维普资讯 http://www.cqvip.com ●T:●T. ¨ + ¨ ¨ + + + + + + + + + + + + + ¨ 浅谈Windows2000用户账号和 + + ¨ ¨ + + + ¨ + ¨ 用户权限 盛洪峰 ,王澍 ,石玉 + + ¨ + + (1.新疆环境气象中心,新疆乌鲁木齐830002; 2.中国铁通新疆乌鲁木齐分公司,新疆 乌鲁木齐840001) 任何事物都有一定之规,系统管理 超过Administrator设定的次数时,该用户 USER1对该文件或文件夹的访问权限为 员只有建立一套严密的安全规则,才能 账号将被自动禁止使用,直到 Windows2000操作系统的用户帐号和用 户权限两个方面进行介绍。 两个组权限累加所得,即:“只读”+“完 有效保障操作系统的稳定运转。本文就 Administrator再次启用它。建议将这个次 全控制”=“完全控制”。 数设置为3-5之间。比如要为Administrator 2.3权限的优先性。权限的这一特性又 账号设定锁定策略,就在命令行中执行 包含两种子特性,其一是文件的访问权 命令:passprop/adminlockout。 2 Wind0s2000用户权限 用户权限分为共享文件夹权限和 限优先文件夹的权限,也就是说文件权 限可以越过文件夹的权限.不顾上一级 1 Windows2000用户账号 Windows2000户账号,包括用户 账号、内置账号和域用户账号。下面仅 就用户账号和内置账号进行讨论。 文件夹的设置。另一特性就是“拒绝” NTFS权限。在进行权限控制时,要注意 权限优先其它权限,也就是说“拒绝” 以下几点: 1.1将Guest账号禁用,同时重命名为 一权限可以越过其它所有其它权限,一旦 个复杂的名字,增加口令,并将它从 2.1权限具有继承性。权限的继承性就 选择了“拒绝”权限,则其它权限也就 Guest组删掉。因为有的黑客工具正是利 是下级文件夹的权限设置在未重设之 不能起任何作用,相当于没有设置,下 用了Guest的弱点,可以将账号从一般用 前是继承其上一级文件的权限设置的, 面具体给出这两种子特性: 户提升到管理员组。 也就是如果一个用户对某一文件夹具 2.3.1文件权限优先文件夹权限 1.2确认“Administrator”账号具有一 有“读取”的权限,那么这个用户对这 + + 如果一用户USER1对文件夹F0ld— 个强健的口令。Windows2000允许我们 个文件夹的下级文件夹同样具有+ “读 erA的访问权限为只读类型的,在这个文 设置口令的长度可达127位。通常情况 取”的权限,除非你打断这种继承关系, 下,长口令要比短口令强健,包含多种 重新设置: + :件夹下面有一个Fiel1文件,我们可以对 这个文件Fiel1设置权限为“完全控制” + 字符类型(指口令中包含字母、数字、标 2.2权限具有累加性。权限的累加性具 型。而不顾它的上一级文件FolderA的权 +:+:+:+:+:+:+:+:+:+: 点符号或者非打 ̄I7ASCII码)的口令要 体表现在以下两个方面: 字或者全部是字母)强健。所以,要实现 累加决定。如一个组GROUP1中有两个 最大的保护功能,就要为“Administrator” 限设置情况。 比单一字符类型口令(指口令全部是数 2.2.1工作组权限由组中各用户权限 2.3.2 “拒绝”权限优先其它权限 这种情况我们可举这样一个例子, 和组GR0UP2,其中组GROUP1对一个文 用户USER1、USER2,它们同时对某文件 就是一个用户USER1同属于组GROUP1 账号创建至少9位长度的口令,并使口 或文件夹的访问权限分别为“只读”型 令中的前7位中至少包含一个标点符号 的和“写入”型的,那么组GROUP1对该 件Filel(或文件夹)的访问权限为“完 或者非打印字符(按住ALT键再输入小 文件或文件夹的访问权限就为USER1 全控制”,而用户GROUP2对这个文件 键盘数字产生的特殊字符)。 和USER2的访问权限之和。实际上是取 Filel的访问权限设置为“拒绝访问”. 1.3 口令必须定期更改(建议至少两 其最大的那个,即“只读”+“写入”= 那么根据这个特性USER1对文件File1 周改一次)。口令最好记在心里,除此以 “写入”。 的访问权限为“拒绝访问”类型,而不 外不要在任何地方做记号。另外,如果 2.2.2用户权限由所属组权限的累加 管工作组GROUP1对这个文件设置什么 在日志审核中发现某个账号被连续尝 决定。如一个用户USER1同属于组 权。 试,则必须立刻更改此账号(包括用户 名和口令)。 GROUP1和GR0UP2,而GROUP1对某一 2.4权限的最小化原则 文件或文件夹的访问权限为“只读”型 它可以尽量让用户不能访问或不 6GROUP2对这一文件或文件夹的 必要访问的资源得到有效的权限赋予 1.4设置用户账号锁定策略。用户账号 的,r锁定是指当一个账号登录失败的次数 访问权限为“完全控制”型的,则用户 40 限制。 新疆气象2006-w,-第29卷第1期