超级网管经验谈：用户权利分配

    通常一个用户除了需要配置以上管理权限外，更多的是需要配置一些特定的用户权利。需要注意的是，用户权利与权限不同，因为用户权利适用于用户账户，而权限则是附加在所有对象上的，当然也包括用户和组对象，还有计算机也属于对象范畴。

    在全面了解了Windows Server 2003系统中可以为用户指派的特权和登录权利后，小王就要为担当一部分网络管理任务的Alice用户分配相应的特权了。

    首先要针对用户的具体工作分析所需的权利，然后再查看相应权利系统默认的用户（组）。如果相应用户已在相应权利默认的组中，就不必再另行配置了，否则就要根据具体工作需求添加了。

    根据分析得知，Alice用户需要通过终端服务远程登录到网络对未工作而又未关闭的计算机进行关机操作，这就需要“从远程系统强制关机”特权和“允许通过终端服务登录”的登录权利，前者在工作站上系统默认只有Administrators组用户才具有此权限（因为关闭的是客户机）；后者在工作站上系统也只有默认Administrators组成员用户和远程桌面用户具有此权利。

    要为客户进行程序调试工作，必须具有“调试程序”特权；要为客户安装程序，则必须具有“修改固件环境值”特权。而系统默认的只有Administrators组和Local System（本地系统）用户才具有这两项权限。

    再回过头来看Alice用户以前所属的工作组仅属于Users和Backup Operators两个组，既不是Administrators组成员，也不是Local System用户。这样要全部具有以上权限，有两种途径：把Alice加入到域系统管理员Administrators组，或者在相应权利上一一添加 Alice用户。当然也可个别满足，如把Alice用户配置成远程桌面用户就可以具有通过终端服务远程登录的权限；而在各客户机的本地系统中同样为 Alice用户配置一个账号，则Alice用户也就具有安装软件的权限了。远程桌面用户的配置只需在“Active Dorectory用户和计算机”管理工具中找到Alice用户账户；单击鼠标右键，在弹出的快捷菜单中选择【属性】命令，弹出“Alice属性”对话框，在弹出的对话框中切换到“拨入”选项卡，然后在“远程访问权限”选项组中选择“允许访问”单选按钮（如图8-4所示）切换到，即可使Alice用户成为远程桌面用户，也就具备了通过终端服务登录的登录权利。