K3在工作组和域环境下用户的权限分配参考<上一篇 | 下一篇>K3在工作组和域环境下用户的权限分配参考近来很多朋友和网友都问我,关于K3在工作组和域环境中,到底要给我们客户端用户在服务器上什么样子的权限呢.下面帮大家总结下:工作组: USERS权限并有修改注册表读写权限建议使用POWERUSER权限域:USERS权限并有修改注册读写表权限建议使用USERS权限加上backup组权限注册表修改权限如下:开始----运行----regedit----设置权限---设置用户的读写权限下面是对2000系统的用户权限细则参考,同时也可以应用与2003系统的用户分配对默认 Windows 2000 操作系统安装中内置组的默认组成员的必需更改和建议更改。

这些内置组具有用户权限和特权以及组成员的预定义集合。

五个内置组类型定义如下：• 全局组当建立 Windows 2000 域时，在 Active Directory 存储区中创建内置全局组。

全局组用来对整个域中使用的通用类型用户和组帐户进行分组。

全局组可以包含本机模式域中的其他组。

• 域本地组域本地组向用户提供特权和权限，以便在域控制器和 Active Directory 存储区中执行任务。

域本地组只在域中使用，不能导出到 Active Directory 树中的其他域。

• 通用组只可以在本机 Windows 2000 域中使用通用组。

可以跨整个目录林使用通用组。

• 本地组独立 Windows 2000 服务器、成员服务器和工作站都有内置本地组。

这些内置本地组向成员提供了只在此组所属的特定计算机上执行任务的能力。

• 系统组系统组没有可以修改的特定成员。

每个系统组用来代表特定用户类别或代表操作系统本身。

这些组是在 Windows 2000 操作系统中自动创建的，但在组管理 GUI 中不显示。

这些组只用于控制资源的访问权。

检查/修改域的组帐户成员身份• 访问域中的组帐户1.在域控制器中以管理帐户登录。

2. 从“开始”菜单，指向“程序”，指向“管理工具”，然后单击“Active Directory 用户和组”。

3.在控制台树中，双击域节点。

在“内置”和“用户”容器中可以找到组帐户。

图 8：内置帐户检查/修改独立或成员计算机的组帐户成员身份• 访问独立或单独域成员计算机中的组帐户1.使用管理帐户登录。

2. 从“开始”菜单，指向“程序”，指向“管理工具”，然后单击“计算机管理”。

3.在控制台树中，双击“本地用户和组”。

在“组”容器中可以找到组帐户。

图 9：组帐户注意：按表 24 中的建议设置组成员身份。

此表列出了默认组。

特定系统角色的选中标记指出此组是此系统类型的本机组，必须在此系统类型上进行管理。

更改帐户的主要组成员身份为了进行下表中标识的一些必需的组成员身份更改，您必须从特定组删除帐户。

为了与其他网络协议（例如 AppleTalk）兼容，帐户必须在域中有主要组分配。

因此，当计算机加入域时，您可能必须更改默认设置的帐户的主要组成员身份。

如果尝试从“Active Directory 计算机和用户”GUI 中的帐户主要组删除帐户，则操作将被拒绝，并显示以下消息：图 10：主要组删除消息•更改帐户的主要组1. 使用域控制器中的管理帐户登录。

2. 从“开始”菜单，指向“程序”，指向“管理工具”，然后单击“ActiveDirectory 用户和组”。

3. 在控制台树中，双击域节点。

4. 在“用户”容器中可以找到用户帐户。

5. 右键单击帐户名称，然后从菜单中选择“属性”。

将显示帐户“属性”GUI。

6. 选择“成员属于”选项卡，以显示帐户所属的组的列表。

当在“成员属于”窗口中单击任何组时注意观察，“设置主要组”按钮可能是活动的，也可能是非活动的。

对于可以设置为主要组的组，“设置主要组”按钮是活动的；对于不能设置为主要组或者已经是主要组的组，此按钮是非活动的。

图 11：Guest 帐户属性7. 要更改帐户的主要组，请选择将成为新主要组的组，然后单击“设置主要组”（您必须使“设置主要组”按钮活动）。

请注意，在“设置主要组”按钮上方标识为“主要组：”的组将更改为新选择。

8. 单击“应用”，然后单击“确定”。

注意 1：如果转而使用组策略 GUI 从组中删除帐户，则帐户在删除时没有主要组。

这不会有反面影响，除非 Posix 应用程序或 Macintosh 客户端需要使用帐户。

注意 2：在下表中，有对 SID 的引用。

SID 是安全标识符，它是代表特定用户或组的值。

例如，SID S-1-5-7 代表匿名登录组。

有关更多信息，请参阅 Technet （网址是 /technet/treeview/default.asp?url=/technet/pr odtechnol/windows2000serv/reskit/distsys/part5/dsgappe.asp ）或 Windows 2000 Resource Kit 中的“Well Known Identifiers”文章（英文）。

表 24：组成员身份组成员身份修改 域 WKS 域便携式计算机 DC 域服务器 独立 WKS 独立服务器全局和通用组 默认成员 修改/验证 DnsUpdateProxy 无 不向此组添加帐户。

Domain Admins A dministrator 不向此组添加非管理帐户。

Domain Guests G uest 不向此组添加帐户。

Domain Users Administrator Guest Krbtgt TsInternetUser （所有新用户都是在默认情况下添加的） 删除 Guest 帐户，确保禁用TsInternetUser帐户。

注意：删除 Guest帐户之前，请将此帐户的主要组更改为 DomainGuests 。

Enterprise Admins Administrator (Domain Controller Administrator) 不向此组添加非管理帐户。

警告：此组将具有整个目录林中每个计算机的完全管理特权。

决不应将此组中的帐户用于除管理系统之外的任何其他目的。

Group Policy Creator Owner Administrator 不向此组添加非管理帐户。

Schema Admins A dministrator 不向此组添加非管理帐户。

域本地组默认成员 修改/验证 AccountOperators 无 仅对只能管理帐户的管理员使用此组。

需要像对普通管理员那样，对这些用户进行严格筛选。

Administrators Administrator Domain Administrators Enterprise Administrators 不向此组添加非管理帐户。

BackupOperators无 不向此组添加非管理帐户。

注意：Backup Operator 可以读取系统的所有文件，无论这些文件的权限如何。

由于他们还可以存储文件，所以可能对系统的安全和稳定性产生反面影响。

DnsAdmins无 不向此组添加非管理帐户。

GuestsGuest （本地） Domain Guests TsInternetUser 不使用此组。

Pre-Windows2000CompatibleAccess 无 提供与 Windows 2000 操作系统以前版本兼容的向后兼容性。

使用此组将极大释放Active Directory中的权限。

默认情况下，此组没有成员。

但是，如果在“Windows 2000以前版本兼容性模式”中创建了域，则 Everyone 组将是此组的成员，使Everyone 具有所有 ActiveDirectory 对象的读取权限。

要禁用此设置，请从Pre-Windows 2000CompatibleAccess 组中删除Everyone 组，然后重新启动所有域控制器。

但是，这会对向后兼容性产生反面影响。

Print Operators 无 不向此组添加非管理帐户。

这些用户可以安装内核模式驱动程序，因此会危及稳定性和安全性。

Replicator 无 不向此组添加非管理帐户。

Server Operators 无 不向此组添加非管理帐户。

设计此组的目的是防止善意的用户在作为管理员时产生最大的破坏。

设计它的目的不是防止恶意用户危及系统的安全。

Users Authenticated Users Domain Users INTERACTIVE （所有新本地用户都是在默认情况下添加的）不向此组添加可能有未经身份验证的访问权的帐户（例如 Guest ）。

本地组 默认成员 修改/验证Administrators 独立：Administrator 域成员：AdministratorDomainAdministrator不向此组添加非管理帐户。

Backup Operators 无不向此组添加非管理帐户。

Guests 独立 不使用此组。

从此Professional ： Guest 独立 Server ：GuestTsInternetUser域成员：向以上添加Domain Guests组删除所有帐户，包括 Guest 。

Power Users 无 此组的作用等同于 Server Operator 组。

为了获得兼容普通用户身份不能运行的应用程序的向后兼容性，提供了此组。

使用 Power Users 可以使组织不必让用户必须成为管理员才能运行这些应用程序。

在某些环境中，Power Users 非常重要，因为唯一其他选项是使用户成为 Administrator 。

但是，在不需要 Power Users 组的环境中，应该使用组策略通过使其成为受限制的组来控制其成员身份。

一定要记住，使用户成为 Power Users 组的成员不能阻止用户轻易成为 Administrator 。

此组旨在包含善意用户。

它不能包含恶意用户。

因此，应该仔细评估其使用。

Replicator无 不向此组添加非管理帐户。

Users 独立：不向此组添加具有Authenticated Users INTERACTIVE （所有新本地用户都是在默认情况下添加的）域成员：Authenticated Users Domain Users INTERACTIVE （所有新本地用户都是在默认情况下添加的）未经身份验证的访问权可能性的帐户（例如 Guest）。

系统组默认成员修改/验证Anonymous Logon 所有经过身份验证的用户此组用来向不进行或不能进行身份验证的用户授予资源的访问权。

通常，这是不当的。

因此，不要使用此组，除非某些应用程序或使用方案需要此组。

不向此组授予资源权限或用户权限。

Authenticated Users 所有经过身份验证的用户使用AuthenticatedUsers 组（而不使用 Everyone 组）可以避免匿名访问资源的可能性。