在局域網(wǎng)工作環(huán)境中，普通用戶會(huì)經(jīng)常訪問局域網(wǎng)服務(wù)器中的共享資源，為了避免其中的共享資源受到非法用戶的破壞，我們需要采取安全措施來保護(hù)服務(wù)器中的共享資源。“護(hù)駕”服務(wù)器訪問安全的方法有很多，本文現(xiàn)在就從用戶帳號(hào)的設(shè)置角度出發(fā)，來為各位朋友介紹一些保護(hù)服務(wù)器共享資源的秘籍!下面，本文就以Windows Server 2003系統(tǒng)為操作藍(lán)本，要是大家使用的是其他服務(wù)器系統(tǒng)，其操作方法幾乎與Windows Server 2003系統(tǒng)下的相同!

　　讓特定用戶具有訪問權(quán)限

　　在通過網(wǎng)絡(luò)訪問局域網(wǎng)服務(wù)器中的共享資源時(shí)，我們常常不希望所有用戶都能暢通無阻地訪問服務(wù)器系統(tǒng)中的核心信息，例如存儲(chǔ)在服務(wù)器系統(tǒng)中的單位隱私信息、財(cái)務(wù)信息以及人事任免信息等。要實(shí)現(xiàn)這樣的訪問目的，我們可以先將這些不允許他人訪問的重要信息集中保存到一個(gè)特定的文件夾中，之后對(duì)這個(gè)特定文件夾進(jìn)行訪問權(quán)限設(shè)置，下面就是具體的設(shè)置步驟：

　　首先在本地計(jì)算機(jī)系統(tǒng)桌面中用鼠標(biāo)雙擊“我的電腦”圖標(biāo)，在彈出的“我的電腦”窗口中單擊“工具”菜單項(xiàng)，從下拉菜單中單擊“文件夾選項(xiàng)”命令，在彈出的文件夾選項(xiàng)設(shè)置對(duì)話框中單擊“查看”標(biāo)簽，并在對(duì)應(yīng)標(biāo)簽頁(yè)面中將“使用簡(jiǎn)單文件共享”選項(xiàng)的選中狀態(tài)取消，再單擊“確定”按鈕關(guān)閉文件夾選項(xiàng)設(shè)置對(duì)話框;

　　其次依次單擊“開始”/“程序”/“附件”/“Windows資源管理器”命令，在彈出的系統(tǒng)資源管理器窗口中找到保存了重要信息的目標(biāo)文件夾，并用鼠標(biāo)右鍵單擊該文件夾圖標(biāo)，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開目標(biāo)文件夾的屬性設(shè)置界面;

　　單擊該屬性設(shè)置界面中的“安全”標(biāo)簽，并在對(duì)應(yīng)標(biāo)簽頁(yè)面中單擊“添加”按鈕，在其后出現(xiàn)的設(shè)置對(duì)話框中單擊“高級(jí)”按鈕，再單擊“立即查找”按鈕(如圖1所示)，之后將那些允許訪問目標(biāo)文件夾的用戶選中并加入進(jìn)來，而將“everyone”帳號(hào)從列表中刪除掉，以便禁止任何一位普通用戶不經(jīng)過授權(quán)就能暢通無阻地訪問局域網(wǎng)服務(wù)器目標(biāo)文件夾中的重要信息。完成上面的設(shè)置操作后，只有特定用戶才能有權(quán)限訪問局域網(wǎng)服務(wù)器中的重要文件夾，而沒有授權(quán)的用戶都不能通過“everyone”帳號(hào)訪問服務(wù)器中的重要文件夾，那樣一來指定文件夾的安全性就能得到有效保證了。

　　授予新用戶共享訪問權(quán)限

　　要是我們希望將局域網(wǎng)服務(wù)器重要文件夾的網(wǎng)絡(luò)訪問權(quán)限授予新的用戶時(shí)，那可以先在本地計(jì)算機(jī)中創(chuàng)建一個(gè)新的用戶帳號(hào)，并按照前面的操作方法將目標(biāo)文件夾的訪問權(quán)限授予這個(gè)新用戶帳號(hào)，下面就是具體的設(shè)置步驟：

　　首先先創(chuàng)建一個(gè)新用戶帳號(hào);在創(chuàng)建新用戶帳號(hào)時(shí)，我們可以依次單擊“開始”/“設(shè)置”/“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，再用鼠標(biāo)逐一雙擊“管理工具”/“計(jì)算機(jī)管理”圖標(biāo)，打開對(duì)應(yīng)系統(tǒng)的計(jì)算機(jī)管理窗口;

　　其次在計(jì)算機(jī)管理窗口的左側(cè)顯示區(qū)域，依次點(diǎn)選“本地用戶和組”/“用戶”分支選項(xiàng)，在對(duì)應(yīng)“用戶”分支選項(xiàng)的右側(cè)顯示區(qū)域中，用鼠標(biāo)右鍵單擊空白區(qū)域，從彈出的快捷菜單中執(zhí)行“新用戶”命令，打開一個(gè)創(chuàng)建新用戶的設(shè)置對(duì)話框(如圖2所示);在該設(shè)置對(duì)話框中，正確輸入新用戶的帳號(hào)名稱，同時(shí)設(shè)置好對(duì)應(yīng)帳號(hào)名稱的密碼信息，最后單擊“創(chuàng)建”按鈕完成新用戶帳號(hào)的創(chuàng)建任務(wù)。

　　下面重新打開局域網(wǎng)服務(wù)器中保存了重要信息的目標(biāo)文件夾屬性設(shè)置窗口，單擊該屬性設(shè)置窗口中的“安全”標(biāo)簽，并在對(duì)應(yīng)標(biāo)簽頁(yè)面中單擊“添加”按鈕，在其后出現(xiàn)的設(shè)置對(duì)話框中單擊“高級(jí)”按鈕，再單擊“立即查找”按鈕，之后將新創(chuàng)建好的用戶選中并加入進(jìn)來，最后單擊“確定”按鈕就可以了。

#p#副標(biāo)題#e#

　　限制用戶通過網(wǎng)絡(luò)來訪問

　　如果想限制特定用戶通過局域網(wǎng)中任何一臺(tái)計(jì)算機(jī)訪問服務(wù)器中的共享資源時(shí)，我們可以通過設(shè)置服務(wù)器系統(tǒng)的相關(guān)組策略參數(shù)，來禁止特定用戶在所有計(jì)算機(jī)系統(tǒng)中通過網(wǎng)絡(luò)訪問服務(wù)器中的共享資源，這種限制方法常常會(huì)用于有“犯罪前科”的用戶身上，以防止這些非法用戶借共享訪問之名來襲擊局域網(wǎng)服務(wù)器，下面就是具體的設(shè)置步驟：

　　首先在服務(wù)器系統(tǒng)桌面中依次單擊“開始”/“設(shè)置”/“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，再用鼠標(biāo)逐一雙擊“管理工具”/“本地安全策略”圖標(biāo)，打開服務(wù)器系統(tǒng)的本地安全策略管理窗口;

　　其次在本地安全策略管理窗口的左側(cè)顯示區(qū)域中，用鼠標(biāo)逐一展開“本地策略”/“用戶權(quán)利指派”分支選項(xiàng)，在對(duì)應(yīng)“用戶權(quán)利指派”分支選項(xiàng)的右側(cè)顯示區(qū)域，用鼠標(biāo)雙擊“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”組策略選項(xiàng)，打開如圖3所示的目標(biāo)組策略屬性設(shè)置對(duì)話框;從該屬性設(shè)置對(duì)話框的用戶賬號(hào)列表框中選中需要限制通過網(wǎng)絡(luò)訪問的用戶賬號(hào)，然后單擊“刪除”按鈕，再單擊“確定”按鈕，那樣一來被刪除的特定用戶日后就不能通過局域網(wǎng)任何一臺(tái)計(jì)算機(jī)的網(wǎng)上鄰居窗口尋找到局域網(wǎng)服務(wù)器的“身影”了，這樣的話他也就不能通過網(wǎng)絡(luò)訪問局域網(wǎng)服務(wù)器中的重要共享資源了。

　　當(dāng)然，要是我們希望任何用戶不能在本地登錄服務(wù)器系統(tǒng)時(shí)，也可以打開服務(wù)器系統(tǒng)的組策略編輯窗口，在該窗口的左側(cè)顯示區(qū)域依次單擊“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“用戶權(quán)利指派”分支選項(xiàng)，在對(duì)應(yīng)“用戶權(quán)利指派”分支選項(xiàng)的右側(cè)顯示區(qū)域中，用鼠標(biāo)雙擊“拒絕本地登錄”目標(biāo)組策略，在其后出現(xiàn)的目標(biāo)組策略屬性設(shè)置窗口中，將禁止進(jìn)行本地登錄的用戶賬號(hào)選中，并單擊“刪除”按鈕，最后單擊“確定”按鈕，那樣一來指定賬號(hào)的用戶日后將無法在服務(wù)器本地進(jìn)行登錄系統(tǒng)，而只能從局域網(wǎng)的其他計(jì)算機(jī)中進(jìn)行遠(yuǎn)程登錄服務(wù)器。

　　小提示:

　　對(duì)于Windows Vista系統(tǒng)來說，我們可以直接采用系統(tǒng)自帶的文件夾加密功能來保護(hù)保存了重要信息的文件夾訪問安全性，那樣一來即使非法用戶能通過網(wǎng)絡(luò)訪問到安裝了Windows Vista系統(tǒng)的計(jì)算機(jī)，也無法順利地查看到目標(biāo)共享文件夾中的重要信息。為了避免不法分子隨意訪問共享文件夾，我們可以按照如下操作步驟來加密目標(biāo)共享文件夾，以便只讓擁有本地計(jì)算機(jī)系統(tǒng)合法賬號(hào)的用戶訪問目標(biāo)共享文件夾中的重要信息：

　　首先以系統(tǒng)管理員權(quán)限進(jìn)入Windows Vista系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“程序”/“附件”/“Windows資源管理器”菜單選項(xiàng)，打開對(duì)應(yīng)計(jì)算機(jī)系統(tǒng)的資源管理器窗口，從該窗口中找到目標(biāo)共享文件夾，并用鼠標(biāo)右擊該共享文件夾，并執(zhí)行快捷菜單中的“屬性”命令，進(jìn)入目標(biāo)文件夾的屬性設(shè)置對(duì)話框;

　　其次單擊該設(shè)置對(duì)話框中的“常規(guī)”標(biāo)簽，單擊對(duì)應(yīng)標(biāo)簽設(shè)置頁(yè)面中的“高級(jí)”按鈕，進(jìn)入目標(biāo)共享文件夾的高級(jí)屬性設(shè)置對(duì)話框，檢查該對(duì)話框中的“加密內(nèi)容以便保護(hù)數(shù)據(jù)”選項(xiàng)有沒有被選中，一旦發(fā)現(xiàn)該選項(xiàng)還沒有處于選中狀態(tài)時(shí)，我們應(yīng)該將它重新選中，再單擊“確定”按鈕返回;

　　下面再次進(jìn)入“常規(guī)”標(biāo)簽設(shè)置頁(yè)面中，單擊“確定”按鈕，那樣的話Windows Vista系統(tǒng)將會(huì)依照目標(biāo)文件夾或文件性質(zhì)的不同而會(huì)自動(dòng)彈出相應(yīng)的提示信息，詢問我們是否繼續(xù)進(jìn)行加密設(shè)置，例如在對(duì)目標(biāo)共享文件夾進(jìn)行加密時(shí)，Windows Vista系統(tǒng)會(huì)詢問是否將加密設(shè)置自動(dòng)應(yīng)用到其下的子文件夾及文件，要是我們只對(duì)文件進(jìn)行加密操作時(shí)，Windows Vista系統(tǒng)就會(huì)詢問是否對(duì)它的父文件夾進(jìn)行自動(dòng)加密等，我們可以依照實(shí)際情況完成加密操作。

　　要是加密好目標(biāo)共享文件夾后，那么我們?cè)赪indows Vista系統(tǒng)資源管理器窗口中會(huì)發(fā)現(xiàn)對(duì)應(yīng)文件夾以綠色顯示，查看它的加密屬性信息時(shí)，我們會(huì)發(fā)現(xiàn)該共享文件夾只允許大家之前授權(quán)好的用戶進(jìn)行訪問，而局域網(wǎng)中任何一位其他用戶都無權(quán)訪問。

　　不過，有一點(diǎn)需要提醒大家注意的是，對(duì)共享文件夾進(jìn)行加密操作時(shí)，對(duì)應(yīng)的文件夾只能保存在NTFS格式的磁盤中，并且加密過的文件夾日后就不能重復(fù)進(jìn)行壓縮操作了。

#p#副標(biāo)題#e#

　　禁止組用戶訪問共享資源

　　倘若局域網(wǎng)中的用戶比較多，我們現(xiàn)在只希望其中的一部分用戶不能通過網(wǎng)絡(luò)訪問服務(wù)器中的共享資源，盡管我們可以按照前面的方法將所有允許訪問的用戶一一添加進(jìn)來，不過這種操作方法比較費(fèi)時(shí)，而且操作效率也不會(huì)很高。為了有效地提高操作效率，我們可以先為不能訪問共享資源的所有用戶創(chuàng)建一個(gè)用戶組，然后修改服務(wù)器目標(biāo)共享資源的安全屬性信息，讓指定用戶組無權(quán)訪問目標(biāo)共享資源就可以了，下面就是具體的實(shí)現(xiàn)方法：

　　首先先創(chuàng)建一個(gè)用戶組帳號(hào);在創(chuàng)建新用戶組帳號(hào)時(shí)，我們可以依次單擊服務(wù)器系統(tǒng)桌面中的“開始”/“設(shè)置”/“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，再用鼠標(biāo)逐一雙擊“管理工具”/“計(jì)算機(jī)管理”圖標(biāo)，打開對(duì)應(yīng)系統(tǒng)的計(jì)算機(jī)管理窗口;

　　其次在計(jì)算機(jī)管理窗口的左側(cè)顯示區(qū)域，依次點(diǎn)選“本地用戶和組”/“組”分支選項(xiàng)，在對(duì)應(yīng)“組”分支選項(xiàng)的右側(cè)顯示區(qū)域中，用鼠標(biāo)右鍵單擊空白位置處，從彈出的快捷菜單中執(zhí)行“新建組”命令，打開如圖4所示的設(shè)置對(duì)話框，在該對(duì)話框中設(shè)置好合適的組名稱，假設(shè)在這里我們將組名稱設(shè)置為“黑名單”;之后單擊“添加”按鈕，從其后出現(xiàn)的用戶賬號(hào)列表框中，借助鍵盤中的Ctrl功能鍵將那些不允許通過網(wǎng)絡(luò)訪問服務(wù)器共享資源的所有用戶賬號(hào)一次性添加進(jìn)來，最后單擊“確定”按鈕返回到如圖4所示的設(shè)置對(duì)話框，再單擊“創(chuàng)建”按鈕，“黑名單”用戶組就算創(chuàng)建成功了。

　　下面重新打開局域網(wǎng)服務(wù)器中保存了重要信息的目標(biāo)文件夾屬性設(shè)置窗口，單擊該屬性設(shè)置窗口中的“安全”標(biāo)簽，并在對(duì)應(yīng)標(biāo)簽頁(yè)面中單擊“添加”按鈕，在其后出現(xiàn)的設(shè)置對(duì)話框中單擊“高級(jí)”按鈕，再單擊“立即查找”按鈕，之后將新創(chuàng)建好的“黑名單”用戶組選中并加入進(jìn)來，并且將“黑名單”用戶組下面的訪問權(quán)限全部設(shè)置為“拒絕”，最后單擊“確定”按鈕就可以了?，F(xiàn)在，所有加入到“黑名單”用戶組中的所有組成員都將無權(quán)通過網(wǎng)絡(luò)訪問局域網(wǎng)服務(wù)器中的目標(biāo)共享資源了。

　　讓用戶登錄必須輸入密碼

　　有的時(shí)候，本地用戶重新啟動(dòng)局域網(wǎng)服務(wù)器系統(tǒng)時(shí)，發(fā)現(xiàn)系統(tǒng)不需要輸入密碼進(jìn)行身份驗(yàn)證就能直接進(jìn)入服務(wù)器系統(tǒng)桌面中了，此時(shí)，局域網(wǎng)服務(wù)器中的重要共享資源將會(huì)完全暴露在用戶面前，顯然這是非常危險(xiǎn)的。一旦我們發(fā)現(xiàn)服務(wù)器系統(tǒng)不需要輸入密碼就能直接登錄時(shí)，我們必須按照下面的操作來強(qiáng)制服務(wù)器系統(tǒng)必須要求用戶輸入密碼才能完成系統(tǒng)登錄操作：

　　首先在服務(wù)器本地以系統(tǒng)管理員身份進(jìn)入服務(wù)器系統(tǒng)，打開對(duì)應(yīng)系統(tǒng)的“開始”菜單，從中點(diǎn)選“運(yùn)行”命令，在其后出現(xiàn)的系統(tǒng)運(yùn)行文本框中輸入“regedit”字符串命令，單擊“確定”按鈕后，進(jìn)入服務(wù)器系統(tǒng)的注冊(cè)表編輯窗口;

　　其次將鼠標(biāo)定位于注冊(cè)表編輯窗口左側(cè)顯示區(qū)域的HKEY_LOCAL_MACHINE分支選項(xiàng)上，并從該分支選項(xiàng)下面依次點(diǎn)選目標(biāo)注冊(cè)表分支子項(xiàng)

　　SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon，看看“Winlogon”子項(xiàng)下面是否存在“AutoAdminlogon”鍵值、“DefaultUserName”鍵值、“DefaultPassword”鍵值等，一旦看到這些鍵值已經(jīng)存在的話，我們應(yīng)該一一選中它們并將它們?nèi)縿h除掉;

　　下面重新返回到服務(wù)器系統(tǒng)桌面中，依次點(diǎn)選“開始”/“運(yùn)行”命令，在其后出現(xiàn)的系統(tǒng)運(yùn)行文本框中，輸入字符串命令“control userpasswords2”，單擊“確定”按鈕后，打開對(duì)應(yīng)系統(tǒng)的用戶賬戶設(shè)置對(duì)話框;在該設(shè)置對(duì)話框中單擊“用戶”標(biāo)簽，進(jìn)入如圖5所示的標(biāo)簽設(shè)置頁(yè)面，選中本地用戶登錄服務(wù)器系統(tǒng)時(shí)使用的特定賬號(hào)，再選中對(duì)應(yīng)設(shè)置窗口中的“要使用本機(jī)，用戶必須輸入用戶和密碼”選項(xiàng)，最后單擊“確定”按鈕保存好上面的設(shè)置操作，如此一來任何一位用戶日后在本地登錄服務(wù)器系統(tǒng)時(shí)，都需要正確輸入用戶賬號(hào)對(duì)應(yīng)的密碼信息才能成功登錄進(jìn)服務(wù)器系統(tǒng)了，這樣的話保存在服務(wù)器系統(tǒng)中的共享資源就不會(huì)被本地用戶隨意訪問了。

#p#副標(biāo)題#e#

　　小提示：

　　在實(shí)際管理和維護(hù)服務(wù)器的過程中，網(wǎng)絡(luò)管理員時(shí)常會(huì)突然短時(shí)間離開服務(wù)器現(xiàn)場(chǎng)，此時(shí)很有可能會(huì)有一些不法分子趁機(jī)登錄進(jìn)入服務(wù)器系統(tǒng)，來偷偷訪問保存在服務(wù)器中的重要共享資源。事實(shí)上，對(duì)于Windows Server 2008服務(wù)器系統(tǒng)來說，我們可以按照下面的操作步驟來快速查找到究竟是哪一些非法用戶偷偷訪問過服務(wù)器系統(tǒng)：

　　首先以系統(tǒng)管理員身份登錄進(jìn)Windows Server 2008服務(wù)器系統(tǒng)，從該系統(tǒng)桌面中打開“開始”菜單，從中點(diǎn)選“運(yùn)行”菜單選項(xiàng)，在彈出的系統(tǒng)運(yùn)行對(duì)話框中輸入“gpedit.msc”字符串命令，單擊“確定”按鈕后進(jìn)入對(duì)應(yīng)服務(wù)器系統(tǒng)的組策略編輯窗口;

　　其次將鼠標(biāo)定位于該組策略編輯窗口左側(cè)顯示區(qū)域中的“計(jì)算機(jī)配置”分支選項(xiàng)上，再?gòu)脑摲种нx項(xiàng)下面依次點(diǎn)選“管理模板”、“Windows組件”、“Windows登錄選項(xiàng)”組策略子項(xiàng)，在對(duì)應(yīng)“Windows登錄選項(xiàng)”組策略子項(xiàng)下面找到“在用戶登錄期間顯示有關(guān)以前登錄的信息”項(xiàng)目，用鼠標(biāo)雙擊該組策略項(xiàng)目，打開一個(gè)標(biāo)題為“在用戶登錄期間顯示有關(guān)以前登錄的信息”的組策略屬性設(shè)置窗口(如圖6所示)，檢查其中的“已啟用”選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)該選項(xiàng)還沒有被選中時(shí)，我們應(yīng)該及時(shí)將它重新選中，再單擊“確定”按鈕保存好設(shè)置操作，如此一來Windows Server 2008服務(wù)器系統(tǒng)日后就能自動(dòng)記憶用戶賬號(hào)上一次登錄服務(wù)器系統(tǒng)的狀態(tài)信息了。

　　完成好上面的設(shè)置操作之后，日后有不懷好意的用戶趁網(wǎng)絡(luò)管理員突然離開服務(wù)器時(shí)偷偷登錄服務(wù)器系統(tǒng)時(shí)，對(duì)應(yīng)用戶的賬號(hào)登錄狀態(tài)就會(huì)被Windows Server 2008服務(wù)器系統(tǒng)自動(dòng)記憶下來;下次，網(wǎng)絡(luò)管理員在啟動(dòng)Windows Server 2008服務(wù)器系統(tǒng)并輸入密碼，單擊“確定”按鈕后，系統(tǒng)屏幕上將會(huì)自動(dòng)彈出用戶賬號(hào)列表信息，從該列表中網(wǎng)絡(luò)管理員就能清楚地發(fā)現(xiàn)究竟是哪一些非法用戶趁網(wǎng)絡(luò)管理員短暫離開服務(wù)器的時(shí)刻偷偷訪問過本地服務(wù)器系統(tǒng)了，到時(shí)網(wǎng)絡(luò)管理員就能采取有效安全措施進(jìn)行應(yīng)對(duì)了。