本文目录一览：

• 1、万分紧急：请大虾们帮忙解决
• 2、电脑密码
• 3、winxp如何设置网络用户权限
• 4、windows xp中如何限制用户登录时间？
• 5、谁能告诉我DOS里关于NET的命令
• 6、如何限制用户的权限和操作

万分紧急：请大虾们帮忙解决

1.Net User命令

Net User命令是一个DOS命令，必须在Windows XP下的MS-DOS模式下运行，所以首先要进入MS-DOS模式：选择“开始”菜单的“附件”选项的子选项“命令提示符”，或在“开始”菜单的“运行”选项(快捷键为Win+R)中输入“cmd.exe”，进入MS-DOS模式。以下功能都基于此模式下。

建立一个普通新用户

在MS-DOS提示符中输入如下命令：“net user john 123 /add”，回车。即可新建一个名为“John”，密码为“123”的新用户。Add参数表示新建用户。

值得注意的是：用户名最多可有20个字符，密码最多可有127个字符。

建立一个登录时间受限制的用户

用以下方法可实现对电脑使用时间的控制。比如，需要建立一个John的用户账号，密码为“123”，登录权限从星期一到星期五的早上八点到晚上十点和双休日的晚上七点到晚上九点。

1. 12小时制可键入如下命令：“net user john 123 /add /times:monday-friday,8AM-10PM;saturday-sunday,7PM-9PM”，回车确定即可。

2. 24小时制可键入如下命令：“net user john 123 /add /times:M-F,8:00-22:00;Sa-Su,19:00-21:00”，回车确定即可。

值得注意的是：Time的增加值限制为1小时。对于Day值，可以用全称或缩写(即M、T、W、Th、F、Sa、Su)。可以使用12小时或24小时时间表示法。对于12小时表示法，请使用AM、PM或A.M.、P.M.。All值表示用户始终可以登录；空值(空白)意味着用户永远不能登录。用逗号分隔日期和时间，用分号分隔日期和时间单元(例如，M,4AM-5PM;T,1PM-3PM)。指定时间时不要使用空格。

另外，Passwordchg:{yes | no}参数可用来指定用户是否可以更改自己的密码，默认设置为Yes。

限定用户的使用时间

Net User命令还可以使用参数Expires:{{mm/dd/yyyy | dd/mm/yyyy | mmm,dd ,yyyy} | never}使用户账号根据指定的Date过期限定用户。过期日期可以是[mm/dd/yyyy]、[dd/mm/yyyy]或[mmm,dd,yyyy]格式。它取决于国家(地区)代码。用户账号在指定日期开始时到期。对于月份值，可以使用数字、全称或三个字母的缩写(即Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec)。对于年份值，可以使用两位数或四位数；使用逗号和斜杠分隔日期的各部分；不要使用空格。

例如：要限定用户账号John到2004年11月5日到期，可键入如下命令：“net user john /expires:Nov/5/2004”，回车确定即可。

查看用户信息、修改已有用户密码和删除用户

如果在没有参数的情况下使用，则Net User将显示计算机上用户的列表，如键入以下命令：“net user”，回车即可显示该系统的所有用户。

如果键入：“net user john”，回车则可显示用户John的信息。

若键入命令：“net user john 123456 /add”，回车确定，则强制将用户John(John为已有用户)的密码更改为123456。

若键入命令：“net user john /delete”，回车确定则可删除用户John。

2.注册表中的一个键显示哪些用户帐户被隐藏、哪些在登录时可以显示。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList，有一系列双字节值。每个键名是隐藏的帐户用户名，要把值设为0。要添加并隐藏的帐户用户名，新建一个双字节值，以要隐藏的帐户用户名命名该键，然后设置键值为0。要取消隐藏，只要删除该键就可以了。

电脑密码

(1)启动电脑，使用DOS启动盘(比如：Windows 98启动盘)进入纯DOS状态。

(2)在DOS提示符下，根据下面步骤操作：

cd\ (切换到根目录)

cd windows\system32 (切换到系统目录)

mkdir temphack (创建临时文件夹)

copy logon.scr temphacklogon.scr (备份logon.scr)

copy cmd.exe temphackcmd.exe (备份cmd.exe)

del logon.scr (删除logon.scr)

rename cmd.exe logon.scr (将cmd.exe改名为logon.scr)

exit (退出)

(3)重启电脑，在登录等待画面出现后静静等候，如果没有修改屏幕保护时间，大约10分钟，系统就会自动启动登录屏保程序，可是由于Logon.scr已经由cmd.exe代替了，所以系统就启动了cmd.exe，进入命令行提示符状态。

(4)这时，我们可以使用命令：net user password来修改密码了。

假设有一个超级管理员的帐号是Admin，希望重新设置其密码为admin，那么可以使用命令：net user Admin admin，回车后即可更改密码。

(5)接下来，想不想进入桌面系统看看硬盘上面的东西呢？在命令行提示符状态下输入Explorer命令试试看，是不是很顺利地进入了Windows的桌面？

小提示

如果你有一个普通用户帐号，利用上面介绍的方法稍作改动就可以把它变成超级管理员Administrator帐号。

备份logon.scr和usermgr.exe，将第二步中的cmd.exe全部换成usermgr.exe，然后重启，静静等候，这时出现的不是命令行提示符，而是用户管理器，这时我们就有权限把自己加到Administrator组了。

方法二

由于Windows XP在安装过程时，首先以Administrator默认登陆，有不少朋友没有注意到为它设置密码，而是根据要求创建一个个人的帐户，以后进入系统后即使用此帐户登陆，而且在Windows XP的登录界面中也只出现这个创建的用户帐号，而不出现Administrator，实际这个帐号依然存在，而且密码为空。

知道了这个原理，你可以直接正常启动，在登陆界面出现后，按Ctrl+Alt，再按Del两次，即可出现经典登陆画面，此时在用户名处填入Administrator，密码为空即可进入，接下来，就可以进入“控制面板”的“用户和密码”，修改你想要修改的用户的密码即可。

密码过期前显示信息提示

预设的情况下，Windows XP会在密码过期前14天显示信息提示使用者。如果要更改天数，可打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]，双击右侧窗格中的“PasswordExpiryWarning”双字节值，根据你自己的需要设置提前提示的天数。

从待机状态恢复时不输入密码

打开“控制面板”→电源选项，点击“高级”选项卡，然后将“在计算机从待机状态恢复时，提示输入密码”前的对勾取消。

别让密码过期的另一招

Windows XP在密码过期前14天就会提醒你更换密码。除了可以通过修改注册表来取消提醒外，我们还可以在“运行”命令里输入：lusrmgr.msc，回车，在弹出的Local Users and Groups对话框中，选择“用户”文件夹，在右边窗口中找到你所使用的用户名，例如：Format，双击后，会弹出“Format 属性”对话框，只需选中“密码永不过期”复选框。

退出带密码的屏保时出现登陆界面

Windows XP中，如果设置了屏幕保护和密码保护，退出屏幕保护时为锁定计算机，显示的是欢迎界面。如何才能在退出屏保时为登陆界面呢？

点击“我的电脑”→“控制面板”→“显示”，在“屏幕保护程序”选项卡中的“屏幕保护程序”下，单击“屏幕保护程序”。 选中“密码保护”复选框，取消“显示欢迎屏幕”前面的勾选。

如果希望在开机时也显示登陆界面，需要进一步操作，在“控制面板”中双击“用户帐号”，打开“用户帐号”窗口，单击“更改用户登录或注销方式”，取消“使用欢迎屏幕”前面的勾选。

这样，以后无论是登录还是从屏幕保护返回，都直接进入登录界面而不是欢迎界面。

创建一张密码重置磁盘

以前在使用Windows 2000时不少用户都遇到过因为忘记了自己的密码而无法进入系统的问题，在Windows XP中你可以创建一张密码重设磁盘，这样在忘记密码时可以使用它来重新设置一个密码。点击开始→控制面板，然后点击用户帐号；在下面点击你的帐号名；在弹出的用户帐号对话框中选择“创建一张密码重设盘”，跟随向导的指示完成密码重设盘的制作。注意将该磁盘存放在安全的地方，因为任何人都可以使用它来访问你的本地用户帐号。

找到密码提示语

会不会担心记不住自己的登录密码？没关系，在最初生成密码时，你可以在提示符后生成一个提示语，Windows XP会把密码提示语保存在注册表[Hkey_local_machine\Software\Microsoft\Windows\Current Version\Hints]里面。

限制自动登录的次数

这个设置用于限制自动登录的次数，一旦达到限制的数字，自动登录功能会禁用，系统会显示标准的认证窗口。打开“注册表编辑器”，找[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]，在右侧窗格创建名为AutoLogonCount的字符串值，将其值设置为自动登录的次数。这样每当系统启动一次，自动登录的次数将会减少一次，直到为零。然后不允许自动登录。AutoLogonCount和DefaultPassword会从注册表删除，AutoAdminLogon为零。

自动登录时禁用Shift键

当使用自动登录功能时，用户可通过按住Shift键忽略登录进程，输入其他用户名及密码进入电脑。该技巧可以禁用自动登录时的Shift键功能。操作步骤如下：打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]子键并选中它。在右侧窗口中创建名为IgnoreShiftOverride的字符串值，命，将其键值设置为1。退出“注册表编辑器”，重启电脑。这样在启动时就不能通过按住Shift键中断自动登录过程了。

让别人访问你的电脑

打开“控制面板”→“用户帐号”，接着点击“创建一个新帐号”，然后在向导中输入其他用户帐号名称及密码，最后选择将其类型设置为“受限”，然后点击“创建帐号”按钮，这样别人就可以登录你的电脑了。

让指定的用户只能在特定时间登录

做家长的可能会希望限制孩子使用电脑的时间。只要按照以下方法，就能轻松实现。不过这要求你有Administrator权限。

首先进入“命令行提示符”，以Guest这个账户为例。如果需要设置这个账户从周一到周五的早上9点到晚上5点才能登录。可以用下面这个命令：

net user Guest /time:M-F,08:00-17:00，或者net user Guest /time:M-F,9am-5pm (回车后就会生效。)

如果需要依次指定每天的时间，那么也只需要按照下面这个格式：

net user Guest /time:M,4am-5pm;T,1pm-3pm;W-F,8:00-17:00。

而net user Guest /time:all 这个命令则可以允许该用户随时登录。

当心你的加密文件

从Windows 2000开始，在NTFS文件系统的分区中Windows可以帮助你加密文件。方法是，在想加密的文件或文件夹上点右键，选择“属性”，在属性的“常规”选项卡上点击“高级”按钮，会弹出一个窗口，选中窗口中的“加密内容以便保护数据”即可实现在NTFS卷上对文件的加密。

小提示

这被称作为EFS(Encrypting File System，加密文件系统)。这种加密的好处是，加密的过程是完全透明的，也就是说，如果你加密了这些文件，你对这些文件的访问将完全允许(并不需要你输入密码，因为验证过程在你登录Windows的时候就进行了)，而其它人则不能访问或移动这些数据。

不过如果你的Windows突然崩溃，在无计可施的情况下只能重装系统，但原来被加密过的数据会出现无法打开的问题。这时只有在域环境下，才可以得到域管理员的帮助，解密这些文件。这是因为当你使用EFS加密后，系统会根据你的SID(Security Identifier，安全标示符)自动生成一个密钥，要解密这些文件就要使用这个密钥。对于系统而言，并不是根据用户名来区别不同的用户，而是根据SID，这个SID是唯一的。SID和用户名的关系跟人的姓名和身份证号码的关系是一样的。虽然有同名同姓的人，但他们的身份证号码绝对不会相同；虽然有相同的用户名(指网络上的，因为本地用户不能有相同的用户名)，但他们的SID绝对不同。这也就解释了为什么重装系统后即使使用之前的用户名和密码登陆也不能打开以前的加密文件。

所以在重装系统之前最好能把加密的数据全部解密。然而，为了应付突发的系统崩溃，就需要备份好自己密钥，这样系统崩溃后只要重装系统，并导入密钥，就可以继续使用之前的加密文件了。

备份密钥的方法是：单击“开始”→“运行”，输入：certmgr.msc，回车后打开“证书管理器”，在 “当前用户”→“个人”→“证书”目录下，右击颁发给你的证书，在“所有任务”中点击“导出”，并选择Export The Private Key(导出私钥)，其它选项按照默认设置。输入该用户的密码和保存路径就可以了。

在重装系统后，照旧运行certmgr.msc，并在“所有任务”中选择导入，选择好备份的证书，然后按照向导，就可以完成对密钥的导入。或直接在导出的pfx文件上点右键，选择“安装PFX”。这时，你的加密数据已经可以访问了。

开启安全文件系统

打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]，在右侧窗格将forceguest的键值改为1。

方法三

当有人为自己的机器设置了密码，而且不象xifeng那样明明白白告诉你密码的话，我们就要暴力破解它，哈哈。

利用NET命令

我们知道在Windows XP中提供了“net user”命令，该命令可以添加、修改用户账户信息，其语法格式为：

net user [UserName [Password | *] [options]] [/d omain]

net user [UserName {Password | *} /add [options] [/d omain]

net user [UserName [/delete] [/d omain]]

每个参数的具体含义在Windows XP帮助中已做了详细的说明，在此笔者就不多阐述了。好了，我们现在以恢复本地用户“zhangbq”口令为例，来说明解决忘记登录密码的步骤：

1、重新启动计算机，在启动画面出现后马上按下F8键，选择“带命令行的安全模式”。

2、运行过程结束时，系统列出了系统超级用户“administrator”和本地用户“zhangbq”的选择菜单，鼠标单击“administrator”，进入命令行模式。

3、键入命令：“net user zhangbq 123456 /add”，强制将“zhangbq”用户的口令更改为“123456”。若想在此添加一新用户（如：用户名为abcdef，口令为123456）的话，请键入“net user abcdef 123456 /add”，添加后可用“net localgroup administrators abcdef /add”命令将用户提升为系统管理组“administrators”的用户，并使其具有超级权限。

4、重新启动计算机，选择正常模式下运行，就可以用更改后的口令“123456”登录“zhangbq”用户了。

winxp如何设置网络用户权限

这是我在网上找到了.

在Windows XP中设置登陆用户权限

在一次帮助用户维护网络的时候，偶然发现Windows XP操作系统中的NET系列命令中多了一个Net User命令。经过仔细推敲和演练发现Net User不仅可以用来添加或修改用户或者显示用户信息，还可以对用户设置不同的限制，比控制面板中的“用户账户”的应用效果要好多了，大家不妨试试。

Net User命令是一个DOS命令，必须在Windows XP下的MS-DOS模式下运行，所以首先要进入MS-DOS模式：选择“开始”菜单的“附件”选项的子选项“命令提示符”，或在“开始”菜单的“运行”选项（快捷键为Win+R）中输入“cmd.exe”，进入MS-DOS模式。以下功能都基于此模式下。

建立一个普通新用户

在MS-DOS提示符中输入如下命令：“net user john 123 /add”，回车。即可新建一个名为“John”，密码为“123”的新用户。Add参数表示新建用户。

值得注意的是：用户名最多可有 20 个字符，密码最多可有 127 个字符。

建立一个登录时间受限制的用户

用以下方法可实现对电脑使用时间的控制。比如，需要建立一个John的用户账号，密码为“123”，登录权限从星期一到星期五的早上八点到晚上十点和双休日的晚上七点到晚上九点。

1. 12小时制可键入如下命令：“net user john 123 /add /times:monday-friday,8AM-10PM;saturday-sunday,7PM-9PM”，回车确定即可。

2. 24小时制可键入如下命令：“net user john 123 /add /times:M-F,8:00-22:00;Sa-Su,19:00-21:00”，回车确定即可。

值得注意的是：Time的增加值限制为1小时。对于Day值，可以用全称或缩写（即 M、T、W、Th、F、Sa、Su）。可以使用12小时或24小时时间表示法。对于12小时表示法，请使用AM、PM或A.M.、P.M.。All值表示用户始终可以登录；空值（空白）意味着用户永远不能登录。用逗号分隔日期和时间，用分号分隔日期和时间单元（例如，M,4AM-5PM;T,1PM-3PM）。指定时间时不要使用空格。

另外，Passwordchg:{yes no}参数可用来指定用户是否可以更改自己的密码，默认设置为 Yes。

限定用户的使用时间

Net User命令还可以使用参数Expires:{{mm/dd/yyyy dd/mm/yyyy mmm,dd ,yyyy} never} 使用户账号根据指定的Date过期限定用户。过期日期可以是 [mm/dd/yyyy]、[dd/mm/yyyy] 或[mmm,dd,yyyy]格式。它取决于国家（地区）代码。用户账号在指定日期开始时到期。对于月份值，可以使用数字、全称或三个字母的缩写（即Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec）。对于年份值，可以使用两位数或四位数；使用逗号和斜杠分隔日期的各部分；不要使用空格。

例如：要限定用户账号John到2004年11月5日到期，可键入如下命令：“net user john /expires:Nov/5/2004”，回车确定即可。

查看用户信息、修改已有用户密码和删除用户

如果在没有参数的情况下使用，则Net User将显示计算机上用户的列表，如键入以下命令：“net user”，回车即可显示该系统的所有用户。

如果键入：“net user john”，回车则可显示用户John的信息。

若键入命令：“net user john 123456 /add”，回车确定，则强制将用户John（John为已有用户）的密码更改为123456。

若键入命令：“net user john /delete”，回车确定则可删除用户John。

Windows下权限设置详解

创建时间：2005-02-15

文章属性：原创

文章提交：mrcool (mrcoolfuyu_at_tom.com)

随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗？其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO!

要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。

我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。

下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序；D盘为软件卷，该服务器上所有安装的软件都在D盘中；E盘是WEB程序卷，网站程序都在该卷下的WWW目录中；F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。为了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U 5.1.0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

假设服务器外网域名为，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读运，列和读权限；Power users拥有读运，列和读权限；SYSTEM同Administrators;Users拥有读运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读运，列和读权限。对于Winnt，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！

现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。那么，怎样设置权限给这台WEB服务器才算是安全的呢？大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉；给系统卷的根目录多加一个Everyone的读、写权；给e:\www目录，也就是网站目录读、写权。最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权？网站中的ASP文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。

经过上面的讲解以后，你一定对权限有了一个初步了了解了吧？想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性 、优先性、交叉性的。

继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。

累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。

优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。

交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。

权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在NTFS分区中才能实现的，FAT32是不支持权限设置的。同时还想给各位管理员们一些建议：

1.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。

2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。

3.尽量不要把各种软件安装在默认的路径下

4.在英文水平不是问题的情况下，尽量安装英文版操作系统。

5.切忌在服务器上乱装软件或不必要的服务。

6.牢记：没有永远安全的系统，经常更新你的知识。

windows xp中如何限制用户登录时间？

立一个登录时间受限制的用户

用以下方法可实现对电脑使用时间的控制。比如，需要建立一个jiale的用户账号，密码为“123”，登录权限从星期一到星期五的早上八点到晚上十点和双休日的晚上七点到晚上九点。

1. 12小时制可键入如下命令：“net user jiale 123 /add /times:monday-friday,8AM-10PM;saturday-sunday,7PM-9PM”，回车确定即可。

2. 24小时制可键入如下命令：“net user jiale 123 /add /times:M-F,8:00-22:00;Sa-Su,19:00-21:00”，回车确定即可。

值得注意的是：Time的增加值限制为1小时。对于Day值，可以用全称或缩写（即 M、T、W、Th、F、Sa、Su）。可以使用12小时或24小时时间表示法。对于12小时表示法，请使用AM、PM或A.M.、P.M.。All值表示用户始终可以登录；空值（空白）意味着用户永远不能登录。用逗号分隔日期和时间，用分号分隔日期和时间单元（例如，M,4AM-5PM;T,1PM-3PM）。指定时间时不要使用空格。

另外，Passwordchg:{yes | no}参数可用来指定用户是否可以更改自己的密码，默认设置为 Yes。

限定用户的使用时间

Net User命令还可以使用参数Expires:{{mm/dd/yyyy | dd/mm/yyyy | mmm,dd ,yyyy} | never} 使用户账号根据指定的Date过期限定用户。过期日期可以是 [mm/dd/yyyy]、[dd/mm/yyyy] 或[mmm,dd,yyyy]格式。它取决于国家（地区）代码。用户账号在指定日期开始时到期。对于月份值，可以使用数字、全称或三个字母的缩写（即Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec）。对于年份值，可以使用两位数或四位数；使用逗号和斜杠分隔日期的各部分；不要使用空格。

例如：要限定用户账号John到2004年11月5日到期，可键入如下命令：“net user john /expires:Nov/5/2004”，回车确定即可。

攀达电脑监管专家 V2.5

主要用于中小学生家庭电脑以及网吧、机房和单位的上网电脑，一个运行在普通电脑上的集有害网站过滤、系统安全、上网和上机管理、操作监控、程序管理和预防病毒及黑客等功能为一体的安全防护软件。

1.反黄防害:网害卫士PandaIE可以对网页上出现的有害文字进行过滤，如果遇到色情、赌博、毒品、反动、暴力和恐怖的文字描写，网害卫士PandaIE将自动辨别，禁止打开此类网页使之不在屏幕上出现

2. 操作监控:网害卫士PandaIE自动对计算机的操作内容进行记录，记录对每一个打开过的窗口包括标题、摘要、所用软件及日期时间，作为操作日志以供日后追踪审查之用。

3.上网管理:能够控制上网时间，定义上网的时间段，灵活实现在什么时间可以上网和上多长时间的网。

4.上机管理:能够控制上机时间，定义上机的时间段，灵活实现在什么时间可以上机和上多长时间的机。

5.程序管理:程序控制的方案有三种：允许运行任何软件、指定要禁止的软件、只允许运行的软件。

6.预防病毒黑客和木马:若采用只允许运行的软件方案，那么可以预防已知和未知病毒进入电脑，即便进入了电脑也不能发作。

7.系统设置:禁止\"控制面板\"以防系统配置被修改、隐藏“网络邻居”以防网络配置被修改、禁止运行DOS模式、禁止修改系统注册表、禁止资源管理器和上网浏览器等

8、系统时间防改:在[系统设置]模块中，选中[禁止控制面板]和隐藏系统时间图标(对win98/me必要)，可以防止系统时间被修改；

9、反卸载功能:本软件具有很强的自我保护功能，没有超级密码，无法试图关闭或卸载

谁能告诉我DOS里关于NET的命令

net命令详解

许多 Windows NT 网络命令以 net 开始。这些 net 命令有一些公共属性：

通过键入 net /? 可查阅所有可用的 net 命令。

通过键入 net help 命令可在命令行中获得 net 命令的语法帮助。例如，要得到 net acco

unts 命令的帮助，请键入 net help accounts。

所有 net 命令接受选项 / yes 和 /no（可缩写为 / y 和 /n ）。/ y 对命令产生的任何交

互提示自动回答“是”，/n 回答“否”。例如，net stop server 通常提示确认是否根据服

务器服务结束所有服务，net stop server /y 自动回答“是”并关闭服务器服务。

Net Accounts

更新用户帐号数据库、更改密码及所有帐号的登录要求。必须要在更改帐号参数的计算机上

运行网络登录服务。

net accounts [/forcelogoff:{minutes | no}] [/minpwlen:length] [/maxpwage:{days |

unlimited}] [/minpwage:days] [/uniquepw:number] [/domain]

net accounts [/sync] [/domain]

参数

无

键入不带参数的 net accounts，将显示当前密码设置、登录时限及域信息。

/forcelogoff:{minutes | no}

设置当用户帐号或有效登录时间过期时，结束用户和服务器会话前的等待时间。no 选项禁止

强行注销。该参数的默认设置为 no。

指定 /forcelogoff:minutes 之后，Windows NT 在其强制用户退出网络 minutes 分钟之前

，将给用户发出警报。如果还有打开的文件，Windows NT 将警告用户。如果 minutes 小于

两分钟，Windows NT 警告用户立即从网络注销。

/minpwlen:length

设置用户帐号密码的最少字符数。允许范围是 0-14，默认值为 6。

/maxpwage:{days | unlimited}

设置用户帐号密码有效的最大天数。unlimited 不设置最大天数。/maxpwage 选项的天数必

须大于 /minpwage。允许范围是 1-49,710 天 (unlimited)。默认值为 90 天。

/minpwage:days

设置用户必须保持原密码的最小天数。 0 值不设置最小时间。允许范围是 0-49,710 天，默

认值为 0 天。

/uniquepw:number

要求用户更改密码时，必须在经过 number 次后，才能重复使用与之相同的密码。允许范围

是 0-8。默认值为 5。

/domain

在当前域的主域控制器上执行该操作。否则只在本地计算机执行操作。

该参数仅用于 Windows NT Server 域中的 Windows NT Workstation 计算机，Windows NT

Server 计算机默认为在主域控制器执行操作。

/sync

当用于主域控制器时，该命令使域中所有备份域控制器同步；当用于备份域控制器时，该命

令仅使该备份域控制器与主域控制器同步。该命令仅适用于 Windows NT Server 域成员的计

算机。

Net Computer

从域数据库中添加或删除计算机。该命令仅在运行 Windows NT Server 的计算机上可用。

net computer \computername {/add | /del}

参数

\computername

指定要添加到域或从域中删除的计算机。

/add

将指定计算机添加到域。

/del

将指定计算机从域中删除。

Net Config

显示当前运行的可配置服务，或显示并更改某项服务的设置。

net config [service [options]]

参数

无

键入不带参数的 net config 将显示可配置服务的列表。

service

通过 net config 命令进行配置的服务（server 或 workstation）。

options

服务的特定选项。完整语法请参阅 net config server 或 net config workstation。

Net Config Server

运行服务时显示或更改服务器的服务设置。

net config server [/autodisconnect:time] [/srvcomment:"text "] [/hidden:{yes | n

o}]

参数

无

键入不带参数的 net config server，将显示服务器服务的当前配置。

/autodisconnect:time

设置断开前用户会话闲置的最大时间值。可以指定 -1，表示永不断开连接。允许范围是 -1

-65535 分钟，默认值是 15 分钟。

/srvcomment:"text "

为服务器添加注释，可以通过 net view 命令在屏幕上显示所加注释。注释最多可达 48 个

字符，文字要用引号引住。

/hidden:{yes | no}

指定服务器的计算机名是否出现在服务器列表中。请注意隐含某个服务器并不改变该服务器

的权限。默认为 no。

Net Config Workstation

服务运行时，显示或更改工作站各项服务的设置。

net config workstation [/charcount:bytes] [/chartime:msec] [/charwait:sec]

参数

无

键入不带参数的 net config workstation 将显示本地计算机的当前配置。

/charcount:bytes

指定 Windows NT 在将数据发送到通讯设备之前收集的数据量。如果同时设置 /chartime:m

sec 参数，Windows NT 按首先满足条件的选项运行。允许范围是 0-65535 字节，默认值是

16 字节。

/chartime:msec

指定 Windows NT 在将数据发送到通讯设备之前收集数据的时间。如果同时设置 /charcoun

t:bytes 参数，Windows NT 按首先满足条件的选项运行。允许范围是 0-65535000 毫秒，默

认值是 250 毫秒。

/charwait:sec

设置 Windows NT 等待通讯设备变为可用的时间。允许的范围是 0-65535 秒，默认值是 36

00 秒。

Net Continue

重新激活挂起的服务。

net continue service

参数

service

能够继续运行的服务，包括： file server for macintosh（该服务仅限于 Windows NT Se

rver）, ftp publishing service, lpdsvc, net logon, network dde，network dde dsdm

，nt lm security support provider，remoteboot（该服务仅限于 Windows NT Server），

remote access server, schedule，server，simple tcp/ip services 及 workstation 。

Net File

显示某服务器上所有打开的共享文件名及锁定文件数。该命令也可以关闭个别文件并取消文

件锁定。

net file [id [/close]]

参数

无

键入不带参数的 net file 可获得服务器上打开文件的列表。

id

文件标识号。

/close

关闭打开的文件并释放锁定记录。请从共享文件的服务器中键入该命令。

Net Group

在 Windows NT Server 域中添加、显示或更改全局组。该命令仅在 Windows NT Server 域

中可用。

net group [groupname [/comment:"text "]] [/domain]

net group groupname {/add [/comment:"text "] | /delete} [/domain]

net group groupname username [ ...] {/add | /delete} [/domain]

参数

无

键入不带参数的 net group 可以显示服务器名称及服务器的组名称。

groupname

要添加、扩展或删除的组。仅提供某个组名便可查看组中的用户列表。

/comment:"text "

为新建组或现有组添加注释。注释最多可以是 48 个字符，并用引号将注释文字引住。

/domain

在当前域的主域控制器中执行该操作，否则在本地计算机上执行操作。

该参数仅用于作为 Windows NT Server 域成员的 Windows NT Workstation 计算机。Windo

ws NT Server 计算机默认为在主域控制器中操作。

username[ ...]

列表显示要添加到组或从组中删除的一个或多个用户。使用空格分隔多个用户名称项。

/add

添加组或在组中添加用户名。必须使用该命令为添加到组中的用户建立帐号。

/delete

删除组或从组中删除用户名。

Net Help

提供网络命令列表及帮助主题，或提供指定命令或主题的帮助。可用网络命令列于 N 下面的

“命令参考”中“命令”窗口内。

net help [command]

net command {/help | /?}

参数

无

键入不带参数的 net help 显示能够获得帮助的命令列表和帮助主题。

command

需要其帮助的命令，不要将 net 作为 command 的一部分。

/help

提供显示帮助文本方式选择。

/?

显示命令的正确语法。

Net Helpmsg

提供 Windows NT 错误信息的帮助。

net helpmsg message#

参数

message#

需要其帮助的 Windows NT 消息的四位代码。

Net Localgroup

添加、显示或更改本地组。

net localgroup [groupname [/comment:"text "]] [/domain]

net localgroup groupname {/add [/comment:"text "] | /delete} [/domain]

net localgroup groupname name [ ...] {/add | /delete} [/domain]

参数

无

键入不带参数的 net localgroup 将显示服务器名称和计算机的本地组名称。

groupname

要添加、扩充或删除的本地组名称。只提供 groupname 即可查看用户列表或本地组中的全局

组。

/comment: "text "

为新建或现有组添加注释。注释文字的最大长度是 48 个字符，并用引号引住。

/domain

在当前域的主域控制器中执行操作，否则仅在本地计算机上执行操作。

该参数仅应用于 Windows NT Server 域中的 Windows NT Workstation 计算机。Windows N

T Server 计算机默认为在主域控制器中操作。

name [ ...]

列出要添加到本地组或从本地组中删除的一个或多个用户名或组名，多个用户名或组名之间

以空格分隔。可以是本地用户、其他域用户或全局组，但不能是其他本地组。如果是其他域

的用户，要在用户名前加域名（例如，SALESRALPHR）。

/add

将全局组名或用户名添加到本地组中。在使用该命令将用户或全局组添加到本地组之前，必

须为其建立帐号。

/delete

从本地组中删除组名或用户名。

Net Name

添加或删除消息名（有时也称别名），或显示计算机接收消息的名称列表。要使用 net nam

e 命令，计算机中必须运行信使服务。

net name [name [/add | /delete]]

参数

无

键入不带参数的 net name 将列出当前使用的名称。

name

指定接收消息的名称。名称最多为 15 个字符。

/add

将名称添加到计算机中。 /add 是可选项，键入 net name name 与键入 net name name /a

dd 相同。

/delete

从计算机中删除名称。

Net Pause

暂停正在运行的服务。

net pause service

参数

service

指下列服务： file server for macintosh（仅限于 Windows NT Server）、ftp publishi

ng service、lpdsvc、net logon、network dde、network dde dsdm、nt lm security sup

port provider、remoteboot（仅限于 Windows NT Server）、remote access server、sch

edule、server、simple tcp/ip services 或 workstation 。

Net Print

显示或控制打印作业及打印队列。

net print \computername sharename

net print [\computername ] job# [/hold | /release | /delete]

参数

computername

共享打印机队列的计算机名。

sharename

打印队列名称。当包含 computername 与 sharename 时，使用反斜杠 () 将它们分开。

job#

在打印机队列中分配给打印作业的标识号。有一个或多个打印机队列的计算机为每个打印作

业分配唯一标识号。如果某个作业号用于共享打印机队列中，则不能指定给其他作业，也不

能分配给其他打印机队列中的作业。

/hold

使用 job# 时，在打印机队列中使打印作业等待。打印作业停留在打印机队列中，并且其他

打印作业只能等到释放该作业之后才能进入。

/release

释放保留的打印作业。

/delete

从打印机队列中删除打印作业。

Net Send

向网络的其他用户、计算机或通信名发送消息。要接收消息必须运行信使服务。

net send {name | * | /domain[:name] | /users} message

参数

name

要接收发送消息的用户名、计算机名或通信名。如果计算机名包含空字符，则要将其用引号

(" ") 引住。

*

将消息发送到组中所有名称。

/domain[:name]

将消息发送到计算机域中的所有名称。如果指定 name，则消息将发送到指定域或组中的所有

名称。

/users

将消息发送到与服务器连接的所有用户。

message

作为消息发送的文本。

Net Session

列出或断开本地计算机和与之连接的客户端的会话。

net session [\computername] [/delete]

参数

无

键入不带参数的 net session 可以显示所有与本地计算机的会话的信息。

\computername

标识要列出或断开会话的计算机。

/delete

结束与 \computername 计算机会话并关闭本次会话期间计算机的所有打开文件。如果省略

\computername 参数，将取消与本地计算机的所有会话。

Net Share

创建、删除或显示共享资源。

net share sharename

net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]

net share sharename [/users:number | unlimited] [/remark:"text"]

net share {sharename | drive:path} /delete

参数

无

键入不带参数的 net share 将显示本地计算机上所有共享资源的信息。

sharename

是共享资源的网络名称。键入带 sharename 的 net share 命令，只显示该共享信息。

drive:path

指定共享目录的绝对路径。

/users:number

设置可同时访问共享资源的最大用户数。

/unlimited

不限制同时访问共享资源的用户数。

/remark:"text "

添加关于资源的注释，注释文字用引号引住。

/delete

停止共享资源。

Net Start

启动服务，或显示已启动服务的列表。如果服务名是两个或两个以上的词，如 Net Logon 或

Computer Browser，则必须用引号 (") 引住。.

net start [service]

参数

无

键入不带参数的 net start 则显示运行服务的列表。

service

包括下列服务： alerter、client service for netware、clipbook server、computer br

owser、dhcp client 、directory replicator 、eventlog 、ftp publishing service 、

lpdsvc、messenger 、net logon 、network dde 、network dde dsdm 、network monitor

ing agent 、nt lm security support provider 、ole 、remote access connection man

ager 、remote access isnsap service 、remote access server 、remote procedure ca

ll (rpc) locator 、remote procedure call (rpc) service 、schedule 、server 、sim

ple tcp/ip services 、snmp、spooler 、tcp/ip netbios helper 、ups 及 workstation

。

下列服务仅在 Windows NT Server 下可用：file server for macintosh、gateway servic

e for netware、microsoft dhcp server、print server for macintosh、remoteboot、wi

ndows internet name service 。

Net Statistics

显示本地工作站或服务器服务的统计记录。

net statistics [workstation | server]

参数

无

键入不带参数的 net statistics 将列出其统计信息可用的运行服务。

workstation

显示本地工作站服务的统计信息。

server

显示本地服务器服务的统计信息。

Net Stop

停止 Windows NT 网络服务。

net stop service

参数

service

包括下列服务： alerter（警报）、client service for netware（Netware 客户端服务）

、clipbook server（剪贴簿服务器）、computer browser（计算机浏览器）、directory r

eplicator（目录复制器）、ftp publishing service (ftp )（ftp 发行服务）、lpdsvc、

messenger（信使）、net logon（网络登录）、network dde（网络 dde）、network dde d

sdm（网络 dde dsdm）、network monitor agent（网络监控代理）、nt lm security supp

ort provider（NT LM 安全性支持提供）、ole（对象链接与嵌入）、remote access conne

ction manager（远程访问连接管理器）、remote access isnsap service（远程访问 isns

ap 服务）、remote access server（远程访问服务器）、remote procedure call (rpc) l

ocator（远程过程调用定位器）、remote procedure call (rpc) service（远程过程调用服

务）、schedule（调度）、server（服务器）、simple tcp/ip services（简单 TCP/IP 服

务）、snmp、spooler（后台打印程序）、tcp/ip netbios helper（TCP/IP NETBIOS 辅助工

具）、ups 及 workstation（工作站）。

下列服务仅在 Windows NT Server 中可用： file server for macintosh、gateway servi

ce for netware、microsoft dhcp server、print server for macintosh、remoteboot、w

indows internet name service。

Net Time

使计算机的时钟与另一台计算机或域的时间同步。不带 /set 参数使用时，将显示另一台计

算机或域的时间。

net time [\computername | /domain[:name]] [/set]

参数

\computername

要检查或同步的服务器名。

/domain[:name]

指定要与其时间同步的域。

/set

使本计算机时钟与指定计算机或域的时钟同步。

Net Use

连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。该命令也控制永久

网络连接。

net use [devicename | *] [\computernamesharename[volume]] [password | *]] [/user

:[domainname]username] [[/delete] | [/persistent:{yes | no}]]

net use devicename [/home[password | *]] [/delete:{yes | no}]

net use [/persistent:{yes | no}]

参数

无

键入不带参数的 net use 将列出网络连接。

devicename

指定要连接到的资源名称或要断开的设备名称。有两类设备名：磁盘驱动器（D: 到 Z:）和

打印机（LPT1: 到 LPT3）。若键入星号而不是指定设备名将分配下一个可用设备名。

\computernamesharename

服务器及共享资源的名称。如果计算机名包含空白字符，要用引号 (" ") 将双反斜线及计算

机名引住。计算机名长度可以是 1-15 个字符。

volume

指定服务器上的 NetWare 卷。要连接到 NetWare 服务器，必须安装并运行 NetWare 客户机

服务 (Windows NT Workstation) 或 NetWare 网关服务 (Windows NT Server)。

password

访问共享资源的密码。

*

提示键入密码。在密码提示行中键入密码时，将不显示该密码。

/user

指定进行连接的另外一个用户。

domainname

指定另一个域。例如 net use d: \servershare /user:adminmariel 连接用户 mariel，如

同从 admin 域连接一样。如果省略域，将使用当前登录域。

username

指定登录的用户名。

/home

将用户连接到其宿主目录。

/delete

取消指定网络连接。如果用户以星号指定连接，则取消所有网络连接。

/persistent

控制永久网络连接的使用。默认为上次使用的设置。无设备的连接不是永久的。

yes

保存建立的所有连接，并在下次登录时还原。

no

不保存建立的连接和继发连接，并在下次登录时还原现有连接。使用 /delete 开关项取消永

久连接。

Net User

添加或更改用户帐号或显示用户帐号信息。

net user [username [password | *] [options]] [/domain]

net user username {password | *} /add [options] [/domain]

net user username [/delete] [/domain]

参数

无

键入不带参数的 net user 将查看计算机上的用户帐号列表。

username

添加、删除、更改或查看用户帐号名。用户帐号名最多可以有 20 个字符。

password

为用户帐号分配或更改密码。密码必须满足在 net accounts 命令 /minpwlen 选项中设置的

最小参数。最多是 14 个字符。

*

提示输入密码。在密码提示行中键入密码时，将不显示该密码。

/domain

在计算机主域的主域控制器中执行操作。

该参数仅在 Windows NT Server 域成员的 Windows NT Workstation 计算机上可用。默认情

况下，Windows NT Server 计算机在主域控制器中执行操作。

注意：在计算机主域的主域控制器发生该动作。它可能不是登录域。

/add

将用户帐号添加到用户帐号数据库。

/delete

从用户帐号数据库中删除用户帐号。

选项如下所示：

/active:{no | yes}

启用或禁止用户帐号。如果不激活用户帐号，用户就不能访问计算机上的资源。默认值是 y

es （激活）。

/comment:"text"

提供用户帐号的注释。该注释最多可以有 48 个字符，文字用引号引住。

/countrycode:nnn

使用操作系统的国家代码以便为用户帮助和错误信息文件提供指定语言文件。0 值表示默认

国家代码。

/expires:{date | never}

如果设置 date，将导致用户帐号过期，never 不对用户帐号设置时间限制。过期日期根据

/countrycode 值可以是下列格式： mm/dd/yy、dd/mm/yy 或 mmm, dd, yy。注意帐号在指定

日期开始时过期。月份可以是数字、全名或三个字母的简拼。年可以是两位或四位数，使用

逗号或斜线（不要用空格） 区分日期的各部分。如果省略 yy ，则使用该日期下一次到来的

年份（根据计算机的时钟）。例如如果在 1994 年 1 月 10 日到 1995 年 1 月 8 日之间输

入下列日期项，那它们相同：jan,9

1/9/95

january,9,1995

1/9

/fullname:"name"

指定用户全名而不是用户名。用引号将名字引住。

/homedir:path

设置用户宿主目录的路径。该路径必须存在。

/homedirreq:{yes | no}

设置是否需要宿主目录。

/passwordchg:{yes | no}

指定用户是否能改变自己的密码。默认值是 yes。

/passwordreq:{yes | no}

指定用户帐号是否需要密码，默认值是 yes。

/profilepath:[path]

设置用户登录配置文件的路径。该路径名指向注册表配置文件。

/scriptpath:path

为用户登录脚本设置路径。Path 不能是绝对路径；

path 是相对于 %systemroot%SYSTEM32REPLIMPORTSCRIPTS 的相对路径：。

/times:{times | all}

指定允许用户使用计算机的时间。times 值表示为 day[-day][, day[-day]] , time[-time

][, time[-time]], 增量限制为一小时。Days 可以是全名或简写（M、T、W、Th、F、Sa、S

u）。Hours 可以是 12 小时制或 24 小时制。对于 12 小时值，使用 AM、PM 或 A.M、P.M

。all 表示用户总可以登录。空值表示用户永远不能登录。用逗号分隔日期和时间，分隔时

间和日期的单位用分号（例如 M,4AM-5PM; T,1PM-3PM）。指定 /times 时不要使用空格。

/usercomment:"text "

让管理员添加或更改帐号的“用户注释”。用引号引住文字。

/workstations:{computername[,...] | *}

列出最多八个用户可以登录到网络的工作站。用逗号分隔列表中的多个项。如果 /workstat

ions 没有列表，或如果列表是星号“*”，则用户可以从任何一台计算机登录。

Net View

显示域列表、计算机列表或指定计算机的共享资源列表。

net view [\computername | /domain[:domainname]]

net view /network:nw [\computername]

参数

无

键入不带参数的 net view 将显示当前域的计算机列表。

\computername

指定要查看其共享资源的计算机。

/domain[:domainname]

指定要查看其可用计算机的域。如果省略 domainname ，则显示网络的所有域。

/network:nw

显示 NetWare 网络中所有可用的服务器。如果指定计算机名，则显示 NetWare 网络中该计

算机的可用资源。也可以用此开关指定添加到系统中的其他网络。

如何限制用户的权限和操作

立一个登录时间受限制的用户

用以下方法可实现对电脑使用时间的控制。比如，需要建立一个jiale的用户账号，密码为“123”，登录权限从星期一到星期五的早上八点到晚上十点和双休日的晚上七点到晚上九点。

1. 12小时制可键入如下命令：“net user jiale 123 /add /times:monday-friday,8AM-10PM;saturday-sunday,7PM-9PM”，回车确定即可。

2. 24小时制可键入如下命令：“net user jiale 123 /add /times:M-F,8:00-22:00;Sa-Su,19:00-21:00”，回车确定即可。

值得注意的是：Time的增加值限制为1小时。对于Day值，可以用全称或缩写（即 M、T、W、Th、F、Sa、Su）。可以使用12小时或24小时时间表示法。对于12小时表示法，请使用AM、PM或A.M.、P.M.。All值表示用户始终可以登录；空值（空白）意味着用户永远不能登录。用逗号分隔日期和时间，用分号分隔日期和时间单元（例如，M,4AM-5PM;T,1PM-3PM）。指定时间时不要使用空格。

另外，Passwordchg:{yes | no}参数可用来指定用户是否可以更改自己的密码，默认设置为 Yes。

限定用户的使用时间

Net User命令还可以使用参数Expires:{{mm/dd/yyyy | dd/mm/yyyy | mmm,dd ,yyyy} | never} 使用户账号根据指定的Date过期限定用户。过期日期可以是 [mm/dd/yyyy]、[dd/mm/yyyy] 或[mmm,dd,yyyy]格式。它取决于国家（地区）代码。用户账号在指定日期开始时到期。对于月份值，可以使用数字、全称或三个字母的缩写（即Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec）。对于年份值，可以使用两位数或四位数；使用逗号和斜杠分隔日期的各部分；不要使用空格。

例如：要限定用户账号John到2004年11月5日到期，可键入如下命令：“net user john /expires:Nov/5/2004”，回车确定即可。

攀达电脑监管专家 V2.5

主要用于中小学生家庭电脑以及网吧、机房和单位的上网电脑，一个运行在普通电脑上的集有害网站过滤、系统安全、上网和上机管理、操作监控、程序管理和预防病毒及黑客等功能为一体的安全防护软件。

1.反黄防害:网害卫士PandaIE可以对网页上出现的有害文字进行过滤，如果遇到色情、赌博、毒品、反动、暴力和恐怖的文字描写，网害卫士PandaIE将自动辨别，禁止打开此类网页使之不在屏幕上出现

2. 操作监控:网害卫士PandaIE自动对计算机的操作内容进行记录，记录对每一个打开过的窗口包括标题、摘要、所用软件及日期时间，作为操作日志以供日后追踪审查之用。

3.上网管理:能够控制上网时间，定义上网的时间段，灵活实现在什么时间可以上网和上多长时间的网。

4.上机管理:能够控制上机时间，定义上机的时间段，灵活实现在什么时间可以上机和上多长时间的机。

5.程序管理:程序控制的方案有三种：允许运行任何软件、指定要禁止的软件、只允许运行的软件。

6.预防病毒黑客和木马:若采用只允许运行的软件方案，那么可以预防已知和未知病毒进入电脑，即便进入了电脑也不能发作。

7.系统设置:禁止\"控制面板\"以防系统配置被修改、隐藏“网络邻居”以防网络配置被修改、禁止运行DOS模式、禁止修改系统注册表、禁止资源管理器和上网浏览器等

8、系统时间防改:在[系统设置]模块中，选中[禁止控制面板]和隐藏系统时间图标(对win98/me必要)，可以防止系统时间被修改；

9、反卸载功能:本软件具有很强的自我保护功能，没有超级密码，无法试图关闭或卸载