讓特定用戶具有訪問權(quán)限
在通過網(wǎng)絡(luò)訪問局域網(wǎng)服務(wù)器中的共享資源時,我們常常不希望所有用戶都能暢通無阻地訪問服務(wù)器系統(tǒng)中的核心信息,例如存儲在服務(wù)器系統(tǒng)中的單位隱私信息、財務(wù)信息以及人事任免信息等。要實現(xiàn)這樣的訪問目的,我們可以先將這些不允許他人訪問的重要信息集中保存到一個特定的文件夾中,之后對這個特定文件夾進(jìn)行訪問權(quán)限設(shè)置,下面就是具體的設(shè)置步驟:
首先在本地計算機系統(tǒng)桌面中用鼠標(biāo)雙擊“我的電腦”圖標(biāo),在彈出的“我的電腦”窗口中單擊“工具”菜單項,從下拉菜單中單擊“文件夾選項”命令,在彈出的文件夾選項設(shè)置對話框中單擊“查看”標(biāo)簽,并在對應(yīng)標(biāo)簽頁面中將“使用簡單文件共享”選項的選中狀態(tài)取消,再單擊“確定”按鈕關(guān)閉文件夾選項設(shè)置對話框;
其次依次單擊“開始”/“程序”/“附件”/“Windows資源管理器”命令,在彈出的系統(tǒng)資源管理器窗口中找到保存了重要信息的目標(biāo)文件夾,并用鼠標(biāo)右鍵單擊該文件夾圖標(biāo),從彈出的快捷菜單中執(zhí)行“屬性”命令,打開目標(biāo)文件夾的屬性設(shè)置界面;
單擊該屬性設(shè)置界面中的“安全”標(biāo)簽,并在對應(yīng)標(biāo)簽頁面中單擊“添加”按鈕,在其后出現(xiàn)的設(shè)置對話框中單擊“高級”按鈕,再單擊“立即查找”按鈕(如圖1所示),之后將那些允許訪問目標(biāo)文件夾的用戶選中并加入進(jìn)來,而將“everyone”帳號從列表中刪除掉,以便禁止任何一位普通用戶不經(jīng)過授權(quán)就能暢通無阻地訪問局域網(wǎng)服務(wù)器目標(biāo)文件夾中的重要信息。完成上面的設(shè)置操作后,只有特定用戶才能有權(quán)限訪問局域網(wǎng)服務(wù)器中的重要文件夾,而沒有授權(quán)的用戶都不能通過“everyone”帳號訪問服務(wù)器中的重要文件夾,那樣一來指定文件夾的安全性就能得到有效保證了。
授予新用戶共享訪問權(quán)限
要是我們希望將局域網(wǎng)服務(wù)器重要文件夾的網(wǎng)絡(luò)訪問權(quán)限授予新的用戶時,那可以先在本地計算機中創(chuàng)建一個新的用戶帳號,并按照前面的操作方法將目標(biāo)文件夾的訪問權(quán)限授予這個新用戶帳號,下面就是具體的設(shè)置步驟:
首先先創(chuàng)建一個新用戶帳號;在創(chuàng)建新用戶帳號時,我們可以依次單擊“開始”/“設(shè)置”/“控制面板”命令,在彈出的系統(tǒng)控制面板窗口中,再用鼠標(biāo)逐一雙擊“管理工具”/“計算機管理”圖標(biāo),打開對應(yīng)系統(tǒng)的計算機管理窗口;
其次在計算機管理窗口的左側(cè)顯示區(qū)域,依次點選“本地用戶和組”/“用戶”分支選項,在對應(yīng)“用戶”分支選項的右側(cè)顯示區(qū)域中,用鼠標(biāo)右鍵單擊空白區(qū)域,從彈出的快捷菜單中執(zhí)行“新用戶”命令,打開一個創(chuàng)建新用戶的設(shè)置對話框(如圖2所示);在該設(shè)置對話框中,正確輸入新用戶的帳號名稱,同時設(shè)置好對應(yīng)帳號名稱的密碼信息,最后單擊“創(chuàng)建”按鈕完成新用戶帳號的創(chuàng)建任務(wù)。
下面重新打開局域網(wǎng)服務(wù)器中保存了重要信息的目標(biāo)文件夾屬性設(shè)置窗口,單擊該屬性設(shè)置窗口中的“安全”標(biāo)簽,并在對應(yīng)標(biāo)簽頁面中單擊“添加”按鈕,在其后出現(xiàn)的設(shè)置對話框中單擊“高級”按鈕,再單擊“立即查找”按鈕,之后將新創(chuàng)建好的用戶選中并加入進(jìn)來,最后單擊“確定”按鈕就可以了。
#p#副標(biāo)題#e#
限制用戶通過網(wǎng)絡(luò)來訪問
如果想限制特定用戶通過局域網(wǎng)中任何一臺計算機訪問服務(wù)器中的共享資源時,我們可以通過設(shè)置服務(wù)器系統(tǒng)的相關(guān)組策略參數(shù),來禁止特定用戶在所有計算機系統(tǒng)中通過網(wǎng)絡(luò)訪問服務(wù)器中的共享資源,這種限制方法常常會用于有“犯罪前科”的用戶身上,以防止這些非法用戶借共享訪問之名來襲擊局域網(wǎng)服務(wù)器,下面就是具體的設(shè)置步驟:
首先在服務(wù)器系統(tǒng)桌面中依次單擊“開始”/“設(shè)置”/“控制面板”命令,在彈出的系統(tǒng)控制面板窗口中,再用鼠標(biāo)逐一雙擊“管理工具”/“本地安全策略”圖標(biāo),打開服務(wù)器系統(tǒng)的本地安全策略管理窗口;
其次在本地安全策略管理窗口的左側(cè)顯示區(qū)域中,用鼠標(biāo)逐一展開“本地策略”/“用戶權(quán)利指派”分支選項,在對應(yīng)“用戶權(quán)利指派”分支選項的右側(cè)顯示區(qū)域,用鼠標(biāo)雙擊“從網(wǎng)絡(luò)訪問此計算機”組策略選項,打開如圖3所示的目標(biāo)組策略屬性設(shè)置對話框;從該屬性設(shè)置對話框的用戶賬號列表框中選中需要限制通過網(wǎng)絡(luò)訪問的用戶賬號,然后單擊“刪除”按鈕,再單擊“確定”按鈕,那樣一來被刪除的特定用戶日后就不能通過局域網(wǎng)任何一臺計算機的網(wǎng)上鄰居窗口尋找到局域網(wǎng)服務(wù)器的“身影”了,這樣的話他也就不能通過網(wǎng)絡(luò)訪問局域網(wǎng)服務(wù)器中的重要共享資源了。
當(dāng)然,要是我們希望任何用戶不能在本地登錄服務(wù)器系統(tǒng)時,也可以打開服務(wù)器系統(tǒng)的組策略編輯窗口,在該窗口的左側(cè)顯示區(qū)域依次單擊“計算機配置”/“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“用戶權(quán)利指派”分支選項,在對應(yīng)“用戶權(quán)利指派”分支選項的右側(cè)顯示區(qū)域中,用鼠標(biāo)雙擊“拒絕本地登錄”目標(biāo)組策略,在其后出現(xiàn)的目標(biāo)組策略屬性設(shè)置窗口中,將禁止進(jìn)行本地登錄的用戶賬號選中,并單擊“刪除”按鈕,最后單擊“確定”按鈕,那樣一來指定賬號的用戶日后將無法在服務(wù)器本地進(jìn)行登錄系統(tǒng),而只能從局域網(wǎng)的其他計算機中進(jìn)行遠(yuǎn)程登錄服務(wù)器。
小提示:
對于Windows Vista系統(tǒng)來說,我們可以直接采用系統(tǒng)自帶的文件夾加密功能來保護(hù)保存了重要信息的文件夾訪問安全性,那樣一來即使非法用戶能通過網(wǎng)絡(luò)訪問到安裝了Windows Vista系統(tǒng)的計算機,也無法順利地查看到目標(biāo)共享文件夾中的重要信息。為了避免不法分子隨意訪問共享文件夾,我們可以按照如下操作步驟來加密目標(biāo)共享文件夾,以便只讓擁有本地計算機系統(tǒng)合法賬號的用戶訪問目標(biāo)共享文件夾中的重要信息:
首先以系統(tǒng)管理員權(quán)限進(jìn)入Windows Vista系統(tǒng),依次單擊該系統(tǒng)桌面中的“開始”/“程序”/“附件”/“Windows資源管理器”菜單選項,打開對應(yīng)計算機系統(tǒng)的資源管理器窗口,從該窗口中找到目標(biāo)共享文件夾,并用鼠標(biāo)右擊該共享文件夾,并執(zhí)行快捷菜單中的“屬性”命令,進(jìn)入目標(biāo)文件夾的屬性設(shè)置對話框;
其次單擊該設(shè)置對話框中的“常規(guī)”標(biāo)簽,單擊對應(yīng)標(biāo)簽設(shè)置頁面中的“高級”按鈕,進(jìn)入目標(biāo)共享文件夾的高級屬性設(shè)置對話框,檢查該對話框中的“加密內(nèi)容以便保護(hù)數(shù)據(jù)”選項有沒有被選中,一旦發(fā)現(xiàn)該選項還沒有處于選中狀態(tài)時,我們應(yīng)該將它重新選中,再單擊“確定”按鈕返回;
下面再次進(jìn)入“常規(guī)”標(biāo)簽設(shè)置頁面中,單擊“確定”按鈕,那樣的話Windows Vista系統(tǒng)將會依照目標(biāo)文件夾或文件性質(zhì)的不同而會自動彈出相應(yīng)的提示信息,詢問我們是否繼續(xù)進(jìn)行加密設(shè)置,例如在對目標(biāo)共享文件夾進(jìn)行加密時,Windows Vista系統(tǒng)會詢問是否將加密設(shè)置自動應(yīng)用到其下的子文件夾及文件,要是我們只對文件進(jìn)行加密操作時,Windows Vista系統(tǒng)就會詢問是否對它的父文件夾進(jìn)行自動加密等,我們可以依照實際情況完成加密操作。
要是加密好目標(biāo)共享文件夾后,那么我們在Windows Vista系統(tǒng)資源管理器窗口中會發(fā)現(xiàn)對應(yīng)文件夾以綠色顯示,查看它的加密屬性信息時,我們會發(fā)現(xiàn)該共享文件夾只允許大家之前授權(quán)好的用戶進(jìn)行訪問,而局域網(wǎng)中任何一位其他用戶都無權(quán)訪問。
不過,有一點需要提醒大家注意的是,對共享文件夾進(jìn)行加密操作時,對應(yīng)的文件夾只能保存在NTFS格式的磁盤中,并且加密過的文件夾日后就不能重復(fù)進(jìn)行壓縮操作了。
#p#副標(biāo)題#e#
禁止組用戶訪問共享資源
倘若局域網(wǎng)中的用戶比較多,我們現(xiàn)在只希望其中的一部分用戶不能通過網(wǎng)絡(luò)訪問服務(wù)器中的共享資源,盡管我們可以按照前面的方法將所有允許訪問的用戶一一添加進(jìn)來,不過這種操作方法比較費時,而且操作效率也不會很高。為了有效地提高操作效率,我們可以先為不能訪問共享資源的所有用戶創(chuàng)建一個用戶組,然后修改服務(wù)器目標(biāo)共享資源的安全屬性信息,讓指定用戶組無權(quán)訪問目標(biāo)共享資源就可以了,下面就是具體的實現(xiàn)方法:
首先先創(chuàng)建一個用戶組帳號;在創(chuàng)建新用戶組帳號時,我們可以依次單擊服務(wù)器系統(tǒng)桌面中的“開始”/“設(shè)置”/“控制面板”命令,在彈出的系統(tǒng)控制面板窗口中,再用鼠標(biāo)逐一雙擊“管理工具”/“計算機管理”圖標(biāo),打開對應(yīng)系統(tǒng)的計算機管理窗口;
其次在計算機管理窗口的左側(cè)顯示區(qū)域,依次點選“本地用戶和組”/“組”分支選項,在對應(yīng)“組”分支選項的右側(cè)顯示區(qū)域中,用鼠標(biāo)右鍵單擊空白位置處,從彈出的快捷菜單中執(zhí)行“新建組”命令,打開如圖4所示的設(shè)置對話框,在該對話框中設(shè)置好合適的組名稱,假設(shè)在這里我們將組名稱設(shè)置為“黑名單”;之后單擊“添加”按鈕,從其后出現(xiàn)的用戶賬號列表框中,借助鍵盤中的Ctrl功能鍵將那些不允許通過網(wǎng)絡(luò)訪問服務(wù)器共享資源的所有用戶賬號一次性添加進(jìn)來,最后單擊“確定”按鈕返回到如圖4所示的設(shè)置對話框,再單擊“創(chuàng)建”按鈕,“黑名單”用戶組就算創(chuàng)建成功了。
下面重新打開局域網(wǎng)服務(wù)器中保存了重要信息的目標(biāo)文件夾屬性設(shè)置窗口,單擊該屬性設(shè)置窗口中的“安全”標(biāo)簽,并在對應(yīng)標(biāo)簽頁面中單擊“添加”按鈕,在其后出現(xiàn)的設(shè)置對話框中單擊“高級”按鈕,再單擊“立即查找”按鈕,之后將新創(chuàng)建好的“黑名單”用戶組選中并加入進(jìn)來,并且將“黑名單”用戶組下面的訪問權(quán)限全部設(shè)置為“拒絕”,最后單擊“確定”按鈕就可以了。現(xiàn)在,所有加入到“黑名單”用戶組中的所有組成員都將無權(quán)通過網(wǎng)絡(luò)訪問局域網(wǎng)服務(wù)器中的目標(biāo)共享資源了。
讓用戶登錄必須輸入密碼
有的時候,本地用戶重新啟動局域網(wǎng)服務(wù)器系統(tǒng)時,發(fā)現(xiàn)系統(tǒng)不需要輸入密碼進(jìn)行身份驗證就能直接進(jìn)入服務(wù)器系統(tǒng)桌面中了,此時,局域網(wǎng)服務(wù)器中的重要共享資源將會完全暴露在用戶面前,顯然這是非常危險的。一旦我們發(fā)現(xiàn)服務(wù)器系統(tǒng)不需要輸入密碼就能直接登錄時,我們必須按照下面的操作來強制服務(wù)器系統(tǒng)必須要求用戶輸入密碼才能完成系統(tǒng)登錄操作:
首先在服務(wù)器本地以系統(tǒng)管理員身份進(jìn)入服務(wù)器系統(tǒng),打開對應(yīng)系統(tǒng)的“開始”菜單,從中點選“運行”命令,在其后出現(xiàn)的系統(tǒng)運行文本框中輸入“regedit”字符串命令,單擊“確定”按鈕后,進(jìn)入服務(wù)器系統(tǒng)的注冊表編輯窗口;
其次將鼠標(biāo)定位于注冊表編輯窗口左側(cè)顯示區(qū)域的HKEY_LOCAL_MACHINE分支選項上,并從該分支選項下面依次點選目標(biāo)注冊表分支子項
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,看看“Winlogon”子項下面是否存在“AutoAdminlogon”鍵值、“DefaultUserName”鍵值、“DefaultPassword”鍵值等,一旦看到這些鍵值已經(jīng)存在的話,我們應(yīng)該一一選中它們并將它們?nèi)縿h除掉;
下面重新返回到服務(wù)器系統(tǒng)桌面中,依次點選“開始”/“運行”命令,在其后出現(xiàn)的系統(tǒng)運行文本框中,輸入字符串命令“control userpasswords2”,單擊“確定”按鈕后,打開對應(yīng)系統(tǒng)的用戶賬戶設(shè)置對話框;在該設(shè)置對話框中單擊“用戶”標(biāo)簽,進(jìn)入如圖5所示的標(biāo)簽設(shè)置頁面,選中本地用戶登錄服務(wù)器系統(tǒng)時使用的特定賬號,再選中對應(yīng)設(shè)置窗口中的“要使用本機,用戶必須輸入用戶和密碼”選項,最后單擊“確定”按鈕保存好上面的設(shè)置操作,如此一來任何一位用戶日后在本地登錄服務(wù)器系統(tǒng)時,都需要正確輸入用戶賬號對應(yīng)的密碼信息才能成功登錄進(jìn)服務(wù)器系統(tǒng)了,這樣的話保存在服務(wù)器系統(tǒng)中的共享資源就不會被本地用戶隨意訪問了。
#p#副標(biāo)題#e#
小提示:
在實際管理和維護(hù)服務(wù)器的過程中,網(wǎng)絡(luò)管理員時常會突然短時間離開服務(wù)器現(xiàn)場,此時很有可能會有一些不法分子趁機登錄進(jìn)入服務(wù)器系統(tǒng),來偷偷訪問保存在服務(wù)器中的重要共享資源。事實上,對于Windows Server 2008服務(wù)器系統(tǒng)來說,我們可以按照下面的操作步驟來快速查找到究竟是哪一些非法用戶偷偷訪問過服務(wù)器系統(tǒng):
首先以系統(tǒng)管理員身份登錄進(jìn)Windows Server 2008服務(wù)器系統(tǒng),從該系統(tǒng)桌面中打開“開始”菜單,從中點選“運行”菜單選項,在彈出的系統(tǒng)運行對話框中輸入“gpedit.msc”字符串命令,單擊“確定”按鈕后進(jìn)入對應(yīng)服務(wù)器系統(tǒng)的組策略編輯窗口;
其次將鼠標(biāo)定位于該組策略編輯窗口左側(cè)顯示區(qū)域中的“計算機配置”分支選項上,再從該分支選項下面依次點選“管理模板”、“Windows組件”、“Windows登錄選項”組策略子項,在對應(yīng)“Windows登錄選項”組策略子項下面找到“在用戶登錄期間顯示有關(guān)以前登錄的信息”項目,用鼠標(biāo)雙擊該組策略項目,打開一個標(biāo)題為“在用戶登錄期間顯示有關(guān)以前登錄的信息”的組策略屬性設(shè)置窗口(如圖6所示),檢查其中的“已啟用”選項是否處于選中狀態(tài),要是發(fā)現(xiàn)該選項還沒有被選中時,我們應(yīng)該及時將它重新選中,再單擊“確定”按鈕保存好設(shè)置操作,如此一來Windows Server 2008服務(wù)器系統(tǒng)日后就能自動記憶用戶賬號上一次登錄服務(wù)器系統(tǒng)的狀態(tài)信息了。
完成好上面的設(shè)置操作之后,日后有不懷好意的用戶趁網(wǎng)絡(luò)管理員突然離開服務(wù)器時偷偷登錄服務(wù)器系統(tǒng)時,對應(yīng)用戶的賬號登錄狀態(tài)就會被Windows Server 2008服務(wù)器系統(tǒng)自動記憶下來;下次,網(wǎng)絡(luò)管理員在啟動Windows Server 2008服務(wù)器系統(tǒng)并輸入密碼,單擊“確定”按鈕后,系統(tǒng)屏幕上將會自動彈出用戶賬號列表信息,從該列表中網(wǎng)絡(luò)管理員就能清楚地發(fā)現(xiàn)究竟是哪一些非法用戶趁網(wǎng)絡(luò)管理員短暫離開服務(wù)器的時刻偷偷訪問過本地服務(wù)器系統(tǒng)了,到時網(wǎng)絡(luò)管理員就能采取有效安全措施進(jìn)行應(yīng)對了。
