以下内容是摘自笔者编著,最新出版的《网管员必读——网络安全》(第2版)一书。
10.5.2 Windows Server 2003成员服务器基准用户权限分配策略
用户权限分配向用户和组提供组织中计算机的登录权限或特权。登录权限的一个示例是交互登录计算机的权限。特权的一个示例是关闭计算机的权限。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。
|
|
在这里,“没有定义”设置仅适用于用户;管理员仍具有用户权限。本地管理员可作更改,但在组策略下一次被刷新或重新应用时,任何基于域的组策略设置都会覆盖这些更改。
|
1.成员服务器用户权限分配策略概述
可以在Windows Server 2003 SP1或R2版本中,组策略对象编辑器的以下位置配置用户权限分配设置:计算机配置\Windows 设置\安全设置\本地策略\用户权限分配,如图10-49所示。
图10-49 成员服务器组策略编辑器控制台中的“用户权限分配”
对于组织中的各种类型的服务器而言,默认用户权限分配是不同的。例如,Windows Server 2003向成员服务器和域控制器上的内置组分配不同的权限。下面介绍成员服务器与域控制器上各个内置组之间的相似性。
在成员服务器上的Power Users组,具有大多数管理功能,只有一些限制。Power Users组成员可以运行旧应用程序以及经认证适合Windows Server 2003 SP1、R2或Windows XP的应用程序;HelpServicesGroup组为帮助和支持中心的组,Support_388945a0默认是此组的成员;TelnetClients组成员可以访问网络上的Telnet服务器。
在域控制器上,Server Operators组成员可以管理域服务器;Terminal Server License Services组成员可以访问网络上的终端服务器许可证服务器;Windows Authorization Access Group组成员可以访问用户对象上的计算TokenGroupsGlobalAndUniversal属性。
Guests组以及用户账户Guest和Support_388945a0在不同域之间具有唯一的SID。因此,在只存在特定目标组的计算机上,可能需要修改此用户权限分配的组策略。另外,还可对策略模板单独进行编辑,以便将合适的组都包含在.inf 文件中。例如,在测试环境中,可以在域控制器上创建域控制器组策略。
|
|
由于Guests组的成员、Support_388945a0和Guest之间存在唯一的SID,因此某些用于强化服务器的设置无法通过附带的安全模板进行自动化。这些设置将在后面的“其他安全设置”部分介绍。
|
2,成员服务器用户权限分配策略设置建议
如表10-17所示包括了适用于中定义的所有3种环境的用户权限分配设置建议。表后的内容提供了有关每个设置的附加信息(此处略)。
表10-17 用户权限分配设置建议
|
设 置
|
旧 客 户 端
|
企业客户端
|
专用安全—限制功能
|
|
从网络访问此计算机
|
没有定义
|
没有定义
|
Administrators、Authenticated
Users、ENTERPRISE DOMAIN CONTROLLERS |
|
以操作系统方式操作
|
没有定义
|
没有定义
|
No One
|
|
调整进程的内存配额
|
没有定义
|
没有定义
|
Administrators、NETWORK
SERVICE、LOCAL SERVICE |
|
允许在本地登录
|
Administrators、Backup Operators、Power Users
|
Administrators、Backup
Operators、Power Users |
Administrators
|
|
通过终端服务允许登录
|
Administrators 和Remote Desktop Users
|
Administrators和Remote Desktop Users
|
Administrators
|
|
备份文件和目录
|
没有定义
|
没有定义
|
Administrators
|
|
跳过遍历检查
|
没有定义
|
没有定义
|
Authenticated Users
|
|
更改系统时间
|
没有定义
|
没有定义
|
Administrators
|
|
创建页面文件
|
没有定义
|
没有定义
|
Administrators
|
|
创建标记对象
|
没有定义
|
没有定义
|
No One
|
|
创建全局对象
|
没有定义
|
没有定义
|
Administrators、SERVICE
|
|
创建永久共享对象
|
没有定义
|
没有定义
|
No One
|
|
调试程序
|
没有定义
|
Administrators
|
No One
|
|
拒绝从网络访问这台计算机
|
ANONOYMOUS LOGON;Guests;Support_388945a0
|
ANONOYMOUS LOGON;Guests;Support_388945a0
|
ANONOYMOUS LOGON;
Guests;Support_388945a0 |
|
所有非操作系统服务账户
|
所有非操作系统服务账户
|
所有非操作系统服务账户
|
|
|
拒绝作为批处理作业登录
|
Guests;Support_388945a0
|
Guests;Support_388945a0
|
Guests;Support_388945a0
|
|
拒绝作为服务登录
|
没有定义
|
没有定义
|
No One
|
(续表)
|
设 置
|
旧 客 户 端
|
企业客户端
|
专用安全—限制功能
|
|
拒绝本地登录
|
没有定义
|
没有定义
|
Guests;Support_388945a0
|
|
通过终端服务拒绝登录
|
Guests
|
Guests
|
Guests
|
|
允许计算机和用户账户被信任以便用于委任
|
没有定义
|
没有定义
|
Administrators
|
|
从远程系统强制关机
|
没有定义
|
没有定义
|
Administrators
|
|
生成安全审核
|
没有定义
|
没有定义
|
NETWORK SERVICE、LOCAL SERVICE
|
|
身份验证后模拟客户端
|
没有定义
|
没有定义
|
Administrators、SERVICE
|
|
增加计划优先级
|
没有定义
|
没有定义
|
Administrators
|
|
装载和卸载设备驱动程序
|
没有定义
|
没有定义
|
Administrators
|
|
内存中锁定页面
|
没有定义
|
没有定义
|
No One
|
|
作为批处理作业登录
|
没有定义
|
没有定义
|
没有定义
|
|
作为服务登录
|
没有定义
|
没有定义
|
NETWORK SERVICE
|
|
管理审核和安全日志
|
没有定义
|
没有定义
|
Administrators
|
|
修改固件环境值
|
没有定义
|
没有定义
|
Administrators
|
|
执行卷维护任务
|
没有定义
|
没有定义
|
Administrators
|
|
配置单一进程
|
没有定义
|
没有定义
|
Administrators
|
|
配置系统性能
|
没有定义
|
没有定义
|
Administrators
|
|
从扩展坞中取出计算机
|
没有定义
|
没有定义
|
Administrators
|
|
替换进程级别标记
|
没有定义
|
没有定义
|
LOCAL SERVICE、NETWORK SERVICE
|
|
还原文件和目录
|
没有定义
|
没有定义
|
Administrators
|
|
关闭系统
|
没有定义
|
没有定义
|
Administrators
|
|
同步目录服务数据
|
没有定义
|
没有定义
|
No One
|
|
取得文件或其他对象的所有权
|
没有定义
|
没有定义
|
Administrators
|
本文转自王达博客51CTO博客,原文链接http://blog.51cto.com/winda/34562如需转载请自行联系原作者
茶乡浪子