administrator帐号用户配置
我电脑中安装的是Windows 2000Server版,最近误操作,发现Administrator这个用户名中的配置都消失了,里面有很多重要的内容,请问我该如何恢复这个用户和里面的内容?
其实Windows 2000并没有真正删除这个用户名下的所有配置,这个用户中的内容(配置文件)放在C:\Documents and Settings 文件夹下(假设 Windows 2000装在C盘中)。文件夹中还有几个子文件夹,分别对应不同的用户。您只要将里面名为Administrator的文件夹恢复一下就可以了,具体方法是: 1)在Windows 2000系统桌面上用鼠标左键单击“开始”-“程序”-“管理工具”-“计算机管理”。 2)打开“本地用户和组”,然后选择“用户”,接着从右边选择Administrator 这个用户,双击打开它的“属性”窗口。 3)然后选择“配置文件”页,在“配置文件路径”框内填入你要恢复的配置文件所在的路径(即 C: \Documents and Settings文件夹下的Administrator子文件夹),单击“确定”按钮保存并关闭窗口。 4)接着打开配置文件所在的目录,找到NTUSER.dat 文件,把它改名为NTUSER.man。
5)最后重新启动Windows 2000即可。
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
何在2003域中限制用户安装和卸载软件的权限,我应该怎么通过设置 策略实现? 可以考虑“power users”组,改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低,但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组,则应仔细地控制该组的成员,并且不要实现用于“受限制的组”设置的指导。 “受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置: 计算机配置\windows 设置\安全设置\受限制的组 通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上,管理员可以为gpo 配置受限制 的组。 如果某个组受限制,您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全 受限。只有通过使用安全模板才能使组受限。 查看或修改“受限制的组”设置: .打开“安全模板管理控制台。 注意:默认情况下,“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它,请启动microsoft 管理控制台(mmc.exe) 并添加“安全模板”加载项 2.双击配置文件目录,然后双击配置文件。 3.双击“受限制的组”项。 4.右键单击“受限制的组” 5.选择“添加组” 6.单击“浏览”按钮,再单击“位置”按钮,选择需浏览的位置,然后单击“确定”。 注意:通常这会使列表的顶部显示一个本地计算机。 7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。 单击“高级”按钮,然后单击“立即查找”按钮,列出所有可用组。 选择需要限制的组,然后单击“确定”。 单击“添加组”对话框上的“确定”来关闭此对话框。 对于所列出的组来说,将添加当前不是所列组成员的任何组或用户,而当前已是所列组成员的所有 用户或组将从安全模板中删除。 为完全限制“power users”组,此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组(例如“backup operators”组),建议您限制它。 如何使用组策略的进行软件分发和如何制作.msi文件?
Windows 7的用户账户控制(UAC)策略调整及设置方法 Windows 7的用户账户控制(UAC)策略调整及设置方法 大家在使用Vista的时候,很是厌烦VISTA每次弹出的UAC提示呢,那么在Windows 7上UAC功能又做了哪些调整呢,本文就跟大家一同了解Windows 7上UAC新策略及UAC的关闭及其他设置方法,详尽的WINDOWS 7中文版抓图会让你一目了然,如饮甘露。 用户账户控制(UAC)是VISTA引入的系统保护举措,这一举措就如同牛皮癣一样骚扰着每个VISTA用户,看来是盖茨深深意识到UAC的设计太过草率,有把用户当小白鼠的嫌疑。所以在WINDOWS 7上的UAC策略调整相当大。当然也可以认为是UAC在VISTA已经测试成果。 一、WINDOWS 7上UAC策略调整概要 在VISTA上,凡是涉及以下情况的,一律都会弹出UAC提示: 1、管理员身份运行程序 2、安装卸载任何程序,包括驱动程序及ACTIVEX控件 3、改变WINDOWS防火墙、UAC设置 4、配置WINDOWS更新、添加删除用户账户包括改变账户类型 5、家长控制、计划任务、查看或修改其他账户的文件或文件夹 6、磁盘碎片整理等等 在VISTA上均会弹出UAC提示,够是烦人的,而且在VISTA只有关闭和开启UAC可选项。到了WINDOWS 7,UAC策略做了大量调整,默认只对以管理员身份运行程序、安装程序、卸载程序(不全部)、驱动程序安装和卸载、ACTIVEX控件及UAC设置改变,才会弹出UAC提示。并且支持UAC的分级控制调整。Windows 7的UAC功能已经变得更为人性化一点。 实际上及时WINDOWS 7不提示,对于杀毒软件来说,都应该提示这些改变的。只是杀毒软件在右下角提示个小窗口,然后让用户选择操作,WINDOWS7直接全屏变灰,警示意味更为强烈一点而已。 二、WINDOWS 7 UAC控制图解及开启/关闭UAC方法 WINDOWS 7 UAC控制位置:控制面板——用户账户,里选择更改用户账户设置,如下图。 出现用户账户UAC控制设置窗口,如下图所示,UAC已经提供分级控制功能,总共有四个选项,分别是:始终通知、默认通知、程序修改通知和不通知。 另外,对于UAC的提示从外观上看有两种颜色区分:
Runas的使用方法 域用户没有管理员权限,但是很多的软件却必须有管理员权限才能运行,不论你如何将C:D:E的安全策略调整至域用户“完全控制”的安全策略,不运行就是不运行。 XP虽然停止更新,但仍然是公司的主力。最近装了几台win7的系统,这个域用户没有权限的问题更加突出。于是穷尽各种搜索终于有了收获。使用runas命令可以解决域用户没有权限的问题。 本文只对新手,像我这样半路出家来当IT的人,将自己的经验分享也是无上的光荣啊。 Runas命令简介: Runas允许用户使用其他权限运行指定的工具和程序,而不是当前用户登录提供的权限。 是不是很拗口,不错。说白了就是允许你在当前登入的用户名下使用管理员的权限。 不多说走起。 Win7就是好,控制面板—用户—选项下面多了个—凭据管理功能,让你不再每次运行的时候输入密码,一次输入永久使用。 以域用户要运行QQ软件为例: 1、首先确认你的win7系统的本地或者域管理员用户名和密码有效。或者是具 有和管理员同等权限的其他用户也可。假设我们现在举例的管理员名称和密码均是:admin,本机名称为:dell-PC,系统域名为:dellserver 2、在电脑桌面的空白处,右击鼠标---新建---快捷方式----输入一下命令: Runas /user:dell-pc\admin /savecred “D:/program files(x86)/Tencent/QQ.exe”或者 Runas /user:dellserver\admin /savecred “D:/program files(x86)/tencent/QQ.exe”
3、在新建的快捷方式图标上右键—属性—更换图标为QQ的图标 4、在安全选项卡中,设置当前用户的权限为“读取”,运行,不允许修改。 5、将快捷方式,复制到没有权限的域用户桌面双击运行弹出命令窗口: 输入管理员密码一次。以后便不用再输入了,系统已经记住凭据了。 注意事项:1. runas 后面的空格。 2./user:dell-pc\admin 管理员用户名的反斜杠。 3. /savecred 保存凭证 以上是自己的一点收获分享了。
1.什么是用户控制? UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限,可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。 2.用户控制的好处? 用户控制是解决系统安全的终极之道,使用UAC,应用程序和任务总是在非管理员帐户的安全上下文中运行,但管理员专门给系统授予管理员级别的访问权限时除外。UAC 会阻止未经授权应用程序的自动安装,防止无意中对系统设置进行更改。 既然用户控制这么好,那么该怎么打开呢?方法是: 设置-控制面板-用户账户和家庭安全-用户账户-更改用户账户控制设置,将滑块拉 到最上面(如果关闭就将滑块拉到最下面)
3.用户控制的坏处? 用户控制是微软解决系统安全推出的一项重要设置,它的初衷是好的,这对于保护我们 的计算机安全和数据起着很重要的作用,但是,安全必定伴随着麻烦,通过打开用户控 制来阻止来历不明的程序自动运行,从而保护我们的系统安全,但是,却对于我们信任的软件程序,打开时却常常弹出用户控制的提示让我们确认,对于这个提示通常会伴有一声巨响,让心脏不好的友友常常痛苦万分,而对于心脏比较好的友友也经常莫名其妙地心颤一下。 4.可否有两全之策? 对于有的友友来说,宁愿牺牲安全也要打造一方清爽的世界,所以,索性把用户控制给关闭了,但是伴随着系统的安全性问题就成了一个潜在的隐患。同时,对于关闭用户控制来说,将会导致诸如应用商店或者metro界面的IE浏览器打不开,而有的友友却希望安全第一,但却被频繁的提示弄得死去活来,心脏病复发。 那么,如何在保证用户控制打开保证系统安全的情况下而又不出现对于信任程序的频繁提示呢?方法就是: 第①步:对于信任的程序,如果打开时出现用户控制的提示(不提示就不用设置了),请在快捷图标上右键单击属性,在兼容性选项里勾选以管理员身份运行此程序。
http: 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答: 根据您的描述,我对这个问题的理解是: 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.
在家庭和公司环境中,使用标准用户帐户可以提高安全性并降低总体拥有成本。当用户使用标准用户权限(而不是管理权限)运行时,系统的安全配置(包括防病毒和防火墙配置)将得到保护。这样,用户将能拥有一个安全的区域,可以保护他们的帐户及系统的其余部分。对于企业部署,桌面 IT 经理设置的策略将无法被覆盖,而在共享家庭计算机上,不同的用户帐户将受到保护,避免其他帐户对其进行更改。 但是,很久以来,Windows 的用户一直都在使用管理权限运行。因此,软件通常都开发为使用管理帐户运行,并且(通常无意间)依赖于管理权限。为了让更多软件能够使用标准用户权限运行,并且帮助开发人员编写能够使用标准用户权限正常运行的应用程序,Windows Vista 引入了用户帐户控制 (UAC)。UAC 集成了一系列技术,其中包括文件系统和注册表虚拟化、受保护的系统管理员 (PA) 帐户、UAC 提升权限提示,以及支持这些目标的 Windows 完整性级别。我在我的会议演示文稿和 TechNet 杂志UAC 内部信息一文中详细讨论了这些内容。 Windows 7 沿用了 UAC 的目标,基础技术相对未做改变。但是,它引入了 UAC 的 PA 帐户可以运行的两种新模式,以及某些内置 Windows 组件的自动提升机制。在此文章中,我将论述推动 UAC 技术发展的因素、重新探讨 UAC 和安全性之间的关系、描述这两种新模式,并介绍自动提升的具体工作方式。请注意,此文章中的信息反映了 Windows 7 预发布版本的行为,该行为在许多方面与 beta 版有所不同。 UAC 技术 UAC 技术的最基本元素和直接效益在于它能使标准用户更方便地使用 Windows。演示示例展示了 Windows XP 和 Windows Vista 上有关设置时区的权限要求的不同之处。在Windows XP 上,更改时区需要管理权限,实际上,即使是使用时间/日期控制面板小程序查看时区也需要管理权限。 这是因为 Windows XP 未将更改时间(安全敏感的系统操作)与更改时区(只是影响时间的显示方式)区分开来。在 Windows Vista(和 Windows 7)中,更改时区不是一项管理操作,并且时间/日期控制面板小程序也将管理操作与标准用户操作进行了分隔。仅仅这一项更改就让许多企业能够为出差的用户配置标准用户帐户,因为用户将能够调整时区来反映他们的当前位置。Windows 7 进一步做出了改进,比如刷新系统的 IP 地址、使用 Windows Update 来安装可选的更新和驱动程序、更改显示 DPI,以及查看标准用户可访问的当前防火墙设置。 文件系统和注册表虚拟化在后台工作,可以帮助许多无意间使用管理权限的应用程序在没有管理权限的情况下也能正常运行。对于不必要地使用管理权限而言,最常见的情况是将应用程序设置或用户数据存储在注册表或文件系统中系统所使用的区域内。举例来说,某些旧版应用程序将其设置存储在注册表的系统范围部分 (HKEY_LOCAL_MACHINE/Software),而不是每用户部分 (HKEY_CURRENT_USER/Software),而注册表虚拟化会将尝试写入系统位置的操作转到 HKEY_CURRENT_USER (HKCU) 中的位置,同时保持应用程序兼容性。
域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”,选择“管理” b。选择“本地用户和组” c。选择“组”, d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务,双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5。在弹出窗口中,选择添加。 6。输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。需要修改服务,驱动,系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份,不属于管理员直接拒绝。 由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。
域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候,默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,Domain Users组只隶属于本地的Users组,在本地的administrators组中没有Doamin Users组;然而安装windows服务必须是本地administrators组中的用户才可以安装。
从上图中可以看到,Domain Admins组默认就是在本地的administratos组中
的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除,后果就导致了只有本地管理员能安装windows服务,域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务,就需要获得本地的administrators组的权限,有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中,然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1: 创建datong.vbs,内容如下: Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域(例如https://www.doczj.com/doc/aa10831038.html,)”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”
在公共网络被isql病毒远程攻击——电脑上启用SQL服务器和Guest用户的同学们注意!! 交待一下背景:最近在做毕业设计,笔记本上开启了Guest用户和SQLserver,这两个嫌疑最大。 本次被入侵的原因可能是以下之一: 1、 SQLserver的漏洞,被对方扫描到1433端口,而且是弱口令,于是通过SQL已有的注册表模块进行攻击(上网搜:isql 病毒)。 2、Guest用户没有加密码,也许被对方远程扫描到了,通过telnet登录了我的电脑(这个原因的可能性不大)。 被侵入的过程如下: 首先,360提醒我,有一个进程(其实这个是伪装的攻击)修改了注册表,增加了开机启动项。点击查看,启动项是一个cmd命令,进程是sqlsever。360默认允许了,于是我也没管。 然后不对劲了,360和杀毒软件Avast都开始报毒,说是有木马被植入,已经自动拦截——其实没有拦截住。(这是因为,此病毒一旦侵入,获取管理员权限,和杀毒软件的资格基本上平起平坐。而且刚才植入的木马进程,已经在后台开启了一个FTP连接,远程下载病毒到我的硬盘) 接着,Avast又报毒,说有一个backdoor后门程序被植入(如上文,刚下载的)。 打开任务管理器,发现后台运行着cmd.exe(命令控制台),ftp.exe(文件传输协议)。这两个进程是我没有默认开启的。 到这儿已经基本确定是被侵入了,立刻断网、关机。 ==========================分割线======================== ========== 重启之后,自动弹出一个cmd窗口,企图进行远程FTP连接(目的是下载病毒)——这儿挺幸运的,如果我的电脑是自动联网的,那么这个窗口会一闪而过,在后台运行,不易被察觉。 由于没有联网,所以这个病毒进程卡住了,说是FTP连接失败。 解决方法: 1、开机后按F8,进入安全模式,在C:\windows\system32目录里,找到isql文件夹,彻底删除。 2、重启,正常模式开机,打开控制面板,禁用Guest账户。 3、打开360,查杀木马,显示多了一个启动项,这个启动项的目的是通过打开cmd,在后台打开FTP传输——通过它来把病毒进一步下载到硬盘。 4、查看开机启动项,果然有一个shell(加壳的意思吧?),就是上面这句说的非法操作。于是果断把它删除。 5、开启windows防火墙。 6、把本机上SQL服务器的sa密码改掉。
【基本思路】 利用PE工具启动电脑,清除Administrator账号的密码,进而重新开机直接登录管路员账号。 [ 现在PE工具非常多,在此,我仅以其中一款为案例说明详细步骤] 一、制作前准备(注意:操作前备份好u盘数据) 1.电脑内存不能小于512MB 2.U盘的容量大于512MB 3.下载U盘启动盘制作工具 【老毛桃U盘启动盘制作工具Build20111206】下载地址: https://www.doczj.com/doc/aa10831038.html,:90/老毛桃WinPe-u盘版.rar 二、制作U盘启动盘 双击【老毛桃U盘启动盘制作工具Build20111206】,选择你的U盘,画面如下图:
点击“一键制成USB启动盘”按钮(注意操作前备份重要数据) 制作成功,如下图,此时可以拔出你的U盘
注意:由于U盘系统文件隐藏,你会发现u盘空间会减少330M左右,请不要担心此时没有制作成功
三、重启进入BIOS设置U盘启动(提示:请先插入U盘后,再进入BIOS) 在计算机启动的第一画面上按"DEL"键进入BIOS(可能有的主机不是DEL有的是F2或F1.请按界面提示进入),选择Advanced BIOS FEATURES ,将Boot Sequence(启动顺序),设定为USB-HDD模式,第一,设定的方法是在该项上按PageUP或PageDown键来转换选项。设定好后按ESC一下,退回BIOS主界面,选择Save and Exit(保存并退出BIOS设置,直接按F10也可以,但不是所有的BIOS都支持)回车确认退出BIOS设置。 四、进入【U盘启动盘制作工具】启动菜单界面 点击09即可清除原有Administrator账户密码了。
https://www.doczj.com/doc/aa10831038.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
通常来说,没有做什么特别的设定的话,都是手动加域,且使用的是管理员帐号,这种情况下是有风险的,容易被人记忆密码。所以,如果可以设置一个普通用户帐号,专门用来执行加域操作,就会降低此类风险。其实默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患。估计很多人都没有试过吧。 加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域或手动退域,原计算机帐号仍在的情况下加入域建立连接。第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同且权限是否一致。而退域,用任何帐号都可以。 下面错误只在本文范畴内,不讨论其他情况。 加域可能的报错A: 就是第二种情况时,加域帐号(权限)不一致。
可能的报错B: 超过普通用户将电脑加域的数值。 取消普通域用户帐号将计算机加入域的权限 域环境,默认普通用户默认能将10台计算机加入到域,如果在考虑到安全因素,需要更改默认设置。一般域内建立的用户默认都是Domain Users组里的,下面将介绍如何取消普通域用户帐号将计算机加入域的权限 方法/步骤 1、在PDC上单击“开始”-“所有程序”- “管理工具”打开“ADSI 编辑器”
2、在打开的ADSI编辑器右击-“连接到”-点击确定。 右键“DC=xxx DC="com" 单击“属性”
3 、找到“ms-DS-MachineAccountQuota”,将其数值由默认的10改成0
这样普通用户就不能将新电脑计算机加入域了。XP会提示“访问拒绝”,Win7会提示错误B(见文章开始部分)。 修改完毕不需要重新启动。即刻生效。 授权特定普通域用户将计算机加入域 进全局组策略修改。 这种情况下,此帐号的确可以在MachineAccountQuota=0的情况下将新
新手教教程:UAC(用户帐户控制)详解及如何关闭 此帖目地:让更多的新人们了解UAC(用户账户控制)并正确使用它。 适用范围:所有还不了解UAC(用户账户控制)的windows 7或Vista操作系统用户。完整内容: 1,什么时UAC 1.UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在 Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的 操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码。通 过在这些操作启动前对其进行验证,UAC 可以帮助防止恶意软件和间谍软件 在未经许可的情况下在计算机上进行安装或对计算机进行更改。 复制代码 2,什么情况下会出现UAC提示 2.1,程序需要您的许可才能继续
不属于Windows 的一部分的程序需要您的许可才能启动。它具有指明其名称和发行者的有效的数字签名,该数字签名可以帮助确保该程序正是其所声明的程序。确保该程序正是您要运行的程序。 2.2,一个未能识别的程序要访问您的计算机 未能识别的程序是指没有其发行者所提供用于确保该程序正是其所声明程序的有效数字签名的程序。这不一定表明有危险,因为许多旧的合法程序缺少签名。但是,应该特别注意并且仅当其获取自可信任的来源(例如原装CD 或发行者网站)时允许此程序运行。 2.3,此程序已被管理员阻止 这是管理员专门阻止在您的计算机上运行的程序。若要运行此程序,必须与管理员联系并且要求解除阻止此程序。建议您大多数情况下使用标准用户帐户登录计算机。可以浏览Internet,发送电子邮件,使用字处理器,所有这些都不需要管理员帐户。当您要执行管理任务(如安装新程序或更改会影响其他用户的设置)时,不必切换到管理员帐户。在执行该任务之前,Windows 会提示您进行许可或提供管理员密码。为了帮助保护计算机,可以为共享该计算机的所有用户创建标准用户帐户。当拥有标准帐户的人试图安装软件时,Windows 会要求输入管理员帐户的密码,以便在您不知情和未经您许可的情况下无法安装软件。
有四个类型,分别是本地、漫游、强制、临时。本地就是你的配置文件保存在本地计算机。漫游就是保存在你域控的文件夹中,强制也是保存在域控上,不过你对用户配置目录下做任何更改都不会上传到域控的那个文件夹上,也就是你做的更改不会保存到域控中。比如你要在桌面上新建一个文档,重启后就没有了。临时是遇到系统故障,或磁盘空间不足,系统就会临时建立一个配置文件,同样也是不保存的。 实验环境 使用VMW虚拟机,客户端为Windows XP SP2,服务器端为Windows Server 2003 SP2企业版。 首先将服务器端安装好活动目录,无需任何设置,默认安装即可,并将客户端加入到域。 下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User,我这里以“小五”为用户名,如下图
2、在服务器端建立保存用户配置文件的共享文件夹,本文在c盘建立了一个user文件夹,用来保存所有用户配置文件,然后再user文件夹下建立一个“小五”文件夹,用来保存“小五”用户的配置文件。这里面一定要注意权限的设置,在共享文件夹中的权限去掉everyone,然后找到我们域中的用户“小五”,给他所有权限。 3、进一步权限设置,如图
这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游,如图
192.168.1.201为我们的服务器,后面所接的“user/小五”为保存用户配置文件的共享文件夹 主文件夹相当于用户的“我的文档”,这里面映射到服务器上,更能保证用户文件安全性与可靠性。 现在配置基本完成,我们从客户端登录一下试试看
Windows Server 2008 R2 和Windows 7 中的审核增强功能支持对负责实现、维护和监视组织的物理和信息资产的现行安全的IT 专业人士的需要。 这些设置可以帮助管理员回答诸如以下内容的问题: ?谁正在访问我们的资产? ?他们正在访问哪些资产? ?他们在何时何地访问这些资产? ?如何获得访问权限? 安全意识和取证跟踪的期望是这些问题之后的重要动力。越来越多的组织审核员要求并评估该信息的质量。 是否有其他特殊注意事项? 很多特殊注意事项适用于与Windows Server 2008 R2 和Windows 7 中与审核增强功能关联的各种任务: ?创建审核策略。若要创建高级 Windows 安全审核策略,必须在运行Windows Server 2008 R2 或Windows 7 的计算机上使用 GPMC 或本地安全策略管理单元。(安装远程服务器管理工具之后,可以在运行Windows 7 的计算机上使用 GPMC。) ?应用审核策略设置。如果使用组策略应用高级审核策略设置和全局对象访问设置,则客户端计算机必须运行Windows Server 2008 R2 或 Windows 7。此外,只有运行Windows Server 2008 R2 或 Windows 7 的计算机才能提供“访问原因”报告数据。 ?开发审核策略模型。若要计划高级安全审核设置和全局对象访问设置,必须使用以运行 Windows Server 2008 R2 的域控制器为目标的 GPMC。 ?分发审核策略。开发包含高级安全审核设置的组策略对象(GPO) 之后,可以使用运行任何 Windows 服务器操作系统的域控制器对其进行分发。但是,如果无法将运行Windows 7 的客户端计算机放在单独的 OU 中,则应该使用 Windows Management Instrument ation (WMI) 筛选以确保仅将高级策略设置应用于运行Windows 7 的客户端计算机。 备注
简介 普通用户加入域后默认是在Domain Users 组里,该组中用户具有将10台计算机加入域的权限,在一些安全要求极高的企业是绝对不允许的,存在较高的风险,所以需要禁止普通domain users 组中用户加域权限;但是可能公司部门较多的时候需要有二级网管来负责普通的运维比如将某部门新入职员工计算机加入域,但是不能将超管的密码外泄所以需要专门用来加域的用户; Windows server 2003 禁用普通domain users组的加域权限(管理员账号不受此限制) 1. 在开始运行中输入adsiedit.msc或者输入mmc打开控制台,在控制台中添加adsiedit(如果提示找不到这个命令式因为没有安装SupportTools在2003系统光盘上可以找到D:\SUPPORT\TOOLS\SUPTOOLS.MSI) 2. 打开后依次展开图中指示,右击dc=accp,dc=com选择属性,找到ms-DC-MachineAccountQuota,其默认值为10,将此值改为0,并单击OK; Windows server 2008 禁用普通domain users组的加域权限(管理员账号不受此限制) 1. 使用管理员的账号登陆域控制器,开始>管理工具>ADSIEdit; 3. 右键ADSI编辑器,点击连接到,保持默认点击确定;
4. 在DC=benet,DC=com处右击属性(域级别),选择ms-DS-MachineAccountQuota属性,双击,修改其值为0,并单击OK; 微软指南 1. 微软帮助文档:https://www.doczj.com/doc/aa10831038.html,/kb/243327/zh-cn Windows server 2003授权特定普通域用户将计算机加入域 1. 打开AD管理工具,选择https://www.doczj.com/doc/aa10831038.html,(域级别),右击属性,选择委派控制
深入了解Windows7的用户账户控制(UAC) 在家庭和公司环境中,使用标准用户帐户可以提高安全性并降低总体拥有成本。当用户使用标准用户权限(而不是管理权限)运行时,系统的安全配置(包括防病毒和防火墙配置)将得到保护。这样,用户将能拥有一个安全的区域,可以保护他们的帐户及系统的其余部分。对于企业部署,桌面IT 经理设置的策略将无法被覆盖,而在共享家庭计算机上,不同的用户帐户将受到保护,避免其他帐户对其进行更改。 但是,很久以来,Windows 的用户一直都在使用管理权限运行。因此,软件通常都开发为使用管理帐户运行,并且(通常无意间)依赖于管理权限。为了让更多软件能够使用标准用户权限运行,并且帮助开发人员编写能够使用标准用户权限正常运行的应用程序,Windows Vista 引入了用户帐户控制(UAC)。UAC 集成了一系列技术,其中包括文件系统和注册表虚拟化、受保护的系统管理员(PA) 帐户、UAC 提升权限提示,以及支持这些目标的Windows 完整性级别。我在我的会议演示文稿和TechNet 杂志UAC 内部信息一文中详细讨论了这些内容。 Windows 7 沿用了UAC 的目标,基础技术相对未做改变。但是,它引入了UAC 的PA 帐户可以运行的两种新模式,以及某些内置Windows 组件的自动提升机制。在此文章中,我将论述推动UAC 技术发展的因素、重新探讨UAC 和安全性之间的关系、描述这两种新模式,并介绍自动提升的具体工作方式。请注意,此文章中的信息反映了Windows 7 预发布版本的行为,该行为在许多方面与beta 版有所不同。 UAC 技术 UAC 技术的最基本元素和直接效益在于它能使标准用户更方便地使用Windows。演示示例展示了Windows XP 和Windows Vista 上有关设置时区的权限要求的不同之处。在Windows XP 上,更改时区需要管理权限,实际上,即使是使用时间/日期控制面板小程序查看时区也需要管理权限。 这是因为Windows XP 未将更改时间(安全敏感的系统操作)与更改时区(只是影响时 间的显示方式)区分开来。在Windows Vista(和Windows 7)中,更改时区不是一项管理操作,并且时间/日期控制面板小程序也将管理操作与标准用户操作进行了分隔。仅仅这一项更改就让许多企业能够为出差的用户配置标准用户帐户,因为用户将能够调整时区来反映他们的当前位置。Windows 7 进一步做出了改进,比如刷新系统的IP 地址、使用Windows Update 来安装可选的更新和驱动程序、更改显示DPI,以及查看标准用户可访问的当前防火墙设置。
域控制器默认不允许普通域用户登录,如果你想修改此默认设置,需要编辑链接在“Domain Controllers”组织单元上的“Default Domain Controllers Policy”。 1. 如图3-163所示,在DCServer上,切换用户,点击“其他用户”。 2. 如图3-164所示,输入域用户和密码,点击“”登录。
图 3-163 切换用户图 3-164 普通用户登录 3. 如图3-165所示,出现提示:您无法登录,因为你使用的登录方法在此计算机上不允许。点击“确定”。可见默认域控制器的安全策略不允许普通域用户登录。 4. 如图3-166所示,以域管理员登录,打开“组策略管理”。右击“Domain Controllers”组织单元下的“Default Domain Controller Policy”,点击“编辑”。 提示:“Default Domain Controller Policy”组策略设置域控制器的本地安全策略。
图 3-165 不允许交互式登录图 3-166 编辑组策略 5. 如图3-167所示,在打开的组策略管理编辑器对话框,点中“计算机配置”à“策略”à“Windows设置”à“安全设置”à“本地策略”à“用户权限分配”,可以看到在详细窗口有“允许在本地登录”设置,双击“允许在本地登录”。 6. 如图3-168所示,在出现的允许在本地登录属性对话框,可以看到没有“Domain Users”组,因此普通域用户不能登录,点击“添加用户或组”。 7. 如图3-168所示,在出现的添加用户或组对话框,输入“essDomain Users”,点击“确定”。