提供对各类管理工具的访问权限

1. 如何授予用户对报表服务器的访问权限（报表管理器）

在新安装的报表服务器上，只有作为本地 Administrators 组的成员的用户具有对报表服务器内容和操作的权限。若要使其他用户可以使用报表服务器，必须创建将用户帐户或组帐户映射到指定任务集合的预定义角色的角色分配。对于配置为本机模式的报表服务器，使用报表管理器向角色分配用户。有两种类型的角色：项级角色用于查看、添加和管理报表服务器内容、订阅、报表处理和报表历史记录。可以对根节点（主文件夹）或位于该层次结构中的特定下级文件夹或项定义项级角色分配。系统级角色授予对不限于任何特定项的站点范围操作的访问权限。例如，使用报表生成器和使用共享计划。两种类型的角色互为补充，应结合使用。因此，将用户添加到报表服务器的操作分为两个部分。如果将用户分配到项级角色，则还应将该用户分配到系统级角色。将用户分配到角色时，必须选择已定义的角色。若要创建、修改或删除角色，请使用 SQL Server�0�2Management Studio。有关详细信息，请参阅如何创建、删除或修改角色 (Management Studio)。对于配置为 SharePoint 集成模式的报表服务器，使用 SharePoint 权限从 SharePoint 站点配置访问权限。对 SharePoint 站点的权限级别确定对报表服务器内容和操作的访问权限。您必须是站点管理员才能授予对 SharePoint 站点的权限。有关详细信息，请参阅在SharePoint 站点上授予对报表服务器项的权限。开始之前在将用户添加到本机模式的报表服务器之前查看以下列表。您必须是报表服务器计算机上本地 Administrators 组的成员。如果在 Windows Vista 或 Windows Server 2008 上部署 Reporting Services，则需要进行额外配置，然后才能在本地管理报表服务器。有关详细信息，请参阅如何在 Windows Vista 和 Windows Server 2008 上为本地管理配置报表服务器 (UAC)。若要将此任务委托给其他用户，请创建将用户帐户映射到“内容管理员”和“系统管理员”角色的角色分配。具有“内容管理员”和“系统管理员”权限的用户可以将用户添加到报表服务器。在SQL Server�0�2Management Studio 中，查看“系统角色”和“用户角色”的预定义角色，以便熟悉每个角色中的各种任务。由于报表管理器中不显示任务说明，因此需要在开始添加用户之前熟悉角色。根据需要自定义这两个角色或定义其他角色以包括所需的任务集合。例如，如果计划对单独的项使用自定义安全设置，则可能希望创建新的角色定义以授予对文件夹的查看访问权限。有关详细信息，请参阅教程：在 Reporting Services 中设置权限。向系统角色添加用户或组启动报表管理器。单击“站点设置”。单击“安全”。单击“新建角色分配”。在“组或用户名”中，输入以下格式的 Windows 域用户帐户或组帐户：<域>\<帐户>。如果使用窗体身份验证或自定义安全性，则以适用于您的部署的格式指定该用户帐户或组帐户。选择一个系统角色，然后单击“确定”。角色是可累积的，因此如果同时选择了“系统管理员”和“系统用户”，则用户或组可以执行这两种角色的任务。重复上述步骤，为其他用户或组创建分配。向项角色添加用户或组启动“报表管理器”并找出您要为其添加用户或组的报表项。悬停在该项之上，然后单击下拉箭头。在下拉菜单中，单击“安全性”。单击“新建角色分配”。注意如果某项当前从父项继承安全性，则在工具栏中单击“编辑项安全设置”可以更改安全设置。然后，单击“新建角色分配”。在“组或用户名”中，输入以下格式的 Windows 域用户帐户或组帐户：<域>\<帐户>。如果使用窗体身份验证或自定义安全性，则以适用于您的部署的格式指定该用户帐户或组帐户。选择一个或多个角色定义（说明用户或组应如何访问该项），再单击“确定”。重复上述步骤，为其他用户或组创建分配。

2. 数据库操作权限的种类

Navicat是一个强大的MySQL数据库管理和开发工具。Navicat为专业开发者提供了一套强大的足够尖端的工具，但它对于新用户仍然是易于学习。Navicat,使用了极好的图形用户界面（GUI），可以让你用一种安全和更为容易的方式快速和容易地创建、组织、存取和共享信息。用户可完全控制 MySQL 数据库和显示不同的管理资料，包括一个多功能的图形化管理用户和访问权限的管理工具，方便将数据从一个数据库移转到另一个数据库中（Local to Remote、Remote to Remote、Remote to Local），进行档案备份。 Navicat 支援 Unicode，以及本地或遥距 MySQL 服务器多连线，用户可浏览数据库、建立和删除数据库、编辑数据、建立或执行 SQL queries、管理用户权限（安全设定）、将数据库备份/复原、汇入/汇出数据（支援 CSV, TXT, DBF 和 XML 档案种类）等。新版与任何 MySQL 5.0.x 服务器版本兼容，支援 Triggers，以及 BINARY VARBINARY/BIT 数据种类 等的风范。
Navicat 8.0.27 主要功能
－表单检视(新增)
－虚拟群组(新增)
－自动完码(新增)
－排程工作结果自动传送电子邮件(新增)
－查询、 检视及事件自动完码(新增)
－报告可汇出成各种格式，PDF, Excel, HTML 等(新增)
－超时自动重新连接到SQL服务器
－数据和结构同步
－导出注册文件以传送到另外的计算机
－新查询创建器--为不同的数据库创建查询
－查询参数
－SQL控制台
－建立查看
－SSH密钥
－支持所有MySQL版本
－SSH及HTTP隧道
－汇入/汇出数据
－报表设计及建立
Navicat for MySQL
——下载次数最多的MySQL数据库管理和开发工具
www.innovatedigital.com 整理
多种格式的导入导出能力,使维护数据的过程很容易。
批量的工作调度处理,有力减轻了数据库管理员的负担。
快速地实现广域网远程连接,更加安全简便。
智能地构建复杂的SQL语句，提高开发效率。
产品概述
Navicat MySQL是一个强大的MySQL数据库服务器管理和开发工具。它可以与任何3.21或以上版本的MySQL一起工作，并支持大部分的MySQL最新功能，包括触发器、存储过程、函数、事件、视图、管理用户，等等。它不仅对专业开发人员来说是非常尖端的技术，而且对于新手来说也易学易用。其精心设计的图形用户界面（GUI），Navicat MySQL可以让你用一种安全简便的方式快速并容易地创建，组织，访问和共享信息。
Navicat MySQL在三种平台上是可用的——微软Windows、Mac OS X 和Linux操作系统。它可以使用户连接到本地/远程服务器，提供了几种实用工具，例如数据结构同步、导入/导出、备份和报告，使维护数据的过程很容易。
自从2001年初以来，Navicat在全世界范围内已被下载了数百万次；Navicat是公认最受欢迎的MySQL前端图形用户界面，而且它对于本地或远程的MySQL管理和开发，在三种操作系统平台上——Windows、Mac OS X和Linux都是可用的。在过去的5年中，Navicat已在最好的服务器管理工具类别的几个奖项中被提名，并且被许多托管公司选为一种标准的托管工具，例如Rackspace公司，是最成功的管理托管公司之一。
在世界各地的全球企业，政府机构和教育机构，Navicat是众所周知的，可以信任并且每天都要使用的。通常世界500强的公司中100多个都使用Navicat。
详细资料请参考： http://www.innovatedigital.com/DatabasesTuning/Navicat.shtml

3. 文件服务器权限管理

如何做一台文件服务器
假如你是某公司的系统管理员，现在公司要做一台文件服务器。公司购买了一台某品牌的服务器，在这台服务器内插有三块硬盘。
公司有三个部门---销售，财务，技术。每个部门有三个员工，其中一名是其部门经理（另两名是副经理）1. 在三块硬盘上共创建三个分区（盘符）,并要求在创建分区的时候，使磁盘实现容错的功能；
2. 在服务器上创建相应的用户帐号和组；
命名规范，如：用户名：sales-1，sales-2……；组名：sale，tech……
要求用户帐号只能从网络访问服务器，不能在服务器本地登录
3. 在文件服务器上创建三个文件夹分别存放各部门的文件，并要求只有本部门的用户能访问其部门的文件夹（完全控制的权限），每个部门的经理和公司总经理可以访问所有文件夹（读取），另创建一个公共文件夹，使得所有用户都能在里面查看和存放公共的文件；
4. 每个部门的用户可以在服务器上存放最多100M的文件；
5. 做好文件服务器的备份工作以及灾难恢复的备份工作；
发送给我的好友 提醒我回答有更新
你可以把这个生意经分享给旺旺，MSN或QQ上的好友

当这个生意经的回答有更新时，您可以及时收到提醒

发送给好友

生意经链接：
窗体顶端

发送描述：
窗体底端

郁闷啦!看看这个问题，你一定要帮我啊！

这个东东太实用了，看完记得收藏哦！

旺旺浮出提醒好友

生意经的地址已经复制
您可以粘帖到MSN或者邮件发给您的好友

收藏成功，回答有更新时旺旺会浮出提醒你哦！现在就去查看我的收藏

网友回答

(1) 学会安装和配置文件服务器。

(2) 学会服务器端共享文件夹的配置和管理。

(3) 学会客户端访问共享文件夹的方法。

(4) 学会分布式文件系统的设置方法。

(5) 实验学时：2

2 实验相关理论与知识

计算机网络的基本功能是在计算机间共享信息，文件共享可以说是最基本、最普遍的一种网络服务。虽然越来越多的用户购置专用文件服务器(如NAS)，但是通用操作系统提供的文件服务器功能也非常实用，完全能满足一般的文件共享需求，下面主要介绍Windows Server 2003文件服务器的配置、管理和应用。

文件服务器负责共享资源的管理和传送接收，管理存储设备(硬盘、光盘、磁带)中的文件，为网络用户提供文件共享服务，也称文件共享服务器。除了文件管理功能之外，文件服务器还要提供配套的磁盘缓存、访问控制、容错等功能。部署文件服务器，主要要考虑以下3个因素。

·存取速度：快速存取服务器上的文件，例如可提供磁盘缓存加速文件读取。

·存储容量：要有足够的存储空间以容纳众多网络用户的文件，可使用磁盘阵列。

·安全措施：实现网络用户访问控制，确保文件共享安全。

文件服务器主要有两类解决方案，一类是专用文件服务器，另一类是使用PC服务器或PC计算机组建的通用文件服务器。

专用文件服务器是专门设计成文件服务器的专用计算机，以前主要是运行操作系统、提供网络文件系统的大型机、小型机，现在的专用文件服务器则主要指具有文件服务器的网络存储系统，如NAS和 SAN。NAS独立于操作系统平台，可支持多种操作系统和网络文件系统，提供集中化的网络文件服务器和存储环境，比一般的文件服务器的功能更强大，可看作是专用存储服务器，可为那些访问和共享大量文件系统数据的用户提供高效、性能价格比优异的解决方案。SAN全称存储区域网络，是一种用户存储服务的特殊网络，通常由磁盘阵列、光盘库、磁带库和光纤交换机组成。NAS可作为独立的文件服务器，提供文件级的数据访问功能，更适合文件共享。而SAN提供数据块级的数据访问功能，更适合数据库和海量数据。

目前一般用户使用PC服务器或PC计算机，通过网络操作系统来提供文件服务，UNIX、Linux、Novell、 Windows等操作系统都可提供文件共享服务。Windows网络操作系统，如Windows NT Server、Windows2000 Server和最新的Windows Server 2003由于操作管理简单、功能强大，在中小用户群中的普及率非常高，许多文件服务器都运行Windows网络操作系统。下面将重点以Windows Server 2003为例介绍文件服务器的配置、管理和应用。

3 实验环境与设备

C/S模式的网络环境，包括一台Windows XP客户机和一台Windows Server 2003服务器。

两种可选的物理拓扑（交叉线连接或通过集线器/交换机用直连线连接）。

4 实验内容与步骤

4.0 服务器的基本网络配置，包括IP地址为"192.168.105.XX"、网关为"192.168.105.254"等。(注："XX"代表你配置机器的主机编号，"nXX"代表你的服务器主机名，例如你坐在5号机上则"XX"代表"05"，"1XX"代表"105"，配置此机的IP地址为"192.168.105.5"、主机名为"n05"，下同)。

4.1 安装和配置文件服务器

文件服务器提供网络上的中心位置，可供存储文件并通过网络与用户共享文件。当用户需要重要文件时，可以访问文件服务器上的文件，而不必在各自独立的计算机之间传送文件。如果网络用户需要对相同文件和可通过网络访问的应用程序的访问权限，就要将该计算机配置为文件服务器。默认情况下，在安装Windows Server 2003系统时，将自动安装"Microsoft网络的文件和打印共享"网络组件。如果没有该组件，可通过网络连接属性对话框安装。

1．准备工作

在部署文件服务器之前，应当做好以下准备工作。

·划出专门的硬盘分区(卷)用于提供文件共享服务，而且要保证足够的存储空间，必要时使用磁盘阵列。

·磁盘分区(卷)使用NTFS文件系统，因为FAT32缺乏安全性，而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限等重要特性。

提示：使用Windows Server 2003自带的工具即可将FAT32转换成NTFS格式。该工具名为Convert.exe，位于Windows安装目录下的System32目录中。在命令行状态运行该工具即可，如Convert E:/FS:NTFS。

·确定是否要启用磁盘配额，以限制用户使用的磁盘存储空间。

·确定是否要使用索引服务，以提供更快速、更便捷的搜索服务。

2．配置文件服务器

只要将Windows Server 2003计算机上的某个文件夹共享出来，就会自动安装文件服务器，也可通过"配置您的服务器向导"工具来安装文件服务器角色。这两种方法的差别是，第二种方法提供更多的选项，并在程序菜单中提供文件服务器管理台工具。这里介绍采用第二种方法的基本步骤。

(1) 启动"配置您的服务器向导"工具。默认情况下，登录Windows Server 2003时将自动启动"管理您的服务器"(也可从控制面板中选择【管理工具】→【管理您的服务器】)，单击【添加或删除角色】。另一种方法是直接从控制面板中选择【管理工具】→【管理您的服务器】→【配置您的服务器向导】。单击【下一步】按钮。

(2) 在【配置选项】界面中选择【自定义配置】，单击【下一步】按钮。

(3) 在【服务器角色】界面中，如果【文件服务器】的【已配置】状态为"否"，就单击【文件服务器】，然后单击【下一步】。

注意：如果【文件服务器】的【已配置】状态为"是"，就单击【文件服务器】，再单击【下一步】按钮打开【角色删除确认】界面，并选择【删除文件服务器角色】复选框，即可删除文件服务器角色，这样该服务器上的文件和文件夹就不再共享，依赖于这些共享资源的网络用户、程序或宿主都将无法与它们连接。

(4) 出现【文件服务器磁盘配额】对话框中，为服务器上所有NTFS分区设置默认的磁盘配额。勾选【为此服务器的新用户设置默认磁盘空间配额】和【拒绝将磁盘空间给超过配额限制的用户】。单击【下一步】按钮。默认情况下是没有启用磁盘配额。

(5) 出现【文件服务器索引服务】对话框，确定是否要使用索引服务。单击【下一步】按钮。一般情况下不需索引服务，只有在用户要经常搜索该服务器上的文件内容时才启用它。

(6) 出现【选择总结】对话框，查看和确认已经选择的选项，单击【下一步】按钮。

本例中有"设置默认磁盘配额"、"安装文件服务器管理"和"运行共享文件夹向导来添加一个新的共享文件夹或共享已有文件夹"等选项。

(7) 自动完成相关配置后，出现共享文件夹向导，根据提示配置共享文件夹以供其他用户共享。只有配置了共享文件夹之后，文件服务器才能建立。

(8) 单击【下一步】按钮，出现【文件夹路径】对话框，指定要共享的文件夹路径。可通过【浏览】在C盘目录下新建一个【FileShare】作为共享目录，此时【文件夹路径】输入框中将出现【C:FileShare】（如果C盘中已经建立过此文件夹，才可以在此输入框中直接输入）。

(9)单击【下一步】按钮，出现【名称、描述和设置】对话框，指定共享名。

(10) 单击【下一步】按钮，出现【权限】对话框，指定共享权限为【管理员有完全访

问权限；其他用户有只读访问权限】，单击【完成】按钮。这里提供了几种预置的权限，也可以自定义权限。

(11)【共享成功】对话框中显示共享成功，给出新建共享文件夹的信息。如果要继续设置其他共享文件夹，则选中下面的复选框。单击【关闭】按钮，【完成】。

至此文件服务器配置就完成了。接下来可执行各项文件管理任务。

3．文件服务器管理工具（以下方法至少掌握一种）

Windows Server 2003提供了用于文件服务器配置管理的多种工具。

·文件服务器管理控制台：打开"管理您的服务器"工具，在【文件服务器】区域单击【管理此文件服务器】，打开该控制台。要使用"配置您的服务器向导"工具安装文件服务器，可从程序菜单中选择【管理工具】→【文件服务器管理】命令打开该控制台。

·"共享文件夹"管理工具：也可通过"计算机管理"工具中的"共享文件夹"管理工具来执行共享文件夹的配置管理，从程序菜单中选择【管理工具】→【计算机管理】，展开【共享文件夹】节点即可。

·Windows资源管理器：可直接将文件夹配置为共享文件夹。

·命令行工具：如net share可显示有关本地计算机上全部共享资源的信息。

4. 计算机管理员怎么设置Guest用户访问权限。

一、限制用户对文件的访问权限
如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。
例如，要禁止受限用户运行OutlookExpress应用程序，可以进行如下的操作：
（1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。
（2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。
（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。
（4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。
（5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。
要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。
这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，一切都无从谈起。
对于FAT/FAT32格式的分区，不能应用文件及文件夹的安全选项，我们可以通过设置计算机的策略来禁止运行指定的应用程序。

二、启用“不要运行指定的Windows应用程序”策略
在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。设置方法如下：
（1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器，或者运行mmc命令启动控制台，并将“组策略”管理单元加载到控制台中；
（2）、依次展开“‘本地计算机’策略”“用户设置”“管理模板”，点击“系统”，双击右侧窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。
（3）、点击“添加”，输入不运行运行的应用程序名称，如命令提示符cmd.exe，点击“确定”，此时，指定的应用程序名称添加到禁止运行的程序列表中。
（4）、点击“确定”返回组策略编辑器，点击“确定”，完成设置。
当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。
这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要注意的是，不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。
提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序(notepad.exe)添加不运行列表中，通过XP的桌面运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。

三、设置软件限制策略
软件限制策略是本地安全策略的一个组成部分，管理员通过设置该策略对文件和程序进行标识，将它们分为可信任和不可信任两种，通过赋予相应的安全级别来实现对程序运行的控制。这个措施对于解决未知代码和不可信任代码的可控制运行问题非常有效。软件设置策略使用两个方面的设置对程序进行限制：安全级别和其他规则。
安全级别分为“不允许的”和“不受限制的”两种。其中，“不允许的”将禁止程序的运行，不论用户的权限如何；“不受限的”允许登录用户使用他所拥有的权限来运行程序。
其它规则，即由管理员通过制定规则对指定的一批或一个文件和程序进行标识，并赋予“不允许的”或“不受限的”安全级别。在这个部分中，管理员可以制定四种类型的规则，按照优先级别分别是：散列规则、证书规则、路径规则和Internet区域规则，这些规则将对文件的访问和程序的运行提供最大限度的授权级别。
软件限制策略的设置
1、访问软件限制策略
作为本地安全策略的一部分，软件限制策略同时也包含在组策略中，这些策略的设置必须以administrator账户或Administrators组成员的身份登录系统。软件限制策略的访问方式有两种：
（1）、在“开始”“运行”处运行secpol.msc，启动本地安全策略编辑器，在“安全设置”下可以看到“软件限制策略”项目。
（2）、在“开始”“运行”处运行gpedit.msc，启动组策略编辑器，在“计算机设置”“Windows设置”“安全设置”下可以看到“软件限制策略”。
2、新建软件限制策略
首次打开“软件限制策略”时，该项目是空的。策略需要由管理员手动添加。方法是点击“软件限制策略”使其处于选中状态，点击编辑器窗口“操作”菜单下的“新建一个策略”项目，此时可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性，如图2所示。一旦执行了新建策略操作后，就不能再次执行该操作，并且这个策略也不能删除。
3、设置默认的安全级别
新建软件限制策略后，策略的默认安全级别为“不受限的”，如果要更改默认的安全级别，需要在“安全级别”中进行设置，方法如下：
（1）、打开“安全级别”，在右侧窗格中，可以看到有两条设置，其中图标中带有一个小对号的设置为默认设置；
（2）、点击不是默认值的那条设置，单击右键，选择“设置为默认”项。当设置“不允许的”为默认值时，系统会显示一个提示信息对话框，点击“确定”即可。
该步骤也可以双击非默认的设置，在弹出的属性窗口中，点击“设为默认值”。
4、设置策略的作用范围和对象
通过策略的“强制”属性可以设置策略应用的软件文件是否包含库文件以及作用的对象是否包含管理员账户。通常情况下，为了避免引起系统不必要的问题以及便于对系统的管理，策略的作用范围应设置为不包含库文件的所有软体文件，作用对象设置为除本地管理员外的所有用户。设置的方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“强制”属性项目；
（2）、选择“除去库文件（如Dll文件）以外的所有软体文件”选项和“除本地管理员以外的所有用户”选项，单击“确定”。
5、制定规则
只通过安全级别的设置，显然不能很好的实现对文件和程序的控制，必须通过制定合理的规则来标识那些禁止或允许运行的文件和程序，并进而实现对这些文件和程序的灵活控制。上文中提到可制定规则的类型有四种：散列规则、证书规则、路径规则和Internet区域规则。它们标识文件以及制定规则的方法如下：
散列规则：利用散列算法计算出指定文件的散列，这个散列是唯一标识该文件的一系列定长字节。制定了散列规则后，用户访问或运行文件时，软件限制策略会根据文件的散列及安全级别来允许或阻止对该文件进行访问或运行。当文件移动或重命名，不会影响文件的散列，软件限制策略对该文件依然有效。制定方法如下：
（1）、点击“软件限制策略”下的“其它规则”，在“其他规则”上单击右键，或在右侧窗格的空白区域单击右键，选择“新散列规则”。
（2）、点击“浏览”，指定要标识的文件或程序，例如cmd.exe，确认后，在文件散列中可以看到计算出来的散列，在“安全级别”中选择“不允许的”或“不受限的”，点击“确定”，在“其它规则”中可以看到新增了一条类型为散列的规则。
证书规则：利用与文件或程序相关联的签名证书进行标识。证书规则需要的证书可以是自签名的、由证书颁发机构（CA）颁发或是由Windows2000公钥机构发布。证书规则不应用于EXE文件和DLL文件，它主要应用于脚本和Windows安装程序包。当某个文件由其关联的签名证书标识后，运行该文件时，软件限制策略会根据该文件的安全级别来决定是否可以运行。文件的移动和更名不会对证书规则的应用产生影响。制定证书规则时要求能够访问到用来标识文件的证书文件，证书文件的扩展名为.CER。创建方法同散列规则。
路径规则：利用文件或程序的路径进行标识，该规则可以针对一个指定的文件、用通配符表示的一类文件或是某一路径下的所有文件及子文件夹中的文件。由于标识是由路径来完成的，当文件移动或重命名时，路径规则会失去作用。在路径规则中，根据路径范围的大小，优先级别各有高低，范围越大，优先级越低。通常路径的优先级从高到低为：指定的文件、带路径的以通配符表示的一类文件、通配符表示的一类文件、路径、上一级路径。创建方法同散列规则。
Internet区域规则：利用应用程序下载的Internet区域进行标识。区域主要包括：Internet、本地Intranet、本地计算机、受限制的站点、受信任的站点。该规则主要应用于Windows的安装程序包。创建方法同散列规则。
6、维护可执行代码的文件类型
不论是那种规则，它所影响的文件类型只有“指派的文件类型”属性中列出的那些类型，这些类型是所有规则共享的。某些情况下，管理员可能需要删除或添加某种类型的文件，以便规则能够对这类文件失去或产生作用，这就需要我们来维护“指派的文件类型”属性。方法如下：
（1）、单击“软件限制策略”，双击右侧窗格中的“指派的文件类型”属性项目；
（2）、如果新增一种文件类型，在“文件扩展名”处输入添加的扩展名，点击“添加”；如果要删除一种文件类型，单击列表中的制定类型，点击“删除”。
7、利用规则的优先级灵活控制程序的运行
四种规则的优先级从高到依次为：散列规则、证书规则、路径规则、Internet区域规则。如果有超过一条以上的规则同时作用于同一个程序，那么优先级最高的规则设定的安全级别将决定该程序是否能运行。如果多于一条的同类规则作用于同一个程序，那么同类规则中最具限制力的规则将起作用。这为我们提供了一条对程序的运行进行灵活控制的途径。单一规则的作用效果虽然全面，但是也限制了我们所需要的那些部分，复合规则的综合作用将产生诸如“除了我们需要的/不需要的以外，其他全部不允许/不受限制”这样的效果，这也许才是我们真正需要的安全级别。
提示：软件限制策略的生效需要注销并重新登录系统。如果在软件限制策略中为一个程序制定了一条安全级别为“不受限的”规则，而这个程序包含在“不要运行指定的Windows应用程序”策略的不允许运行程序列表中，那么最终这个程序是不允许运行的。要取消对程序的限制，需要将相关的规则删除：在“其他规则”中的规则列表中，在要删除的规则上点击右键，选择“删除”即可。
上述三种限制程序运行的措施各有特点。从限制的实现方法和效果来看，限制用户对文件的访问权限可以让管理员以Administartor账户身份对所有用户的权限进行控制，作用的范围可以是所有类型的文件和文件夹，但是这种方法受到应用环境的限制。采取基于策略的措施，不论是启用“不要运行指定的Windows应用程序”策略还是设置软件限制策略，对于要限制的用户对象作用范围来讲都是用户组，不能针对具体的用户进行设置，要么是所有的用户，要么是除管理员组外的所有用户。但是这些措施对系统环境的要求不高，在XP系统中都可以进行实施。另外，基于策略的设置可以对计算机进行更加灵活的管理。特别是软件限制策略允许管理员通过多种方式对程序进行标识，对于程序的运行具有很高的可控性。

5. 访问权限怎么设置

局域网98、2000、XP互访问题解决完全手册XP文件共享完全手册

WIN xp是NT内核的，所以在网络安全的要求比9x要高。在文件共享方面，也不同于9x。在9x的系统中只需要在共享中设个密码，就可以只让知道密码的用户登陆。而xp却无法这样简单地实现。

win xp的共享分为两中：简单文件共享（Simple File Sharing）和高级文件共享（Professional File Sharing）。xp在默认情况下是打开简单文件共享的。

一、简单文件共享

打开简单文件共享很简单，只要右键点击驱动器或者文件夹，然后选择属性，出现如下图所

我们只要选中在网络中共享这个文件夹。共享以后，“允许网络用户更改我的文件”这一项是默认打开的，所以没有特殊必要的话，我们必须把它前面的勾去掉共享驱动器会先出现一些安全提示，如下图：

然后点击共享驱动器，就会出现如图一一样的设置。

开启GUEST帐户

这一步很重要，xp默认GUEST帐户是没有开启的，如下图：

要允许网络用户访问这台电脑，必须打开GUEST帐户。依次执行"开始－设置－控制面板－管理工具－计算机管理-－本地用户和组－用户"在右边的GUEST账号上单击右键，选"属性"然后去掉"账号已停用"选择，98用网络用户登陆,用户名密码同在XP下刚输入的就行。

如果还是不能访问，可能是本地安全策略限制该用户不能访问。在启用了GUEST用户或者本地有相应账号的情况下，点击"开始--设置--控制面板--计算机管理--本地安全策略"打开"本地安全指派--拒绝从网络访问这台计算机"的用户列表中如果看到GUEST或者相应账号请删除设置简单文件共享，网络上的任何用户都可以访问，无须密码，简单明了。

二、高级文件共享

xp的高级文件共享是通过设置不同的帐户，分别给于不用的权限，即设置ACL（Access Control List，访问控制列表）来规划文件夹和硬盘分区的共享情况达到限制用户访问的目的。

第一、禁止简单文件共享：

首先打开一个文件夹，在菜单栏的“工具”，“文件夹选项”，“查看”的选项卡，在高级设置里，去掉“使用简单文件共享（推荐）”，如下图：

光是这样并不能启动高级文件共享，这只是禁用了简单文件共享，还必须启用帐户，设置权限，才能达到限制访问的问题。

第二，设置帐户

进入控制面板的用户帐户，有计算机的帐户和来宾帐户。仅仅是开启GUEST帐户并不能达到多用户不同权限的目的。而且在高级文件共享中，Windows XP默认是不允许网络用户通过没有密码的账号访问系统。所以，我们必须为不同权限的用户设置不同的帐户。

假如网络其他用户的访问权限都一样（大多数情况都是这样），我们只需设置一个用户就行了。在用户帐户里，新建一个用户，由于我们必须考虑网络安全性，以所设用户必须为最小的权限和最少的服务，类型设置为“受限制用户”。如上图的AAA用户。

在默认的情况下，xp新建帐户是没有密码的，上面说过，默认情况下xp是不允许网络用户通过没有密码的帐户访问的。所以，我们必须给刚刚添加的AAA用户填上密码。

添加用户也可以这样进行：打开 控制面板，“管理工具”，“计算机管理”，“系统工具”，“本地用户和组”，“用户”，在右边的窗口，按右键新建用户，如下图：

如果你希望网络用户通过此帐户访问系统而不需要密码，需要更改xp的安全策略：

打开控制面板，“管理工具”，“本地安全策略”，展开“本地策略－安全选项”，双击“账户: 使用空白密码的本地账户只允许进行控制台登录”，并停用它，然后确定。如下图：

注意：在Home版的Windows XP里是没有组策略的。

第三、设置共享

做好以上的设置就可以设置共享了，点击一个文件夹，属性，共享选项卡，嘿嘿，跟刚刚的不同了吧，下面还多了个权限的按钮。如下图：

点击权限，默认是EVERYONE，也就是每个用户都有完全控制的权限如下图：

其中（BIGEASTAAA）表示计算机bigeast中的AAA用户。

如果我们设置AAA有只读权限，只需要在“读取”那里打勾就行了。

权限的说明：

读取权限允许用户：浏览或执行文件夹中的文件。

更改权限允许用户：改变文件内容或删除文件。

完全控制权限允许用户：完全访问共享文件夹。

如果设置不同的帐户不同权限，重新一次以上步骤。

特别注意，打开了高级共享，系统的所有分区都被默认共享出来，必须把它改回来。

第四、网络用户访问共享文件夹

如果网络用户的操作系统是NT/2000/XP的话，访问时候提示用户密码，只要输入刚刚设置好的帐户密码就可以正常访问了。否则无法访问。

如果客户机的操作系统是Windows 95/98/Me，可以设置在登录Windows时直接登录到网络，这样就可以直接登录Windows xp/2000 /NT。用户名是这一切的关键。然而许多Windows 9X的电脑设置了直接登录到桌面而不需要提供用户名和密码（即Windows 登录）。如果是这样的话，点击 开始－注销，就会显示出当前登录的用户名。只要确定 注销，就可以换用其他用户名登录了。登录后，双击网络邻居图标，就可以浏览所有共享的文件夹和硬盘分区。如果在这一步你遇到了错误，那么可能是没有正确登录造成的。

解决Win98的无法访问Win2000、winxp办法

常用办法:

在Win2000 professional的用户管理中使GUEST用户有效就可以了。

操作方法：控制面板→用户和密码→高级→高级→点“用户”文件夹→然后在右边的Guest（供来宾访问计算机或访问域的内置帐户）上点右键进行其属性设置→在常规选项中将“帐户已停用”前的对勾去掉即可。

以“每服务器”模式安装的Windows 2000 Server、Windows 2000 Advanced Server系统，操作方法是：控制面板→管理工具→计算机管理→“系统工具”选项里“本地用户和组”→然后在右边的Guest（供来宾访问计算机或访问域的内置帐户）上点右键进行其属性设置→在常规选项中将“帐户已停用”前的对勾去掉即可。

如还没解决，请往下看:

对策一：在Win2000/XP中启用Guest用户。在Win2000/XP系统安装之后会缺省建立两个用户账户，即Administrator（系统管理员）和Guest（来宾账户），所有在本地计算机没有被分配到账户的用户都将默认使用Guest账户，该账户是没有密码的。不过，在缺省设置下，这个Guest账户并未被启用，我们可以从“控制面板|管理工具|计算机管理|本地用户和组|用户”中找到“Guest”账户，并用鼠标右击打开“Guest属性”对话框（如图6），去除这里的“账户已停用”复选框上的对钩标记，这样退出后就可以从Win98中访问到Win2000/XP了。

其实，启用了Guest账户后，最大的好处是从Win98访问Win2000/XP时就不需要输入用户名和密码了，这种方法比较适合于用户不确定、访问量较大的局域网，但对家庭用户来说并不适用。

对策二：检查Win2000/XP中是否存在安全策略限制。有时，Win2000/XP“聪明”过了头，虽然我们已经启用了Guest账户，从Win98中却仍然无法访问Win2000/XP，这时就要从“控制面板|管理工具|本地安全策略|本地策略|用户权利指派”中找到“从网络访问此计算机”或者“拒绝从网络访问这台计算机”，然后检查一下其中是否出现了Guest账户或者其他对应的账户，然后根据不同情况进行添加或者删除即可。

对策三：停用本地连接上的防火墙。防火墙是充当网络与外部世界之间的保卫边界的安全系统，微软在WinXP中为用户提供了一个内置的Internet连接防火墙（ICF），启用后可以限制某些不安全信息从外部进入内部网络。不过，如果您是在本地连接上启用了这个防火墙，那么就会造成工作组之间无法互访，出现“XXX无法访问”、“您可能没有权限使用网络资源”、“请与这台服务器的管理员联系以查明您是否有访问权限”、“找不到网络路径”等类似的提示，此时请在图7中停用本地连接的防火墙屏蔽。

停用ICF

对策四：为WinXP添加NetBEUI协议。其实，直接添加NetBEUI协议对于解决不能互访的问题有时反而更为简单一些，而且它可以解决上面提到的启用防火墙的问题。Win98安装时会自动安装NetBEUI协议，但由于WinXP已经不再提供对NetBEUI协议的技术支持，因此只能手工添加了。

找出WinXP安装光盘，进入“ValueaddMsftNetNetbeui”文件夹下，这里有Nbf.sys、Netbeui.txt、Netnbf.inf共3个文件，先将Nbf.sys文件复制到本机的“WindowsSystem32Drivers”文件夹下（这里的本机指安装了WinXP的那台电脑），再将Netnbf.inf文件复制到本机的“WindowsINF”文件夹下，Netbeui.txt文件可有可无。不过， INF文件夹具有隐藏属性，用户需要先在WinXP下的“工具|属性”窗口中选择显示文件才可以看到该目录。另外，我们也可以在图8所示对话框中选择“从磁盘安装”，插入WinXP安装磁盘，一步步进入“ValueaddMsftNetNetbeui”文件夹，找到Netnbf.inf文件打开，然后就可以安装NetBEUI协议了。

选择“从磁盘安装”方式。

对策五：启用Win98中的“文件及打印机共享”。这是一个很简单但却经常被人忽略的问题，就是装有Win2000/XP的机器虽然可以从“网上邻居”中发现装有Win98的机器，但却无法访问，这是因为Win98未启用“允许其他用户访问我的文件”而造成的，启用该选项就可以解决这个问题

局域网内Windows XP与Windows 98se的双向访问解决

1、在XP上安装NetBEUI协议

在WINXP安装光盘下VALUEADDMSFTNETNETBEUI目录下，有三个文件，其中NETBEUI.TXT作了如下说明：

NetBEUI (NBF) 是一个不可路由的协议，适用于小规模的网络。Microsoft Windows 不再支持此协议。如果产品支持人员提示您安装此协议作为临时解决方法，请按照下面的指示进行。

在 Windows XP 和 Windows 2002 上安装 NetBEUI 协议的方法。

* 复制 nbf.sys 到 %SYSTEMROOT%SYSTEM32DRIVERS 目录

* 复制 netnbf.inf 到 %SYSTEMROOT%INF 目录

* 打开网络连接属性，单击 "安装..." 按钮来安装 NetBEUI 协议

注：%SYSTEMROOT%是你安装XP的目录名，我的是WINDOWS。

2、看一下安全设置是否禁止GUEST

在开启了系统Guest用户的情况下，点击“开始”-》“运行”，输入gpedit.msc，可以调出组策略编辑器，在“本地计算机策略计算机配置Windows设置安全设置本地策略用户权利指派拒绝从网络访问这台计算机”中赫然可以看到有Guest用户！如果在这里删除Guest用户，那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了。 有的机子上并不一定有禁止GUEST的，这时你就不必做什么操作了。

3、特别说明：以上的操作是因为本单位的局域网上的机子用了NETBEUI协议。XP安装时默认不装此协议，

6. 文件管理器权限

文件服务器权限管理的设置方法如下：
第1步，以系统管理员身份登录Windows Server 2003（SP1）系统，在开始菜单中依次单击【管理工具】→【管理您的服务器】菜单项，打开“管理您的服务器”窗口。在“添加角色到您的服务器”区域中单击【添加或删除角色】按钮，进入配置向导并单击【下一步】按钮.
第2步，配置向导完成网络设置的检测后，如果是第一次使用该向导，则会进入“配置选项”对话框。选中【自定义配置】单选钮，并单击【下一步】按钮，
第3步，打开“服务器角色”对话框，在“服务器角色”列表中选中【文件服务器】选项，并单击【下一步】按钮
第4步，在打开的“文件服务器磁盘配额”对话框中选中【为此服务器的新用户设置默认磁盘空间配额】复选框，并根据磁盘存储空间及用户实际需要在【将磁盘空间限制为】和【将警告级别设置为】编辑框中输入合适的数值（如500M）。另外，选中【拒绝将磁盘空间给超过配额限制的用户】复选框，可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。单击【下一步】按钮
第5步，打开“文件服务器索引服务”对话框中，选中【是，启用索引服务】单选钮，启用对共享文件夹的索引服务。单击【下一步】按钮
提示：索引服务对服务器资源的开销很大，建议只有在用户需要经常搜索共享文件夹的情况下才启用该服务。
第6步，打开“选择总结”对话框，确认设置准确无误后单击【下一步】按钮。
第7步，添加向导开始启用所选服务，完成后会自动打开“共享文件夹向导”对话框。单击【下一步】按钮.
第8步，在打开的“文件夹路径”对话框中单击【浏览】按钮，打开“浏览文件夹”对话框。在本地磁盘中找到准备设置为公共资源的文件夹，并依次单击【确定】→【下一步】按钮
第9步，打开“名称、描述和设置”对话框，在这里可以设置共享名和描述该共享文件夹的语言。设置完毕后单击【下一步】按钮.
第10步，在打开的“权限”对话框中选中【管理员有完全访问权限；其他用户有只读访问权限】单选钮，并依次单击【完成】按钮.
第11步，打开“共享成功”对话框，在“摘要”文本框中显示出了共享文件夹路径、共享名和共享路径。其中共享名和共享路径用来向网络用户公布。单击【关闭】按钮即可.

7. 如何提供管理员权限 或者文件访问权限

单机电脑，还是在域环境之内，如果你的电脑硬盘格式方式是NTFP那就很简单了

右击磁盘--属性。如下

首先你有管理员权限。

把要开权限的文件最好放到文件夹内，右击文件夹---属性---安全---添加，位置处本机或域。

可以在下面框内直接软件用户名，或者点高级--立即查找，显示所有用户名，双击选定-确定。

在权限框内，充许下 修改外打上勾，这样可以修改文件。

如果共享的话，也要设置共享权限。

配图少，不明白可以 网络 “NTFS权限”“NTFS权限 共享”查看。

8. 如何设置Windows Server 2003共享文件夹的访问权限

第1步，在开始菜单中依次单击“管理工具”→“文件服务器管理”菜单项，打开“文件服务器管理”窗口。在右窗格中选中需要设置访问权限的共享名（如“图书编撰”），并单击“更改共享文件夹属性”按钮图2008112028 单击“添加共享文件夹”按钮
第2步，打开“图书编撰属性”对话框，切换到“共享权限”选项卡，并单击“添加”按钮，第3步，在打开的“选择用户和组”对话框中依次单击“高级”→“立即查找”按钮，然后在“搜索结果”列表框中选择用户或组（如ithanjiang）。并依次单击“确定”→“确定”按钮，
第4步，返回“图书编撰属性”对话框，在“共享权限”选项卡中选中刚刚添加的用户（如“寒江钓叟”）。然后在“寒江钓叟的权限”列表中选中“完全控制允许”复选框，并单击“应用”按钮，
第5步，切换到“安全”选项卡，单击“添加”按钮查找并添加第3中添加的用户或组。然后选中“完全控制允许”复选框，并单击“确定”按钮，如图2008112032所示。
“安全”选项卡
小提示：如果只在“共享权限”选项卡中设置用户权限，而没有在“安全”选项卡中设置，则用
户在通过网络访问共享文件夹时将只能看到而不能打开共享文件夹。
第6步，重复上述步骤设置其他文件夹的共享权限和安全权限。

9. 如何设置电脑共享权限，设置共享文件夹访问权限

第1步，在开始菜单中依次单击“管理工具”→“文件服务器管理”菜单项，打开“文件服务器管理”窗口。在右窗格中选中需要设置访问权限的共享名（如“图书编撰”），并单击“更改共享文件夹属性”按钮，如图所示。
单击“添加共享文件夹”按钮第2步，打开“图书编撰属性”对话框，切换到“共享权限”选项卡，并单击“添加”按钮，如图所示。单击“添加”按钮
第3步，在打开的“选择用户和组”对话框中依次单击“高级”→“立即查找”按钮，然后在“搜索结果”列表框中选择用户或组。并依次单击“确定”→“确定”按钮，如图所示。
“选择用户和组”对话框第4步，返回“图书编撰属性”对话框，在“共享权限”选项卡中选中刚刚添加的用户（如“寒江钓叟”）。然后在“寒江钓叟
的权限”列表中选中“完全控制允许”复选框，并单击“应用”按钮

10. XP局域网访问权限问题

了解了共享资源不能成功互访的主要原因后，我们就可以对症下药，彻底解决访问中出现的问题。

1．启用Guest账号

在很多情况下，为了本机系统的安全，Guest账户是被禁用的，这样就无法访问该机器的共享资源，因此必须启用Guest账户。

笔者以Windows XP系统为例进行介绍。在共享资源提供端，进入到“控制面板→管理工具”后，运行“计算机管理”工具，接着依次展开“计算机管理（本地）→系统工具→本地用户和组→用户”，找到Guest账户。如果Guest账户出现一个红色的叉号，表明该账户已被停用，右键单击该账号，在Guest属性对话框中，去除“账户已停用”的钩选标记，单击“确定”后，就启用了Guest账户。此方法适用于Windows 2000/XP/2003系统。

提示：使用Guest账户访问共享资源存在很大的安全隐患。当然我们也可以为每个访问用户创建一个指定的账号。首先在共享资源提供端创建一个新的账号，然后指定该账号的访问权限。接下来在要访问该共享资源的客户机中新建一个相同用户名和密码的账号，使用此账号登录客户机后，就能正常访问该账号所允许的共享资源。此方法较为安全，但要为网络中的每个用户都创建一个账号，不适合规模较大的网络。

2．修改用户访问策略

虽然启用了本机的Guest账号，但用户还是不能访问本机提供的共享资源，这是因为组策略默认不允许Guest账号从网络访问本机。

单击“开始→运行”，在运行框中输入“gpedit.msc”，在组策略窗口中依次展开“本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→用户权利指派”（图1），在右栏中找到“拒绝从网络访问这台计算机”项，打开后删除其中的Guest账号，接着打开“从网络访问此计算机”项，在属性窗口中添加Guest账号。这样就能使用Guest账号从网络中访问该机的共享资源了。此方法适用于Windows 2000/XP/2003系统。

3．正确配置网络防火墙
很多机器安装了网络防火墙，它的设置不当，同样导致用户无法访问本机的共享资源，这时就要开放本机共享资源所需的NetBIOS端口。笔者以天网防火墙为例，在“自定义IP规则”窗口中选中“允许局域网的机器使用我的共享资源”规则，最后点击“保存”按钮，这样就开放了NetBIOS端口
。
4．合理设置用户访问权限
网络中很多机器使用 NTFS文件系统，它的ACL功能（访问控制列表）可以对用户的访问权限进行控制，用户要访问这些机器的共享资源，必须赋予相应的权限才行。如使用Guest账号访问该机器的CPCW共享文件夹，右键点击该共享目录，选择“属性”，切换到“安全”标签页，然后将Guest账号添加到用户列表中，接着指定Guest的访问权限，至少要赋予“读取”和“列出文件夹目录”权限（图2）。如果想让多个用户账号能访问该共享目录，只需要添加Eeryone账号，然后赋予“读取”和“列出文件夹?..