winxp如何设置网络用户权限

公司一部分机是WIINXP，一部分是WIN98/ME，现在有个问题，有台机是WINXP，里面有个文件夹要共享出来，但要求有的机是只读属性，有的机能完全控制，请问要如何设置？？
之前我在别的论坛上提问过,得到很多人的鼎力相助,但至今仍没解决,现在我把全部再总结一次,希望有人能知道是哪里出现问题:
基本情况:
1.XP SP2系统,NTFS格式,启用了GUEST用户,防火墙关闭;
2.网络情况是工作组,组策略里设置了经典登录模式;
操作步骤:
1.添加两个用户:read,control,都是受限用户;
2.共享一个文件夹ABC,设置共享权限,删除everyone,添加read和control两个用户,read为只读,control为完全控制;
3.设置安全权限,在"高级"里取消"从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目"
4.在安全选项中,添加read和control两个用户,read为只读,control为完全控制,说明一点,因为我的用户名是jayzz,如果只是添加那两个用户,我就没有权限读写ABC,所以我再添加jayzz用户,并设置完全控制.
结果:
另外一台机,XP SP2系统,用户名是master,访问ABC,出现对话框:拒绝访问

失败!!!!!!!!!!!!!!

这是我在网上找到了.

在Windows XP中设置登陆用户权限
在一次帮助用户维护网络的时候，偶然发现Windows XP操作系统中的NET系列命令中多了一个Net User命令。经过仔细推敲和演练发现Net User不仅可以用来添加或修改用户或者显示用户信息，还可以对用户设置不同的限制，比控制面板中的“用户账户”的应用效果要好多了，大家不妨试试。

Net User命令是一个DOS命令，必须在Windows XP下的MS-DOS模式下运行，所以首先要进入MS-DOS模式：选择“开始”菜单的“附件”选项的子选项“命令提示符”，或在“开始”菜单的“运行”选项（快捷键为Win+R）中输入“cmd.exe”，进入MS-DOS模式。以下功能都基于此模式下。

建立一个普通新用户

在MS-DOS提示符中输入如下命令：“net user john 123 /add”，回车。即可新建一个名为“John”，密码为“123”的新用户。Add参数表示新建用户。

值得注意的是：用户名最多可有 20 个字符，密码最多可有 127 个字符。

建立一个登录时间受限制的用户

用以下方法可实现对电脑使用时间的控制。比如，需要建立一个John的用户账号，密码为“123”，登录权限从星期一到星期五的早上八点到晚上十点和双休日的晚上七点到晚上九点。

1. 12小时制可键入如下命令：“net user john 123 /add /times:monday-friday,8AM-10PM;saturday-sunday,7PM-9PM”，回车确定即可。

2. 24小时制可键入如下命令：“net user john 123 /add /times:M-F,8:00-22:00;Sa-Su,19:00-21:00”，回车确定即可。

值得注意的是：Time的增加值限制为1小时。对于Day值，可以用全称或缩写（即 M、T、W、Th、F、Sa、Su）。可以使用12小时或24小时时间表示法。对于12小时表示法，请使用AM、PM或A.M.、P.M.。All值表示用户始终可以登录；空值（空白）意味着用户永远不能登录。用逗号分隔日期和时间，用分号分隔日期和时间单元（例如，M,4AM-5PM;T,1PM-3PM）。指定时间时不要使用空格。

另外，Passwordchg:{yes no}参数可用来指定用户是否可以更改自己的密码，默认设置为 Yes。

限定用户的使用时间

Net User命令还可以使用参数Expires:{{mm/dd/yyyy dd/mm/yyyy mmm,dd ,yyyy} never} 使用户账号根据指定的Date过期限定用户。过期日期可以是 [mm/dd/yyyy]、[dd/mm/yyyy] 或[mmm,dd,yyyy]格式。它取决于国家（地区）代码。用户账号在指定日期开始时到期。对于月份值，可以使用数字、全称或三个字母的缩写（即Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec）。对于年份值，可以使用两位数或四位数；使用逗号和斜杠分隔日期的各部分；不要使用空格。

例如：要限定用户账号John到2004年11月5日到期，可键入如下命令：“net user john /expires:Nov/5/2004”，回车确定即可。

查看用户信息、修改已有用户密码和删除用户

如果在没有参数的情况下使用，则Net User将显示计算机上用户的列表，如键入以下命令：“net user”，回车即可显示该系统的所有用户。

如果键入：“net user john”，回车则可显示用户John的信息。

若键入命令：“net user john 123456 /add”，回车确定，则强制将用户John（John为已有用户）的密码更改为123456。

若键入命令：“net user john /delete”，回车确定则可删除用户John。

Windows下权限设置详解

创建时间：2005-02-15
文章属性：原创
文章提交：mrcool (mrcoolfuyu_at_tom.com)

随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗？其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO!

要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。
Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。

我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。

下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序；D盘为软件卷，该服务器上所有安装的软件都在D盘中；E盘是WEB程序卷，网站程序都在该卷下的WWW目录中；F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。为了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U 5.1.0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

假设服务器外网域名为http://www.webserver.com，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Power users拥有读&运，列和读权限；SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。对于Winnt，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！

现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。那么，怎样设置权限给这台WEB服务器才算是安全的呢？大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉；给系统卷的根目录多加一个Everyone的读、写权；给e:\www目录，也就是网站目录读、写权。最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权？网站中的ASP文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。

经过上面的讲解以后，你一定对权限有了一个初步了了解了吧？想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性 、优先性、交叉性的。

继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。

累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。

优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。

交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。
权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在NTFS分区中才能实现的，FAT32是不支持权限设置的。同时还想给各位管理员们一些建议：

1.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。

2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。

3.尽量不要把各种软件安装在默认的路径下

4.在英文水平不是问题的情况下，尽量安装英文版操作系统。

5.切忌在服务器上乱装软件或不必要的服务。

6.牢记：没有永远安全的系统，经常更新你的知识。

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/w3a4n4k.html