Windows 2003 Server的新安全机制

二、文件和文件夹的所有权

现在，你不仅可以拥有文件系统对象（文件或文件夹）的所有者权限，而且还可以通过该文件或文件夹“高级安全设置”对话框的“所有者”选项卡将权限授予任何人。

Windows的磁盘配额是根据所有者属性计算的，授予其他人所有者权限的功能简化了磁盘配额的管理。例如，管理员应用户的要求创建了新的文件（例如复制一些文件，或安装新的软件），使得管理员成为新文件的所有者，即新文件占用的磁盘空间不计入用户的磁盘配额限制。以前，要解决这个问题必须经过繁琐的配置修改，或者必须使用第三方工具。现在Windows Server 2003直接在用户界面中提供了设置所有者的功能，这类有关磁盘配额的问题可以方便地解决了（对于使用NTFS文件系统的任何类型的操作系统都有效，包括Windows NT 4.0、2000和XP Pro，只要修改是在Windows Server 2003上进行就可以了）。

值得一提的是，这个功能（有效权限和授予所有者权限）对于从Windows Server 2003管理的活动目录对象也同样有效。 　　

三、Windows服务配置

Windows服务配置方面的变化可分成两类。

㈠ 启动类型。几种最容易受到攻击的服务，诸如Clipbook（启用“剪贴簿查看器”储存信息并与远程计算机共享）、Network DDE以及Network DDE DSDM（前者的功能是为在同一台计算机或不同计算机上运行的程序提供动态数据交换（DDE）的网络传输和安全；后者用于管理动态数据交换网络共享）、Telnet、WebClient（使基于Windows的程序能创建、访问和修改基于Internet的文件）等，默认情况下已经被禁止了。还有一些服务只有在必要时才启用，例如Intersite Messaging（启用在运行Windows Server的站点间交换消息）只有在域控制器提升时才启用，Routing and Remote Access Service（为网络上的客户端和服务器启用多重协议——LAN到LAN，LAN到WAN，虚拟专用网络（VPN）和网络地址转换（NAT）路由服务）只有在配置Windows Server 2003作为路由器、按需拨号的服务器、远程访问服务器时才启用。