Board logo

標題: 使用者權利 (Right) [打印本頁]
作者: chun    時間: 2008-5-19 21:48     標題: 使用者權利 (Right)

使用者權利 (Right)

使用者權利 (Right) 是指使用者可做某類動作的能力,例如:本機登入、變更系統時間、系統關機等,使用者權利影響的對象是 Windows Server 2003 系統本身。 在網域控制站中,系統管理員可以從「Active Directory 使用者及電腦」視窗開啟「群組原則物件編輯器」,指派使用者權利給網域使用者或群組(如下圖):

對於不在網域中的電腦,系統管理員可以執行『控制台/系統管理工具/本機安全性原則』命令,開啟「本機安全性設定值」視窗來指派本機的使用者權利給本機使用者或群組(如下圖)。

Windows Server 2003 提供的使用者權利很多,一些常用的或可能會用到的條列如下: 電腦設定/Windows 設定/安全性設定/帳戶原則包括最小密碼長度、密碼複雜性需求、帳戶鎖定時間等(如下圖)。

※ 儲存在 Windows Server 2003 中之密碼預設是透過雜湊(Hash)函數運算得到資料,且無法還原成原始密碼。若啟用原則「使用可還原的加密來存放密碼」,則將改用可還原的加密方式來儲存帳戶密碼。 電腦設定/Windows 設定/安全性設定/本機原則/使用者權利指派包括允許本機登入、系統關機、取得檔案或其他物件的所有權、將工作站加入網域、從網路存取這台電腦、備份檔案及目錄、變更系統時間等(如下圖)

電腦設定/Windows 設定/安全性設定/本機原則/安全性選項包括互動式登入相關要求、系統管理員/來賓帳戶狀態、網路存取、允許不登入就將系統關機等(如下圖)

電腦設定/系統管理範本/系統包括使用者設定檔、磁碟配額、群組原則、顯示關機事件追蹤器、關閉自動播放等設定(如下圖)

使用者設定/Windows 設定/Internet Explorer 維護包括瀏覽器之使用者介面、連線設定、我的最愛與相關重要URL、安全性區域與內容分級等(如下圖)

使用者設定/系統管理範本包括 Windows 元件、[開始]功能表和工作列、桌面、控制台、共用資料夾、網路、系統等(如下圖)

停用複雜性密碼需求 Windows Server 2003 系統中的密碼,預設必須符合複雜性需求 (參考安裝 Windows Server 2003 之管理員密碼設定部份)。欲停用密碼設定之複雜性需求,可執行「開始/系統管理工具/Active Directory 使用者及電腦」工具,然後在「Active Directory 使用者及電腦」視窗中,於網域資料夾上按右鍵,選擇 「內容」啟動編輯網域之群組原則物件。

「群組原則物件編輯器」視窗中之「電腦設定/Windows 設定/安全性設定帳戶原則密碼原則」資料夾內,開啟 「密碼必須符合複雜性需求」進行設定。

在「安全性原則設定」頁面中選取「停用」項目,按「確定」紐。

※由於儲存在 Windows Server 2003 R2 中的密碼預設是透過雜湊函數(Hash Function)運算所得的資料,是無法還原成原始密碼。啟用「使用可還原的加密來存放密碼」原則會使用可還原的加密方式來儲存帳戶密碼,但會降低系統安全性。 停用關機事件追蹤器 Windows Server 2003 系統執行關機時,預設會出現如下之「關閉 Windows」交談窗,利用當中的「關機事件追蹤器」記錄系統關機或重新啟動的原因。管理人員可以透過「開始系統管理工具事件檢視器」工具,查閱記錄檔中的內容。

如果不希望交談窗中出現「關機事件追蹤器」,在本機上可透過「開始/執行」命令執行 "gpedit.msc" 指令,或利用「Active Directory 使用者及電腦」開啟「群組原則物件編輯器」視窗,於「電腦設定/系統管理範本/系統」資料夾內,點選「顯示關機事件追蹤器」進行設定。

在「設定」頁面選取「已停用」項目,按「確定」紐,即可停用關機事件追蹤器。

允許不登入就將系統關機 Windows Server 2003 系統的「登入 Windows」交談窗,預設未登入無法使用「關機(S)...」按紐。

如果希望未登入也可使用「關機(S...)」按紐,可「群組原則物件編輯器」視窗中之「電腦設定/Windows設定/安全性設定本機原則安全性選項」資料夾內,點選 「關機︰允許不登入就將系統關機」進行設定。

在「本機安全性設定」頁面選取「啟用」項目,按「確定」紐。

設定後的「登入 Windows」交談窗。

允許一般使用者登入網域控制站 Windows Server 2003 系統的「登入 Windows」交談窗,預設不允許一般使用者登入網域控制站。

如果希望使特定使用者登入,可「Active Directory 使用者及電腦」視窗中,於「網域(im.local)Domain Controllers」資料夾上按右鍵,開啟 「內容」。

在「Domain Controllers 內容」視窗中之「群組原則」頁面,編輯「Default Domain Controllers Policy」項目,以便開啟「群組原則物件編輯器」視窗。

「群組原則物件編輯器」視窗中之「電腦設定/Windows 設定/安全性設定機原則使用者權利指派」資料夾內,開啟 「允許本機登入」進行設定。

在「允許本機登入 內容」視窗中,會顯示所有可以在本機登入的使用者/群組;欲新增使用者/群組,按「按新增使用者或群組」紐。

直接輸入使用者/群組或按「瀏覽」紐可從清單中挑選。

指定物件類型及位置,按「進階」紐

「立即尋找」紐顯示符合條件的清單,再從清單中挑選使用者/群組。

完成挑選動作後,按「確定」鈕。

確認欲新增的使用者/群組。

新增使用者/群組後的「允許本機登入 內容」視窗。

資料夾重新導向 「資料夾重新導向」群組原則可以將本機使用者設定檔中的 “Application Data”、“桌面”、“My Documents” 與 “「開始」功能表” 等資料夾導向到網路共用資料夾中。以下步驟將示範說明重新導向「管理群」群組使用者的資料夾 “My Documents” 至共用資料夾 “\\Home-1\ShareDoc”:   1. 建立共用資料夾 ShareDoc,並設定給「管理群」群組「完全控制」的權限。

2. 在「群組原則物件編輯器」視窗中之「使用者設定/Windows 設定/資料夾重新導向/My Documents」,按右鍵執行「內容」。

È

È

È

3. 切換到「設定值」標籤頁面。  

綜合練習 1. 如何避免密碼被字典攻擊法破解 2. 如何限制密碼的最小長度 3. 如何設定密碼的有效期限 4. 如何限制不得重複使用相同的密碼 5. 如何限制使用者的桌面背景圖案 6. 如何限制使用者可以執行的程式 7. 如何讓使用者於網域內任何一部電腦登入後,都會看到自己的桌面設定 8. 如何讓使用者於網域內任何一部電腦登入後,都會執行相同的程式 9. 如何設定使用者不能更動登錄檔 10. 如何限制使用者不能更改 IE 的首頁設定 11. 如何強迫使用者只能瀏覽公司允許的網站 12. 如何限制使用者不能使用「命令提示字元」 13. 如何限制使用者不能使用「新增或移除程式」



歡迎光臨 百利工頭 (http://bb.pc104.tw/) Powered by Discuz! 6.0.0