组策略高手进来

2024-12-20 00:19:18
推荐回答(1个)
回答1:

Windows 2000的默认权限设置。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
在XP中的权限:
六个权限选项的含义:
①完全控制(Full Control):该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限就等于拥有了其他所有的权限;
②修改(Modify):该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限;
③读取和运行(Read & Execute):该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径;
④列出文件夹目录(List Folder Contents):该权限允许用户查看资源中的子文件夹与文件名称;
⑤读取(Read):该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等;
⑥写入(Write):该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
如果在“组或用户名称”列表中没有所需的用户或组,那么就需要进行相应的添加操作了,方法如下:点击“添加”按钮后,在出现的“选择用户和组”对话框中,既可以直接在“输入对象名称来选择”文本区域中输入用户或组的名称(使用“计算机名\用户名”这种方式),也可以点击“高级”按钮,在弹出的对话框中点击“立即查找”按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。
如果想删除某个用户组或用户的话,只需在“组或用户名称”列表中选中相应的用户或用户组后,点击下方的“删除”按钮即可。但实际上,这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源,因此,如果希望拒绝某个用户或用户组访问某个资源,还要在“组或用户名称”列表中选择相应的用户名用户组后,为其选中下方的“拒绝”复选框即可。
那么如何设置特殊权限呢?假设现在需要对一个名为“zhiguo”的目录赋予“zhong”用户对其具有“读取”、“建立文件和目录”的权限,基于安全考虑,又决定取消该账户的“删除”权限。此时,如果使用“标准权限”的话,将无法完成要求,而使用特别权限则可以很轻松地完成设置.
首先,右键点击“zhiguo”目录,在右键快捷菜单中选择“共享与安全”项,随后在“安全”选项卡设置界面中选中“zhong”用户并点击下方的“高级”按钮,在弹出的对话框中点击清空“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”项选中状态,这样可以断开当前权限设置与父级权限设置之前的继承关系。在随即弹出的“安全”对话框中点击“复制”或“删除”按钮后(点击“复制”按钮可以首先复制继承的父级权限设置,然后再断开继承关系),接着点击“应用”按钮确认设置,再选中“zhong”用户并点击“编辑”按钮,在弹出的“zhong的权限项目”对话框中请首先点击“全部清除”按钮,接着在“权限”列表中选择“遍历文件夹/运行文件”、“列出文件夹/读取数据”、“读取属性”、“创建文件/写入数据”、“创建文件夹/附加数据”、“读取权限”几项,最后点击“确定”按钮结束设置.
为了大家更好地理解特殊权限列表中的权限含义,以便做出更精确的权限设置,下面简单解释一下其含义:

⑴遍历文件夹/运行文件(Traverse Folder/Execute File):该权限允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限。注意:只有当在“组策略”中(“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”)将“跳过遍历检查”项授予了特定的用户或用户组,该项权限才能起作用。默认状态下,包括“Administrators”、“Users”、“Everyone”等在内的组都可以使用该权限。对于文件来说,拥了这项权限后,用户可以执行该程序文件。但是,如果仅为文件夹设置了这项权限的话,并不会让用户对其中的文件带上“执行”的权限;

⑵列出文件/读取数据(List Folder/Read Data):该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据;

⑶读取属性(Read Attributes):该权限允许用户查看文件或文件夹的属性(如系统、只读、隐藏等属性);

⑷读取扩展属性(Read Extended Attributes):该权限允许查看文件或文件夹的扩展属性,这些扩展属性通常由程序所定义,并可以被程序修改;

⑸创建文件/写入属性(Create Files/Write Data):该权限允许用户在文件夹中创建新文件,也允许将数据写入现有文件并覆盖现有文件中的数据;

⑹创建文件夹/附加数据(Create Folder/Append Data):该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据,但不能对文件现有的数据进行覆盖、修改,也不能删除数据;

⑺写入属性(Write Attributes):该权限允许用户改变文件或文件夹的属性;

⑻写入扩展属性(Write Extended Attributes):该权限允许用户对文件或文件夹的扩展属性进行修改;

⑼删除子文件夹及文件(Delete Subfolders and Files):该权限允许用户删除文件夹中的子文件夹或文件,即使在这些子文件夹和文件上没有设置删除权限;

⑽删除(Delete):该权限允许用户删除当前文件夹和文件,如果用户在该文件或文件夹上没有删除权限,但是在其父级的文件夹上有删除子文件及文件夹权限,那么就仍然可以删除它;

⑾读取权限(Read Permissions):该权限允许用户读取文件或文件夹的权限列表;

⑿更改权限(Change Permissions):该权限允许用户改变文件或文件夹上的现有权限;

⒀取得所有权(Take Ownership):该权限允许用户获取文件或文件夹的所有权,一旦获取了所有权,用户就可以对文件或文件夹进行全权控制。

这里需要单独说明一下“修改”权限与“写入”权限的区别:如果仅仅对一个文件拥有修改权限,那么,不仅可以对该文件数据进行写入和附加,而且还可以创建新文件或删除现有文件。而如果仅仅对一个文件拥有写入权限,那么既可以对文件数据进行写入和附加,也可以创建新文件,但是不能删除文件。也就是说,有写入权限不等于具有删除权限,但拥有修改权限,就等同于拥有删除和写入权限。
共享权限(Shared Permission)
只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中,那么它将同时具有NTFS权限与共享权限,如果这个资源同时拥有NTFS和共享两种权限,那么系统中对权限的具体实施将以两种权限中的“较严格的权限”为准——这也是“拒绝优于允许”原则的一种体现!
例如,某个共享资源的NTFS权限设置为完全控制,而共享权限设置为读取,那么远程用户就只能使用“读取”权限对共享资源进行访问了。
注意:如果是FAT16/FAT32文件系统中的共享文件夹,那么将只能受到共享权限的保护,这样一来就容易产生安全性漏洞。这是因为共享权限只能够限制从网络上访问资源的用户,并无法限制直接登录本机的人,即用户只要能够登录本机,就可以任意修改、删除FAT16/FAT32分区中的数据了。因此,从安全角度来看,我们是不推荐在Windows XP中使用FAT16/FAT32分区的。
设置共享权限很简单,在右键选中并点击一个文件夹后,在右键快捷菜单中选择“共享与安全”项,在弹出的属性对话框“共享”选项卡设置界面中点击选中“共享该文件夹”项即可,这将使共享资源使用默认的权限设置(即“Everyone”用户拥有读取权限)。如果想具体设置共享权限,那么请点击“权限”按钮,在打开的对话框中可以看到权限列表中有“完全控制”、“更改”和“读取”三项权限可供选择。
下面先简单介绍一下这三个权限的含义:
①完全控制:允许用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹,另外,也可以修改该文件夹中的NTFS访问权限和夺取所有权;

②更改:允许用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹,但不能创建新文件;

③读取:允许用户读取当前文件夹的文件和子文件夹,但是不能进行写入或删除操作。

说完了权限的含义,我们就可以点击“添加”按钮,将需要设置权限的用户或用户组添加进来了。在缺省情况下,当添加新的组或用户时,该组或用户将具备“读取”(Read)权限,我们可以根据实际情况在下方的权限列表中进行复选框的选择与清空。

接着再来说说令很多读者感到奇怪的“组和用户名称”列表中的“Everyone”组的含义。在Windows 2000中,这个组因为包含了“Anonymous Logon”组,所以它表示“每个人”的意思。但在Windows XP中,请注意——这个组因为只包括“Authenticated Users”和“Guests”两个组,而不再包括“Anonymous Logon”组,所以它表示了“可访问计算机的所有用户”,而不再是“每个人”!请注意这是有区别的,“可访问计算机的所有用户”意味着必须是通过认证的用户,而“每个人”则不必考虑用户是否通过了认证。从安全方面来看,这一点是直接导致安全隐患是否存在关键所在!

当然,如果想在Windows XP中实现Windows 2000中那种“Everyone”设计机制,那么可以通过编辑“本地安全策略”来实现,方法是:在“运行”栏中输入“Secpol.msc”命令打开“安全设置”管理单元,依次展开“安全设置”→“本地策略”,然后进入“安全选项”,双击右侧的“网络访问:让‘每个人’权限应用于匿名用户”项,然后选择“已启用”项既可。
注意:在Windows XP Professional中,最多可以同时有10个用户通过网络登录(指使用认证账户登录的用户,对于访问由IIS提供的Web服务的用户没有限制)方式使用某一台计算机提供的共享资源。