查看文章 教会你通过命令限制上网用户的权限技巧 2008-04-13 21:53 作为网管员,你想限制你的雇员利用网络浏览不恰当的站点或者复制数据吗?如果你只想控制某人在没有监管的情况下不能访问互联网,应该怎样做呢?你可以限制指定账户的登录时间,并在此过程中获得你对机器和互联网控制的更大的控制。
通过使用活动目录以及计算机管理工具及配置文件,限制登录次数和登录时间并在一个Windows域中执行限制并不太复杂。不过,如果你拥有一个小型的工作组网络或者只是几台家用电脑,你可以使用net user命令,并且只需要几步就可以完成。
不过,在开始之前,你首先要决定需要限制哪些用户。如果你想列示一台计算机上的所有用户,请执行以下几步:
1.单击“开始”/“运行”,输入“cmd”,单击“确定”。
2.键入“net user”,回车。
这样就会列示一台计算机上的所有账户。下面给出列示结果的大体样子:
Microsoft Windows XP [版本 5.1.2600] (C) 版权所有 1985-2001 Microsoft Corp.
C:\\Documents and Settings\\ Administrator >net user \\\\35341B67CC434F6 的用户帐户
-------------------------------------------------------------------------------
Administrator her1 good He1 myuser letgo Tomorrowusr 命令成功完成。
我们将要用到上面列表中的名字,并决定限制He1和her1对计算机(或互联网)的访问。为了便于记忆,需要将显示窗口中刚才显示的账户保留着。先从为He1增加限制开始。如果我们决定他只能在早上8点到晚上8点这段时间可以使用计算机。就需要执行下面的步骤:
1.单击“开始”/“运行”/“CMD”,单击“确定”。
2.键入如下的命令:
net user He1 /time: M-Th,4pm-8pm;F-Su,8am-8pm
(用户he1只能在周一到周四的下午四点到晚上8点,以及周五到周日的上午8点到晚上8点可以用计算机。)
3.按下回车键,这时你应该收到一个消息,告诉你这个命令已经成功完成。
C:\\Documents and Settings\\ Administrator >net user He1 m-th,4pm-8pm;F-Su,8am-8pm 命令成功完成。
C:\\Documents and Settings\\ Administrator >
如果你想为不同的用户设置不同的限制应该怎样做呢?例如,在我们的例子中,我们允许her1可在更晚的时候使用计算机。因此可以执行如下的命令:
net user her1 /time: M-Th,4pm-9pm;F-Su,8am-9pm
(用户her1能在周一到周四的下午4点到晚上9点,以及周五到周日的上午8点到晚上9点可以用计算机。)
这两个命令可为上述的两个账户在平日和周末设置不同的限制。如果你在设置一个账户时出现了错误,或者想从头再来,你可以用这个命令清除所有的限制:
net user her1 /time: all
实际执行时如下:
C:\\Documents and Settings\\ Administrator >net user her1 /time: all 命令成功完成。
C:\\Documents and Settings\\ Administrator >
限制与反限制上网
日期:2007-01-06 13:00:02
组建局域网络,最大的应用莫过于文档资源、音视频资源的共享以及打印机的共享。但为了方便网络的管理,往往会对局域网内用户进行一些使用权限的限制;比如限制局域网用户在某一时段禁止登录腾讯QQ、禁止访问服务器某文件夹等。但有时这些管理限制又会跟用户带来一些不便,这时要考虑的又是如何突破这些限制;本文所要带给大家的,就是这些方面的内容。 一、限制共享文件夹大小。
在局域网服务器的操作系统分区,由于承担着服务处理以及系统管理的重任,一般都不放置其他文件以腾出足够的剩余空间;那么如何防止局域网其他用户乱存放文件到此分区呢?解决的办法就是使用磁盘配额功能。
只要是Windows 2000及以上的操作系统,都具有磁盘配额功能;它可以在每一个硬盘分区中限制任意一个用户或者组的最大磁盘使用容量,当然也就能限制具体的共享文件夹。而要使用这一功能,必须同时具备三要素:Windows 2000以上操作系统、具有管理员权限、分区格式为NTFS。
Windows 2000默认安装了此功能,而Windows XP则需要手动安装。要设置配额时,打开“我的电脑”,用鼠标右击要启用磁盘配额的磁盘分区或文件,然后单击“属性”,在“属性”对话框中,单击“配额”选项卡,在“配额”选项卡中选中“启用配额管理”复选框,然后单击“应用”按钮。此时磁盘配额功能已经启用,再通过以下两点的设置,即可达到限制大小的目的:
(1)选中“拒绝将磁盘空间分配给超过配额限制的用户”复选框。这样超过其配额限制的用户将会被提示“磁盘空间不足”。只有这样,磁盘容量限制的作用才能生效。
(2)输入具体的磁盘容量数据。即是说勾选“将磁盘空间限制为”选项,根据需要输入适当的数值即可。
注:除了以上应用外,在FTP服务器的配置中,也应该启用此功能。因为磁盘空间资源是宝贵的,无限制的让用户使用,势必造成巨大的浪费,因此就要对每位FTP用户使用的磁盘空间进行限制。 反限制:由服务器方配置的磁盘配额选项,目前似乎还未找到一种成熟的破解办法。只能通过暴力的办法,在服务器上去除管理员账号,再重新自己配置一个管理员账号来修改配额选项;修改完成后再重新恢复以前的管理员账号,这样就可做到“神不知鬼不觉”。 二、在“网上邻居”中隐藏计算机。
有时为了限制别人随意通过网上邻居访问到某台电脑,可以将这台电脑在网上邻居中隐藏起来。要实现这种隐藏,比较简单的办法是在DOS命令提示符窗口中运行“net config server /hidden:yes”命令即可。
另一办法就是修改注册表,找到
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services
\\LanManServer\\Rarameters分支,然后新建或修改“Hidden”键值为1即可.
反限制:在网上邻居中隐藏计算机虽然可以实现,但并不代表就不能访问,只是给其他用户一个假象而已,他们仍然可以通过在浏览器或“我的电脑”的地址栏里输入“\\\\IP地址或计算机名”来找到。 三、限制部分用户的Internet访问。
有时在某个时段,需要在局域网中设置让用户无法访问Internet、腾讯QQ、MSN等,以提醒员工认真工作。这类限制主要通过代理服务器软件来实现,当然如果安装了美萍等网管软件更好;而日常使用最多的代理服务器软件主要是Sygate和Wingate,下面分别讲解。
(1)使用Sygate,可以通过设置黑白名单,禁止某些IP地址的访问来实现。
在Sygate主界面工具条上单击Permissions(权限)按钮,输入用户的口令,单击“OK”按钮,进入Permissions Editor窗口。Blacklist下列出了禁止访问的网站,White List用来指定可以通过Sygate上网的客户端。单击Add按钮向黑名单中添加IP地址,出现添加记录窗口。 Protocol (协议):可以在下拉列表中选择协议类型(TCP或UDP)。
Port No(端口号):可以通过禁止端口服务的方法,限制HTTP、SMTP、POP3、TELNET等服务的生效,AllPort:是所有服务禁用。比如让某客户机不能进行浏览,就可禁止80端口。 Start:可以设定生效时间。这不仅可以限制某人,也可限制某时。 (2)Wingate的用户身份验证方式同样也可实现。
1)在Wingate服务器主程序“Gatekeeper”对话框中双击“WWW Proxy Server”选项,然后在如
图4所示对话框中选择“Use Java client authentication as required by policies”复选项。 2)在上图对话框中单击顶上向右箭头,选择“Policies”标签项;在接着出现的对话框内单击“Add”按钮,在出现的如图5所示窗口中,勾选“User must be authentication”后,单击“OK”按钮返回,此时会自动生成一个新的策略项,使之生效。
通过以上设置后,当被限制的客户端要访问互联网时,会自动弹出身份验证对话框,要求用户输入相应的身份信息,只有合法的用户才可以进行相应的应用,如图6所示。
反限制:在上面利用代理服务器软件设置的限制中,主要是通过限制了欲访问的IP地址来达到目的;对于这类限制很容易突破,用普通的HTTP代理就可以了,或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易,比如QQ、网页访问等,都可以配置一个80端口的代理服务器地址,绕过服务器的限制来突破(为QQ、浏览器配置代理上网的操作,相信朋友们都会,这里就不详述了
手把手教你禁止端口 非法入侵的方式
简单说来,非法入侵的方式可粗略分为4种: 1、扫描端口,通过已知的系统Bug攻入主机。 2、种植木马,利用木马开辟的后门进入主机。
3、采用数据溢出的手段,迫使主机提供后门进入主机。 4、利用某些软件设计的漏洞,直接或间接控制主机。 非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。 因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。
端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗? 限制端口的方法
对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。 即使你对策略一点不懂也可以按照下面一步一步地完成禁用端口。 以禁用139端口为例
1.开始->控制面板(或者管理)->管理工具->本地安全策略
2.右击\安全策略,在 本地计算机\选择 \管理 IP 筛选器表和筛选器操作\就可以启动管理 IP 筛选器表和筛选器操作对话框>
3.在\管理 IP 筛选器表\中,按\添加\按钮 <打开了 IP筛选器列表> 4.
⑴在名称(N) 下面添上\禁止139端口\<任何名字都行,只要你知道就行>。描述(D) 也写上\禁止139端口\
⑵添加按扭 <进入 ip筛选向导 >
⑶惦记下一步 <进入筛选向导>
⑷在源地址(s): 出选择 下拉里的第二项\任何 ip 地址\下一步 ⑸在目标地址(D): 选上\我的 ip 地址\下一步 ⑹选择协议类型(S): 把\任意\选改为\下一步
⑺设置ip协议断口: <可以看到很相似的两组选项>选择 到端口(O)。<注意不是从端口(R)> 添上你要禁止的端口\下一步 ⑻ 完成
5 <止此 回到了 筛选列表窗口,可以看到 筛选器(S)窗口有了信息>,看完了吗? 按确定按扭 呵呵..<将回到了 \管理 IP 筛选器表和筛选器操作\窗口>
6 惦记 \管理筛选器操作\同4 中的⑴⑵⑶<将进入:\筛选器操作\窗口 7 呵呵当然是选择第二个\阻止\了 \下一步\完成\
8 <回到了\管理 IP 筛选器表和筛选器操作\窗口>,点击 \关闭\按扭
9 <回到了本地安全设置窗口>,右击\安全策略,在 本地计算机\选择 \创建ip安全策略\,同4 中的⑴⑵⑶进入\为此安全规则设置初始身份验证方法,不管他<使用默认项 \默认值,(Kerberos V5 协议)>,下一步 10 出现一个警告窗口
\只有当这个规则在一台为域成员的计算机上 Kerberos 才有效。 这台计算机不是一个域成员。您想继续并保留这些规则的属性吗?\ 当然\是\拉
11 惦记\完成\按扭<进入编辑属性窗口>
12 \常规\和 \规则\惦记 \规则\惦记\添加\按扭,<进入 安全规则向导\ 13 惦记下一步 一直下一步 出现一个同样的警告 yes
14 从ip筛选器列表(I)筐中点上第一个:\禁止139端口\前面的○成为⊙ 15 同14选择 下一步 同7出现\完成\按扭 惦记 16 确定
17 关闭 属性筐<回到了本地安全策略>
18 右键 右面窗口的 \禁止139端口连接\指派
我们公司的电脑都是XP的,我想请问大虾们如何设置禁止QQ登录
只要我们进入QQ的程序目录中,找到想禁止的QQ号码登录时用生成的以该QQ号为 名的文件夹,进入文件夹中,找到一名为ewh.db的文件,将该文件的属性设置为 “只读”,再次登录这个Q时就只能干等,会一直处于登录界面的状态,因程序不 能读写ewh.db文件,所以QQ号相应变为0。
若相限制的QQ号码没有在这台计算机中登录过,那又该怎么办呢?其实也很简单 !只要我们再次进入QQ程序的程序目录中,创建一个以该Q号命名的文件夹,再在 该文件夹中创建一个名为ewh.db的文件夹。(相信大家都知道同名文件不能同存 一个文件夹的道理吧!只要我们比QQ程序先一步创建了该文件夹,那QQ程序就只 指意在这个以Q号命名的文件夹中创建属于QQ程序的ewh.db文件,只要缺少了这个
通过命令限制上网用户的权限技巧
