window 2003文档的后缀名是_

1.win2003中不用的组件或别的！

2.Win2003操作系统的核心服务

3.window server 2003中mssdmn.exe是什么进程啊.占50%的cpu,求高人解决

4.word2003在开始菜单里找不到了

5.Word文档无法正常打开解决方法

6.win2003 是64位系统吗

因为Windows 7 从Beta版到之后发布的稳定版本，与之前其他版本的操作系统之间会出现一些较异常的问题。

解决方法

首先，我们先确认防火墙是否阻止网络共享，“控制面板-系统和安全-windows防火墙-允许的程序里打开了文件和打印机共享；”。

其次，“本地安全策略”，将“网络安全：LAN管理器身份验证级别”项的值“没有定义”改为“发送LM & NTLM响应”；

最后，经过这样的修改后，windows 7就可以成功访问网络共享了

://support.microsoft/kb/823659

网络安全：Lan Manager 身份验证级别

背景

LAN Manager (LM) 身份验证是用于验证 Windows 客户端以进行网络操作（包括域加入、访问网络以及用户或计算机身份验证）的协议。LM 身份验证级别可确定在客户端和服务器计算机之间协商哪个质询/响应身份验证协议。确切地说，LM 身份验证级别可确定客户端会尝试协商或服务器会接受哪些身份验证协议。设置的 LmCompatibilityLevel 值可确定将哪种质询/响应身份验证协议用于网络登录。该值会影响客户端使用的身份验证协议级别、协商的会话安全级别以及服务器接受的身份验证级别，具体请参见下表。

可能的设置包括以下内容。

收起该表格展开该表格

值 设置 说明

0 发送 LM 和 NTLM 响应 客户端使用 LM 和 NTLM 身份验证而从不使用 NTLMv2 会话安全；域控制器接受 LM、NTLM 和 NTLMv2 身份验证。

1 发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全 客户端使用 LM 和 NTLM 身份验证并使用 NTLMv2 会话安全（如果服务器支持）；域控制器接受 LM、NTLM 和 NTLMv2 身份验证。

2 仅发送 NTLM 响应 客户端只使用 NTLM 身份验证并使用 NTLMv2 会话安全（如果服务器支持）；域控制器接受 LM、NTLM 和 NTLMv2 身份验证。

3 仅发送 NTLMv2 响应 客户端只使用 NTLMv2 身份验证并使用 NTLMv2 会话安全（如果服务器支持）；域控制器接受 LM、NTLM 和 NTLMv2 身份验证。

4 仅发送 NTLMv2 响应/拒绝 LM 客户端只使用 NTLMv2 身份验证并在服务器支持时使用 NTLMv2 会话安全。域控制器拒绝 LM，而只接受 NTLM 和 NTLMv2 身份验证。

5 仅发送 NTLMv2 响应/拒绝 LM 和 NTLM 客户端只使用 NTLMv2 身份验证并使用 NTLMv2 会话安全（如果服务器支持）；域控制器拒绝 LM 和 NTLM（它们只接受 NTLMv2 身份验证）。

注意：在 Windows 95、Windows 98 和 Windows 98 Second Edition 中，目录服务客户端在通过 NTLM 身份验证向 Windows Server 2003 服务器验证身份时使用 SMB 签名。但是，目录服务客户端在通过 NTLMv2 身份验证向这些服务器验证身份时并不使用 SMB 签名。另外，Windows 2000 服务器不响应来自这些客户端的 SMB 签名请求。

检查 LM 身份验证级别 必须更改服务器上的策略以允许使用 NTLM，或者必须配置客户端计算机以支持 NTLMv2。

如果要连接到的目标计算机上的策略设置为“(5) 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”，那么必须降低该计算机上的设置，或者对安全性进行设置使其与要从中进行连接的源计算机的设置相同。

找到可以更改 LAN Manager 身份验证级别的正确位置，以便将客户端和服务器设置为同一级别。找到设置 LAN Manager 身份验证级别的策略后，如果您希望与运行较早版本 Windows 的计算机建立连接，请将该值至少降低到“(1) 发送 LM 和 NTLM - 若协商则使用 NTLMv2 会话安全”。不兼容设置的一个结果便是：如果服务器需要 NTLMv2（值 5），但客户端配置为仅使用 LM 和 NTLMv1（值 0），则尝试身份验证的用户会因使用了无效密码而无法登录，同时会因此增加无效密码计数。如果配置了帐户锁定，则可能最终会锁定该用户。

例如，您可能必须查看域控制器，或者查看域控制器的策略。

查看域控制器

注意：您可能必须在所有域控制器上重复以下过程。

单击“开始”，指向“程序”，然后单击“管理工具”。

在“本地安全设置”下，展开“本地策略”。

单击“安全选项”。

双击“网络安全:LAN Manager 身份验证级别”，然后单击列表中的适当值。

如果“有效设置”与“本地设置”相同，则表明已在此级别上更改了策略。如果这两个设置不同，则必须检查域控制器的策略以确定是否在此处定义了“网络安全:LAN Manager 身份验证级别”设置。如果未在此处定义，请查看域控制器的策略。

查看域控制器的策略

单击“开始”，指向“程序”，然后单击“管理工具”。

在“域控制器安全”策略中，展开“安全设置”，然后展开“本地策略”。

单击“安全选项”。

双击“网络安全:LAN Manager 身份验证级别”，然后单击列表中的适当值。

注意

您可能还必须检查在网站级别、域级别或组织单位 (OU) 级别链接的策略，以确定必须配置 LAN Manager 身份验证级别的位置。

如果将某一组策略设置作为默认域策略来执行，则该策略将应用于域中的所有计算机。

如果将某一组策略设置作为默认域控制器的策略来执行，则该策略仅适用于域控制器的 OU 中的服务器。

最好在策略应用程序层次结构中所需范围的最低实体中设置 LAN Manager 身份验证级别。

请在进行更改后刷新该策略。（如果更改是在本地安全设置级别进行的，则此更改会立即生效。但是，在进行测试之前必须重新启动客户端。）

默认情况下，组策略设置在域控制器上每 5 分钟更新一次。要在 Windows 2000 或更高版本上立即强制更新策略设置，请使用 gpupdate 命令。

gpupdate /force 命令可更新本地组策略设置和基于 Active Directory 目录服务的组策略设置，包括安全设置。此命令取代了现已过时的 secedit 命令的 /refreshpolicy 选项。

gpupdate 命令使用以下语法：

gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]

通过使用 gpupdate 命令手动重新应用所有策略设置，可以应用新的组策略对象 (GPO)。为此，请在命令提示符处键入以下内容，然后按 Enter：

GPUpdate /Force

查看应用程序日志以确保成功应用了策略设置。

在 Windows XP 和 Windows Server 2003 上，可以使用“策略的结果集”管理单元来查看有效设置。为此，请单击“开始”，单击“运行”，键入 rsop.msc，然后单击“确定”。

如果对策略进行更改后问题仍然存在，请重新启动基于 Windows 的服务器，然后验证问题是否已解决。

注意：如果您有多台基于 Windows 2000 的域控制器和/或多台基于 Windows Server 2003 的域控制器，则可能必须复制 Active Directory 以确保这些域控制器能够立即获得更新的更改。

或者，该设置可能看起来像被设置为本地安全策略中的最低设置。如果可以通过安全数据库进行设置，则还可以通过在注册表中编辑以册表子项中的 LmCompatibilityLevel 项来设置 LAN Manager 身份验证级别：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Windows Server 2003 有一个仅使用 NTLMv2 的新默认设置。默认情况下，基于 Windows Server 2003 和基于 Windows 2000 Server SP3 的域控制器已启用“Microsoft 网络服务器:数字签名的通信(总是)”策略。此设置要求 SMB 服务器执行 SMB 数据包签名。 已经对 Windows Server 2003 进行了更改，原因是任何组织中的域控制器、文件服务器、网络结构服务器和 Web 服务器均要求用不同的设置，以最大程度地提高其安全性。

如果您想在网络中实施 NTLMv2 身份验证，请一定要确保将域中的所有计算机都设置为使用此身份验证级别。如果对 Windows 95 或 Windows 98 以及 Windows NT 4.0 应用了 Active Directory Client Extension，则此客户端扩展将使用 NTLMv2 中提供的改进的身份验证功能。 因为运行以下任何操作系统的客户端计算机都不受 Windows 2000 组策略对象的影响，所以您可能需要手动配置这些客户端：

Microsoft Windows NT 4.0

Microsoft Windows Millennium Edition

Microsoft Windows 98

Microsoft Windows 95

注意：如果启用了“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”策略或设置了“NoLMHash”注册表项，则未安装目录服务客户端的 Windows 95 和 Windows 98 客户端在密码更改后将无法登录到域。

许多第三方 CIFS 服务器（如 Novell Netware 6）都无法识别 NTLMv2 而只使用 NTLM。因此，高于 2 的级别都不允许进行连接。

有关如何手动配置 LAN Manager 身份验证级别的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

147706 (://support.microsoft/kb/147706/ ) 如何在 Windows NT 上禁用 LM 身份验证

175641 (://support.microsoft/kb/175641/ ) LMCompatibilityLevel 及其效果

299656 (://support.microsoft/kb/299656/ ) 如何阻止 Windows 在 Active Directory 和本地 SAM 数据库中存储密码的 LAN Manager 哈希

312630 (://support.microsoft/kb/312630/ ) Outlook 不断提示您提供登录凭据

有关 LM 身份验证级别的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

239869 (://support.microsoft/kb/239869/ ) 如何启用 NTLM 2 身份验证

危险配置

以下是有害的配置设置：

以明文形式发送密码和拒绝 NTLMv2 协商的非限制性设置

阻止不兼容的客户端或域控制器协商通用身份验证协议的限制性设置

要求在运行早于 Windows NT 4.0 Service Pack 4 (SP4) 版本的成员计算机和域控制器上进行 NTLMv2 身份验证

要求在未安装 Windows 目录服务客户端的 Windows 95 客户端或 Windows 98 客户端上进行 NTLMv2 身份验证。

在基于 Windows Server 2003 或 Windows 2000 Service Pack 3 的计算机上，如果单击以选中 Microsoft 管理控制台“组策略编辑器”管理单元中的“要求 NTLMv2 会话安全”复选框，并将 LAN Manager 身份验证级别降为 0，那么这两项设置将发生冲突，并且您可能会在 Secpol.msc 文件或 GPEdit.msc 文件中收到以下错误消息：

Windows 无法打开本地策略数据库。打开数据库时出现了一个未知错误。

有关安全配置和分析工具的更多信息，请参见 Windows 2000 或 Windows Server 2003“帮助”文件。

有关如何在 Windows 2000 和 Windows Server 2003 上分析安全级别的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

313203 (://support.microsoft/kb/313203/ ) 如何在 Windows 2000 中分析系统安全

816580 (://support.microsoft/kb/816580/ ) 如何在 Windows Server 2003 中分析系统安全

修改此设置的原因

您想要提高组织中客户端和域控制器支持的最低的通用身份验证协议。

在业务需要安全的身份验证的情况下，您希望禁止对 LM 和 NTLM 协议的协商。

禁用此设置的原因

已将客户端或服务器身份验证要求（或两者同时）提高到了通过通用协议也无法进行身份验证的程度。

符号名称：

LmCompatibilityLevel

注册表路径：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

兼容性问题的示例

Windows Server 2003：默认情况下，Windows Server 2003 NTLMv2 的“发送 NTLM 响应”设置已启用。因此，在初始安装后，当您尝试连接到基于 Windows NT 4.0 的群集或基于 LanManager V2.1 的服务器（如 OS/2 Lanserver）时，Windows Server 2003 将收到“Access Denied”错误消息。在尝试从较早版本的客户端连接到基于 Windows Server 2003 的服务器时，也会发生此问题。

应该安装 Windows 2000 安全汇总包 1 (SRP1)。SRP1 会强制使用 NTLM 版本 2 (NTLMv2)。此汇总包是在 Windows 2000 Service Pack 2 (SP2) 之后发布的。有关 SRP1 的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

311401 (://support.microsoft/kb/311401/ ) 2002 年 1 月版 Windows 2000 安全累积软件包 1 (SRP1)

即使 Microsoft Outlook 客户端已经登录到域，这些客户端也可能会收到要求提供凭据的提示。用户提供凭据后，将收到下面的错误消息：

The logon credentials supplied were incorrect.Make sure your username and domain are correct, then type your password again.

即使将“登录网络安全性”设置设为“Passthrough”或“密码验证”，您也可能会在启动 Outlook 时收到要求提供凭据的提示。键入正确的凭据后，可能会收到下面的错误消息：

The login credentials supplied were incorrect.

网络监视器跟踪可能会显示全局编录发出的远程过程调用 (RPC) 失败，状态为 0x5。状态 0x5 表示“拒绝访问”。

Windows 2000：网络监视器捕获功能可能会在 TCP/IP 上的 NetBIOS (NetBT) 服务器消息块 (SMB) 会话期间显示以下错误：

SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier

Windows 2000：如果具有 NTLMv2 级别 2 或更高级别的 Windows 2000 域受到 Windows NT 4.0 域的信任，则域中基于 Windows 2000 的成员计算机可能会遇到身份验证错误。

有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

305379 (://support.microsoft/kb/305379/ ) 在 Windows NT 4.0 域中具有高于 2 的 NTLM 2 级别的 Windows 2000 中出现身份验证问题

Windows 2000 和 Windows XP：默认情况下，Windows 2000 和 Windows XP 将“LAN Manager 身份验证级别本地安全策略”选项设置为 0。设置为 0 表示“发送 LM 和 NTLM 响应”。

注意：基于 Windows NT 4.0 的群集必须使用 LM 才能进行管理。

Windows 2000：如果两个节点都是 Windows NT 4.0 Service Pack 6a (SP6a) 域的一部分，则 Windows 2000 群集不能对一个加入节点进行身份验证。

有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

305379 (://support.microsoft/kb/305379/ ) 在 Windows NT 4.0 域中具有高于 2 的 NTLM 2 级别的 Windows 2000 中出现身份验证问题

IIS Lockdown Tool (HiSecWeb) 将 LMCompatibilityLevel 的值设为 5，并将 RestrictAnonymous 的值设为 2。

Macintosh 服务

User Authentication Module (UAM)：Microsoft UAM (User Authentication Module) 提供了一种对登录到 Windows AFP (AppleTalk Filing Protocol) 服务器所使用的密码进行加密的方法。Apple User Authentication Module (UAM) 仅提供最简单的加密或者根本不加密。因此，在 LAN 或 Internet 上，您的密码很容易被截获。虽然没有要求 UAM，但它确实可以为运行 Macintosh 服务的 Windows 2000 服务器提供加密的身份验证。此版本包括对 NTLMv2 128 位加密身份验证和与 MacOS X 10.1 兼容的版本的支持。

默认情况下，Windows Server 2003 Services for Macintosh 服务器仅允许使用 Microsoft 身份验证。

有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

834498 (://support.microsoft/kb/834498/ ) Macintosh 客户端无法连接到 Windows Server 2003 上的 Mac 服务

838331 (://support.microsoft/kb/838331/ ) Mac OS X 用户无法打开基于 Windows Server 2003 服务器上的 Macintosh 共享文件夹

Windows Server 2008、Windows Server 2003、Windows XP 和 Windows 2000：如果将 LMCompatibilityLevel 值配置为 0 或 1，然后将 NoLMHash 值配置为 1，则可能会拒绝应用程序和组件通过 NTLM 进行访问。此问题是由于计算机被配置为启用 LM 而非使用 LM 存储的密码造成的。

如果将 NoLMHash 值配置为 1，则必须将 LMCompatibilityLevel 值配置为 2 或更大的值。

win2003中不用的组件或别的！

全面优化配置Windows2003

一、跳过磁盘检修等待时间

一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会花10秒钟左右的时间，来运行磁盘扫描程序，检查磁盘是否有错误出现。要是你是一位惜时如金的人，肯定不会白白等待下去的。那就跟我一起来，跳过这段检查等待时间吧：

1、在开始菜单中，依次执行“程序”/“附件”/“命令提示符”命令，将界面切换到DOS命令行状态下；

2、直接输入“CHKNTFS/T :0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了；

3、下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。

二、取消对网站的安全检查

新安装好Windows Server

2003操作系统后，打开浏览器来查询网上信息时，发现IE总是“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；要是不信任的话，就无法打开指定网页；倘若信任的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。不过每次访问网页，都要经过这样的步骤，显然就太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查：

1、依次执行“开始”/“设置”/“控制面板”命令，在打开的控制面板窗口中，用鼠标双击“添加和删除程序”图标，将界面切换到“添加和删除Windows组件”页面中；

2、用鼠标选中“Internet Explorer增强的安全配置”选项，继续单击下一步按钮，就能将该选项从系统中删除了；

3、再单击一下“完成”按钮，退出组件删除提示窗口。

以后，再上网的时候，IE就不会自动去检查网站的安全性了，这样就能少了不少麻烦。

三、自动进入Windows Server 2003系统

每次开机运行Windows Server

2003系统时，都需要同时按住Ctrl+Alt+Delete复合键，再输入登录密码，才能进入到系统中；要是需要频繁登录系统的话，大家可能就会受不了这样罗嗦的步骤了。此时，大家不妨按照下面的步骤，来让系统自动完成登录操作：

1、在运行对话框中，输入注册表编辑命令regedit，来打开注册表编辑窗口；

2、在该窗口中，依次展开HKEY_LOCAL_MACHINES\SOFTWARE\Microsoft\WindowsNT\Current Version\WinLogon键值；

3、在对应右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“AutoAdminLogon”，并将该键名的数值设置为“1”；

4、找到“DefaultDomainName”键名，并用鼠标双击之，在随后出现的窗口中，输入要登录的域名，例如Department；

5、双击“DefaultUserName”键名，在随后打开的窗口中，直接输入要登录到此域的用户名，例如“test”；

6、在WinLogon右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“DefaultPassword”，并将该键名的数值设置为用户登录系统的密码，例如用户test的登录密码为“123456”；

7、完成设置后，重新启动计算机时，我们会发现不需要再登录，就能自动进入到Windows Server 2003系统中了。以后要取消自动登录功能的话，可以将“AutoAdminLogon”键值设置为“0”就可以了。

四、取消关机原因的提示

在关闭Windows Server

2003操作系统时，系统会弹出一个提示窗口，要求大家选择关闭计算机的原因选项；尽管这种方法可以增强系统的安全性，确保用户更有效地管理和维护计算机；不过每次关机或者重新启动系统，都要选择关机原因，实在没有必要。所以，为了进快地关闭计算机，大家可以按下面步骤来取消关机原因的提示：

1、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面；

2、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框；

3、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机；

4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。

五、调用Windows XP风格界面

安装完Windows Server

2003系统进入到桌面时，我们会发现系统桌面的显示样式为“Windows经典样式”。看惯了这种样式后，就会感觉到有点乏味，想不想改变一下桌面的显示风格？要是你企图通过显示属性的外观设置中，来调用其他风格界面时，就发现此“路”不通；通过组策略来调用时，发现只有当前样式可以选择。那么我们有没有办法来调用其他风格样式呢，例如Windows

XP样式？按照下面方法，我们就能轻松实现调用目的：

1、在系统的开始菜单中，依次展开控制面板、管理工具和服务窗口，在对应服务的右边子窗口中，用鼠标选中“Themes”选项；

2、仔细查看该选项的参数时，发现该服务在缺省状态下是被禁止使用的，因此我们就无法调用其他风格样式；

3、为此，我们必须启动该服务；用鼠标双击该服务选项，然后打开常规标签页，将对应该服务的启动类型设置为“自动”，再点一下“应用”按钮；

4、此时，“服务状态”设置项中的“启动”按钮就自动被激活了，单击该“启动”按钮，就能将系统中的Themes服务起用了；

5、返回到系统桌面，并用鼠标右键单击空白处，从快捷菜单中执行“属性”命令，再打开外观标签页面，在其中的“窗口和按钮”处，选中Windows XP样式或者其他显示样式。

6、至此，系统中的工具栏菜单、窗口等样式就会按照指定的风格来显示了。

六、调整Windows Media Player的播放模式

要是在使用Windows Media

Player播放音乐的同时，我们还打开了多个工作窗口，这样我们就会经常需要在工作窗口和WMP播放界面中来回切换，这样会大大影响工作效率。现在，可以通过下面方法来调整WMP的播放模式，让操作者不需要打开WMP的主界面就能控制音乐的播放，以便不影响其他工作窗口：

1、用鼠标右键单击系统任务栏中的空白处，从打开的快捷菜单中，执行“工具栏”下面的“Windows Media Player”命令；

2、此后，Windows Media

Player界面中的播放按钮就会自动缩小并显示在系统任务栏中了，利用这里的按钮，我们就能执行音乐的播放、暂停、上一首或者下一首命令了；

3、通过这种调整，我们再也用不着手忙脚乱地在程序窗口和WMP播放界面中，来回切换了。

七、为指定组添加新用户

想在Windows Server 2003系统中添加新用户时，发现该系统控制面板窗口中却没有我们非常熟悉的“用户”图标，那么我们该从哪里着手，才能为系统的指定组添加新用户呢？呵呵，Windows

Server 2003看来就是不一样！笔者经过几次摸索，发现为指定组添加新用户的方法，具体步骤如下：

1、用鼠标右键单击桌面上的“我的电脑”图标，从打开的快捷菜单中，执行“管理”命令，弹出一个计算机管理窗口；

2、展开该窗口中的“本地用户和组”文件夹，然后选中该文件夹下面的“用户”选项，此时在右边的子窗口中，我们就能看到当前系统中已经存在的所有用户了，其中标有红色叉号的用户表示已经创建但并没有启用；

3、用鼠标右键单击右边子窗口的空白处，从右键菜单中执行“添加新用户”命令，在随后出现的窗口中，输入需要添加的用户的相关信息，最后单击一下“创建”按钮，来结束新用户的添加工作；

4、要想让该用户添加到指定组的话，可以选择“组”选项，再从右边的子窗口中，选中需要加入的组名称，并用鼠标右击之，执行快捷菜单中的“添加到组”命令；

5、在随后出现的界面中，再单击“添加”命令，将前面创建的用户添加进来就可以了。

八.禁用配置服务器向导

由于不需要服务器设置功能，首先我们先禁止“配置你的服务器”（Manage Your Server）向导的出现，你可以在控制面板（Control Panel） -> 管理员工具（Administrative Tools ）-> 管理你的服务器（Manage Your Server）运行它，然后在窗口的左下角复选“登录时不要显示该页”（Don''t display this page at logon）。

九.建立一个新的用户账号

windows server 2003不支持类似于Windows

XP的登录欢迎屏幕。你可以在首次进入系统后建立一个有你个性的新用户账号。

打开“开始”（Start） -> “运行”（Run） -> 键入“lusrmgr.msc ”，你将看到本地用户和组（Local Users and Groups ），

右键点击左边窗口的“用户”（Users），选择“新用户”（New User）.在弹出的对话框中输入账号信息,然后点击“建立”（Great）。这样你的账号就可用了，当然，你可以选择把你的账号添加到管理员组，右键点击你新建的用户。然后选择“属性”（Properties）

-> 点击“隶属于” on Member of tab -> “添加”Add.. -> “高级”Advanced -> “现在查找”Find Now 。

在查找结果对话框中双击“管理员”（Administrators），在点击两次“确定”（Ok）后关闭“本地用户和组”（Local Users and Groups window ），现在你将可以注销Administrator用户用你自己的账号登录系统。

十.禁用Internet Explorer Enhanced Security

作为新windows组件出现的IE安全插件－－Internet Explorer Enhanced urity默认把你IE安全设置为最高。这样你将在访问站点弹出询问框并对你浏览网页及文件下载做出阻止的行为。我们其实不一定需要这个组件。

我们首先禁止询问框的出现,在弹出的对话框中复选”以后不要显示这个信息“ （In the future, do not show this message）然后，我们可以在IE工具选项中自定义设置IE的安全级别。在”安全“（Security）选项卡上拉动滚动条把Internet区域安全设置为”中“（Medium），这个级别将适合大多数人，要是你有特别要求，这个步骤将不适合你。

通过对IE安全的设置，你现在安装可以上Sun''s Ja VM!

当然，你甚至可以在控制面板－－添加程序－－添加或删除Windows组件中卸载Internet Explorer Enhanced Security 。

十一.安装Ja VM

Windows server 2003没有集成MS Ja VM或Sun Ja VM,你可以自行下载并安装它。

十二.禁止关机跟踪

关机跟踪（Shutdown Event Tracker）也是Windows server

2003区别于其他工作站系统的一个设置，对于服务器来说这是一个必要的选择，但是对于工作站系统却没什么用，我们同样可以禁止它。

打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates）-> ”系统“（System）,在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于windows 2000的关机窗口

十三.启用硬件和DirectX加速

★硬件加速：桌面点击右键－－属性（Properties） -> 设置（Settings ）－－高级（ Advanced）－－疑难解答（Troubleshoot）。把该页面的硬件加速滚动条拉到“完全”（Full），最好点击“确定”（OK）保存退出。这期间可能出现一瞬的黑屏是完全正常。

★DirectX加速：打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX

诊断工具”（DirectX Tools），在“显示”（Display）页面，点击DirectDraw, Direct3D and P

Texture 加速三个按钮启用加速。

Win2003操作系统的核心服务

我就是按照下面的设置的：

－－－－－－－－－－－－－－－－－－

1.禁用配置服务器向导:

禁止“配置你的服务器”（Manage Your Server）向导的出现：在控制面板（Control Panel） -> 管理员工具（Administrative Tools ）-> 管理你的服务器（Manage Your Server）运行它，然后在窗口的左下角复选“ 登录时不要显示该页”（Don't display this page at logon）。

2.启用硬件和DirectX加速

★硬件加速：桌面点击右键－－属性（Properties） -> 设置（Settings ）－－高级（ Advanced ）－－疑难解答（Troubleshoot）。把该页面的硬件加速滚动条拉到“完全”（ Full），最好点击“确定”（OK）保存退出。这期间可能出现一瞬的黑屏是完全正常。

★DirectX加速：打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“显示”（Display）页面，点击DirectDraw, Direct3D and P Texture 加速三个按钮启用加速。把“声音的硬件加速级别”（Hardware Sound Acceleration Level）滚动条拉到“完全加速”（ Full Acceleration）。

3. 启用声卡：

系统安装后，声卡是禁止状态，所以要在 控制面板 -> 声音 -> 启用，重启之后再设置它在任务栏显示。如果你使用的是Windows server 2003标准版请从第二步xx作，因为标准版已允许声音服务。

★打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“Windows Audio”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic）， 并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

★打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具” （DirectX Tools），在“Sound”（Display）页面，把“声音的硬件加速级别” （Hardware Sound Acceleration Level）滚动条拉到“完全加速”（ Full Acceleration）。

4. 如何启用 ASP 支持：

Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6， 还需要单独开启对于 ASP 的支持。方法是： 控制面板 -> 管理工具 -> Web服务扩展 -> Active Server Pages -> 允许。

5. 如何启用 XP 的桌面主题：

★打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，选themes“主题”（默认是禁止的），然后改为“自动”，按“应用”，选“开启”。

★接着点“桌面”的属性，在“主题”里选“windows xp”

★我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影

6. 禁止关机时出现的关机理由选择项：

关机跟踪（Shutdown Event Tracker）也是Windows server 2003区别于其他工作站系统的一个设置，对于服务器来说这是一个必要的选择，但是对于工作站系统却没什么用，我们同样可以禁止它。 打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分， 选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates ） -> ”系统“（System）,在右边窗口双击“(显示“关闭跟踪程序”）Shutdown Event Tracker” 在出现的对话框中选择“禁止” （Disabled），点击然后“确定”（OK）保存后退出，这样，你将看到类似于windows 2000的关机窗口

7. 如何使用USB硬盘、U盘，添加已经有分区的硬盘

我的电脑（单击右键）----管理----磁盘管理-----在相应的硬盘上执行导入和分配盘符操作

8. 在控制面板里显示全部组件：

把 Windows\inf 目录中的 sysoc.inf 文件里的 "hide" 替换掉。

9.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现在IE工具选项中自定义设置IE的安全级别。在”安全“（Security）选项卡上拉动滚动条把Internet区域安全设置为”中“（Medium）或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。

10. 禁用开机 CTRL+ALT+DEL和实现自动登陆

★方法1：打开注册表(运行->“Regedit”)，再打开:

HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段，在此段中按右键，新建二个字符串段，AutoAdminLogon=“1”，DefaultPassword=“为超级用户Administrator所设置的Password”。注意，一定要为Administrator设置一个密码，否则不能实现自启动。 然后，重新启动Windows即可实现自动登录。

★方法2：管理工具 -> Local Security Settings（本地安全策略） -> 本地策略 -> 安全选项 -> interactive logon: Do not require CTRL+ALT+DEL，启用之。

★方法3（自动登陆）：使用Windows XP的Tweak UI来实现Server 2003自动登陆。

下载：Tweak UI

下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名（如果没有就不写），点击下面的Set Password，输入用户名的密码，然后点击OK。

11.隐藏文件

Windows Server 2003默认情况下是显示所有的文件夹的，如果你不想这样，可以通过一下方法来隐藏：打开任意一个文件夹，选择工具（Tools） -> 文件夹选项（Folder Options） -> 查看（View）， 调整 显示系统文件夹的内容、隐藏受保护的操作系统文件、隐藏文件和文件夹 三项

12.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务

.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务★如你希望启用Windows内置的IMAPI CD-Burning服务。做如下xx作：打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“IMAPI CD-Burning COM Service ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

★如你有如数码相机和扫描仪之类的影像设备，你应该打开Windows Image Acquisition 服务。打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“Windows Image Acquisition (WIA) ”并双击它，然后在启动模式（startup type ）的下拉

菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

13.高级设置

★我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。

右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）－－设置（Setting）－－高级（Advanced），把“处理器”（Processor scheduling ）和内存使用（Memory usage）分配给“程序”（Programs）使用。然后点击“确定”（OK.）

★禁用错误报告

右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－点击“错误报告”（Error Reporting ）按钮，在出现的窗口中把“禁用错误报告”（Disable Error Reporting）选上并复选“ 但在发生严重错误时通知我”

（But, notify me when critical errors occur.）

★调整虚拟内存

一些朋友经常会对关机和注销缓慢感到束手无策，解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）－－设置（Setting）－－高级（Advanced），点击“虚拟内存”（Virtual memory）部分的“更改”（Change），然后在出现的窗口选择“无分页文件”。重启系统即可。

14.加快启动和运行速度

★修改注册表，减少预读取，减少进度条等待时间：

开始→运行→regedit启动注册表编辑器，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session

Manager\Memory Management\PrefetchParameters， 有一个键值名为EnablePrefetcher，它的值是3,把它改为“1”或“5”。找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control， 将 WaitToKillServiceTimeout 设为：1000或更小。 ( 原设定值：20000

找到 HKEY_CURRENT_USER\Control Panel\Desktop 键，将右边视窗的WaitToKillAppTimeout 改为 1000， ( 原设定值：20000 即关闭程序时仅等待1秒。将 HungAppTimeout 值改为：200( 原设定值：5000 ， 表示程序出错时等待0.5秒。

打开注册表 HKEY_CURRENT_USER\Control Panel\Desktop 键，将 AutoEndTasks 值设为 1。 ( 原设定值：0

★禁用系统服务Qos

开始菜单→运行→键入 gpedit.msc ，出现“组策略”窗口， 展开 "管理模板”→“网络” ， 展开 "QoS 数据包调度程序"， 在右边窗右键单击“限制可保留带宽" ，在属性中的“设置”中有“限制可保留带宽" ，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败。

★改变窗口弹出的速度：

找到HKEY_CURRENT_USER＼Control Panel＼Desktop＼WindowMetrics子键分支，在右边的窗口中找到MinAniMate键值，其类型为REG_SZ，默认情况下此健值的值为1，表示打开窗口显示的动画，把它改为0，则禁止动画显示，接下来从开始菜单中选择“注销”命令，激活刚才所作的修改。

★禁止Windows XP的压缩功能：

点击“开始”下的“运行”，在“运行”输入框中输入“regsvr32 /u zipfldr.dll”，然后按回车键即可。

★设置个性的启动信息或警告信息：

个性化的Windows XP启动：打开注册表编辑器，找到HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon子键分支，双击LegalNoticeCaption健值，打开“编辑字符串”对话框，在“数值数据”下的文本框中输入自己想要的信息标题，如“哥们儿，你好！”，然后点击“确定”，重新启动。如果想要改变警告信息的话可以双击LegalNoticeText健值名称，在出现的“编辑字符串”窗口中输入想要显示的警告信息，单击“确定”，重新启动。

15.安装Ja VM

Windows server 2003没有集成MS Ja VM或Sun Ja VM,你可以自行下载并安装它。

17.可用的杀毒软件和防火墙：

Symantec Norton Antivirus Corporate 8.01

Zone Alarm 3.7.159

Norton Personal Firewall 2003

五、如何防范ipc$入侵

1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)

首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC$共享

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

2、禁止默认共享

1）察看本地共享

运行-cmd-输入net share

2）删除共享(每次输入一个）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

3）修改注册表删除共享

运行-regedit

找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

3、停止server服务

1）暂时停止server服务

net stop server /y （重新启动后server服务会重新开启）

2）永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务

控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用

4、安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等)

1).解开文件和打印机共享绑定

鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。

2).利用TCP/IP筛选

鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]，在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮(如图2)，填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时，将不会有任何回应。

3).使用IPSec安全策略阻止对端口139和445的访问

选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地机器]，在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描器扫描时，本机的139和445两个端口也不会给予任何回应。

4).使用防火墙防范攻击

在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击[确定]按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了(如图3)。

5、给所有账户设置复杂密码，防止通过ipc$穷举密码

----------------------------------------------------------------------------------------------

Windows Server 2003技巧七则

一、跳过磁盘检修等待时间

一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会花10秒钟左右的时间，来运行磁盘扫描程序，检查磁盘是否有错误出现。要是你是一位惜时如金的人，肯定不会白白等待下去的。那就跟我一起来，跳过这段检查等待时间吧：

1、在开始菜单中，依次执行“程序”/“附件”/“命令提示符”命令，将界面切换到DOS命令行状态下；

2、直接输入“CHKNTFS/T :0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了；

3、下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。

二、取消对网站的安全检查

新安装好Windows Server 2003操作系统后，打开浏览器来查询网上信息时，发现IE总是“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；要是不信任的话，就无法打开指定网页；倘若信任的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。不过每次访问网页，都要经过这样的步骤，显然就太烦琐了。其实我们可以通过下面的方法来让IE取消对网站安全性的检查：

1、依次执行“开始”/“设置”/“控制面板”命令，在打开的控制面板窗口中，用鼠标双击“添加和删除程序”图标，将界面切换到“添加和删除Windows组件”页面中；

2、用鼠标选中“Internet Explorer增强的安全配置”选项，继续单击下一步按钮，就能将该选项从系统中删除了；

3、再单击一下“完成”按钮，退出组件删除提示窗口。

以后，再上网的时候，IE就不会自动去检查网站的安全性了，这样就能少了不少麻烦。

三、自动进入Windows Server 2003系统

每次开机运行Windows Server 2003系统时，都需要同时按住Ctrl+Alt+Delete复合键，再输入登录密码，才能进入到系统中；要是需要频繁登录系统的话，大家可能就会受不了这样罗嗦的步骤了。此时，大家不妨按照下面的步骤，来让系统自动完成登录操作：

1、在运行对话框中，输入注册表编辑命令regedit，来打开注册表编辑窗口；

2、在该窗口中，依次展开HKEY_LOCAL_MACHINES\SOFTWARE\Microsoft\WindowsNT\Current Version\WinLogon键值；

3、在对应右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“AutoAdminLogon”，并将该键名的数值设置为“1”；

4、找到“DefaultDomainName”键名，并用鼠标双击之，在随后出现的窗口中，输入要登录的域名，例如Department；

5、双击“DefaultUserName”键名，在随后打开的窗口中，直接输入要登录到此域的用户名，例如“test”；

6、在WinLogon右边的子窗口中，用鼠标右键单击空白处，从弹出的快捷菜单中，依次执行“新建”/“字符串”命令，来创建一个字符串类型的键名，并将键名设置为“DefaultPassword”，并将该键名的数值设置为用户登录系统的密码，例如用户test的登录密码为“123456”；

7、完成设置后，重新启动计算机时，我们会发现不需要再登录，就能自动进入到Windows Server 2003系统中了。以后要取消自动登录功能的话，可以将“AutoAdminLogon”键值设置为“0”就可以了。

六、调整Windows Media Player的播放模式

要是在使用Windows Media Player播放音乐的同时，我们还打开了多个工作窗口，这样我们就会经常需要在工作窗口和WMP播放界面中来回切换，这样会大大影响工作效率。现在，可以通过下面方法来调整WMP的播放模式，让操作者不需要打开WMP的主界面就能控制音乐的播放，以便不影响其他工作窗口：

1、用鼠标右键单击系统任务栏中的空白处，从打开的快捷菜单中，执行“工具栏”下面的“Windows Media Player”命令；

2、此后，Windows Media Player界面中的播放按钮就会自动缩小并显示在系统任务栏中了，利用这里的按钮，我们就能执行音乐的播放、暂停、上一首或者下一首命令了；

3、通过这种调整，我们再也用不着手忙脚乱地在程序窗口和WMP播放界面中，来回切换了。

七、为指定组添加新用户

想在Windows Server 2003系统中添加新用户时，发现该系统控制面板窗口中却没有我们非常熟悉的“用户”图标，那么我们该从哪里着手，才能为系统的指定组添加新用户呢？呵呵，Windows Server 2003看来就是不一样！笔者经过几次摸索，发现为指定组添加新用户的方法，具体步骤如下：

1、用鼠标右键单击桌面上的“我的电脑”图标，从打开的快捷菜单中，执行“管理”命令，弹出一个计算机管理窗口；

2、展开该窗口中的“本地用户和组”文件夹，然后选中该文件夹下面的“用户”选项，此时在右边的子窗口中，我们就能看到当前系统中已经存在的所有用户了，其中标有红色叉号的用户表示已经创建但并没有启用；

3、用鼠标右键单击右边子窗口的空白处，从右键菜单中执行“添加新用户”命令，在随后出现的窗口中，输入需要添加的用户的相关信息，最后单击一下“创建”按钮，来结束新用户的添加工作；

4、要想让该用户添加到指定组的话，可以选择“组”选项，再从右边的子窗口中，选中需要加入的组名称，并用鼠标右击之，执行快捷菜单中的“添加到组”命令；

5、在随后出现的界面中，再单击“添加”命令，将前面创建的用户添加进来就可以了。

window server 2003中mssdmn.exe是什么进程啊.占50%的cpu,求高人解决

IIS 安全设置

1.关闭并删除默认站点

默认FTP站点

默认Web站点

管理Web站点

2.建立自己的站点，与系统不在一个分区

如：D:\root3．建立 E:\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录

上的访问控制权限是： Administrators（完全控制）System（完全控制）

3.删除IIS的部分目录

IISHelp C:\winnt\help\iishelp

IISAdmin C:\system32\inetsrv\iisadmin

MSADC C:\Program Files\Common Files\System\msadc\

删除 C:\\inetpub

4.删除不必要的IIS映射和扩展

IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型 的文件

请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：

打开 Internet 服务管理器：

选择计算机名，点鼠标右键，选择属性：

然后选择编辑

然后选择主目录， 点击配置

选择扩展名 \".htw\", \".htr\",\".idc\",\".ida\",\".idq\"和，点击删除

如果不使用server side include，则删除\".shtm\" \".stm\" 和 \".shtml\"

5.禁用父路径 （有可能导致某些使用相对路径的子页面不能打开）

“父路径”选项允许您在对诸如 MapPath 函数调用中使用“..”。在默认情况下，该选项

处于启用状态，应该禁用它。

禁用该选项的步骤如下：

右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。

单击“主目录”选项卡。

单击“配置”。

单击“应用程序选项”选项卡。

取消选择“启用父路径”复选框。

6.在虚拟目录上设置访问控制权限

主页使用的文件按照文件类型应使用不同的访问控制列表：

CGI (.exe, .dll, .cmd, .pl)

Everyone (X)

Administrators（完全控制）

System（完全控制）

脚本文件 (.asp)

Everyone (X)

Administrators（完全控制）

System（完全控制）

include文件 (.inc, .shtm, .shtml)

Everyone (X)

Administrators（完全控制）

System（完全控制）

静态内容 (.txt, .gif, .jpg, .html)

Everyone (R)

Administrators（完全控制）

System（完全控制）

在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个

新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。

例如，目录结构可为以下形式：

D:\root\myserver\static (.html)

D:\root\myserver\include (.inc)

D:\root\myserver \script (.asp)

D:\root\myserver \executable (.dll)

D:\root\myserver \images (.gif, .jpeg)

7.启用日志记录

1）日志的审核配置

确定服务器是否被攻击时，日志记录是极其重要的。

应使用 W3C 扩展日志记录格式，步骤如下：

打开 Internet 服务管理器：

右键单击站点，然后从上下文菜单中选择“属性”。

单击“Web 站点”选项卡。

选中“启用日志记录”复选框。

从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。

单击“属性”。

单击“扩展属性”选项卡，然后设置以下属性：

* 客户 IP 地址

* 用户名

* 方法

* URI

* HTTP 状态

* Win32 状态

* 用户代理

* 服务器 IP 地址

* 服务器端口

2）日志的安全管理

1、启用操作系统组策略中的审核功能，对关键进行审核记录；

2、启用IIS、FTP服务器等服务本身的日志功能；并对所有日志存放的默认位置进行更改同时作好文件夹权限设置！

3、安装Portreport对所有网络访问操作进行监视（可选，可能增大服务器负荷）；

4、安装自动备份工具，定时对上述日志进行异地备份，起码是在其他分区的隐蔽位置进行备份，并对备份目录设置好权限（仅管理员可访问）。

5、准备一款日志分析工具，以便随时可用。

6、要特别关注任何服务的重启、访问敏感的扩展存储过程等。

8.备份IIS配置

可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复

9.修改IIS标志

1）使用工具程序修改IIS标志

修改IIS标志Banner的方法：

下载一个修改IIS Banner显示信息的软件——IIS/PWS Banner Edit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止（最好是在服务中将World Wide Web Publishing停止）,并要将DLLcache下的文件全部清除。否则你会发现即使修改了一点改变也没有。

IIS/PWS Banner Edit其实是个傻瓜级的软件，我们只要直接在New Banner中输入想要的Banner信息，再点击Se to file就修改成功了。用IIS/PWS Banner Edit简单地修改，对菜鸟黑客来说他可能已被的信息迷惑了，可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的Banner信息，这样才能做到万无一失。

高版本Windows的文件路径为 C:\WINDOWS\system32\inetsrv\w3svc.dll,可以直接用Ultraedit打开W3SVC.DLL，然后以“Server：”为关键字查找。利用编辑器将原来的内容替换成我们想要的信息，比如改成Apache的显示信息，这样入侵者就无法判断我们的主机类型，也就无从选择溢出工具了。

2）修改IIS的默认出错提示信息等。

四、数据及备份管理

1．备份

1）要经常把重要数据备份到专用的备份服务器，备份完毕后，可将备份服务器与网络隔离。 可用自动的备份工具进行，要求支持FTP方式备份。

2）使用系统的备份功能对安装好的系统进行阶段性备份。

3）使用WonRescue等工具对注册表进行阶段性备份。

4）使用Ghost对全面配置完毕的系统分区进行映像备份，并存放到隐藏的分区中。

2．设置文件共享权限

1）限制共享权限

设置共享文件时，要注意把共享文件的权限从“everyone”组改成“授权用户”，包括打印共享。

2）关闭默认共享

Win 2000安装好以后，系统会创建一些隐藏的共享，在cmd下可用net share命令查看它们。要禁止这

些共享。**作方法是：打开“管理工具→计算机管理→共享文件夹→共享”，在相应的共享文件夹上按右

键，点“停止共享”即可。不当过机器重新启动后，这些共享又会重新开启。

3.防止文件名欺骗

设置以下选项可防止文件名欺骗，如防止以.txt或.exe为后缀的恶意文件被显示为.txt文件，从而使

人大意打开该文件: 双击“我的电脑→工具→文件夹选项→查看”，选择“显示所有文件和文件夹”属性

设置，去掉“隐藏已知文件类型扩展名”属性设置。

4.Access数据库的安全概要

1）新生成的数据库在保证干净的前提下，主动在尾部合并一行ASP代码，内容一般可以为重定向，以免费别人通过论坛发帖等方式嵌入有害代码后被得到执行；

2）对MDB文件创建一个无效的映射，以便在IE中下载时出错；

3）修改出错页面，建议将出错页面设计为正常被曝库后的内容，但给一个数据库的虚地址（最好存在相应的虚数据库文件，比如一个改名后的等）；

4）在防火墙中对MDB类型的扩展名进行过滤；

5）删除或禁用网站的后台数据库备份功能，而用本地安装的专门自动备份程序进行自动增量备份。

6）ASP 通用防止注入的程序：

功能简单说明：

1.自动获取页面所有参数，无需手工定义参数名.

2.提供三种错误处理方式供选择.

(1).提示信息.

(2).转向页面.

(3).提示信息,再转向页面.

3.自定义转向页面.

使用方法很简单，只需要在ASP页面头部插入代码

<!--#Include File="Fy_SqlX.Asp"-->

包含 Fy_SqlX.Asp 就可以了~~简单实用

<%

Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx

'---定义部份 头------

Fy_Cl = 1 '处理方式：1=提示信息,2=转向页面,3=先提示再转向

Fy_Zx = "Error.Asp" '出错时转向的页面

On Error Resume Next

Fy_Url=Request.ServerVariables("QUERY_STRING")

Fy_a=split(Fy_Url,"&")

redim Fy_Cs(ubound(Fy_a))

On Error Resume Next

for Fy_x=0 to ubound(Fy_a)

Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)

Next

For Fy_x=0 to ubound(Fy_Cs)

If Fy_Cs(Fy_x)<>"" Then

If Instr(LCase(Request(Fy_Cs(Fy_x))),"'")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"and")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"select")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"update")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"chr")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"delete%20from")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),";")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"insert")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"mid")<>0 Or Instr(LCase(Request(Fy_Cs(Fy_x))),"master.")<>0 Then

Select Case Fy_Cl

Case "1"

Response.Write "<Script Language=JaScript>alert(' 出现错误！参数 "&Fy_Cs(Fy_x)&" 的值中包含非法字符串！\n\n 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！');window.close();</Script>"

Case "2"

Response.Write "<Script Language=JaScript>location.href='"&Fy_Zx&"'</Script>"

Case "3"

Response.Write "<Script Language=JaScript>alert(' 出现错误！参数 "&Fy_Cs(Fy_x)&"的值中包含非法字符串！\n\n 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！');location.href='"&Fy_Zx&"';</Script>"

End Select

Response.End

End If

End If

Next

%>

----

组件的定制

不要按Win 2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。

典型Web服务器需要的最小组件是：

公用文件、Internet 服务管理器、WWW服务器。

3.接入网络时间

在安装完成Win 2000**作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染和被入侵。

补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。

4.账户安全管理

1）账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。

2）停用Guest账号，并给Guest 加一个复杂的密码。

3）把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。

4）不让系统显示上次登录的用户名，具体**作如下：

修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值，把REG_SZ 的键值改成1。

5.安全审核

在“管理工具→远程控制服务配置→连接”处，右键点击“RPD-TCP”连接，选择“属性”，在其窗口选中“权限”，点击右下角的“高级”，选择“审核”，增加一个“everyone”组，审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。

6.卸载无用的组件模块

将\Winnt\inf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。

二、基本系统设置

1.安装补丁

安装Service Pack 和最新的hotfix；安装SQL和IIS系列补丁。

2.分区内容规划

1）操作系统、Web主目录、日志分别安装在不同的分区。

2）关闭任何分区的自动运行特性：

可以使用 TweakUI 等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。

3.协议管理

卸载不需要的协议，比如IPX/SPX, NetBIOS；

在连接属性对话框的TCP)/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。

4.关闭所有以下不需要的服务

以下仅供参考，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的储存关系，个性为当可能导致某些功能的异常，甚至服务器不能工作！建议每次只个性两三个项目，重启测试无误后再设置其他项目！

* Alerter (disable)

* ClipBook Server (disable)

* Computer Browser (disable)

* DHCP Client (disable)

* Directory Replicator (disable)

* FTP publishing service (disable)

* License Logging Service (disable)

* Messenger (disable)

* Netlogon (disable)

* Network DDE (disable)

* Network DDE DSDM (disable)

* Network Monitor (disable)

**** Plug and Play (disable after all hardware configuration)****

* Remote Access Server (disable)

* Remote Procedure Call (RPC) locater (disable)

* Schedule (disable)

* Server (disable)

* Simple Services (disable)

* Spooler (disable)

* TCP/IP Netbios Helper (disable)

* ***Telephone Service (disable)****

在必要时禁止如下服务：

* SNMP service (optional)

* SNMP trap (optional)

* UPS (optional

设置如下服务为自动启动：

* Eventlog ( required )

* NT LM Security Provider (required)

* RPC service (required)

* WWW (required)

* Workstation (lee service on: will be disabled later in the document．

* MSDTC (required)

* Protected Storage (required)

word2003在开始菜单里找不到了

搜索"全文搜索"中使用此过程，在某些时刻这些进程的几个使用太多的 CPU 和内存会导致服务器崩溃。MSSearch.exe和MSSDMN.exe之间是什么关系呢? MSSDMN.exe原本是从MSSearch.exe中分离出来的, 其核心是一种防御式的编程思想. 因为SharePoint站点上会放置很多不同种类的文档, 其中肯定有些类型的文档格式是微软产品所不理解的, 比如说PDF, rar. 这时候用户会使用第三方的Filter和protocol handler来解析这些种类的文档. 而这些Filter是否足够健壮, 以至于不会对Search有影响是微软所无法预计的. 所以, 把Filter的组件拿出来放在MSSDMN.exe这个进程中. 这样, 即使filter的过程崩溃了, 也不会对整个搜索服务造成很大的影响.

MSSDMN.exe和MSSearch.exe之间通过共享内存来进行通信(shared memory). 在处理文档的时候, filter daemon会提供所谓的chunk给MSSearch.exe进程.

在MSSearch.exe进程中有Gatherer Project. Gatherer Project被认为是处理chunk的入口. 在Gatherer Project中, chunk会被提供给各种各样的plug-in, 这些plug-in会处理提供给它的chunk.

在MSSearch.exe进程中有个线程池, 对每一个chunk的处理都有一个filtering thread来handle. 任意一个类型的文档都可以在这个层次被任意的filtering thread处理, 因为到这一步, 文档类型的差异已经不存在了.

Word文档无法正常打开解决方法

方法一、使用注册表恢复菜单栏。

单击“开始”菜单-->“运行”中输入“regedit”确定后进入“注册表编辑器”，依次展开“HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word”，将“Word”注册项删除，这个注册项保存有Word 2003的一些设置相关的键值和一些插件的注册资料，删除后重新打开Word，此时，Word就会自动安装默认的初始键值，菜单栏也会跟着恢复出来。

方法二、更改Word模板“Normal.dot”的名称。

①、首先要显示隐藏的文件。打开“我的电脑”-->工具-->文件夹选项-->将“查看”中的“隐藏受保护的操作系统文件”和“显示所有文件和文件夹”前的勾打上。

②打开“C:\Documents and Settings\Administrator\Application Data\Microsoft\Templates”文件夹，将“Normal.dot”文件名称随意更换一下。这样Word启动后就会因为Normal.dot不存在而重建Normal.dot，恢复Word的初始设置，当然菜单栏就会重新出现。

win2003 是64位系统吗

　1.问题现象：

　最近，很多同学和老师在打开Word文档时，发现弹出如下提示："Microsoft Office Word遇到问题需要关闭，我们对此引起的不便表示抱歉。"同时提示尝试恢复Word，但是在确定之后，马上又出现下面这样的提示：“Word上次启动时失败，以安全模式启动Word将帮助您纠正或发现启动中的问题，以便下一次启动应用程序。但这种模式下，一些功能将被禁用。”是否使用"安全模式"启动word?确定之后，可以安全模式启动word，而且在文档的顶部窗口标题后面标有安全模式字样。关闭Word2003之后再重新打开，还是会出现上述的错误提示。”

　2.问题原因：

　这是由于word模板文件Normal.dot出错造成的，在关闭word时，word中的插件都要往Normal.dot中写东西，如果产生冲突，Normal.dot就会出错，导致下一次启动word时，只能以安全模式启动。一般情况下，是DOC文档的损坏造成的，有时文件本身含有宏，或造成打开错误。

　3.解决方法：

　首先声明重装OFFICE不能解决问题。

　解决办法：手动删除Normal.dot。

　方法1 ：找到该文件所在的路径。在word中选择菜单[工具]-[模板与加载项]-[选用]-选中“Normal.dot”-删除掉“Normal.dot”就可以解决问题了。

　方法2 ：在word中选择菜单[工具]-[选项]-[文件位置]，然后双击“用户模板”，弹出一个“修改位置”对话框，从中就可以找到Normal.dot文件的路径，例如：C:Documents and Settings Administrator Application Data Microsoft Templates.其中Administrator可以是其他的登陆用户名，删除该Normal.dot。

　4.注意事项：

　1.需要在工具-文件夹选项中将隐藏文件设置为可见，这样才能找到word的Normal.dot。

　2.在Win7系统中出现这种问题后，按上述步骤删除Normal.dot后，可能会提示另一个错误需要安装一个Genko.msi文件，大家选中安装后即可，文件可以到学校FTP上下载，路径为：软件办公软件Genko.msi。

　5.预防办法：

　这种问题一般出现在OFFICE2003或者更低的版本中，OFFICE2007中一般不会出现这种问题，建议安装OFFICE2007或者OFFICE2010以及即将发布的OFFICE2013版本程序或者给OFFICE2003打上升级补丁。

　让Word文档“原文重现”

　如果你在Word2000/2002中使用了特殊字体，在转寄给别人时，如果对方的 电脑 中未安装该字体，则根本看不到文件内的特殊字体或者出现错误提示。此时最好的解决方式就是使用字体嵌入功能：选择“工具”菜单下的“选项”命令，切换到“保存”标签，勾选“嵌入TrueType字体”，单击“确定”，即可让Word文档在对方的 电脑 里“原文重现”。

　用F4键重复输入字符和图形

　在Word2000/2002中刚输完一个字后，只要按下F4键即可重复输入这个字，继续按下F4键又可重复输入这个字，按多少次就重复输入多少次。如果刚输入一个词组，现在又要再输入这个词组时，同样按下F4键就行了。对于插入的特殊符号也是一样，在刚插入的特殊符号后，接着按下F4键，又一个同样的特殊符号就插入进来了。要补充说明的是：重复输入也不一定是紧接着这个字或词组的后面，用鼠标在文本中选择不同的插入点后再按F4键，就会在新的插入点处重复输入这些字符了。不仅对字符输入是这样，对于图形输入同样有效。例如我们在Word中用绘图工具栏画一个椭圆，如果要继续画一个同样的椭圆，也只要接着按一下F4键，又一个同样的椭圆就画出来了。对插入“自选图形”也同样都可以实现。

　在多个Word文档中自由切换

　以Word2002为例，在“工具”菜单下选择“自定义”，在弹出的对话框中选择“命令”，然后在左边的“类别”中选择“所有命令”。接下来我们从右边的命令列中找到“WindowList”，选中它，用鼠标按住不放拖出来放到任意一个工具栏上，然后关闭对话框。这时候你就会发现多了一个“其他窗口”的按钮，现在你按一下按钮激活它，看看弹出的小窗口里是否包含了你所有打开的文档名。双击你想要切换的文件，再也不用一个一个按顺序找了，方便多了吧？

　在Word中创建自动翻页功能

　Word2002有自动翻页功能，可根据需要调整翻页速度，设定该功能后，只需点击一下鼠标，便可对文本自动翻页。方法是：在菜单栏中选择“工具/自定义”，弹出自定义对话框后，选择“命令”选项，在“类别”栏中选择“所有命令”，然后在“命令”框中用鼠标点击“AutoScroll”，并拖到工具栏上，于是工具栏上就多了一个“自动滚动”按钮。使用它时只需打开一个文本，然后点击“自动滚动”按钮，此时鼠标在文本的右侧滚动条区域会变成一个倒立的黑三角，将黑三角移动到滚动条的上部则文本自动向上滚动，移动到下半部文本则自动向下滚动，放到中部则暂停翻页。“黑三角”越靠近滚动条的两端，文本滚动的速度越快。另外，在滚动条上有一个随文本一起移动的“方框”，随时告知你文本显示的进度。点击鼠标左键，便自动返回到编辑状态；再次点击“自动滚动”按钮，则继续浏览文本。

　快速将网页中的插入到Word文档中

　在编辑Word文档时，需要将一张网页中正在显示的插入到文档中，一般的方法是把网页另存为“Web页，全部(*.htm；*.html)”格式，然后通过Word的“插入//来自文件..”菜单把插入到文档中，这种方法虽然可行，但操作有些麻烦。现在告诉你一种简易可行的方法。将Word的窗口调小一点，使Word窗口和网页窗口并列在屏幕上，然后用鼠标在网页中点击你需要插入到Word文档中的那幅不放，直接把它拖曳至Word文档中，松开鼠标按键，此时可见已经插入到Word文档中了。需要注意的是，此方法只适合没有链接的JPG、GIF格式。

　液晶显示器保养技巧

　液晶显示器已被广泛使用，我们在每天享受着LCD那与众不同的高档次显示效果的同时，不要忘记了保养这个极其重要的环节。LCD只有保养得好，才能够长期无故障地为用户服务。了解了以下的.小知识为您的液晶保养打下一个良好的基础。好了下面我们开始对LCD进行保养。

　1．避免屏幕内部烧坏

　此前提到的长时间开着液晶显示器会减少其寿命。所以为了避免这类情况的发生，在不使用的时候可取下列措施：1)不使用的时候就关掉显示器；2)经常以不同的时间间隔改变屏幕上的显示内容；3)将显示屏的亮度减小到比较暗的水平；

　2．保持环境的湿度

　不要让任何具有湿气性质的东西进入LCD，如果湿气已经进入LCD了，就必须将LCD放置到较温暖而干燥的地方，以便让其中的水分和有机化物蒸发掉，再打开电源。对含有湿度的LCD加电，能够导致液晶电极腐蚀，进而造成永久性损坏。

　3．避免不必要的振动

　LCD可以算是最敏感的电气设备了，LCD中含有很多玻璃的和灵敏的电气元件，以至于屏幕十分的脆弱，要尽量避免强烈的冲击和振动，强烈的冲击极易导致LCD屏幕以及CFL单元的损坏。注意不要对LCD显示表面施加压力，在屏幕前指指点点的坏习惯一定要纠正。

　4．不要尝试拆卸LCD

　有一个规则就是，永远也不要拆卸LCD。即使在关闭了很长时间以后，背景照明组件中的CFL换流器依旧可能带有大约1000V的高压，这种高压能够导致严重的人身伤害。所以永远也不要企图拆卸或者更改LCD显示屏，以免遭遇高压。未经许可的维修和变更会导致显示屏暂时甚至永久不能工作。如有故障建议还是拿到专业维修站进行修理。

　5.平常最好是使用推荐的显示分辨率

　液晶显示器的显示原理则完全与CRT显示器不一样。它是一种直接的像素一一对应显示方式。工作在最佳分辨率下的液晶显示器把显卡输出的模拟显示信号通过处理，转换成带具体地址信息（该像素在屏幕上的绝对地址）的显示信号，然后再送入液晶板，直接把显示信号加到相对应的像素上的驱动管上。对于这样点对点输出的情况，使用显示器推荐的最佳分辨率是相当重要的。

Windows 2003 Server 有32位也有64位的。

1.32位系统的最大寻址空间是2 的32次方= 4294967296（bit）= 4（GB）左右，64位系统的最大寻址空间的寻址空间则达到了2的64次方，但实际上目前的64位系统一般只支持128G。

2. 32位和64位的区别就是一次性的运算量不一样，理论上64位的会比32位快1倍，内存寻址也不一样，但这只是理论上，例如 windows7系统也只是在32位系统的基础上添加了一些64位的寻址功能。

3.理论上64位不会多占系统内存，也不会增加后台程序，但这也是理论上，具体实现并一定能完全保证。

4.如果你的机器内存大于4G，推荐用64位系统，无论如何，64位系统要比32位快，但要注意，你的应用也有64位版本的。