Windows 2003/2000 許可權配置

 windows的許可權是一個看似簡單,卻又十分難對付的一個問題.
有不少來網盟發問的朋友們覺得是一個難題,包括我們自己有的時候可能也有一點迷茫.
今天我要寫的就是windows下的許可權.有興趣的朋友來看一下.
本方法在2K/XP/2K3下順利實現.因為VISTA現在還不太成熟,不太福士化.我本人手裡的VISTA雖然用了不少時間了.之前有在本區發過一個淺析.寫的不好.所以今天先不說VISTA的許可權.這方法是我自己想的,請大家不要見笑.因為我自己一直在自己在試.所以請各位有興趣的朋友來指教一下,我也是一個菜鳥,高手就不要來笑話了.謝謝.
A.系統安裝前準備:
需要一張系統硬碟.GHOST盤也可以.C盤用FAT32格式的.其它盤用NTFS格式的.如果硬碟在60G以上的朋友,沒有其它的特殊要求的話,本人建議C盤化分為10G.分區在三個到四個為好.因為系統安裝比較容易.我就不說了.
B.系統安裝後調整:
系統安裝完畢後,我們要做別的最佳化調試,
加速顯卡,音效卡.設定PF.轉移IE COOKIES MY文檔.改名GUEST為其它.
改administrator為admin
開啟關機事件跟蹤,
開啟CAD鍵.(如果是特珠使用者,可以調自動登入:開始:運行:ctrol userpasswords2 進行選擇使用者,在要登入本機必須有密碼前面的勾打掉,填寫登入密碼)
在gpedit.msc裡做一些常用的設定.比如說你不想讓什麼檔案運行就可以加入.比如說PP.BT.THUNDER(根據個的愛好進行修改,在此我就不多說了)
最佳化及暫時安全.本人用的軟體有:TWEAKUI.EXE(網吧專欄最強一帖裡有下載DL Tweakui.exe),360安全衛士(DL 360 safer),其它就用手動來實現了.(這兩個軟體相當的好用,我就不做介紹了)是系統必用的.
需要說的是:本系統要建兩個超級使用者.兩個USER使用者(方便調許可權,及防止病毒,之後為這上個使用者佈建PF)注:一般來說個人使用者都用超管,其他朋友們如果有需要的話,必須用USER,這樣可以不裝任何殺毒軟體.因為我們用的PF不一樣.假設我們有USERZ.USERX.我們當前用的是:USERX的話,如果說系統中毒.我們以ADMIN的身份登入.DEL掉USERX以其他使用者登入就可以了.
最佳化服務:
##################################################
sc config Browser start= demand
sc config CryptSvc start= demand
sc config Dfs start= demand
sc config Dnscache start= demand
sc config helpsvc start= demand
sc config Nla start= disabled
sc config Spooler start= demand
sc config RemoteRegistry start= demand
sc config seclogon start= demand
sc config lanmanserver start= demand
sc config ShellHWDetection start= disabled
sc config Schedule start= demand
sc config Lmhosts start= demand
sc config W32Time start= demand
sc config WZCSVC start= demand
attrib +r +s +h c:boot
####################################################
取消DISK空間不足提醒:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoLowDiskSpaceChecks"=dword:00000001
開啟共用:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
"AutoShareServer"=dword:00000001
"AutoSharewks"=dword:00000001
我設的是開啟.
禁止系統還原功能:(同時這個可以在GPEIDT裡實現:電腦配置:管理模模板:系統:系統還原:)
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore]
"DisableSR"=dword:00000001
加快開機速度:(我的電腦:屬性:進階:啟動和故障恢複:BOOT.INI>TIME=0)
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERControl PanelDesktop]
"WaitToKillAppTimeout"="100"

修改PORT:
修改3389遠端連線連接埠 修改註冊表. 開始--運行--regedit 依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右邊索引值中 PortNumber 改為你想用的連接埠號碼.注意使用十進位(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右邊索引值中 PortNumber 改為你想用的連接埠號碼.注意使用十進位(例 10000 ) 注意：別忘了在WINDOWS2003內建的防火牆給+上10000連接埠

備份一個註冊表檔案,關鍵時候用一下:(EXE檔案關聯)
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTexefileshellopencommand]
@=""%1" %*"
之後開始運行:cmd
regsvr32 /u zipfldr.dll
sfc /purgecache
之後---------------------------------------------------------------------------------------------
@echo off
color 1f
echo 張向麗正在清除系統垃圾檔案，請稍等QQ：25335167....
del /f /s /q %systemdrive%*.tmp
del /f /s /q %systemdrive%*._mp
del /f /s /q %systemdrive%*.log
del /f /s /q %systemdrive%*.gid
del /f /s /q %systemdrive%*.chk
del /f /s /q %systemdrive%*.old
del /f /s /q %systemdrive%recycled*.*
del /f /s /q %windir%*.bak
del /f /s /q %windir%prefetch*.*
rd /s /q %windir%temp & md %windir%temp
del /f /q %userprofile%cookies*.*
del /f /q %userprofile%recent*.*
del /f /s /q d:Temporary Internet Files*.*"
del /f /s /q "%userprofile%Local SettingsTemp*.*"
del /f /s /q "%userprofile%recent*.*"
echo 清除系統LJ完成，好累呀，去htpp://bbs.bitscn.com上玩一下,閃人先~
echo. & pause
---------------------------------------------------------------------------------------------
上面的儲存為BAT檔案,可以加入關機指令碼.
編輯一下HOSTS檔案:
下面是我自己加的幾個:
0.0.0.0 www.ebay.com
0.0.0.0 download.cnnic.com
0.0.0.0 download.3721.com
之後把關鍵的EXE及控制台檔案改名:如regedit cmd gpedit ftp tftp secpol diskmgmt,等重要涉及系統安全的檔案改名:如此以來自己要記下來,不要自己都記不下來了.之後在C盤從組策略中禁止訪問.禁止通過地址欄訪問.現在開始說一下許可權
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
windows使用者介紹:
Administrators,Administrator 群組，預設情況下，Administrators中的使用者對電腦/域有不受限制的完全訪問權。分配給該組的預設許可權允許對整個系統進行完全控制。所以，只有受信任的人員才可成為該組的成員。
Power Users，進階使用者組，Power Users 可以執行除了為 Administrators 組保留的任務外的其他任何作業系統任務。分配給 Power Users 組的預設許可權允許 Power Users 組的成員修改整個電腦的設定。但Power Users 不具有將自己添加到 Administrators 組的許可權。在使用權限設定中，這個組的許可權是僅次於Administrators的。

Users:普通使用者組，這個組的使用者無法進行有意或無意的改動。因此，使用者可以運行經過驗證的應用程式，但不可以運行大多數繼承應用程式。Users 組是最安全的組，因為分配給該組的預設許可權不允許成員修改作業系統的設定或使用者資料。Users 組提供了一個最安全的程式運行環境。在經過 NTFS 格式化的卷上，預設安全設定旨在禁止該組的成員危及作業系統和已安裝程式的完整性。使用者不能註冊表設定、作業系統檔案或程式檔案。Users 可以關閉工作站，但不能關閉伺服器。Users 可以建立本機群組，但只能修改自己建立的本機群組。

Guests:來賓組，按預設值，來賓跟普通Users的成員有同等訪問權，但來賓帳戶的限制更多。

Everyone:顧名思義，所有的使用者，這個電腦上的所有使用者都屬於這個組。
根據自己的需要,如果你有要經常寫入的檔案那麼請你留下一個可以寫入的盤.請你請定寫入的使用者不是當前的超級使用者{比如當前登入的是ADMIN,另外一個是server,請指定寫入的使用者:server .完全控制.這是可寫的.}
當然,如果你除C盤以外有重要的EXE檔案不想讓別人運行.
那麼點擊本檔案右鍵:屬性 安全,指定一個不是目前使用者的超管,完全控制,
之後你點擊的時候就會出現找不到檔案.那樣我們就RUN AS:使用者:密碼就可以運行了.
然後我們設大方面的許可權:只留一個EVERYONE,因為本使用者已經包括經過驗證的:GUEST使用者.唯讀
(注意這裡是只要一個唯讀,在進階許可權裡去掉,繼承權.只留一個唯讀)
現在你發現在已經調過許可權的盤裡,複製東西的鍵是灰的.刪除不管用
(當然你可以在組策略裡去掉安全選項:使用者管理:windows組件:資源管理員:前提是你得會CMD中的CACLS.)具體用法:
[/T] [/E] [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]]

　　Filename——顯示訪問近制列表（以下簡稱ACL）；

　　/T——更改目前的目錄及其所有子目錄中指定檔案的 ACL；

　　/E—— 編輯 ACL 而不替換；

　　/C——在出現拒絕訪問錯誤時繼續；

　　/G user:perm——賦予指定使用者存取權限。Perm 可以是R（讀取）、W（寫入）、C（更改，寫入）、F （完全控制）；

　　/R user——撤銷指定使用者的存取權限(僅在與 /E 一起使用)；

　　/P user:perm——替換指定使用者的存取權限；/D user——拒絕指定使用者的訪問。
執行個體一：查看檔案夾的存取控制許可權

　　例如，這裡我們希望查看h:temp檔案夾的存取控制許可權，那麼只需要在“開始→運行”對話方塊或切換到命令提示字元模式下，鍵入如下命令：Cacls h:temp

　　此時，我們會看到所有使用者組和使用者對h:temp檔案夾的存取控制許可權項目，這裡的CI表示ACE會由目錄繼承，OI表示ACE會由檔案繼承，IO表示ACI不適用於當前檔案或目錄，每行末尾的字母表示控制許可權，例如F表示完全控制，C表示更改，W表示寫入。

　　如果你希望查看該檔案夾中所有檔案(包括子檔案夾中的檔案)的存取控制許可權，可以鍵入“Cacls h:temp .”命令。

　　執行個體二：修改檔案夾的存取控制許可權

　　假如你希望給予本機使用者bitscn完全控制h:temp檔案夾及子檔案夾中所有檔案的存取權限，只需要鍵入如下命令： 　　

Cacls h:temp /t /e /c /g bitscn:f

　　這裡的“/t”表示修改檔案夾及子檔案夾中所有檔案的ACL，“/e”表示僅做編輯工作而不替換，“/c”表示在出現拒絕訪問錯誤時繼續，而“/g bitscn:f”表示給予本機使用者bitscn以完全控制的許可權，這裡的“f”代表完全控制，如果只是希望給予讀取許可權，那麼應當是“r”。

　　執行個體三：撤銷使用者的存取控制許可權

　　如果你希望撤銷bitscn戶對h:temp檔案夾及其子檔案夾的存取控制許可權，可以鍵入如下命令：

　　cacls h:temp /t /e /c /r bitscn

　　如果只是拒絕使用者的訪問，那麼可以鍵入如下命令：

　　cacls h:temp /t /e /c /d bitscn
.所以說現在你可以只裝一個360來運行系統.
如果你想用NTFS來運行系統的話那麼;C盤也一樣和上面設定.不過如此一來,關鍵檔案你就用RUNAS,不用改名了
當然系統的許可權設的越高,就越麻煩.