用户权限分配注意的问题.docVIP

用户权限分配注意的问题 本文介绍了以下问题：在 Windows NT 4.0 域、Windows 2000 域和 Windows Server 2003 域中修改特定安全设置和用户权限分配时，在运行 Microsoft Windows 95、Microsoft Windows 98、Microsoft Windows NT 4.0、Microsoft Windows 2000、Microsoft Windows XP Professional 或 Microsoft Windows Server 2003 的客户端计算机上可能出现不兼容问题。通过在本地策略和组策略中配置这些设置和分配，可以帮助提高域控制器和成员计算机上的安全性。提高安全性的弊端是会出现客户端、服务和程序的不兼容问题。要更好地发现配置不当的安全设置，请使用组策略对象编辑器工具来修改安全设置。当使用组策略对象编辑器时，以下操作系统上的用户权限分配可有所增强： Microsoft Windows XP Professional Service Pack 2 (SP2) Microsoft Windows Server 2003 Service Pack 1 (SP1) 增强功能包括一个包含指向本文的链接的对话框，每当您将安全设置或用户权限分配更改为一个兼容性更低、限制性更强的设置时就会弹出该对话框。如果您使用注册表或安全模板直接修改相同的安全设置或用户权限分配，则得到的效果与在组策略对象编辑器中修改设置是相同的；只是将不会出现包含指向本文的链接的对话框。 本文包含受特定安全设置或用户权限分配影响的客户端、程序和操作的示例。但是，这些示例并不对所有 Microsoft 操作系统、所有第三方操作系统或所有受影响的程序版本都具有权威性。本文并不包括所有安全设置和用户权限分配。Microsoft 建议您在将任何与安全性有关的配置更改引入生产环境之前，先在测试林中验证它们的兼容性。测试林必须在以下方面与生产林相同： 客户端和服务器操作系统版本、客户端和服务器程序、Service Pack 版本、修补程序、架构更改、安全组、组成员、文件系统中对象上的权限、共享文件夹、注册表、Active Directory 目录服务、本地和组策略设置、对象计数类型和位置 执行的管理任务、使用的管理工具和用于执行管理任务的操作系统 执行的操作，包括计算机和用户登录身份验证；用户、计算机和管理员进行的密码重置；浏览；从所有帐户域或资源域的所有客户端操作系统中使用 ACL 编辑器来设置文件系统、共享文件夹、注册表和 Active Directory 资源的权限；从管理和非管理帐户进行打印 回到顶端 Windows Server 2003 SP1 Gpedit.msc 中的警告 为帮助客户认识到他们正在编辑的用户权限或安全选项会对网络产生不利影响，已向 gpedit.msc 中添加了两个警告机制。当管理员编辑的用户权限会对整个企业造成负面影响时，他们会看到一个类似让步标志的新图标。同时还将收到一条警告消息，其中包含一个指向 Microsoft 知识库文章 823659 的链接。此消息的文本如下所示： 修改此设置可能影响与客户端、服务和应用程序的兼容性。有关更多信息，请参见要修改的用户权限或安全选项 (Q823659) 如果已通过 GPEDIT.MSC 中的链接定向到此 KB，请确保阅读并了解所提供的说明及修改此设置的可能后果。下面是包含新的警告文本的用户权限列表： 从网络访问这台计算机 本地登录 跳过遍历检查 启用计算机和用户以进行受信任的委派 下面是包含警告和弹出窗口的安全选项列表： 域成员:对安全通道数据进行数字加密或签名(总是) 域成员:需要强(Windows 2000 或以上版本)会话密钥 域控制器:LDAP 服务器签名要求 Microsoft 网络服务器:数字签名的通信(总是) 网络访问:允许匿名 SID/名称转换 网络访问:不允许 SAM 帐户和共享的匿名枚举 网络安全:LAN Manager 身份验证级别 审核:如果无法记录安全审核则立即关闭系统 网络访问:LDAP 客户端签名要求 用户权限 从网络访问这台计算机 背景与远程 Windows 计算机进行交互的能力需要“从网络访问这台计算机”用户权限。此类网络操作的示例包括：在公用域或林中的域控制器之间复制 Active Directory、用户和计算机向域控制器发出身份验证请求，以及访问位于网络中远程计算机上的共享文件夹、打印机和其他系统服务。通过将用户、计算机和服务帐户显式或隐式地添加到已被授予“从网络访问这台计算机”用户权限的安全组中或将它们从此类安全组中删除，可相应地使这些用户、计算机和服务帐户获得或