Window 2008 R2组策略之一——组策略管理控制台

winserver2008r2开机显示group policy client的解决方法（最新版）目录1.引言2.Group Policy Client 的作用3.WinServer2008R2 开机显示 Group Policy Client 的原因4.解决方法5.总结正文一、引言在 WinServer2008R2 操作系统中，有时开机时会显示“Group Policy Client”的提示，这让一些用户感到困惑。

本文将介绍这一现象的原因及解决方法。

二、Group Policy Client 的作用Group Policy Client（组策略客户端）是 Windows 操作系统中的一个组件，负责从域控制器下载和应用组策略设置。

组策略是一种管理企业网络中计算机和用户的方法，可以确保计算机和用户遵循统一的安全和配置策略。

三、WinServer2008R2 开机显示 Group Policy Client 的原因WinServer2008R2 开机显示 Group Policy Client 的原因可能有以下几点：1.计算机连接到了一个域，并且域控制器上启用了组策略。

2.计算机上的组策略客户端组件出现故障或损坏。

3.域控制器上的组策略设置有误。

四、解决方法针对上述原因，可以尝试以下解决方法：1.如果计算机连接到了一个域，并且域控制器上启用了组策略，可以通过修改组策略设置来禁用或调整开机时的提示信息。

具体操作如下：（1）打开“运行”对话框，输入“gpedit.msc”并回车，打开本地组策略编辑器。

（2）在左侧导航树中，展开“用户配置”>“管理模板”>“系统”，找到“预防访问控制列表”设置。

（3）双击“预防访问控制列表”设置，选择“已启用”选项，然后点击“应用”和“确定”。

2.如果组策略客户端组件出现故障或损坏，可以尝试重新安装组策略客户端。

具体操作如下：（1）打开“运行”对话框，输入“sfc /scannow”并回车，检查系统文件并修复错误。

在Windows Server 2008 R2环境中，域控制器（Domain Controller, DC）是Active Directory（AD）服务的核心组件，负责存储目录数据、执行身份验证和授权操作。

以下是一个基于该环境的域控服务器管理案例分析，涵盖从安装配置到日常管理与故障排查。

案例背景：假设某公司计划升级其IT基础设施，决定部署一台新的Windows Server 2008 R2 Enterprise版服务器作为主域控制器来管理整个企业的用户账户、组策略、文件服务以及网络资源访问权限。

案例步骤与分析：1.安装与配置域控服务器：o准备硬件：确保服务器满足系统要求，有足够的内存、磁盘空间以及冗余电源等。

o安装操作系统：安装Windows Server 2008 R2并完成基本配置。

o安装AD DS（Active Directory Domain Services）角色：通过服务器管理器添加角色和功能，选择“Active Directory 域服务”进行安装，并运行dcpromo.exe工具启动AD安装向导，根据企业需求配置森林根域名、域功能级别等参数。

o DNS配置：在安装过程中将域控制器配置为DNS服务器，或者事先安装DNS角色并将新域控制器配置为自身的首选DNS服务器。

2.日常管理与维护：o用户账户管理：使用Active Directory用户和计算机管理工具创建、修改和删除用户账户、组织单位（OU）结构，以及分配权限和组成员资格。

o组策略应用：通过组策略管理控制台编辑和链接GPO（组策略对象），实施桌面配置、软件分发、安全设置等策略。

o系统健康检查：定期运行dcdiag和netdiag工具进行系统健康性检查，确保域控制器状态良好，同步正常。

o备份与恢复：制定并执行域控制器的备份计划，包括系统状态备份，以防意外情况下的快速恢复。

3.故障排查与扩展：o域账户故障：当出现域账户登录问题时，可能需要检查账户状态、密码策略、域信任关系或Kerberos 协议问题等。

使用组策略文件系统为域客户端文件夹赋权
测试环境——Windows Server 2008 R2
方法
打开相应的组策略对象（GPO），依次点击计算机配置-------策略-----windows设置-----安全设置-----文件系统，点击文件系统，在页面右侧点击新建文件。

接下来的操作如下面几幅图所示。

注意一
“包括可以从该项的父项继承的权限”选项一定要勾上，不然本地账户对该文件夹的权限都没有了。

“包括可以从该项的父项继承的权限”勾选后，客户端是强制性的。

注意二
假如要将域的超级管理员予以授权，不要直接将“域名\administrator”添加到权限列表里面。

不知道为什么，客户端的反应是将本地的超级管理员添加到权限列表里面了。

甚是奇怪。

可以将“域名\administrator”所在的分组添加到权限列表里面。

windows2008 r2的账户锁定策略Windows2008 R2是微软公司推出的一款服务器操作系统。

在这个操作系统中，账户锁定策略是非常重要的一项安全措施。

本文将详细介绍Windows2008 R2的账户锁定策略，并一步一步回答与之相关的问题。

一、什么是账户锁定策略？账户锁定策略是指在一定的条件下，当用户连续输入错误的密码达到一定次数时，系统会自动锁定该账户一段时间，以保护系统的安全。

账户锁定策略可以防止暴力破解攻击，提高系统的安全性。

二、账户锁定策略的设置方法？步骤一：登录Windows Server 2008 R2系统，以管理员权限打开“服务器管理器”。

步骤二：在“服务器管理器”中，选择“配置”选项卡，点击“本地用户和组”，在右侧窗口中点击“用户”。

步骤三：在“用户”窗口中，选择需要设置账户锁定策略的用户，右键点击，选择“属性”。

步骤四：在“属性”窗口中，选择“账户”选项卡，在“帐户锁定”部分，点击“锁定帐户”复选框，并设置相关参数，比如“账户锁定阈值”和“锁定持续时间”。

然后点击“确定”保存设置。

三、账户锁定策略的参数解释1. 账户锁定阈值：表示当用户连续输入错误的密码次数达到设定的值时，系统会自动锁定该账户。

一般建议将该值设置为3~5次，以兼顾安全与用户体验。

2. 锁定持续时间：表示当账户被锁定后，需要等待的时间解锁账户。

可以选择设定一段时间（如15分钟），也可以设置为管理员手动解锁。

根据实际需求和安全要求进行设置。

四、账户锁定策略的作用账户锁定策略可以有效地防止恶意用户进行暴力破解攻击。

通过限制用户连续尝试错误密码的次数，避免了暴力破解攻击者利用程序自动化尝试密码。

同时，账户锁定策略还可以提醒用户注意密码的安全性，避免使用过于简单的密码。

五、账户锁定策略的注意事项1. 合理设置账户锁定阈值和锁定持续时间。

如果设置太低，可能会导致用户频繁被锁定，影响正常使用；如果设置太高，可能会增加系统被攻击的风险。

设置Windows Server 2008系统组策略功能2013-08-22 14:26 463人阅读评论(0) 收藏举报分类：windows（63）作者同类文章X尽管Windows Server 2008系统的安全性要领先其他操作系统一大步，不过默认状态下过高的安全级别常常使不少人无法顺利地在Windows Server 2008系统环境下进行各种操作，为此许多用户往往会采用手工方法来降低Windows Server 2008系统的安全访问级别。

可是，一旦降低了安全访问级别，Windows Server 2008系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下，我们仍然能够让Windows Server 2008系统安全地运行?要做到这一点，我们可以利用Windows Server 2008系统强大的组策略功能，来对相关选项参数进行有效设置!1、禁止恶意程序“不请自来”在Windows Server 2008系统环境中使用IE浏览器上网浏览网页内容时，时常会有一些恶意程序不请自来，偷偷下载保存到本地计算机硬盘中，这样不但会白白浪费宝贵的硬盘空间资源，而且也会给本地计算机系统的安全带来不少麻烦。

为了让Windows Server 2008系统更加安全，我们往往需要借助专业的软件工具才能禁止应用程序随意下载，很显然这样操作不但麻烦而且比较累人;其实，在Windows Server 2008系统环境中，我们只要简单地设置一下系统组策略参数，就能禁止恶意程序自动下载保存到本地计算机硬盘中了，下面就是具体的设置步骤：首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“管理模板”/“Windows 组件”/“Internet Explorer”/“安全功能”/“限制文件下载”子项，双击“限制文件下载”子项下面的“Internet Explorer进程”组策略选项，打开如图1所示的目标组策略属性设置窗口;选中“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样一来我们就能成功启用限制Internet Explorer进程下载文件的策略设置，日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。

windows_2008_组策略管理Windows2008组策略管理目录Windows2008组策略管理 ........................................................ 1 一、导读 (1)二、组策略概述 ...................................................2 三、组策略基础架构 (2)1 计算机配置部分 (3)2 用户配置部分 (4)四、本地组策略和域组策略 (5)1. 本地组策略 (5)2. 域组策略 (6)五、组策略的管理和维护 (7)1. 创建组策略 (7)2. 链接组策略 (9)组策略应用顺序 ............................................... 9 34 组策略的阻止和强制继承 (10)5 组策略备份 (11)六、组策略应用场景举例 (13)1. 应用组策略设置用户工作环境 (13)2. 应用组策略配置高级安全Windows防火墙 (20)3. 应用组策略实现软件部署 (23)4. 应用组策略实现QoS带宽管理 (26)七、组策略管理控制台使用进阶 (30)1. 使用策略结果分析策略应用情况 (30)2. 使用组策略建模模拟策略应用结果 (33)八、参考资料 (37)一、导读组策略的构成组策略的生效规则及顺序组策略在实际管理环境中的应用举例检查策略结果development of freezing plans and emergency precautions. 3, night-time setting the full-time attendant to ensure someone on duty and on duty day and night recording, while setting the Weatherman, responsible listens to and published on the weather conditions. 4, should complete the construction of the winter rainy season Shi ... Has not finished filling the pit covered with a poncho, should be drained before the next fill clean water content meet the requirements before construction began. 5, higher in the winter rain, prior to construction, priority project areas, and built a simple waste water facilities, in order to ensure normal construction. The 12th chapter, resources planning and advancement, introduction of new technology, new technology, new equipment, new material measures in order to ensure the survival of seedlings planted, in the planting process except in strict accordance with the tender specified planting methods and technical measures, theapplication of new technology to ensure quality: 1, the use of some new scientific achievements and improve survival. (1) ABT-3 rooting powder. This kind of rooting powder for Evergreen coniferous trees take root and valuable species of fast rooting, improve the survival rate is obvious.(2) KD-1 Super absorbent polymers. Insurance agent can enhance soil water storage, water retention and improve survival. (3) the use of puffing chicken manure. High temperature expansion二、组策略概述在Windows Server 2008和Windows Vista的环境中,组策略在功能特性都有了不少的扩大与加强。

如果要想把它作为类似于Windows 7的个人版操作系统的话，安装过后就必须对系统进行一系列的设置，本文介绍了系统安装系统后必须进行的一些配置。

内容半转载半原创，根据个人的经验和习惯加以整合，设置项太杂，对于转载的原文恕不一一引用了。

一、组策略和杂项（1）组策略中使用简单密码策略（取消复杂性和最长期限要求，最小长度设为0可以使用空密码）（2）组策略中启用“无须按Ctrl+Alt+Del”登录（3）组策略中禁用“关机事件跟踪程序”（为了取消关机原因的提示）关机事件跟踪(Shutdown Event Tracker)对于服务器来说这是一个必要的选择，但是对于工作站系统却没什么用，我们同样可以禁止它。

打开”开始“Start ->”运行“Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker”在出现的对话框中选择“禁止”(Disabled)，点击然后“确定”(OK)保存后退出这样，你将看到类似于windows 2000的关机窗口。

（4）组策略中设置开始菜单电源按纽为关机也可以不从组策略中修改此设置项（位于用户配置），而可以从“开始菜单和任务栏属性-开始菜单”中配置。

从开始菜单中修改并不会影响到组策略中的设置项，但是组策略中的修改将覆盖开始菜单中的配置。

建议从开始菜单属性中修改，这更方便一些，对系统影响也小。

（5）组策略中启用不显示“管理您的服务器”页（也可以在“管理您的服务器”页上直接设置）（6）关闭IE“增强安全配置”（ESC），建议更改主页（默认是安全提示页）（7）处理器计划设置为“程序”优先（8）数据执行保护设置为“仅为Windows基本程序和服务启用DEP”（9）在“桌面-个性化”设置中启用AERO主题（需要先按添加相关的服务和功能）（10）允许在登录界面执行关机（允许未登录时关机）对于服务器来说，在登录界面显示关机按钮是很不好的，意味着任何人都有权关闭服务器。

winserver2008r2开机显示group policy client的解决方法【原创实用版3篇】目录（篇1）1.引言2.group policy client 的作用3.winserver2008r2 开机显示 group policy client 的原因4.解决方法5.总结正文（篇1）一、引言在企业级操作系统中，Windows Server 2008 R2 是一款非常受欢迎的服务器操作系统。

然而，在使用过程中，可能会遇到开机显示 group policy client 的问题。

本文将为您介绍如何解决这一问题。

二、group policy client 的作用Group Policy Client（组策略客户端）是 Windows 系统中的一个重要组件，负责从域控制器获取并应用组策略设置。

组策略可以对计算机进行各种配置，如安装软件、设置用户权限等。

当 group policy client 出现问题时，可能会影响到计算机的正常运行。

三、winserver2008r2 开机显示 group policy client 的原因Windows Server 2008 R2 开机显示 group policy client 的原因可能有以下几点：1.组策略设置错误：如果域控制器上的组策略设置有误，可能会导致客户端开机时出现问题。

2.客户端与域控制器通信故障：如果客户端与域控制器之间的网络连接有问题，可能会导致 group policy client 无法正常工作。

3.客户端系统文件损坏：如果客户端系统的组策略相关文件损坏，可能会导致开机时出现异常。

四、解决方法针对上述原因，我们可以尝试以下解决方法：1.检查并修复组策略设置：登录到域控制器，检查组策略设置，确保没有错误的设置。

如果有问题，及时进行修复。

2.检查网络连接：确保客户端与域控制器之间的网络连接正常。

可以尝试重启网络设备或者检查网络线路。

如何在Win Server 2008R2环境下，把域帐户加到本地管理员组我们在大型企业中，经常不会用域管理员登陆，而是将某个OU下特定用户加入到全局组，或者将某个用户加入到本地管理员组中，但是局域网庞大，不可能一个个加入吧。

我大概总结了两种方法。

（1）通过MDT部署的方法，将镜像做好，就把域某个全局组或者域某个用户加入到本地管理员中，这种情况使用于公司系统升级。

（2）通过组策略实现： 1．使用域管理员登陆到DC。

2．打开记事本创建一个批处理文件，输入以下内容，并以*.bat保存： net localgroup administrators domain\user /add 其中，USER为你当前需要提升权限的用户名。

3, 运行gpmc.msc 4, 打开Group Policy Management -> Forest -> Domains ->点击到你当前的域 5, 右键新建组策略对象 6, 为组策略取名后单击下一步完成。

7, 在GPMC控制台上找到你刚刚新建的组策略后，右键单击edit。

8．打开“计算机配置→windows设置→脚本→启动→添加*.bat文件。

9．在客户机的命令提示符下输入gpupdate /force，重启计算机。

通过以上方法就能达到我们需要的目的。

write by龙卷风 2012年4月6日。

windows2008 r2的账户锁定策略-回复Windows Server 2008 R2是微软公司推出的一款服务器操作系统，它提供了丰富的功能和安全策略，其中之一就是账户锁定策略。

在本文中，我将详细介绍Windows Server 2008 R2的账户锁定策略，包括其原理、配置方法以及相关注意事项。

首先，让我们来了解账户锁定策略的原理。

在Windows Server 2008 R2中，账户锁定策略是一种安全措施，用于保护系统免受恶意攻击。

当一个账户发生多次无效的登录尝试时，系统会根据账户锁定策略的设置来决定是否锁定该账户，从而防止攻击者通过猜测密码或暴力破解的方式登录系统。

接下来，让我们看看如何配置账户锁定策略。

在Windows Server 2008 R2中，可以通过本地安全策略或组策略来配置账户锁定策略。

下面是一步一步的配置方法：1. 使用管理员权限登录Windows Server 2008 R2系统。

2. 打开“开始”菜单，选择“管理工具”，然后点击“本地安全策略”或“组策略管理”。

3. 在左侧导航栏中选择“账户策略”，然后点击“账户锁定策略”。

4. 在右侧窗口中，找到“账户锁定阈值”设置选项。

这个选项决定了当一个账户发生多次无效的登录尝试时，系统会锁定该账户的次数。

5. 可以根据需要将“账户锁定阈值”设置为一个适当的值。

一般来说，推荐将其设置为5或10次无效登录尝试。

6. 可以选择是否启用“账户锁定复位计时器”。

如果启用了复位计时器，那么在账户被锁定一定时间后，系统会自动将其解锁。

否则，管理员需要手动解锁被锁定的账户。

7. 点击“应用”按钮，然后点击“确定”保存配置。

需要注意的是，在配置账户锁定策略时，应该平衡安全和用户友好性。

设置过于严格的账户锁定阈值可能会导致用户频繁被锁定，影响其正常使用系统。

而设置过于宽松的阈值可能增加系统被攻击的风险。

因此，建议在配置时根据实际情况进行调整。

Windows2008R2AD组策略-统⼀域⽤户桌⾯背景详细图⽂教程我们先了解下组策略知识：1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上⽣效。

计算机启动的时候应⽤，在出现登录界⾯前。

2 ⽤户配置：针对⽤户的配置，只在所有⽤户帐户上⽣效。

⽤户登录后应⽤。

2、根据应⽤范围将组策略分为三类：1 域的组策略：设置对于整个域都⽣效。

在“AD⽤户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU⽣效。

在“AD⽤户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点⽣效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运⾏”中键⼊gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD⽤户和计算机”中才能进⼊。

3、组策略的执⾏顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉⽤户配置4、组策略的冲突：1 在不同组策略中的同⼀项⽬的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌⾯上的⽹上邻居图标”设置为“启⽤”，⽽域的组策略上设置的是“禁⽤”。

再如：在域的组策略中“密码长度”设置为“7”，⽽OU的组策略中设置的是“6”。

2 冲突的结果：后执⾏的是结果。

5、组策略中的设置内容：1 软件安装：⾃动安装应⽤软件。

计算机配置和⽤户配置下都有。

准备⼯作：软件的源安装⽂件，在安装⽂件中要有.msi为后缀的可执⾏⽂件。

将软件的源安装⽂件放到⼀个共享⽂件夹中。

（⽹络路径）A、已发⾏：由⽤户决定是否安装。

如果软件包是已发⾏⽅式，⽤户登录后，系统会在添加/删除程序-〉添加新程序中显⽰已发⾏的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，⾃动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、⽤户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），⽂件夹重定向（把⽤户的⼀些重要⽂件夹重定向到⽂件服务器中）。

WindowsServer2008利用组策略的安全设置相信很多人都知道Windows Server 2008系统的安全功能非法强大，而它的强大之处不仅仅是新增加了一些网络安全功能，而且还表现在一些不起眼的传统功能上。

这不，巧妙对Windows Server 2008系统的组策略功能进行深入挖掘，我们可以发现许多网络技术安全应用秘密;现在本文就为各位朋友贡献几则这样的安全秘密，希望能对大家有用!1、限制使用迅雷进行恶意下载在多人共同使用相同的一台计算机进行工作时，我们肯定不希望普通用户随意使用迅雷工具进行恶意下载，这样不但容易浪费本地系统的磁盘空间资源，而且也会大大消耗本地系统的上网带宽资源。

而在Windows Server 2008系统环境下，限制普通用户随意使用迅雷工具进行恶意下载的方法有很多，例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能，或者通过限制下载端口等方法来实现上述控制目的，其实除了这些方法外，我们还可以巧妙地利用该系统的软件限制策略来达到这一目的，下面就是该方法的具体实现步骤：首先以系统管理员权限登录进入Windows Server 2008系统，打开该系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，进入对应系统的组策略控制台窗口;其次在该控制台窗口的左侧位置处，依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“创建软件限制策略”命令;接着在对应“软件限制策略”选项的右侧显示区域，用鼠标双击“强制”组策略项目，打开如图1所示的设置对话框，选中其中的“除本地管理员以外的所有用户”选项，其余参数都保持默认设置，再单击“确定”按钮结束上述设置操作;下面选中“软件限制策略”节点下面的“其他规则”选项，再用鼠标右键单击该组策略选项，从弹出的快捷菜单中点选“新建路径规则”命令，在其后出现的设置对话框中，单击“浏览”按钮选中迅雷下载程序，同时将对应该应用程序的“安全级别”参数设置为“不允许”，最后单击“确定”按钮执行参数设置保存操作;重新启动一下Windows Server 2008系统，当用户以普通权限账号登录进入该系统后，普通用户就不能正常使用迅雷程序进行恶意下载了，不过当我们以系统管理员权限进入本地计算机系统时，仍然可以正常运行迅雷程序进行随意下载。

关于windows2008 的组策略设置开始---运行----gpedit.msc---组策略----计算机配置---- Windows设置----安全设置---组策略设置：在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;启用不允许匿名访问SAM帐号和共享;启用不允许为网络验证存储凭据或Passport;从文件共享中删除允许匿名登录的DFS$和COMCFG;启用交互登录：不显示上次的用户名;启用在下一次密码变更时不存储LANMAN哈希值;禁止IIS匿名用户在本地登录;3.本地安全策略设置:开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组（备注不要加入User组以后无法远程登录。

）通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户防火墙安全设置：计算机配置----管理模板----网络---网络连接----windows防火墙----标准配置文件---windows防火墙保护所有网络连接---- 启动Tsconfig.msc 右键RDP—TCP 属性安全层SSL （TLS.0）加密级别高（带网络认证安全连接）关于目录权限设置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。