网络访问此计算机,从网络访问此计算机 - 安全策略设置
从网络访问此计算机 - 安全策略设置
04/19/2017
本文内容
适用范围
Windows 10
介绍从网络安全策略设置访问此计算机的最佳方案、位置、值、策略管理和安全注意事项****。
参考
" 从网络访问此计算机 "策略设置确定哪些用户可以从网络连接到设备。 许多网络协议都需要此功能,包括基于服务器消息块 (SMB) 的协议、NetBIOS、常见的 Internet 文件系统 (CIFS) 以及组件对象模型加 (COM+) 。
用户、设备和服务帐户通过显式或隐式添加或删除已**** 授予此用户权限的安全组,从网络用户权限获取或丢失访问此计算机。 例如,用户帐户或计算机帐户可以显式添加到自定义安全组或内置安全组,或者由 Windows 隐式添加到计算的安全组,如域用户、经过身份验证的用户或 Enterprise 域控制器。
默认情况下,当计算组(如经过身份验证的用户)和**** 域控制器的 Enterprise 域控制器组在默认域控制器组策略对象 (GPO) 中定义时,用户帐户和计算机帐户将被授予从网络用户访问此计算机的权限。
常量:SeNetworkLogonRight
可能值
用户定义的帐户列表
未定义
最佳做法
在桌面设备或成员服务器上,仅向用户和管理员授予此权限。
在域控制器上,仅向经过身份验证的用户、企业域控制器和管理员授予此权限。
此设置包括" 每个人" 组以确保向后兼容性。 在Windows升级后,在验证所有用户和组都正确迁移后,应删除Everyone组并改为使用Authenticated Users组。
位置
计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
默认值
下表列出了最新受支持的策略版本的实际和有效默认策略Windows。 默认值也会列在策略的属性页上。
GPO 的服务器类型
默认值
默认域策略
未定义
默认域控制器策略
所有人、管理员、经过身份验证的用户Enterprise域控制器、Windows 2000 兼容访问
独立服务器默认设置
每个人、管理员、用户、备份运算符
域控制器有效默认设置
所有人、管理员、经过身份验证的用户Enterprise域控制器、Windows 2000 兼容访问
成员服务器有效默认设置
每个人、管理员、用户、备份运算符
客户端计算机有效的默认设置
每个人、管理员、用户、备份运算符
策略管理
修改此用户权限时,以下操作可能会导致用户和服务遇到网络访问问题:
删除Enterprise域控制器安全组
删除"经过身份验证的用户"组或显式组,允许用户、计算机和服务帐户用户通过网络连接到计算机
删除所有用户和计算机帐户
此策略设置生效不需要重新启动设备。
对帐户的用户权限分配的任何更改在帐户所有者下次登录时生效。
组策略
设置组策略对象 (GPO) 按以下顺序应用,这将在下次组策略更新时覆盖本地计算机的设置:
本地策略设置
站点策略设置
域策略设置
OU 策略设置
当本地设置显示为灰色时,它表示 GPO 当前控制该设置。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
可以从他们的设备连接到网络的用户可以访问他们有权访问的目标设备上的资源。 例如,用户需要从网络 用户 权限访问此计算机才能连接到共享打印机和文件夹。 如果向 Everyone 组分配此用户 权限,则 组中任何人都可以读取这些共享文件夹中的文件。 这种情况不太可能发生,因为至少由 Windows Server 2008 R2 或 Windows 7 的默认安装创建的组不包括Everyone组。 但是,如果设备已升级并且原始设备包括 Everyone 组作为其定义的用户和组的一部分,则该组会作为升级过程的一部分进行转换,并且存在于设备上。
对策
将 "从网络用户访问此计算机 "权限限制为仅需要访问计算机的用户和组。 例如,如果将此策略设置配置为 Administrators 和 Users 组,则登录到域的用户可以访问从域中的服务器共享的资源(如果 Domain Users 组的成员包含在本地 Users 组中)。
注意 如果使用 IPsec 帮助保护组织中网络通信的安全,请确保为包含计算机帐户的组赋予此权限。 成功进行计算机身份验证需要此权限。 向经过身份验证的用户或****域计算机分配此权限符合此要求。
潜在影响
如果将所有用户的 域控制器 上的"访问此计算机"从网络用户中删除,则没有人可以登录到域或使用网络资源。 如果在成员服务器上删除此用户,则用户无法通过网络连接到这些服务器。 如果已安装可选组件(如 ASP.NET 或 Internet Information Services (IIS) ,可能需要向这些组件所需的其他帐户分配此用户权限。 验证授权用户是否具有访问网络所需的设备权限,这一点很重要。
相关主题
网络访问此计算机,从网络访问此计算机 - 安全策略设置相关推荐
- 计算机 网络访问保护,开启win2008网络访问保护的具体步骤
在局域网中,如果有一台计算机中了病毒,那么局域网中的其他计算机就很可能受到牵连,在windows2008系统下,我们可以开启网络访问保护功能,禁止不安全的计算机自由介入局域网内,这样一来就可以保护局域 ...
- 网络上的两台计算机如何互相访问,怎么样使两台电脑互相访问?
查看没有被一键恢复的电脑的ip设置,具体方法:右键单击网上邻居,再右键单击本地连接出现本地连接属性 双击其中的Tcp/ip协议 看看ip怎么设置的 另外一台根据这台设置注意两外一台的ip地址不能跟这台 ...
- 网络共享计算机权限访问,共享电脑没有访问权限_共享电脑无访问权限
2016-12-12 16:30:34 1,在电脑桌面的右下角,右键无线网络图标,然后点击"打开网络和共享中心".2,打开"网络和共享中心"后,点击" ...
- 网络上的计算机无权限访问权限,电脑连不上网,提示无网络访问权限怎么办?...
原标题:电脑连不上网,提示无网络访问权限怎么办? 网络提示无网络访问权限该如何解决?这是前几天一位网友问云骑士的问题,下面就与大家一起分享. 电脑连不上网,提示无网络访问权限的解决办法: 方法一:诊断 ...
- 网络上的两台计算机如何互相访问,win10如何实现两台电脑无线互访
关于这个问题,小编整理了如下的五种解决方法,但是也要仔细看一下注意事项哦! 方法一: 桌面,右键点我的电脑->属性->计算机名,点"更改"按钮,就可以更改电脑的工作组名 ...
- 网络中的计算机访问不了,win7系统不能在计算机-网络中访问wdMyCloud的技巧介绍...
win7系统使用久了,好多网友反馈说win7系统不能在计算机-网络中访问wdMyCloud的问题,非常不方便.有什么办法可以永久解决win7系统不能在计算机-网络中访问wdMyCloud的问题,面对w ...
- win10网络共享计算机名,win10访问局域网电脑需要用户名和密码
一.共享文件夹所在电脑设置 1.右键我的电脑→管理→系统工具→本地用户和组→用户→中间空白区域右键→新用户: 2.输入自设的用户名和密码,如图勾选→创建: 3.右键需要共享的文件见→安全→编辑: 4. ...
- 计算机连接网络显示有限访问权限,解决连接无线网络时提示“有限的访问权限”的方法(图文教程)...
解决连接无线网络时提示"有限的访问权限"的方法 电脑通过无线连接上信号后,右下角有黄色叹号,显示有限的访问权限,遇到这样的问题该怎么办呢?首先我们尝试最简单的方法来解决,比如:重启 ...
- win10诊断启动后联网_小技巧:win10网络共享文件夹出现错误无法访问如何解决?...
win10系统共享文件夹时在资源管理器中的网络里能够看到所共享的文件夹,但在打开文件夹时却出现 Windows无法访问 \\Desktop-r8ceh55\新建文件夹 请检查名称的拼写.否则,网络可能 ...
最新文章
- Linux 2 的 Windows 子系统上发布 CUDA
- deepin更新失败_检查更新失败
- 多尺度熵---Understanding Multiscale Entropy
- VMware安装以及安装Window7教程
- java replaceall 大小写_Java replaceAll不区分大小写
- 1046. 划拳(15)
- [dts]DTS实例分析
- 线程池是如何重复利用空闲的线程来执行任务的?
- js怎么获取扫码枪条码_生产扫码计件解决方案
- 动态滤波网络论文解读
- 【Windows系统】-- 远程桌面时,WIN键被锁定
- zuc算法代码详解_ZUC算法原理及实现过程
- 系列学习 Gateway 之第 3 篇 —— 过滤器 Filter,自定义全局过滤器
- -exec rm 与 xargs rm -rf 深度剖析
- debian设置IP
- 记录——kubeadm集群node节点加入
- Linux 追踪技术 ftrace 简介(一)
- systemverilog中的时间单位和时间精度
- java 时分秒 转换 秒_JAVA将时分秒格式的时间转化成秒数
- 宏碁欲做行业老大 华硕推“巨狮计划”
热门文章
- maven summer_我在Google Summer of Code的经历
- ES6技巧和窍门,使您的代码更简洁,更短且更易于阅读!
- debian9.8与主机共享问题
- 利用SQL和Python分别实现人流量查询,考验逻辑思维的时候到了
- Python钉钉报警及Zabbix集成钉钉报警
- Hadoop 基础系列一Hadoop 系列之 1.0 和2.0 架构
- 使用Anaconda进行环境和包的管理
- 登录iis7 网站服务器上网站网页可以访问 但远程访问网站网页不能访问的解决方法
- mysql 5.6.30 编译_编译安装mysql 5.6.30
- torch tensor去掉1维_浑身是刺的“维c之王”,有人管它叫“菠萝”,有人管它叫“梨”...