K3在工作组和域环境下用户的权限分配参考

K3在工作组和域环境下用户的权限分配参考<上一篇 | 下一篇>
K3在工作组和域环境下用户的权限分配参考
近来很多朋友和网友都问我,关于K3在工作组和域环境中,到底要给我们客户端用户在服务器上什么样子的权限呢.
下面帮大家总结下:
工作组: USERS权限并有修改注册表读写权限建议使用POWERUSER权限
域:USERS权限并有修改注册读写表权限建议使用USERS权限加上backup组权限
注册表修改权限如下:
开始----运行----regedit----设置权限---设置用户的读写权限
下面是对2000系统的用户权限细则参考,同时也可以应用与2003系统的用户分配
对默认 Windows 2000 操作系统安装中内置组的默认组成员的必需更改和建议更改。

这些内置组具有用户权限和特权以及组成员的预定义集合。

五个内置组类型定义如下：
• 全局组
当建立 Windows 2000 域时，在 Active Directory 存储区中创建内置全局组。

全局组用来对整个域中使用的通用类型用户和组帐户进行分组。

全局组可以包含本机模式域中的其他组。

• 域本地组
域本地组向用户提供特权和权限，以便在域控制器和 Active Directory 存储区中执行任务。

域本地组只在域中使用，不能导出到 Active Directory 树中的其他域。

• 通用组
只可以在本机 Windows 2000 域中使用通用组。

可以跨整个目录林使用通用组。

• 本地组
独立 Windows 2000 服务器、成员服务器和工作站都有内置本地组。

这些内置本地组向成员提供了只在此组所属的特定计算机上执行任务的能力。

• 系统组
系统组没有可以修改的特定成员。

每个系统组用来代表特定用户类别或代表操作系统本身。

这些组是在 Windows 2000 操作系统中自动创建的，但在组管理 GUI 中不显示。

这些组只用于控制资源的访问权。

检查/修改域的组帐户成员身份
• 访问域中的组帐户
1.
在域控制器中以管理帐户登录。

2. 从“开始”菜单，指向“程序”，指向“管理工具”，然后单击“Active Directory 用户和组”。

3.
在控制台树中，双击域节点。

在“内置”和“用户”容器中可以找到组帐户。

图 8：内置帐户
检查/修改独立或成员计算机的组帐户成员身份
• 访问独立或单独域成员计算机中的组帐户
1.
使用管理帐户登录。

2. 从“开始”菜单，指向“程序”，指向“管理工具”，然后单击“计算机管理”。

3.
在控制台树中，双击“本地用户和组”。

在“组”容器中可以找到组帐户。

图 9：组帐户
注意：按表 24 中的建议设置组成员身份。

此表列出了默认组。

特定系统角色的选中标记指出此组是此系统类型的本机组，必须在此系统类型上进行管理。

更改帐户的主要组成员身份
为了进行下表中标识的一些必需的组成员身份更改，您必须从特定组删除帐户。

为了与其他网络协议（例如 AppleTalk）兼容，帐户必须在域中有主要组分配。

因此，当计算机加入域时，您可能必须更改默认设置的帐户的主要组成员身份。

如果尝试从“Active Directory 计算机和用户”GUI 中的帐户主要组删除帐户，则操作将被拒绝，并显示以下消息：
图 10：主要组删除消息
•更改帐户的主要组
1. 使用域控制器中的管理帐户登录。

2. 从“开始”菜单，指向“程序”，指向“管理工具”，然后单击“Active
Directory 用户和组”。

3. 在控制台树中，双击域节点。

4. 在“用户”容器中可以找到用户帐户。

5. 右键单击帐户名称，然后从菜单中选择“属性”。

将显示帐户“属性”GUI。

6. 选择“成员属于”选项卡，以显示帐户所属的组的列表。

当在“成员属于”
窗口中单击任何组时注意观察，“设置主要组”按钮可能是活动的，也可能是非活动的。

对于可以设置为主要组的组，“设置主要组”按钮是活动的；
对于不能设置为主要组或者已经是主要组的组，此按钮是非活动的。

图 11：Guest 帐户属性
7. 要更改帐户的主要组，请选择将成为新主要组的组，然后单击“设置主要组”
（您必须使“设置主要组”按钮活动）。

请注意，在“设置主要组”按钮上方标识为“主要组：”的组将更改为新选择。

8. 单击“应用”，然后单击“确定”。

注意 1：如果转而使用组策略 GUI 从组中删除帐户，则帐户在删除时没有主要
组。

这不会有反面影响，除非 Posix 应用程序或 Macintosh 客户端需要使用帐户。

注意 2：在下表中，有对 SID 的引用。

SID 是安全标识符，它是代表特定用户或组的值。

例如，SID S-1-5-7 代表匿名登录组。

有关更多信息，请参阅 Technet （网址是 /technet/treeview/default.asp?url=/technet/pr odtechnol/windows2000serv/reskit/distsys/part5/dsgappe.asp ）或 Windows 2000 Resource Kit 中的“Well Known Identifiers”文章（英文）。

表 24：组成员身份
组成员身份修改 域 WKS 域便携式计算机 DC 域服务器 独立 WKS 独立服务
器
全局和通用组 默认成员 修改/验证 DnsUpdateProxy 无 不向此组添加帐户。

Domain Admins A dministrator 不向此组添加非管理帐户。

Domain Guests G uest 不向此组添加帐户。

Domain Users Administrator Guest Krbtgt TsInternetUser （所有新用户都是在默认情况下添加的） 删除 Guest 帐户，确保禁用
TsInternetUser
帐户。

注意：删除 Guest
帐户之前，请将此
帐户的主要组更改
为 Domain
Guests 。

Enterprise Admins Administrator (Domain Controller Administrator) 不向此组添加非管理帐户。

警告：此组将具有
整个目录林中每个
计算机的完全管理
特权。

决不应将此
组中的帐户用于除
管理系统之外的任
何其他目的。

Group Policy Creator Owner Administrator 不向此组添加非管理帐户。

Schema Admins A dministrator 不向此组添加非管理帐户。

域本地组
默认成员 修改/验证 Account
Operators 无 仅对只能管理帐户的管理员使用此
组。

需要像对普通
管理员那样，对这
些用户进行严格筛
选。

Administrators Administrator Domain Administrators Enterprise Administrators 不向此组添加非管理帐户。

Backup
Operators
无 不向此组添加非管理帐户。

注意：Backup Operator 可以读取系统的所有文件，无论这些文件的权限如何。

由于他们还可以存储文件，所以可能对系统的安全和稳定性产生反面影响。

DnsAdmins
无 不向此组添加非管理帐户。

Guests
Guest （本地） Domain Guests TsInternetUser 不使用此组。

Pre-Windows
2000
Compatible
Access 无 提供与 Windows 2000 操作系统以前版本兼容的向后兼容性。

使用此组
将极大释放
Active Directory
中的权限。

默认情
况下，此组没有成
员。

但是，如果在
“Windows 2000
以前版本兼容性模
式”中创建了域，
则 Everyone 组将
是此组的成员，使
Everyone 具有所
有 Active
Directory 对象的
读取权限。

要禁用
此设置，请从
Pre-Windows 2000
Compatible
Access 组中删除
Everyone 组，然后
重新启动所有域控
制器。

但是，这会
对向后兼容性产生
反面影响。

Print Operators 无 不向此组添加非管理帐户。

这些用户
可以安装内核模式
驱动程序，因此会
危及稳定性和安全
性。

Replicator 无 不向此组添加非管理帐户。

Server Operators 无 不向此组添加非管理帐户。

设计此组
的目的是防止善意
的用户在作为管理
员时产生最大的破
坏。

设计它的目的
不是防止恶意用户
危及系统的安全。

Users Authenticated Users Domain Users INTERACTIVE （所有新本地用
户都是在默认情
况下添加的）
不向此组添加可能有未经身份验证的
访问权的帐户（例
如 Guest ）。

本地组 默认成员 修改/验证
Administrators 独立：Administrator 域成员：
Administrator
Domain
Administrator
不向此组添加非管
理帐户。

Backup Operators 无
不向此组添加非管
理帐户。

Guests 独立 不使用此组。

从此
Professional ： Guest 独立 Server ：
Guest
TsInternetUser
域成员：
向以上添加
Domain Guests
组删除所有帐户，
包括 Guest 。

Power Users 无 此组的作用等同于 Server Operator 组。

为了获得兼容普通用户身份不能运行的应用程序的向后兼容性，提供了此组。

使用 Power Users 可以使组织不必让用户必须成为管理员才能运行这些应用程序。

在某些环境中，Power Users 非常重要，因为唯一其他选项是使用户成为 Administrator 。

但是，在不需要 Power Users 组的环境中，应该使用组策略通过使其成为受限制的组来控制其成员身份。

一定要记住，使用户成为 Power Users 组的成员不能阻止用户轻易成为 Administrator 。

此组旨在包含善意用户。

它不能包含恶意用户。

因此，应该仔细评估其使用。

Replicator
无 不向此组添加非管理帐户。

Users 独立：
不向此组添加具有
Authenticated Users INTERACTIVE （所有新本地用户都是在默认情况下添加的）域成员：Authenticated Users Domain Users INTERACTIVE （所有新本地用户都是在默认情况下添加的）未经身份验证的访问权可能性的帐户（例如 Guest）。

系统组默认成员修改/验证
Anonymous Logon 所有经过身份验
证的用户
此组用来向不进行
或不能进行身份验
证的用户授予资源
的访问权。

通常，
这是不当的。

因此，
不要使用此组，除
非某些应用程序或
使用方案需要此
组。

不向此组授予
资源权限或用户权
限。

Authenticated Users 所有经过身份验
证的用户
使用
Authenticated
Users 组（而不使
用 Everyone 组）
可以避免匿名访问
资源的可能性。

DIALUP所有拨入用户在极少情况下，拨
入用户需要其他情
况下无法获得的特
定权限，此时使用
该组很有帮助。

为
了简单起见，最好
不要使用此组。

SERVICE任何以服务运行
的进程获取此
SID。

一般而言，不需要使用此组分配权限。

SELF对象代表的安全
主体。

使用此 SID 向用
户分配权限，以便
在 Active
Directory 中修改
他们自己的对象。

NETWORK 通过网络访问计算机的用户。

此 SID 主要用于 Internet 信息服务 (IIS)。

通过经过身份验证的 Web 访问（而不是基本身份验证）访问服务器的任何用户获取此 SID 。

因此，它用来为这些用户授予资源的访问权。

INTERACTIVE
本地（即在控制台）访问计算机的所有用户。

另外，通过 Web 服务器、使用基本身份验证或使用经过身份验证的 FTP 和 Telnet 访问计算机的所有用户获取此 SID 。

为此 SID 分配访问权时一定要非常小心。

它允许任何可本地登录系统的用户访问这些资源。

另外，请记住，对 IIS 的匿名访问被视为本地登录。

因此，如果通过 IIS VRoot 公开了 INTERACTIVE 具有访问权的资源，则匿名 Web 用户可以访问这些资源。

Everyone
本地、通过网络或通过 RAS 访问计算机的所有用户。

其中包括所有经过身份验证的和未经过身份验证的用户。

不向此帐户分配资源权限或用户权限。

根据需要使用 Authenticated Users 或特定用户帐户和组。

注意：在某些情况下，需要此组来支持不对系统进行身份验证的下层客户端。

TERMINAL
SERVER USER 无 用来向终端服务用户提供他们在交互
连接到系统时通常
没有的权限。

在大
多数情况下，使用
Users 组更简便。

默认用户帐户
本节讨论对默认 Windows 2000 操作系统安装中的内置用户帐户的必需更改和建议更改。

内置帐户包括 Administrator 、Guest 和 TsInternetUser 。

检查/修改域的默认用户帐户
• 检查或修改用户帐户以评估安全性
1.
要访问域中的用户帐户，请使用域控制器中的管理帐户登录。

2. 从“开始”菜单，指向“程序”，指向“管理工具”，然后选择“Active Directory 用户和计算机”。

3.
在控制台树中，展开域节点。

4.
在“用户”容器中可以找到用户帐户。

图 12：用户帐户
本地检查/修改默认用户帐户
• 在独立或单独域成员计算机中检查或修改用户帐户以评估安全性
1. 从“开始”菜单中，指向“程序”，指向“管理工具”，然后选择“计算机管理”。

2.
在控制台树中，展开“本地用户和组”。

3.
在“用户”容器中可以找到用户帐户。

图 13：本地用户帐户
4.
按表 25 中的建议修改用户帐户。

表 25：默认用户帐户
用户帐户修改 域 WKS 域便携式计算机 DC 域服独立 独立。