權限管理專題問答

不少用戶在使用Windows系統自帶的瀏覽器上網瀏覽時，常常隨意修改IE的安全等級，造成系統不能穩定運行，請問如何限制普通用戶操作權限，禁止其隨意調整IE安全等級呢？

答：很簡單！只要在普通用戶權限狀態下，依次單擊“開始”、“運行”命令，在系統運行框中執行“gpedit.msc”命令，彈出組策略編輯窗口，依次展開“用戶配置”、“管 理 模 板”、“Windows組件”、“Internet Explorer”、“Internet控 制 面 板”，雙擊“禁用安全頁”選項，選中其后界面中的“已啟用”選項，再按“確定”按鈕，這樣普通用戶日后就不能進入Windows 2008系統自帶瀏覽器的“安全”設置頁面，隨意調整IE瀏覽器的安全訪問等級了。

某用戶在遠程登錄時，正確輸入了用戶名、密碼后，系統沒有提示驗證失敗，而是彈出了沒有網絡訪問權限的錯誤，請問這是為什么？

答：沒有提示驗證失敗，說明了登錄操作已經通過了身份驗證，出現網絡訪問權限錯誤，多半是遠程主機系統啟用了“拒絕從網絡訪問這臺計算機”策略。此時，可以打開遠程主機系統的“開始”菜單，點選“運行”命令，執行“gpedit.msc”命令，彈出組策略編輯界面；依次選擇“計算機配置”/“Windows設置”/“安全設置”/“本地策略”/“用戶權限分配”分支，雙擊該分支下的“拒絕從網絡訪問此計算機”選項，從彈出的選項設置框中刪除自己使用的登錄賬戶，按“確定”按鈕返回，這樣遠程登錄就不會出現錯誤了。

使用網絡打印可以充分提高打印機利用效率，同時能節約辦公成本，不過網絡打印機要是被隨意使用的話，就無法達到上述目的，請問如何限制他人的網絡打印權限，禁止他們隨意進行打印操作呢？

答：只要打開網絡打印機所在系統的組策略編輯窗口，定位到“計算機配置”、“管理模塊”、“打印機”節點上，雙擊目標節點下的“打印機瀏覽”組策略，選擇“禁用”選項，單擊“確定”按鈕保存設置，這樣普通用戶將無法找到網絡打印機了。

黑客常常會利用系統管理員的SID來竊取其登錄賬號名稱，再通過該名稱獲取本地系統的高級訪問權限，請問如何禁止黑客通過SID竊取管理員賬號？

答：只要將鼠標定位到“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“安全選項”節點上，雙擊目標節點上的“網絡訪問：允許匿名SID/名稱轉換”選項，選擇其后界面中的“已禁用”選項，再按“確定”按鈕保存設置，這樣黑客日后就不能輕易竊取到系統管理員的賬號名稱了。

Windows 2008系統與普通服務器系統一樣，仍然默認選用Administrator賬號登錄系統，不過Administrator賬號的權限常常會被黑客利用，因為黑客只要針對Administrator賬號，破解它的密碼，就可能對其進行非法攻擊，請問如何避免這種超級用戶賬號權限的攻擊？

答 ：只 要 修 改Administrator賬 號 的名稱，讓其他人不容易猜中，就能大大降低通過Administrator賬號引起的非法攻擊。在修改Administrator賬號名稱時，依次單擊Windows 2008系統中的“開始”、“運行”命令，在系統運行框中執行“Secpol.msc”命令，彈出本地安全組策略編輯窗口；依次展開“安全設置”、“本地策略”、“安全選項”，雙擊“帳戶：重命名系統管理員帳戶”組策略選項，在其后界面中將Administrator賬號名稱修改為黑客不容易猜中的名稱，比方說可以將其 修 改 為“chaojiuser”，這樣黑客日后就不能利用Administrator賬號對Windows 2008系統進行非法攻擊了。

通過限制移動硬盤訪問權限，可以禁止網絡病毒借助移動硬盤傳播，不過如此限制后，用戶自己也將無法在Windows 7系統中正常使用移動硬盤了，請問有沒有兩全其美的辦法，既能保證自己正常使用移動硬盤，又能限制別人隨意使用移動硬盤呢？

答：很簡單！只要通過硬件ID號限制不信任移動硬盤的接入就可以了，要做到這一點，可以先打開系統設備管理器窗口，展開“通用串行總線控制器”，右擊“USB大容量存儲設備”，執行右鍵菜單的“屬性”命令，在“詳細信息”標簽頁面中記錄下自己移動硬盤的硬件ID；其次打開系統組策略編輯窗口，依次點選“計算機配置”、“管理模板”、“系統”、“設備安裝”、“設備安裝限制”子項，雙擊“允許安裝與下列設備ID相匹配的設備”組策略，選中“已啟用”選項，再單擊“顯示”按鈕，彈出添加硬件ID向導對話框，導入自己移動硬盤的硬件ID，并單擊“確定”按鈕，這樣Windows 7系統日后只允許自己的移動硬盤接入了，其他移動硬盤則不能接入該系統。

局域網中很多終端計算機都有病毒，如果輕易允許帶毒系統與服務器系統建立遠程桌面連接，那么服務器就很容易遭遇病毒或木馬程序的攻擊。為了避免帶毒系統的傳染，請問如何將服務器的遠程桌面連接權限，授予安全、合法的特定終端計算機？

答：可以利用服務器系統自帶的高級安全防火墻，來授權安全、合法的計算機，才有資格與服務器系統建立遠程桌面連接。例如，在安裝了Windows 2008系統的服務器主機中，依次點選“開始”、“運行”選項，彈出系統運行對話框，執行“gpedit.msc”命令，切換到系統組策略編輯窗口；逐一跳轉到該編輯窗口左側的“計算機配置”、“管理模板”、“網絡”、“網絡連接”、“Windows 防火墻”、“標準配置文件”分支上，雙擊目標分支下的“Windows防火墻：允許入站遠程管理例外”選項，從彈出的組策略選項設置界面中，選中“已啟用”選項，自動激活“允許來自這些IP地址的未經請求的傳入消息”文本框，在這里輸入合法、安全的客戶機IP地址，最后按“確定”按鈕保存設置，這樣就能實現上述控制目的了。

如果黑客破壞掉DNS服務器的配置信息，那么會造成DNS服務無法正常工作，請問有沒有辦法保護DNS配置信息？

答：由于DNS配置信息幾乎都保存在DNS文件夾中以及相關注冊表分支中，只要對它們的訪問權限進行控制，就能保護好DNS配置信息。具體做法為：首先打開DNS服務器所在系統的注冊表編輯窗口，依次跳轉 到HKEY_LOCAL_MACHINECurrent Control SetServicesDNS分支上，用鼠標右鍵單擊DNS分支，從右鍵菜單中執行“權限”命令，彈出權限設置對話框，在這里刪除所有用戶賬號，僅將合法賬號添加進來，并為它們分配合適的訪問權限。其次打開系統資源管理器窗口，選中“%system_directory%DNS”文件夾，右擊該文件夾圖標，點選右鍵菜單中的“安全”命令，彈出安全選項設置頁面，在這里僅為合法用戶授予適當的訪問權限，刪除所有不信任用戶賬號。

現在一些“毒”性很強的網絡病毒，多是通過系統注冊表中的“RUN”鍵值進行自動運行發作的，請問如何限制這類網絡病毒的自動啟動運行權限？

答：只要將鼠標定位到注冊表編輯窗口的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”分支上，在對應編輯窗口中依次點選“編輯”、“權限”命令，在彈出的權限設置框中，將可信任帳號之外的其他賬號權限全部設置成“拒絕”，同時重新啟動本地系統就可以了。

當然，也有一些病毒是以系統服務形式自啟動的，此時只要將“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServices”分支的訪問權限，授予可信任用戶賬號，而將類似“everyone”這樣的賬號權限全部設置為“拒絕”。

在規模不大的可信任內網中，為了提高管理效率，用戶有時會將遠程關機權限授予Guest賬號，請問如何用Guest賬號遠程關閉系統呢？

答：首先啟用內網每臺客戶機的Guest賬號，同時將遠程關機權限授予Guest賬號。在授權遠程關機權限時，依次單擊“開始”、“運行”命令，在系統運行對話框中執行“gpedit.msc”命令，切換到系統組策略編輯對話框，將鼠標定位到“計算機設置”、“Windows設置”、“安全設置”、“本地策略”、“用戶權限分配”分支上，打開“從遠程系統強制關機”組策略對話框，點擊“添加用戶或組”按鈕，選中Guest賬號，按“確定”按鈕即可。日后在Guest賬號登錄狀態下，先切換到系統運行框，輸入“shutdown /i”命令，點擊遠程關機設置框中的“添加”按鈕，導入遠程計算機名稱，將“關機”選項選中，再按“確定”按鈕，就能實現遠程關機目的了。

Windows 7系統默認會為匿名賬號和everyone賬號授予相同的訪問權限，要是用戶無意中為everyone分配了較高權限的話，匿名賬號也會自動獲得相應權限。請問為了保護Windows 7系統安全，如何降低匿名用戶的權限等級？

答：很簡單！將鼠標定位到“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“安全選項”節點上，雙擊該節點下的“網絡訪問：將everyone權限應用于匿名用戶”選項，選中“已禁用”選項，再按“確定”按鈕，這樣匿名用戶在默認狀態下就不會擁有訪問權限了。

Windows系統內置有很強大的防火墻功能，利用該防火墻可以大大增強系統的安全防范能力。不過，一些惡意用戶可能會偷偷修改系統防火墻的安全規則，造成防火墻不能正常發揮作用，請問如何限制惡意用戶偷偷修改防火墻權限？

答：由于防火墻規則配置信息都存儲在系統注冊表中，只要打開Windows 2008系統的注冊表編輯窗口，并將鼠標定位到該窗口左側顯示區域的HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewall PolicyFirewallRules分支上，目標分支下面存儲有很多安全規則；用鼠標右鍵單擊目標分支選項，從右鍵菜單中依次選擇“編輯”、“權限”命令，在彈出的權限設置框中，將那些自己不熟悉或不值得信任的用戶賬號全部刪除掉，這樣惡意用戶日后就沒有權限修改對應系統的防火墻配置了。

不知道被誰亂動了一下，現在我的電腦每次啟動時總是自動以普通權限的用戶賬戶登錄，而且更為麻煩的是，所有的管理員權限的用戶賬號都被自動禁用了，完全不知道該怎樣設置回去，對了，電腦安裝的是Windows 7旗艦版系統，請問有辦法恢復嗎？

答：這種問題很容易恢復：首先啟動Windows 7系統，在啟動過程中及時按下F8功能鍵，切換到系統高級啟動模式，選擇帶命令行的安全模式，啟動成功后在系統登錄界面中按“Ctrl+Alt+Del”組合鍵三次，進入到命令行狀態，執行字符串命令“net user administrator /active:yes”，重新啟用系統默認的administrator賬號，之后注銷Windows 7系統，再使用administrator賬號登錄系統。這時，就能正常刪除之前設置的用戶賬號，使用原有的管理員賬號來登錄系統了。

網絡中的病毒或木馬，時常沒有得到Windows系統的允許，就會自動下載保存到本地硬盤中，請問怎樣對Windows系統中的病毒、木馬程序操作權限進行有效控制，禁止其通過瀏覽器自動下載到本地呢？

答：由于病毒或木馬程序都要通過Windows系統自帶的IE瀏覽器，才能進行自動下載操作，只要禁止IE瀏覽器執行自動下載操作，那么病毒或木馬就沒有辦法保存到本地了。要做到這一點，可以先打開系統組策略編輯對話框，依次展開“計算機配置”、“管理模板”、“Windows組件”、“Internet Explorer”、“安全功能”、“限制文件下載”分支，雙擊目標分支下的“所有進程”組策略，再選中“已啟用”選項，這樣包括IE瀏覽器在內的所有瀏覽器日后都不允許執行下載操作。

在多人共用一臺計算機的情況下，可能需要對每位用戶的優盤讀寫權限進行控制，以防止系統感染優盤病毒，那么如何對每位用戶的優盤讀寫權限進行控制呢？

答：很簡單！要控制某個用戶的優盤讀寫權限時，只要先以該用戶的賬號登錄系統，打開系統注冊表編輯窗口，依次展開該窗口左側區域的注冊表分支“HKEY_LOCAL_USERSYSTEMCurrentControlSetControlStorageDevicePolicies”，用鼠標雙擊該分支下的“WriteProtect”鍵值，將其數值設置為“1”，就表示當前用戶會獲得優盤的讀寫權限，如果該數值被設置成“0”，那么當前用戶就沒有讀寫優盤的操作權限。

在公共場合下，如果授予用戶任意上網訪問權限，那很可能會給本地網絡的安全帶來麻煩，請問能否有效控制用戶上網權限，讓其只能在指定安全區域上網訪問呢？

答：可以實現這樣的目的！只要在客戶端系統打開組策略編輯窗口，定位到“用戶 配 置”、“Windows設 置”、“Internet Explorer維護”、“安全”節點上，雙擊該節點下面的“安全區域和內容分級”選項，在其后界面的“安全區域和隱私”位置處，選中“導入當前安全區域設置”，再單擊“修改設置”按鈕，將比較安全的上網區域設置好，最后單擊“確定”保存設置，這樣用戶日后只能在指定安全區域上網訪問了。

在人員關系相對復雜的局域網工作環境中，怎樣讓共享訪問權限僅授予可信任用戶，而其他用戶無權訪問共享資源呢？

答：很簡單，只要將網絡訪問本地系統的權限授予可信任用戶就能達到目的了。在進行這種授權操作時，可以先打開自己系統的組策略編輯窗口，雙擊“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“用戶權利指派”節點下的“網絡訪問此計算機”選項，在其后界面中刪除所有默認賬號，再單擊“添加用戶或組”按鈕，將可信任用戶導入進來，再單擊“確定”按鈕保存設置。

有的病毒、木馬可能會通過遠程訪問注冊表的方式，威脅本地系統的安全。為了保護系統安全，請問如何限制惡意用戶的遠程訪問注冊表權限？

答：只要將鼠標定位到“計算機配置”、“Windows設置”、“安 全 設 置”、“本 地 策略”、“安全選項”組策略節點上，雙擊“網絡訪問：可遠程訪問的注冊表路徑”選項，刪除其后界面中的所有注冊表路徑信息，之后再按照相同操作方法，打開“網絡訪問：可遠程訪問的注冊表路徑和子路徑”選項設置框，刪除所有默認路徑信息，這樣任何用戶日后都無法遠程訪問本地注冊表了。

一般來說，局域網中的重要資源都部署在Windows 2008服務器系統中，為了防止他人隨意通過遠程桌面連接訪問重要資源，往往要對用戶遠程訪問服務器系統的權限進行限制，請問如何僅允許特定用戶遠程訪問Windows 2008系統呢？

答：只要打開Windows 2008系統“開始”菜單，點選“程序”、“管理工具”、“服務器管理器”命令，單擊服務器管理器窗口左側的“服務器管理”節點，選中“服務器摘要”，同時單擊“配置遠程桌面”，展開遠程桌面設置框；之后單擊“選擇用戶”按鈕，從彈出的用戶賬號列表中，將自己不熟悉的用戶賬號或不信任用戶賬號依次選中，并執行“刪除”操作，再單擊“添加”按鈕，將自己認為值得信任的特定用戶賬號選中并添加進來，這樣Windows 2008系統日后只允許特定用戶與之建立遠程桌面連接了。

小王的筆記本電腦安裝的是Windows 7系統，嘗試在其中安裝VMware時，系統總會提示必須在Administrator權限賬號狀態下，才能進行安裝操作，而小王當前使用的賬號也具有系統管理員權限，卻無法正常進行安裝操作，請問這是怎么回事？

答：這種情況很可能是當前下載安裝的VMware屬于綠色精簡版本，這種版本的程序在被安裝時，需要用戶使用Administrator權限賬號，才能運行其中的安裝批處理文件，而不是說該程序一定要在Administrator權限賬號狀態下運行。只要重新下載完整版VMware程序進行安裝，就不會發生上面的問題了。

有時，通過網絡訪問Windows 7系統中的某個共享文件夾時，明明該文件夾為Everyone賬號授予了訪問權限，可系統總提示說沒有訪問權限呢？

答：除了要為Everyone賬號授予文件共享訪問權限外，還要為該賬號授予特定驅動器的文件系統NTFS權限。在進行這種授權操作時，首先打開系統資源管理器窗口，用鼠標右鍵單擊特定驅動器圖標，執行對應驅動器屬性對話框，選擇“安全”選項卡，在對應選項設置頁面中為Everyone賬號授予合適權限即可。

有時想進入Windows 7系統的本地連接屬性框，嘗試修改上網參數，發現本地連接屬性框無法打開，不知道是什么原因？

答、首先打開系統組策略編輯窗口，檢查本地連接組件的訪問有沒有受到限制，要是該組件的訪問權限受到限制的話，那么用戶自然無法打開本地連接屬性框；其次通過正版殺毒軟件對系統進行病毒掃描操作，看看是否有病毒程序在偷偷使壞，畢竟有的病毒就能干擾用戶正常訪問本地連接屬性；之后，使用“sfc /scannow”命令，嘗試修復一下系統文件，實在不行的話，那就需要重新安裝操作系統了。

默認狀態下，Windows系統會將遠程桌面連接權限授予administrator賬號，而黑客正是看準了這個弱點，往往會利用該系統管理員賬號對局域網中的重要主機系統進行遠程攻擊，請問怎樣快速取消系統管理員賬號默認的遠程桌面連接權限呢？

答：很簡單！只要在遠程主機系統中，依次點選“開始”、“運行”選項，打開系統運行對話框，在其中輸入“cmd”命令，單擊“確定”按鈕后切換到DOS命令行窗口，在該窗口中執行“net user administrator /active:no”命令，administrator賬號日后就沒有權限進行遠程桌面連接了。