ITKE成员BillBald提出了这个问题:
我需要重新整理使用Windows Server 2003和Windows XP专业版的网络。虽然有可能登录到驻留在服务器上的域(domain),但是用户通常不登录到这个域。相反,他们使用服务器所不知道的用户名登录到本地计算机上。通过在快捷方式和在脚本中使用服务器的IP地址,未经授权的用户可以访问存储在服务器上的文件。我认为,服务器允许未经授权的访问,这在一定程度上就丧失了安全性。我不确定是否会出现这样的事情,但我最近发现路由器正被用作动态主机配置协议(DHCP)服务器,而非用于运行Win2003。谁可以提出一种方法来强制用户登录到域,从而阻止这种未经授权的行为呢?
ITKE成员lerandell的回答:
这听起来好像是所有的系统由相同的用户名和密码创建。我倾向于相信他们使用的是“管理员”用户名。如果“管理员”帐户存储在两台计算机上,并且帐户的密码是“p@ssw0rd,”那么每个客户都可以使用另外一个网络帐户。为了制止这种情况,将本地管理员帐户更改为一些用户不会知道的名称。这很容易做到,只需修改分组策略(Group Policies)。这还需要更改域控制器和工作站的帐户,这将迫使每个人都使用给其指定的域用户帐户。此外,如果你想跟踪试图访问该帐户的用户,那么创建一个虚假的、不可用的管理员帐户并使用它来达到安全登录的目的。
ITKE成员Guardian的回答:
我会检查域安全策略和本地安全策略。确保每个已经进入到域的用户权限并没有受到限制。用户必须经过身份验证才能访问域和资源。其中大多数操作你可以在管理工具中找到。删除工作组电脑,就像在XP的家庭版中进行操作一样(键入你的域名系统(DNS)后缀,然后选择“更改DNS后缀”)。
ITKE成员dwiebesick的回答:
要限制本地登录,你可以使用组策略。在组策略下有可以使用的安全设置,计算机可以在本地配置windows设置安全性、设置本地用户权限和分配方法,这些你都可以通过阅读微软知识库(Knowledge Base)中编号为823659的文章进行了解。
你还可以更改新技术文件系统(New Technology File System ,NTFS)的安全设置来控制最终用户可以访问哪些文件和文件夹。对它进行设置后,只有通过身份验证的用户才可以访问你认为是适当的授权域。
如果你知道用户正在使用的用户名和密码,那你需要对它进行修改。如果你是本地计算机的管理员帐户,可以使用脚本轻易地更改它们。
ITKE成员astronomer的回答:
看来好像你有一个像工作组那样工作的域。如果你有权限,那么你可以创建一个与本地帐户不同名的域帐户。然后,禁用任何域帐户(或者至少更改密码),这常被用来实现域安全,并强制用户使用他们自己的域帐户。你需要确保的是,用户使用他们自己的域帐户来获取服务器上所需的资源。
但是,请记住,我假设工作站都是域的成员。一旦用户开始使用域帐户进行登录,那么需要开始使用组策略来对他们进行管理。
为了准确起见,使用什么设备作为DHCP的服务器是无关紧要的,只要它为你的环境提供适当的地址和选项即可。对于单一子网来说,使用路由器应该是一个合理的选择。由于它没有硬盘驱动器,所以可能会比服务器更加可靠。
ITKE成员DaJackal的回答:
以下是我对这一问题可能采取的做法。首先,转到:开始“>程序”>管理工具“>域控制器安全策略。然后,进一步设置安全选项。
下一步,验证如下的两个项目:
网络访问:允许“每个人”的权限适用于匿名用户--->禁用
网络访问:不允许存储区管理(SAM)帐户和共享的匿名枚举--->启用。
选择这两个选项,就应该能够正确处理匿名访问的问题。
***,我会验证用户正在登录的本地帐户是否不同于你的域或本地域控制器中的帐户。如果你乐意,这些用户名可以是相同的,但你必须确保密码是不同的,并且用户不知道密码是什么。因此,如果用户名是相同的,该域将提示他们输入密码。不幸的是,Windows仅确认用户名,而不验证的安全标识符(SID)。但按照这些步骤,你应该能够解决服务器未经授权访问的问题。
