2003域中限制用户安装和卸载软件的权限

在win2003的域环境下，组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题，使管理员的日常维护效率大大提高，但世间万物皆有利弊，同样人也一样会犯错误，在日常的维护工作中，由于管理员的疏忽操作导致的各种问题比比皆是。

下面我们就来讨论一种看似比较棘手的情况。

在win2003中，当某个域中的用户或本地用户被策略拒绝了本地登陆的权限，当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”，使得用户无法登陆本地计算机，同样也不能登陆域，通常遇到这种问题，我们的解决办法是，用管理员账号登陆域控制器，修改一下策略，把此用户从“拒绝本地登录”列表中删除即可，但如果由于人为的操作失误，管理员把所以用户的本地登陆权限都禁止了，导致了域中所有用户都不能本地登陆域内计算机（包括域管理员以及本地管理员），这种情况就比较棘手了，我们用什么方法能解决这看似不能解决的问题呢？通过查询相关资料以及测试，我们知道所有策略的设置都保存在域控制器（DC）的windows文件夹下的sysvol文件夹下，以GUID为文件夹名，其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GU ID\MACHINE\Microsoft\windows NT\SecEdit\GptTmpl.inf 这个文件中，这是一个文本文件，能通过记事本编辑，要解除对所有用户本地登录限制，我们只需修改这个文本文件，把拒绝登陆的相关信息删除就OK了，而在默认情况下，存放策略设置的sysvol这个文件夹在DC上是被共享的，那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹，远程修改GptTmpl.inf文件，从而解除本地登陆限制呢，下面我们就用虚拟机来做个实验，来模拟一下这样的网络环境，看看能不能达到我们预想的效果。

通过查询资料得知：➢默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9➢默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9实验的拓扑环境如下：先部署一个域 ，用物理机做DNS，IP为192.168.11.1域中有两台计算机，Florence为DC，Berlin为加入域的一台成员服务器，Perth为一台工作站。

Windows 2003 FSO权限设置第一步是有别于Windows 2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组(图1)，并重启计算机经过这样设计后，FSO木马就已经不能运行了。

如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。

下面以实例来介绍(假设你的主机上E盘Abc文件夹下设站点)：1.打开“计算机管理→本地用户和组→用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。

2.右击E:\Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样)，删除Everyone的完全控制(如果不能删除，请点击[高级]按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有)，添加 Administrators及Abc用户对本网站目录的所有安全权限。

3.打开IIS管理器，右击主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击身份验证和访问控制的[编辑]，弹出图2所示对话框，匿名访问用户默认的就是“IUSR_机器名”，点击[浏览]，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。

经过这样设置，访问网站的用户就以Abc账户匿名身份访问E:\Abc文件夹的站点，因为Abc账户只对此文件夹有安全权限，所以他只能在本文件夹下使用FSO。

---------------------------------------------------------------------------------现在绝大多数的虚拟主机都禁用了 ASP 的标准组件：FileSystemObject，因为这个组件为 ASP 提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作（当然，这是指在使用默认设置的 Windows NT / 2000 下才能做到）。

windows 2003文件服务器详细权限设置window server 2003文件服务器要求达到如下目标：1．网络管理员对所有共享文件夹都拥有完全控制权；2．所有员工对公共文件夹只拥有读取权限；3．每位员工只对自己的私人文件夹拥有完全控制权，且不能读取其他员工的文件夹；4．每位员工所能使用的磁盘空间有一定限制，并且已用空间达到一定程度后会得到警告。

创建用户和文件夹：根据经理提出的目标，阿昊首先为每位员工创建用户账户，并且在磁盘的NTFS分区中规划合理的文件夹结构。

私人文件夹以员工姓名命名，在域中添加用户的过程简述如下：1. 依次单击“开始/管理工具/Active Directory用户和计算机”，在打开窗口的左窗格中右击“Users”容器，执行“新建/用户”命令。

2. 在打开的“新建对象→用户”对话框中键入用户登录名（如“hongxiaowei”）和用户的全称（如“洪晓卫”）。

单击“下一步”按钮，在密码设置选项卡中设定密码并依次单击“下一步/完成”按钮。

重复此过程创建其他用户（如图1）。

图1 创建用户账户安装文件服务器：因为在默认情况下Windows Server 2003并没有安装“文件服务器”组件，因此阿昊手动将这些组件添加了进来。

1. 依次单击“开始/管理工具/管理您的服务器”，打开“管理您的服务器”窗口。

在“管理您的服务器角色”区域中单击“添加或删除角色”按钮，进入配置向导并单击“下一步”按钮。

2. 配置向导检测完网络设置后打开“服务器角色”选项卡。

在“服务器角色”列表中选中“文件服务器”选项，并单击“下一步”按钮。

3. 在打开的“文件服务器磁盘配额”选项卡中勾选“为此服务器的新用户设置默认磁盘空间配额”复选框，然后根据磁盘剩余空间及用户实际需要在“将磁盘空间限制为”和“将警告级别设置为”编辑框中键入合适的数值。

另外，勾选“拒绝将磁盘空间给超过配额限制的用户”复选框，可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。

卸载域控制器前两天朋友遇到一个问题卸载与控制器时别拒绝卸载，我的朋友很着急我几天写这篇笔记就教大家两种卸载域控制器的方法。

第一种是正常卸载，用dcpromo这条既能升域又能降域的命令。

第二种方法是强制降域这就比较麻烦了下面我们一一介绍一下这两种方法第一种降域方法：开始=》运行=》打上命名dcpromo 点击确定如图：1.2.下一步：删除Active Directory 如果这不是最后一台域控制器就不要在（这服务器是域控制器的最后一个域控制器）前打勾如图：3.下一步要求你输入一个密码注意这个密码将来是本地管理员的密码，这台机器一经卸载就不成为域控制器的身份出现了所以这个密码是本地管理员的密码！如图：4.下一步删除活动目录（Active Directory）成为成员服务器如图：5.卸载成功！这时它能够正常的找到它的复制伙伴告诉它已经不是域控制器了下次复制活动目录不要找它了。

下面我向大家介绍一个强制卸载。

这种方法是我推荐的方法域控制器能够正常复制我们最好使用第一种方法，但是在日常的工作中都是域控制器与其它服务器失去联系，活动目录不能正常复制，域控制器失去存在的意义了我们才会去卸载它，当我们卸载失去联系的域控制器，会看到一个错误提示：（无法联系到此域的其它Active Directory域控制器），这就话就是告诉我们域控制器将无法正常复制活动目录（Active Directory）。

正常的卸载在上面说过其它Active Directory域控制器能够得到这台别卸载的域控制器的消息，会告诉KCC这台服务器已经不是域控制器了下一次复制不需要在寻找着台服务器，正常卸载会自动告诉它的复制伙伴，一但强制卸载就是告诉我们已经寻找不到自己的复制伙伴，我们要手动告诉这台服务器卸载的消息。

强制卸载步骤1. 开始=》运行=》打上命名dcpromo /forceremoval下一步：强制删除（Active Directory）下一步设置一个本地管理员密码：下一步：不通知复制伙伴自行降域。

如何用组策略禁止用户安装程序及删除程序（包括系统管理员也要禁止）？运行gpedit.msc用户配置-->控制面板-->添加或删除程序-->删除"添加或删除程序",改为已启用防止用户使用“添加或删除程序”。

这个设置从“控制面板”删除“添加或删除程序”并从菜单删除“添加或删除程序”项目。

“添加或删除程序”允许用户安装、卸载、修复并添加和删除Window s 2000 Professional 的功能和组件以及种类很广的Window s 程序。

发行或分配给用户的程序出现在“添加或删除程序”中。

如果停用或不配置这个设置，所有用户都可以使用“添加或删除程序”。

处于启用状态时，这个设置的优先级高于这个文件夹中的其它设置。

这个设置不防止用户用其它工具和方法安装或卸载程序。

内置管理员帐号是不可以降级的。

只可以禁用。

组策略中没有这样的设置，可以结合楼上的说法，禁用内置管理员帐号，给用户普通用户权限【软件限制策略】即可实现。

软件限制策略更多地应用到已经安装的程序，用来阻止其运行。

你可以尝试添加这样几条条策略：文件名为*setup*.exe，阻止；文件名为"*.msi"，阻止。

这样字就可以阻止微软Windows Installer安装程序格式的安装包进行安装，但是缺点是如果是E XE可执行文件进行的安装，那么用户将Setup.exe改名即可以安装了。

软件限制策略：不允许----所有，只允许----特定。

自然就无法安装软件了。

原帖由pils于 2008-11-16 22:42 发表软件限制策略：不允许----所有，只允许----特定。

自然就无法安装软件了。

不可以的，不允许的优先级要高于允许策略。

▉▉▉▉▉▉▉▉▉▉▉▉▉ 99%运行services.msc运行services.msc，将Windows Installer设为已禁用即可。

组策略中"禁止用户安装"为什么不起作用？在我的工作中我不想让别人在我的电脑上安装其他的软件，我于是我打开"组策略"(gpedit.msc)-->"计算机配置"-->"管理模板"-->"Windows组件"-->"Windows Installer"下启用"禁止用户安装".可是计算机重起后，我试着安装软件还是能安装上，我不想通过在“管理员”设置一个受限用户来控制这种情况！请问怎样通过组策略或其他的技巧来实现，谢谢！Windows Installer 是系统的一个安装服务程序，它负责由应用程序启动的安装服务。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。