服务器托管
联系我们
业务联系热线:
0731-89787500
0731-82768288
(点击号码与客服对话)

全国统一服务热线
400 622 0731


价格总揽
全国服务器租用报价:
点击在线阅读
全国服务器托管报价:
点击在线阅读
云服务器租用报价:
点击在线阅读
您现在的位置:首页 >杰网学院>如何进行Windows权限设置

如何进行Windows权限设置


发表:杰网-湖南数据中心文员 文章来源:湖南杰网信息技术有限公司
[摘要]1. 用户和组账户管理 2. NTFS权限设置及应用规则 1 用户和组账户管理 1.1 问题 Windows Server 2008是典型……

1. 用户和组账户管理
2. NTFS权限设置及应用规则
1 用户和组账户管理
1.1 问题
Windows Server 2008是典型的多用户、多任务系统,为实现对资源访问的有效控制,用户和组账号是最基本的管理对象。
1.创建一个名为group1的本地组账号。
2.创建3个普通用户账号jack、tom、mike,均加入group1组。
3.通过内置组使用户tom有权限修改IP地址、使用户jack具有管理员权限。
1.2 方案
1.3 实现
1.创建本地组账号group1
单击“开始”-->“管理工具”-->“计算机管理”,展开“系统工具”-->“本地用户和组”,右击“组”后选择“新建组”,如图-1所示。

在打开的“新建组”对话框中,可指定新建组的名称(group1)、描述、成员用户等信息,如图-2所示,单击“创建”按钮。因成员用户尚未建立,这里不添加任何成员。

执行创建后,单击“关闭”按钮退出新建组对话框,查看右侧的组账号列表可看到新建的group1,如图-3所示。

2.创建本地用户账号
1)添加新用户账号jack、tom、mike
打开“计算机管理”工具,展开“系统工具”-->“本地用户和组”,右击“用户”后选择“新用户”,如图-4所示。

在打开的“新用户”对话框中,指定新用户的登录名(jack),并设置好登录密码(如Taren1),勾选“密码永不过期”、不勾选“用户下次登录时须更改密码”,如图-5所示,这样可方便用户根据自己需要重设登录口令。

执行创建后,单击“关闭”按钮退出新用户对话框,查看右侧的用户账号列表可看到新建的jack,如图-6所示。

默认情况下,密码必须符合复杂性要求,不能太简单,否则会弹出如图-7所示报错窗口而创建失败。

参考前述操作过程,依次创建另外两个用户账号tom、mike,结果如图-8所示。

2)将用户jack、tom、mike加入group1组
【方法1:修改用户属性】—— 双击用户账号列表下的jack行,弹出用户属性设置,切换到“隶属于”选项卡,如图-9所示,可看到新建用户已自动加入Users组。

单击“隶属于”选项卡下方的“添加”,输入将要加入的目标组(group1),如图-10所示,然后单击“确定”。

调整后可看到用户jack已经属于Users、group1两个组,如图-11所示,单击“确定”按钮保存。

【方法2:修改组属性】—— 双击组账号列表下的group1行,弹出组属性设置,可发现已经有了前面添加的成员用户jack,如图-12所示。

单击下方的“添加”, 输入将要加入的目标成员用户(如tom),如图-13所示,然后单击“确定”。参考此步操作再添加其他成员用户(如mike) 。

添加结果如图-14所示,单击“确定”保存设置。

3.内置组账号的应用
通过将普通用户加入Administrators组,则该用户将具有管理员权限;计入Network Configuration Operator组,则该用户允许修改网络配置(比如改IP地址)。
1)将用户tom加入内置组“Network Configuration Operator”
双击组账号列表下的“Network Configuration Operator”行,在弹出的组属性设置中添加成员用户jack,如图-15所示,单击“确定”保存。

2)将用户jack加入内置组“Administrators”
双击组账号列表下的“Administrators”行,在弹出的组属性设置中添加成员用户jack,如图-16所示,单击“确定”保存。

3)验证内置组“Network Configuration Operator”的权限
单击“开始”-->“注销”,退出当前登录的Administrator用户,按组合键Ctrl+Alt+Insert(真实系统中应为Ctrl+Alt+Delete)后可看到当前有效的本地用户账号列表,如图-17所示。


单击其中的普通用户mike,输入正确的密码后登入系统。当用户mike尝试更改IP地址时,会弹出“用户账户控制”窗口,要求提供某个管理员账号的口令,如图-18所示,否则将无权限更改IP地址。

单击“开始”-->“注销”,退出当前登录的mike用户,重新以用户tom登入系统。由于用户tom隶属于Network Configuration Operator组,因此只需要验证自己的口令就可以顺利修改IP地址等网络参数了,如图-19所示。

4)验证内置组“Administrators”的权限
注销当前登录的tom用户,重新以用户jack登入系统。因为jack用户属于Administrators组的成员,所以可执行几乎所有的管理任务,比如修改计算机名、添加/删除账户(如图-20所示)等。

1.4 扩展
2 NTFS权限设置及应用规则
2.1 问题
在Windows计算机及网络环境中,某些文件资料经常会提供给很多人访问,为防止个别用户篡改、删除资料,需要设置正确的权限来实现访问控制。只有分配了修改权限,访问者才能修改文件内容;只有分配了读取权限,访问者才能查看文件内容。
1.设置及验证文件/文件夹的NTFS权限。
2.设置及验证以下特殊权限:“读取权限”、“更改权限”。
3.测试NTFS权限的累加、继承、拒绝优先等规则。
4.测试复制和移动操作对NTFS权限的影响。
2.2 方案
2.3 实现
1.测试用户及文件夹/文件准备
1)用户账号
使用前面创建的普通用户tom、mike,这两个用户都隶属于本地组group1,不属于Administrators等特权组;新建的用户stu01,仅属于默认的Users组。
2)文件夹/文件准备
确保D盘采用NTFS文件系统,若是空闲盘可先右击D盘-->“格式化”,如图-21所示。

由管理员jack(或Administrator)创建测试文件夹D:\share、新建文本文件D:\share\test.txt,如图-22所示,并负责后续权限更改。

2.设置及验证NTFS权限
1)查看D:\share文件夹、D:\share\test.txt文件的默认权限
对于D:\share文件夹,普通组Users的用户具有读取和执行、列出文件夹内容、读取的权限,管理员组Administrators的用户具有完全控制权限,如图-23所示。

单击“高级”-->切换到“有效权限”选项卡,选择Users组检查有效权限,可发现其可以在D:\share文件夹下创建文件、创建文件夹,如图-24所示。

对于D:\share\test.txt文件,普通组Users的用户具有读取和执行、读取的权限,管理员组Administrators的用户具有完全控制权限,如图-25所示。

2)验证D:\share文件夹、D:\share\test.txt文件的默认权限
用户stu01、tom、mike都属于Users组,以其中任何一个用户登录,都可以查看test.txt文件的内容,但是无法修改文件。
单击“开始”-->“注销”右侧箭头-->“切换用户”,如图-26所示。

然后以stu01用户登入,可顺利查看D:\share\test.txt文件的内容,但尝试修改其内容并保存时,会自动弹出“另存为”对话框,如图-27所示,因为没有写入权限,所以是只读、无法直接保存。

在上述“另存为”对话框中,将文件名改为test2.txt,单击“保存”成功,如图-28所示,说明stu01用户有权限在D:\share文件夹下创建文件。

当用户stu01尝试改名或删除test.txt文件时,会提示访问被拒绝,如图-29所示。若确实要删除,应单击“继续”并验证管理员的口令才行,此处单击“跳过”或“取消”。

3)使用户stu01对文件D:\share\test.txt有写入/修改权限
切换为管理员jack登录,修改D:\share\test.txt文件的权限,添加stu01用户并勾选“修改”、“写入”等权限,如图-30所示。

再切换到stu01用户,可成功修改test.txt文件的内容,也顺利将其改名为test1.txt,如图-31所示,并不需要验证管理员口令。

4)使group1组的所有用户对文件夹D:\share有完全控制权限
切换为管理员jack登录,修改D:\share\文件夹的权限,为group1组授予完全控制权限,如图-32所示。

保存上述权限时,由于D:\share\test2.txt文件为用户stu01所拥有,所以会出现应用失败的提示,如图-33所示,单击“继续”以忽略即可。

检查group1组的成员用户mike对D:\share文件夹的权限,确认可“完全控制”,如图-34所示。

切换为group1组的成员用户(mike或tom),可对文件夹D:\share完全控制,比如将其改名为public(若有其他用户占用此文件夹,请先关闭),如图-35所示。

因为拥有完全控制权限,mike用户甚至可以重设D:\public文件夹(原D:\share)的访问权限。比如,去掉用户stu01对文件D:\public\test1.txt的“写入”和“修改”权限,如图-36所示。

3.验证权限叠加、特殊权限、拒绝权限
1)设置特殊权限
切换为管理员jack,调整D:\public文件夹的高级安全设置,单击“权限”选项卡左下方的“更改权限设置”,打开权限的详细配置窗口,如图-37所示。

编辑group1的权限条目,去掉末尾的3项特殊权限“读取权限”、“更改权限”、“取得所有权”,如图-38所示,单击“确定”保存。

2)权限的累加效果
切换为group1组的成员用户mike,尝试查看D:\public文件夹的安全属性,发现还是可以查看各用户或组的权限,如图-39所示。—— 因为mike同时也属于Users组,默认有“读取权限”的特殊权限,叠加后的有效权限就是可“读取权限”。

3)设置并验证拒绝权限
再次切换为管理员jack,调整D:\public文件夹的高级安全设置,添加用户mike的3个特殊权限为“拒绝”,其他无任何权限,如图-40所示。

单击“确定”保存后会出现Windows安全提示,告知拒绝权限优先,如图-41所示,单击“是”接受即可。

再次切换为mike用户,重新查看D:\public文件夹的安全属性,发现已经被拒绝。如果要继续查看,必须单击“继续”并验证管理员口令,说明前面设置的拒绝权限已经生效了。

4.权限继承、取得所有权
1)取消继承权限
以用户stu01登录,创建文件夹D:\stu01-private,并在此文件夹下新建文件stu01.txt。

调整文件夹D:\stu01-private的高级安全设置,去掉勾选“包括可从该对象的父项继承的权限”,弹出确认框时单击“删除”。

这样所有的继承权限就都删除了,然后添加stu01用户的“完全控制”权限。

2)管理员也无法访问未授权的文件夹或文件
切换为管理员jack,尝试进入D:\stu01-private文件夹时,会被拒绝访问。

根据提示单击“继续”尝试取得所有权,但仍然被拒绝。

3)取得对失控文件夹的所有权
由管理员jack打开D:\stu01-private文件夹的高级安全设置,切换到“所有者”选项卡。

单击“编辑”按钮,将所有者更改为管理员Jack,单击“确定”保存,弹出提示框直接“确定”。

取得所有权以后,修改文件夹D:\stu01-private的权限设置,添加管理员jack对此文件夹的“完全控制”权限

重新进入D:\stu01-private文件夹成功,但尝试查看其中stu01.txt文件的内容时仍被拒绝访问,如图-51所示。因为此前jack取得所有权、更改权限的只对文件夹D:\stu01-private起作用,未设置强制作用于其下的文件或子目录。

4)替换子对象的所有者
由管理员jack修改D:\stu01-private文件夹的所有者,勾选“替换子容器和对象的所有者”,单击“确定”保存,提示是否同时替换子对象的权限时,选择“是”一并修改,如图-52所示,之后再次“确定”。

由管理员再次查看stu01.txt文件,可顺利显示内容,如图-53所示。同时可发现该文件的图标有个小锁的标记,说明权限存在一定限制、并未与父目录完全一致。

5)强制继承(替换子对象的权限)
为了使子对象的权限与父项保持一致,可采用强制继承。
由管理员jack再次修改D:\stu01-private文件夹的高级安全设置,勾选“使用可从此对象继承的权限替换所有子对象权限”,单击“确定”保存,出现提示时单击选择“是”确认,。

5.复制和移动对NTFS权限的影响
Windows Server 2008系统中的复制和移动操作,只有在同一个NTFS分区内移动对象时,才保留对象的原始权限和属性,复制或跨NTFS分区移动均会自动继承目的地文件夹的权限。
复制和移动对NTFS权限的影响

以管理员jack登录,创建新文件夹D:\tools。
然后将文件夹D:\stu01-private移动至文件夹D:\tools下,查看文件夹D:\tools\stu01-private文件夹的权限,可发现原始权限不变,如图-55所示。

再将文件夹D:\tools\stu01-private复制一份到D:\public文件夹下,另外复制一份到C:盘根目录下。检查D:\public\stu01-private文件夹的权限,发现自动继承了文件夹的D:\public的权限。

检查C:\stu01-private文件夹的权限,发现自动继承了C:盘根目录的权限。

湖南数据中心主要业务范围:湖南主机托管、长沙服务器租用、长沙服务器托管、湖南服务器托管,知名品牌,值得信赖!