ITKE成员BillBald明确提出了这个问题:
我需要分类整理应用Windows Server 2003和Windows XP标准版的互联网。尽管有可能登陆到停留在服务器上的域(domain),可是用户通常不登陆到这一域。反过来,她们应用服务器所不晓得的用户名登陆到当地电脑上。根据在快捷方式图标与在脚本制作中应用服务器的IP地址,没经认证的用户可以访问储存在服务器上的文档。我觉得,服务器容许没经认证的访问,这在一定水平上就缺失了安全系数。我并不明确是不是会发生这样的事情,但我近来发觉无线路由器正被作为动态性主机配置协议书(DHCP)服务器,并非用以运作Win2003。谁可以明确提出一种方式 来强制性用户登陆到域,进而阻拦这类没经认证的个人行为呢?
ITKE成员lerandell的回应:
这听起来好像是全部的系统软件由同样的用户名和登陆密码建立。我趋向于坚信她们应用的是“管理员”用户名。假如“管理员”帐户储存在两个电子计算机上,而且帐户的密码是“p@ssw0rd,”那麼每一个顾客可以应用此外一个互联网帐户。为了更好地劝阻这样的事情,将当地管理员帐户更改成一些用户不容易了解的名字。这非常容易保证,只需改动分类对策(Group Policies)。这还必须变更域控制器和工作平台的帐户,这将驱使每个人应用给其特定的域用户帐户。除此之外,假如你要追踪尝试访问该帐户的用户,那麼建立一个弄虚作假的、不能用的管理员帐户并运用它来做到安全登录的目地。
ITKE成员Guardian的回应:
我能查验域安全设置和本地安全策略。保证每一个早已加入到域的用户管理权限并沒有受限制。用户务必通过身份认证才可以访问域和資源。在其中大部分实际操作你能在可视化工具中寻找。删掉调研组计算机,如同在XP的专业版中实现实际操作一样(输入你的域名系统(DNS)后缀名,随后挑选“变更DNS后缀名”)。
ITKE成员dwiebesick的回应:
要限定当地登陆,你能应用组策略。在组策略下有可以采用的安全策略,电子计算机可以在当地配备windows设定安全系数、设定当地用户管理权限和分派方式,这种你能够根据阅读文章微软知识库(Knowledge Base)中序号为823659的文章内容开展掌握。
你还是可以变更新技术应用系统文件(New Technology File System ,NTFS)的安全策略来操纵最后用户可以访问什么文档和文件夹名称。对它开展设定后,仅有根据身份认证的用户才可以访问你认为是合理的受权域。
假如你了解用户已经应用的用户名和登陆密码,那么你必须对它开展改动。如果你是当地电子计算机的管理员帐户,可以应用脚本制作随便地变更他们。
ITKE成员astronomer的回应:
来看仿佛你有一个像调研组那般运行的域。假如您有管理权限,那麼你能建立一个与当地帐户不一样名的域帐户。随后,禁止使用一切域帐户(或是最少修改密码),这常被用于完成域安全性,并强制性用户应用他们自己的域帐户。你需要保证的是,用户应用他们自己的域帐户来获得服务器上所需的資源。
可是,请记牢,我假定工作平台全是域的成员。一旦用户逐渐应用域帐户开展登陆,那麼必须逐渐应用组策略来对这些人开展管理方法。
为了更好地精确考虑,应用哪些机器设备做为DHCP的服务器是无关痛痒的,只需它给你的条件给予合理的地点和选择项就可以。针对单一子网掩码而言,应用无线路由器应该是一个有效的挑选。因为它沒有硬盘驱动器,因此有可能会比服务器更为靠谱。
ITKE成员DaJackal的回应:
下列就是我对这一问题很有可能采用的作法。最先,转到:逐渐“>程序流程”>可视化工具“>域控制器安全设置。随后,进一步设定安全性选择项。
下一步,认证如下所示的2个新项目:
互联网访问:容许“每一个人”的管理权限适用密名用户--->禁止使用
互联网访问:不允许储存区管理方法(SAM)帐户和共享资源的密名枚举类型--->开启。
挑选这两个选择项,就应当可以妥善处理密名访问的问题。
***,我能认证用户正在登录的当地帐户是不是有别于你的域或当地域控制器中的帐户。假如你愿意,这种用户名可以是一致的,但你需要保证密码是不一样的,而且用户不清楚密码是什么。因而,假如用户名是一致的,该域将提醒她们输入支付密码。遗憾的是,Windows仅确定用户名,而不认证的安全性标志符(SID)。但依照这种流程,你应该可以处理服务器没经受权访问的问题。