高考问答模压机生产线:关于域用户权限设置的问题
来源:百度文库 编辑:高考问答 时间:2024/04/28 04:53:40
我已经建立一个帐号为bm,且限制了它只能登陆到备用域控制器上,在域中已经把这个帐号添加到了Domain Users,Remote Desktop Users,Schema Admins这三个组,我在一台电脑上远程登陆到备用域控制器,登陆时提示该帐号不具备远程登陆的权限,我奇怪啊.明明我已经把它添加到Remote Desktop Users组了啊.奇怪哦.
怎么办啊?
最后这样说吧,
我奇怪啊.明明我已经把这个帐号添加到Remote Desktop Users组了啊.怎么会远程登陆不起呢.
你可以这样试试
把你新建的那个用户添加到远程管理组里面
再在域控制器安全策略那里,不是有个允许远程登录吗?把你建立的那个账号在那里添加进去,.
你不要他有管理员域控制器的权限的话,就给他一个普通用户的权限就可以了.
如果有什么不明白的,你还可以问我
SQL Server 2000和SQL Server Agent是作为Windows服务运行的。每个服务必须与一个Windows帐户相关联,并从这个帐户中衍生出安全性上下文。SQL Server允许sa登录的用户(有时也包括其他用户)来访问操作系统特性。这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来创建的。如果服务器被攻破了,那么这些操作系统调用可能被利用来向其他资源进行攻击,只要所拥有的过程(SQL Server服务帐户)可以对其进行访问。因此,为SQL Server服务仅授予必要的权限是十分重要的。
我们推荐您采用下列设置:
1) SQL Server Engine/MSSQLServer
如果拥有指定实例,那么它们应该被命名为MSSQL$InstanceName。作为具有一般用户权限的Windows域用户帐户运行。不要作为本地系统、本地管理员或域管理员帐户来运行。
2) SQL Server Agent Service/SQLServerAgent
如果您的环境中不需要,请禁用该服务;否则请作为具有一般用户权限的Windows域用户帐户运行。不要作为本地系统、本地管理员或域管理员帐户来运行。
重点: 如果下列条件之一成立,那么SQL Server Agent将需要本地Windows管理员权限:
SQL Server Agent使用标准的SQL Server身份验证连接到SQL Server(不推荐);
SQL Server Agent使用多服务器管理主服务器(MSX)帐户,而该帐户使用标准SQL Server身份验证进行连接;
SQL Server Agent运行非sysadmin固定服务器角色成员所拥有的Microsoft ActiveX脚本或 CmdExec作业。
如果您需要更改与SQL Server服务相关联的帐户,请使用 SQL Server Enterprise Manager。Enterprise Manager将为SQL Server所使用的文件和注册表键设置合适的权限。不要使用Microsoft管理控制台的“服务”(在控制面板中)来更改这些帐户,因为这样需要手动地调制大量的注册表键和NTFS文件系统权限以及Micorsoft Windows用户权限。
帐户信息的更改将在下一次服务启动时生效。如果您需要更改与SQL Server以及SQL Server Agent相关联的帐户,那么您必须使用Enterprise Manager分别对两个服务进行更改。
确实很难解决,但是又很现实,你的意思是要让这个人可以管理这台机子但是又不可以控制域设置,更不准对其他计算机进行操作是吧,实际上这样的用户只有自己来建一个了,打开管理工具,本地安全策略的本地策略中的安全选项,在右边的下拉菜单里面,有用户帐户的设置,你可以自己修改或是建立一个群,然后在用户属性里添加这个群....
没有办法实现。。。
设管理员又 不管理。再请高手吧。
SQL Server 2000和SQL Server Agent是作为Windows服务运行的。每个服务必须与一个Windows帐户相关联,并从这个帐户中衍生出安全性上下文。SQL Server允许sa登录的用户(有时也包括其他用户)来访问操作系统特性。这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来创建的。如果服务器被攻破了,那么这些操作系统调用可能被利用来向其他资源进行攻击,只要所拥有的过程(SQL Server服务帐户)可以对其进行访问。因此,为SQL Server服务仅授予必要的权限是十分重要的。
我们推荐您采用下列设置:
1) SQL Server Engine/MSSQLServer
如果拥有指定实例,那么它们应该被命名为MSSQL$InstanceName。作为具有一般用户权限的Windows域用户帐户运行。不要作为本地系统、本地管理员或域管理员帐户来运行。
2) SQL Server Agent Service/SQLServerAgent
如果您的环境中不需要,请禁用该服务;否则请作为具有一般用户权限的Windows域用户帐户运行。不要作为本地系统、本地管理员或域管理员帐户来运行。
重点: 如果下列条件之一成立,那么SQL Server Agent将需要本地Windows管理员权限:
SQL Server Agent使用标准的SQL Server身份验证连接到SQL Server(不推荐);
SQL Server Agent使用多服务器管理主服务器(MSX)帐户,而该帐户使用标准SQL Server身份验证进行连接;
SQL Server Agent运行非sysadmin固定服务器角色成员所拥有的Microsoft ActiveX脚本或 CmdExec作业。
如果您需要更改与SQL Server服务相关联的帐户,请使用 SQL Server Enterprise Manager。Enterprise Manager将为SQL Server所使用的文件和注册表键设置合适的权限。不要使用Microsoft管理控制台的“服务”(在控制面板中)来更改这些帐户,因为这样需要手动地调制大量的注册表键和NTFS文件系统权限以及Micorsoft Windows用户权限。
帐户信息的更改将在下一次服务启动时生效。如果您需要更改与SQL Server以及SQL Server Agent相关联的帐户,那么您必须使用Enterprise Manager分别对两个服务进行更改。
首先
net user xxx /add
net localgroup administrators xxx /add