伺服器提升許可權

㈠ 伺服器用戶許可權設置問題

需要限制許可權的命令主要有：cmd.exenet.exenet1.exeping.exenetstat.exeftp.exetftp.exetelnet.exe等。

對這些命令單獨進行設置，設置為只允許內administrators組訪問，這容樣既防止新建用戶對系統進行修改，也可以防範通過Serv-U的本地提升許可權漏洞來運行這些關鍵的程序了。特別提醒的是要刪除cacls.exe這個程序，防止有人通過命令行來修改許可權。(圖1)

㈡ 關於伺服器許可權

為了保證系統的安全穩定，很多用戶都是使用NTFS文件系統，因此共享文件夾的訪問許可權不但受到「共享許可權」限制，還受到NTFS文件系統的ACL(訪問控制列表)包含的訪問許可權的制約。下面筆者就以「CCE」共享文件夾為例，介紹如何合理設置「cceuser」用戶對「CCE」共享文件夾的訪問許可權，以此來增強共享文件夾的安全。

1. 共享許可權設置

在資源管理器中，右鍵點擊「CCE」共享文件夾，選擇「屬性」，切換到「共享」標簽頁，點擊「許可權」按鈕，彈出「CCE的許可權」設置對話框，點擊「添加」按鈕，將「cceuser 」賬號添加到「組或用戶名稱」列表框內，這里「cceuser」賬號對「CCE」共享文件夾要有讀取和寫入許可權，因此筆者要給該賬號賦予「完全控制」許可權，最後點擊「確定」按鈕，完成共享許可權設置。

2. NTFS訪問許可權設置

以上只是設置了「CCE」共享文件夾的共享訪問許可權，畢竟「CCE」共享文件夾是受「共享訪問許可權」和「NTFS訪問許可權」雙重製約的，如果NTFS文件系統不允許「cceuser」用戶訪問共享，也是不行的，並且還要給該賬號設置合理的NTFS訪問許可權。

在「CCE」共享文件屬性對話框中切換到「安全」標簽頁後，首先將「cceuser」賬號添加到「組或用戶名稱」列表框中，接下來還要為該賬號設置訪問許可權。選中「cceuser」賬號後，在「cceuser的許可權」列表框中選中「讀取和運行、列出文件夾目錄、讀取、修改和寫入」項目，最後點擊「確定」按鈕。

經過以上操作後，就完成了「CCE」共享文件夾的「cceuser」用戶的訪問許可權設置，其它用戶的共享文件夾訪問許可權設置方法是相同的，就不再贅述。

㈢ 運用技巧:如何提高文件伺服器許可權

因為文件伺服器可以在一個統一的平台上對企業的重要文件進行備份、訪問控制、許可權管理等等，從而可以全方位的提高企業數據的安全性。所以，文件伺服器在企業信息化辦公中的影響已經越來越大。 不過，說實話，文件伺服器要在企業中開花結果，重要的是許可權設計。如果，許可權設計的不合理的話，則文件伺服器會變成企業的雞肋，食之無味，棄之可惜。 筆者幫助多個企業部署過文件伺服器，在這方面還是有點心得。在這里筆者就把他總結一下，或許能夠給大家帶來一點幫助。 一、 利用組或者角色來進行許可權管理 在文件伺服器的許可權設置過程中，筆者不建議網路管理員直接對用戶進行授權。若直接對用戶進行授權的話，則許可權管理的工作量會很大。如一個采購部門，有十幾位甚至更多的員工。則要對他們進行分別的授權，那麼，這個維護的工作量就可想而知了。而且，這工作量一大的話，就難免為出現紕漏。 所以，我一般在選擇文件伺服器軟體的時候，一般都要求文件伺服器能夠根據組或者角色來進行授權。也就是說，現在網路管理員先建立一個組，如采購組。然後給這個組賦予相關的文件夾訪問許可權。其次，把采購員用戶加入到這個組中，采購員就自動繼承了采購組的相關文件夾訪問許可權。如此的話，就可以避免給所有的采購員用戶進行授權，就可以提高許可權管理的效率。同時，采購員的相關許可權只要賦予一次，則可以提高許可權管理的准確率。這些優勢，都是筆者傾向採用組或者角色進行許可權管理的重要原因。 另外，除了可以讓用戶繼承某個組的許可權之外，我們可以設置用戶特殊的許可權。如在企業文件伺服器上，有一個文件夾，存放著各個供應商的應付帳款明細表。作為普通采購員來說，只能夠查看這些文件，而不能夠進行修改。這些文件一般都是財務根據付款條件等內容整理出來的。但是，作為采購經理來說，則可以對其中相關的內容，如付款日期等等進行必要的維護。為此，采購經理需要對這些文件具有讀寫的許可權，而其他采購員對於這些文件只具有隻讀的許可權。為此，我們不必要再為采購經理去建立一個組。我們只需要把他加入到采購員組，讓其具有采購員組的相關許可權。然後，再給這個采購經理用戶，賦予這些文件寫的許可權。也就是說，不僅可以對組或者角色進行許可權的賦予，而且，在必要的時候，我們還可以給用戶進行授權。如此的話，這個特定的用戶除了組繼承下來的許可權之外，還具有一些自身的特殊許可權。 二、 一個部門不要使用一個賬戶 據筆者的了解，有不少企業在部署文件伺服器的使用，常常會採用一些簡單的許可權控制。如對於一個部門就建立一個賬戶，然後這個部門中的所有員工都採用這個賬戶進行文件伺服器的訪問。如筆者以前碰到過一個企業，他們就是如此處理的。如一個采購部門，就一個賬號。網路管理員給這個賬號進行授權，然後所有的采購部門員工都使用這個賬號。筆者對這種做法不敢苟同。 一是無法對用戶訪問文件伺服器上的文件進行稽核。如當文件被意外修改或者文件伺服器日至顯示有非法用戶多次試圖訪問未經授權的機密文件的時候，在文件伺服器的日誌中只能夠顯示某個部門，如采購部門的員工做的。但是，具體是哪個員工做的呢，則無從查起。可見，若一個部門共享一個賬戶名的話，會使得文件伺服器的安全性大打折扣。 二是許可權無法進行更細的控制。如有時會我們之允許用戶更改刪除自己的文件，而對於其他員工，即使是同一個部門的員工所創建的文件或者文件夾，也不具有修改的許可權的時候，若採用這種許可權控制的原則，就不能夠實現。 三是普通員工跟部門管理員的許可權無法分開，降低了文件伺服器上文件的安全性。一般來說，部門管理員比普通員工具有更高的許可權。如部門管理員可以訪問自己部門下面各個小組的相關文件;還可以訪問企業管理層的相關數據。若給一個部門共享一個賬戶的話，則部門普通員工跟部門管理員的許可權就無法進行區分。要麼部門管理員遷就普通員工，只具有普通員工的文件伺服器訪問許可權;要麼就是犧牲文件伺服器的安全性，讓普通員工具有更高的文件訪問許可權。 所以，一個部門共享一個賬戶的話，會降低文件伺服器的安全性;同時，也會減低靈活性。故，筆者對於這種許可權管理的方法，是比較反對的。特別是企業對於安全性要求比較高的話，還是不要採用這種許可權管理方法為好。不然很可能會搬起石頭，砸自己的腳。 三、 用戶級別的三個排除原則 有時候，就算是同一個組的員工，也有許可權上的差異。如有些企業，可能不允許其他用戶修改自己的文件，而只能看;再嚴格一點的話，其他用戶連閱讀的許可權都沒有;但是，可能部門的負責人可以查看自己的文件，等等。這就是許可權管理中的排除原則。 這雖然可以通過對用戶進行許可權的設置來實現，但是，這么處理的話工作量特別的大，;維護起來也是困難重重。所以，一般情況下，筆者是不建議手工的去進行維護。筆者在考慮文件伺服器選型的時候，若企業現在或者未來有這種需求的話，則筆者會評估文件伺服器軟體中有否現成的解決方案。 第一個排除原則：其他用戶只能夠查詢自己的文件而不能夠進行修改。 也就是說，采購員A建立的文件，即使是同一個部門的采購員B，也只能對其進行查看，而不能夠進行修改或者刪除的操作。這主要是為了保障數據的統一性。如我們在用戶信息設置出，可以選中「不允許他人修改我的文件」，則其他用戶，即使是同一個部門或者是系統管理員，也不能夠對自己的文件進行修改或者刪除動作。 第二個排除原則：其他用戶只能夠看到文件的名字，但是不能夠打開或者刪除。 有些企業的話，安全要求比較高。如筆者以前遇到過化工企業的采購部門，他們要求各個采購員相互之間的采購單要保密。因為若采購內容知道了，則可以知道具體的產品配方信息。為此，其他員工不僅不能夠修改彼此的文件，即使查看也不行。為此，就需要在用戶建立的時候，選中「不允許他人閱讀自己的文件 」。通過這種方式，系統就會自動進行控制。 第三個排除原則：特定的人可以突破以上兩種限制。 有時會，一些具有特殊許可權的人，可以突破這種限制。如采購經理可以修改或者刪除采購員的任何文件，即使他們做了如上的排除原則。若不經過特殊處理的話，采購經理也受到上面兩個原則的限制。但是，我們在采購經理用戶設置的時候，若選中「突破個人限制」選型的話，則采購經理就不受上面兩種限制的約束，可以沒有任何限制的訪問自己手下的文件;並且在必要的時候還可以進行修改。 所以，以上的三個排除選擇，只需要選中某個選項，就可以實現了。而不需要再對用戶進行復雜的許可權設計。故對於用戶許可權的例外，我是希望在系統中能夠具有比較成熟的現成解決方案。這可以節省我們網路管理員維護的工作量;而且，其准確性也會大大的提高。從而增強文件伺服器的安全性。 四、 開啟訪問日誌稽核功能 某個用戶在什麼時候訪問了什麼文件，是修改呢還只是閱讀;哪個用戶多次試圖訪問未經授權的文件，等等。這些信息，企業網路管理員若能夠及時了解的話，則對於提高文件伺服器的安全性是非常必要的，也是許可權管理中的一個重要舉措。無論對於事先控制，還是對於事後追蹤都具有非常關鍵的作用。 所以，我們在選擇文件伺服器系統的時候，需要關注一下，系統是否有這方面的功能。如系統能否自動記錄某個用戶的訪問文件記錄;如系統當用戶多次試圖訪問未經授權的信息時，能否記錄他們訪問失敗的歷史。

㈣ 伺服器被提權怎麼辦

為了安全，最好重裝系統。裝好後打好補丁，再裝個伺服器入侵防禦版系統，基本上權可以保證伺服器安全了。

風雲防火牆伺服器入侵防護系統功能介紹：（外防 內保）
防禦DDOS攻擊功能：
1.SYN Flood CC 類攻擊，快速設置埠過濾規則,流量統計
2.ARP保護功能，防止數據被嗅探和被修改掛馬
伺服器入侵防護功能：
3.SQL防注入功能保護伺服器所有網站免受入侵煩惱
4.進程保護模式可使木馬和病毒拒之門外
5.文件保護模式可使網站文件不被篡改
6.注冊表保護模式保護不讓安裝服務啟動和驅動項目
7.系統用戶名監控防止黑客新建用戶名
8.手機簡訊通知功能能讓你了解伺服器安全狀態
使用最佳狀況表現：打造出一台安全省心免維護的伺服器。

㈤ 伺服器 許可權設置

您好，來1、當一個分區使用了自NTFS文件系統後，其分區和其下的目錄屬性窗口中就會出現「安全」選項卡，從中即可進行NTFS許可權設置。

2、在NTFS分區中，每個文件夾與文件都有一項稱為「SecurityDescriptor」的特別屬性，此厲性中有個為(DACL，一般簡稱為ACL)的列表，其中記錄了此文件夾或文件對某個賬戶組或賬戶開放了什麼樣的許可權，如圖所示。因此，設置NTFS許可權的操作實際上就是相當於在編輯ACL的屬性。

3、在ACL列表中，需要注意每一個賬戶或賬戶組都對應一組訪問控制項(AccessControlEntry,ACE),這一點只需在「組或用戶名稱」列表中，通過「選擇不同的賬戶或組時，下方的許可權列表設置項會是不同的」這一點就可以看出來了。顯然，所有賬戶或賬戶組的許可權訪問設置都會在這里被存儲下來，並允許隨時被有許可權進行修改的賬戶進行調整。
對於伺服器管理員來說，必須對每一個面向外部開放的資源進行許可權設置，這樣，才能將一些可能產生的安全隱患及時排除掉。

㈥ 伺服器管理員許可權

好奇怪 管理員不是可以修改文件夾許可權么 在安全里添加上ADMINISTRATORS組完全控制不就可以了么？ 管理員怎麼會改不了呢？

㈦ nginx伺服器怎樣提升許可權

有時候我們的網站根目錄會從一個目錄遷移到另一個目錄，如果我們伺服器使用的是nginx或者，我們一般會配置好網站根目錄後然後往直接把網站解壓或者上傳到根目錄中，這樣引起的問題是無法對對文件進行任何的操作導致網站的異常，這在框架中最為常見，本地運行好好的網站，上傳到伺服器之後突然就不能訪問了，出現很多錯誤，這就是在Linux下存在的許可權問題，網上有些方法是很粗暴的使用chmod -R 777 dirname把所有的文件許可權全部打開，其實這樣能解決問題，但是不是最好的解決方案，我們如果理解Linux系統的用戶許可權那麼問題就有更好的解決方案，下面以nginx伺服器為例看一下

首先默認的網站目錄是755許可權的並且我們在root用戶下的默認許可權也是該用戶的許可權，就是目錄的所屬用戶和用戶組都是root，當我們訪問網站時，瀏覽器發出請求，服務端相應的資源處理請求，如果涉及到文件的修改或新建操作時，服務端程序負責執行，由於服務端程序是由nginx和相應的語言解釋模塊負責執行的，所以首先伺服器要有許可權修改網站目錄，我們打開nginx伺服器下的配置文件nginx.conf，第一行就是nginx執行的用戶和組的設置

修改之後重啟php-fpm模塊，到這里用戶配置就完成了

然後我們可以新建一個專門用於網站和ftp上傳文件的用戶，該用戶是不登錄的所以建立的時候要使用/sbin/nologin來建，我們看到nginx伺服器的許可權是www所以此時我們的做法是把網站根目錄的許可權改為www，命令為：

chown -R -v www:root /www/wwwroot

這樣的話網站用戶和組的的許可權分別是www和root，伺服器作為用戶的讀寫是沒有任何問題的，這個時候如果服務端自動建立的文件用戶許可權就為www組許可權也為www，這樣就具有完全的控制權了並且許可權限制的剛好，

另外有些時候我們使用的網頁富文本編輯器會遇到許可權的問題，導致無法上傳文件或者建立目錄，這個時候我們只需要手動更改上傳目錄的許可權為777即可，比如：chmod 777 upload 可能原因是編輯器前後端使用的是js交互，所以並不完全是nginx伺服器的緣故

經過以上的步驟，在Linux上部署網站時，許可權問題就解決了

㈧ 伺服器如何給用戶授權遠程桌面登陸許可權

在復Windows設置→安全設置→本地策制略→用戶權利分配「通過終端服務拒絕登陸」中，不能加入Users組，加入了就不能訪問。刪除後就可以正常訪問。

伺服器授權用戶遠程桌面登陸許可權方法如下：

1. "控制面板" --> "管理工具" --> "終端服務配置"

2. 點擊"連接", 右邊出現連接項(例如: RDP-Tcp,tcp,Microsoft RDP 5.2)

6. 添加用戶或組之後，將顯示許可權項 對話框。單擊「遠程式控制制」的允許 列，將其選中。

7. 單擊確定，完成。

㈨ 域控伺服器,提升普通用戶許可權問題

你這樣操作是不規范的。 如果要讓本機的域普通許可權的用戶擁有安裝程序的許可權。你可能回在本機答電腦上登陸ADMIN的帳號。然後在本機的ADMIN組里加入這個電腦使用人的域用戶。 這樣這台電腦上的域普通許可權的用戶在使用這台電腦時，就會擁有了ADMIN許可權。 問題是，這樣的許可權放開也是不規范的。 一般要安裝程序，建議你切換到ADMIN帳號安裝，然後安裝完再切換回普通USER給用戶使用。如果用戶需要共享文件之類的操作，那最多開到POWER的許可權。不然許可權開高了，用戶很容易誤操作，損壞電腦軟體。

㈩ 怎麼把伺服器裡面的許可權提高到最高

在電腦中心--我的檔案裡面有一個許可權的勾，把它勾掉就行了