CUCM用户账户
CUCM用户账户
一、用户账户类型
?End Users(终端用户):
终端用户和用户个人相关联,并拥护交互式登入功能。
?Application Users(应用用户):
应用用户是与应用相关联的用户,用户在使用某种应用时,需要想CUCM进行认证才能使用这些应用。
二、用户权限级别
CUCM可以为终端用户和应用用户分配用户特权级别。
管理员可以通过一下两个步骤来配置用户特权级别:
?User groups:用户相似特权级别的终端用户和应用用户的集合。
?Roles:指某个应用的资源。
每个角色都专指某一个应用,而每个应用都有一个或者多个资源。管理员要在角色配置中,针对每个应用资源来分别配置访问特权。然后把角色分配到用户组中。
CUCM中有很多的默认角色,这些默认的角色称为standard role。如下图:
CUCM中也有很多的默认的用户组,这些组称为标准用户组,如下图:
三、用户管理
管理员可以通过一下的方法来实施CUCM中的用户管理:
?CUCM Administration:直接在UC服务器中进行管理,适合少量的用户管理。
?BAT(批处理):管理可以使用BAT工具来插入、更新和删除大量用户。
?LDAP:使用专门的目录服务器(例如Windows Server AD)来同步CUCM中的用户
账户。
在使用LDAPv3时,可以使用LDAPv3的同步功能和LDAPv3的认证功能:
?LDAPv3同步:将目录服务器中的用户账户直接复制到CUCM的数据库中。当启用的
LDAPv3同步功能后,管理员是不能通过CUCM Administration工具来修改用户数据的。只能在目录服务器中进行修改,然后同步给CUCM数据库。
?LDAPv3认证:启用LDAPv3的认证功能后,除了密码以外的用户信息是会从目录服
务器复制到CUCM数据库的,而密码是保留在目录服务器上的。
四、轻量级目录访问协议(LDAP)
管理员可以使用LDAP在目录服务器上集中化管理用户账户,CUCM支持一下目录服务器:?Microsoft AD;
?Netscape;
?iPlanet;
?Sun ONE
CUCM支持两种类型的LDAPv3集成:
?LDAPv3同步;
?LDAPv3认证;
注:应用用户不会受LDAPv3集成影响。管理员还是要通过CUCM Administration页面来配置应用用户,而且应用用户的数据总是存储在CUCM配置数据库中。
Cisco Dirsync进程用于同步用户属性。LDAPv3同步不允许管理员通过CUCM Administration页面添加或者删除用户。终端用户的添加和删除行为只能在目录服务器中执行。用户及其相关的个人信息会由LDAPv3复制到CUCM中,用户的个人参数在CUCM 中多数为只读属性,但是用户的密码和CUCM设置必须在CUCM Administration中完成。
同步协议(synchronization Agreements):
LDAPv3在Microsoft AD中是以完全同步(完整更新)的方式来更新CUCM数据库的,而其他的目录服务器都是使用的增量更新的方式。同步协议必须使用相同的方式来更新,在
同一个CUCM集群里,不运行Microsoft AD与其他的LDAPv3目录服务器之间执行同步。CUCM服务器中的user ID必须和一个LDAPv3用户属性(例如,uid、mail、telephone Number等)相映射,而且这个识别符在所有用户中必须是唯一的。LDAPv3服务器中的sn数量后必须填入相应的数据,否则该条记录就不会被导入,如果在向CUCM数据库中导入终端账户时,所使用的主要属性与CUCM数据库中的应用用户想比匹配,那么导入过程就会跳过该用户。
五、实验:创建不同管理级别的终端用户账户
1.实验目的:
创建两个不同的管理账户,一个拥有所有权限,一个拥有只读权限。
2.实验步骤:
Step 1:进入Cisco Unified CM Administration页面
Step 2:选择Users Management End User
Step 4:返回上级菜单,并点击Find来查看上一步创建的两个账户。
Step 5:进入User management User Group页面,点击Find来查看系统中默认的用户组。
Step 6:选择Standard CCM Super Users用户组。
Step 7:在组配置界面里,选择Add End Users to Group来添加一个或者多个用户账户。
Step 8:点击Permission来查看用户账户的权限。
Step 9:将User02从Standard CCM Super Users组中删除,并用同样的方法加入到Standard CCM Read Only组,并查看用户权限。
Step 10:log off系统,然后使用User01和User02账户来登入系统,并做测试。六、实验:LDAPv3同步CUCM数据库
1.实验目的:
使用Microsoft AD来同步CUCM数据库。
2.实验环境:
3.实验步骤:
Step 1:安装Windows 2003 Server Active Directory。
Step 2:在AD中添加一个user04的账户。
Step 3:进入Cisco Unified Serviceability页面,激活Cisco DirSync服务。
Step 4:(可选)进入Cisco Unified CM Administration→System→Service Parameter 页面,对Cisco DirSync的参数进行设置。
Step 5:进入Cisco Unified CM Administration→System→LDAP→LDAP system页面,配置LDAP目录服务器的类型以及那个LDAP属性和CUCM中的User ID相映射,默认为Microsoft Active Directory。
Step 6:进入Cisco Unified CM Administration→System→LDAP→LDAP Directory页面,配置LDAPv3的同步目录。
Step 7:在LDAPv3同步目录中设置同步时间
Step 8:在User management End Users中查看用户是否从目录服务器复制成功。
电脑权限设置
红客必学:Windows下的权限设置详解 作者:不详来源于:123搜搜软件园软件破解商业破解行业软件发布时间:2005-8- 9 10:08:19 随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,W EBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO! 要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/20 03。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。 DOS跟WinNT的权限的分别 DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。 Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。 Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
域用户与组账户的管理
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.360docs.net/doc/5414107618.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.360docs.net/doc/5414107618.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/5414107618.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
用户帐户及口令管理办法
信息系统用户及口令管理办法 第一章总则 第一条目的:为规避风险,杜绝安全隐患,进一步规范XX银行(以下简称“我行”)生产系统、测试环境和开发环境的用户及口令管理,特订定本办法。 第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。 第三条范围:本管理办法适用于我行及所辖分、支行。 第四条定义 (一)生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务、外币业务、大小额支付、交换中心、银联前置等银行对外营业的各种核心业务系统。 (二)管理信息系统:指我行从事日常办公及信息管理的计算机网络系统,具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。 (三)生产系统:包括生产业务系统和管理信息系统。 (四)开发环境:指我行所有进行开发的系统环境。 (五)测试环境:指我行所有进行测试的系统环境。 (六)系统管理员:我行科技信息部各系统硬件及软件的系统管理人员。 (七)数据库管理员:我行科技信息部各系统的数据库管理人员。 (八)应用系统管理员:我行科技信息部各系统的应用维护人员。 (九)测试人员:我行各测试系统的测试人员。 (十)开发人员:我行各应用系统的开发人员。 第五条遵循原则 (一)预防性原则:遵循以预防为主、防患于未然的原则,预防案件、事故的发生。 (二)可审计性原则:口令的过程必须保留痕迹,可被审计或追溯。
(三)有限授权原则:对任何人都不能授予过度的、不受监督和制约的权限。 (四)分离制约原则:每一次使用生产系统口令,都必须有两人同时参与,由双人分段管理口令。 (五)职责不相容原则:对不相容职责进行岗位分离。 (六)监督制约原则:针对口令的使用及记录,建立相应的监督检查机制。 第二章用户管理要求 第六条对于每个系统,应根据职责不相容原则,建立权责分离的业务矩阵表,定义系统不同用户组及其访问权限,包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。生产系统用户按照“知所必需”的存取控制原则,填写《用户权限申请表》,相关部门负责人审批通过后由系统管理人员操作。 第七条用户账号必须由运行维护中心负责人和系统管理员进行检查,确保用户不会被赋予互相冲突的权限。以下职责互相不相容,且应由不同人员担任: (一)系统开发 (二)测试 (三)系统运行维护管理 (四)系统安全检查 第八条对于每个生产系统,系统管理员、数据库管理员及应用系统管理员的授权必须由IT管理层审批,活动日志必须由信息定期审阅。应用系统管理员根据业务部门要求,维护用户权限并定期生成系统用户权限清单,交相应业务部门负责人审批确认,对于发现的不恰当权限及时修正。系统管理员维护操作系统的用户权限并定期生成用户权限清单,交部门负责人审批确定,对于发现的不恰当权限及时修正。 第九条禁止开发人员在正常情况下进入生产系统。只有在得到管理层批准执行紧急修复任务时,开发人员才能在运行维护中心的监控下临时进入生产系统,所有的紧急修复活动都应立即进行记录和审核。
来宾账户(guest)或者受限用户(user)的权限设置
当你的电脑经常需要被别人使用,但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时,你可以先以管理员身份登录Windows系统,参照以下几条作相应设置,然后开通来宾账户或者新建一个普通user账户(不是管理员,而是受限用户),让别人用这个账户登录系统,这时你就可以放心你的电脑任意让别人折腾。 一、限制用户对文件的访问权限 如果程序所在的磁盘分区文件系统为NTFS格式,管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下,一个应用程序安装到系统后,本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限,该用户也就失去了运行该应用程序的能力。 例如,要禁止受限用户运行Outlook Express应用程序,可以进行如下的操作: (1)、以administrator账户登录系统,如果当前系统启用了简单文件共享选项,需要将该选项关闭。具体做法是,在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”,点击“查看”选项页,取消“使用简单文件共享”选项的选择,点击“确定”。 (2)、打开Program Files文件夹,选中Outlook Express文件夹并单击右键,选择“属性”。(3)、点击“安全”选项页,可以看到Users组的用户对该文件夹具有读取和运行的权限,点击“高级”。 (4)、取消“从父项继承那些可以应用到子对象的权限项目,包括那些再次明确定义的项目”选项的选择,在弹出的提示信息对话框,点击“复制”,此时可以看到用户所具有的权限改为不继承的。 (5)、点击“确定”,返回属性窗口,在“用户或组名称”列表中,选择Users项目,点击“删除”,点击“确定”,完成权限的设置。 要取消指定用户对文件或程序的访问限制,需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。 这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提,那就是要求应用程序所在的分区格式为NTFS,否则,一切都无从谈起。 对于FAT/FAT32格式的分区,不能应用文件及文件夹的安全选项,我们可以通过设置计算机的策略来禁止运行指定的应用程序。 二、启用“不要运行指定的Windows应用程序”策略 在组策略中有一条名为“不要运行指定的Windows应用程序”策略,通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。设置方法如下: (1)、在“开始”“运行”处执行gpedit.msc命令,启动组策略编辑器,或者运行mmc命令启动控制台,并将“组策略”管理单元加载到控制台中; (2)、依次展开“…本地计算机?策略”“用户设置”“管理模板”,点击“系统”,双击右侧窗格中的“不要运行指定的Windows应用程序”策略,选择“已启用”选项,并点击“显示”。 (3)、点击“添加”,输入不运行运行的应用程序名称,如命令提示符cmd.exe,点击“确定”,此时,指定的应用程序名称添加到禁止运行的程序列表中。 (4)、点击“确定”返回组策略编辑器,点击“确定”,完成设置。 当用户试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中,仍然是不能运行的。要恢复指定的受限程序的运行能力,可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”,
Access表中各种属性的设置分析
ACCESS数据表中各个属性的含义、设置方法: 格式: Format 属性:可以使用Format属性自定义数字、日期、时间和文本的显示方式。Format属性只影响数据的显示方式,不影响数据的存储方式。String型,可读/写。 expression.Format expression 必需。返回“应用于”列表中的一个对象的表达式。 说明 可以使用预定义的格式,或者使用格式符号创建自定义格式。 Format对不同的数据类型使用不同的设置,对于控件,可以在控件的属性表中设置该属性。对于字段,可以在表“设计”视图或“查询”窗口的“设计”视图中(“字段属性”的属性表中)设置该该属性。也可以使用宏或Visual Basic。 注释在 Visual Basic 中,可输入对应预定义格式的子符串表达式或者输入自定义格式。Access 为“时间/日期”、“数字”和“货币”、“文本”和“备注”和“是/否”数据类型提供预定义格式,预定义格式与国家/地区设置有关。Access显示对应于所选国家/地区的格式,例如,如果在“常规”选项卡中选取“英语(美国)”,则1234.56 的“货币”格式是$1,234.56,如果在“常规”选项卡中选取“英语(英国)”,该数字将显示为£1,234.56。 如果在表“设计”字视图中设置字段的Format属性,Access使用该格式在数据表中显示数据。对窗体和报表上的新控件也应用字段的Format属性。 在任意数据类型的自定义格式中都可以使用以下符号: 不能将“数字”和“货币”型的数据类型的自定义格式符号与“日期/时间”、“是/否”或“文本”和“备注”格式符号混合使用。 如果在数据上定义了输入掩码同时又设置了Format属性,在显示数据时,Format属性将优先,而忽略输入掩码。例如,如果在表“设计”视图中创建了“密码”输入掩码,同时又为字段设
Windows_7用户控制策略调整和设置方法
Windows 7的用户账户控制(UAC)策略调整及设置方法 Windows 7的用户账户控制(UAC)策略调整及设置方法 大家在使用Vista的时候,很是厌烦VISTA每次弹出的UAC提示呢,那么在Windows 7上UAC功能又做了哪些调整呢,本文就跟大家一同了解Windows 7上UAC新策略及UAC的关闭及其他设置方法,详尽的WINDOWS 7中文版抓图会让你一目了然,如饮甘露。 用户账户控制(UAC)是VISTA引入的系统保护举措,这一举措就如同牛皮癣一样骚扰着每个VISTA用户,看来是盖茨深深意识到UAC的设计太过草率,有把用户当小白鼠的嫌疑。所以在WINDOWS 7上的UAC策略调整相当大。当然也可以认为是UAC在VISTA已经测试成果。 一、WINDOWS 7上UAC策略调整概要 在VISTA上,凡是涉及以下情况的,一律都会弹出UAC提示: 1、管理员身份运行程序 2、安装卸载任何程序,包括驱动程序及ACTIVEX控件 3、改变WINDOWS防火墙、UAC设置 4、配置WINDOWS更新、添加删除用户账户包括改变账户类型 5、家长控制、计划任务、查看或修改其他账户的文件或文件夹 6、磁盘碎片整理等等 在VISTA上均会弹出UAC提示,够是烦人的,而且在VISTA只有关闭和开启UAC可选项。到了WINDOWS 7,UAC策略做了大量调整,默认只对以管理员身份运行程序、安装程序、卸载程序(不全部)、驱动程序安装和卸载、ACTIVEX控件及UAC设置改变,才会弹出UAC提示。并且支持UAC的分级控制调整。Windows 7的UAC功能已经变得更为人性化一点。 实际上及时WINDOWS 7不提示,对于杀毒软件来说,都应该提示这些改变的。只是杀毒软件在右下角提示个小窗口,然后让用户选择操作,WINDOWS7直接全屏变灰,警示意味更为强烈一点而已。 二、WINDOWS 7 UAC控制图解及开启/关闭UAC方法 WINDOWS 7 UAC控制位置:控制面板——用户账户,里选择更改用户账户设置,如下图。 出现用户账户UAC控制设置窗口,如下图所示,UAC已经提供分级控制功能,总共有四个选项,分别是:始终通知、默认通知、程序修改通知和不通知。 另外,对于UAC的提示从外观上看有两种颜色区分:
系统账号管理制度
系统账号管理制度第一节总则
第一条为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁 用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁 用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原 则,对具体岗位做出具体的权限管理规定。 第五条信息技术部根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。
第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否 与其岗位一致,确保权限分配的合理性、必要性和符 合职责分工的要求。 第九条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号 或禁用用户账号权限,以使用户对其行为负责。一旦 分配好账号,用户不得使用他人账号或者允许他人使 用自己的账号。 第十条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。 第十一条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后,人力资源部需 通过邮件或书面的方式通知员工所属部门主管负责该 员工权限收回的工作。员工所属部门主管根据该用户
程序自动启动不弹出用户账户控制提示
1.什么是用户控制? UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限,可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。 2.用户控制的好处? 用户控制是解决系统安全的终极之道,使用UAC,应用程序和任务总是在非管理员帐户的安全上下文中运行,但管理员专门给系统授予管理员级别的访问权限时除外。UAC 会阻止未经授权应用程序的自动安装,防止无意中对系统设置进行更改。 既然用户控制这么好,那么该怎么打开呢?方法是: 设置-控制面板-用户账户和家庭安全-用户账户-更改用户账户控制设置,将滑块拉 到最上面(如果关闭就将滑块拉到最下面)
3.用户控制的坏处? 用户控制是微软解决系统安全推出的一项重要设置,它的初衷是好的,这对于保护我们 的计算机安全和数据起着很重要的作用,但是,安全必定伴随着麻烦,通过打开用户控 制来阻止来历不明的程序自动运行,从而保护我们的系统安全,但是,却对于我们信任的软件程序,打开时却常常弹出用户控制的提示让我们确认,对于这个提示通常会伴有一声巨响,让心脏不好的友友常常痛苦万分,而对于心脏比较好的友友也经常莫名其妙地心颤一下。 4.可否有两全之策? 对于有的友友来说,宁愿牺牲安全也要打造一方清爽的世界,所以,索性把用户控制给关闭了,但是伴随着系统的安全性问题就成了一个潜在的隐患。同时,对于关闭用户控制来说,将会导致诸如应用商店或者metro界面的IE浏览器打不开,而有的友友却希望安全第一,但却被频繁的提示弄得死去活来,心脏病复发。 那么,如何在保证用户控制打开保证系统安全的情况下而又不出现对于信任程序的频繁提示呢?方法就是: 第①步:对于信任的程序,如果打开时出现用户控制的提示(不提示就不用设置了),请在快捷图标上右键单击属性,在兼容性选项里勾选以管理员身份运行此程序。
来宾账号设置
一、把FAT32改成NTFS 依次点击“开始”→“运行”,输入“cmd”后回车打开“命令提示符”窗口。在命令提示符状态下键入“convert F:/FS:NTFS /V”,回车,这里的“F:”就是要转换文件系统的分区,参数“V”表示在转换时显示详细信息,可以不使用此参数。在重启电脑时,WinXP会自动先将F:盘转换为NTFS文件系统(会在进入系统前显示相关过程),然后再进入系统。 二、怎样设置来宾帐户的权限? 1、运行gpedit.msc打开组策略编辑器 2、在编辑器窗口的左侧窗格中逐级展开“计算机配置”——“Windows设置“— —“安全设置”——“本地策略”——“用户权限指派”分支 3、双击需要改变的用户权限。单击“增加”或”删除”,然后双击想指派给权限 的用户帐号。连续两次单击“确定”按扭 比如说你的来宾账户是 123,格试在下面 net localgroup administrators123 /add 用个记事本把上面那个复制,然后别存为然后,文件名为: 0.bat,保存类型:所有文件,然后又击你保存的0.bat 就行 三、输入法解决方法: 右键单击任务栏通知区域内输入法图标,在出现地菜单中点选"设置" 在出来的对话框中点"添加" 在出来"添加输入语言"对话框中的"键盘布局/输入法"中点旁边的下拉箭头,找到你想加的输入法,也就是你已安装的输入法,然后点"确定",关掉这个对话框后再点"应用"和"确定".就行了, 再用鼠标左键点击通知区域的输入法图标.找到你想用的输入法就行了. 在这之前你要用管理员帐户先安装你下载的输入法,也就是在所有用户里要有你才安装的输入法.然后再在来宾帐户里设置,就能用了. 1、怎么样启用来宾账户? 在XP系统中,我们可以使用下面的方法来启用来宾账户,打开开始菜单——设置——控制面板——用户账户。然后在弹出的用户账户的窗口中点击“Gus et”,然后选择“启用来宾账户”就可以了 2、如何删除来宾账户? 对着“我的电脑”单击右键“管理”,然后单击“本地用户和组”,在右边的用户里找到你新建的管理员,再对着它单击右键“删除”就可以了
AD中用户帐户属性userAccountControl
AD中用户帐户属性userAccountControl 在打开用户帐户的属性后,单击帐户选项卡,然后选中或清除“帐户选项”对话框中的复选框,则会将数值分配给UserAccountControl属性。分配给该属性的值通知Windows 已启用了哪些选项。 下表列出了可以分配的标志。不能针对用户或计算机对象设置某些值,原因是这些值只能由目录服务设置或重置。 若要禁用用户的帐户,请将UserAccountControl属性设置为0x0202 (0x002 + 0x0200)。在十进制中,它是514 (2 + 512)。
属性标志说明 ?SCRIPT - 将运行登录脚本。 ?ACCOUNTDISABLE - 禁用用户帐户。 ?HOMEDIR_REQUIRED - 需要主文件夹。 ?PASSWD_NOTREQD - 不需要密码。 ?PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志,但不能直接设置它。 ?ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。 ?TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限,但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。 ?NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。 ?INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域,此属性允许信任该系统域的帐户。 ?WORKSTATION_TRUST_ACCOUNT - 这是运行Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或Windows 2000 Server 并且属于该域的计算机的计算机帐户。 ?SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。 ?DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。 ?MNS_LOGON_ACCOUNT - 这是MNS 登录帐户。 ?SMARTCARD_REQUIRED - 设置此标志后,将强制用户使用智能卡登录。 ?TRUSTED_FOR_DELEGATION - 设置此标志后,将信任运行服务的服务帐户(用户或计算机帐户)进行Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行 Kerberos 委派,必须在服务帐户的userAccountControl属性上设置此标志。 ?NOT_DELEGATED - 设置此标志后,即使将服务帐户设置为信任其进行Kerberos 委派,也不会将用户的安全上下文委派给该服务。 ?USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准(DES) 加密类型的密钥。 ?DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行Kerberos 预先验证。 ?PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。 ?TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份,并作为该用户接受网络上其他远程服务器的身份验证。
字段属性的设置
字段属性的设置 一、 格式:决定改变数据显示与打印的格式 ? 针对某一数据类型而言的。 ? 不同数据类型其格式选择不同。 二、 默认值:加新记录在数据表中自动显示的值。默认值只是开始值,可在输入时改 变,其作用是为了减少输入时的重复操作。 ? 默认值必须与数据类型相匹配 ? 输入文本值时,可以不加引号 ? 可以使用表达式定义默认值, 如”Date()” 三、1.表达式:是许多Access 操作的基本组成部分,是产生结果的符号组合,这些符号包括标识符、运算符和值。 例如,可以使用下列表达式来显示“小计”和“运货费”控件的数值总和:= [小计] + [运货费] 2.何时使用表达式 ? 定义计算控件或字段,建立有效性规则,或设置默认字段值。 ? 建立筛选或查询中的条件表达式 ? 在VBA 程序中,为函数、语句和方法指定参数。 3.表达式的基本符号 [ ]:将窗体、报表、字段或控件的名称用方括号包围 #:将日期用数字符号包围 “”:将文本用双引号包围 &:可以将两个文本连接为一个文本串 !运算符:运算符指出随后出现的是用户定义项 . 运算符:随后出现的是 Access 定义的项。 注意:计算控件的表达式前必须有等号 (=)。 4.示例 1) “北京”、100 、#2008-3-12#、“北京”&“奥运”等于“北京奥运” 2) Forms![订单]![订单ID] 引用“订单”窗体上的“订单ID ”控件 3) Reports![发票] 引用“发票”报表 4) SELECT 雇员.雇员ID, 订单.订单ID FROM 雇员,订单
6.表达式举例 1. Sage BETWEEN 20 AND 23 等价于Sage>=20 and Sage<=23 2. Birthday BETWEEN #1980-1-1# AND #1990-1-1# 3. Sdept IN (“IS”, “MA”, “CS “) 等价于 Sdept=“IS” OR Sdept= “MA” OR Sdept=“CS” 4. Sname LIKE “刘%” 5. Sex=“男” or Sex=“女” 等价于Sex in(“男” ,“女” ) 6. Sage not >26 注意:在书写表达式时,一定要分清楚表达式中引入的数据类型。数据类型可通过字段的定义确定。 技巧:可利用“表达式生成器”通过选择输入表达式 五、有效性规则(一个表达式): 数据的有效性规则用于对字段所接受的值加以限 制,以保证数据输入的准确性。 ?有些有效性规则可能是自动的,如检查数 值字段的文本或日期值是否合法。 ?有效性规则也可以是用户自定义的: 如:Between#1/1/1970#and#12/31/2003#、”男” or ”女” ?可利用“表达式生成器”通过选择输入规则表达式 ?可利用“有效性文本”来设置输入错误时的提示。 例: 设置意义 <> 0:输入项必须是非零的数值。 > 1000 Or Is Null :输入项必须为空值或大于1000。 Like "A????“:输入项必须是5 个字符并以字母A 为开头。 >= #1/1/96# And <#1/1/97#:输入项必须是1996 年中的日期。 六、输入掩码:输入掩码为数据的输入提供了一个模板,可确保数据输入表中时具有正确的格式。
WIN7操作系统用户帐户控制功能
在家庭和公司环境中,使用标准用户帐户可以提高安全性并降低总体拥有成本。当用户使用标准用户权限(而不是管理权限)运行时,系统的安全配置(包括防病毒和防火墙配置)将得到保护。这样,用户将能拥有一个安全的区域,可以保护他们的帐户及系统的其余部分。对于企业部署,桌面 IT 经理设置的策略将无法被覆盖,而在共享家庭计算机上,不同的用户帐户将受到保护,避免其他帐户对其进行更改。 但是,很久以来,Windows 的用户一直都在使用管理权限运行。因此,软件通常都开发为使用管理帐户运行,并且(通常无意间)依赖于管理权限。为了让更多软件能够使用标准用户权限运行,并且帮助开发人员编写能够使用标准用户权限正常运行的应用程序,Windows Vista 引入了用户帐户控制 (UAC)。UAC 集成了一系列技术,其中包括文件系统和注册表虚拟化、受保护的系统管理员 (PA) 帐户、UAC 提升权限提示,以及支持这些目标的 Windows 完整性级别。我在我的会议演示文稿和 TechNet 杂志UAC 内部信息一文中详细讨论了这些内容。 Windows 7 沿用了 UAC 的目标,基础技术相对未做改变。但是,它引入了 UAC 的 PA 帐户可以运行的两种新模式,以及某些内置 Windows 组件的自动提升机制。在此文章中,我将论述推动 UAC 技术发展的因素、重新探讨 UAC 和安全性之间的关系、描述这两种新模式,并介绍自动提升的具体工作方式。请注意,此文章中的信息反映了 Windows 7 预发布版本的行为,该行为在许多方面与 beta 版有所不同。 UAC 技术 UAC 技术的最基本元素和直接效益在于它能使标准用户更方便地使用 Windows。演示示例展示了 Windows XP 和 Windows Vista 上有关设置时区的权限要求的不同之处。在Windows XP 上,更改时区需要管理权限,实际上,即使是使用时间/日期控制面板小程序查看时区也需要管理权限。 这是因为 Windows XP 未将更改时间(安全敏感的系统操作)与更改时区(只是影响时间的显示方式)区分开来。在 Windows Vista(和 Windows 7)中,更改时区不是一项管理操作,并且时间/日期控制面板小程序也将管理操作与标准用户操作进行了分隔。仅仅这一项更改就让许多企业能够为出差的用户配置标准用户帐户,因为用户将能够调整时区来反映他们的当前位置。Windows 7 进一步做出了改进,比如刷新系统的 IP 地址、使用 Windows Update 来安装可选的更新和驱动程序、更改显示 DPI,以及查看标准用户可访问的当前防火墙设置。 文件系统和注册表虚拟化在后台工作,可以帮助许多无意间使用管理权限的应用程序在没有管理权限的情况下也能正常运行。对于不必要地使用管理权限而言,最常见的情况是将应用程序设置或用户数据存储在注册表或文件系统中系统所使用的区域内。举例来说,某些旧版应用程序将其设置存储在注册表的系统范围部分 (HKEY_LOCAL_MACHINE/Software),而不是每用户部分 (HKEY_CURRENT_USER/Software),而注册表虚拟化会将尝试写入系统位置的操作转到 HKEY_CURRENT_USER (HKCU) 中的位置,同时保持应用程序兼容性。
Power Users账户具体权限
1:Power Users账户具体权限该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务,但不可访问NTFS分区上属于其他用户的私有文件. 2:受限用户 该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在的破坏性的任何修改. 3:其他用户 (1)系统管理员--有对计算机的完全访问控制权. (2)备份操作员不能根改安全性设置 (3)客人--权限同受限用户 (4)高级用户--权限同标准用户 在XP中设置用户权限按照一下步骤进行: Administrators组为管理员组(其成员拥有所有权限),Power Users组为超级用户组(其成员拥有除计算机管理以外的所有权限,可安装程序),User组为一般用户组(其成员只执行程序,不能安装和删程序) 在家庭里或者在单位中,可能都存在一机多用户共用的现象。根据各个用户的需要,合理设置相应的权限。在WinXP中,你可以轻松完成这些设置(以家庭中多用户使用权限的设置为例)。 一、禁止安装软件 如果孩子总是喜欢无休止地往电脑中安装游戏软件,那么你该如何禁止他们的安装权限呢?最有效的方法是为他们创建一个受限账户,这样,当孩子以自己的账户登录WinXP时,只能运行预先安装好的程序和存取属于自己的文件,对软件安装嘛,只能说拜拜了。创建受限账户Moon 二、账户管理好帮手——家庭成员组 倘若你想要让其他用户对自己的某个文件夹只具有读的权限,通常的做法是分别为每个账户赋权限。如果用户比较多的话,这样的做法比较麻烦,为了解决这个问题,就是创建一个家庭成员组,只要将其他账户添加到这个组中,然后再给这个组分配此权限,那么该组中的所有用户就都拥有了这个权限。创建组的具体步骤如下: 1新建组”命令,弹出“新建组”窗口。在“组名”框内输入“Home Member”,然后点击“创建”按钮即可创建一个组。 2接下来为该组填加成员,点击“添加”按钮,弹出“选择用户”窗口
用户账号管理制度
用户账号管理制度 为充分保护用户的个人隐私、保障用户账号,特制订用户账号管理制度。 1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。 2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。 3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外: ①违反相关法律法规或本网站服务协议规定; ②按照主管部门的要求,有必要向相关法律部门提供备案的内容; ③因维护社会个体和公众的权利、财产或人身安全的需要; ④被侵害的第三人提出合法的权利主张; ⑤为维护用户及社会公共利益、本网站的合法权益的需要; ⑥事先获得用户的明确授权或其它符合需要公开的相关要求。 4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密
码,严格保密,严禁向他人泄露。
5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标,也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,有义务立即通告本网站。 6、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。 严格执行本规章制度,并形成规范化管理,并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组,并确定至少两名安全负责人作为突发事件处理的直接责任人。 (注:文档可能无法思考全面,请浏览后下载,供参考。可复制、编制,期待 你的好评与关注)
局域网内设置计算机访问权限问题
局域网内设置计算机访问权限问题 1.检查guest账户是否开启 XP默认情况下不开启guest账户,因此为了其他人能浏览你的计算机,请启用guest账户。同时,为了安全请为guest设置密码或相应的权限。当然,也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。 2.检查是否拒绝Guest用户从网络访问本机 当你开启了guest账户却还是根本不能访问时,请检查设置是否为拒绝guest从网络访问计算机,因为XP默认是不允许guest 从网络登录的,所以即使开了guest也一样不能访问。在开启了系统Guest用户的情况下解除对Guest账号的限制,点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略,删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。 3.改网络访问模式 XP 默认是把从网络登录的所有用户都按来宾账户处理的,因此即使管理员从网络登录也只具有来宾的权限,若遇到不能访问的情况,请尝试更改网络的访问模式。打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾―本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。 这样即使不开启guest,你也可以通过输入本地的账户和密码来登录你要访问的计算机,本地的账户和密码为你要访问的计算机内已经的账户和密码。若访问网络时需要账户和密码,可以通过输入你要访问的计算机内已经的账户和密码来登录。 若不对访问模式进行更改,也许你连输入用户名和密码都办不到,//computername/guest为灰色不可用。即使密码为空,在不开启guest的情况下,你也不可能点确定登录。改成经典模式,最低限度可以达到像2000里没有开启guest账户情况时一样,可以输入用户名和密码来登录你要进入的计算机。也许你还会遇到一种特殊的情况,请看接下来的。 4.一个值得注意的问题 我们可能还会遇到另外一个问题,即当用户的口令为空时,即使你做了上述的所有的更改还是不能进行登录,访问还是会被拒绝。这是因为,在系统“安全选项”中有“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。在安全选项中,找到“使用空白密码的本地账户只允许进行控制台登录”项,停用就可以,否则即使开了guest并改成经典模式还是不能登录。经过以上的更改基本就可以访问了,你可以尝试选择一种适合你的方法。下面在再补充点其它可能会遇到的问题。 5.网络邻居不能看到计算机 可能经常不能在网络邻居中看到你要访问的计算机,除非你知道计算机的名字或者IP地址,通过搜索或者直接输入//computername或//IP。请按下面的操作解决:启动“计算机浏览器”服务。“计算机浏览器服务”在网络上维护一个计算机更新列表,并将此列表提供给指定为浏览器的计算机。如果停止了此服务,则既不更新也不维护该列表。 137/UDP--NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。
Windows AD域用户属性对照表(综合整理)
Windows AD域用户属性对照表(综合整理) “常规”标签 姓Sn 名Givename 英文缩写Initials 显示名称displayName 描述Description 办公室physicalDeliveryOfficeName 电话号码telephoneNumber 电话号码:其它otherTelephone 多个以英文分号分隔 电子邮件Mail 网页wWWHomePage 网页:其它url 多个以英文分号分隔 “地址”标签 国家/地区 C 如:中国CN,英国GB 省/自治区St 市/县L 街道streetAddress 邮政信箱postOfficeBox 邮政编码postalCode “帐户”标签 用户登录名userPrincipalName 形如: 用户登录名(以前版本)sAMAccountName 形如:S1 登录时间logonHours 登录到userWorkstations 多个以英文逗号分隔 用户帐户控制userAccountControl (启用:512,禁用:514 -- 512 + 2,密码永不过期:66048 -- 65536 + 512 ,用户禁用:66050 -- 65536 + 512 + 2) 帐户过期accountExpires “配置文件”标签 配置文件路径profilePath 登录脚本scriptPath 主文件夹:本地路径homeDirectory 连接homeDrive 到homeDirectory “电话”标签 家庭电话homePhone (若是其它,在前面加other。) 寻呼机Pager 如:otherhomePhone。 移动电话mobile 若多个以英文分号分隔。 传真FacsimileTelephoneNumber ip电话ipPhone 注释Info “单位”标签 职务Title 部门Department 公司Company
《互联网用户账号名称管理规定》全文
互联网用户账号名称管理规定 第一条为加强对互联网用户账号名称的管理,保护公民、法人和其他组织的合法权益,根据《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》和有关法律、行政法规,制定本规定。 第二条在中华人民共和国境内注册、使用和管理互联网用户账号名称,适用本规定。 本规定所称互联网用户账号名称,是指机构或个人在博客、微博客、即时通信工具、论坛、贴吧、跟帖评论等互联网信息服务中注册或使用的账号名称。 第三条国家互联网信息办公室负责对全国互联网用户账号名称的注册、使用实施监督管理,各省、自治区、直辖市互联网信息内容主管部门负责对本行政区域内互联网用户账号名称的注册、使用实施监督管理。 第四条互联网信息服务提供者应当落实安全管理责任,完善用户服务协议,明示互联网信息服务使用者在账号名称、头像和简介等注册信息中不得出现违法和不良信息,配备与服务规模相适应的专业人员,对互联网用户提交的账号名称、头像和简介等注册信息进行审核,对含有违法和不良信息的,不予注册;保护用户信息及公民个人隐私,自觉接受社会监督,及时处理公众举报的账号名称、头像和简介等注册信息中的违法和不良信息。
第五条互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。 互联网信息服务使用者注册账号时,应当与互联网信息服务提供者签订协议,承诺遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性等七条底线。 第六条任何机构或个人注册和使用的互联网用户账号名称,不得有下列情形:(一)违反宪法或法律法规规定的; (二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; (三)损害国家荣誉和利益的,损害公共利益的; (四)煽动民族仇恨、民族歧视,破坏民族团结的; (五)破坏国家宗教政策,宣扬邪教和封建迷信的; (六)散布谣言,扰乱社会秩序,破坏社会稳定的; (七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; (八)侮辱或者诽谤他人,侵害他人合法权益的; (九)含有法律、行政法规禁止的其他内容的。 第七条互联网信息服务使用者以虚假信息骗取账号名称注册,或其账号头像、简介等注册信息存在违法和不良信息的,互联网信息服务提供者应当采取通知限期改正、暂停使用、注销登记等措施。