本文是從ITKnowledge Exchange(ITKE)網站摘錄的一個問答。

　　ITKE成員BillBald問:

　　我需要改造一個使用“Windows Server 2003”和“Windows XP Pro”操作系統的網絡。用戶雖然能夠登錄在這臺服務器中的域，但是，這些用戶一般都不登錄這個域。相反，他們使用這臺服務器不知道的用戶名登錄這臺本地的機器。通過以快捷方式和腳本的方式的使用這臺服務器的IP地址，未經授權的用戶能夠訪問存儲在這臺服務器中的文件。我認為，這臺服務器的安全功能肯定是被部分地關閉了以便允許未經授權的用戶訪問。我不敢肯定這種事情是不是有問題。但是，我最近發現這臺路由器正在被用作DHCP(動態主機配置協議)服務器，而不是當作Win2003服務器。誰能提供一個建議強制用戶登錄到這個域以阻止這種未經允許的訪問行為?

　　ITKE成員lerandell回答:

　　這聽起來好像是所有這些系統都是使用同樣的用戶名和口令創建的。我傾向于認為他們在使用“管理員”用戶名。而且，如果這個“管理員”賬戶在這兩臺計算機上都有，并且這個賬戶的口令是“p@ssw0rd”，每一臺客戶機都可以訪問對方的網絡賬戶。要阻止這種事情發生，把本地管理員賬戶名稱改為用戶不知道的其它名稱。這很容易做到，簡單地通過組策略就可以實現。我還要修改域控制器和工作站賬戶。這將迫使每一個人都使用分配給他們的域用戶賬戶。如果你要查看誰試圖訪問這個賬戶，你可以創建一個虛假的、關閉功能的管理員賬戶，并把這個賬戶用于安全登錄的目的。

　　ITKE成員Guardian回答:

　　我會檢查域安全政策和本地安全政策。確認每一個人都加入了這個域，而且你的許可沒有限制。用戶必須獲得批準才能訪問這個域和資源。你在管理工具中能夠發現大多數這些內容。刪除在XP主機中的工作組PC(輸入域名系統前綴并且選擇“改變域名系統前綴”)。

　　ITKE成員dwiebesick回答:

　　要限制本地登錄，你可以使用組策略。有一種安全設置可以在組策略中進行設置。閱讀微軟知識庫中編號823659的文章可以了解這種設置方法。

　　你還可以修改NTFS(新技術文件系統)安全設置來控制最終用戶訪問的文件/文件夾。設置這個功能，這樣只有獲得批準的域的未經授權的用戶能夠訪問你認為可以訪問的內容。

　　如果你知道正在使用的用戶名和口令是什么，修改這些用戶名和口令。如果這是本地計算機管理員的賬戶，有許多可用的腳本能夠很方便地進行這種修改。

　　ITKE成員astronomer回答:

　　你好像有一個像工作組一樣工作的域。如果你擁有這個權限，創建一個與本地賬戶名稱不同的域賬戶。然后，然后關閉用來繞過域安全措施的任何域賬戶(或者至少要修改口令)，強制用戶使用他們的域賬戶。你需要確認用戶必須使用他們自己的域賬戶訪問他們在服務器上需要的資源。

　　然而，要記住，我在推測工作站是域成員。一旦用戶開始使用域賬戶登錄，你就可以使用組和策略來管理他們。

　　對于記錄來說，DHCP服務器是什么設備都沒有關系，只要它能夠提供合適的地址和你的環境選項就行。路由器對于一個單個的子網是一種合理的選擇。由于路由器沒有硬盤，路由器可能會比服務器更可靠。

　　ITKE成員DaJackal回答:

　　我是這樣做的。首先，進入“開始”->“程序”->“管理工具”->域控制器安全策略。然后進入安全選項。

　　下一步，驗證如下兩個項目:

　　網絡接入:允許“每一個人”申請匿名用戶--->關閉。

　　網絡接入:不允許匿名列舉存儲域管理賬戶和共享--->打開。

　　選擇這兩個選項應該能夠糾正匿名訪問問題。

　　最后，我會驗證這些用戶登錄使用的本地賬戶與你的預的賬戶不一樣，或者是你域控制器本地的賬戶。如果你讓他們相同的話，這些用戶名可以是一樣的。但是，你必須確認口令是不同的，而且用戶不知道這個口令是什么。因此，如果這些用戶名是相同的，域將提示用戶輸入口令。遺憾的是Windows僅證實用戶名，不驗證這種安全識別符號。按照這些步驟應該能夠解決你的服務器的未經授權的訪問難題。