Windows Server 2003系统最完美的安全权限设置方案

Windows2003已经出现很久了，现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉，在这里，我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。

Win2003系统已经比Win2K系统增加了很多的安全性，所以现在选择Win2003系统作为服务器系统，将会是网络管理员的最佳选择。

本文假设你是一个服务器管理员，现在你的服务器使用Win2003服务器系统，你的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等）。

一、系统安装注意事项：首先，你得先把你的Win2003系统安装好，在安装系统时请选择使用NTFS文件系统分区，因为该分区可以对你的服务器资源进行加密、权限设置等，如果你的文件系统分区是使用FAT32的话，而你这台服务器作为一台虚拟主机，给客户提供空间，如果客户在空间里传了一个WebShell，如ASP木马等，而你使用的FAT32文件系统却不能为你的文件设置访问权限的话，那么黑客就能通过这个ASP木马取得你的服务器管理权了，那将是没有任何的安全性可言了。

为了系统的安全着想，系统安装好后，你还要给你的系统设置一个强壮的管理员口令，千万不要使用简单的口令，如123456等这样的简单登陆口令。

因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。

一个强壮的口令应该包括数字、英文字母、符号组成，如密码k3d8a^!ka76，设置好一个强壮的系统登陆口令后，我们就可以安装各种上面所述的组件服务支持了。

还是那句老话，最少的服务等于最大的安全，对于一切不须要的服务都不要安装，这样才能保证你服务器的安全性。

Windows 2003 FSO权限设置第一步是有别于Windows 2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组(图1)，并重启计算机经过这样设计后，FSO木马就已经不能运行了。

如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。

下面以实例来介绍(假设你的主机上E盘Abc文件夹下设站点)：1.打开“计算机管理→本地用户和组→用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。

2.右击E:\Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样)，删除Everyone的完全控制(如果不能删除，请点击[高级]按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有)，添加 Administrators及Abc用户对本网站目录的所有安全权限。

3.打开IIS管理器，右击主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击身份验证和访问控制的[编辑]，弹出图2所示对话框，匿名访问用户默认的就是“IUSR_机器名”，点击[浏览]，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。

经过这样设置，访问网站的用户就以Abc账户匿名身份访问E:\Abc文件夹的站点，因为Abc账户只对此文件夹有安全权限，所以他只能在本文件夹下使用FSO。

---------------------------------------------------------------------------------现在绝大多数的虚拟主机都禁用了 ASP 的标准组件：FileSystemObject，因为这个组件为 ASP 提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作（当然，这是指在使用默认设置的 Windows NT / 2000 下才能做到）。

windows 2003文件服务器详细权限设置window server 2003文件服务器要求达到如下目标：1．网络管理员对所有共享文件夹都拥有完全控制权；2．所有员工对公共文件夹只拥有读取权限；3．每位员工只对自己的私人文件夹拥有完全控制权，且不能读取其他员工的文件夹；4．每位员工所能使用的磁盘空间有一定限制，并且已用空间达到一定程度后会得到警告。

创建用户和文件夹：根据经理提出的目标，阿昊首先为每位员工创建用户账户，并且在磁盘的NTFS分区中规划合理的文件夹结构。

私人文件夹以员工姓名命名，在域中添加用户的过程简述如下：1. 依次单击“开始/管理工具/Active Directory用户和计算机”，在打开窗口的左窗格中右击“Users”容器，执行“新建/用户”命令。

2. 在打开的“新建对象→用户”对话框中键入用户登录名（如“hongxiaowei”）和用户的全称（如“洪晓卫”）。

单击“下一步”按钮，在密码设置选项卡中设定密码并依次单击“下一步/完成”按钮。

重复此过程创建其他用户（如图1）。

图1 创建用户账户安装文件服务器：因为在默认情况下Windows Server 2003并没有安装“文件服务器”组件，因此阿昊手动将这些组件添加了进来。

1. 依次单击“开始/管理工具/管理您的服务器”，打开“管理您的服务器”窗口。

在“管理您的服务器角色”区域中单击“添加或删除角色”按钮，进入配置向导并单击“下一步”按钮。

2. 配置向导检测完网络设置后打开“服务器角色”选项卡。

在“服务器角色”列表中选中“文件服务器”选项，并单击“下一步”按钮。

3. 在打开的“文件服务器磁盘配额”选项卡中勾选“为此服务器的新用户设置默认磁盘空间配额”复选框，然后根据磁盘剩余空间及用户实际需要在“将磁盘空间限制为”和“将警告级别设置为”编辑框中键入合适的数值。

另外，勾选“拒绝将磁盘空间给超过配额限制的用户”复选框，可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

Windows2003怎么进安全模式
大家知道电脑 Windows2003怎么进入安全模式吗?跟其他系统一样吗?下面就让店铺教大家Windows 2003怎么进安全模式吧。

WIN XP/WIN2003进入安全模式方法
在电脑刚开机的时候，也就是屏幕还在出一些英文字母的时候就狂按F8，也就是按一下F8，再松开再按下再松开这样不停的按，直到出现如下图所示的Windows高级选项菜单为止。

然后在Windows高级选项菜单中，使用方向键移动到“安全模式”中然后确定即可。

(Windows高级选项菜单)
WIN7系统进入安全模式方法
WIN7版本比较多，进入的方法也不完全一样。

大家可以按着以下两种方法自己尝试。

第一种：和XP一样，也就是还没开机的时候就狂按F8，直到出现WIN7的高级选项菜单为止。

第二种：开机狂按Ctrl键，直到出现WIN7高级选项菜单，使用方向键移动到安全模式回车进入即可。

(WIN7高级选项菜单)
WIN8系统进入安全模式方法
Windows8系统进入安全模式和WIN7及XP系统安全不一样，这个系统进入安全模式的快捷键是Shift+F8才能。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

win2000/2003终端服务全程图说攻略win2000/2003终端服务全程图说攻略呵呵，大家好！这个攻略总算有空做了！终端服务可能有些人听说过，但是真正去用的怕还不是很多，大多只是使用它的远程管理。

想真正用到终端的怕又不知道怎么去管理和调整。

而且更可恶的是，微软竟有30天的使用限制，就算加了临时授权也只能是90天使用的期限。

而这些个问题在本攻略里都将一一解决。

为了让大家看的懂，俺采用了图解的模式，占空间会大些俊俊不要哭撒！嘿嘿~~！由于俺这里没有2000和2003的机器，只好用虚拟机在自己的机器上模拟了一个。

2003占资源过大，所以本攻略采用2000做示范。

其实在2003实现的方法是一样的，唯一不同的是组策略的设置，这个以后再说了只好，如果有需要用2003的终端服务遇到困难恰巧又不知道怎么解决的可以在这里提出，俺会尽量答复的。

言归正传，现在就请各位进入终端服务的世界。

首先是安装操作系统，使用win2000server、2000ADV.Server或2003除webserver以外的任何一个服务器版本均可，俺这里使用的win2000 Server。

但是需要注意以下几点。

1、该机器不可同时作为AD服务器；2、在安装时授权一项必须是每服务器方式，且需要把许可证数量调整的100个。

若在安装时调整应在下图所示步骤更改，授权模式为每服务器，同时连接数里请填写上100其他的按默认安装即可，安装完记得最少要打上sp2，不然你的终端服务会很不好用的哦。

有人问，要是安装时选择的是每客户方式不行么？可以，但是这样的话下边的客户端就必须有独立的操作系统，并且这个操作系统还必须是微软的win系列。

这样客户端才能拥有一个内嵌的且被NT类服务器认可的CA认证。

不过这这里俺还是推荐使用每服务器，无论你的客户端是什么样的，这样可避免一些不必要的问题。

其实在安装的时候选择了每客户也不是不可更改的，你可以在安装完毕后打开控制面板找到“授权”一项，打开它。

Win2003共享及权限设置（简明）Win2003共享及权限设置（简明）一、基础系统环境的设置点开始->运行，输入gpedit.msc然后按确定。

点windows设置下面的安全设置，然后本地策略->用户权利分配，右边框中拒绝从网络访问计算机中不得有guest用户，如果有请删除。

然后回到安全选项，右边框中查找:1、网络访问：本地账户的安全和共享模式，改为经典-本地用户以自己的身份验证。

2、来宾账户状态，改为已启用。

3、使用空白密码的账户只允许控制台登陆，改为已禁用。

这样系统基础环境设置完毕。

二、添加共享用户点开始->所有程序->管理工具->计算机管理,点击系统工具下方的本地用户和组，点击用户，在右边框中下方空白处右键新用户，添加用户，用户名自己起，密码自己想，用户名和密码不能和其它用户相同，下面选项中，把用户下次登录时须更改密码前面的勾去掉，在用户不能更改密码和密码永不过期前面打勾。

（这几点很重要，有不少人错在这里，在查看共享文件夹时提示无权限拒绝访问）。

添加完成，后面如果还有其它用户的话照例添加。

组的用途就是比如A和B两用户共享文件夹的权限是完全相同的，那就可以吧A和B两用户添加到一个组里，这样在后面共享权限和安全设置里就可以添加这个组，不需要一个一个用户的添加了，当然这适用于较多有相同权限的用户，这样比较省时间。

添加方法就是新建一个组，组名自己起(比如AB)，然后点下面的添加，然后点高级，点立即查找，在下面框中找到A用户，然后双击A用户，然后再点击高级，立即查找，找到B 用户双击，这样在输入对象名称来选择下面的框中，A和B用户都在里边，然后点确定，回到新建组对话框，然后点击创建，这样这个组就添加完成了。

用户和组的添加方法就到这里，继续添加其它用户的话以此类推。

三、共享文件夹的权限划分和安全设置新建a、b、c三个文件夹（文件夹名简单，为了测试时便于记忆），1、以a文件夹为例，点右键->选共享此文件夹,共享名默认即可，点共享和安全按钮，把组和用户名称框中的所有用户和组都删掉，然后点击添加->高级->立即查找,假设a文件夹里的内容，对A用户有完全的权限(可读可写可修改可删除)，那就在下面的框中找到A用户，双击，然后按确定，这样A用户就被添加进去了，然后在下面的权限框中根据A用户的权限选择完全控制的权限。

Win2003 系统服务器防火墙设置教程防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。

Internet连接防火墙的设置在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。

1. 启动/停止防火墙(1)打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。

(2)单击“高级”选项卡，出现如图1所示启动/停止防火墙界面。

如果要启用Internet 连接防火墙，请选中“通过限制或阻止来自Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙，请清除以上选择。

2. 防火墙服务设置Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

(1)标准服务的设置我们以Windows 2003服务器提供的标准Web服务为例(默认端口80)，操作步骤如下：在图1所示界面中单击[设置]按钮，出现如图2所示“服务设置”对话框;在“服务设置”对话框中，选中“Web服务器(HTTP)”复选项，单击[确定]按钮。

设置好后，网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务注：您可以根据Windows 2003服务器所提供的服务进行选择，可以多选。

常用标准服务系统已经预置在系统中，你只需选中相应选项就可以了。

如果服务器还提供非标准服务，那就需要管理员手动添加了。

2)非标准服务的设置我们以通过8000端口开放一非标准的Web服务为例。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

如何在Windows系统中设置用户权限和安全性Windows系统是目前最广泛使用的操作系统之一，拥有强大的用户权限和安全性设置功能。

正确设置用户权限和加强系统安全性对于保护个人隐私和防止恶意攻击至关重要。

本文将介绍如何在Windows系统中设置用户权限和加强系统安全性。

一、用户权限设置1. 控制面板设置a. 打开“控制面板”，选择“用户账户”。

b. 选择“更改账户类型”。

c. 根据需要选择用户账户类型，如管理员、标准用户等。

d. 点击“更改账户类型”按钮，并确认修改。

2. 用户组设置a. 打开“计算机管理”（右键点击“计算机”，选择“管理”）。

b. 选择“本地用户和组”>“组”。

c. 在“组名称”列表中选择需要设置的用户组。

d. 右键点击选择的用户组，选择“属性”。

e. 在“成员”选项卡中，点击“添加”将需要添加的用户加入组内。

f. 点击“应用”和“确定”保存更改。

3. 文件和文件夹权限设置a. 右键点击文件或文件夹，选择“属性”。

b. 在“安全”选项卡中，点击“编辑”。

c. 选择需要设置的用户或用户组，并在“权限”列中勾选相应权限。

d. 点击“确定”保存更改。

二、加强系统安全性1. 使用防火墙a. 打开“控制面板”，选择“Windows Defender 防火墙”。

b. 在左侧菜单栏中选择“高级设置”。

c. 设置入站和出站规则，限制程序和端口的访问权限。

2. 定期更新系统和软件a. 打开“Windows 更新”（在控制面板或设置中可找到）。

b. 点击“检查更新”并下载安装最新的系统和软件更新。

3. 安装可靠的杀毒软件a. 在官方网站下载并安装可信赖的杀毒软件。

b. 定期进行病毒扫描，检查系统安全。

4. 禁用不必要的服务和功能a. 打开“服务”（在控制面板或使用运行命令"services.msc"）。

b. 停止或禁用不需要的服务以减少系统暴露风险。

5. 创建强密码和使用多因素身份验证a. 创建包含字母、数字和特殊字符的复杂密码。

Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统，它基于 Windows NT 的架构，具有非常好的稳定性、可靠性和安全性，适用于企业实施各种应用解决方案。

本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。

安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤：1.选择安装语言和安装选项，例如安装 Windows Server 2003 标准版或企业版等。

2.选择安装位置，可以选择已有分区上进行安装，也可以新建分区。

3.设置管理员密码，以保证服务器的管理安全。

4.完成安装后，系统会自动重启，启动时将进入 Windows Server 2003配置向导。

配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术：配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。

2.双击“Internet 协议(TCP/IP)”选项卡，进入“属性”对话框。

3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。

配置域名和 DNS1.在“控制面板”中选择“管理工具”，然后单击“DNS”。

2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名，也可以直接在“区域”下输入域名。

3.单击“新建区域”，输入相应的域名和 IP 地址。

可以在“区域域名”下找到设置的域名。

配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务)，并选择“FTP站点”。

2.选择“FTP 站点”，点击“属性”按钮。

3.在“FTP 站点属性”对话框中，单击“高级”选项卡，随后将 FTP 主目录配置为指定目录。

配置防火墙1.在“控制面板”中找到“安全中心”，单击“Windows 防火墙”进行防火墙的配置。

项目工作过程拆分任务实施工作单进入安装界面进行选择，有三个选项，选择“现在安装弹出微软的安装许可协议，只有同意才能继续进行，按F8进入到硬盘分区界面，第一次安装系统时磁盘（硬盘）没有分区，要先进行分区，把光在箭头处输入这个分区的容量后按enter，（按照任务要求进行输入）注意容量的单位是MB（注意MB和GB之间的换算，1GB = 1024MB）箭头所指的地方就是我们刚才创建的分区，这时可以直接在这个分区上安装系统了。

另一种情况是如果硬盘上已经有分区，这时你要自己决定在哪个分区上安装系统格式化硬盘进行中……系统正在从系统光盘往硬盘里复制重要的系统文件。

系统首次启动，需要几分钟的时间等待。

进入到窗口化的安装界面，这个过程还需要设置一些选项，大概需要、输入你的姓名和单位名称，按照任务要求进行输入。

、输入微软授权的序列号，如果你购买的是正版系统，会有一个序列号。

、输入计算机的名字和系统管理员的密码（系administrator ）按照任务要求进行输入。

、设置系统的日期和时间以及所在的时区。

、设置系统的工作组名称，如果要加入域，则要设置域的名称，入。

、经过短暂的等待，整个系统已经安装完毕。

通过组合键任务工作单选择虚拟硬盘的类型。

硬盘添加成功后，power on启动虚拟机。

进入系统后，打开我的电脑查看硬盘的信息。

、把刚才添加的四个硬盘都选上，都升级为动态磁盘，为架设磁盘阵列（准备。

这时系统已经识别了这四块硬盘，每块硬盘的容量是2GB 硬盘还没有分区，还不能正常使用。

弹出新建卷的向导，点击“下一步”选择动态磁盘的类型，我们首先创建RAID 1磁盘1已经添加到镜像卷阵列当中，我们再把磁盘2添加进去，需要对卷进行格式化，文件系统必须要选择NTFS，把执行快速格式化查看磁盘阵列创建的结果删除卷的操作删除前一定要备份卷上的数据，否则删除卷以后，原来卷上的数据就会全部丢失，删除RAID5 至少选择三个或三个以上磁盘，我们四个磁盘都选上来组建配置成功，查看磁盘阵列的信息。

Windows Server 2003共享文件夹访问权限的设置
Windows Server 2003的文件服务器为例来简单的介绍共享文件夹权限的设置。

右击需要共享的文件夹，在弹出的快捷菜单中选择“属性”，在属性窗口中选择“共享”选项卡，然后选中“共享此文件夹”，这时我们就共享的一个文件夹，接下来的工作就是设置权限了。

关于权限的设置，主要有两种方法。

第一种就是在属性窗口的“共享”选项卡进行简单的权限设置，第二种方法是在属性窗口的“安全”选项卡进行详细的设置。

如果是对一个共享文件夹里面的子文件夹设置权限，就只能用到第二种方法了。

在属性窗口的“共享”选项卡上，单击“权限”按钮。

这样就进入的简单权限的设置了。

单击添加，就出现查找用户名或安全组的窗口了。

接下来就是添加一个用户，然后再设置简单的权限，总共就三项：完全控制，更改，读取。

至少查找用户的方法，在第二种权限设置方法中介绍。

详细的权限设置，共享文件夹及其子文件夹都能依照此方法设置。

先在“共享”选项卡中，将Everyone设置为完全控制。

打开“安全”选项卡，点击“添加”，出现查找窗口。

单击查找窗口中的“高级”按钮，弹出“选择用户、计算机或组”的窗口来。

点击“立即查找”就能查找到域控制器上所有能看到的用户
双击选中某一用户。

接着就能为该用户详细的指定权限了
允许哪些人完全控制，就添加这些用户，再为其设置完全控制，要哪些人只读的话，就添加这些人，为其设置只读权限。

这时，要特别注意Everyone的权限，为了防止出错，最好将其从“组或用户名字的列表”中将其删除。

Windows-Server-2003安全(ānquán)设置Windows-Server-2003安全(ānquán)设置2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置，使Windows Server 2003安全性大大加强。

一、安装过程中的安全问题1．NTFS系统。

老生长谈的话题了。

NTFS系统为一种高级的文件系统，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能，通过它可以实现任意文件及文件夹的加密和权限设置（这是最直观的安全设置了），磁盘配额和压缩等高级功能。

通过它，你还可以更好的利用磁盘空间，提高系统运行速度……自WindowsNT系统以来，使用NTFS系统已经逐渐成了一种共识。

为了体验NTFS系统带来的这些免费的优惠，笔者特意把硬盘所有分区都转成了NTFS 系统。

如果你在安装时不选用NTFS系统，那么后面的很多安全配置如用户权限设置等你将都不能实现。

2．安装过程中有关安全的提示。

在安装过程中需要输入Administrator密码，新的Windows Server 2003提供了一个比较成熟的密码规则，当你输入的密码不符合规则时，就会以图片形式出现如下提示（由于安装未完成，不能抓图，请谅解。

内容已经抄下来了）：您已经指定的管理员帐户的密码不符合密码的条件，建议使用的密码应符合下列条件之中的前二个及至少三个：- 至少6个字符- 不包含"Administrator"或"Admin"- 包含大写字母（A、B、C等等）- 包含小写字母（a、b、c等等）- 包含数字（0、1、2等等）- 包含非字母数字字符（#、&、~等等）您确定要继续使用当前密码吗？之所以说是“比较成熟”的密码规则，因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装，这就为以后的系统安全埋下了隐患。

2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般入侵，需要高级服务器安全维护，请联系我。

我们一起交流一下！做为一个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的密码一定要强壮！服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。

)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。