权限管理专题问答

不少用户在使用Windows系统自带的浏览器上网浏览时，常常随意修改IE的安全等级，造成系统不能稳定运行，请问如何限制普通用户操作权限，禁止其随意调整IE安全等级呢？

答：很简单！只要在普通用户权限状态下，依次单击“开始”、“运行”命令，在系统运行框中执行“gpedit.msc”命令，弹出组策略编辑窗口，依次展开“用户配置”、“管 理 模 板”、“Windows组件”、“Internet Explorer”、“Internet控 制 面 板”，双击“禁用安全页”选项，选中其后界面中的“已启用”选项，再按“确定”按钮，这样普通用户日后就不能进入Windows 2008系统自带浏览器的“安全”设置页面，随意调整IE浏览器的安全访问等级了。

某用户在远程登录时，正确输入了用户名、密码后，系统没有提示验证失败，而是弹出了没有网络访问权限的错误，请问这是为什么？

答：没有提示验证失败，说明了登录操作已经通过了身份验证，出现网络访问权限错误，多半是远程主机系统启用了“拒绝从网络访问这台计算机”策略。此时，可以打开远程主机系统的“开始”菜单，点选“运行”命令，执行“gpedit.msc”命令，弹出组策略编辑界面；依次选择“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”分支，双击该分支下的“拒绝从网络访问此计算机”选项，从弹出的选项设置框中删除自己使用的登录账户，按“确定”按钮返回，这样远程登录就不会出现错误了。

使用网络打印可以充分提高打印机利用效率，同时能节约办公成本，不过网络打印机要是被随意使用的话，就无法达到上述目的，请问如何限制他人的网络打印权限，禁止他们随意进行打印操作呢？

答：只要打开网络打印机所在系统的组策略编辑窗口，定位到“计算机配置”、“管理模块”、“打印机”节点上，双击目标节点下的“打印机浏览”组策略，选择“禁用”选项，单击“确定”按钮保存设置，这样普通用户将无法找到网络打印机了。

黑客常常会利用系统管理员的SID来窃取其登录账号名称，再通过该名称获取本地系统的高级访问权限，请问如何禁止黑客通过SID窃取管理员账号？

答：只要将鼠标定位到“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”节点上，双击目标节点上的“网络访问：允许匿名SID/名称转换”选项，选择其后界面中的“已禁用”选项，再按“确定”按钮保存设置，这样黑客日后就不能轻易窃取到系统管理员的账号名称了。

Windows 2008系统与普通服务器系统一样，仍然默认选用Administrator账号登录系统，不过Administrator账号的权限常常会被黑客利用，因为黑客只要针对Administrator账号，破解它的密码，就可能对其进行非法攻击，请问如何避免这种超级用户账号权限的攻击？

答 ：只 要 修 改Administrator账 号 的名称，让其他人不容易猜中，就能大大降低通过Administrator账号引起的非法攻击。在修改Administrator账号名称时，依次单击Windows 2008系统中的“开始”、“运行”命令，在系统运行框中执行“Secpol.msc”命令，弹出本地安全组策略编辑窗口；依次展开“安全设置”、“本地策略”、“安全选项”，双击“帐户：重命名系统管理员帐户”组策略选项，在其后界面中将Administrator账号名称修改为黑客不容易猜中的名称，比方说可以将其 修 改 为“chaojiuser”，这样黑客日后就不能利用Administrator账号对Windows 2008系统进行非法攻击了。

通过限制移动硬盘访问权限，可以禁止网络病毒借助移动硬盘传播，不过如此限制后，用户自己也将无法在Windows 7系统中正常使用移动硬盘了，请问有没有两全其美的办法，既能保证自己正常使用移动硬盘，又能限制别人随意使用移动硬盘呢？

答：很简单！只要通过硬件ID号限制不信任移动硬盘的接入就可以了，要做到这一点，可以先打开系统设备管理器窗口，展开“通用串行总线控制器”，右击“USB大容量存储设备”，执行右键菜单的“属性”命令，在“详细信息”标签页面中记录下自己移动硬盘的硬件ID；其次打开系统组策略编辑窗口，依次点选“计算机配置”、“管理模板”、“系统”、“设备安装”、“设备安装限制”子项，双击“允许安装与下列设备ID相匹配的设备”组策略，选中“已启用”选项，再单击“显示”按钮，弹出添加硬件ID向导对话框，导入自己移动硬盘的硬件ID，并单击“确定”按钮，这样Windows 7系统日后只允许自己的移动硬盘接入了，其他移动硬盘则不能接入该系统。

局域网中很多终端计算机都有病毒，如果轻易允许带毒系统与服务器系统建立远程桌面连接，那么服务器就很容易遭遇病毒或木马程序的攻击。为了避免带毒系统的传染，请问如何将服务器的远程桌面连接权限，授予安全、合法的特定终端计算机？

答：可以利用服务器系统自带的高级安全防火墙，来授权安全、合法的计算机，才有资格与服务器系统建立远程桌面连接。例如，在安装了Windows 2008系统的服务器主机中，依次点选“开始”、“运行”选项，弹出系统运行对话框，执行“gpedit.msc”命令，切换到系统组策略编辑窗口；逐一跳转到该编辑窗口左侧的“计算机配置”、“管理模板”、“网络”、“网络连接”、“Windows 防火墙”、“标准配置文件”分支上，双击目标分支下的“Windows防火墙：允许入站远程管理例外”选项，从弹出的组策略选项设置界面中，选中“已启用”选项，自动激活“允许来自这些IP地址的未经请求的传入消息”文本框，在这里输入合法、安全的客户机IP地址，最后按“确定”按钮保存设置，这样就能实现上述控制目的了。

如果黑客破坏掉DNS服务器的配置信息，那么会造成DNS服务无法正常工作，请问有没有办法保护DNS配置信息？

答：由于DNS配置信息几乎都保存在DNS文件夹中以及相关注册表分支中，只要对它们的访问权限进行控制，就能保护好DNS配置信息。具体做法为：首先打开DNS服务器所在系统的注册表编辑窗口，依次跳转 到HKEY_LOCAL_MACHINECurrent Control SetServicesDNS分支上，用鼠标右键单击DNS分支，从右键菜单中执行“权限”命令，弹出权限设置对话框，在这里删除所有用户账号，仅将合法账号添加进来，并为它们分配合适的访问权限。其次打开系统资源管理器窗口，选中“%system_directory%DNS”文件夹，右击该文件夹图标，点选右键菜单中的“安全”命令，弹出安全选项设置页面，在这里仅为合法用户授予适当的访问权限，删除所有不信任用户账号。

现在一些“毒”性很强的网络病毒，多是通过系统注册表中的“RUN”键值进行自动运行发作的，请问如何限制这类网络病毒的自动启动运行权限？

答：只要将鼠标定位到注册表编辑窗口的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”分支上，在对应编辑窗口中依次点选“编辑”、“权限”命令，在弹出的权限设置框中，将可信任帐号之外的其他账号权限全部设置成“拒绝”，同时重新启动本地系统就可以了。

当然，也有一些病毒是以系统服务形式自启动的，此时只要将“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServices”分支的访问权限，授予可信任用户账号，而将类似“everyone”这样的账号权限全部设置为“拒绝”。

在规模不大的可信任内网中，为了提高管理效率，用户有时会将远程关机权限授予Guest账号，请问如何用Guest账号远程关闭系统呢？

答：首先启用内网每台客户机的Guest账号，同时将远程关机权限授予Guest账号。在授权远程关机权限时，依次单击“开始”、“运行”命令，在系统运行对话框中执行“gpedit.msc”命令，切换到系统组策略编辑对话框，将鼠标定位到“计算机设置”、“Windows设置”、“安全设置”、“本地策略”、“用户权限分配”分支上，打开“从远程系统强制关机”组策略对话框，点击“添加用户或组”按钮，选中Guest账号，按“确定”按钮即可。日后在Guest账号登录状态下，先切换到系统运行框，输入“shutdown /i”命令，点击远程关机设置框中的“添加”按钮，导入远程计算机名称，将“关机”选项选中，再按“确定”按钮，就能实现远程关机目的了。

Windows 7系统默认会为匿名账号和everyone账号授予相同的访问权限，要是用户无意中为everyone分配了较高权限的话，匿名账号也会自动获得相应权限。请问为了保护Windows 7系统安全，如何降低匿名用户的权限等级？

答：很简单！将鼠标定位到“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”节点上，双击该节点下的“网络访问：将everyone权限应用于匿名用户”选项，选中“已禁用”选项，再按“确定”按钮，这样匿名用户在默认状态下就不会拥有访问权限了。

Windows系统内置有很强大的防火墙功能，利用该防火墙可以大大增强系统的安全防范能力。不过，一些恶意用户可能会偷偷修改系统防火墙的安全规则，造成防火墙不能正常发挥作用，请问如何限制恶意用户偷偷修改防火墙权限？

答：由于防火墙规则配置信息都存储在系统注册表中，只要打开Windows 2008系统的注册表编辑窗口，并将鼠标定位到该窗口左侧显示区域的HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewall PolicyFirewallRules分支上，目标分支下面存储有很多安全规则；用鼠标右键单击目标分支选项，从右键菜单中依次选择“编辑”、“权限”命令，在弹出的权限设置框中，将那些自己不熟悉或不值得信任的用户账号全部删除掉，这样恶意用户日后就没有权限修改对应系统的防火墙配置了。

不知道被谁乱动了一下，现在我的电脑每次启动时总是自动以普通权限的用户账户登录，而且更为麻烦的是，所有的管理员权限的用户账号都被自动禁用了，完全不知道该怎样设置回去，对了，电脑安装的是Windows 7旗舰版系统，请问有办法恢复吗？

答：这种问题很容易恢复：首先启动Windows 7系统，在启动过程中及时按下F8功能键，切换到系统高级启动模式，选择带命令行的安全模式，启动成功后在系统登录界面中按“Ctrl+Alt+Del”组合键三次，进入到命令行状态，执行字符串命令“net user administrator /active:yes”，重新启用系统默认的administrator账号，之后注销Windows 7系统，再使用administrator账号登录系统。这时，就能正常删除之前设置的用户账号，使用原有的管理员账号来登录系统了。

网络中的病毒或木马，时常没有得到Windows系统的允许，就会自动下载保存到本地硬盘中，请问怎样对Windows系统中的病毒、木马程序操作权限进行有效控制，禁止其通过浏览器自动下载到本地呢？

答：由于病毒或木马程序都要通过Windows系统自带的IE浏览器，才能进行自动下载操作，只要禁止IE浏览器执行自动下载操作，那么病毒或木马就没有办法保存到本地了。要做到这一点，可以先打开系统组策略编辑对话框，依次展开“计算机配置”、“管理模板”、“Windows组件”、“Internet Explorer”、“安全功能”、“限制文件下载”分支，双击目标分支下的“所有进程”组策略，再选中“已启用”选项，这样包括IE浏览器在内的所有浏览器日后都不允许执行下载操作。

在多人共用一台计算机的情况下，可能需要对每位用户的优盘读写权限进行控制，以防止系统感染优盘病毒，那么如何对每位用户的优盘读写权限进行控制呢？

答：很简单！要控制某个用户的优盘读写权限时，只要先以该用户的账号登录系统，打开系统注册表编辑窗口，依次展开该窗口左侧区域的注册表分支“HKEY_LOCAL_USERSYSTEMCurrentControlSetControlStorageDevicePolicies”，用鼠标双击该分支下的“WriteProtect”键值，将其数值设置为“1”，就表示当前用户会获得优盘的读写权限，如果该数值被设置成“0”，那么当前用户就没有读写优盘的操作权限。

在公共场合下，如果授予用户任意上网访问权限，那很可能会给本地网络的安全带来麻烦，请问能否有效控制用户上网权限，让其只能在指定安全区域上网访问呢？

答：可以实现这样的目的！只要在客户端系统打开组策略编辑窗口，定位到“用户 配 置”、“Windows设 置”、“Internet Explorer维护”、“安全”节点上，双击该节点下面的“安全区域和内容分级”选项，在其后界面的“安全区域和隐私”位置处，选中“导入当前安全区域设置”，再单击“修改设置”按钮，将比较安全的上网区域设置好，最后单击“确定”保存设置，这样用户日后只能在指定安全区域上网访问了。

在人员关系相对复杂的局域网工作环境中，怎样让共享访问权限仅授予可信任用户，而其他用户无权访问共享资源呢？

答：很简单，只要将网络访问本地系统的权限授予可信任用户就能达到目的了。在进行这种授权操作时，可以先打开自己系统的组策略编辑窗口，双击“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”节点下的“网络访问此计算机”选项，在其后界面中删除所有默认账号，再单击“添加用户或组”按钮，将可信任用户导入进来，再单击“确定”按钮保存设置。

有的病毒、木马可能会通过远程访问注册表的方式，威胁本地系统的安全。为了保护系统安全，请问如何限制恶意用户的远程访问注册表权限？

答：只要将鼠标定位到“计算机配置”、“Windows设置”、“安 全 设 置”、“本 地 策略”、“安全选项”组策略节点上，双击“网络访问：可远程访问的注册表路径”选项，删除其后界面中的所有注册表路径信息，之后再按照相同操作方法，打开“网络访问：可远程访问的注册表路径和子路径”选项设置框，删除所有默认路径信息，这样任何用户日后都无法远程访问本地注册表了。

一般来说，局域网中的重要资源都部署在Windows 2008服务器系统中，为了防止他人随意通过远程桌面连接访问重要资源，往往要对用户远程访问服务器系统的权限进行限制，请问如何仅允许特定用户远程访问Windows 2008系统呢？

答：只要打开Windows 2008系统“开始”菜单，点选“程序”、“管理工具”、“服务器管理器”命令，单击服务器管理器窗口左侧的“服务器管理”节点，选中“服务器摘要”，同时单击“配置远程桌面”，展开远程桌面设置框；之后单击“选择用户”按钮，从弹出的用户账号列表中，将自己不熟悉的用户账号或不信任用户账号依次选中，并执行“删除”操作，再单击“添加”按钮，将自己认为值得信任的特定用户账号选中并添加进来，这样Windows 2008系统日后只允许特定用户与之建立远程桌面连接了。

小王的笔记本电脑安装的是Windows 7系统，尝试在其中安装VMware时，系统总会提示必须在Administrator权限账号状态下，才能进行安装操作，而小王当前使用的账号也具有系统管理员权限，却无法正常进行安装操作，请问这是怎么回事？

答：这种情况很可能是当前下载安装的VMware属于绿色精简版本，这种版本的程序在被安装时，需要用户使用Administrator权限账号，才能运行其中的安装批处理文件，而不是说该程序一定要在Administrator权限账号状态下运行。只要重新下载完整版VMware程序进行安装，就不会发生上面的问题了。

有时，通过网络访问Windows 7系统中的某个共享文件夹时，明明该文件夹为Everyone账号授予了访问权限，可系统总提示说没有访问权限呢？

答：除了要为Everyone账号授予文件共享访问权限外，还要为该账号授予特定驱动器的文件系统NTFS权限。在进行这种授权操作时，首先打开系统资源管理器窗口，用鼠标右键单击特定驱动器图标，执行对应驱动器属性对话框，选择“安全”选项卡，在对应选项设置页面中为Everyone账号授予合适权限即可。

有时想进入Windows 7系统的本地连接属性框，尝试修改上网参数，发现本地连接属性框无法打开，不知道是什么原因？

答、首先打开系统组策略编辑窗口，检查本地连接组件的访问有没有受到限制，要是该组件的访问权限受到限制的话，那么用户自然无法打开本地连接属性框；其次通过正版杀毒软件对系统进行病毒扫描操作，看看是否有病毒程序在偷偷使坏，毕竟有的病毒就能干扰用户正常访问本地连接属性；之后，使用“sfc /scannow”命令，尝试修复一下系统文件，实在不行的话，那就需要重新安装操作系统了。

默认状态下，Windows系统会将远程桌面连接权限授予administrator账号，而黑客正是看准了这个弱点，往往会利用该系统管理员账号对局域网中的重要主机系统进行远程攻击，请问怎样快速取消系统管理员账号默认的远程桌面连接权限呢？

答：很简单！只要在远程主机系统中，依次点选“开始”、“运行”选项，打开系统运行对话框，在其中输入“cmd”命令，单击“确定”按钮后切换到DOS命令行窗口，在该窗口中执行“net user administrator /active:no”命令，administrator账号日后就没有权限进行远程桌面连接了。