ITKE成員BillBald提出了這個(gè)問(wèn)題：

　　我需要重新整理使用Windows Server 2003和Windows XP專業(yè)版的網(wǎng)絡(luò)。雖然有可能登錄到駐留在服務(wù)器上的域（domain），但是用戶通常不登錄到這個(gè)域。相反，他們使用服務(wù)器所不知道的用戶名登錄到本地計(jì)算機(jī)上。通過(guò)在快捷方式和在腳本中使用服務(wù)器的IP地址，未經(jīng)授權(quán)的用戶可以訪問(wèn)存儲(chǔ)在服務(wù)器上的文件。我認(rèn)為，服務(wù)器允許未經(jīng)授權(quán)的訪問(wèn)，這在一定程度上就喪失了安全性。我不確定是否會(huì)出現(xiàn)這樣的事情，但我最近發(fā)現(xiàn)路由器正被用作動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)器，而非用于運(yùn)行Win2003。誰(shuí)可以提出一種方法來(lái)強(qiáng)制用戶登錄到域，從而阻止這種未經(jīng)授權(quán)的行為呢？

　　ITKE成員lerandell的回答：

　　這聽起來(lái)好像是所有的系統(tǒng)由相同的用戶名和密碼創(chuàng)建。我傾向于相信他們使用的是“管理員”用戶名。如果“管理員”帳戶存儲(chǔ)在兩臺(tái)計(jì)算機(jī)上，并且?guī)舻拿艽a是“p@ssw0rd，”那么每個(gè)客戶都可以使用另外一個(gè)網(wǎng)絡(luò)帳戶。為了制止這種情況，將本地管理員帳戶更改為一些用戶不會(huì)知道的名稱。這很容易做到，只需修改分組策略(Group Policies)。這還需要更改域控制器和工作站的帳戶，這將迫使每個(gè)人都使用給其指定的域用戶帳戶。此外，如果你想跟蹤試圖訪問(wèn)該帳戶的用戶，那么創(chuàng)建一個(gè)虛假的、不可用的管理員帳戶并使用它來(lái)達(dá)到安全登錄的目的。

　　ITKE成員Guardian的回答：

　　我會(huì)檢查域安全策略和本地安全策略。確保每個(gè)已經(jīng)進(jìn)入到域的用戶權(quán)限并沒(méi)有受到限制。用戶必須經(jīng)過(guò)身份驗(yàn)證才能訪問(wèn)域和資源。其中大多數(shù)操作你可以在管理工具中找到。刪除工作組電腦，就像在XP的家庭版中進(jìn)行操作一樣（鍵入你的域名系統(tǒng)（DNS）后綴，然后選擇“更改DNS后綴”）。

　　ITKE成員dwiebesick的回答：

　　要限制本地登錄，你可以使用組策略。在組策略下有可以使用的安全設(shè)置，計(jì)算機(jī)可以在本地配置windows設(shè)置安全性、設(shè)置本地用戶權(quán)限和分配方法，這些你都可以通過(guò)閱讀微軟知識(shí)庫(kù)（Knowledge Base）中編號(hào)為823659的文章進(jìn)行了解。

　　你還可以更改新技術(shù)文件系統(tǒng)（New Technology File System ，NTFS）的安全設(shè)置來(lái)控制最終用戶可以訪問(wèn)哪些文件和文件夾。對(duì)它進(jìn)行設(shè)置后，只有通過(guò)身份驗(yàn)證的用戶才可以訪問(wèn)你認(rèn)為是適當(dāng)?shù)氖跈?quán)域。

　　如果你知道用戶正在使用的用戶名和密碼，那你需要對(duì)它進(jìn)行修改。如果你是本地計(jì)算機(jī)的管理員帳戶，可以使用腳本輕易地更改它們。

　　ITKE成員astronomer的回答：

　　看來(lái)好像你有一個(gè)像工作組那樣工作的域。如果你有權(quán)限，那么你可以創(chuàng)建一個(gè)與本地帳戶不同名的域帳戶。然后，禁用任何域帳戶（或者至少更改密碼），這常被用來(lái)實(shí)現(xiàn)域安全，并強(qiáng)制用戶使用他們自己的域帳戶。你需要確保的是，用戶使用他們自己的域帳戶來(lái)獲取服務(wù)器上所需的資源。

　　但是，請(qǐng)記住，我假設(shè)工作站都是域的成員。一旦用戶開始使用域帳戶進(jìn)行登錄，那么需要開始使用組策略來(lái)對(duì)他們進(jìn)行管理。

　　為了準(zhǔn)確起見，使用什么設(shè)備作為DHCP的服務(wù)器是無(wú)關(guān)緊要的，只要它為你的環(huán)境提供適當(dāng)?shù)牡刂泛瓦x項(xiàng)即可。對(duì)于單一子網(wǎng)來(lái)說(shuō)，使用路由器應(yīng)該是一個(gè)合理的選擇。由于它沒(méi)有硬盤驅(qū)動(dòng)器，所以可能會(huì)比服務(wù)器更加可靠。

　　ITKE成員DaJackal的回答：

　　以下是我對(duì)這一問(wèn)題可能采取的做法。首先，轉(zhuǎn)到：開始“>程序”>管理工具“>域控制器安全策略。然后，進(jìn)一步設(shè)置安全選項(xiàng)。

　　下一步，驗(yàn)證如下的兩個(gè)項(xiàng)目：

　　網(wǎng)絡(luò)訪問(wèn)：允許“每個(gè)人”的權(quán)限適用于匿名用戶--->禁用
　　網(wǎng)絡(luò)訪問(wèn)：不允許存儲(chǔ)區(qū)管理（SAM）帳戶和共享的匿名枚舉--->啟用。
　　選擇這兩個(gè)選項(xiàng)，就應(yīng)該能夠正確處理匿名訪問(wèn)的問(wèn)題。

　　***，我會(huì)驗(yàn)證用戶正在登錄的本地帳戶是否不同于你的域或本地域控制器中的帳戶。如果你樂(lè)意，這些用戶名可以是相同的，但你必須確保密碼是不同的，并且用戶不知道密碼是什么。因此，如果用戶名是相同的，該域?qū)⑻崾舅麄冚斎朊艽a。不幸的是，Windows僅確認(rèn)用戶名，而不驗(yàn)證的安全標(biāo)識(shí)符（SID）。但按照這些步驟，你應(yīng)該能夠解決服務(wù)器未經(jīng)授權(quán)訪問(wèn)的問(wèn)題。