欢迎来到天天文库
浏览记录
ID:26343721
大小:209.00 KB
页数:44页
时间:2018-11-26
《从网络访问这台计算机.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、用户权限1.从网络访问这台计算机1.背景与远程Windows计算机进行交互的能力需要“从网络访问这台计算机”用户权限。此类网络操作的示例包括:在公用域或林中的域控制器之间复制ActiveDirectory、用户和计算机向域控制器发出身份验证请求,以及访问位于网络中远程计算机上的共享文件夹、打印机和其他系统服务。通过将用户、计算机和服务帐户显式或隐式地添加到已被授予“从网络访问这台计算机”用户权限的安全组中或将它们从此类安全组中删除,可相应地使这些用户、计算机和服务帐户获得或失去该用户权限。例如,用户帐户或计算机帐户可能被管理员显式添加到某个自定义或内置的安
2、全组中,或被操作系统隐式添加到计算安全组(如DomainUsers、AuthenticatedUsers或EnterpriseDomainControllers)中。默认情况下,如果在默认域控制器的组策略对象(GPO)中定义了计算组(例如Everyone或AuthenticatedUsers,后者更好;若是域控制器,则为EnterpriseDomainControllers组),则会为用户帐户和计算机帐户授予“从网络访问这台计算机”用户权限。2.危险配置以下是危险配置:§从此用户权限中删除EnterpriseDomainControllers安全组§删除A
3、uthenticatedUsers组或授予用户、计算机和服务帐户通过网络连接到计算机的用户权限的显式组§从此用户权限中删除所有用户和计算机3.授予此用户权限的原因§通过向EnterpriseDomainControllers组授予“从网络访问这台计算机”用户权限,可满足在同一林中的域控制器之间进行ActiveDirectory复制所必须具备的身份验证要求。§此用户权限允许用户和计算机访问共享文件、打印机和系统服务,包括ActiveDirectory。§用户使用早期版本的MicrosoftOutlookWebAccess(OWA)访问邮件时需要此用户权限。4
4、.删除此用户权限的原因§那些可以将计算机连接到网络的用户可以访问他们具有权限的远程计算机上的资源。例如,用户需要具备此用户权限才能连接到共享打印机和文件夹。如果向Everyone组授予此用户权限,并且某些共享文件夹同时配置有共享和NTFS文件系统权限以使相同的组具有读取权限,则任何人均可查看这些共享文件夹中的文件。但是,WindowsServer2003的全新安装不大可能出现这种情况,因为WindowsServer2003中默认的共享和NTFS权限不包括Everyone组。对于从MicrosoftWindowsNT4.0或Windows2000升级的系统,
5、这个弱点的危险性可能更高,因为这些操作系统默认的共享和文件系统权限的限制性不如WindowsServer2003中的默认权限严格。§从此用户权限中删除EnterpriseDomainControllers组并没有有效的根据。§通常会删除Everyone组,而倾向于使用AuthenticatedUsers组。如果删除了Everyone组,则必须向AuthenticatedUsers组授予此用户权限。§升级到Windows2000的WindowsNT4.0域不会显式对Everyone、AuthenticatedUsers或EnterpriseDomainCon
6、trollers组授予“从网络访问这台计算机”用户权限。因此,如果从WindowsNT4.0域策略中删除了Everyone组,则在升级到Windows2000后,ActiveDirectory复制将失败并出现“AccessDenied”错误消息。WindowsServer2003中的Winnt32.exe在升级WindowsNT4.0主域控制器(PDC)时会对EnterpriseDomainControllers组授予此用户权限,从而避免了这种错误配置。如果EnterpriseDomainControllers组不在组策略对象编辑器中,则向该组授予此用户权
7、限。2.兼容性问题的示例§Windows2000和WindowsServer2003:对ActiveDirectory架构、配置、域、全局编录或应用程序分区的复制将会失败,并且监视工具(如REPLMON和REPADMIN)或事件日志中的复制事件会报告“AccessDenied”错误。§所有Microsoft网络操作系统:除非已向用户或用户所属的安全组授予了此用户权限,否则来自远程网络客户端计算机的用户帐户身份验证将会失败。§所有Microsoft网络操作系统:除非已向帐户或帐户所属的安全组授予了此用户权限,否则来自远程网络客户端的帐户身份验证将会失败。此情
8、况适用于用户帐户、计算机帐户和服务帐户。§所有Microsoft网
此文档下载收益归作者所有