Windows2003最小的权限+最少的服务打造服务器安全

Windows2003最小的权限+最少的服务打造服务器安全一、硬盘分区与操作系统的安装

1.硬盘分区

总的来讲在硬盘分区上面没什么值得深入剖析的地方，无非就是一个在分区前做好规划知道要去放些什么东西，如果实在不知道。那就只一个硬盘只分一个区，分区要一次性完成，不要先分成FAT32再转成NTFS。一次性分成NTFS格式，以我个人习惯，系统盘一般给12G。建议使用光盘启动完成分区过程，不要加载硬盘软件。

2.系统安装

以下内容均以2003为例

安装过程也没什么多讲的，安装系统是一个以个人性格为参数的活动，我建议在安装路径上保持默认路径，好多文章上写什么安装路径要改成什么呀什么的，这是没必要的。路径保存在注册表里，怎么改都没用。在安装过程中就要选定你需要的服务，如一些DNS、DHCP没特别需要也就不要装了。在安装过程中网卡属性中可以只保留TCP/IP 这一项，同时禁用NETBOIS。安装完成后如果带宽条件允许可用系统自带在线升级。

二、系统权限与安全配置

前面讲的都是屁话，润润笔而已。（俺也文人一次）

话锋一转就到了系统权限设置与安全配置的实际操作阶段

系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。此句基本上是个人都看过，但我好像没有看到过一篇讲的比较详细稍具全面的文章，下面就以我个人经验作一次教学尝试！

2.1 最小的权限如何实现？

NTFS系统权限设置

在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下

?C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改

?其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录

如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限

C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、

C:\windows\Installer也是保留了Everyone权限.

?删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击

?默认IIS错误页面已基本上没多少人使用了。建议删除

C:\WINDOWS\Help\iisHelp目录

?删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500 错误的时候使用OWA 或Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。

?打开C:\Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;for https://www.sodocs.net/doc/cb228010.html,;

regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edli n.exe;

ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.

exe;syskey.exe

修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限

关闭445端口

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

新建"DWORD值"值名为"SMBDeviceEnabled" 数据为默认值"0"

禁止建立空连接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建"DWORD值"值名为"RestrictAnonymous" 数据值为"1" [2003默认为1]

禁止系统自动启动服务器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Para meters

新建"DWORD值"值名为"AutoShareServer" 数据值为"0"

禁止系统自动启动管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Para meters

新建"DWORD值"值名为"AutoShareWks" 数据值为"0"

通过修改注册表防止小规模DDOS攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建"DWORD值"值名为"SynAttackProtect" 数据值为"1"

禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。

关闭华医生Dr.Watson

在开始-运行中输入"drwtsn32"，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，调出系统里的华医生Dr.Watson ，只保留"转储全部线程上下文"选项，否则一旦程序出错，硬盘会读很久，并占用大量空间。如果以前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。

本地安全策略配置

开始> 程序> 管理工具> 本地安全策略

?账户策略> 密码策略> 密码最短使用期限改成0天[即密码不过期，上面我讲到不会造成IIS密码不同步]

?账户策略> 账户锁定策略>账户锁定阈值5 次账户锁定时间10分钟[个人推荐配置]

?本地策略> 审核策略>

?账户管理成功失败

?登录事件成功失败

?对象访问失败

?策略更改成功失败

?特权使用失败

?系统事件成功失败

?目录服务访问失败

?账户登录事件成功失败

?本地策略> 安全选项> 清除虚拟内存页面文件更改为"已启用"

?

?> 不显示上次的用户名更改为"已启用"

?> 不需要按CTRL+ALT+DEL 更改为"已启用"

?> 不允许SAM 账户的匿名枚举更改为"已启用"

?> 不允许SAM 账户和共享的匿名枚举更改为"已启用"

?> 重命名来宾账户更改成一个复杂的账户名

?> 重命名系统管理员账号更改一个自己用的账号[同时可建立一个无用户组的Administrat账户]

组策略编辑器

运行gpedit.msc 计算机配置> 管理模板> 系统显示"关闭事件跟踪程序" 更改为已禁用

删除不安全组件

WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。

1.方案一：

regsvr32 /u wshom.ocx 卸载WScript.Shell 组件

regsvr32 /u shell32.dll 卸载Shell.application 组件

如果按照上面讲到的设置，可不必删除这两个文件

2.方案二：

删除注册表

HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88A FB8}对应WScript.Shell

删除注册表

HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-44455354000 0}对应Shell.application

用户管理

建立另一个备用管理员账号，防止特殊情况发生。

安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号用户组说明

在将来要使用到的IIS中，IIS用户一般使用Guests组，也可以再重新建立一个独立的专供IIS使用的组，但要将这个组赋予C:\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录，太小家子气。

二、系统权限与安全配置

2.2最少的服务如果实现

黑色为自动绿色为手动红色为禁用

?Alerter

?Application Experience Lookup Service

?Application Layer Gateway Service

?Application Management

?Automatic Updates [Windows自动更新,可选项] ?Background Intelligent Transfer Service

?ClipBook

?COM+ Event System

?COM+ System Application

?Computer Browser

?Cryptographic Services

?DCOM Server Process Launcher

?DHCP Client

?Distributed File System

?Distributed Link Tracking Client

?Distributed Link Tracking Server

?Distributed Transaction Coordinator

?DNS Client

?Error Reporting Service

?Event Log

?File Replication

?Help and Support

?HTTP SSL

?Human Interface Device Access

?IIS Admin Service

?IMAPI CD-Burning COM Service

?Indexing Service

?Intersite Messaging

?IPSEC Services[如果使用了IP安全策略则自动，如无则禁用，可选操作]?Kerberos Key Distribution Center

?License Logging

?Logical Disk Manager [可选，多硬盘建议自动]

?Logical Disk Manager Administrative Service

?Messenger /li>

?Microsoft Search

?Microsoft Software Shadow Copy Provider

?MSSQLSERVER

?MSSQLServerADHelper

?Net Logon

?NetMeeting Remote Desktop Sharing

?Network Connections

?Network DDE

?Network DDE DSDM

?Network Location Awareness (NLA)

?Network Provisioning Service

?NT LM Security Support Provider

?Performance Logs and Alerts

?Plug and Play

?Portable Media Serial Number Service[微软反盗版工具，目前只针对多媒体类]?Print Spooler

?Protected Storage

?Remote Access Auto Connection Manager

?Remote Access Connection Manager

?Remote Desktop Help Session Manager

?Remote Procedure Call (RPC)

?Remote Procedure Call (RPC) Locator

?Remote Registry

?Removable Storage

?Resultant Set of Policy Provider

?Routing and Remote Access

?Secondary Logon

?Security Accounts Manager

?Server

?Shell Hardware Detection

?Smart Card

?Special Administration Console Helper

?SQLSERVERAGENT

?System Event Notification

?Task Scheduler

?TCP/IP NetBIOS Helper

?Telephony

?Telnet

?Terminal Services

?Terminal Services Session Directory

?Themes

?Uninterruptible Power Supply

?Upload Manager

?Virtual Disk Service

?Volume Shadow Copy

?WebClient

?Windows Audio[服务器没必要使用声音]

?Windows Firewall/Internet Connection Sharing (ICS)

?Windows Image Acquisition (WIA)

?Windows Installer

?Windows Management Instrumentation

?Windows Management Instrumentation Driver Extensions ?Windows Time

?Windows User Mode Driver Framework

?WinHTTP Web Proxy Auto-Discovery Service

?Wireless Configuration

?WMI Performance Adapter

?Workstation

?World Wide Web Publishing Service

以上操作完成以后是否就"最小的权限+最少的服务=最大的安全"呢？其实不然，任何事物都是相对的

依我个人而见，以上设置也只是最基本的一些东西而已，如有遗漏，稍后补上！

2003操作系统：你可能没有权限使用网络资源 无法访问

在工具->文件夹选项->查看,将"使用简单文件共享"前面的勾勾去掉 .在控制面板->用户帐号,将guest帐户启用 .运行"gpedit.msc",windows设置-安全设置-本地策略-用户权利指派 左边框会出现一个"拒绝从网络访问这台计算机"项把guest用户删除掉就可以了,在"从网络中访问这台计算机"中添加对方机器名,添加guest用户 .在注册表里做一些修改如下：开始运行regedit回车，找到下列路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa右边RestrictAnonymous的值是否为0,如果不是就改为0 -------------------------------------------------------------------- 局域网互访第一关卡： 操作系统默认:利用ipc$通道可以建立空连接,匿名枚举出该机有多少帐户。显然有一定的安全隐患。黑客可以利用扫描器，找到开放IPC$共享的电脑，匿名枚举出该机的所有用户帐号，如果用户的帐号不设密码，则容易被入侵。本系统已禁止空连接。这样，即使用户没设密码，上网也不会有多大的风险。但影响到局域网互访。 局域网互访第二关卡： 本地安全策略--安全选项--帐户：使用空白密码的本地帐户只允许进行控制台登录。系统默认值是：已启用。 解说：很多人的帐户并没有加密码。这样，当局域网中别的电脑访问本机时，会弹出错误提示：登录失败：用户帐户限制………。这是XP系统的一条安全策略造成的，防止别人趁你空密码时进入你的电脑。如果你的电脑是家用的，没必要设密码，那就应把它设为：已停用。 局域网互访第三关卡： 控制面板--防火墙--例外--文件和打印机共享。系统默认：不选。 解说：所有的策略都设置好了，局域网依然不能访问，提示：您没有权限使用网络资源，找不到网络路径！呵呵，真是令人大为光火。这是因为XP还有一道关卡，就是防火墙，必须要经过防火墙的允许才行。 知识普及:IPC$入侵是黑客惯用的手段。IPC$漏洞不能穿越路由器，所以用路由器上网的用户不必担心开放了局域网共享会有什么隐患。但要注意：路由器会被人扫描并窃取保存在里面的ADSL帐号密码。所以也不要大意，赶快把路由器默认的用户名和密码改掉。

51CTO下载-windows2003服务器配置

Windows Server 2003服务器配置 一、DNS服务器的安装与配置 实训目的 1.掌握DNS服务器的相关配置。 2.完成DNS客户端的域名解析设置。 3.完成DNS服务的验证。 实训设备与环境 一台Windows 2003 Server 域控制器，一台Windows 2000 Professional客户机。 两台机器按如图1所示，完成相关的设置。 图1 DNS服务配置实例图 实训内容 1.DNS服务器的安装 2.DNS客户端设置 3.DNS服务器的配置与管理 实训步骤 1.如果在安装域控制器时，已经选择安装DNS服务器，则不需要再进行二次安装，如果原来没有DNS服务器，则可参考7.1节内容完成DNS服务器的安装。主要包括以下步骤： (1)选择一台已经安装好Windows 2003的服务器（https://www.sodocs.net/doc/cb228010.html,），确认其已安装了TCP/IP协议，先设置服务器自己TCP/IP协议的属性。 (2)运行【开始】/【设置】/【网络和拨号连接】，鼠标右键单击【本地连接】，选择【属性】/【Internet协议（TCP/IP）】/【属性】，设置IP地址为192.168.100.1，子网掩码为255.255.255.0，DNS服务器地址为192.168.100.1。

(3)运行【控制面板】中的【添加/删除程序】选项，选择【添加/删除Windows组件】。 (4)选择【网络服务】复选框，并单击【详细信息】按钮。 (5)在【网络服务】对话框中，选择【域名系统（DNS）】，单击【确定】按钮，系统开始自动安装相应服务程序。 2.完成DNS客户端设置。 (1)选择一台装有Windows 2000 Professional的客户机（work），确认其已安装了TCP/IP协议，设置TCP/IP协议的属性。 (2)运行【开始】/【设置】/【网络和拨号连接】，鼠标右键单击【本地连接】，选择【属性】/【Internet协议（TCP/IP）】/【属性】，设置IP地址为192.168.100.2，子网掩码为255.255.255.0，DNS服务器地址为192.168.100.1。 3.新建一个正向搜索区域（标准正向搜索区域），名为“https://www.sodocs.net/doc/cb228010.html,”。 (1)选择【开始】/【程序】/【管理工具】/【DNS】，打开DNS管理窗口。 (2)选取要创建区域的DNS服务器，右键单击【正向查找区域】选择【新建区域】，出现【欢迎使用新建区域向导】对话框时，单击【下一步】按钮。 (3)在出现的对话框中选择要建立的区域类型，这里我们选择【主要区域】，单击【下一步】。 (4)在【区域名称】命名对话框时，输入新建主区域的区域名https://www.sodocs.net/doc/cb228010.html,，然后单击【下一步】。 (5)在出现的对话框中单击【完成】按钮，结束区域添加。 4.在“https://www.sodocs.net/doc/cb228010.html,”中建立work主机记录。IP地址为“192.168.100.2”。 (1)选中要添加主机记录的主区域https://www.sodocs.net/doc/cb228010.html,，右键单击选择菜单【新建主机】。 (2)在【名称】下输入计算机的主机名work，在【IP地址】文本框中输入相应的主机IP地址192.168.100.2。 (3)如果要将新添加的主机IP地址与反向查询区域相关联，选中【创建相关的指针（PRT）记录】复选框，将自动生成相关反向查询记录，即由地址解析名称。 (4)可重复上述操作重复添加多个主机，添加完毕后，单击【确定】关闭对话框，会在【DNS管理器】中增添相应的记录。 5.创建一个反向搜索区域，其对应的IP网络地址为192.168.100.0。 (1)选择【开始】/【程序】/【管理工具】/【DNS】，打开DNS管理窗口。 (2)选取要创建区域的DNS服务器，右键单击【反向搜索区域】选择【新建区域】，出现【欢迎使用新建区域向导】对话框时，单击【下一步】按钮。 (3)在出现的对话框中选择要建立的区域类型，这里我们选择【主要区域】，单击【下一步】。 (4)在【网络ID】处输入此区域支持的网络ID，例如：192.168.100，自动在【反向搜索区域名称】处设置区域名【100.168.192.in-addr.arpa】。 (5)单击【下一步】，文本框中会自动显示默认的区域文件名。单击【下一步】完成。 6.创建一个反向指针，其IP地址为“192.168.100.2”，对应的域名为“https://www.sodocs.net/doc/cb228010.html,”。 (1)选中要添加主机记录的反向主区域192.168.100.x Subnet，右键单击选择菜单【新建指针】。

无法访问指定设备、路径或文件。没有合适的权限简单解决办法win7

windows无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目我的解决方法 本人win7系统下以管理员身份运行打不开一些windows无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目，网上查了一大堆资料发现了问题。 总结为： ●确定你有没有装一下杀毒软件典型的如：卡巴斯基等等限制了，你的文件访问 ●你可不可以装360系统急救箱，可以的话装上他修复一下就可以了。如果修复了还是不行那就看下面的。 ●确定一下你有没有装PPS软件，它会新建一个用户组。查看如 下 选择你的启动盘，打开属性

是的话就重启电脑，按f8 ,进入选择界面时，选择修复系统，修复完成后，就退出不要做其他的，进入系统，看看是否可以了。 Ps :我的电脑就是因为装了PPS 后出现问题，然后这样弄好的，一开始想重装电脑，幸好没有冲动，希望能解决你的问题 点开安全，看看是否多了一 个叫Authenticated users 的 用户

Windows无法访问指定设备路径或文件，您可能没有合 适的权限访问这个项目 产生这个错误是因为你的系统分区采用ntfs分区格式,并且没有设置管理员权限. 解决办法: 1 查看c盘属性,切换到"安全"选项卡,然后点"添加",选择一个管理员账号,点"确定"。然后用这个管理员账号登陆即可（注销或重启电脑） 2 系统有病毒，并且有可能被修改了文件关联.解决办法就是杀毒和恢复文件关联.网上有专门修复文件关联的软件，搜索一下就好 3 系统中安装有安全软件，比如system safety monter软件 4 关闭杀毒软件和防火墙试试看事实不是可以打开 一个一个来，试试这个简便方法： <已解决> 右键点击X盘（X代表磁盘分区，如D盘、E盘......），“属性”——“安全”——选择你当前登陆的用户名，如“Administrator”等，将“Administrator 的权限”下面的“允许”项目全部打钩，确定 另外还可以点击“添加”——“高级”——打开‘选择用户或组’对话框，——点选“立即查找”，将出现本机所有用户组，选择当前用户，“确定”，重复上面的步骤，“允许”项目全部打钩，再确定，应该就可以运行F盘所有的exe文件了 还不行的话，右键点击X盘（X代表磁盘分区，如D盘、E盘......），“属性”——“安全”——；选择“组或用户名称”里当前的登陆用户名，点“高级”——“所有者”——“目前该项目的所有者”栏目会显示 “S-1-5-21-147001333-1580818891-1708537768-500”这一串；点选‘名称’里的

如何在Windows2003_Radius服务器搭建详解

如何Windows2003 Radius服务器搭建 1 目的 为测试提供指导，加快测试效率，并为WLAN产品积累相应的测试案例。 2 范围 1）适用于802.1x Radius测试。 4 术语和定义 AP Access Point，接入点 AC Access Controller，接入控制器 WLAN Wireless Local Access Network，无线局域网 VLANVirtual Local Area Network，虚拟局域网

5 windows2003 Radius服务器安装步骤 5.1 IIS安装 在【控制面板->添加或删除程序->添加/删除Windows组件->应用程序服务器】中勾选“https://www.sodocs.net/doc/cb228010.html,”，“Internet信息服务(IIS)”，“启用网络COM+访问”。点击<确定>，插入Windows2003安装盘，点击<下一步>，完成IIS安装。 图5-1 IIS安装选项 5.2 IAS(Internet验证服务)安装 在【控制面板->添加或删除程序->添加/删除Windows组件->网络服务】中勾选“Internet 验证服务”，“域名系统(DNS)”。点击<确定>，插入Windows2003安装盘，点击<下一步>，完成IAS安装。 图5-2 IAS安装选项 5.3 Active Directory安装 1、在运行栏输入“dcpromo”，进入AD安装向导。 图5-3 输入运行命令

2、在安装向导页面点击<下一步>。 图5-4 开始安装向导3、点击<下一步>，继续安装。 图5-5 操作系统兼容性信息4、选择<新域的域控制器>，点击<下一步>。 图5-6 域控制类型 5、选择<在新林中的域>，点击<下一步>。

用户组及文件夹权限的初步设置

实验一：文件夹权限的初步设置 实验目的： 1.掌握文件夹权限初步设置方法。 实验内容： 1.用管理员登录，在C盘建一个文件夹，选中这个文件夹－右键－属 性－安全－高级——把“允许把来自父系的可继承权限传播给该对象” 前面的“√”去掉，再选删除，确定。双击该文件夹，能否打开(不能)，为什么(任何用户都没有权限打开)？再进入该文件夹的ACL，为管理员添加写权力，双击该文件夹，能否打开(不能)。复制一个文件，选中该文件夹后，粘贴。（等下一步能够进入文件夹时看它时否存在）再进入该文件夹的ACL，为管理员添加只读属性，双击该文件夹，能否打开(能)，是否已经有一个文件(存在)，这时新建一个文件夹，能否改名(不能更改)。 为该管理员授什么权力，管理员才可能改变该文件夹中文件的名字(修改权限)。通过这个题大家要知道，在NTFS系统下，文件只有获得明确的授权以后，才可以使用，并且不可超出给定的权力。另外要知道读、写、修改权力的区别。 2.建立2个用户，再建一个组，把其中1个用户加入到这个组，在C 盘建一个文件夹，允许该组完全控制，管理员打开该文件夹(不能)？以组中的一个用户登录，能否打开该文件夹(可以)？以组中不包括的用户登录，能否打开该文件夹(不能)？如果不删除everyone，管理员能否打开该文件夹(可以)。 二、思考题 1．删除用户的提示信息是什么？

2．一个用户可不可以属于不同的组(可以)？同一个组中的用户权力是否相同(不同)？ 3．如何使一个文件夹只允许某一个用户访问？(属性→安全→编辑→添加→高级→立即查找→只选择一个用户→确定.) 管理员能不能打开它？(不能) 09计师本2 黄昊090801251

文件服务器管理规范(精)

文件服务器管理规范 第一章总则 第一条本文件服务器承担共享和存储服务,有严格的权限配置来保证数据安全 第二条设立文件服务器,主要是为各部门和全体职员提供一个资源共享的平台,有利于加强各部门之间的交流与学习,便于经理、主管主任直观地了解、检查督促每位工作人员的工作。 第二章文档管理内容 第三条每位职员都必须及时将与业务工作有关的各类材料上存文件服务器,与工作无关的各类资料一律不得上传。 第四条办公室全体职员可以在以自己名字命名的文件夹下设立子文件夹,以便于文件的管理、查阅和存档。各部门工作人员根据工作需要,可以在子文件下,再设立子文件夹。 第五条办公室全体职员要树立保密意识,切实加强对文字材料的管理,坚决杜绝诸如将办公室文件贴在互联网上等泄露秘密事件的发生。一旦出现问题,视情节轻重,追究责任人的相关责任。 第六条IT组负责文件服务器的维护。各部门在使用文件服务器的过程中,出现问题,要及时通知IT,由IT负责解决。若因未及时通知而出现问题,责任自负。 第七条只允许存放工作文件,严谨与工作无关文件存储在服务器上,部门责任人有权利协助删除不符合要求的文件。 第八条重要文件必须存放在服务器上,本地保留副本,否则出现文件丢失或损坏由其本人负责。

第九条为减轻服务器压力,不允许在服务器上直接运行文件,需要提取文件时,应先复制到本地再运行。 第十条上传文件前,需要先检查病毒,确保上传的文件是干净的。 第十一条按照项目名称建立总目录,每个目录下根据用途再建立子目录,用户可以根据自身情况设计自己的存储方式,尽量整理整齐,易于查找。 第十二条目录创建和权限分配因需求变化,默认创建的目录和权限是最基本的。 第十三条各部门分别整理自己的文档,存放到各自相应的目录,对于不同阶段的文档要有区分的存放到不同目录。 第十五条所有电子文档,除非工作需要,原则上不允许跨部门传播,更不允许外借或者向第三方散播,否则发生纠纷,则公司将追究相应的法律责任,公司保留追究相应的损失赔偿的权利。 第十六条目录内要建立名称为record.txt记录文件。注明原因、更改方式、时间、文件名称等。 第三章服务器管理内容 第十七条服务器管理员负责服务器本身的安装,维护,调试,保证系统正常运行;负责建立父目录与权限分配以及整体数据的备份和恢复 第十八条服务器管理员根据需要设置文档管理员,由ITGroup组的成员来负责各部门的文档管理事务。负责临时账户的建立、修改和删除。 第十九条文档管理员拥有比普通用户更高的权限,负责平时的文档收集、整理;本部门相关文档在服务器上的增加、更新、备份和无用资料的删除;负责项目结束后文档资料的移交工作;本部门员工变动

Windows2003服务器配置

选择题 1.Windows Server 2003中IE浏览器默认安全级别为（）。 A．低B．中C．高D．中低 2.DNS属于（）层协议。 A．传输层B．应用层C．互联网层D．网络接口层 3.指定系统在5分钟后关机，需要使用（）命令。 A．shutdown -s B．shutdown -a C．shutdown -s -t 5 D．shutdown -s -t 300 4.在（）命令行中，按协议的种类显示统计数据。 A．ipconfig B．netstat –s C．netstat –a D．netstat –e 5.在Windows 9X/2000/XP/2003中，（）是最小运行单位。 A．进程B．线程C．服务D．程序 6.（）表示显示当前用于映射打开文件的页面的物理内存。 A．物理内存B．系统缓存C．未分页内存D．分页内存 7.磁盘管理支持（）基本磁盘还是动态磁盘。 A．动态磁盘B．基本磁盘和动态磁盘C．基本磁盘D．以上都不对 8.存储在硬盘上的虚拟内存文件的文件名是（）。 A．visual.sys B．win.ini C．pagefile.sys D．boot.ini 9.某公司计划建设网络系统，该网络有两台服务器，安装Windows Server 2003操作系 统；40台工作站，安装Windows XP，则Windows Server 2003的许可协议应选择何种模式比较合理？（） A．选择每服务器模式B．选择每客户模式C．选择混合模式D．忽略该选项10.现要在一台装有Windows 2000 Server操作系统的机器上安装Windows Server 2003， 并做成双引导系统。此计算机硬盘的大小是10.4GB，有两个分区：C盘4GB，文件系统是FAT；D盘6.4GB，文件系统是NTFS。为使计算机成为双引导系统，下列那个选项是最好的方法？（） A．安装时选择全新安装，并选择D盘作为安装盘。 B．安装时选择全新安装，并且选择C盘上与Windows作为Windows Server 2003的安装目录 C．安装时选择升级安装，并且选择C盘上与Windows不同的目录作为Windows Server 2003的安装目录 D．安装时选择升级选项，并选择D盘作为安装盘。 11.有一台服务器的操作系统是Windows 2000 Server，文件系统是NTFS，无任何分区， 现要求对该服务进行Windows Server 2003的安装，保留原数据，但不保留操作系统，应使用下列（）种方法进行安装才能满足需求。 A．在安装过程中进行全新安装并格式化磁盘 B．对原操作系统进行升级安装，不格式化磁盘 C．做成双引导，不格式化磁盘 D．重新分区并进行全新安装 12.要启用磁盘配额管理，Windows Server 2003驱动器必须使用（）文件系统。 A．FAT16或FAT32 B．只使用NTFS C．NTFS或FAT 32 D．只使用FAT32 13.对于NTFS权限描述错误的是（） A. 没有文件和文件夹级的安全性 B. 内置文件加密和压缩功能

服务器文件共享权限设置方法说明

服务器文件共享权限设置方法说明 随着企业的发展，利用计算机进行信息化管理变得越来越重要。员工进行计算机协同工作时，很多文件、资料需要共享。然而普通的共享方式对于很多信息是不安全的，因此我们需要对共享的权限进行控制，让不同身份的用户对文件夹、文件具有不同的访问权限。 下面就是设置权限访问的具体实施方法： 一、需求分析 1、为每个部门建立一个文件夹，文件夹允许对应部门的人员进行完全权限的访问，领导可进行只读访问，其他人员不能访问。 2、建立“常用软件”文件夹，计算机管理人员可以进行完全权限访问，其他人员进行只读访问。 3、建立“公司发文”文件夹，发文人员进行读写访问，其他人员进行只读访问。 4、建立“中转站”文件夹，用于人员之间的资料互换，所有人员具有读写权限。 5、建立“常用报表”文件夹，其中设立各类报表的子文件夹，并对子文件夹设立权限。 需要修改其中内容的人员具有读写权限，只需查看的人员具有只读权限，其他人员无权访问。（具体人员和相关访问权限另附） 二、设备配置 1、购买一台服务器计算机，并建好局域网。 2、服务器上安装Windows服务器操作系统，如Windows Server 2003。 3、安装文件服务器，文件服务器是Windows Server的一个组件。 4、服务器上至少有一个NTFS格式的磁盘分区，用于存放共享的资源。 三、文件夹建立 1、在NTFS格式的分区上建立一个文件夹作为共享根目录。 2、在根目录下建立各个分目录文件夹。如常用软件、常用报表、中转站、人力部、技术部、进出口部等。 3、在分目录下建立子目录文件夹。如常用报表下的生产日报表、船期表、纸样图等。 四、建立用户和组

局域网共享提示 没有权限访问或访问被拒绝

我为机房装了深蓝GHOSTXP_SP3纯净版 4.2_N260的系统，因为有大量的机器要装，还要装软件挺麻烦的。所以我就用了这种ghost的安装，安装是挺顺利的。但是接着问题就出现了，因为学生们用工作组共享的方法去往教师机上存放和下载东西。可是当机器之间互相访问时出现了以下的错误提示： 这又是怎么回事呢？我在网上找了好多的局域网共享的解决办法，都是行不通的。但是有必要看看别人排错的经验和步骤呀？ 其实，做最简单的操作就是这种GhostXP系统在他们封装的时候，就已经将部分不经常用的安全选项给禁用了。在Ghost xp的ISO文件中，又“维护工具”他们就已经为我们这些菜鸟准备好了。只要执行以下几个批处理文件和注册表项的修改就好了。 不过，想了解封装的那些家伙搞了什么鬼，就有很多原因会造成你这中情况...需要你一一排除 1.策略阻止网络访问(没有权限访问，登录失败) 在运行里输入gpedit.msc，弹出组策略管理器，在‘计算机配置-Windows设置-本地策略-用户权利指派’中，有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机，如果其中有GUEST账号,解决办法是删除拒绝访问中的GUEST 账号。 2.起用Guest(来宾)账户(双击网上邻居电脑需要密码) Account active Yes；如果该账户不是活动的，请使用下面的命令授予来宾账户网络访问： yes 或者在管理工具－>计算机管理－>本地用户和组中打开Guest账户 正确安装网络组件,是否开启NETBIOS。

目前，大多数网络是混合网，因此需要在TCP/IP协议上捆绑NETBIOS解析计算机名。查看是否选定“文件和打印服务”组件，如果已将其取消选中，“浏览服务”将不绑定到NetBIOS接口。成为备份浏览器并且没有启用“文件和打印共享”的基于Windows的计算机无法将浏览列表与客户机共享。任何将要包括在浏览列表中的计算机也都必须启用“文件和打印共享”。 如果装有防火墙和把防火墙关掉.! 多种方法访问“网络计算机” 例如要打开网络中名为“Killer”的计算机，其IP地址为 192.168. 1.8，如果你不清楚其它机器的IP地址，你可以使用“PING计算机名”来获得它的IP地址。用计算机名访问，NETBIOS提供的服务。点击“开始”菜单，单击“运行”，在地址栏输入“\Killer”，单击“确定”。用IP地址访问，在地址输入栏中输入“\ 192.168. 1.8”，单击“确定”。局域网文件共享设置方法 悬赏分：0 |解决时间：2009-1-13 21:33 |提问者： lei52113 具体情况是这样的，在局域网工作组里地址是 10.67.**.**，但是在 10.67.**.**这个地址后面有两台电脑，这台机子是双网卡换有个地址IP是 192.168. 0.1，另一台机子是 192.168.

win2003服务器操作系统

win2003服务器操作系统下载地址列表请大家用迅雷下载 https://www.sodocs.net/doc/cb228010.html,/WindowsServer2003SP2EnterpriseEdition.iso或http://58.51.84.54/WindowsServer2003SP2EnterpriseEdition.iso 更多win2003下载地址https://www.sodocs.net/doc/cb228010.html,/os/windows/Win2003/1904.html 迅雷地址：thunder://QUFodHRwOi8vcy5zYWZlNS5jb20vV2luZG93c1NlcnZlcjIwMDNTUDJFbnRlcnBya XNlRWRpdGlvbi5pc29aWg== 快车地址：flashget://W0ZMQVNIR0VUXWh0dHA6Ly9zLnNhZmU1LmNvbS9XaW5kb3dzU2VydmVyMj AwM1NQMkVudGVycHJpc2VFZGl0aW9uLmlzb1tGTEFTSEdFVF0=&abc 旋风地址：qqdl://aHR0cDovL3Muc2FmZTUuY29tL1dpbmRvd3NTZXJ2ZXIyMDAzU1AyRW50ZXJwcml zZUVkaXRpb24uaXNv 请复制下载地址用迅雷下载！！！(有部分网友反映安装不上) 通用性好的win2003序列号: (推荐先用这个里面的) FJ8DH-TQPYG-9KFHQ-88CB2-Y7V3Y GRD4P-FTQQF-JCDM8-4P6JK-PFG7M JD7JX-KCDTH-7WH4X-DM98R-GD73Y GM34K-RCRKY-CRY4R-TMCMW-DMDHM BRBJB-B7HQF-YW93Y-RVJVB-K6PMB F9389-7TWW4-88YYH-RKPFJ-6PV3Y F947R-VPGDF-RTDK7-WTMBY-PP67M D4Q7H-MPPR2-23PMH-HQGBG-6X8YB KW8GQ-DJH7F-6XH6Y-WG3BH-FK8YB DG473-GKX4K-XVPDY-FCCWH-29G7M DKDT4-PFCVX-FJ4CR-7W9D6-C7JYB GPTJB-VMDRP-XCG6H-KGW32-8KMQY J47YP-KMK8W-FR76X-KFVB6-FJ3HM KPM7R-RY44D-PVQYG-JFRH9-WKG7M FMQBH-FRQWB-DRF3T-VT2JF-WR8YB CMPC2-HBVHC-73BD6-V6PG2-BYH3Y HXGJH-3J4GY-JMCJQ-DK4MW-99TBB Windows2003的序列号： JB88F-WT2Q3-DPXTT-Y8GHG-7YYQY windows2003序列号： cky24-q8qrh-x3kmr-c6bcy-t847y win2003 Server 有三种版本：

服务器设文件权限设置

在Windows Server 2003中设置共享文件夹访问权限 时间:2010-06-20 22:50来源:服务器配置技术网作者:服务器配置技术网点 击:12015次 为了保证网络中共享文件夹的安全性，需要在文件服务器中设置共享文件夹的访问权限。只有拥有足够的权限的用户，才可以访问与其权限相对应的共享文件夹，并对共享文件夹进行相应操作。在Windows Serve 2003系统中设置共享文件访问权限的步骤如下所述： 第1步，在开始菜单中依次单击“管理工具”→“文件服务器管理”菜单项，打开“文件服务器管理”窗口。在右窗格中选中需要设置访问权限的共享名（如“图书编撰”），并单击“更改共享文件夹属性”按钮，如图2008112028所示。 图2008112028 单击“添加共享文件夹”按钮 第2步，打开“图书编撰属性”对话框，切换到“共享权限”选项卡，并单击“添加”按钮，如图2008112029所示。

图2008112029 单击“添加”按钮 第3步，在打开的“选择用户和组”对话框中依次单击“高级”→“立即查找”按钮，然后在“搜索结果”列表框中选择用户或组（如ithanjiang）。并依次单击“确定”→“确定”按钮，如图2008112030所示。 图2008112030 “选择用户和组”对话框 第4步，返回“图书编撰属性”对话框，在“共享权限”选项卡中选中刚刚添加的用户（如“寒江钓叟”）。然后在“寒江钓叟的权限”列表中选中“完全控制允许”复选框，并单击“应用”按钮，如图2008112031所示。

图2008112031 选中“完全控制允许”复选框 第5步，切换到“安全”选项卡，单击“添加”按钮查找并添加第3中添加的用户或组。然后选中“完全控制允许”复选框，并单击“确定”按钮，如图2008112032所示。 图2008112032 “安全”选项卡 小提示：如果只在“共享权限”选项卡中设置用户权限，而没有在“安全”选项卡中设置，则用户在通过网络访问共享文件夹时将只能看到而不能打开共享文件夹。 第6步，重复上述步骤设置其他文件夹的共享权限和安全权限。 (责任编辑：服务器爱好者)

局域网共享提示 没有权限访问或访问被拒绝

我为机房装了深蓝GHOSTXP_SP3纯净版4.2_N260的系统，因为有大量的机器要装，还要装软件挺麻烦的。所以我就用了这种ghost的安装，安装是挺顺利的。但是接着问题就出现了，因为学生们用工作组共享的方法去往教师机上存放和下载东西。可是当机器之间互相访问时出现了以下的错误提示： 这又是怎么回事呢？我在网上找了好多的局域网共享的解决办法，都是行不通的。但是有必要看看别人排错的经验和步骤呀？ 其实，做最简单的操作就是这种Ghost XP系统在他们封装的时候，就已经将部分不经常用的安全选项给禁用了。在Ghost xp的ISO文件中，又“维护工具”他们就已经为我们这些菜鸟准备好了。只要执行以下几个批处理文件和注册表项的修改就好了。 不过，想了解封装的那些家伙搞了什么鬼，就有很多原因会造成你这中情况... 需要你一一排除 1.策略阻止网络访问(没有权限访问，登录失败) 在运行里输入gpedit.msc，弹出组策略管理器，在‘计算机配置-Windows设置-本地策略-用户权利指派’中，有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机，如果其中有GUEST账号,解决办法是删除拒绝访问中的GUEST账号。 2.起用Guest(来宾)账户(双击网上邻居电脑需要密码) 使用net user guest确保为网络访问设置了来宾账户，如果该账户是活动的，命令输出中会出现一行类似下面这样的内容：Account active Yes；如果该账户不是活动的，请使用下面的命令授予来宾账户网络访问：net user guest /active:yes 或者在管理工具－>计算机管理－>本地用户和组中打开Guest账户 正确安装网络组件,是否开启NETBIOS。 目前，大多数网络是混合网，因此需要在TCP/IP协议上捆绑NETBIOS解析计算机名。查看是否选定“文件和打印服务”组件，如果已将其取消选中，“浏览服务”将不绑定到NetBIOS 接口。成为备份浏览器并且没有启用“文件和打印共享”的基于Windows的计算机无法将浏览列表与客户机共享。任何将要包括在浏览列表中的计算机也都必须启用“文件和打印共享”。 如果装有防火墙和把防火墙关掉.! 多种方法访问“网络计算机” 例如要打开网络中名为“Killer”的计算机，其IP地址为192.168.1.8，如果你不清楚其它机器的IP地址，你可以使用“PING计算机名”来获得它的IP地址。用计算机名访问，NETBIOS 提供的服务。点击“开始”菜单，单击“运行”，在地址栏输入“\Killer”，单击“确定”。用IP地址访问，在地址输入栏中输入“\192.168.1.8”，单击“确定”。

文件夹无法访问拒绝访问：您无权查看或编辑目前 (该文件夹名) 的权限设置。

问题描述： 原来安装了win7和xp双系统（前几天瞎折腾的），后来重新换为XP（折腾），然后原来设置为win7桌面的一个D盘里的文件夹就无法访问了。具体现象如下所述。 双击文件夹，提示： 无法访问d:/用户拒绝访问 去掉简单文件夹共享复选框后，然后右键-属性，点击“安全”选项卡时，提示： 您无权查看或编辑目前（该文件夹名）的权限设置;但是,您可以取得所有权或更改审核设置 可能的原因： NTFS格式分区下，重新装系统前win7系统对该文件夹设置了访问权限，在重新装为xp 系统之后找不到win7下的那个用户了，所以需要重新设置用户及其权限. 参考解决方案: 用管理员账号登陆,在文件夹的属性里,找安全-高级-所有者，然后指定一个管理员账号,同时选择“ 替换子容器及对象的所有者”点应用，然后再给这个文件夹添加管理员权限即可。详细的步骤参考如下： 1、在工具-文件夹选项中取消“使用简单共享”。见图一所示：

图一 2、右键单击您希望获得其所有权的文件夹，然后单击“属性”，选择“安全”标签，此时出现一个提示，说你现在不能编辑权限，但是可以取得所有权或者更改权限设置。见图二所示： 图二

3、点击确定，单击下面的“高级”，然后单击“所有者”选项卡。如图三所示： 图三 4、在“名称”列表中，单击您的用户名，如果您是作为管理员登录的，请单击“Administrator”，或者单击“Administrators”组。如果您希望获得该文件夹内容的所有权，请单击以选中“替换子容器及对象的所有者”复选框。如图四所示：

图四 5、点击确定，可以看到“安全”下的组或“用户名称”列表下已经加入了管理员用户。确定后该文件夹即可正常打开了。如图五所示：

windows 2003文件服务器详细权限设置

windows 2003文件服务器详细权限设置 window server 2003文件服务器要求达到如下目标： 1．网络管理员对所有共享文件夹都拥有完全控制权； 2．所有员工对公共文件夹只拥有读取权限； 3．每位员工只对自己的私人文件夹拥有完全控制权，且不能读取其他员工的文件夹； 4．每位员工所能使用的磁盘空间有一定限制，并且已用空间达到一定程度后会得到警告。 创建用户和文件夹： 根据经理提出的目标，阿昊首先为每位员工创建用户账户，并且在磁盘的NTFS分区中规划合理的文件夹结构。私人文件夹以员工姓名命名，在域中添加用户的过程简述如下： 1. 依次单击“开始/管理工具/Active Directory用户和计算机”，在打开窗口的左窗格中右击“Users”容器，执行“新建/用户”命令。 2. 在打开的“新建对象→用户”对话框中键入用户登录名（如“hongxiaowei”）和用户的全称（如“洪晓卫”）。单击“下一步”按钮，在密码设置选项卡中设定密码并依次单击“下一步/完成”按钮。重复此过程创建其他用户（如图1）。 图1 创建用户账户

安装文件服务器： 因为在默认情况下Windows Server 2003并没有安装“文件服务器”组件，因此阿昊手动将这些组件添加了进来。 1. 依次单击“开始/管理工具/管理您的服务器”，打开“管理您的服务器”窗口。在“管理您的服务器角色”区域中单击“添加或删除角色”按钮，进入配置向导并单击“下一步”按钮。 2. 配置向导检测完网络设置后打开“服务器角色”选项卡。在“服务器角色”列表中选中“文件服务器”选项，并单击“下一步”按钮。 3. 在打开的“文件服务器磁盘配额”选项卡中勾选“为此服务器的新用户设置默认磁盘空间配额”复选框，然后根据磁盘剩余空间及用户实际需要在“将磁盘空间限制为”和“将警告级别设置为”编辑框中键入合适的数值。另外，勾选“拒绝将磁盘空间给超过配额限制的用户”复选框，可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。单击“下一步”按钮（如图2）。 图2 设置磁盘配额 4. 在“文件服务器索引服务”选项卡中点选“是，启用索引服务”单选框，启用对共享文件夹的索引服务。索引服务对服务器资源的开销很大，建议只有在用户需要经常搜索共享文件夹的情况下才启用该服务，单击“下一步”按钮。 5. 打开“选择总结”选项卡，确认选项设置准确无误后单击“下一步”按钮。添加向导开始启用所选服务，完成后会自动打开“共享文件夹向导”。单击“下一步”按钮。 6. 在打开的“文件夹路径”选项卡中单击“浏览”按钮，从本地磁盘中找到“公共资源”文件夹，单击“确定/下一步”按钮。在“名称、描述和设置”选项卡中设置共享名（如“公共资源”），单击“下一步”按钮。

win7没有权限访问XP的解决办法_绝对有效

win7 您没有权限访问XP。请与网络管理员联系请求访问权限 症状：XP能访问win7,但win7死活不能访问xp.我在网上找了很多方法，唯有这个有效。 今天在虚拟机里尝试访问主机文件时遇到无法访问资源的状况，提示信息为“你可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。”，经过反复实验，总结出了如下几步解决方案。 打开网上邻居→本地连接→属性里，“看是否安装了Microsoft网络的文件和打印机共享”，如没有安装，将其安装；控制面板→管理工具→本地安全策略→本地策略→用户权利指派里，“从网络访问此计算机”中加入guest帐户，而“拒绝从网络访问这台计算机”中删除guest帐户； 我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享（推荐）”前的勾； 控制面板→管理工具→本地安全策略→本地策略→安全选项里，把“网络访问：本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”（可选，此项设置可去除访问时要求输入密码的对话框，也可视情况设为“经典-本地用户以自己的身份验证”）； 右击“我的电脑”→“属性”→“计算机名”，看该选项卡中有没有出现你的局域网工作组名称，如“workgroup”等。然后单击“网络ID”按钮，开始“网络标识向导”：单击“下一步”，选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”；单击“下一步”，选择“公司使用没有域的网络”；单击“下一步”按钮，然后输入你的局域网的工作组名，如“work”，再次单击“下一步”按钮，最后单击“完成”按钮完成设置； 最后在用户和组管理里面检查是否开通GUEST用户，然后修改注册表， hkey_local_machine/system/currentcontrolset/control/lsa/restrictanonymous值设为0 ，重启一下电脑，就可以访问了。 友情提醒：以上的方法同样适用于解决两台局域网内的计算机在互相访问遇到的类似问题。

windows2003服务器配置

Web服务是目前网络用户应用最为广泛网络服务之一。用户平时上网最普遍的活动就是浏览信息、查询资料，而这些上网活动都是通过访问Web服务器来完成的。通过在局域网内部搭建Web服务器，就可以向局域网内部发布Web 站点，从而创建单位内部网站。用户可以通过多种方式在局域网中搭建Web服务器，其中，使用Windows Server 2003（SP1）系统自带的IIS 6.0是最常用也是最简便的方式。 IIS（Internet Information Services，Internet信息服务）是一个功能完善的服务器平台，可以提供Web服务、FTP服务等常用网络服务。借助IIS 6.0，可以轻松实现要求不是很高的Web服务器。IIS 6.0集成在Windows Server 2003系统中。 Web服务器组件是Windows Server 2003系统中IIS 6.0的服务组件之一，默认情况下并没有被安装，用户需要手动安装Web服务组件。在Windows Ser ver 2003系统中安装Web服务器组件的步骤如下所述： 第1步，打开“控制面板”窗口，双击“添加/删除程序”图标，打开“添加或删除程序”窗口。单击“添加/删除Windows组件”按钮，打开“Windows 组件安装向导”对话框。 第2步，在“Windows组件”对话框中双击“应用程序服务器”选项，打开“应用程序服务器”对话框。在“应用程序服务器的子组件”列表中双击“Int ernet 信息服务（IIS）”复选框，如图2008111421所示。

图2008111421 双击“Internet 信息服务（IIS）”复选框第3步，打开“Internet 信息服务（IIS）”对话框，在“Internet 信息服务（IIS）的子组件”列表中选中“万维网服务”复选框。依次单击“确定”→“确定”按钮，如图2008111422所示。 图2008111422 选中“万维网服务”复选框 第4步，系统开始安装IIS 6.0和Web服务组件。在安装过程中需要提供W indows Server 2003系统安装光盘或指定安装文件路径。安装完成后单击“完成”按钮即可，如图2008111423所示。 图2008111423 要求指定安装文件路径 使用IIS6.0配置静态Web网站

Windows2003 证书服务器配置

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘 添加IIS组件： 点击‘确定’，安装完毕后，查看IIS管理器，如下： 添加‘证书服务’组件：

如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口： 由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：

Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’： 填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。 点击‘下一步’：

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口： 单击‘是’，继续安装，可能再弹出如下窗口： 由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS 的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP 功能，点击‘是’继续安装：

‘完成’证书服务的安装。 开始》》》管理工具》》》证书颁发机构，打开如下窗口： 我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器（CA）的IIS下多出以下几项：

Windows Server 2008 R2 WEB 服务器安全设置指南(三)之文件夹权限设置

Windows Server 2008 R2 WEB 服务器安全设置指南(三)之文件夹权限设置 通过控制文件夹权限来提高站点的安全性。 这一篇权限设置包括二个方面，一个是系统目录、盘符的权限，一个是应用程序的上传文件夹权限设置。 系统目录 确保所有盘符都是NTFS格式，如果不是，可以用命令convert d:/fs:ntfs 转换为NTFS格式。 所有磁盘根目录只给system和administrators权限，其它删除。

其中系统盘符会有几个提示，直接确定就可以了。在做这步操作之前，你的运行环境软件必须都安装好以后才能做。不然可能会导致软件安装错误，记住一点所有安全性的操作设置都必须在软件安装完以后才能进行。 站点目录 每个网站对应一个目录，并为这个网站目录加上IUSR和IIS_IUSRS权限，都只给“列出文件夹内容”和“读取”权限。 例如我在D盘根目录下创建了一个wwwroot的目录，再在里面创建了一个https://www.sodocs.net/doc/cb228010.html,的目录，这个目录里面放的是我的网站程序。其中wwwroot只要继存d盘的权限即可，而https://www.sodocs.net/doc/cb228010.html,这个目录，我们需要再添加二个权限，即IUSR和IIS_IUSRS。

wwwroot权限： 站点目录权限：

一般的网站都有上传文件、图片功能，而用户上传的文件都是不可信的。所以还要对上传目录作单独设置。上传目录还需要给IIS_IUSRS组再添加“修改”、“写入”权限。

经过上面这样设置承在一个执行权限，一旦用户上传了恶意文件，我们的服务器就沦陷了，但是我们这里又不能不给，所以我们还要配合IIS来再设置一下。 在iis7以上版本里，这个设置非常的方便。打开IIS管理器，找到站点，选中上传目录，在中间栏IIS下双击打开“处理程序映射”，再选择“编辑功能权限”，把“脚本”前面的勾掉就可以了。