使用者權利 (Right)
使用者權利 (Right) 是指使用者可做某類動作的能力,例如:本機登入、變更系統時間、系統關機等,使用者權利影響的對象是 Windows Server 2003 系統本身。
在網域控制站中,系統管理員可以從「Active Directory 使用者及電腦」視窗開啟「群組原則物件編輯器」,指派使用者權利給網域使用者或群組(如下圖):
對於不在網域中的電腦,系統管理員可以執行『控制台/系統管理工具/本機安全性原則』命令,開啟「本機安全性設定值」視窗來指派本機的使用者權利給本機使用者或群組(如下圖)。
Windows Server 2003 提供的使用者權利很多,一些常用的或可能會用到的條列如下:
─ 電腦設定/Windows 設定/安全性設定/帳戶原則:包括最小密碼長度、密碼複雜性需求、帳戶鎖定時間等(如下圖)。
※ 儲存在 Windows Server 2003 中之密碼預設是透過雜湊(Hash)函數運算得到資料,且無法還原成原始密碼。若啟用原則「使用可還原的加密來存放密碼」,則將改用可還原的加密方式來儲存帳戶密碼。
─ 電腦設定/Windows 設定/安全性設定/本機原則/使用者權利指派:包括允許本機登入、系統關機、取得檔案或其他物件的所有權、將工作站加入網域、從網路存取這台電腦、備份檔案及目錄、變更系統時間等(如下圖)。
─ 電腦設定/Windows 設定/安全性設定/本機原則/安全性選項:包括互動式登入相關要求、系統管理員/來賓帳戶狀態、網路存取、允許不登入就將系統關機等(如下圖)。
─ 電腦設定/系統管理範本/系統:包括使用者設定檔、磁碟配額、群組原則、顯示關機事件追蹤器、關閉自動播放等設定(如下圖)。
─ 使用者設定/Windows 設定/Internet Explorer 維護:包括瀏覽器之使用者介面、連線設定、我的最愛與相關重要URL、安全性區域與內容分級等(如下圖)。
─ 使用者設定/系統管理範本:包括 Windows 元件、[開始]功能表和工作列、桌面、控制台、共用資料夾、網路、系統等(如下圖)。
停用複雜性密碼需求
在 Windows Server 2003 系統中的密碼,預設必須符合複雜性需求 (參考安裝 Windows Server 2003 之管理員密碼設定部份)。欲停用密碼設定之複雜性需求,可執行「開始/系統管理工具/
Active Directory 使用者及電腦」工具,然後在「Active Directory 使用者及電腦」視窗中,於網域資料夾上按右鍵,選擇
「內容」啟動編輯網域之群組原則物件。
在「群組原則物件編輯器」視窗中之「電腦設定/Windows 設定/
安全性設定/
帳戶原則/
密碼原則」資料夾內,開啟
「密碼必須符合複雜性需求」進行設定。
在「安全性原則設定」頁面中選取「停用」項目,按「確定」紐。
※由於儲存在 Windows Server 2003 R2 中的密碼預設是透過雜湊函數(Hash Function)運算所得的資料,是無法還原成原始密碼。啟用「使用可還原的加密來存放密碼」原則會使用可還原的加密方式來儲存帳戶密碼,但會降低系統安全性。
停用關機事件追蹤器
Windows Server 2003 系統執行關機時,預設會出現如下之「關閉 Windows」交談窗,利用當中的「關機事件追蹤器」記錄系統關機或重新啟動的原因。管理人員可以透過「開始/
系統管理工具/
事件檢視器」工具,查閱記錄檔中的內容。
如果不希望交談窗中出現「關機事件追蹤器」,在本機上可透過「開始/執行」命令執行 "gpedit.msc" 指令,或利用「Active Directory 使用者及電腦」開啟「群組原則物件編輯器」視窗,於「電腦設定/系統管理範本/系統」資料夾內,點選「顯示關機事件追蹤器」進行設定。
在「設定」頁面選取「已停用」項目,按「確定」紐,即可停用關機事件追蹤器。
允許不登入就將系統關機
在 Windows Server 2003 系統的「登入 Windows」交談窗,預設未登入無法使用「關機(S)...」按紐。
如果希望未登入也可使用「關機(S...)」按紐,可在「群組原則物件編輯器」視窗中之「電腦設定/Windows設定/
安全性設定/
本機原則/
安全性選項」資料夾內,點選
「關機︰允許不登入就將系統關機」進行設定。
在「本機安全性設定」頁面選取「啟用」項目,按「確定」紐。
設定後的「登入 Windows」交談窗。
允許一般使用者登入網域控制站
在 Windows Server 2003 系統的「登入 Windows」交談窗,預設不允許一般使用者登入網域控制站。
如果希望使特定使用者登入,可在「Active Directory 使用者及電腦」視窗中,於「網域(im.local)/
Domain Controllers」資料夾上按右鍵,開啟
「內容」。
在「Domain Controllers 內容」視窗中之「群組原則」頁面,編輯「Default Domain Controllers Policy」項目,以便開啟「群組原則物件編輯器」視窗。
在「群組原則物件編輯器」視窗中之「電腦設定/Windows 設定/
安全性設定/
本機原則/
使用者權利指派」資料夾內,開啟
「允許本機登入」進行設定。
在「允許本機登入 內容」視窗中,會顯示所有可以在本機登入的使用者/群組;欲新增使用者/群組,按「按新增使用者或群組」紐。
直接輸入使用者/群組或按
「瀏覽」紐可從清單中挑選。
指定物件類型及位置,按
「進階」紐。
按
「立即尋找」紐顯示符合條件的清單,再從清單中挑選使用者/群組。
完成挑選動作後,按
「確定」鈕。
確認欲新增的使用者/群組。
新增使用者/群組後的
「允許本機登入 內容」視窗。
資料夾重新導向
「資料夾重新導向」群組原則可以將本機使用者設定檔中的 “Application Data”、“桌面”、“My Documents” 與 “「開始」功能表” 等資料夾導向到網路共用資料夾中。以下步驟將示範說明重新導向「管理群」群組使用者的資料夾 “My Documents” 至共用資料夾 “\\Home-1\ShareDoc”:
1. 建立共用資料夾 ShareDoc,並設定給「管理群」群組「完全控制」的權限。
2. 在「群組原則物件編輯器」視窗中之「使用者設定/Windows 設定/資料夾重新導向/My Documents」,按右鍵執行「內容」。
È
È
È
3. 切換到「設定值」標籤頁面。
綜合練習
1. 如何避免密碼被字典攻擊法破解
2. 如何限制密碼的最小長度
3. 如何設定密碼的有效期限
4. 如何限制不得重複使用相同的密碼
5. 如何限制使用者的桌面背景圖案
6. 如何限制使用者可以執行的程式
7. 如何讓使用者於網域內任何一部電腦登入後,都會看到自己的桌面設定
8. 如何讓使用者於網域內任何一部電腦登入後,都會執行相同的程式
9. 如何設定使用者不能更動登錄檔
10. 如何限制使用者不能更改 IE 的首頁設定
11. 如何強迫使用者只能瀏覽公司允許的網站
12. 如何限制使用者不能使用「命令提示字元」
13. 如何限制使用者不能使用「新增或移除程式」