义乌私立群星学校 梦回平阳QQ:68095911
六、 附录
描述 默认用户权利 从网络访问此计算机;调整某个进程的内存配额;允许本地登录;允许通过终端服务登录;备份文件和目录;忽略遍该组的成员具有对服务器的完全控制权历检查;更改系统时间;创建限,并且可以根据需要向用户指派用户页面文件;调试程序;从远程权利和访问控制权限。管理员帐户也是系统强制关机;提高调度优先默认成员。当该服务器加入域中时,级;加载和卸载设备驱动程Domain Admins 组会自动添加到该组序;管理审核和安全日志;修中。由于该组可以完全控制服务器,所改固件环境变量;执行卷维护以向该组添加用户时请谨慎。 任务;调整单一进程;调整系统性能;从扩展坞中取出计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。 该组的成员可以备份和还原服务器上的从网络访问此计算机;允许本文件,而不管保护这些文件的权限如何。地登录;备份文件和目录;忽这是因为执行备份任务的权利要高于所略遍历检查;还原文件和目有文件权限。他们不能更改安全设置。 录;关闭系统。 该组的成员具有对“动态主机配置协议 (DHCP) 服务器”服务的管理访问权限。该组提供了一种方式,仅授予对 DHCP 6.1默认本地组权限 组 Administrators Backup Operators DHCP Administrators服务器的有限管理访问权,而不提供对(与“DHCP 服务器”没有默认的用户权利。 服务器的完全访问权。该组的成员可以服务一起安装) 使用 DHCP 控制台或 Netsh 命令在服务器上管理 DHCP,但不能在服务器执行其他管理任务。 该组的成员具有对“DHCP 服务器”服务的只读访问权。该权限允许成员查看DHCP Users(与“DHCP 存储在特定 DHCP 服务器上的信息和属没有默认的用户权利。 服务器”一起安装) 性。当支持人员需要获得 DHCP 状态报告时,这种信息对他们很有用。 该组的成员拥有一个在登录时创建的临时配置文件,在注销时,该配置文件将Guests 没有默认的用户权利。 被删除。来宾帐户(默认情况下已禁用)也是该组的默认成员。 该组允许管理员将对所有支持应用程序的权利设置成公用的。默认情况下,该HelpServicesGroup 组的唯一成员是与 Microsoft 支持应没有默认的用户权利。 用程序相关的帐户,例如远程协助。不要在该组中添加用户。
36
义乌私立群星学校 梦回平阳QQ:68095911
Network Configuration Operators 该组的成员可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址。该组中没有默没有默认的用户权利。 认的成员。 该组的成员可以从本地服务器和远程客Performance Monitor 户端监视性能计数器,而不用成为 没有默认的用户权利。 Users Administrators 或 Performance Log Users 组的成员。 Performance Log Users 该组的成员可以从本地服务器和远程客户端管理性能计数器、日志和警报,而没有默认的用户权利。 不用成为 Administrators 组的成员。 该组的成员可以创建用户帐户,然后修改并删除所创建的帐户。他们可以创建本地组,然后在他们已创建的本地组中从网络访问此计算机;允许本添加或删除用户。还可以在 Power 地登录;忽略遍历检查;更改Users 组、Users 组和 Guests 组中添系统时间;调整单一进程;从加或删除用户。成员可以创建共享资源扩展坞中取出计算机;关闭系并管理所创建的共享资源。他们不能取统。 得文件的所有权、备份或还原目录、加载或卸载设备驱动程序,或者管理安全性以及审核日志。 Print Operators 该组的成员可以管理打印机和打印队列。 没有默认的用户权利。 Power Users 该组的成员可以远程登录服务器。 Remote Desktop Users 详细信息,请参阅使用户可以远程连接允许通过终端服务登录。 到服务器。 Replicator 组支持复制功能。Replicator 组的唯一成员应该是域用户帐户,用于登录域控制器的“复制程没有默认的用户权利。 序”服务。不能将实际用户的用户帐户添加到该组中。 该组包含当前登录到使用终端服务器的系统的所有用户。用户可以与 Terminal Server Users Windows NT 4.0 一起运行的任何程序没有默认的用户权利。 都将为 Terminal Server User 组的成员而运行。指派给该组的默认权限使其成员可以运行大多数较旧版本的程序。 该组的成员可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器。用户不能共享目录Users 或创建本地打印机。默认情况下,Domain 从网络访问此计算机;允许本Users、Authenticated Users 以及 地登录;忽略遍历检查。 Interactive 组是该组的成员。因此,在域中创建的任何用户帐户都将成为该组的成员。
Replicator 37
义乌私立群星学校 梦回平阳QQ:68095911
该组的成员具有对 Windows Internet 名称服务 (WINS) 的只读访问权。该权WINS Users(与 WINS 限允许成员查看存储在某个指定的 服务一起安装) WINS 服务器上的信息和属性。当支持人员需要获得 WINS 状态报告时,这种信息对他们很有用。 6.2、任何认证用户都是 Users 组的成员
没有默认的用户权利。 默认情况下,任何认证用户都是 Users 组的成员。Power Users 具有 Windows NT 4.0 Users 的所有权限。这确保了对 Windows NT 4.0 的向后兼容性。如果管理员需要对计算机执行更高级别的安全,则可以仅使“已经过验证的用户”成为 Users 组的成员。 6.3、Anonymous 组不再是 Everyone 组的成员
(默认情况下,Anonymous Logon 组的成员不包括在 Everyone 组中。)对 Windows XP Professional 和 Windows Server 2003 家族而言,Anonymous 组不再是 Everyone 组的成员。
当 Windows 2000 系统升级到 Windows XP Professional 或 Windows Server 2003 家族时,升级后的 Anonymous 用户将无法继续使用具有 Everyone 组权限设置的资源(如未明确授予 Anonymous Logon 组)。在很多情况下,对匿名访问都有适当的限制。为了支持需要匿名访问而且此前已存在的应用程序,可能有必要允许匿名访问。如果需要将访问权授予给匿名登录组,则应该明确添加该匿名登录安全组及其权限。
6.4、Anonymous Logon 组中的成员成为本地计算机上 Everyone 组中的成员 打开 本地安全设置。
在控制台树中,双击“本地策略”,然后单击“安全选项”。
在详细信息窗格中,右键单击“网络访问:让每个人 (Everyone) 权限应用于匿名用户”,然后单击“属性”。
单击“本地安全设置”选项卡上的“已启用”。 6.5、公认的安全标识符(特殊标识符) 公认 SID 描述 Anonymous Logon 没有提供用户名和密码就已经连接到该计算机的用户。 (S-1-5-7) Authenticated Users (S-1-5-11) Batch (S-1-5-3) Creator Owner (S-1-3-0) Creator Group (S-1-3-1) Dialup (S-1-5-1) Everyone (S-1-1-0) 包括其身份已经得到验证的所有用户和计算机。Authenticated Users 不包括 Guest,即使 Guest 帐户有密码。 包括已经通过批队列方法(例如任务计划程序作业)登录的所有用户。 可继承的访问控制项 (ACE) 中的占位符。当 ACE 被继承时,系统将把该 SID 替换为对象的当前所有者的 SID。 可继承的 ACE 中的占位符。当 ACE 被继承时,系统将把该 SID 替换为对象的当前所有者所属主要组的 SID。 包括通过拨号连接登录到系统的所有用户。 在运行 Windows Server 2003 操作系统的计算机上,Everyone 包括 Authenticated Users 和 Guest。在运行该操作系统更早版本的计算机上,Everyone 包括 Authenticated Users 和 Guest,还包括 Anonymous Logon。
38
义乌私立群星学校 梦回平阳QQ:68095911
详细信息,请参阅默认安全设置的差异。 Interactive (S-1-5-4) Local System (S-1-5-18) Network (S-1-5-2) 包括在本地或通过远程桌面连接登录的所有用户。 操作系统使用的服务帐户。 包括通过网络连接登录的所有用户。交互用户的访问令牌不包含 Network SID。 在 Active Directory 中,用户、组或计算机对象上的 ACE 中的占位符。Self(或 Principal 当权限授予 Principal Self 时,就把权限授予给对象所代表的安全原则。Self) 在访问检查期间,操作系统将把 Principal Self 的 SID 替换为对象所代表(S-1-5-10) 的 SID 安全原则。 Service (S-1-5-6) Terminal Users (S-1-5-13) 包括已为服务登录的所有安全原则的组。成员关系受操作系统控制。 Server 包括已经登录到终端服务服务器(处于终端服务版本 4.0 应用程序兼容模式)的所有用户。 Other Organization 进行检查,以确保允许另一林或域中的用户验证到特定服务。 (S-1-5-1000) This Organization 如果 Other Organization SID 不出现,则由验证服务器添加到用户的验证数据中。 (S-1-5-15) 6.6、为配置为“用 Active Directory 隔离用户”模式的 FTP 站点启用匿名访问 默认情况下,对于在“用 Active Directory 隔离用户”模式中创建的站点,匿名访问是禁用的。 为配置为用 Active Directory 隔离用户模式的 FTP 站点启用匿名访问
按照以下示例所示来配置元数据库属性。可以使用 adsutil.vbs SET 命令行工具来执行此任务。
adsutil set /msftpsvc/6634/AllowAnonymous TRUE adsutil set /msftpsvc/6634/AnonymousOnly FALSE
adsutil set /msftpsvc/6634/AnonymousUserName MyDomain\\LowPrivUser adsutil set /msftpsvc/6634/AnonymousUserPass PaSsWoRd 注意 如果站点是在“用 Active Directory 隔离用户”模式下创建的,则 FTP 根虚拟目录(对于其他隔离模式标识为主目录)的 Path 属性将设置为空。此外,FTP 根虚拟目录的 AccessFlags 属性包含 AccessNoPhysicalDir 标志。不要更改这两个值。如果更改或删除了这两个值,则将不允许进一步访问站点。 6.7、使用 Adsutil.vbs 管理脚本
Adsutil.vbs 是一个 IIS 管理实用程序,它通过结合使用 Microsoft Visual Basic Scripting Edition (VBScript) 与 Active Directory 服务界面 (ADSI) 来处理 IIS 配置。该脚本应通过随 Windows 脚本主机一同安装的 CScript 运行。 Important
39
义乌私立群星学校 梦回平阳QQ:68095911
只有本地计算机上 Administrators 组的成员才能运行脚本和可执行文件。作为安全性最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用 runas 命令以管理员身份运行脚本或可执行文件。在命令提示符下,键入 runas /profile /user:mymachine\\administrator cmd,使用管理员权限打开一个命令窗口,然后键入 cscript.exe ScriptName(包括脚本的完整路径和任何参数)。 使用 Cscript.exe adsutil.vbs COMMAND
adsutil SET w3svc/1/ServerComment \
下一次打开 IIS 管理器时,Web 服务器的名称将变为“Web Server Number 1”。 为了在远程计算机上执行开关“-s:server name”,可以在任何命令后面使用该命令。(参见下面第一个示例。)
40
义乌私立群星学校 梦回平阳QQ:68095911
示例:
Cscript.exe adsutil.vbs GET W3SVC/1/ServerBindings -s:remotecomputer1 Cscript.exe adsutil.vbs SET W3SVC/1/ServerBindings \Cscript.exe adsutil.vbs CREATE W3SVC/1/Root/MyVdir \Cscript.exe adsutil.vbs START_SERVER W3SVC/1 Cscript.exe adsutil.vbs ENUM /P W3SVC
41