从网络访问计算机everyone,从网络访问这台计算机

清远复印机维修

用户权限

从网络访问这台计算机

背景

与远程 Windows 计算机进行交互的能力需要“从网络访问这台计算机”用户权限。此类网络操作的示例包括：在公用域或林中的域控制器之间复制 Active Directory、用户和计算机向域控制器发出身份验证请求，以及访问位于网络中远程计算机上的共享文件夹、打印机和其他系统服务。

通过将用户、计算机和服务帐户显式或隐式地添加到已被授予“从网络访问这台计算机”用户权限的安全组中或将它们从此类安全组中删除，可相应地使这些用户、计算机和服务帐户获得或失去该用户权限。例如，用户帐户或计算机帐户可能被管理员显式添加到某个自定义或内置的安全组中，或被操作系统隐式添加到计算安全组(如 Domain Users、Authenticated Users 或 Enterprise Domain Controllers)中。

默认情况下，如果在默认域控制器的组策略对象 (GPO) 中定义了计算组(例如 Everyone 或 Authenticated Users，后者更好；若是域控制器，则为 Enterprise Domain Controllers 组)，则会为用户帐户和计算机帐户授予“从网络访问这台计算机”用户权限。

危险配置

以下是有害的配置设置：

从此用户权限中删除 Enterprise Domain Controllers 安全组

删除 Authenticated Users 组或授予用户、计算机和服务帐户通过网络连接到计算机的用户权限的显式组

从此用户权限中删除所有用户和计算机

授予此用户权限的原因

通过向 Enterprise Domain Controllers 组授予“从网络访问这台计算机”用户权限，可满足在同一林中的域控制器之间进行 Active Directory 复制所必须具备的身份验证要求。

此用户权限允许用户和计算机访问共享文件、打印机和系统服务，包括 Active Directory。

用户使用早期版本的 Microsoft Outlook Web Access (OWA) 访问邮件时需要此用户权限。

删除此用户权限的原因

那些可以将计算机连接到网络的用户可以访问他们具有权限的远程计算机上的资源。例如，用户需要具备此用户权限才能连接到共享打印机和文件夹。如果向 Everyone 组授予此用户权限，并且某些共享文件夹同时配置有共享和 NTFS 文件系统权限以使相同的组具有读取权限，则任何人均可查看这些共享文件夹中的文件。但是，Windows Server 2003 的全新安装不大可能出现这种情况，因为 Windows Server 2003 中默认的共享和 NTFS 权限不包括 Everyone 组。对于从 Microsoft Windows NT 4.0 或 Windows 2000 升级的系统，这个弱点的危险性可能更高，因为这些操作系统默认的共享和文件系统权限的限制性不如 Windows Server 2003 中的默认权限严格。

从此用户权限中删除 Enterprise Domain Controllers 组并没有有效的根据。

通常会删除 Everyone 组，而倾向于使用 Authenticated Users 组。如果删除了 Everyone 组，则必须向 Authenticated Users 组授予此用户权限。

升级到 Windows 2000 的 Windows NT 4.0 域不会显式对 Everyone、Authenticated Users 或 Enterprise Domain Controllers 组授予“从网络访问这台计算机”用户权限。因此，如果从 Windows NT 4.0 域策略中删除了 Everyone 组，则在升级到 Windows 2000 后，Active Directory 复制将失败并出现“Access Denied”错误消息。Windows Server 2003 中的 Winnt32.exe 在升级 Windows NT 4.0 主域控制器 (PDC) 时会对 Enterprise Domain Controllers 组授予此用户权限，从而避免了这种错误配置。如果 Enterprise Domain Controllers 组不在组策略对象编辑器中，则向该组授予此用户权限。

兼容性问题的示例

Windows 2000 和 Windows Server 2003：对 Active Directory 架构、配置、域、全局编录或应用程序分区的复制将会失败，并且监视工具(如 REPLMON 和 REPADMIN)或事件日志中的复制事件会报告“Access Denied”错误。

所有 Microsoft 网络操作系统：除非已向用户或用户所属的安全组授予了此用户权限，否则来自远程网络客户端计算机的用户帐户身份验证将会失败。

所有 Microsoft 网络操作系统：除非已向帐户或帐户所属的安全组授予了此用户权限，否则来自远程网络客户端的帐户身份验证将会失败。此情况适用于用户帐户、计算机帐户和服务帐户。

所有 Microsoft 网络操作系统：如果从此用户权限中删除所有帐户，则会阻止任何帐户登录到域或访问网络资源。如果删除了计算组(例如 Enterprise Domain Controllers、Everyone 或 Authenticated Users)，则必须将此用户权限显式授予帐户或帐户所属的安全组才能通过网络访问远程计算机。此情况适用于所有用户帐户、所有计算机帐户和所有服务帐户。

所有 Microsoft 网络操作系统：本地管理员帐户使用“空”密码。在域环境中，不允许管理员帐户使用空密码进行网络连接。如果使用此配置，将收到“Access Denied”错误消息。

允许在本地登录

背景

尝试在 Microsoft Windows 计算机的控制台上登录的用户(使用 Ctrl+Alt+Delete 登录按键顺序)和尝试启动服务的帐户必须在主机计算机上具有本地登录权限。本地登录操作的示例包括：管理员登录到企业中成员计算机或域控制器的控制台和域用户使用非特权帐户登录到成员计算机以访问其桌面。使用远程桌面连接或终端服务的用户在运行 Windows 2000 或 Windows XP 的目标计算机上必须具有“允许在本地登录”用户权限，因为这些登录模式对于主机计算机来说是本地的。如果用户登录到启用了终端服务的服务器而又不具有此用户权限，但他们具有“允许通过终端服务登录”用户权限，则他们仍可以在 Windows Server 2003 域中启动远程交互式会话。

危险配置

以下是有害的配置设置：

从默认域控制器策略中删除管理安全组，包括 Account Operators、Backup Operators、Print Operators、Server Operators 和内置 Administrators 组。

从默认域控制器策略中删除域中成员计算机和域控制器上的组件和程序所使用的服务帐户。

删除登录到域中成员计算机的控制台的用户或安全组。

删除在成员计算机或工作组计算机的安全帐户管理器 (SAM) 数据库中定义的服务帐户。

删除通过在域控制器上运行的终端服务进行身份验证的非内置管理帐户。

通过 Everyone 组将域中的所有用户帐户显式或隐式添加到“拒绝本地登录”登录权限中。此配置会阻止用户登录到域中的任何成员计算机或任何域控制器。

授予此用户权限的原因

用户必须具有“允许在本地登录”用户权限才能访问工作组计算机、成员计算机或域控制器的控制台或桌面。

用户必须具有此用户权限才能通过在 Window 2000 成员计算机或域控制器上运行的终端服务会话进行登录。

删除此用户权限的原因

如果未能将控制台访问权限制在合法的用户帐户范围内，则未经授权的用户可能下载并执行恶意代码来更改他们的用户权限。

删除“允许在本地登录”用户权限可以阻止未经授权即在计算机(例如域控制器或应用程序服务器)的控制台上登录。

删除此登录权限可以阻止非域帐户登录域中成员计算机的控制台。

兼容性问题的示例

Windows 2000 终端服务器：为了登录到 Windows 2000 终端服务器，用户需要“允许在本地登录”用户权限。

Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003：必须向用户帐户授予此用户权限，它们才能登录运行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的计算机的控制台。

Windows NT 4.0 和更高版本：在运行 Windows NT 4.0 和更高版本的计算机上，如果添加“允许在本地登录”用户权限，但又隐式或显式授予了“拒绝本地登录”登录权限，则帐户将无法登录到域控制器的控制台。

跳过遍历检查

背景

“跳过遍历检查”用户权限允许用户浏览 NTFS 文件系统或注册表中的文件夹，而无需检查用户是否具有“遍历文件夹”的特殊访问权限。“跳过遍历检查”用户权限不允许用户列出文件夹的内容，只允许用户遍历其文件夹。

危险配置

以下是有害的配置设置：

删除登录到基于 Windows 2000 或基于 Windows Server 2003 的终端服务计算机上而且缺少访问文件系统中的文件和文件夹的权限的非管理性帐户。

从安全主体列表中删除 Everyone 组，默认情况下，这些安全主体具有此用户权限。根据 Windows 操作系统和许多程序的设计思路，系统认为可以合法访问计算机的任何人都应该具有“跳过遍历检查”用户权限。因此，从默认具有此用户权限的安全主体列表中删除 Everyone 组可能导致操作系统不稳定或程序故障。好保留此设置的默认值。

授予此用户权限的原因

“跳过遍历检查”用户权限的默认设置是允许任何人跳过遍历检查。对于有经验的 Windows 系统管理员，这是预期的行为，他们会相应地配置文件系统访问控制列表 (SACL)。如果配置权限的管理员不了解该行为并认为不能访问父文件夹的用户将无法访问任何子文件夹的内容，则默认配置可能导致问题，这也是默认配置可能导致问题的情况。

删除此用户权限的原因

非常注重安全性的组织可能很想要从具有“跳过遍历检查”用户权限的组的列表中删除 Everyone 组，甚至可能删除 Users 组，以试图阻止对文件系统中文件或文件夹的访问。

兼容性问题的示例

Windows 2000、Windows Server 2003：如果在运行 Windows 2000 或 Windows Server 2003 的计算机上删除或错误地配置了“跳过遍历检查”用户权限，则无法在域中的域控制器之间复制 SYVOL 文件夹中的组策略设置。

Windows 2000、Windows XP Professional、Windows Server 2003：如果删除或错误地配置了“跳过遍历检查”用户权限，则在从 SYSVOL 树中删除所需的文件系统权限时，运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 的计算机将记录事件 1000 和 1202 而且无法应用计算机策略和用户策略。

有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：290647( )应用程序事件日志中每 5 分钟记录一次 Event ID 1000、1001

Windows 2000、Windows Server 2003：在运行 Windows 2000 或 Windows Server 2003 的计算机上，当您查看卷的属性时，Windows 资源管理器中的“配额”选项卡将会消失。

Windows 2000：登录到 Windows 2000 终端服务器的非管理员可能会收到以下错误消息：Userinit.exe 应用程序错误。应用程序正常初始化 0xc0000142 失败。请单击“确定”，终止应用程序。有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：272142( )用户在尝试登录到终端服务时会自动注销

Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003：在运行 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003 的计算机上，如果未对用户授予“跳过遍历检查”用户权限，则这些用户可能无法访问共享文件夹或共享文件夹中的文件，并且可能收到“Access Denied”错误消息。

有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：277644( )用户尝试访问共享文件夹时出现“Access Denied”(拒绝访问)错误信息

Windows NT 4.0：在基于 Windows NT 4.0 的计算机上，删除“跳过遍历检查”用户权限将导致文件复制过程丢失文件流。如果删除此用户权限，则在将文件从 Windows 客户端或 Macintosh 客户端复制到运行 Macintosh 服务的 Windows NT 4.0 域控制器时，会丢失目标文件流，并且该文件会显示为纯文本文件。

有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：172930( )删除“跳过遍历检查”导致文件复制过程丢失文件流

Microsoft Windows 95、Microsoft Windows 98：在运行 Windows 95 或 Windows 98 的客户端计算机上，如果未向 Authenticated Users 组授予“跳过遍历检查”用户权限，则 net use * /home 命令会失败并显示“Access Denied”错误消息。

Outlook Web Access：如果未向非管理员授予“跳过遍历检查”用户权限，则他们将无法登录到 Microsoft Outlook Web Access，并会收到“Access Denied”错误消息。

标签：从网络访问这台计算机