K3客户端匿名登录设置方法for12.1

K3客户端匿名连接中间层设置方法

经过林茂贵严格验证，放心使用。要求server2003sp2

本文目的：

解决Windows 2003环境下，客户端无法正常登陆中间层服务器，提示“组件无法创建”，或者“拒绝的权限”,以及服务器开机不能登录客户端无法使用等等问题。

一般情况下，经过该设置后，中间层服务器无论是否登陆域，也无论是否进行交互登陆，无论客户端和中间层是否在同一个域，都能够正常连接中间层服务器。

注意事项：

1．请严格按照先后次序设置和检查。

2．系统安装后1-4要完成。

3．中间层服务器一般不要做为域的控制器。

4．在中间层执行”重新注册中间层组件”后需要重新按第5-7步操作.

步骤1：设置中间层服务器

9．安装K3前的系统检查:启用网络DTC访问，网络COM+访问等环境，步骤如下。

●进入“添加或删除程序”的“添加删除Windows组件”。

●选取“应用程序服务器”，如下图：

●单击详细信息，并按下图选取。

注意图中选择的项目。很多服务器因为没有安装该服务，或者不完整安装这些服务，导致服务器不能连接。

然后放入Windows安装光盘进行安装。如果系统已经安装该组件，则可以忽略该步骤。10．进入控制面板的管理工具的组件服务界面(或在”开始—运行”中输DCOMCNFG回车),然后点击工具栏里的电脑

在属性窗口的“MSDTC”选项里，打开“安全配置”，把[网络DTC访问]，[网络事务]，[XA事务]的选项打勾，如下图显示

请注意图中选项。

11．选中“COM安全”看“启动和激活权限”属性，保证everyone的远程启动和激活

是允许的,如下图

12．修改本机账号：将Administrator 账号修改成客户端不会用到的名称，例如Admin(备注:避免由于客户端使用Administrator用户登录时由于密码不同产生冲突.

13．修改本机账号：将Guest账号修改成其他名称，例如Guest_kd,提高安全性.

注意不能禁用该用户

14．添加本地系统管理员账号，例如K3Mid及密码，以便在K3匿名注册中使用。

注意，该密码永远不要修改。如果需要修改，则同时也需要重新设置组件的“标识”页该用户的密码。

15．K/3系统安装成功后，应该先用默认方式-交互方式注册一次中间层。10.4 必须执行。12.1 安装完毕会自动安装一次中间层，此步骤可以略过。10.4 必须执行。16．进入管理工具的组件服务界面，点击我的电脑，

选择COM+应用程序，然后再选取如下图所示的组件。这些组件是K/3的中间层

文件，在K/3第一次注册中间层后加上的，不是windows系统自带的。

然后右击鼠标键，选取属性

识，如下图

名和密码，见下图所示

注意，如果日后该密码被改变，则需重新指定正确的密码，否则无法登陆。

9．进入管理工具的组件服务界面，点击我的电脑。

选择DCOM配置，然后再选取如下图所示的组件。

右击鼠标键，选取属性，再在属性窗口里把“常规”选项里，改“身份验证级别”

为无。

在属性窗口里把“标识”选项里，选用“下列用户”，并输入本地系统管理员用户名和密码，见下图所示

10．以信任方式重新注册中间层

11．把中间层服务器重新启动。

步骤2：设置客户端

1.通过”控制面板——管理工具——组件服务”进行组件服务界面(或在”开始—

运行”中输DCOMCNFG回车)

2.在”组件服务——计算机——我的电脑”右击—属性—选项——事务超时（秒）

改成0，默认属性“在此计算机上启用分布式DCOM”打勾,如果该选项已打

勾,请先把勾去掉,点"应用",再把它勾上,点"确定",然后把机器重新启动,再登录

K3即可。如下图所示:

注: “在此计算机上启用分布式DCOM”这个勾的问题通常是由病毒引起的,导致该选项名存实亡,是一个虚假的勾,因此有时需要取消后重新勾上.如果重新勾过之后,再次打

开发现该勾未勾上,则证明电脑中病毒比较深了,建议重做系统了.

服务器远程无法访问的常见解决办法

登录失败：未授予用户在此计算机上的请求登录类型。无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。 登录失败：未授予用户在此计算机上的请求登录类型。无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。 如果出现“xxx计算机无法访问，您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限”的报错，这可能是计算机的安全设置被改动过了，导致目标计算机无法被访问。可以采取以下步骤解决： 1. 取消简单文件共享。 打开“我的电脑”，在菜单上选择“工具”->“文件夹选项”->“查看”，清除“使用简单文件共享（推荐）”的选择。 2. 启用guest账户。 右键点击“我的电脑”，选择“管理”，选择“本地用户和组”->“用户”，右键点击Guest用户，选“属性”，清除“帐户已停用”的选择。 3. 在组策略中设置，安全策略。 开始--运行--gpedit.msc--计算机配置--windows设置--安全设置--本地策略--“用户权力指派”，双击右边的“从网络访问此计算机”，保证其中有Everyone，双击左边的“拒绝从网络访问此计算机”，保证其是空的。 4. 选择左边的“本地策略”->“安全选项”， a.确认右边的“网络访问：本地帐户的共享与安全模式”为“经典”； b.确认右边的“Microsoft网络客户：为通讯启用数字签名（总是）”为“已停用”； c.确认右边的“Microsoft网络客户：为通讯启用数字签名（如果服务器允许）”为“已启用”； d.确认右边的“Microsoft网络服务器：为通讯启用数字签名（总是）”为“已停用”； e.确认右边的“Microsoft网络服务器：为通讯启用数字签名（如果服务器允许）”为“已启用”。 5．正确配置网络防火墙 1>很多机器安装了网络防火墙，它的设置不当，同样导致用户无法访问本机的共享资源，这时就要开放本机共享资源所需的NetBIOS端口。笔者以天网防火墙为例，在“自定义IP规则”窗口中选中“允许局域网的机器使用我的共享资源”规则，最后点击“保存”按钮，这样就开放了NetBIOS端口。 2>关闭windows自带防火墙。 6．合理设置用户访问权限 网络中很多机器使用NTFS文件系统，它的ACL功能（访问控制列表）可以对用户的访问权限进行控制，用户要访问这些机器的共享资源，必须赋予相应的权限才行。如使用Guest账号访问该机器的CPCW共享文件夹，右键点击该共享目录，选择“属性”，切换到“安全”标签页，然后将Guest账号添加到用户列表中，接着指定Guest的访问权限，至少要赋予“读取”和“列出文件夹目录”权限。如果想让多个用户账号能访问该共享目录，只需要添加Eeryone账号，然后赋予“读取”和“列出文件夹?.. 7、网络协议配置问题， A、网络协议的安装和设置 1.在WinXP中安装NetBEUI协议 对的，你没有看错，就是要在WinXP中安装NetBEUI协议。微软在WinXP中只支持TCP/IP协议和NWLink IPX/SPX/NetBIOS兼容协议，正式宣布不再支持NetBEUI协议。但是在建立小型局域网的实际使用中，使用微软支持的两种协议并不尽如人意。比如，在解决网上邻居慢问题的过程中，笔者采用了诸多方法后网上邻居的速度虽然好一点，但还是慢如蜗牛；另外，在设置多块网卡的协议、客户和服务绑定时，这两种协议还存在BUG，多块网卡必须同时绑定所有的协议（除NWLink NetBIOS）、客户和服务，即使你取消某些绑定重启后系统又会自动加上，这显然不能很好地满足网络建设中的实际需要。而当笔者在WinXP中安装好NetBEUI协议后，以上两个问题都得到圆满的解决。

远程登录访问限制

远程登录访问限制 路由器备份与恢复 网络拓扑图 注：X为自己学号后两位。 任务要求： 1、IP编址 子网分配如图所示，子网内部IP地址分配必须满足以下要求： （1）R1的S0/0/0端口分配子网中最小主机地址； （2）以太网中，路由器端口分配子网中最大主机地址，主机或服务器从子网中最小主机地址开始依序分配。 （3）交换机管理VLAN是VLAN1，S1与S2的VLAN1的IP地址分别是各自子网内第4个主机地址。 完成IP地址分配之后，请填充下面的表格： 2、远程访问

（1）开启远程访问功能 在R1上创建用户名（姓名全拼首字母）和密码（学号后两位），并开启虚拟终端远程访问功能，本地验证。设置特权密码为自己学号后两位。 确保A、B、C、D、E、F这6台主机都可以远程访问路由器R1。

（2）远程访问限制 在R1上创建标准访问控制列表，实现以下访问限制：1）子网192.X.1.0/27中，只允许主机A远程访问路由器R1；2）子网192.X.1.64/26中，除了主机D，允许其他所有主机访问路由器R1。 3、路由器备份与恢复 （1）配置文件备份与恢复 将R1、R2、S1、S2四台网络设备上的运行配置文件保存NVRAM中，进而保存到TFTP 服务器上（文件名分别为R1-config，R2-config, S1-config, S2-config）。 删除R1、R2、S1、S2四台网络设备的NVRAM中的startup-config启动配置文件，并从TFTP服务器上恢复。

（2）IOS备份与恢复 将路由器R1 FLASH中的IOS文件备份到TFTP服务器中； 删除R1 FLASH中的IOS文件； 重启路由器； 从TFTP服务器上把IOS文件恢复到R1路由器的FLASH存储器中。

Telnet访问控制典型配置举例

1 简介 本文介绍使用访问控制列表和IP Source Guard功能控制远程Telnet无线控制器的典型配置案例。 2 配置前提 本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证，如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解Telnet、ACL和IP Source Guard特性。 3 配置举例 3.1 组网需求 如图1所示，两台主机到AC路由可达。通过在AC上配置ACL功能以实现：仅允许Host A通过Telnet登录AC，不允许Host B通过Telnet登录AC。 图1 基于AC的Telnet访问控制组网图 3.2 配置思路 ? ???????????? 为了实现仅允许Host A可以通过Telnet方式登录AC，需要通过ACL 来匹配Host A的IP地址，并在AC的VTY用户线视图下使用该ACL对Telnet 客户端进行限制。 ? ???????????? 为了防止其它主机使用Host A的IP地址Telnet登录AC，需要在Switch 上配置全局静态绑定表项，将Host A的IP地址和MAC地址进行绑定。3.3 配置步骤 3.3.1 AC的配置 (1)配置ACL

# 创建一个编号为2000的基本ACL，并进入其视图。 system-view [AC] acl number 2000 # 创建规则仅允许来自100.1.1.2/16主机的报文通过。 [AC-acl-basic-2000] rule 0 permit source 100.1.1.2 0 [AC-acl-basic-2000] quit (2)将ACL应用到VTY用户界面 # 进入VTY 0～4用户界面视图。 [AC] user-interface vty 0 4 [AC-ui-vty0-4] acl 2000 inbound [AC-ui-vty0-4] quit # 启动Telnet服务。 [AC] telnet server enable 3.3.2 Switch的配置 # 配置全局IPv4静态绑定表项，绑定IP地址100.1.1.2和MAC地址0001-0203-0405。 [Switch] ip source binding ip-address 100.1.1.2 mac-address 0001-0203-0405 3.4 验证配置 # 使用display ip source binding命令显示IPv4绑定表项信息。 [Switch] display ip source binding Total entries found: 1 MAC Address IP Address VLAN Interface Type 0001-0203-0405 100.1.1.2 N/A N/A Static # Host A通过Telnet远程登录到AC，在AC的视图下观察到访问成功。 #Nov 20 11:15:17:407 2013 AC SHELL/4/LOGIN: Trap 1.3.6.1.4.1.25506. 2.2.1.1. 3.0.1: login from VTY %Nov 20 11:15:17:428 2013 AC SHELL/5/SHELL_LOGIN: VTY logged in from 100.1.1.2. # Host B通过Telnet远程登录AC，在Telnet远程登录视图下，观察到Host B登录AC失败。 # 使用display acl命令显示全部ACL的配置和运行情况。 display acl 2000 Basic ACL 2000, named -none-, 1 rule, ACL's step is 5 rule 0 permit source 100.1.1.2 0 # 使用display users all命令显示当前正在使用的用户界面的相关信息。 display users all The user application information of all user interfaces: Idx UI Delay Type Userlevel + 0 CON 0 00:00:00 3 7 AUX 0 + 8 VTY 0 00:00:05 TEL 3 9 VTY 1 10 VTY 2

远程接入中的安全访问控制

远程接入中的安全访问控制 远程接入中的安全访问控制 摘要：以实际项目应用为例，利用VPN、防火墙、策略交换机等几种典型设备，对解决企业的远程办公接入问题进行深入探究。关键词：远程接入；VPN技术；网络安全 大型企业通常会有若干分驻全国各地的分支机构和为数不少的出差人员，为了解决这些员工的远程办公问题，使他们能够及时了解企业运转情况和参与生产、经营、管理工作的流程运转，远程接入成为一个现实的需求。VPN技术、防火墙的安全过滤技术、三层交换机的路由和控制技术共同实现了远程用户对企业不同应用域的安全访问控制。通过VPN接入，企业可以保证出差在外的员工访问公司里的信息，此外，通过笔记本电脑和一张基于VPN的CDMA1X卡，员工可以真正实现随时随地访问企业局域网的愿望。1远程访问的主要技术手段某大型供电企业网络远程访问系统的拓扑图，主要由VPN客户端软件、VPN客户端E-Key、VPN网关、密钥管理中心、防火墙和策略路由交换机组成。该系统满足了企业员工通过多种网络环境，利用互联网通道访问企业内部网络资源的需求。通过身份认证系统确保了远程网络用户的真实性；通过对网络传递数据的加密确保了网络传输数据的机密性、真实性和完整性；通过对用户的分级管理和访问管理域的划分设定了不同类别的认证用户对OA办公区域、输变电生产管理区域、配网生产管理区域和市场营销管理区域等不同应用区域的访问权限，有效降低了企业信息资源的潜在风险。

2企业选择IPSec技术的主要原因企业选择IPSec技术的主要原因有以下几个方面：（1）经济。不用承担昂贵的固定线路的租费。DDN、帧中继和SDH的异地收费随着通信距离的增加而递增，分支越远，租费越高，而基于Internet则只承担本地的接入费用。（2）灵活。连接Internet的方式可以是10Mb/s、100Mb/s端口，也可以是2Mb/s 或更低速的端口，还可以是便宜的DSL连接，甚至可以是拨号连接。（3）广泛。IPSecVPN的核心设备扩展性好，一个端口可以同时连接多个分支，包括分支部门和移动办公的用户。（4）多业务。远程的IP话音业务和视频也可传送到远端分支和移动用户，连同数据业务一起，为现代化办公提供便利条件，节省大量长途话费。（5）安全。IPSecVPN的显著特点是其安全性，这是它保证内部数据安全的根本。在VPN交换机上，通过支持所有领先的通道协议、数据加密、过滤/防火墙以及通过Radius、LDAP 和SecurID实现授权等多种方式保证安全。同时，VPN设备提供内置防火墙功能，可以在VPN通道之外，从公网到私网接口传输流量。3系统的实现该大型企业采用北电的PP8606路由交换机，以提供不同应用安全域的网段划分和策略控制。同时，部署带VPN功能的NetEye防火墙，它集VPN网关、密钥管理中心和防火墙于一体，提供密钥的生成、管理与分发，完成认证区域的划分、用户的接入和认证、用户IP地址的分配与访问控制功能。3.1通信密钥的生成与管理VPN网络安全的关键是保证整个系统的密钥管理安全。NetEyeVPN采用基于PKI的密钥管理框架，实现安全可靠的密钥分发与管理。密钥管理中心设立在网络中心。登录密钥管

如何远程唤醒并控制家中关机的电脑

如何远程唤醒并控制家中关机的电脑 有时我们可能会碰到这样的情况：在公司临时需要家里电脑中的资料，但又不可能马上跑回家打开电脑拷贝吧。此时如果能在公司就能远程打开家中的电脑，并能进行远程访问控制，不就一切迎刃而解了吗！那么，又该如何实现这种远程控制呢？ 要实现这种远程控制，肯定需要软件帮忙，在这方面使用最普遍的莫过于PcAnywhere。不过大家也必须清楚，想通过PcAnyWhere控制远程计算机，必须知道被控端计算机IP地址，而一般家庭ADSL用户一般都没有固定IP地址，每次上网的IP地址都是由ISP态分配的。由于断电或路由器重启等原因，IP 地址就会发生变化；PcAnyWhere也就失去了用武之地，因此获取被控制端的IP地址是实现这种远程控制的前提。下面开始具体实战。 这里暂且将公司电脑称为主控端，家中电脑称为被控端。整个实现流程分为两大部分： 1、被控端准备。配置远程唤醒、获取网卡MAC地址、配置IP地址解析、安装远程控制软件。 2、主控制设置。安装远程开机软件、安装远程控制软件。 另外选用的是PcAnywhere 10.51简体中文正式版，下载地址： https://www.wendangku.net/doc/9415697478.html,/2004/817.html 一、被控端准备篇。 当然，这里的被控端准备是指事先的准备，这一部分是关系到远程控制能否顺利实现的前提。 1、配置远程唤醒。 由于是要调用家里计算机中的资料，因此家里计算机肯定要处于开机状态；假设家里没人无法开启，那么就得想办法远程让这台计算机自动开机，这就需要被控计算机具备远程唤醒功能（WOL）。 首先是网卡必须支持WOL；其次还要查看主板是否支持Wake-Up On Internal Modem（WOM）或者Wake-up On LAN（WOL），如果支持就说明主板支持远程开机。除此以外，计算机还必须安装有符合ATX 2.03标准的ATX电源。以上条件缺一不可，如果你的被控端不支持这些功能，那你还是趁早打消这个“远程”念头。 接下来进入CMOS设置，选择划红线处电源管理一项（不同的BIOS版本可能位置不一样），敲回车键进入，如图1。 在接着出现的设置界面中，将红色方框内的两个选项“resume by Ring/LAN（有些版本是Wake Up On LAN/Ring）”和“Wake Up on PCI PME#”都设置为“enabled”，意为启用这两项功能，如图2所示，这样就启用了该计算机的远程唤醒功能。有些网卡需要通过跳线才能将“Wake-on-LAN”功能设置为“Enable”。 提示：如果主板不支持PCI 2.2标准，还需要将WOL电缆的两端分别插入网卡和主板的3芯插座中，将网卡与计算机主板连接起来。

设置远程管理权限

设置远程管理权限 如果服务器与客户端是下列的情形之一，则必须手动设置连接与管理的权限 两端在不同的工作组（都没有加入域） 两端在不同的Active Directory 域，而且没有信任关系 一端是在工作组中，另一端是在Active Directory域中 1.在运行的hyper-v的服务器上操作 step 1、首先建立一个用户账户（如Allen） step 2、在“windows防火墙”中打开WMI异常，可以使用命令或控制面板中的防火墙项目设置，命令方式设置如下： C:\Users\Administrator>netsh advfirewall firewall set rule group=“Windows Management Instrumentation（WMI）”new enable=yes 选择“开始” “管理工具”，选择“高级安全Windows防火墙”，选择“入站规则”可以在右侧看懂啊共启用3个规则：Windows Management Instrumentation （ASync-In）、Windows Management Instrumentation （DCOM-In）、Windows Management Instrumentation（WMI-In） 而在“出站规则”中启用了一个规则：分布式事务处理协调器（TCP-Out） hyper-v管理员需要开放防火墙通信端口 1、TCP/UDP 135（RPC）

2、TCP/UDP 2179（vmms的RDP端口） 3、TCP/UDP 49152-65535（Windows vista/2008默认的client outgoing dynamic port） Step3、给予用户“启动及启用”DCOM的权限。选择“开始”→“运行”命令，在打开的对话框中输入“dcomcnfg”，单击“确定”按钮。 Step4、在“组件服务”窗口中，展开“组件服务”→“计算机”，选择“我的电脑”，单击鼠标右键，在弹出的快捷菜单中选“属性”命令。 Step5、在打开的对话框中选择“COM安全”选项卡，在“启动和激活权限”区域中单击“编辑限制”按钮。 Step6、在“启动和激活权限”对话框中，给予Allen（建立的用户）有“远程启动”和“远程激活”的权限，然后单击“确定”按钮，再单击“确定”按钮。 Step7、选择“开始”→“管理工具”选择“计算机管理”。 Step8、展开“服务和应用程序”→“WMI控制”，单击鼠标右键，在弹出的快捷菜单中选择“属性”命令。 Step9、分别选择“Root”→“CIMV2”及“Root”→“virtualization”，单击“安全设置”按钮。 Step10、单击“添加”按钮，选择“Allen”用户账户，目的是要给予WMI控制权限，然后单击“高级”按钮。 Step11、在打开的对话框中，选择Allen用户账户，单击“编辑”

配置远程访问服务

配置远程访问服务 一、远程访问服务概述 远程访问服务（Remote Access Servic，RAS）允许客户端通过拨号连接或虚拟专用连接登录网络。远程客户机一旦得到RAS服务器的确认，就可以访问网络资源，就好象客户机已经直接连接在局域网上一样。 1.远程访问连接方式 远程访问服务适合的环境是：在各地有分公司和出差的员工需要访问总部网络的资源。Windows Servic 2003 远程访问服务提供了两种远程访问连接方式： 拨号网络：通过使用电信提供商（例如电话、ISDN或）提供服务，远程客户端使用非永久的拨号连接到远程访问服务器的物理接口上，这时使用的网络就是拨号网络。例如：拨号网络客户端需要安装Modem，使用拨号网络拨打远程访问服务器某个端口的电话号码。 虚拟专用网（Virtual Private NetWork，VPN）：VPN是穿越公用网络（如Internet）的、安全的、点对点连接。虚拟专用网客户端使用特定的，称为隧道协议的基于TCP/IP的协议，与虚拟专用网服务器建立连接。例如，虚拟网络客户端使用虚拟专用网连接（连接目标是IP地址）连接到与Internet相连的远程访问服务器上，验证呼叫方身份后，在虚拟专用网客户端和企业网络之间传送资料。 这两种连接比专线连接，提供了低成本远程访问服务。 拨号的远程访问是通过电话线传输资料，虽然传输速率不高，但是对于那些只有少数资料需要传输的用户，特别是在家庭中办公的用户来说是一个很好的技术方案。

使用虚拟专用连接不但提供了高的传输效率，而且降低了投资成本和维护成本。相对于拨号连接来说，它节约了通信费用，特别是对于外地的分公司来说，解决了一大笔长途电话的费用。 2.拨号网络组件 a、拨号网络客户端：拨号网络客户端，即远程访问客户端。 b、远程访问服务器：Windows Server 2003 远程访问服务器可以接收拨号连接，并且在远程访问客户机与远程访问服务器所在的网络之间进行资料传送。 c、WAN结构：RAS服务器与客户机之间可以建立不同类型的拨号连接，不同的连接类型提供了不同的速度。这些连接类型包括：公共交换电话网（Public Switch Telephone Network，PSTN）、综合业务数字网（Integrated Services Digital Network，ISDN）、非对称数字用户线（Asymmetric Digital Subscriber Line，ADSL）等。 d、远程访问协议：远程访问协议用来控制连接的建立以及资料在WAN链路上的传输。远程访问客户端与远程访问服务器上所使用的操作系统与LAN协议决定了客户机所能够使用的远程访问协议。Windows Server 2003远程访问支持3中类型的远程访问协议： 点到点协议（point-to-point Protocol，PPP）是一种应用非常广泛的工业规范协议，它支持多个厂商的远程访问软件并支持多种网络协议，可以提供最佳的安全性能、多协议访问以及互操作性。 串行线路网际协议（Serial Line Internet Protocol，SLIP）是一种在运行老式UNIX操作系统远程访问服务器上使用的协议。 Microsoft RAS协议是一种在运行Microsoft操作系统远程访问客户机上使用的远程访问协议。 e、LAN协议：LAN协议是远程访问客户用来访问连接到远程访问服务器上的网络资源而使用的协议。Windows Server 2003中的远程访问服务支持TCP/IP、IPX以及NetBEUI等协议。 3.VPN组件 通俗地讲，VPN就是基于公共网络（如Internet），在两个或两个以上的局域网之间创建传输资料的网络隧道。当传输资料通过网络隧道时，进行安全的VPN资料加密，从而确保了用户资料的安全性、完整性和真实性。 要使用VPN远程访问，需将RAS服务用作VPN服务器。VPN服务器和客户机通过本地的Internet服务提供商（Internet Service Provider，ISP）在Internet上建立虚拟点到点的连接，就像是客户机直接连接到服务器的网络上一样。 a、VPN的组成要素有： VPN客户端：VPN客户端可能是一台单独的计算机，也可能是路由器。一般的，VPN客户端需要通过当地ISP连上公共网络（如Internet）以便和VPN服务器连接。 VPN服务器：接收VPN客户端VPN连接的计算机。该计算机一般是使用专线连接公共网络，有固定IP地址。 隧道：连接中封装资料的部分

MySQL数据库远程访问权限打开

MySQL数据库远程访问权限打开 1、改表法 可能是你的帐号不允许从远程登陆，只能在localhost。这个时候只要在localhost的那台电脑，登入mysql后，更改 "mysql" 数据库里的 "user" 表里的 "host" 项，从"localhost"改称"%" mysql -u root -p mysql>use mysql; mysql>update user set host = '%' where user = 'root'; mysql>select host, user from user; 2、授权法 在安装mysql的机器上运行： 1、d:\mysql\bin\>mysql -h localhost -u root //这样应该可以进入MySQL服务器 2、mysql>GRANT ALL PRIVILEGES ON *.* TO 'root'@'%'WITH GRANT OPTION //赋予任何主机访问数据的权限 例如，你想myuser使用mypassword从任何主机连接到mysql服务器的话。 GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'%'IDENTIFIED BY 'mypassword' WI TH GRANT OPTION; 如果你想允许用户myuser从ip为192.168.1.6的主机连接到mysql服务器，并使用mypassword作为密码 GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'192.168.1.3'IDENTIFIED BY 'mypassword' WITH GRANT OPTION; 3、mysql>FLUSH PRIVILEGES

远程桌面访问和共享文件夹访问权限控制

一、新建IP安全策略 WIN+R打开运行对话框，输入gpedit.msc进入组策略编辑器。 依次打开“本地计算机”策略--计算机配置--Windows设置--安全设置--IP安全策略,在本地计算机上。 在右面的空白处右击，选择第一个菜单：创建IP安全策略，弹出的IP安全策略向导对话框。 点击下一步。 在名称里输入3389过虑，下一步。 取消激活默认响应规则，下一步。 选中编辑属性，下一步。 二、新建IP筛选器 在弹出的新IP安全策略属性对话框里取消使用“添加向导”，点击添加。 在弹出的新规则属性对话框里点击添加。 起个名称：放行指定IP的3389连接,点击添加。 在弹出的对话框里选择地址选项卡，源地址选择一个特定的IP地址，目标地址选择我的IP。 取消镜像。 再选择协议选项卡，协议类型选择TCP，设置IP协议端口为从任何端口到此端口3389。 单击确定关闭IP筛选器属性，再确定关闭IP筛选器列表。 在新规则属性对话框里再点击添加，依照上面的再添加一个IP筛选器，名称为：阻止3389连接；源地址为任意IP，目标地址为我的IP。协议：TCP，端口3389。 三、给新建的IP筛选器加上筛选器操作 在新规则属性对话框上选择筛选器操作选项卡。 点击添加。 选择阻止，在常规选项卡里的名称改为：阻止。点击确定。

点击新规则属性对话框中的IP筛选列表，选中放行指定IP的3389连接（一定要让它前面的那个圈子是选中状态），然后再选择筛选器操作选项卡，选中许可。确定。 在3389过滤属性里，点击添加，选择阻止3389连接，按照上面的给它指定阻止的筛选器操作。 确定后，右击3389过滤，选择指派，不用重启机器即可生效。 四、限定所有电脑无法更改IP地址 五、指定特定账号不能连接到服务器远程 六、限制远程桌面用户无法查看访问共享文件夹

mysql开启远程访问权限和被远程访问的方法

mysql主机服务器可远程访问账户的开启方法以及局域网内其他终端对其远程访问的多种途径 mysql -u root -p mysql>use mysql; mysql>select host from user where user='root'; mysql>GRANT ALL PRIVILEGES ON *.* TO root@'%' IDENTIFIED BY '1111'; mysql>flush privileges; mysql>select host from user where user='root'; 成功会提示：Query OK, 0 rows affected (0.00 sec) 第一句是以权限用户root登录 第二句：选择mysql库 第三句：查看mysql库中的user表的host值。查看root账户下是否存在host为%的值。 如果没有继续执行以下语句 第四句：修改host值。其中第一个*表示数据库名；第二个*表示该数据库的表名；如果像上面那样*.*的话表示所有数据库下的所有表都允许访问；‘%’表示允许访问到mysql的ip 地址；当然你也可以配置为具体到ip名称；%表示所有ip均可以访问；后面到‘1111’为root 用户的password。 第五句：刷新MySQL的系统权限相关表 第六句：再重新查看user表时，有修改。。 重起mysql服务即可完成。 以上这些是网上搜集到，搜索了“远程访问mysql方法”就有，看完以后谁知道这想表达什么？实际上这是在主机服务器上授权root账户，让该服务器可以被其他终端远程通过root 账户来登陆的一种方法，为什么要做这些操作呢？因为mysql的默认设置不允许远程访问的终端使用root账户来登陆主机服务器。现在连通常的访问方法都不知道，就给我搜出授权root账户这些乱七八糟重复的一大堆。这个生活上的琐事可以问度娘，但是技术上的琐事问度娘多半会害死人。 这些资料存在的问题：1、过于陈旧，又反复被转载，如果摘下来不重新整理很难直接形成解决方案，并且有些问题在新版本出现后已解决，让不少新人走了弯路；2、专业性陈述太多，都是网上大神做的笔记，不一定是解决当事人所想的问题，写着写着出现新的问题，转而写到新问题的解决方法；3、目标不清晰，经常被检索误导，搜索不同字眼出来的却是同一套解决方案，从来不写清楚最终要达到什么样的效果，上来就说方法，导致跟着步骤走的人，走到最后发现不是自己想知道的东西。 走了不少弯路，最后自己总结了一套使用mysql远程访问和被访问的方法。最新版mysql附带的各种实用工具，通过以下步骤，最终实现使用perl dbi远程访问到mysql。

解决Windows终端访问限制

WINDOWS系统中有一个远程控制功能，通过他可以让网络管理员在远程计算机上通过网络控制服务器。这个功能不用安装任何第三方软件即可实现。因此网络管理员都非常青睐这个功能。 笔者也是系统自带远程控制的拥护者，曾经专门写了一个专题给各位读者。不过在最近一次使用远程控制过程中却发现了一个终端访问数量上的限制，因为限制无法完成控制操作。不过后来通过激活远程控制将这个数量上的限制进行了突破，在这里写出来和各位读者一起分享。上篇文章主要介绍通过时间参数设置来解决远程访问锁死问题，下篇主要介绍通过激活远程控制突破数量限制的操作。 一、问题展现： 由于单位的计算机有多名维护人员，每个维护人员都分别维护不同内容，有的是服务器应用，有的是数据资料，还有就是数据库或FTP资源。原来笔者是将windows 2000 server系统的终端服务开启了，这样各位维护人员通过3389远程终端都可以通过网络维护该服务器。不过最近笔者通过终端访问工具登录服务器时却出现了终端服务警告——“终端服务器超出了最大容许连接数”，“系统现在无法让您登录系统已经达到其授权的登录限制。请以后再试一次，请再试一次或向您的系统管理咨询”。之后不管笔者用哪个计算机或者该服务器上的哪个帐号都无法正常登录服务器。（如图1） 图1 二、问题根源：

笔者等待了一段时间后再次访问该服务器，发现可以正常登录了。经过分析发现是因为以前其他网络管理员在使用远程控制功能后不是通过注销来退出，而是直接点了终端控制窗口右上角的叉子。这样就造成了有部分远程访问进程没有正常退出，而Windows 2000server远程控制默认只容许同时两个连接对服务器操作。因此当没有正常退出的进程达到了两个时其他用户将无法正常控制该服务器。 三、解决问题： 既然我们知道了问题的根源是因为没有正常退出终端控制窗口造成的进程没有正常关闭。那么我们只需要注意在退出时通过“注销”而不是窗口右上角的叉子按钮。这样就有效防止了进程锁死问题的 发生。 不过可能在实际情况中并不是每个人都能够做到正确退出远程控制窗口的。那么我们可以通过几 个参数进行设置，巧妙的降低该问题发生的概率。 （1）空闲会话时间限制： 如果有人登录到远程服务器上不进行任何操作，那么他仍然会占用该进程。其他用户将无法正常访问。这时我们可以对“空闲会话时间”进行设置，减少因为不操作而白白占用进程的现象。 第一步：在服务器上通过“开始->程序->管理工具->终端服务配置”启动配置窗口。（如图2）

UNIX主机下如何通过IP限制用户远程登录要点

UNIX主机下如何通过IP限制用户远程 登录

目录 1简介 (4) 2HP-UX (4) 2.1/var/adm/inetd.sec (4) 2.2FTP服务， (5) 3IBM AIX (5) 3.1/etc/security/user (5) 3.2FTP服务 (8) 4SUN SOLARIS (9) 4.1/etc/inet/inetd.conf (9)

关键词： UNIX、远程登陆 摘要： 本文汇总了IBM AIX、HP UX和SUN SOLARIS三种操作系统上如何通过IP来限制用户的远程登录的方法。

1 简介 在日常维护或安全加固行为中，我们往往需要通过对接入客户端的IP地址进行限制来实现系统的操作可以对应到执行操作的人员，本文汇总了IBM AIX、HP UX和SUN SOLARIS 三种操作系统上如何通过IP来限制用户的远程登录的方法。 2 HP-UX 2.1 /var/adm/inetd.sec 在HP UX中，可以对IP地址和通过这个IP地址接入的服务进行限制。在HP系统中有一个配置文件inetd.sec，用于设置每一个服务允许或禁止被某些网络地址使用。在系统缺省安装中，这个文件内容为空或不存在，即系统缺省允许任意地址使用本机的任何服务。 设置方法： 1.检查/var/adm/inetd.sec是否存在，不存在则以root用户创建： # touch /var/adm/inetd.sec 2.编辑/var/adm/inetd.sec文件，保证其中包含以下几行，例如： shell allow 139.104.8.21 139.104.8.22 login allow 139.104.8.1-64 139.104.4.1-64 telnet allow 139.104.8.1-128 139.104.4.1-128 ftp allow 139.104.8.1-128 139.104.4.1-128 首先说明每一行各字段的含义，第一列是服务名，对应于/etc/services的第一列。第二列是权限，可以为allow或deny，如果是allow，则表示仅在后面的地址列表中的地址允许访问。第三列为地址列表，用空格分隔开多个地址，可以是完整的IP地址或网段地址，也可以用网络名来表示。通配符（*）和范围符（－）在地址列表中被允许使用。 上面的例子是一个典型的移动智能网的SCP的限制配置，第一行shell用于配置rsh允许的地址，由于双机两台主机之间需要使用rsh，因此必须保证双机的两台主机的/var/adm/inetd.sec 相互都包含对方的IP 第二行login用于配置rlogin允许的地址，由于双机两台主机之间需要使用rlogin，因此必须保证双机的两台主机的/var/adm/inetd.sec相互都包含对方的IP 第三行用于配置telnet允许的地址，这里就是局方允许登录的远程终端的IP地址，可以

访问权限的远程控制方法及系统与制作流程

本技术涉及权限管理技术领域，公开了一种访问权限的远程控制方法及系统，所述远程控制方法包括：在被访问端识别出有用户登录访问账号时，被访问端向管理端发送授权请求；在接收到所述授权请求后，所述管理端根据授权请求生成相应的授权访问指令并发送至所述被访问端；所述被访问端根据授权访问指令赋予用户相应的访问权限。本技术实施例对访问权限采用远程控制方式，在被访问端有用户访问时，由管理员在管理端为当前用户赋予相应的访问权限。这样，用户可以采用无密码方式登录被访问端，而管理员可以为每个用户定制不同的访问权限，既能够高度保障被访问端的资料安全性，又有助于管理员对所有用户进行有效管理，大大方便用户对被访问端的访问。 技术要求 1.一种访问权限的远程控制方法，其特征在于，所述远程控制方法包括： 在被访问端识别出有用户登录访问账号时，被访问端向管理端发送授权请求； 在接收到所述授权请求后，所述管理端根据授权请求生成相应的授权访问指令并发送至 所述被访问端； 所述被访问端根据所述授权访问指令赋予所述用户相应的访问权限。 2.根据权利要求1所述的访问权限的远程控制方法，其特征在于，所述远程控制方法还包括：根据所述被访问端上需要进行访问权限控制的所有文档和软件，预先生成一对应的 访问管控表，所述访问管控表中包含多个表项，每个表项对应一份文档或者一个软件；

所述授权访问指令的生成方法为：在所述管理端，获取所述访问管控表中被选择的本次授权访问表项，根据所述本次授权访问表项自动生成授权访问指令。 3.根据权利要求1所述的访问权限的远程控制方法，其特征在于，所述访问管控表的生成操作可于被访问端，也可于管理端。 4.根据权利要求1所述的访问权限的远程控制方法，其特征在于，所述授权请求中携带有用户相关信息，所述用户相关信息包括所述用户的身份信息和访问需求信息中的至少一种。 5.根据权利要求1所述的访问权限的远程控制方法，其特征在于，所述授权访问指令包括授权访问内容和授权访问模式中的至少一种；所述授权访问模式包括：单次访问或者指定时间段内多次访问模式，只读、编辑或复制模式。 6.根据权利要求1所述的访问权限的远程控制方法，其特征在于，所述远程控制方法还包括：在所述管理端，预先生成并存储至少一种授权访问指令模板，以供选择使用。 7.一种访问权限的远程控制系统，其特征在于，所述远程控制系统包括管理端和至少一个被访问端，管理端与被访问端通过有线或者无线网络连接； 所述被访问端，包括：授权请求生成单元、权限管理单元和第一信息传输单元；其中， 所述授权请求生成单元，用于在识别出有用户登录访问账号时，获取用户相关信息，生成授权请求并通过所述第一信息传输单元发送至所述管理端； 所述权限管理单元，用于根据来自所述管理端的授权访问指令赋予用户相应的访问权限； 所述第一信息传输单元，用于通过有线或者无线网络实现本被访问端与所述管理端的信息传输； 所述管理端，包括授权指令生成单元和第二信息传输单元；其中，

访问控制列表三(控制Telnet访问)

访问控制列表三（控制Telnet访问） 操作路由器的方法有两种，一种是通过本地控制台端口(console port)直接操作；另一种是远程连接操作，在远程控制中最常用的方法是Telnet，只要知道路由器的任意一个物理接口地址和Telnet口令，并且存在路由，就可以远程操作路由器。 使用ACL提高Telnet的安全性也有两种办法：一种是在物理线路上设置访问控制列表，这种方法比较麻烦，需要在路由器上配置多条ACL并关联到每个物理接口；另一种是配置ACL并关联到Telnet使用的虚拟口(VTY 0 4)上，这种方法比较简单。 实验拓扑图： 1、配置路由协议，使全网络连通； 2、在Router1中设置特权密码（enable密码）和Telnet远程登录密码，在PC0、PC1、PC2上测试； 3、在Router1上设置ACL实现，只允许PC0计算机远程登录Router1，其他均不允许。 Router(config)#ip access-list extended a1 Router(config-ext-nacl)#permit tcp host 192.168.1.2 host 192.168.2.2 eq telnet Router(config-ext-nacl)#permit tcp host 192.168.1.2 host 192.168.4.1 eq telnet Router(config-ext-nacl)#permit tcp host 192.168.1.2 host 192.168.3.1 eq telnet Router(config-ext-nacl)#deny tcp any any eq telnet //如果Router2、Router4上也存在telnet，能否这样配置。 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#exit Router(config)#int s0/0/1 Router(config-if)#ip access-group a1 in Router(config-if)#int s0/1/0 Router(config-if)#ip acc Router(config-if)#ip access-group a1 in Router(config-if)#int s0/0/0

远程桌面用户访问权限解决方案

要登录到这台远程计算机，您必须拥有这台计算机上的终端服务器用户访问权限解决方案 有朋友问我远程登录无法用domain users里的用户名远程登录了，错误提示如下 自己先是安装终端授权服务还是不行，先将网上的方法公布一下 第一种: １，开始》运行》输入gpedit.msc ２，展开计算机配置》windows设置》安全设置》本地策略》用户权限分配》双击通过终端服务拒绝登陆》将里面的 users组删除。完毕 这种方法我试了一下，发现组策略里面的“双击通过终端服务拒绝登陆”是空的，说明没有被阻止，开始很郁闷，以为这种方法不行了。 后来无意中看到下面有个“通过终端服务允许登陆”，双击进去后看到只有“administrator”组，于是添加了一个“Domain Users”组进去，呵呵，搞定，错误消失了。 网上的另外一种方法，没试，不知道效果怎么样 解决方法: 到"控制面板" --> "管理工具" --> "终端服务配置" --> "服务器设置" 在右边框中, 授权"每用户" 改成 "每设备", 处理办法: 1. "控制面板" --> "管理工具" --> "终端服务配置" 2. 点击"连接", 右边出现连接项(例如: RDP-Tcp,tcp,Microsoft RDP 5.2) 3. 双击要修改的连接项。 3. 弹出窗口, 单击"权限"选项卡。 4. 单击"高级"，然后单击"添加"。 5. 指定要添加的用户或组，使该用户或组能够使用“远程控制”。 6. 添加用户或组之后，将显示权限项对话框。单击“远程控制”的允许列，将其选中。 7. 单击确定。 8. 单击确定，再次单击确定。希望对喜欢抓服务器的朋友有所帮助！ 远程登陆时出现：要登录到这台远程计算机，您必须拥有这台计算机上的‘终端服务器用户访问’权限。在默认情况下，‘远程桌面用户’组的成员拥有这些权限。如果您不是‘远程桌面用户’组或其他拥有这些权限的组的成员，或者如果‘远程桌面用户’组没有这些权限，您必须被手动授予这些权限” 下面我来介绍两种解决方案： 第一种: １，开始》运行》输入gpedit.msc ２，展开计算机配置》windows设置》安全设置》本地策略》用户权限分配》双击通过终端服务拒绝登陆》将里面的users组删除。完毕