本文介绍如何配置服务权限,包括设置服务的启动方式、指定服务登录的用户帐户等内容。此外,还详细介绍了各种服务权限的功能,如完全控制、查询模板、更改模板等。
服务权限
每个服务都有特定的权限,您可以将这些权限授予或不授予每一个用户或组。使用“安全模板”可设置单个服务的权限。
为了访问操作系统上的资源和对象,服务必须登录到某个帐户。一些服务在默认情况下被配置为登录到“本地系统”帐户,该帐户非常强大,可以对系统进行完全访问。如果某个服务登录到域控制器上的“本地系统”帐户,则该服务有权访问整个域。其他服务可被配置为登录 LocalService 或 NetworkService 帐户,这些特殊的内置帐户与经过验证的用户帐户类似。这些帐户对于资源和对象的访问级别与用户组成员相同。如果单个服务或进程受到危害,则通过上述受限制的访问将有助于保护系统。
作为 LocalService 帐户运行的服务访问网络资源时如同没有凭据的空会话。作为 NetworkService 帐户运行的服务在访问网络资源时使用计算机帐户的凭据。
|
配置如何启动服务
要点:
注意:
|
警告:
更改服务运行于其中的帐户可能导致该服务无法正确运行。
下表列出了可应用的单独服务权限。
| 访问权限 | 允许您 |
|---|---|
| 完全控制 | 执行所有功能。此权限将所有服务权限自动授予用户。 |
| 查询模板 | 确定与某个服务对象关联的配置参数。 |
| 更改模板 | 更改服务的配置。 |
| 查询状态 | 有关服务状态的访问信息。 |
| 列举依存关系 | 确定依存于指定服务的所有其他服务。 |
| 启动 | 启动服务。 |
| 停止 | 停止服务。 |
| 暂停和继续 | 暂停或继续服务。 |
| 询问 | 报告服务的当前状态信息。 |
| 用户定义的控制 | 将用户定义的控制请求或特定于服务的请求发送给服务。 |
| 删除 | 删除服务。 |
| 读取权限 | 读取指派给服务的安全权限。 |
| 更改权限 | 更改指派给服务的安全权限。 |
| 取得所有权 | 更改安全密钥,或更改关于不为用户所有的服务的权限。 |
打印的安全权限
打印机安装在网络上之后,系统会为它指派默认的打印机权限,该权限允许所有用户打印,并允许选择组来对打印机、发送给它的文档或这二者加以管理。因为打印机可用于网络上的所有用户,所以可能需要通过指派特定的打印机权限,来限制某些用户的访问权。例如,可以给部门中所有无管理权的用户设置“打印”权限,而给所有管理人员设置“打印和管理文档”权限。这样,所有用户和管理人员都能打印文档,但管理人员还能更改发送给打印机的任何文档的打印状态。
Windows 提供三种级别的打印安全权限:打印、管理打印机与管理文档。当给一组用户指派了多个权限时,将应用限制性最少的权限。但是,当应用了“拒绝”权限时,它将优先于其他任何权限。下面是对每一权限等级的用户可以执行的任务类型的简要说明。
1,打印
用户可以连接到打印机,并将文档发送到打印机。默认情况下,“打印”权限将指派给 Everyone 组中的所有成员。
2,管理打印机
用户可以执行与“打印”权限相关联的任务,并且具有对打印机的完全管理控制权。用户可以暂停和重新启动打印机、更改打印后台处理程序设置、共享打印机、调整打印机权限,还可以更改打印机属性。默认情况下,“管理打印机”权限将指派给 Administrators 组和 Power Users 组的成员。
默认情况下,Administrators 组和 Power Users 组的成员拥有完全访问权限,也就是说,这些用户拥有打印、管理文档以及管理打印机的权限。
3,管理文档
4,拒绝
在前面为打印机指派的所有权限都会被拒绝。如果访问被拒绝,用户将无法使用或管理打印机,或者更改任何权限。
按照安全组成员身份筛选组策略的作用域范围
- 打开要筛选作用域的组策略对象。
- 右键单击组策略对象图标或名称,显示以下内容:
组策略对象名称 [domain_controller_name.domain_name] 策略,
然后单击“属性”。 - “安全”选项卡,然后单击筛选该组策略对象所使用的安全组。
如果您希望更改筛选组策略对象所使用的安全组列表,请使用“添加”和“删除”按钮添加或删除安全组。
- 在选定安全组所对应的“权限”框中,选中或清除相应的复选框设置权限(如下表所示),然后单击“确定”按钮。
| 意图 | 权限 | 结果 |
|---|---|---|
| 该安全组的成员将该组策略对象应用到它们当中。 | 将“应用组策略”设置为“允许”。
将“读取”设置为“允许”。 | 除非这个安全组的成员至少是将“应用组策略”设置为“拒绝”、或将“读取”设置为“拒绝”、或将二者均设置为“拒绝”的其他一个安全组的成员,否则这个组策略对象会应用到安全组的所有成员中。 |
| 安全组的成员从这个组策略对象中删除。 | 将“应用组策略”设置为“拒绝”。
将“读取”设置为“拒绝”。 | 不管这个安全组中的成员在其他安全组中拥有什么权限,该组策略对象永远不会应用到这个安全组的成员中。 |
| 安全组中的成员身份与是否应用组策略对象无关。 | 将“应用组策略”设置为既不“允许”也不“拒绝”。
将“读取”设置为既不“允许”也不“拒绝”。 | 当且仅当这个安全组中的成员作为至少是其他一个安全组的成员将“应用组策略”和“读取”都设置为“允许”时,该组策略对象才会应用于这个安全组的成员。作为其他任何一个安全组的成员,这个安全组中的成员不得将“应用组策略”或“读取”设置为“拒绝”。 |
注意:
- 要打开组策略管理单元,请参阅相关主题。
- 只能将“组策略”对象应用于站点、域和组织单位。组策略设置只影响它们所包含的用户和计算机。特别注意,组策略对象不与安全组链接。
- 安全组在 Active Directory 中的位置与此过程所描述的对该安全组的筛选没有关系,也不会对它产生影响。
- 如果用户或计算机不能通过直接链接或间接继承的方式包括到从属于组策略对象的站点、域或组织单位中,则不存在任何安全组的权限组合,可使这些组策略设置对该用户或计算机产生影响。
- 正如此过程中所描述的那样,在组策略对象级别的筛选不管是否进行处理,都把组策略对象作为一个整体。软件安装及文件夹重定向扩展使用安全组精心设计组策略对象级别以外的控制。除了文件夹重定向和软件安装之外,安全组不用于筛选组策略对象的个别设置或子集。而对于个别设置的控制,则通过编辑或创建组策略对象来实现。
默认权限
组策略对象上的默认权限如下:
| 安全组 | 默认设置 |
|---|---|
| 经过验证的用户 | 读取、应用组策略 (AGP) |
| 本地系统 | 完全控制(包含 AGP) |
| 域管理员 | 读取、写入、创建子组策略对象、删除子组策略对象、AGP |
| 管理员 | 读取、写入、创建子组策略对象、AGP |
默认情况下,任何管理员都无法删除组策略对象“默认域策略”。这种限制的目的在于防止意外删除该组策略对象,它包含该域的重要和必要设置。如果因为某种原因必须删除“默认域策略”,则必须明确地向相应的组授予“删除”权限。这是组策略对象上的高级访问控制项 (ACE)。
有关“文件夹重定向”权限的详细信息,请参阅文件夹重定向。有关详细信息,请参阅设置“软件安装”的权限和资源。
扫一扫
3631
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
