K3在工作组和域环境下用户的权限分配参考
K3web环境部署(web中间层分开工作组模式)配置手册(1)
K3 HR WEB、中间层分开部署(工作组模式)配置手册目录1配置环境说明: (1)2配置安装步骤: (1)3中间层安装: (3)4WEB安装: (4)1配置环境说明:举例:数据库服务器:192.168.16.23中间层服务器:192.168.16.246Web服务器:192.168.17.252Web服务器和中间层服务器均属于workgroup工作组模式,非网络域模式,此说明文档均以Windows 2003 Server操作系统截图说明。
2配置安装步骤:1.建立信任用户:在中间层服务器和web服务器上均建立一个用户hrdmo (用于K3安装信任用户)图1:新建用户【建议:该用户的属性中设置该“用户不能修改密码”,“该用户永不过期”,避免其他因素导致密码修改或用户过期而无法使用K3系统】【强调:该用户(hrdmo)在中间层服务器和web服务器均要创建,且用户名和密码均要相同】图2:用户属性2.将该用户添加到Administrator用户组内,使其具有管理员的权限。
【理论上将hrdmo加入到Poweruser用户组即可,但基于windows的权限复杂性,如果允许,最好将该用户加入到administrator用户组中】图3:用户加入工作组3.分别在数据库服务器、中间层服务器和web服务器中做host解析:解析内容如图,必须在每台服务器上均做如下解析,否则安装完毕后,hrweb会出现无法访问的情况。
图4:host解析3中间层安装:1.在中间层服务器开始安装K3系统图5:K3安装2.选择对应的组件【注意:如果是分开部署安装,安装中间层服务器的时候请不要安装K/3人力资源系统服务部件,如果中间层也安装了人力资源系统服务部件,与web服务器上的人力资源服务部件可能会产生影响,特别是人事事务以及绩效管理的业务功能可能会出现事务处理部正确的情况】图6:组件选择3.中间层注册:与统一安装不同的地方在于你需要选择信任方式注册,设置用户hrdmo和对应的密码。
金蝶kis及K3成长版,标准版标准模块权限设置常见问题
K/3V10.3标准模块权限设置常见问题本期概述z本文档适用于 K/3V10.3 用户管理权限设置。
z本文档主要总结了客户应用标准物流和标准财务模块中对用户进行权限设置时的常见问题。
版本信息z2007年5月16日V1.0 编写人:余承松版权信息z本文件使用须知著作权人保留本文件的内容的解释权,并且仅将本文件内容提供给阁下个人使用。
对于内容中所含的版权和其他所有权声明,您应予以尊重并在其副本中予以保留。
您不得以任何方式修改、复制、公开展示、公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。
任何未经授权的使用都可能构成对版权、商标和其他法律权利的侵犯。
如果您不接受或违反上述约定,您使用本文件的授权将自动终止,同时您应立即销毁任何已下载或打印好的本文件内容。
著作权人对本文件内容可用性不附加任何形式的保证,也不保证本文件内容的绝对准确性和绝对完整性。
本文件中介绍的产品、技术、方案和配置等仅供您参考,且它们可能会随时变更,恕不另行通知。
本文件中的内容也可能已经过期,著作权人不承诺更新它们。
如需得到最新的技术信息和服务,您可向当地的金蝶业务联系人和合作伙伴进行咨询。
著作权声明著作权所有 2007 金蝶软件(中国)有限公司。
所有权利均予保留。
目 录1. 现金管理模块用户权限设置常见问题 (3)1.1 现金管理用户录入到结算方式时,提示没有权限 (3)2. 总账模块权限设置常见问题 (4)2.1 如何设置某用户只能查询到自己录入的凭证 (4)2.2总账参数设置的权限如何设置 (4)3. 报表模块权限设置常见问题 (5)3.1 某用户新增自定义报表,所有其他非系统管理员用户都无法修改该报表 (5)4.供应链模块权限设置常见问题 (5)4.1 对某用户授予了单据的查看权限,在序时簿双击打开单据时提示没有权限 (5)4.2通过查询分析工具制作报表,其他用户无法查询该报表,提示没有权限 (6)4.3参数选择“单据操作权限控制到操作员组”,查询不到任何单据 (7)4.4控制销售出库单不能查询到单位成本和成本字段,如何设置权限? (7)4.5控制某用户查询销售出库单时,不能查询到单位成本和成本字段,已经在功能权限管理-高级中,去掉了该用户的销售出库单的成本查看权限,但查询销售出库单时,仍能看到单位成本和成本字段 (7)4.6有采购模块的所有权限,做采购申请单库存缺货查询录入提示没有权限 (8)4.7盘盈单、盘亏单的权限在哪里设置 (8)4.8物料的禁用、反禁用权限如何设置 (8)5.权限引入引出问题 (8)5.1用户权限可否从一个账套引出到其他账套 (8)1. 现金管理模块用户权限设置常见问题1.1 现金管理用户,已经授予基础资料查询权和现金管理的全部权限,录入银行日记账,录入到结算方式时,提示没有权限,如图:问题原因:录入银行日记账的结算方式的前一字段字“摘要”,根据系统提示分析,该问题是因为没有总账的摘要库的查询权限造成的,因为通过Enter键来录入日记账时,当在“摘要”栏按Enter键时,系统会自动调出摘要库供选择。
K3在使用过程中出现常见错误代码,原因及解决方法
说明:1.以K3V10.2SP1为例,适用于K3V10.2,K3V10.2SP2,其他版本可做参考,2.中间层服务器的IP地址为192.168.1.250,网关的IP地址都为192.168.1.13.以工作组方式应用K3,中间层操作系统为WIN2000 SER,客户端操作系统为WIN2000或WIN XP,一、出现的错误代码1.错误代码:429 ActiveX部件不能创建对象原因:在客户端或中间层没有进行远程组件的注册,导致K3主控台与服务器不能进行远程通讯;解决方法:在客户端的“开始”菜单中选择程序—金蝶K3—远程组件配置工具,在弹出的对话框中,在“单一中间层服务器”栏输入中间层服务器的IP地址192.168.1.250,点击“确定”,不要点击“测试”;=========================================================== =====2.错误代码:462 远程服务器不存在或不可用原因:客户端与中间层之间的网络不通,或者虽然网络畅通,但在“单一中间层服务器”栏输入的中间层服务器的IP地址不是192.168.1.250,导致K3不能与真实的IP地址之间进行通讯;解决方法:a) 请先检查该机的IP地址是否是自动,如果是自动,请把它改为手动并输入192.168.1.XXX,子网掩码会自动设定为255.255.255.0,网关为192.168.1.1;b) 对WIN2000和WIN XP操作系统按如下操作进行:在开始—运行—录入CMD,然后点确定,在出现的DOS窗口中,录入PING 192.168.1.250 ,如果出现request timed out,则说明网络不通,请解决网络配置问题;c) 运行远程组件配置工具进行组件注册,方法同第1步;=========================================================== ======3.错误代码:70 拒绝的权限,原因:客户端的用户没有通过中间层服务器的身份验证,所以导致登录K3主控台时出现该提示,或者是中间层服务器/客户端上中了病毒,把分布式COM停止了;解决方法:a ) 该方法通常适用于一台或数台客户端不能登录的情况,不适用于所有的客户端不能登录的情况,首先,检查服务器上有无该客户端当前登录用户名,如有则可能是客户端的擅自更改了客户端的用户windows登录密码,该密码并未得到中间层服务器的认可,请改回原密码。
K3 Cloud_基础管理_用户角色权限操作规程
用户角色权限操作规程密级:★高★版本:1.0XXX股份有限公司金蝶软件(中国)有限公司2020年7月4日文档控制更改记录日期作者版本更改参考2013.5.18 湛剑V1.0姓名职位签字分发拷贝号姓名区域目录第一章:用户角色权限 (4)第一章:用户角色权限一、用户管理1、用户新增1)单体A、通过选择的角色确定其权限内容;B、通过联系对象类型(员工/供应商/客户)确定其用户身份,且可以查看具体信息;C、域用户是在使用域用户身份认证的方式时使用;D、企业开通云之家且登录后,用户录入云之家帐号的可以在云之家自动添加;E、可以使用用户帐号、用户名称、云之家帐号登录ERP系统,均使用用户的密码;2)多组织用户可以选择多个组织的多个角色2、用户密码策略1)密码规则A、设置规则:数字、特殊字符、字母三种规则组合使用且必须选中一个规则;要求密码中包含选定的规则即可,至于选定规则的前后顺序以及各自长度没有控制;B、最小长度:默认为6,可以录入6-20之间的整数数字;C、默认密码:是系统统一的用户密码,默认为888888,可以修改;D、密码规则调整后登陆强制校验:是修改密码规则后对使用修改前密码规则的用户在登录ERP系统时进行强制校验,要求改为符合修改后的密码规则才可以登录。
2)时效规则A、启用密码有效期控制:就是控制密码使用的有效天数B、启用密码到期前预警:就是密码有效期到期前提前预警C、启用修改密码有效期控制:就是控制密码修改的间隔天数,建议此处的天数比密码有效期短或者一致;D、启用修改密码到期前预警:就是密码修改有效期到期前提前预警E、设置密码不重复周期:就是控制密码重复的间隔天数3)控制规则A、使用系统生成密码登录系统时要求修改密码:就是使用默认密码登录ERP系统时要求用户修改登录密码;B、可以使用系统生成密码登录*次系统:就是控制使用默认密码登录系统次数C、登录系统时密码输入错误*次后自动锁定用户:就是控制用户输错*次密码后系统自动锁定用户,不允许其登录系统,目的控制其他使用者利用试错操作获取密码D、用户锁定*小时后自动解锁:就是控制用户被锁定*小时后自动解锁3、用户报表1)用户综合查询:查询用户的组织和角色情况2)用户登录情况:查询用户最后登录系统的情况二、角色管理1、角色新增1)单体A、类型:普通角色/系统管理员;普通角色是可以授权的角色,其可以进行业务操作;而系统管理员作为子管理员的形式存在,其只有系统管理的内容,可以设置其授权范围;B、授权范围:只对类型=系统管理员的角色有效;设置后该角色授权时只能在此范围进行授权;C、通过选择用户确定其使用范围2)多组织A、属性:公有/私有;公有角色只能administrator创建和维护,在全部组织上都可以使用;私有角色必须指定具体组织,在该组织下使用;2、角色查询:按照登录用户的组织范围显示角色数据,包括公有角色以及有权组织范围内容的私有角色。
金蝶K3 网络版(局域网)配置方法及原则
网络版(局域网)配置方法及原则所谓网络版就是将三层(数据服务器、中间层及客户端)以各种方式分布在多台PC上,典型的有以下三种:(一)安装模式¨单域方式适用模式1. 业务量不是很多的企业,服务器计算机最低配置为:P4 512M,客户机器最低配置为:PIII 256M内存。
2. 业务量大,服务器配置很高的企业进行集中式管理。
分布服务器:安装Windows2000 Server 操作系统,安装数据服务器和中间层服务器工作站:安装Windows2000 Pro,安装客户端软件。
¨事务管理器(多中间层)方式适用模式处理业务量很多,需要进行分布式处理的企业。
分布数据库服务器:安装Windows 2000 Server 操作系统;中间层:安装Windows 2000 server操作系统,该机也可作为客户机使用。
客户端:Windows 2000 pro及其以上版本。
¨网络分布式事务处理的方式适用模式所谓多个域,是针对一些集团公司的各个子公司分别建立自己的主域控制器,或者各个事业部分别建立自己的主域控制器等情况。
如果他们物理分布距离比较远,他们可以分别建立自己的数据服务器和中间层,然后通过电话线、DDN专线等传输数据至总部。
如果他们物理分布距离比较近(在一层楼或一幢楼里办公),他们可以共享数据服务器和中间层,也可以用采用多账套的方式,还可以分别建立自己的数据服务器和中间层。
分布安装的方式还可以有多种组合,例如:甲公司用一个数据服务器,但需要建三个账套,其他工作站不定时访问这三个账套。
现在我们可以在IBM 的服务器上安装NT Server 操作系统及数据服务器可建三套账,在A、B、C三台工作站上安装NT Workstation操作系统及中间层、客户端,D、E两台机上安装Windows9X操作系统及客户端。
D、E工作站可随意通过A、B、C三个中间层,访问数据服务器,A、B、C也可也可通过自己的中间层,也可通过其他中间层访问数据服器。
K3Cloud——K3cloud权限配置入门指南
K3cloud权限配置入门指南目录K3cloud 权限配置入门指南 (1)1.权限的简介 (2)1.1.功能权限简介 21.2.数据范围权限简介 21.3.F8基础资料权限简介 (3)1.3.1.F8基础资料的查看功能权限 (3)1.3.2.F8基础资料的数据范围权限 (3)2.权限设计 (3)3.功能权限 (4)3.1.业务场景 (4)3.2.实施人员配置功能权限 (4)3.2.1.新增角色 (5)3.2.2.角色授权 (5)3.2.2.1.子系统功能授权(针对模块) (5)3.2.2.2.业务对象功能授权(针对单据) (7)3.2.3.用户绑定角色 (9)3.3.二次开发人员怎么配置新增模块的功能权限 (9)3.3.1.创建权限对象 (10)3.3.2.在BOS IDE里配置单据对应的权限对象 (10)3.3.2.1.在BOS IDEM关联权限对象 (10)3.3.2.2.在BOS IDE里配置单据操作对应的权限项 (12)4.数据范围权限144.1.业务场景144.1.1.组织架构144.1.2.数据隔离需求144.2.实施人员配置数据范围权限154.2.1.设置数据规则154.2.1.1.设置业务员查看销售订单的数据规则154.2.1.2.设置业务员查看客户的数据规则164.2.1.3.设置业务经理查看销售订单的数据规则174.2.1.4.设置业务总监的数据规则184.2.2.设置角色能查看的数据范围 (18)4.2.2.1.设置业务员角色查看销售订单的数据范围194222 设置业务员角色查看销售订单下F8客户基础资料权限 (19)4.2.2.3.设置业务员角色查看客户基础资料的数据范围214.2.2.4.设置业务经理角色查看销售订单的数据范围224.3.BOS IDE配置数据规则的过滤比较符号 (22)1. 权限的简介K3cloud 权限分为两个维度:功能权限、数据范围权限。
1.1.功能权限简介功能权限是指用户在系统中能不能做某件事情,如业务员不能审核销售订单,销售经理可以审核销售订单,能不能审核销售订单就是一个功能权限。
K3网络配置一般方法
《2002年5月31日 – 6月1日》
K3网络典型故障
环境:win2000server 作为中间层和域控制器 客户端为win98,有部分为远程客户 win98客户端登录域使用K3 远程客户端经过多个路由器到达中间层 故障现象:远程win98客户端无法登录域,提示用户 名和密码错误,或者要登录多次才能登录域
K/3网络— 1. K3中间层就是域控 制器
此时应用最简单,正常安装 客户端登陆域即可正常使用
《2002年5月31日 – 6月1日》
K/3网络—2. K3中间层是普通成员服务器
要求:1.K3中间层必须以域管理员身份登陆 2.采用组件配置和Dcom配置以以域管理员身份登陆使用 K3组件
《2002年5月31日 – 6月1日》
《2002年5月31日 – 6月1日》
K/3 多中间层的配置方法
问题:业务压力扩大,单一中间层成为性能瓶颈
–
– –
帐套数量增加 并发用户数量增加 业务单据发生数量增加
解决: 1.分离中间层和数据层 2.增加中间层服务器数量(<3台)
缺点:客户端越多,配置越麻烦 维护成本加大
《2002年5月31日 – 6月1日》
《2002年5月31日 – 6月1日》
K3网络典型故障解决方法
解决方法: 1.在中间层本地连接的TCP/IP属性中设定WINS地址为本 身的IP地址 2.在远程win98客户端编辑Lmhosts和hosts文件,填写中间 层的IP地址和计算机,名称的对应关系 3.设定WINS地址为中间层服务器IP地址 4.禁用DNS设置 经过以上设置后,远程Win98客户端能正常登录域,K3元 程组件配置通过,能正常使用
K/3网络—工作组模式的应用
K3HR用户与模块的权限范围设置
K3HR用户与模块的权限范围设置
K3HR用户与模块的权限范围设置
一.用户权限设置与查看范围设置
在用administrator登陆,在系统管理--系统设置--用户与权限--功能操作权限--在右边关键字中输入对应的人员;
找到人员后,点左上角权限设置,设置对应的权限;或者是查看范围设置,增加想要查看的范围;增加完,再禁用默认的范围
二.模块功能对用户的查看范围及权限设置
1.用administrator登陆,系统管理--系统设置--用户与权限--功能操作权限--在右边关键字中输入对应的人员;
2.找到人员后,点左上角权限设置,然后在弹出来的界面中,关键中找到对应的模块,如要给异动单设置权限和范围,在关键字中输入异动所在的模块---职员管理
找到对应的模块后,点左上角的设置查看范围--增加想要查看的范围;增加完,再禁用默认的范围
三.K3HR自定义套打
用administrator登陆--统设置--自定义套打,这里打开按扭可打开想要修改的文件,修改完点发布,在打印时就能取到发布的文件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
K3在工作组和域环境下用户的权限分配参考<上一篇 | 下一篇>K3在工作组和域环境下用户的权限分配参考近来很多朋友和网友都问我,关于K3在工作组和域环境中,到底要给我们客户端用户在服务器上什么样子的权限呢.下面帮大家总结下:工作组: USERS权限并有修改注册表读写权限建议使用POWERUSER权限域:USERS权限并有修改注册读写表权限建议使用USERS权限加上backup组权限注册表修改权限如下:开始----运行----regedit----设置权限---设置用户的读写权限下面是对2000系统的用户权限细则参考,同时也可以应用与2003系统的用户分配对默认 Windows 2000 操作系统安装中内置组的默认组成员的必需更改和建议更改。
这些内置组具有用户权限和特权以及组成员的预定义集合。
五个内置组类型定义如下:• 全局组当建立 Windows 2000 域时,在 Active Directory 存储区中创建内置全局组。
全局组用来对整个域中使用的通用类型用户和组帐户进行分组。
全局组可以包含本机模式域中的其他组。
• 域本地组域本地组向用户提供特权和权限,以便在域控制器和 Active Directory 存储区中执行任务。
域本地组只在域中使用,不能导出到 Active Directory 树中的其他域。
• 通用组只可以在本机 Windows 2000 域中使用通用组。
可以跨整个目录林使用通用组。
• 本地组独立 Windows 2000 服务器、成员服务器和工作站都有内置本地组。
这些内置本地组向成员提供了只在此组所属的特定计算机上执行任务的能力。
• 系统组系统组没有可以修改的特定成员。
每个系统组用来代表特定用户类别或代表操作系统本身。
这些组是在 Windows 2000 操作系统中自动创建的,但在组管理 GUI 中不显示。
这些组只用于控制资源的访问权。
检查/修改域的组帐户成员身份• 访问域中的组帐户1.在域控制器中以管理帐户登录。
2. 从“开始”菜单,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和组”。
3.在控制台树中,双击域节点。
在“内置”和“用户”容器中可以找到组帐户。
图 8:内置帐户检查/修改独立或成员计算机的组帐户成员身份• 访问独立或单独域成员计算机中的组帐户1.使用管理帐户登录。
2. 从“开始”菜单,指向“程序”,指向“管理工具”,然后单击“计算机管理”。
3.在控制台树中,双击“本地用户和组”。
在“组”容器中可以找到组帐户。
图 9:组帐户注意:按表 24 中的建议设置组成员身份。
此表列出了默认组。
特定系统角色的选中标记指出此组是此系统类型的本机组,必须在此系统类型上进行管理。
更改帐户的主要组成员身份为了进行下表中标识的一些必需的组成员身份更改,您必须从特定组删除帐户。
为了与其他网络协议(例如 AppleTalk)兼容,帐户必须在域中有主要组分配。
因此,当计算机加入域时,您可能必须更改默认设置的帐户的主要组成员身份。
如果尝试从“Active Directory 计算机和用户”GUI 中的帐户主要组删除帐户,则操作将被拒绝,并显示以下消息:图 10:主要组删除消息•更改帐户的主要组1. 使用域控制器中的管理帐户登录。
2. 从“开始”菜单,指向“程序”,指向“管理工具”,然后单击“ActiveDirectory 用户和组”。
3. 在控制台树中,双击域节点。
4. 在“用户”容器中可以找到用户帐户。
5. 右键单击帐户名称,然后从菜单中选择“属性”。
将显示帐户“属性”GUI。
6. 选择“成员属于”选项卡,以显示帐户所属的组的列表。
当在“成员属于”窗口中单击任何组时注意观察,“设置主要组”按钮可能是活动的,也可能是非活动的。
对于可以设置为主要组的组,“设置主要组”按钮是活动的;对于不能设置为主要组或者已经是主要组的组,此按钮是非活动的。
图 11:Guest 帐户属性7. 要更改帐户的主要组,请选择将成为新主要组的组,然后单击“设置主要组”(您必须使“设置主要组”按钮活动)。
请注意,在“设置主要组”按钮上方标识为“主要组:”的组将更改为新选择。
8. 单击“应用”,然后单击“确定”。
注意 1:如果转而使用组策略 GUI 从组中删除帐户,则帐户在删除时没有主要组。
这不会有反面影响,除非 Posix 应用程序或 Macintosh 客户端需要使用帐户。
注意 2:在下表中,有对 SID 的引用。
SID 是安全标识符,它是代表特定用户或组的值。
例如,SID S-1-5-7 代表匿名登录组。
有关更多信息,请参阅 Technet (网址是 /technet/treeview/default.asp?url=/technet/pr odtechnol/windows2000serv/reskit/distsys/part5/dsgappe.asp )或 Windows 2000 Resource Kit 中的“Well Known Identifiers”文章(英文)。
表 24:组成员身份组成员身份修改 域 WKS 域便携式计算机 DC 域服务器 独立 WKS 独立服务器全局和通用组 默认成员 修改/验证 DnsUpdateProxy 无 不向此组添加帐户。
Domain Admins A dministrator 不向此组添加非管理帐户。
Domain Guests G uest 不向此组添加帐户。
Domain Users Administrator Guest Krbtgt TsInternetUser (所有新用户都是在默认情况下添加的) 删除 Guest 帐户,确保禁用TsInternetUser帐户。
注意:删除 Guest帐户之前,请将此帐户的主要组更改为 DomainGuests 。
Enterprise Admins Administrator (Domain Controller Administrator) 不向此组添加非管理帐户。
警告:此组将具有整个目录林中每个计算机的完全管理特权。
决不应将此组中的帐户用于除管理系统之外的任何其他目的。
Group Policy Creator Owner Administrator 不向此组添加非管理帐户。
Schema Admins A dministrator 不向此组添加非管理帐户。
域本地组默认成员 修改/验证 AccountOperators 无 仅对只能管理帐户的管理员使用此组。
需要像对普通管理员那样,对这些用户进行严格筛选。
Administrators Administrator Domain Administrators Enterprise Administrators 不向此组添加非管理帐户。
BackupOperators无 不向此组添加非管理帐户。
注意:Backup Operator 可以读取系统的所有文件,无论这些文件的权限如何。
由于他们还可以存储文件,所以可能对系统的安全和稳定性产生反面影响。
DnsAdmins无 不向此组添加非管理帐户。
GuestsGuest (本地) Domain Guests TsInternetUser 不使用此组。
Pre-Windows2000CompatibleAccess 无 提供与 Windows 2000 操作系统以前版本兼容的向后兼容性。
使用此组将极大释放Active Directory中的权限。
默认情况下,此组没有成员。
但是,如果在“Windows 2000以前版本兼容性模式”中创建了域,则 Everyone 组将是此组的成员,使Everyone 具有所有 ActiveDirectory 对象的读取权限。
要禁用此设置,请从Pre-Windows 2000CompatibleAccess 组中删除Everyone 组,然后重新启动所有域控制器。
但是,这会对向后兼容性产生反面影响。
Print Operators 无 不向此组添加非管理帐户。
这些用户可以安装内核模式驱动程序,因此会危及稳定性和安全性。
Replicator 无 不向此组添加非管理帐户。
Server Operators 无 不向此组添加非管理帐户。
设计此组的目的是防止善意的用户在作为管理员时产生最大的破坏。
设计它的目的不是防止恶意用户危及系统的安全。
Users Authenticated Users Domain Users INTERACTIVE (所有新本地用户都是在默认情况下添加的)不向此组添加可能有未经身份验证的访问权的帐户(例如 Guest )。
本地组 默认成员 修改/验证Administrators 独立:Administrator 域成员:AdministratorDomainAdministrator不向此组添加非管理帐户。
Backup Operators 无不向此组添加非管理帐户。
Guests 独立 不使用此组。
从此Professional : Guest 独立 Server :GuestTsInternetUser域成员:向以上添加Domain Guests组删除所有帐户,包括 Guest 。
Power Users 无 此组的作用等同于 Server Operator 组。
为了获得兼容普通用户身份不能运行的应用程序的向后兼容性,提供了此组。
使用 Power Users 可以使组织不必让用户必须成为管理员才能运行这些应用程序。
在某些环境中,Power Users 非常重要,因为唯一其他选项是使用户成为 Administrator 。
但是,在不需要 Power Users 组的环境中,应该使用组策略通过使其成为受限制的组来控制其成员身份。
一定要记住,使用户成为 Power Users 组的成员不能阻止用户轻易成为 Administrator 。
此组旨在包含善意用户。
它不能包含恶意用户。
因此,应该仔细评估其使用。
Replicator无 不向此组添加非管理帐户。
Users 独立:不向此组添加具有Authenticated Users INTERACTIVE (所有新本地用户都是在默认情况下添加的)域成员:Authenticated Users Domain Users INTERACTIVE (所有新本地用户都是在默认情况下添加的)未经身份验证的访问权可能性的帐户(例如 Guest)。
系统组默认成员修改/验证Anonymous Logon 所有经过身份验证的用户此组用来向不进行或不能进行身份验证的用户授予资源的访问权。
通常,这是不当的。
因此,不要使用此组,除非某些应用程序或使用方案需要此组。
不向此组授予资源权限或用户权限。
Authenticated Users 所有经过身份验证的用户使用AuthenticatedUsers 组(而不使用 Everyone 组)可以避免匿名访问资源的可能性。