从网络访问这台计算机.docVIP

用户权限 从网络访问这台计算机 背景与远程 Windows 计算机进行交互的能力需要“从网络访问这台计算机”用户权限。此类网络操作的示例包括：在公用域或林中的域控制器之间复制 Active Directory、用户和计算机向域控制器发出身份验证请求，以及访问位于网络中远程计算机上的共享文件夹、打印机和其他系统服务。通过将用户、计算机和服务帐户显式或隐式地添加到已被授予“从网络访问这台计算机”用户权限的安全组中或将它们从此类安全组中删除，可相应地使这些用户、计算机和服务帐户获得或失去该用户权限。例如，用户帐户或计算机帐户可能被管理员显式添加到某个自定义或内置的安全组中，或被操作系统隐式添加到计算安全组（如 Domain Users、Authenticated Users 或 Enterprise Domain Controllers）中。默认情况下，如果在默认域控制器的组策略对象 (GPO) 中定义了计算组（例如 Everyone 或 Authenticated Users，后者更好；若是域控制器，则为 Enterprise Domain Controllers 组），则会为用户帐户和计算机帐户授予“从网络访问这台计算机”用户权限。 危险配置以下是危险配置： 从此用户权限中删除 Enterprise Domain Controllers 安全组 删除 Authenticated Users 组或授予用户、计算机和服务帐户通过网络连接到计算机的用户权限的显式组 从此用户权限中删除所有用户和计算机 授予此用户权限的原因 通过向 Enterprise Domain Controllers 组授予“从网络访问这台计算机”用户权限，可满足在同一林中的域控制器之间进行 Active Directory 复制所必须具备的身份验证要求。 此用户权限允许用户和计算机访问共享文件、打印机和系统服务，包括 Active Directory。 用户使用早期版本的 Microsoft Outlook Web Access (OWA) 访问邮件时需要此用户权限。 删除此用户权限的原因 那些可以将计算机连接到网络的用户可以访问他们具有权限的远程计算机上的资源。例如，用户需要具备此用户权限才能连接到共享打印机和文件夹。如果向 Everyone 组授予此用户权限，并且某些共享文件夹同时配置有共享和 NTFS 文件系统权限以使相同的组具有读取权限，则任何人均可查看这些共享文件夹中的文件。但是，Windows Server 2003 的全新安装不大可能出现这种情况，因为 Windows Server 2003 中默认的共享和 NTFS 权限不包括 Everyone 组。对于从 Microsoft Windows NT 4.0 或 Windows 2000 升级的系统，这个弱点的危险性可能更高，因为这些操作系统默认的共享和文件系统权限的限制性不如 Windows Server 2003 中的默认权限严格。 从此用户权限中删除 Enterprise Domain Controllers 组并没有有效的根据。 通常会删除 Everyone 组，而倾向于使用 Authenticated Users 组。如果删除了 Everyone 组，则必须向 Authenticated Users 组授予此用户权限。 升级到 Windows 2000 的 Windows NT 4.0 域不会显式对 Everyone、Authenticated Users 或 Enterprise Domain Controllers 组授予“从网络访问这台计算机”用户权限。因此，如果从 Windows NT 4.0 域策略中删除了 Everyone 组，则在升级到 Windows 2000 后，Active Directory 复制将失败并出现“Access Denied”错误消息。Windows Server 2003 中的 Winnt32.exe 在升级 Windows NT 4.0 主域控制器 (PDC) 时会对 Enterprise Domain Controllers 组授予此用户权限，从而避免了这种错误配置。如果 Enterprise Domain Controllers 组不在组策略对象编辑器中，则向该组授予此用户权限。 兼容性问题的示例 Windows 2000 和 Windows Server 2003：对 Active Directory 架构、配置、域、全局编录或应用程序分区的复制将会失败，并且监视工具（如 REPLMON 和 REPADMIN）或事件日志中的复制事件会报告“Access Denied”错误。 所有 Microsoft 网