Windows2008用戶組和權(quán)限(最好)

1、 第三章第三章 Windows2008Windows2008用戶用戶組和權(quán)限組和權(quán)限本章要求 了解系統(tǒng)內(nèi)置用戶 了解系統(tǒng)內(nèi)置組的功能 熟練配置組和用戶 熟練配置NTFS權(quán)限 了解所有者本章內(nèi)容 3.1 內(nèi)置用戶與組 3.2 創(chuàng)建用戶與組 3.3 NTFS權(quán)限3.1.1內(nèi)置的本地賬戶每一臺(tái)Windows計(jì)算機(jī)都有一個(gè)本地安全賬戶管理器（SAM），用戶在使用計(jì)算機(jī)前都必須登錄該計(jì)算機(jī)，也就是要提供有效的用戶名與密碼。而這個(gè)用戶賬戶就是創(chuàng)建在SAM內(nèi)，這個(gè)賬戶被稱為本地用戶賬戶；同理，創(chuàng)建在SAM內(nèi)的組被稱為本地組賬戶。3.1.2內(nèi)置的本地賬戶Windows Server2008 內(nèi)置了兩個(gè)用戶賬號(hào)

2、（built-in account)Administrator(系統(tǒng)管理員）Administrator擁有最高的權(quán)限，用戶可以用它來(lái)管理計(jì)算機(jī)，例如創(chuàng)建、更改、刪除用戶與組賬戶，設(shè)置安全原則、添加打印機(jī)、設(shè)置用戶權(quán)限等。此賬戶無(wú)法刪除，不過(guò)為 了更安全起見，建議將其改名。Guest(來(lái)賓）Guest是提供沒(méi)有賬戶的用戶臨時(shí)使用的，他只有有限的權(quán)限。您可以更改其名稱，但無(wú)法將其刪除。此賬戶默認(rèn)是禁用的（disabled).3.1.3內(nèi)置的本地組賬戶系統(tǒng)內(nèi)置了許多本地組，這些組本身都已經(jīng)被賦予一些權(quán)限（permissions),它們具有管理本地計(jì)算機(jī)或訪問(wèn)本地資源的權(quán)限。只要用戶賬戶加入到這些本地

3、組內(nèi)，這回用戶賬戶也將具備該組所擁有的權(quán)限。以下列出幾個(gè)較常用的本地組:Administrators此組內(nèi)的用戶具備系統(tǒng)管理員的權(quán)限，他們擁有對(duì)這臺(tái)計(jì)算機(jī)最大的控制權(quán)，可以執(zhí)行整臺(tái)計(jì)算機(jī)的管理功能。內(nèi)置的系統(tǒng)管理賬戶Administrators就是屬于此組Backup Operators此組內(nèi)的用戶可以通過(guò)Windows Sserver Backup 工具來(lái)備份或還原計(jì)算機(jī)內(nèi)的文件，不論它們是否有權(quán)限訪問(wèn)這些文件。3.1.4內(nèi)置的本地組賬戶Guests此組內(nèi)的用戶無(wú)法永久改變其桌面的工作環(huán)境，當(dāng)他們登入是，系統(tǒng)會(huì)為其創(chuàng)建一個(gè)臨時(shí)的用戶配置文件（參見第9章），而注銷時(shí)此配置文件就會(huì)刪除。此組默認(rèn)

4、成員為用戶賬戶Guest。Network Configuration Operators此組內(nèi)的用戶可以執(zhí)行一般的網(wǎng)絡(luò)配置功能，例如更改ip地址；但是不可以安裝、卸載驅(qū)動(dòng)程序與服務(wù)，也不可以執(zhí)行與網(wǎng)絡(luò)服務(wù)器配置有關(guān)的功能，例如DNS服務(wù)器和DHCP服務(wù)器的配置Performance Monitor Users這個(gè)組內(nèi)的用戶具備從泵的和遠(yuǎn)程訪問(wèn)計(jì)算機(jī)的功能。3.1.5內(nèi)置的本地組賬戶Power Users為了簡(jiǎn)化組，這個(gè)在舊版Windows系統(tǒng)存在的組即將被淘汰。Windows Server 2008 雖然還保留著這個(gè)組，不過(guò)并沒(méi)有像舊版Windows系統(tǒng)一樣被賦予較多的特殊權(quán)限，也就是它權(quán)限沒(méi)

5、有比一般用戶大。Renmote Desktop Users此組內(nèi)的用戶可以從遠(yuǎn)程計(jì)算機(jī)使用終端服務(wù)登錄。Users此組內(nèi)的用戶只擁有一些基本權(quán)限，例如運(yùn)行應(yīng)用程序、使用本地與網(wǎng)絡(luò)打印機(jī)、鎖定計(jì)算機(jī)等，但是他們不能將文件夾共享給網(wǎng)絡(luò)上其他的用戶、不能將計(jì)算機(jī)關(guān)機(jī)等。添加的所有本地用戶賬戶自動(dòng)屬于此組。3.1.6 特殊組賬戶除了前面介紹的組之外，Windows Server 2008 內(nèi)還有一些特殊組，而且無(wú)法更改這些組的成員。以下列出幾個(gè)較常見到的特殊組：Everyone任何一位用戶都屬于這個(gè)組。若Guest賬戶被啟用，則委派權(quán)限個(gè)Everyone時(shí)需小心，因?yàn)槿粢粋€(gè)在計(jì)算機(jī)內(nèi)沒(méi)有賬戶的用戶，通

6、過(guò)網(wǎng)絡(luò)來(lái)登錄該計(jì)算機(jī)，他會(huì)被自動(dòng)允許使用Guest賬戶來(lái)連接。此時(shí)因?yàn)镚uest也屬于Everyone組，所以他將具有Everyone所擁有的權(quán)限Authenticated Users任何使用有效用戶帳戶來(lái)登錄此計(jì)算機(jī)的用戶，都屬于這個(gè)組。Interactive任何在本地登錄（按Ctrl+Alt+Del)的用戶，都屬 于這個(gè)組。3.1.7 特殊組賬戶Network任何通過(guò)網(wǎng)絡(luò)來(lái)登錄此計(jì)算機(jī)的用戶，都屬于這個(gè)組。Anonymous Logon任何未使用有效的一般用戶帳戶來(lái)登錄的用戶，都屬于這個(gè)組。不過(guò)Anonymous Logon默認(rèn)并不屬于Everyone組。Dialup任何使用撥號(hào)方式來(lái)聯(lián)機(jī)

7、的用戶，都是屬于此組。3.2.1 創(chuàng)建本地用戶賬戶開始管理工具計(jì)算機(jī)管理本地用戶和組3.2.2 創(chuàng)建賬戶注意事項(xiàng)1.英文字母大小寫是被看作不同的，例如abc12#與ABC12#是不同密碼，還有如果密碼為空白，則系統(tǒng)默認(rèn)此用戶帳戶只能夠在本地登錄，無(wú)法網(wǎng)絡(luò)登錄（無(wú)法從其他計(jì)算機(jī)使用此帳戶來(lái)聯(lián)機(jī))。2.系統(tǒng)默認(rèn)是用戶的密碼必須至少6個(gè)字符，且不可包含用戶帳戶名稱中超過(guò)兩個(gè)以上的連續(xù)字符，還有至少要包含A-Z、a-z、0-9、非字母數(shù)字（例如！、$、#、%）等4組字符中的3組，例如12abAB就是一個(gè)有效的密碼，而123456是無(wú)效的密碼。3.2.3 創(chuàng)建本地組賬戶開始管理工具計(jì)算機(jī)管理本地用戶和組

8、3.3.1 NTFS磁盤安全與管理 NTFS權(quán)限的種類 讀取 寫入 讀取和執(zhí)行 修改 完全控制注：除了寫入權(quán)限以外，用戶至少還需要讀取權(quán)限才可修改文件內(nèi)容3.3.2 NTFS權(quán)限的種類讀?。≧ead）它可以查看文件夾內(nèi)的文件名與子文件夾名、查看文件夾屬性和權(quán)限等。寫入（Write）它可以在文件夾內(nèi)新建文件與子文件夾、修改文件夾屬性等。列出文件夾目錄（List Folder Contents）它除了擁有讀取的權(quán)限之外，還具備遍歷文件夾（traverse folder）權(quán)限，也將是可以打開或關(guān)閉此文件夾讀取和執(zhí)行（Read&Execute）它擁有與列出文件夾目錄幾乎完全相同的權(quán)限，只有在權(quán)

9、限繼承方面有所不同：列出文件夾夾目錄權(quán)限 只會(huì)被文件夾繼承，而讀取和執(zhí)行回同時(shí)被文 件夾與文件繼承。3.3.3 NTFS權(quán)限的種類修改（Modify）它除了擁有前面的所有權(quán)限外，還可以刪除子文件夾。完全控制（Full Control）它擁有所有的NTFS文件夾權(quán)限，也將是除了擁有上述的所有權(quán)限之外，還擁有更改權(quán)限與取得所有權(quán)的特殊權(quán)限3.3.4 NTFS權(quán)限的設(shè)置目標(biāo)文件夾屬性安全編輯3.3.5 NTFS權(quán)限的高級(jí)設(shè)置目標(biāo)文件夾屬性安全高級(jí)編輯3.3.6 NTFS權(quán)限的注意事項(xiàng) NTFS權(quán)限是可以被繼承的 NTFS權(quán)限是有累加性的 拒絕權(quán)限優(yōu)先級(jí)較高 即使用戶對(duì)此文件夾或文件沒(méi)有刪除的權(quán)限，但

10、是只要對(duì)父文件夾具有刪除子文件夾及文件的權(quán)限，還是可以將此文件刪除3.3.7 文件與文件夾的所有權(quán) NTFS磁盤內(nèi)的每一個(gè)文件與文件夾都有所有者（owner），默認(rèn)是創(chuàng)建文件或文件夾的用戶，就是該文件或文件夾的所有者。 所有者可以更改其所擁有的文件或文件夾的權(quán)限，無(wú)論其當(dāng)前是否有權(quán)限訪問(wèn)此文件或文件夾。3.3.8 文件與文件夾的所有權(quán)用戶可以獲取文件或文件夾的所有權(quán)，使其成為新所有者。然而用戶必須具備以下的條件之一，才可以獲取所有權(quán)： 具備取得文件或其他對(duì)象的所有權(quán)全鄉(xiāng)的用戶，系統(tǒng)默認(rèn)是賦予 administrator組這個(gè)權(quán)限。 對(duì)該文件或文件夾具有取得所有權(quán)的特殊權(quán)限。 具備還原文件和路率權(quán)限的用戶。任何用戶只要具有取得文件或其他對(duì)象的所有權(quán)的權(quán)限，就可以通過(guò)其他用戶或組來(lái)將所有權(quán)移交給其他用戶和組3.3.9 修改所有者目標(biāo)文件夾屬性