Win7系统权限控制指南:如何设置Administrators组和User组实现权限管理
注意:只有Win7及以上才能满足现有要求!如何设置Win7系统来控制权限?
Win7系统应使用组方法进行权限控制,并具有两种类型的权限
组和用户组所具有的默认权限表如下:
团体
描述
默认用户权限
团体
该组的成员可以完全控制计算机,他们可以根据需要为用户分配用户权限和访问控制权限。该帐户是该组的默认成员。当计算机加入域时,将自动添加一个组。由于该组对计算机有完全控制,因此在将用户添加到它时尤其要谨慎。
用户组
该组的成员可以执行常用任务,例如使用本地和网络打印机以及锁定计算机的运行应用程序。该组的成员不能共享目录或创建本地打印机。默认情况下,用户,用户和组是组的成员。因此,在域中创建的任何用户帐户都将成为组的成员。
与GMP相关的权限分配表
团体
应配置权限
团体
用户组
该系统不应拥有太多的管理员帐户,并且应该由IT人员持有,并且在数据中有利益相关者的人不得持有。
向用户组添加与GMP相关的权限
输入控制面板,选择“小图标”以查看方法,然后单击“管理工具”。
输入本地安全策略,在左侧展开“本地策略”,然后单击“用户权限分配”以查看右侧的权限表。
选择您需要在右侧添加或删除的权限,例如“管理审核和安全日志”,右键单击“属性”,您可以看到哪些用户组已有许可。如果要将此权限添加到用户组,请单击“添加用户”或组”,然后选择用户组。
如何增强密码的复杂性并需要定期修改?
Win7系统还可以控制用户的登录密码。设置如下:
在“本地安全策略”的左列中,单击“帐户策略”以展开两个“密码策略”和“帐户锁定策略”。选择“密码策略”以查看说明。
单击“密码必须满足复杂性要求”项目,然后选择“本地安全设置”。默认情况下,此功能在“禁用”状态中。目前,我们需要启用此功能并选择“启用”。
在“最小密码长度”选项中,设置“密码必须至少为”,填写“ 6个”字符,并指定密码的字符必须为6位数字。
https://img1.baidu.com/it/u=2275321273,2902990365&fm=253&fmt=JPEG&app=120&f=JPEG?w=627&h=417
“最小密码使用期限”是指用户在更改密码之前必须使用密码一段时间(几天)使用密码。在这里,我们使用默认设置“ 0”天,这意味着用户可以立即更改密码。
“最大密码使用期限”是指系统要求用户在更改密码之前使用密码的期间。为了强制密码修改以确保安全性,规定必须每42天更改密码。 ,因此“本地安全设置”中的“密码到期时间”应设置为“ 42”天。
强制密码历史记录此安全性设置在再次使用旧密码之前,确定必须与用户帐户关联的唯一新密码的数量。在这里不使用,并且设置为不保留密码历史记录。
将密码保存在可再生加密的情况下,此安全性设置确定操作系统是否使用可再修复的加密来存储密码。在这里,我们使用系统默认设置“禁用”。
根据上述步骤,密码设置要求已完成。摘要要求如下:
如何设置帐户锁定策略,并在用户不操作计算机时自动锁定屏幕,并在再次输入时输入用户名和密码?
设置方法如下:
在“本地安全策略”中,选择“帐户锁定策略”,单击“帐户锁定阈值”,然后将其设置为“ 5次”以无效登录。也就是说,在用户登录5次之后,该帐户将被锁定。
设置“帐户锁定阈值”后,“帐户锁定时间”和“重置帐户锁定计数器”将具有建议的设置,并且用户也可以自己修改。
锁定帐户后,您可以使用管理员帐户解锁该帐户,或等待限制时间到达登录之前的指定时间。
右键单击计算机桌面,选择“个性化”,选择“屏幕保护程序设置”,设置“等待时间”,然后在恢复时检查“显示登录屏幕”。当您再次输入时,需要重新输入用户帐户和密码。计算机可以在后部操作。
电子数据审核跟踪
在这里,我们谈论了整个系统级别(基础架构)的数据审核跟踪的设置。
如何在系统级别实施审计跟踪?
一般要求:
应用程序生成的数据的存储路径应唯一,并且只能由管理员设置。操作员没有设置的权限。
一旦生成数据,就无法随意修改或删除。对于配备审核跟踪功能的软件,应启用审核跟踪功能来管理数据。
对于没有审核跟踪功能的软件,我们应该在系统软件级别上加强数据管理,主要是为了防止有意或无意的数据删除数据。
特定设置如下:
假设在Win7系统下,应用程序生成和保存的数据记录存储在“ D:DATA \”路径中,并且文件数据保存在数据文件夹中。下面有两种方法来设置它以监视数据删除操作。
方法1:使用管理员为用户设置权限,以便用户组用户只能正常访问和读取文件夹中的文件,并且无法执行删除操作。除非输入管理员密码,否则才能执行。特定设置如下:
2.1使用“”管理员帐户在“ suyan”用户帐户上设置数据文件夹的权限。
在“ d:data \”路径和右键单击“属性”下找到数据文件。
在“属性”框中,选择“安全”选项卡,对于用户组,请在“拒绝”列表中检查修改。
https://img1.baidu.com/it/u=2028701499,375279755&fm=253&fmt=JPEG&app=138&f=PNG?w=500&h=608
之后,用户组成员对“数据”文件夹尝试的更改将被系统拒绝。
方法2:使用Win7系统的“高级审核策略配置”进行设置,如下所示:
在控制面板中,选择安全设置,然后选择高级审核策略配置。
单击左侧的“对象访问”以查看右侧窗格中子类别的审核。
双击右侧的“审核文件系统”项目,并在“配置以下审核事件”中选择“成功”和“失败”。
选择我们需要进行审核跟踪的文件夹,例如“ d:data \”路径下的数据文件,右键单击以选择“属性”,选择“安全性”窗格,然后选择“高级安全设置”。
单击“添加”,“高级”和“现在查找”,以选择要为文件的审核权限配置哪个用户。
选择“成功”和“失败”列表中的“删除子文件夹”和“删除”,以指示文件的删除操作将由审核跟踪记录。
在“事件查看器”中的左窗格“安全性”中,您可以看到我们以前的设置已被记录。
将记录数据文件夹中的删除操作。
从那时起,我们使用Win7系统实现了用户权限的设置。跟踪数据访问和删除不是很棒吗?
官方帐户
GMP办公室
页:
[1]