通过命令限制上网用户的权限技巧.doc

查看文章教会你通过命令限制上网用户的权限技巧2008-04-13 21:53作为网管员，你想限制你的雇员利用网络浏览不恰当的站点或者复制数据吗？如果你只想控制某人在没有监管的情况下不能访问互联网，应该怎样做呢？你可以限制指定账户的登录时间，并在此过程中获得你对机器和互联网控制的更大的控制。 通过使用活动目录以及计算机管理工具及配置文件，限制登录次数和登录时间并在一个Windows域中执行限制并不太复杂。不过，如果你拥有一个小型的工作组网络或者只是几台家用电脑，你可以使用net user命令，并且只需要几步就可以完成。 不过，在开始之前，你首先要决定需要限制哪些用户。如果你想列示一台计算机上的所有用户，请执行以下几步： 1.单击“开始”/“运行”，输入“cmd”，单击“确定”。 2.键入“net user”，回车。 这样就会列示一台计算机上的所有账户。下面给出列示结果的大体样子： Microsoft Windows XP 版本 5.1.2600(C) 版权所有 1985-2001 Microsoft Corp.C:Documents and Settings Administrator net user35341B67CC434F6 的用户帐户-Administrator her1 goodHe1 myuser letgoTomorrowusr命令成功完成。我们将要用到上面列表中的名字，并决定限制He1和her1对计算机（或互联网）的访问。为了便于记忆，需要将显示窗口中刚才显示的账户保留着。先从为He1增加限制开始。如果我们决定他只能在早上8点到晚上8点这段时间可以使用计算机。就需要执行下面的步骤： 1.单击“开始”/“运行”/“CMD”，单击“确定”。 2.键入如下的命令： net user He1 /time: M-Th,4pm-8pm;F-Su,8am-8pm （用户he1只能在周一到周四的下午四点到晚上8点，以及周五到周日的上午8点到晚上8点可以用计算机。） 3.按下回车键，这时你应该收到一个消息，告诉你这个命令已经成功完成。 C:Documents and Settings Administrator net user He1 m-th,4pm-8pm；F-Su,8am-8pm命令成功完成。C:Documents and Settings Administrator 如果你想为不同的用户设置不同的限制应该怎样做呢？例如，在我们的例子中，我们允许her1可在更晚的时候使用计算机。因此可以执行如下的命令： net user her1 /time: M-Th,4pm-9pm;F-Su,8am-9pm（用户her1能在周一到周四的下午4点到晚上9点，以及周五到周日的上午8点到晚上9点可以用计算机。） 这两个命令可为上述的两个账户在平日和周末设置不同的限制。如果你在设置一个账户时出现了错误，或者想从头再来，你可以用这个命令清除所有的限制： net user her1 /time: all 实际执行时如下：C:Documents and Settings Administrator net user her1 /time: all命令成功完成。C:Documents and Settings Administrator 限制与反限制上网日期:2007-01-06 13:00:02组建局域网络，最大的应用莫过于文档资源、音视频资源的共享以及打印机的共享。但为了方便网络的管理，往往会对局域网内用户进行一些使用权限的限制；比如限制局域网用户在某一时段禁止登录腾讯QQ、禁止访问服务器某文件夹等。但有时这些管理限制又会跟用户带来一些不便，这时要考虑的又是如何突破这些限制；本文所要带给大家的，就是这些方面的内容。 一、限制共享文件夹大小。在局域网服务器的操作系统分区，由于承担着服务处理以及系统管理的重任，一般都不放置其他文件以腾出足够的剩余空间；那么如何防止局域网其他用户乱存放文件到此分区呢？解决的办法就是使用磁盘配额功能。只要是Windows 2000及以上的操作系统，都具有磁盘配额功能；它可以在每一个硬盘分区中限制任意一个用户或者组的最大磁盘使用容量，当然也就能限制具体的共享文件夹。而要使用这一功能，必须同时具备三要素：Windows 2000以上操作系统、具有管理员权限、分区格式为NTFS。Windows 2000默认安装了此功能，而Windows XP则需要手动安装。要设置配额时，打开“我的电脑”，用鼠标右击要启用磁盘配额的磁盘分区或文件，然后单击“属性”，在“属性”对话框中，单击“配额”选项卡，在“配额”选项卡中选中“启用配额管理”复选框，然后单击“应用”按钮。此时磁盘配额功能已经启用，再通过以下两点的设置，即可达到限制大小的目的：（1）选中“拒绝将磁盘空间分配给超过配额限制的用户”复选框。这样超过其配额限制的用户将会被提示“磁盘空间不足”。只有这样，磁盘容量限制的作用才能生效。 （2）输入具体的磁盘容量数据。即是说勾选“将磁盘空间限制为”选项，根据需要输入适当的数值即可。注：除了以上应用外，在FTP服务器的配置中，也应该启用此功能。因为磁盘空间资源是宝贵的，无限制的让用户使用，势必造成巨大的浪费，因此就要对每位FTP用户使用的磁盘空间进行限制。反限制：由服务器方配置的磁盘配额选项，目前似乎还未找到一种成熟的破解办法。只能通过暴力的办法，在服务器上去除管理员账号，再重新自己配置一个管理员账号来修改配额选项；修改完成后再重新恢复以前的管理员账号，这样就可做到“神不知鬼不觉”。二、在“网上邻居”中隐藏计算机。有时为了限制别人随意通过网上邻居访问到某台电脑，可以将这台电脑在网上邻居中隐藏起来。要实现这种隐藏，比较简单的办法是在DOS命令提示符窗口中运行“net config server /hidden:yes”命令即可。另一办法就是修改注册表，找到HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerRarameters分支，然后新建或修改“Hidden”键值为1即可.反限制：在网上邻居中隐藏计算机虽然可以实现，但并不代表就不能访问，只是给其他用户一个假象而已，他们仍然可以通过在浏览器或“我的电脑”的地址栏里输入“IP地址或计算机名”来找到。三、限制部分用户的Internet访问。有时在某个时段，需要在局域网中设置让用户无法访问Internet、腾讯QQ、MSN等，以提醒员工认真工作。这类限制主要通过代理服务器软件来实现，当然如果安装了美萍等网管软件更好；而日常使用最多的代理服务器软件主要是Sygate和Wingate，下面分别讲解。（1）使用Sygate，可以通过设置黑白名单，禁止某些IP地址的访问来实现。在Sygate主界面工具条上单击Permissions（权限）按钮，输入用户的口令，单击“OK”按钮，进入Permissions Editor窗口。Blacklist下列出了禁止访问的网站，White List用来指定可以通过Sygate上网的客户端。单击Add按钮向黑名单中添加IP地址，出现添加记录窗口。Protocol （协议）：可以在下拉列表中选择协议类型（TCP或UDP）。Port No（端口号）：可以通过禁止端口服务的方法，限制HTTP、SMTP、POP3、TELNET等服务的生效，AllPort：是所有服务禁用。比如让某客户机不能进行浏览，就可禁止80端口。Start：可以设定生效时间。这不仅可以限制某人，也可限制某时。（2）Wingate的用户身份验证方式同样也可实现。1）在Wingate服务器主程序“Gatekeeper”对话框中双击“WWW Proxy Server”选项，然后在如图4所示对话框中选择“Use Java client authentication as required by policies”复选项。2）在上图对话框中单击顶上向右箭头，选择“Policies”标签项；在接着出现的对话框内单击“Add”按钮，在出现的如图5所示窗口中，勾选“User must be authentication”后，单击“OK”按钮返回，此时会自动生成一个新的策略项，使之生效。通过以上设置后，当被限制的客户端要访问互联网时，会自动弹出身份验证对话框，要求用户输入相应的身份信息，只有合法的用户才可以进行相应的应用，如图6所示。反限制：在上面利用代理服务器软件设置的限制中，主要是通过限制了欲访问的IP地址来达到目的；对于这类限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易，比如QQ、网页访问等，都可以配置一个80端口的代理服务器地址，绕过服务器的限制来突破（为QQ、浏览器配置代理上网的操作，相信朋友们都会，这里就不详述了手把手教你禁止端口非法入侵的方式 简单说来，非法入侵的方式可粗略分为4种： 1、扫描端口，通过已知的系统Bug攻入主机。 2、种植木马，利用木马开辟的后门进入主机。 3、采用数据溢出的手段，迫使主机提供后门进入主机。 4、利用某些软件设计的漏洞，直接或间接控制主机。 非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。 因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。 端口就像一所房子（服务器）的几个门一样，不同的门通向不同的房间（服务器提供的不同服务）。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？ 限制端口的方法 对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口（比如WWW端口80、FTP端口21、邮件服务端口25、110等）开放，其他的端口则全部关闭。 即使你对策略一点不懂也可以按照下面一步一步地完成禁用端口。以禁用139端口为例1.开始-控制面板（或者管理）-管理工具-本地安全策略2.右击Ip安全策略,在 本地计算机, 选择 管理 IP 筛选器表和筛选器操作,3.在管理 IP 筛选器表中,按添加按钮 4.在名称(N) 下面添上禁止139端口 。描述(D) 也写上禁止139端口添加按扭 惦记下一步 在源地址(s): 出选择 下拉里的第二项任何 ip 地址 下一步在目标地址(D): 选上我的 ip 地址 下一步选择协议类型(S): 把任意选改为tcp 下一步设置ip协议断口: 选择 到端口(O)。 添上你要禁止的端口139 下一步 完成5 ，看完了吗? 按确定按扭 呵呵.6 惦记 管理筛选器操作 同4 中的 完成8 ，点击 关闭按扭9 ，右击Ip安全策略,在 本地计算机, 选择 创建ip安全策略，同4 中的进入为此安全规则设置初始身份验证方法，不管他，下一步10 出现一个警告窗口只有当这个规则在一台为域成员的计算机上 Kerberos 才有效。这台计算机不是一个域成员。您想继续并保留这些规则的属性吗?当然是拉11 惦记完成按扭12 常规 和 规则 惦记 规则 惦记添加按扭，13 惦记下一步 一直下一步 出现一个同样的警告 yes14 从ip筛选器列表(I)筐中点上第一个:禁止139端口前面的成为15 同14选择 下一步 同7出现完成按扭 惦记16 确定17 关闭 属性筐18 右键 右面窗口的 禁止139端口连接 -=指派我们公司的电脑都是XP的,我想请问大虾们如何设置禁止QQ登录只要我们进入QQ的程序目录中，找到想禁止的QQ号码登录时用生成的以该QQ号为名的文件夹，进入文件夹中，找到一名为ewh.db的文件，将该文件的属性设置为“只读”，再次登录这个Q时就只能干等，会一直处于登录界面的状态，因程序不能读写ewh.db文件，所以QQ号相应变为0。若相限制的QQ号码没有在这台计算机中登录过，那又该怎么办呢？其实也很简单！只要我们再次进入QQ程序的程序目录中，创建一个以该Q号命名的文件夹，再在该文件夹中创建一个名为ewh.db的文件夹。（相信大家都知道同名文件不能同存一个文件夹的道理吧！只要我们比QQ程序先一步创建了该文件夹，那QQ程序就只指意在这个以Q号命名的文件夹中创建属于QQ程序的ewh.db文件，只要缺少了这个主要文件，那这个Q号就别指意想在你的电脑中登录啦！）此方法对懂电脑的高手来说可能没用！但如果想阻止自己的孩子或一些菜鸟级的人在你的电脑中进行登录的话，那是肯定没有问题的！ 开始-设置-控制面版-Windows防火墙 然后在“例外”一栏中把“程序和服务”中的“QQ”前面的钩去掉就行了！ 记得把最下面的“Windows防火墙阻止程序时通知我”底下的钩去掉！或者大多数电脑都安装了QQ，如果不喜欢他人在你的电脑上使用QQ登录，有没有办法来巧妙地达到这个目的呢，这时咱们可以利用文件夹属性来巧妙做到。 在QQ安装目录上单击鼠标右键，从弹出菜单中选择“属性”，然后再在属性窗口中勾选“只读”项，最后单击“确定”按钮，并在弹出窗口中选中“将更改应用于该文件夹、子文件夹和文件”。 接下来再试试运行QQ，便可发现原登录过的QQ号码也不见了，如果输入号码及密码并登录，会发现被锁定在“正在登录”窗口而无法登录 我们知道 QQ使用的默认端口是 UDP 4000，使用防火墙将该端口关闭，那么别人就不能使用QQ了，当自己需要上网时只需开放该端口就可以了。 下面以我使用的“金山网镖6”进行说明，点击菜单“工具”“综合设置”“IP过滤”“添加”，弹出新窗口。 在“端口”栏输入“4000”，在“协议”栏选择“UDP”，在“操作”栏选择“禁止”，这样就将UDP 4000端口关闭了。再操作一次，只是在“协议”栏选择“TCP”，将TCP 4000端口关闭。可以看到已经禁止了 UDP 4000和TCP 4000端口。 此时你再登录QQ时试试，是不是一直不能成功呀!时间长了会出现连接超时的情况，即使重新安装了QQ，也不能登录成功。 如果你想使用QQ时，可修改上述规则，将“操作”栏的“禁止”改为“允许”就可以了。 到这里还不到万事大吉的时候。不信你可以再开一个QQ登录窗口(即同时有两个QQ登录窗口)试试，不一会竟然登录成功了。难道我们介绍的方法不管用吗？非也!这是因为在一个电脑进行多次QQ登录时，后来的QQ使用的端口号会是4001、4002、4003，即每运行一个QQ，使用的UPD 端口会加1。由于我们同时运行了两个QQ，第二个QQ使用的端口号是 UDP 4001，而不是UDP 4000，当然能够登录成功了。为了保险起见，我们需要封4000到4009，九个端口就可以了。你的同事总不能在一个QQ不能登录时，会同时运行10个登录窗口吧你可以用防火墙来设置 QQ可以使用UDP方式登录服务器，也可以使用TCP方式登录服务器。 1）UDP方式登录