4“自定义错误选项” (12)5.5“程序池设置” (13)5.6其他配置 (18)6.细节策略设置 (20)6.1给WEB根目录的IIS用户只给读权限。

(20)7.端口设置 (24)1.引言1.1目的安全配置windows2003操作系统。

1.2背景有一定的计算机系统安装经验，熟悉windows操作系统。

1.3术语1.3.1为什么需要对windows2003进行安全配置windows server 2003是目前比较成熟的网络服务器平台，安全性相对于windows server 2000有大大的提高,但是windows server 2003默认的安全配置不一定适合需要，所以要根据实际情况来对win2003进行全面安全配置。

权限配置的太严格，很多程序无法运行，但是权限配置的太松，又很容易被黑客入侵。

所以经过不断的摸索。

慢慢摸索出一套windows server 2003安全设置的过程。

1.4人员2.系统概述2.1适用范围适用于技术运营中心人员2.2系统特性简介适用于windwos服务器系统安装。

3.权限设置C盘是系统盘，所以只给administrators 和system权限，其他的盘也可以这样设置，这里给的system权限也不一定需要给，但由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

出处：/Article/HTML/20168.htmlWindows2003权限及安全设置一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面２、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）启用网络 COM+ 访问（必选）Internet 信息服务(IIS)———Internet 信息服务管理器（必选）公用文件（必选）万维网服务———Active Server pages（必选）Internet 数据连接器（可选）WebDAV 发布（可选）万维网服务（必选）在服务器端的包含文件（可选）然后点击确定—>下一步安装。

具体安装与搭建看视频教程３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。

４、备份系统用GHOST备份系统。

５、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

6、先关闭不需要的端口开启防火墙导入IPSEC策略在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

win2003服务器防止海洋木马的安全设置1. 删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WORKWORK.1regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车regsvr32/u C:\WINNT\System32\wshom.ocxdel C:\WINNT\System32\wshom.ocxregsvr32/u C:\WINNT\system32\shell32.dlldel C:\WINNT\system32\shell32.dll再把以上2个文件权限设置为ADMINISTRATOR组完全权限所有这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。

WINDOWS2003服务器目录权限设置推荐以下是详细的相应目录权限设置清单： Administrators 完全控制 System 完全控制 D:\盘权限 Administrators 完全控制 System 完全控制 E:\盘权限 Administrators 完全控制 System 完全控制如果你还有其他盘符如F、G..盘，权限和上面一样设置。

C:\Documents and Settings 目录权限Administrators 完全控制System 完全控制C:\Program Files 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\system 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\system32 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\temp 目录权限Administrators 完全控制System 完全控制Everyone 完全控制WWWROOT（网站根目录）目录权限Administrators 完全控制System 完全控制Internet来宾账户读取和运行+列出文件夹目录+读取PHP目录权限：Administrators 完全控制System 完全控制Everyone 读取和运行+列出文件夹目录+读取Zend目录权限：Administrators 完全控制System 完全控制Everyone 完全控制Mysql目录权限： 3Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取1.删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WORKWORK.1regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车Windows 2003 硬盘安全设置c:\administrators 全部system 全部iis_wpg 只有该文件夹列出文件夹/读数据读属性读扩展属性读取权限c:\inetpub\mailrootadministrators 全部system 全部service 全部c:\inetpub\ftprooteveryone 只读和运行c:\windowsadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部IIS_WPG 读取和运行，列出文件夹目录，读取Users 读取和运行(此权限最后调整完成后可以取消)C:\WINDOWS\administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部Users 读取和运行，列出文件夹目录，读取C:\WINDOWS\administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部Users 读取和运行，列出文件夹目录，读取C:\WINDOWS\\temporary Files administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部Users 全部c:\Program FilesEveryone 只有该文件夹不是继承的列出文件夹/读数据administrators 全部iis_wpg 只有该文件夹列出文件/读数据读属性读扩展属性读取权限c:\windows\tempAdministrator 全部权限System全部权限users 全部权限c:\Program Files\Common Filesadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部TERMINAL SERVER Users(如果有这个用户)修改，读取和运行，列出文件夹目录，读取，写入Users 读取和运行，列出文件夹目录，读取c:\Program Files\Dimac(如果有这个目录) Everyone 读取和运行，列出文件夹目录，读取administrators 全部c:\Program Files\ComPlus Applications (如果有) administrators 全部c:\Program Files\GflSDK (如果有) administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部TERMINAL SERVER Users修改，读取和运行，列出文件夹目录，读取，写入Users 读取和运行，列出文件夹目录，读取Everyone 读取和运行，列出文件夹目录，读取c:\Program Files\InstallShield Installation Information (如果有)c:\Program Files\Internet Explorer (如果有)c:\Program Files\NetMeeting (如果有)administrators 全部c:\Program Files\WindowsUpdateCreator owner不是继承的只有子文件夹及文件完全administrators 全部Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部c:\Program Files\Microsoft SQL(如果SQL安装在这个目录) administrators 全部Service 全部system 全部d:\ (如果用户网站内容放置在这个分区中)administrators 全部权限d:\FreeHost (如果此目录用来放置用户网站内容)administrators 全部权限SERVICE 读取与运行从安全角度，我们建议WebEasyMail(WinWebMail)安装在独立的盘中，例如E: E:\(如果webeasymail安装在这个盘中)administrators 全部权限system 全部权限IUSR_*，默认的Internet来宾帐户(或专用的运行用户)读取与运行E:\WebEasyMail (如果webeasymail安装在这个目录中)administrators 全部system 全部权限SERVICE全部IUSR_*，默认的Internet来宾帐户 (或专用的运行用户)全部权限C:\php\uploadtempC:\php\sessiondataeveryone全部C:\php\administrators 全部system 全部权限SERVICE全部Users 只读和运行c:\windows\php.iniadministrators 全部system 全部权限SERVICE全部Users 只读和运行防止海洋木马列出WIN服务器的用户和进程禁用服务里面倒数第二个 workstation 服务，可以防止列出用户和服务设网站文件目录与数据库权限拒绝黑客入侵 2009年09月02日08:54 天极网极富创意灵感的Flash网站设计欣赏建资讯网站应该选择什么样的CMS产品“格式塔”原理在网页设计中的应用点击查看更多设计软件资讯>>在网站运营的过程中，最令站长头痛的可能就是网站被入侵了，实际上，如果提前设置好网站的目录权限，就可以保证网站能够经受大部分的漏洞攻击。

以下是详细的相应目录权限设置清单：Administrators 完全控制System 完全控制C:\盘权限Administrators 完全控制System 完全控制-----------------------D:\盘权限Administrators 完全控制System 完全控制-----------------------wwww: 权限Administrators 完全控制System 完全控制Everyone 读取控制Intenet 来宾账户读取+写入-----------------------php: 权限Administrators 完全控制System 完全控制Everyone 读取和运行+列出文件夹目录+读取控制Users 读取和运行+列出文件夹目录+读取控制------------------------mysql: 权限Administrators 完全控制System 完全控制------------------------windows : 权限Administrators 完全控制System 完全控制Users 读取和运行+列出文件夹目录+读取控制-------------------------system32: 权限Administrators 完全控制System 完全控制power users 除了完全控制,其它都允许users 取和运行+列出文件夹目录+读取控制--------------------------Temp:权限Administrators 完全控制System 完全控制power users 除了完全控制,其它都允许users 取和运行+列出文件夹目录+读取控制。

WINDOWS SERVER 2003 管理基础三一、系统权限的设置１、磁盘权限系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYS TEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、t ftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、format.co m、del文件只给Administrators 组和SYSTEM 的完全控制权限另将<systemroot>\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。

并且要一个一个目录查看，包括下面的所有子目录。

删除c:\inetpub目录２、本地安全策略设置开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户。

windows 2003最完善最完美的权限及安全设置解决方案1. IIS6.0的安装和设置1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络COM+ 访问（必选）|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务———Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS （S）"。

在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)1.2. IIS (Internet信息服务器管理器) 在"主目录"选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”建议使用W 3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。

1.3. 在IIS6.0 -本地计算机- 属性- 允许直接编辑配置数据库在IIS中属性->主目录->配置->选项中，在网站“启用父路径”前面打上勾1.4. 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”1.5. 优化IIS6应用程序池1、取消“在空闲此段时间后关闭工作进程（分钟）”2、勾选“回收工作进程（请求数目）”3、取消“快速失败保护”1.6. 解决SERVER 2003不能上传大附件的问题在“服务”里关闭iis admin service 服务。

在Windows Server 2003 操作系统中，每一个使用者都必须有一个账户，才能登录到计算机和服务器，并且访问网络上的资源。

Windows Server 2003所支持的用户账户分为两种类型：本地用户账户和域用户账户。

而组账户在域和其他环境下有很大的不同。

4.1 本地用户账户的管理当Windows Server 2003工作在“工作组”模式下或者作为域中的成员服务器时，在计算机操作系统中存在的是本地用户和本地组。

本地用户账户的作用范围仅限于在创建该账户的计算机上，以控制用户对该计算机上的资源的访问。

所以当需要访问在“工作组”模式下的计算机时，必须在每一个需要访问的计算机上都有其本地账户。

其中本地账户都存储在%SystemRoot%\system32\config\Sam数据库中。

下面学习怎样管理Windows Server 2003的本地用户账户。

4.1.1 本地用户账户的创建案例：在成员服务器上创建本地用户启动计算机，以“Administrator”身份登录Windows Server 2003，然后右击“我的电脑”选择“管理”命令，如图4-1所示。

将出现计算机管理控制台，如图4-2所示。

通过打开“开始”菜单并执行“管理工具”→“计算机管理”命令，也能够打开如图4-2所示的计算机管理控制台。

实用文档图4-1图4-2在“计算机管理”控制台中，打开“本地用户和组”，并选择“用户”，将出现系统中现有的用户信息，如图4-2所示。

实用文档右击“用户”或在右侧的用户信息窗口中的空白位置右击，将弹出如图4-3所示的菜单。

在出现的菜单中选择“新用户”命令，将弹出创建新用户的对话框，如图4-4所示。

根据实际情况在该对话框中设置创建新用户的选项。

用户名：用户登录时使用的账户名，例如输入“xubinhui”。

全名：用户的全名，属于辅助性的描述信息，不影响系统的功能。

描述：对于所建用户账户的描述，方便管理员识别用户，不影响系统的功能。

win2003 服务器安全设置说明目录系统权限的设置 (2)对注册表的修改 (6)本地安全策略的配置 (7)系统服务的关闭和开启 (8)FTP的安全设置 (10)网站安全维护 (14)Windows自带的防火墙 (18)数据库安全设置 (19)远程登录账户密码的要求 (21)系统权限的设置1、先介绍一下权限设置的方案：a)被授予权限的对象分为用户和用户组两类。

b)批量的设置分为两大方案，当设置某个目录的权限时，进入高级。

i.可设置是否继承父级权限设置(第一个勾)。

ii.可设置是否替换子目录及文件的权限设置(第二个勾)。

2、系统使用之前将每个硬盘根加上Administrators用户为全部权限(可选加system用户)，同时删除掉其他所有的用户。

操作步骤：i.在硬盘盘符上，鼠标右击，选择属性。

ii.选择“安全”选项卡，看到安全设置，其中“组或用户名称”中是对当前磁盘有操作权限的所有的用户组或用户。

下面则是对这个用户组或用户进行的权限设置。

iii.点击“高级”按钮，进入“高级安全设置”，如果想把此应用同时应用到子目录中是，则可以选择下面的单选框。

3、对系统盘我们特殊处理。

先具体文件夹的权限如下：i.C盘：只授予 System 和 Administrators 完全控制权限，删除其他用户或组，不替换子目录。

ii.C:\Documents and Settings:仅继承父级，并替换子目录。

iii.C:\Inetpub : 删除之，不要使用该目录作为网站发布的目录、iv.C:\Program Files: 仅继承父级，并替换子目录。

v.C:\Program Files\Common Files\Microsoft Shared：删除继承并保设置（在“高级”中取消第一个勾，再在弹出的对话中选“复制”）添加 Users 组，只授予读取权限，将该目录的设置替换它的子目录（勾中第二个勾）。

vi.C:\Windows：删除继承并保留设置，添加 Users 组，只授予读取权限，将该目录的设置替换它的子目录（具体做法和上面 /Microsoft Shared目录设置一样）。

如何配置Win2003的NTFS文件系统权限及IIS权限设置参考.txt如果不懂就说出来，如果懂了，就笑笑别说出来。

贪婪是最真实的贫穷，满足是最真实的财富。

幽默就是一个人想哭的时候还有笑的兴致。

如何配置Win2003的NTFS文件系统权限一、首先了解权限设置的方案1、被授予权限的对象分用户和用户组两种2、批量设置有两大方案，当设置某个目录的权限时，进入高级I 可设置是否继承父级权限设置（第一个勾）II 可设置是否替换子目录及文件的权限设置（第二个勾）二、系统盘主要目录的权限设置C:只授予 System 和 Administrators 完全控制权限，删除其他用户或组，不替换子目录C:\Documents and Settings仅继承父级，并替换子目录C:\Inetpub删除之，不要使用该目录作为网站发布的目录。

C:\Program Files仅继承父级，并替换子目录C:\Program Files\Common Files\Microsoft Shared删除继承并保留设置（在“高级”中取消第一个勾，再在弹出的对话中选“复制”）添加 Users 组，只授予读取权限将该目录的设置替换它的子目录（勾中第二个勾）C:\Windows删除继承并保留设置添加 Users 组，只授予读取权限将该目录的设置替换它的子目录（具体做法和上面 /Microsoft Shared 目录设置一样）C:\Windows\Temp添加 IIS_WPG、ASPNET、Network Services、Network 用户或组授予完全控制权限，替换它的子目录C:\Windows\\Framework\v1.1.4322\Temporary Files添加 Everyone，授予完全控制权限，将该设置替换它的子目录三、其他盘的设置C盘设置完成，其他盘均仅给 System 和 Administrators 授予完全控制即可。

网站发布目录授予IIS匿名用户读取访问权限。