AD中用户帐户属性userAccountControl

AD中用户帐户属性userAccountControl

在打开用户帐户的属性后，单击帐户选项卡，然后选中或清除“帐户选项”对话框中的复选框，则会将数值分配给UserAccountControl属性。分配给该属性的值通知Windows 已启用了哪些选项。

下表列出了可以分配的标志。不能针对用户或计算机对象设置某些值，原因是这些值只能由目录服务设置或重置。

若要禁用用户的帐户，请将UserAccountControl属性设置为0x0202 (0x002 + 0x0200)。在十进制中，它是514 (2 + 512)。

属性标志说明

?SCRIPT - 将运行登录脚本。

?ACCOUNTDISABLE - 禁用用户帐户。

?HOMEDIR_REQUIRED - 需要主文件夹。

?PASSWD_NOTREQD - 不需要密码。

?PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志，但不能直接设置它。

?ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。

?TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限，但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。

?NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。

?INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域，此属性允许信任该系统域的帐户。

?WORKSTATION_TRUST_ACCOUNT - 这是运行Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或Windows 2000

Server 并且属于该域的计算机的计算机帐户。

?SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。

?DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。

?MNS_LOGON_ACCOUNT - 这是MNS 登录帐户。

?SMARTCARD_REQUIRED - 设置此标志后，将强制用户使用智能卡登录。

?TRUSTED_FOR_DELEGATION - 设置此标志后，将信任运行服务的服务帐户（用户或计算机帐户）进行Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行

Kerberos 委派，必须在服务帐户的userAccountControl属性上设置此标志。

?NOT_DELEGATED - 设置此标志后，即使将服务帐户设置为信任其进行Kerberos 委派，也不会将用户的安全上下文委派给该服务。

?USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准(DES) 加密类型的密钥。

?DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行Kerberos 预先验证。

?PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。

?TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份，并作为该用户接受网络上其他远程服务器的身份验证。

UserAccountControl值

这些值是某些对象的默认UserAccountControl值：

典型用户：0x200 (512)

域控制器：0x82000 (532480)

工作站/服务器：0x1000 (4096)

出处：https://www.sodocs.net/doc/1010860610.html,/xjzdr/article/details/3553246

电脑权限设置

红客必学:Windows下的权限设置详解 作者：不详来源于：123搜搜软件园软件破解商业破解行业软件发布时间：2005-8- 9 10:08:19 随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，W EBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗？其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO! 要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/20 03。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。 DOS跟WinNT的权限的分别 DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。 Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。 Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

在域里面添加权限

公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.

来宾账户(guest)或者受限用户(user)的权限设置

当你的电脑经常需要被别人使用，但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时，你可以先以管理员身份登录Windows系统，参照以下几条作相应设置，然后开通来宾账户或者新建一个普通user账户（不是管理员，而是受限用户），让别人用这个账户登录系统，这时你就可以放心你的电脑任意让别人折腾。 一、限制用户对文件的访问权限 如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。 例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作： （1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。 （2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。 （4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。 （5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。 要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。 这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，一切都无从谈起。 对于FAT/FAT32格式的分区，不能应用文件及文件夹的安全选项，我们可以通过设置计算机的策略来禁止运行指定的应用程序。 二、启用“不要运行指定的Windows应用程序”策略 在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。设置方法如下： （1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器，或者运行mmc命令启动控制台，并将“组策略”管理单元加载到控制台中； （2）、依次展开“…本地计算机?策略”“用户设置”“管理模板”，点击“系统”，双击右侧窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。 （3）、点击“添加”，输入不运行运行的应用程序名称，如命令提示符cmd.exe，点击“确定”，此时，指定的应用程序名称添加到禁止运行的程序列表中。 （4）、点击“确定”返回组策略编辑器，点击“确定”，完成设置。 当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，

2003域中限制用户安装和卸载软件的权限

何在2003域中限制用户安装和卸载软件的权限，我应该怎么通过设置 策略实现？ 可以考虑“power users”组，改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低，但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组，则应仔细地控制该组的成员，并且不要实现用于“受限制的组”设置的指导。 “受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置： 计算机配置\windows 设置\安全设置\受限制的组 通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上，管理员可以为gpo 配置受限制 的组。 如果某个组受限制，您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全 受限。只有通过使用安全模板才能使组受限。 查看或修改“受限制的组”设置： .打开“安全模板管理控制台。 注意：默认情况下，“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它，请启动microsoft 管理控制台(mmc.exe) 并添加“安全模板”加载项 2.双击配置文件目录，然后双击配置文件。 3.双击“受限制的组”项。 4.右键单击“受限制的组” 5.选择“添加组” 6.单击“浏览”按钮，再单击“位置”按钮，选择需浏览的位置，然后单击“确定”。 注意：通常这会使列表的顶部显示一个本地计算机。 7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。 单击“高级”按钮，然后单击“立即查找”按钮，列出所有可用组。 选择需要限制的组，然后单击“确定”。 单击“添加组”对话框上的“确定”来关闭此对话框。 对于所列出的组来说，将添加当前不是所列组成员的任何组或用户，而当前已是所列组成员的所有 用户或组将从安全模板中删除。 为完全限制“power users”组，此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组（例如“backup operators”组），建议您限制它。 如何使用组策略的进行软件分发和如何制作.msi文件?

Access表中各种属性的设置分析

ACCESS数据表中各个属性的含义、设置方法： 格式： Format 属性：可以使用Format属性自定义数字、日期、时间和文本的显示方式。Format属性只影响数据的显示方式，不影响数据的存储方式。String型，可读/写。 expression.Format expression 必需。返回“应用于”列表中的一个对象的表达式。 说明 可以使用预定义的格式，或者使用格式符号创建自定义格式。 Format对不同的数据类型使用不同的设置，对于控件，可以在控件的属性表中设置该属性。对于字段，可以在表“设计”视图或“查询”窗口的“设计”视图中（“字段属性”的属性表中）设置该该属性。也可以使用宏或Visual Basic。 注释在 Visual Basic 中，可输入对应预定义格式的子符串表达式或者输入自定义格式。Access 为“时间/日期”、“数字”和“货币”、“文本”和“备注”和“是/否”数据类型提供预定义格式，预定义格式与国家/地区设置有关。Access显示对应于所选国家/地区的格式，例如，如果在“常规”选项卡中选取“英语（美国）”，则1234.56 的“货币”格式是$1,234.56，如果在“常规”选项卡中选取“英语（英国）”，该数字将显示为￡1,234.56。 如果在表“设计”字视图中设置字段的Format属性，Access使用该格式在数据表中显示数据。对窗体和报表上的新控件也应用字段的Format属性。 在任意数据类型的自定义格式中都可以使用以下符号： 不能将“数字”和“货币”型的数据类型的自定义格式符号与“日期/时间”、“是/否”或“文本”和“备注”格式符号混合使用。 如果在数据上定义了输入掩码同时又设置了Format属性，在显示数据时，Format属性将优先，而忽略输入掩码。例如，如果在表“设计”视图中创建了“密码”输入掩码，同时又为字段设

来宾账号设置

一、把FAT32改成NTFS 依次点击“开始”→“运行”，输入“cmd”后回车打开“命令提示符”窗口。在命令提示符状态下键入“convert F:/FS:NTFS /V”，回车，这里的“F：”就是要转换文件系统的分区，参数“V”表示在转换时显示详细信息，可以不使用此参数。在重启电脑时，WinXP会自动先将F:盘转换为NTFS文件系统（会在进入系统前显示相关过程），然后再进入系统。 二、怎样设置来宾帐户的权限？ 1、运行gpedit.msc打开组策略编辑器 2、在编辑器窗口的左侧窗格中逐级展开“计算机配置”——“Windows设置“— —“安全设置”——“本地策略”——“用户权限指派”分支 3、双击需要改变的用户权限。单击“增加”或”删除”，然后双击想指派给权限 的用户帐号。连续两次单击“确定”按扭 比如说你的来宾账户是 123，格试在下面 net localgroup administrators123 /add 用个记事本把上面那个复制，然后别存为然后，文件名为: 0.bat，保存类型：所有文件，然后又击你保存的0.bat 就行 三、输入法解决方法： 右键单击任务栏通知区域内输入法图标,在出现地菜单中点选"设置" 在出来的对话框中点"添加" 在出来"添加输入语言"对话框中的"键盘布局/输入法"中点旁边的下拉箭头,找到你想加的输入法,也就是你已安装的输入法,然后点"确定",关掉这个对话框后再点"应用"和"确定".就行了, 再用鼠标左键点击通知区域的输入法图标.找到你想用的输入法就行了. 在这之前你要用管理员帐户先安装你下载的输入法,也就是在所有用户里要有你才安装的输入法.然后再在来宾帐户里设置,就能用了. 1、怎么样启用来宾账户？ 在XP系统中，我们可以使用下面的方法来启用来宾账户，打开开始菜单——设置——控制面板——用户账户。然后在弹出的用户账户的窗口中点击“Gus et”，然后选择“启用来宾账户”就可以了 2、如何删除来宾账户？ 对着“我的电脑”单击右键“管理”，然后单击“本地用户和组”，在右边的用户里找到你新建的管理员，再对着它单击右键“删除”就可以了

域用户权限设置 (改变及装软件)

http: 域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答： 根据您的描述，我对这个问题的理解是： 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”

b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.

AD中用户帐户属性userAccountControl

AD中用户帐户属性userAccountControl 在打开用户帐户的属性后，单击帐户选项卡，然后选中或清除“帐户选项”对话框中的复选框，则会将数值分配给UserAccountControl属性。分配给该属性的值通知Windows 已启用了哪些选项。 下表列出了可以分配的标志。不能针对用户或计算机对象设置某些值，原因是这些值只能由目录服务设置或重置。 若要禁用用户的帐户，请将UserAccountControl属性设置为0x0202 (0x002 + 0x0200)。在十进制中，它是514 (2 + 512)。

属性标志说明 ?SCRIPT - 将运行登录脚本。 ?ACCOUNTDISABLE - 禁用用户帐户。 ?HOMEDIR_REQUIRED - 需要主文件夹。 ?PASSWD_NOTREQD - 不需要密码。 ?PASSWD_CANT_CHANGE - 用户不能更改密码。可以读取此标志，但不能直接设置它。 ?ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。 ?TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限，但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。 ?NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。 ?INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域，此属性允许信任该系统域的帐户。 ?WORKSTATION_TRUST_ACCOUNT - 这是运行Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或Windows 2000 Server 并且属于该域的计算机的计算机帐户。 ?SERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。 ?DONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。 ?MNS_LOGON_ACCOUNT - 这是MNS 登录帐户。 ?SMARTCARD_REQUIRED - 设置此标志后，将强制用户使用智能卡登录。 ?TRUSTED_FOR_DELEGATION - 设置此标志后，将信任运行服务的服务帐户（用户或计算机帐户）进行Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行 Kerberos 委派，必须在服务帐户的userAccountControl属性上设置此标志。 ?NOT_DELEGATED - 设置此标志后，即使将服务帐户设置为信任其进行Kerberos 委派，也不会将用户的安全上下文委派给该服务。 ?USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准(DES) 加密类型的密钥。 ?DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行Kerberos 预先验证。 ?PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。 ?TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份，并作为该用户接受网络上其他远程服务器的身份验证。

字段属性的设置

字段属性的设置 一、 格式：决定改变数据显示与打印的格式 ? 针对某一数据类型而言的。 ? 不同数据类型其格式选择不同。 二、 默认值：加新记录在数据表中自动显示的值。默认值只是开始值，可在输入时改 变，其作用是为了减少输入时的重复操作。 ? 默认值必须与数据类型相匹配 ? 输入文本值时，可以不加引号 ? 可以使用表达式定义默认值， 如”Date()” 三、1.表达式：是许多Access 操作的基本组成部分，是产生结果的符号组合，这些符号包括标识符、运算符和值。 例如，可以使用下列表达式来显示“小计”和“运货费”控件的数值总和：= [小计] + [运货费] 2.何时使用表达式 ? 定义计算控件或字段，建立有效性规则，或设置默认字段值。 ? 建立筛选或查询中的条件表达式 ? 在VBA 程序中，为函数、语句和方法指定参数。 3.表达式的基本符号 [ ]：将窗体、报表、字段或控件的名称用方括号包围 #：将日期用数字符号包围 “”：将文本用双引号包围 &：可以将两个文本连接为一个文本串 ！运算符：运算符指出随后出现的是用户定义项 . 运算符：随后出现的是 Access 定义的项。 注意：计算控件的表达式前必须有等号 (=)。 4.示例 1) “北京”、100 、#2008-3-12#、“北京”&“奥运”等于“北京奥运” 2) Forms![订单]![订单ID] 引用“订单”窗体上的“订单ID ”控件 3) Reports![发票] 引用“发票”报表 4) SELECT 雇员.雇员ID, 订单.订单ID FROM 雇员,订单

6.表达式举例 1. Sage BETWEEN 20 AND 23 等价于Sage>=20 and Sage<=23 2. Birthday BETWEEN #1980-1-1# AND #1990-1-1# 3. Sdept IN (“IS”, “MA”, “CS “) 等价于 Sdept=“IS” OR Sdept= “MA” OR Sdept=“CS” 4. Sname LIKE “刘％” 5. Sex=“男” or Sex=“女” 等价于Sex in(“男” ,“女” ) 6. Sage not >26 注意：在书写表达式时，一定要分清楚表达式中引入的数据类型。数据类型可通过字段的定义确定。 技巧：可利用“表达式生成器”通过选择输入表达式 五、有效性规则（一个表达式）： 数据的有效性规则用于对字段所接受的值加以限 制，以保证数据输入的准确性。 ?有些有效性规则可能是自动的，如检查数 值字段的文本或日期值是否合法。 ?有效性规则也可以是用户自定义的： 如：Between#1/1/1970#and#12/31/2003#、”男” or ”女” ?可利用“表达式生成器”通过选择输入规则表达式 ?可利用“有效性文本”来设置输入错误时的提示。 例： 设置意义 <> 0：输入项必须是非零的数值。 > 1000 Or Is Null ：输入项必须为空值或大于1000。 Like "A????“：输入项必须是5 个字符并以字母A 为开头。 >= #1/1/96# And <#1/1/97#：输入项必须是1996 年中的日期。 六、输入掩码：输入掩码为数据的输入提供了一个模板，可确保数据输入表中时具有正确的格式。

Power Users账户具体权限

1：Power Users账户具体权限该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务,但不可访问NTFS分区上属于其他用户的私有文件. 2:受限用户 该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在的破坏性的任何修改. 3:其他用户 (1)系统管理员--有对计算机的完全访问控制权. (2)备份操作员不能根改安全性设置 (3)客人--权限同受限用户 (4)高级用户--权限同标准用户 在XP中设置用户权限按照一下步骤进行： Administrators组为管理员组（其成员拥有所有权限），Power Users组为超级用户组（其成员拥有除计算机管理以外的所有权限，可安装程序），User组为一般用户组（其成员只执行程序，不能安装和删程序） 在家庭里或者在单位中，可能都存在一机多用户共用的现象。根据各个用户的需要，合理设置相应的权限。在WinXP中，你可以轻松完成这些设置(以家庭中多用户使用权限的设置为例)。 一、禁止安装软件 如果孩子总是喜欢无休止地往电脑中安装游戏软件，那么你该如何禁止他们的安装权限呢？最有效的方法是为他们创建一个受限账户，这样，当孩子以自己的账户登录WinXP时，只能运行预先安装好的程序和存取属于自己的文件，对软件安装嘛，只能说拜拜了。创建受限账户Moon 二、账户管理好帮手——家庭成员组 倘若你想要让其他用户对自己的某个文件夹只具有读的权限，通常的做法是分别为每个账户赋权限。如果用户比较多的话，这样的做法比较麻烦，为了解决这个问题，就是创建一个家庭成员组，只要将其他账户添加到这个组中，然后再给这个组分配此权限，那么该组中的所有用户就都拥有了这个权限。创建组的具体步骤如下： 1新建组”命令，弹出“新建组”窗口。在“组名”框内输入“Home Member”，然后点击“创建”按钮即可创建一个组。 2接下来为该组填加成员，点击“添加”按钮，弹出“选择用户”窗口

局域网内设置计算机访问权限问题

局域网内设置计算机访问权限问题 1.检查guest账户是否开启 XP默认情况下不开启guest账户，因此为了其他人能浏览你的计算机，请启用guest账户。同时，为了安全请为guest设置密码或相应的权限。当然，也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。 2.检查是否拒绝Guest用户从网络访问本机 当你开启了guest账户却还是根本不能访问时，请检查设置是否为拒绝guest从网络访问计算机，因为XP默认是不允许guest 从网络登录的，所以即使开了guest也一样不能访问。在开启了系统Guest用户的情况下解除对Guest账号的限制，点击“开始→运行”，在“运行”对话框中输入“GPEDIT.MSC”，打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，双击“拒绝从网络访问这台计算机”策略，删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。 3.改网络访问模式 XP 默认是把从网络登录的所有用户都按来宾账户处理的，因此即使管理员从网络登录也只具有来宾的权限，若遇到不能访问的情况，请尝试更改网络的访问模式。打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，双击“网络访问：本地账号的共享和安全模式”策略，将默认设置“仅来宾―本地用户以来宾身份验证”，更改为“经典：本地用户以自己的身份验证”。 这样即使不开启guest，你也可以通过输入本地的账户和密码来登录你要访问的计算机，本地的账户和密码为你要访问的计算机内已经的账户和密码。若访问网络时需要账户和密码，可以通过输入你要访问的计算机内已经的账户和密码来登录。 若不对访问模式进行更改，也许你连输入用户名和密码都办不到，//computername/guest为灰色不可用。即使密码为空，在不开启guest的情况下，你也不可能点确定登录。改成经典模式，最低限度可以达到像2000里没有开启guest账户情况时一样，可以输入用户名和密码来登录你要进入的计算机。也许你还会遇到一种特殊的情况，请看接下来的。 4.一个值得注意的问题 我们可能还会遇到另外一个问题，即当用户的口令为空时，即使你做了上述的所有的更改还是不能进行登录，访问还是会被拒绝。这是因为，在系统“安全选项”中有“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows XP安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。在安全选项中，找到“使用空白密码的本地账户只允许进行控制台登录”项，停用就可以，否则即使开了guest并改成经典模式还是不能登录。经过以上的更改基本就可以访问了，你可以尝试选择一种适合你的方法。下面在再补充点其它可能会遇到的问题。 5.网络邻居不能看到计算机 可能经常不能在网络邻居中看到你要访问的计算机，除非你知道计算机的名字或者IP地址，通过搜索或者直接输入//computername或//IP。请按下面的操作解决：启动“计算机浏览器”服务。“计算机浏览器服务”在网络上维护一个计算机更新列表，并将此列表提供给指定为浏览器的计算机。如果停止了此服务，则既不更新也不维护该列表。 137/UDP--NetBIOS名称服务器，网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。

域用户权限

域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况，windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候，域用户自动加入了客户机本地的“user”组，这个组只有一些基本的使用功能。而您提到的重启服务，安装程序这样的操作，是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限，您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号，让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”，选择“管理” b。选择“本地用户和组” c。选择“组”， d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。

另外，如果您需要某些用户对服务器的某些服务有管理权限，但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略，展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务，双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置，然后点击“编辑安全设置” 5。在弹出窗口中，选择添加。 6。输入您需要的用户(组)，然后在下面的权限栏中，赋予那个用户(组) “启动，停止和暂停”权限。 关于安装程序，您可以还可以把用户加入到本地的“power user”组，这个组的成员有权限装一部分的软件，但是涉及以下方面的程序无法安装: 1。需要修改服务，驱动，系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份，不属于管理员直接拒绝。 由于各种程序，特别是第三方程序的细节我们很难确定，而且有时候安装的问题不一定会立刻显示出来，我们还是建议您使用管理员权限去安装程序。

Windows AD域用户属性对照表(综合整理)

Windows AD域用户属性对照表(综合整理) “常规”标签 姓Sn 名Givename 英文缩写Initials 显示名称displayName 描述Description 办公室physicalDeliveryOfficeName 电话号码telephoneNumber 电话号码：其它otherTelephone 多个以英文分号分隔 电子邮件Mail 网页wWWHomePage 网页：其它url 多个以英文分号分隔 “地址”标签 国家/地区 C 如：中国CN，英国GB 省/自治区St 市/县L 街道streetAddress 邮政信箱postOfficeBox 邮政编码postalCode “帐户”标签 用户登录名userPrincipalName 形如： 用户登录名（以前版本）sAMAccountName 形如：S1 登录时间logonHours 登录到userWorkstations 多个以英文逗号分隔 用户帐户控制userAccountControl (启用：512，禁用：514 -- 512 + 2，密码永不过期：66048 -- 65536 + 512 ,用户禁用：66050 -- 65536 + 512 + 2) 帐户过期accountExpires “配置文件”标签 配置文件路径profilePath 登录脚本scriptPath 主文件夹：本地路径homeDirectory 连接homeDrive 到homeDirectory “电话”标签 家庭电话homePhone (若是其它，在前面加other。) 寻呼机Pager 如：otherhomePhone。 移动电话mobile 若多个以英文分号分隔。 传真FacsimileTelephoneNumber ip电话ipPhone 注释Info “单位”标签 职务Title 部门Department 公司Company

guest用户权限设置

来宾账户（guest）或者受限用户（user）的 权限设置 当你的电脑经常需要被别人使用，但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时，你可以先以管理员身份登录Windows系统，参照以下几条作相应设置，然后开通来宾账户或者新建一个普通user账户（不是管理员，而是受限用户），让别人用这个账户登录系统，这时你就可以放心你的电脑任意让别人折腾。 一、限制用户对文件的访问权限 如果程序所在的磁盘分区文件系统为NTFS格式，管理员账户可以利用NTFS文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下，一个应用程序安装到系统后，本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限，该用户也就失去了运行该应用程序的能力。 例如，要禁止受限用户运行Outlook Express应用程序，可以进行如下的操作： （1）、以administrator账户登录系统，如果当前系统启用了简单文件共享选项，需要将该选项关闭。具体做法是，在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”，点击“查看”选项页，取消“使用简单文件共享”选项的选择，点击“确定”。 （2）、打开Program Files文件夹，选中Outlook Express文件夹并单击右键，选择“属性”。（3）、点击“安全”选项页，可以看到Users组的用户对该文件夹具有读取和运行的权限，点击“高级”。 （4）、取消“从父项继承那些可以应用到子对象的权限项目，包括那些再次明确定义的项目”选项的选择，在弹出的提示信息对话框，点击“复制”，此时可以看到用户所具有的权限改为不继承的。 （5）、点击“确定”，返回属性窗口，在“用户或组名称”列表中，选择Users项目，点击“删除”，点击“确定”，完成权限的设置。 要取消指定用户对文件或程序的访问限制，需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。 这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提，那就是要求应用程序所在的分区格式为NTFS，否则，一切都无从谈起。 对于FA T/FA T32格式的分区，不能应用文件及文件夹的安全选项，我们可以通过设置计算机的策略来禁止运行指定的应用程序。 二、启用“不要运行指定的Windows应用程序”策略 在组策略中有一条名为“不要运行指定的Windows应用程序”策略，通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。设置方法如下： （1）、在“开始”“运行”处执行gpedit.msc命令，启动组策略编辑器，或者运行mmc命令启动控制台，并将“组策略”管理单元加载到控制台中； （2）、依次展开“…本地计算机?策略”“用户设置”“管理模板”，点击“系统”，双击右侧窗格中的“不要运行指定的Windows应用程序”策略，选择“已启用”选项，并点击“显示”。 （3）、点击“添加”，输入不运行运行的应用程序名称，如命令提示符cmd.exe，点击“确定”，此时，指定的应用程序名称添加到禁止运行的程序列表中。 （4）、点击“确定”返回组策略编辑器，点击“确定”，完成设置。

域用户本地权限设置

域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候，默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中

的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中，然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1： 创建datong.vbs，内容如下： Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域（例如https://www.sodocs.net/doc/1010860610.html,）”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”

如何突破公司电脑域账号限制获得管理员权限

【基本思路】 利用PE工具启动电脑，清除Administrator账号的密码，进而重新开机直接登录管路员账号。 [ 现在PE工具非常多，在此，我仅以其中一款为案例说明详细步骤] 一、制作前准备（注意：操作前备份好u盘数据） 1.电脑内存不能小于512MB 2.U盘的容量大于512MB 3.下载U盘启动盘制作工具 【老毛桃U盘启动盘制作工具Build20111206】下载地址： https://www.sodocs.net/doc/1010860610.html,:90/老毛桃WinPe－u盘版.rar 二、制作U盘启动盘 双击【老毛桃U盘启动盘制作工具Build20111206】,选择你的U盘，画面如下图：

点击“一键制成USB启动盘”按钮（注意操作前备份重要数据） 制作成功，如下图，此时可以拔出你的U盘

注意：由于U盘系统文件隐藏，你会发现u盘空间会减少330M左右，请不要担心此时没有制作成功

三、重启进入BIOS设置U盘启动(提示:请先插入U盘后，再进入BIOS) 在计算机启动的第一画面上按"DEL"键进入BIOS（可能有的主机不是DEL有的是F2或F1.请按界面提示进入），选择Advanced BIOS FEATURES ，将Boot Sequence（启动顺序），设定为USB-HDD模式，第一，设定的方法是在该项上按PageUP或PageDown键来转换选项。设定好后按ESC一下，退回BIOS主界面，选择Save and Exit（保存并退出BIOS设置，直接按F10也可以，但不是所有的BIOS都支持）回车确认退出BIOS设置。 四、进入【U盘启动盘制作工具】启动菜单界面 点击09即可清除原有Administrator账户密码了。

计算机账户权限设置方法

该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务,但不可访问NTFS分区上属于其他用户的私有文件. 2:受限用户 该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在的破坏性的任何修改. 3:其他用户 (1)系统管理员--有对计算机的完全访问控制权. (2)备份操作员不能根改安全性设置 (3)客人--权限同受限用户 (4)高级用户--权限同标准用户 在XP中设置用户权限按照一下步骤进行: 进入"控制面板",在"控制面板"中双击"管理工具"打中开"管理工具",在"管理工具"中双击"计算机管理"打开"计算机管理"控制台,在"计算机管理"控制台左面窗口中双击"本地用户和组",再单下面的"用户",右面窗口即显示此计算机上的所有用户。要更改某用户信息，右击右面窗口的该用户的图标，即弹出快捷菜单，该菜单包括:设置密码、删除、重命名、属性、帮助等项，单击设置密码、删除、重命名等项可进行相应的操作。单击属性弹出属性对话框，"常规"选项卡可对用户密码安全，帐户的停锁等进行设置，"隶属于"选项卡可改变用户组，方法如下:先选中下面列表框中的用户，单击"删除"按纽，如此重复删除列表中的所有用户，单击"添加"按纽，弹出"选择组"对话柜，单击"高级"按纽，单击"立即查找"按纽，下面列表框中列出所有的用户组，Administrators组为管理员组(其成员拥有所有权限)，Power Users组为超级用户组(其成员拥有除计算机管理以外的所有权限，可安装程序)，User组为一般用户组(其成员只执行程序，不能安装和删程序)。根据需要选择用户组后，单击"确定"、单击"确定"，单击"确定"关闭"属性"对话框即将该用户改为新的用户组,其拥有新用户组的权限。重启计算机后更改生效。 在家庭里或者在单位中，可能都存在一机多用户共用的现象。根据各个用户的需要，合理设置相应的权限。在WinXP 中，你可以轻松完成这些设置(以家庭中多用户使用权限的设置为例)。 一、禁止安装软件 如果孩子总是喜欢无休止地往电脑中安装游戏软件，那么你该如何禁止他们的安装权限呢?最有效的方法是为他们创建一个受限账户，这样，当孩子以自己的账户登录WinXP时，只能运行预先安装好的程序和存取属于自己的文件，对软件安装嘛，只能说拜拜了。创建受限账户的具体步骤如下: 1.首先以系统管理员(Administrator)的身份登录到WinXP。 2.点击选择"开始控制面板"命令，在"控制面板"窗口中双击"用户账户"图标。 3.在弹出的窗口任务列表中点击"创建一个新用户"^39020301a^1，然后在向导窗口的文本框内输入一个名称(例如"Moon")，这个名称将出现在欢迎屏幕或开始菜单中，点击"下一步"按钮。 4.在新出现的画面中提供了"计算机管理员"和"受限"两种权限。用鼠标点选"受限"单选按钮，然后点击"创建账户"即可 ^39020301b^2。 另外，在任务列表窗口中你还可以完成对所建账户进行改名和删除等操作。 二、账户管理好帮手--家庭成员组 倘若你想要让其他用户对自己的某个文件夹只具有读的权限，通常的做法是分别为每个账户赋权限。如果用户比较多的话，这样的做法比较麻烦，为了解决这个问题，就是创建一个家庭成员组，只要将其他账户添加到这个组中，然后再给这个组分配此权限，那么该组中的所有用户就都拥有了这个权限。创建组的具体步骤如下: 1.点击选择"开始控制面板"命令，依次双击"管理工具计算机管理"图标，弹出"计算机管理"窗口。 2.在左侧窗格的树形结构中，逐级展开"系统工具本地用户和组"，在该分支下有"用户"和"组"两个选项。选择"组"，在右侧窗格中你会发现"Administrators"、"Power Users"、"Users"和"Guests"等系统内建的组^39020301c^3。 3.选择"操作新建组"命令，弹出"新建组"窗口。在"组名"框内输入"Home Member"，然后点击"创建"按钮即可创建一个组。 4.接下来为该组填加成员，点击"添加"按钮，弹出"选择用户"窗口^39020301d^4。 5.点击"对象类型"按钮，将对象类型选择为"用户";然后再点击"高级"按钮。 6.在进一步展开的选择用户窗口中点击"立即查找"，在搜寻结果列表中选取"Sun"用户，点击"确定"按钮^39020301e^5，