none
win7域环境下domain user创建共享 RRS feed

  • 问题

  • 目前公司内的机器正在从xp更换为win7,发现普通的domain users无法创建共享

    之前XP的环境下,我们做了以下处理,在组策略中为本地power users分配创建共享权限,然后把everyone加入到本地power users的组中,这样domain users隶属于everyone,就又隶属于power users,然后任意一个domian uses登陆到机器上后就可以正常的创建共享,共享打印机等操作

    但是在win7中同样这样设置就不行,查询资料后发现power users组在win7中已经取消了高级权限,请问如何操作才能让domain users有用创建共享和共享打印机的权限。

    目前我们曾经这样操作过,在组策略中为本地Network Configuration Operators组分配创建共享权限,然后把everyone加入到Network Configuration Operators组,这样domain users是可以创建共享,但是普通的用户也可以去修改IP设置等,而且我不清楚Network Configuration Operators组都有多大的权限,这样分配了权限会对计算机有何风险

    请您作答

    2011年8月31日 3:19

答案

  • 這裡提供一個思路:

    如果希望域標準用戶(domain users)能夠自行創建和刪除共享, 那麼可以嘗試通過新建一個批處理程序或其它等效腳本, 下面以適用於批處理的方法描述:

    用這個批處理程序去訪問一個位於特定位置特定名稱的文本文件, 此文本文件包含 net share 創建或刪除共享的命令參數, 批處理程將提取出來的命令參數提供給 net share 以完成共享的創建或刪除. 最後為這個批處理文件創建一個以最高權限運行的任務計劃, 並將觸發器設置為用戶登錄時, 以完成對創建或刪除共享的操作.

    雖然這個方法比較繁瑣, 且不是很方便, 但可以滿足域標準用戶(domain users)能夠自行在本機創建共享, 而又不賦予較高權限的需求.

    需要注意的是, 批處理程序應阻止用戶試圖刪除默認共享的行為, 以及限制對重要或敏感文件夾的共享操作.

    另外務必絕對禁止文本文件中的參數包含 & , 以防止用戶以最高權限運行任何不恰當的命令, 建議創建一個自定義的參數格式, 然後在提取時組合為可以供 net share 使用的參數.


    Folding@Home

    2011年9月3日 5:32

全部回复

  • Network Configuration Operators 组用户可以修改 IP 地址、子网掩码、TCP/IP 协议等这些设置,只是没有安装网络组件的权限而已。
     
    在域环境中 Administrators 组与 Network Configuration Operators 组可以建立共享,Power Users 组相比 Windows XP 其权限已经下降很多了。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "siasxp"
     
    目前公司内的机器正在?觴p更换为win7,发现普通的domain users无法创建共享
    之前XP的环境下,我们做了以下处理,在组策略中为本地power users分配创建共享权限,
     
     
    2011年8月31日 4:28
  • 您对我的问题有什么建设性得意见?

     

    我们的目的是在保证用户能够创建永久共享的情况下,尽可能小的赋予权限

     

     Network Configuration Operators 这个组员可以修改IP地址,就这一项就为我们的管理增加了很多麻烦。

    2011年8月31日 5:45
  • 您对我的问题有什么建设性得意见?

     

    我们的目的是在保证用户能够创建永久共享的情况下,尽可能小的赋予权限

     

     Network Configuration Operators 这个组员可以修改IP地址,就这一项就为我们的管理增加了很多麻烦。

    2011年8月31日 6:39
  • 怎么没有人回答呢?

    难道win7下没有好的办法么?

    2011年9月2日 1:01
  • 没有更好的办法
    Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. ”
    2011年9月2日 8:14
    版主
  • 這裡提供一個思路:

    如果希望域標準用戶(domain users)能夠自行創建和刪除共享, 那麼可以嘗試通過新建一個批處理程序或其它等效腳本, 下面以適用於批處理的方法描述:

    用這個批處理程序去訪問一個位於特定位置特定名稱的文本文件, 此文本文件包含 net share 創建或刪除共享的命令參數, 批處理程將提取出來的命令參數提供給 net share 以完成共享的創建或刪除. 最後為這個批處理文件創建一個以最高權限運行的任務計劃, 並將觸發器設置為用戶登錄時, 以完成對創建或刪除共享的操作.

    雖然這個方法比較繁瑣, 且不是很方便, 但可以滿足域標準用戶(domain users)能夠自行在本機創建共享, 而又不賦予較高權限的需求.

    需要注意的是, 批處理程序應阻止用戶試圖刪除默認共享的行為, 以及限制對重要或敏感文件夾的共享操作.

    另外務必絕對禁止文本文件中的參數包含 & , 以防止用戶以最高權限運行任何不恰當的命令, 建議創建一個自定義的參數格式, 然後在提取時組合為可以供 net share 使用的參數.


    Folding@Home

    2011年9月3日 5:32
  • 请问具体怎么操作?
    2014年2月19日 8:23