第9章管理對ad域服務(wù)中的資源訪問權(quán)

1、管理對AD域服務(wù)中的的權(quán)第9章主講：章節(jié)概述 管理概述 分配對共享的權(quán)限 管理 NTFS 文件和文件夾權(quán)限 確定有效權(quán)限新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我第 1 節(jié)：管理概述 安全主體令牌 權(quán)限的工作方式新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我安全主體安全主體 - 可用于和分配權(quán)的用戶、組或計算機對象。安全 ID (SID) - 在創(chuàng)建用戶、計算機或時分配的唯一值。Windows 中的內(nèi)部過程帳戶的 S

2、ID，而不是帳戶的用戶名或組名。相對 ID (RID) -安全ID (SID) 的一部分，在域中惟一標識的帳戶或組。S-1-5-21- 1454471165-1004336348-1606980848-5555新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我RIDSID安全主體令牌用戶的令牌新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.請與我!.com課程報名及光盤用戶 SID組 SID用戶權(quán)利列表其他權(quán)信息主體權(quán)限權(quán)限： 是授予或拒絕對象 用于權(quán)的規(guī)

3、則分配權(quán)限的方式“”或“拒絕”權(quán)限可分配到（文件夾、打印機、文件）權(quán)限可分配到本地計算機中的帳戶或 AD DS 中的帳戶可以顯式應(yīng)用權(quán)限、繼承權(quán)限或隱式應(yīng)用權(quán)限新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我的工作方式列表 (DACL)隨機 DACL 包含用戶和組的列表，這些用戶和組可以絕而無法 NTFS 卷上的每一個文件和文件夾都有關(guān)聯(lián)的 DACL或者被拒列表 (SACL)系統(tǒng) SACL審核對的條目 (ACE) 定義 DACL 指定一組要或 SACL 中的每一個條目、拒絕或?qū)徍说?SID 如果在 DACL中

4、未指定任何 ACE，那么將拒絕新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我管理權(quán)回顧 在授予對 AD DS，DACL 的作用是什么？中的的 DACL 與SACL 有何不同？新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我第 2 節(jié)：分配對共享的權(quán)限 共享文件夾 管理共享文件夾 共享文件夾權(quán)限 演示：創(chuàng)建共享文件夾 連接到共享文件夾 演示：管理共享文件夾 使用共享文件夾的注意事項新目標IT課堂常年開設(shè)微軟、思科、Linux

5、、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我共享文件夾共享文件夾是通過其內(nèi)容的文件夾。文件夾可以共享，但是各個文件不可共享默認情況下，共享文件夾權(quán)限為“Everyone，”可通過以下方式找到共享文件夾：在 Windows管理器中尋找有兩個用戶圖標的文件夾在命令行下通過 Net Share 命令在“計算機管理”的“共享文件夾”下新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我管理共享文件夾管理共享：是隱藏共享在使用 Net View時或者在“”視圖中都顯示管理員有完

6、全權(quán)限共享權(quán)限不可更改新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我共享文件夾權(quán)限新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：課程報名及光盤請與我!權(quán)限級別權(quán) 查看文件中的數(shù)據(jù) 瀏覽子文件夾 可執(zhí)行共享文件夾中的程序 默認情況下應(yīng)用于 Everyone 組更改 “”類別的所限 可創(chuàng)建新文件和子文件 可修改或刪除現(xiàn)有文件中的數(shù)據(jù) 可刪除文件和子文件完全 “”和“更改”類別中的所限，外加更改安全性設(shè)置的權(quán)限演示：創(chuàng)建共享文件夾在此演示中，你將看到

7、如何創(chuàng)建共享文件夾。新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我連接到共享文件夾通過 UNC：命名約定為servernameshare 或servernamesharefileWindows可通過管理器、命令行或編程方式通過：使用圖形化工具瀏覽以獲得共享可在域模式或工作組模式下進行不顯示隱藏共享或管理共享新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我通過驅(qū)動器：使用 Windows管理器或命令行將驅(qū)動器到servern

8、ameshare演示：管理共享文件夾在此演示中，你將看到如何使用“共享和管理” 工具來管理對共享文件夾的。新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我使用共享文件夾的注意事項創(chuàng)建共享文件夾時：用戶修改 NTFS 權(quán)限。將組添加到“完全ü牢記“完全”權(quán)限組時應(yīng)謹慎新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我ü將 Authenticated Users 組添加到共享的權(quán)限，而將 Everyone組刪除

9、ü避免將權(quán)限分配給單個用戶，盡可能使用組ü盡可能使用最嚴格的權(quán)限第 3 節(jié)：管理 NTFS 文件和文件夾權(quán)限 NTFS 權(quán)限 標準權(quán)限和特殊權(quán)限 NTFS 權(quán)限繼承 演示：配置 NTFS 權(quán)限和移動文件和文件夾時，對 NTFS 權(quán)限的影響新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我NTFS 權(quán)限“拒絕”權(quán)限優(yōu)先于“”權(quán)限新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：課程報名及光盤請與我!文件權(quán)限文件夾權(quán)限寫入寫入和執(zhí)行列出

10、文件夾內(nèi)容修改和執(zhí)行完全修改完全標準權(quán)限和特殊權(quán)限新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：課程報名及光盤請與我!標準權(quán)限列出文件夾內(nèi)容修改寫入和執(zhí)行完全特殊權(quán)限遍歷文件夾/執(zhí)行文件創(chuàng)建文件夾/附加數(shù)據(jù)權(quán)限列出文件夾/數(shù)據(jù)寫入屬性更改權(quán)限屬性寫入擴展屬性取得所擴展屬性刪除子文件夾和文件同步創(chuàng)建文件/寫入數(shù)據(jù)刪除NTFS 權(quán)限繼承繼承無需對每個對象分配顯式權(quán)限即可管理對的默認情況下，NTFS 權(quán)限是按照父/子繼承的權(quán)限繼承可可在文件或文件夾級別執(zhí)行在文件夾上設(shè)置可新權(quán)限到子對象新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、

11、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我演示：配置 NTFS 權(quán)限在此演示中，你將看到如何配置 NTFS 權(quán)限。新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我和移動文件和文件夾時，對 NTFS 權(quán)限的影響NTFS 分區(qū)C:或移動NTFS 分區(qū)E:移動NTFS 分區(qū)D: 在文件和文件夾時，它們繼承目標文件夾的權(quán)限 當(dāng)在同一個分區(qū)中移動文件和文件夾時，它們保留其權(quán)限 在將文件和文件夾移到其他分區(qū)時，它們將繼承目標文件夾的權(quán)限新目標IT課堂常年開設(shè)微軟、思科、Linux、

12、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我第 4 節(jié)：確定有效權(quán)限 有效 NTFS 權(quán)限 討論：應(yīng)用 NTFS 權(quán)限 演示：評估有效權(quán)限 共享文件權(quán)限和 NTFS 權(quán)限合并的效果 討論：確定有效 NTFS 權(quán)限和共享文件夾權(quán)限 實施 NTFS 權(quán)限和共享文件夾權(quán)限的注意事項新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我 有效 NTFS 權(quán)限NTFS 權(quán)限是累積的“拒絕”優(yōu)先權(quán)限可應(yīng)用于用戶或組文件權(quán)限覆蓋文件夾權(quán)限文件和文件夾的創(chuàng)建者是所有者新目標IT課堂常年開

13、設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.請與我!.com課程報名及光盤修改執(zhí)行寫入討論：應(yīng)用 NTFS 權(quán)限NTFS 分區(qū)Users組Folder1File1Folder2File2新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我Sales 組Users 組對 Folder1有修改權(quán)限3File2 只能由 Sales組以“”權(quán)限User12Users 組對 Folder1有權(quán)限Sales 組對 Folder2有寫入權(quán)限Users 組對 Folder1有寫入權(quán)限1Sa

14、les 組對 Folder1有權(quán)限演示：評估有效權(quán)限在此演示中，你將看到如何評估有效權(quán)限。新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我共享文件權(quán)限和 NTFS 權(quán)限合并的效果在合并共享文件夾權(quán)限和 NTFS 權(quán)限時，將應(yīng)用最嚴格的權(quán)限ü新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我ü文件和文件夾共享權(quán)限和 NTFS 權(quán)限必須有正確的權(quán)限，否則系統(tǒng)將隱式拒絕用戶或組示例：如果用戶或組獲得了共享權(quán)限“”

15、和 NTFS 權(quán)限“寫入”，那么用戶或組將只能文件，因為這是最嚴格的權(quán)限。NTFS 權(quán)限和共享文件夾權(quán)限討論：確定有效的課堂討論： 確定有效 NTFS 權(quán)限 確定共享文件夾權(quán)限 1 2 NTFS 卷NTFS 卷UsersFCDataFCUser1FCUser1Sales組SalesFCUser2FCUser2HRFCUser3User3Pubs新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我FC = 完全Sales 組Users 組實施 NTFS 權(quán)限和共享文件夾權(quán)限的注意事項新目標IT課堂常年開設(shè)微軟、思科

16、、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我ü使用 NTFS 權(quán)限而不是共享權(quán)限來實現(xiàn)細粒度的ü盡可能在文件夾結(jié)構(gòu)中的授予權(quán)限ü不要拒絕 Everyone 組對對象的權(quán)ü只在必要時使用“拒絕”權(quán)限ü將權(quán)限授予組而不是用戶實驗：管理對的權(quán) 練：共享文件夾實施（討論） 練習(xí) 2：實施共享文件夾 練習(xí) 3：評估共享文件夾實施登錄信息估計時間： 45 分鐘新目標IT課堂常年開設(shè)微軟、思科、Linux、安全、H3C及Office高端培訓(xùn)淘寶：xuehao51.!.com課程報名及光盤請與我虛擬機6851A-NYC-DC1，6851A-NYC-CL1用戶名Administrator ，Sven，DorenaPa$w0rd實驗回顧 為了授予多位同事對共享文件夾的權(quán)？ 用戶如何重新打開已放入只寫文件夾（如本練習(xí)中創(chuàng)建的 DropFolder） 中的文件？權(quán)，應(yīng)如何做才能最高效地分配 如何配置如下的共享文件夾：某個部門共享文件；部門中每個人都其他人的文件；但是只有一小部分人可在其中添加的文件以及可編輯所有文件的內(nèi)容？”管理 MMC