用户与组管理、NTFS权限
一、用户与组管理
用户
账户=账号/用户名+密码
每个账户有自己唯一的SID
账户密码存储位置: c:\windows\system32\config\SAM 暴力破解/撞库
windows系统上,默认密码最长有效期42天
每个用户账号都有自己配置文件
- win7/win2008 c:\用户
- xp/win2003 c:\Documents and Settings
SID
不同的账户拥有不同的权限!
为不同的账户赋权限,也就是为不用账户的SID赋权限!
查看sid值:whoami /user
administraotr的SID:S字符串+500(UID)
本地用户默认有内置账户:
1)给人使用的账户:管理员账户administrator、来宾账户guest
2)计算机服务组件相关的系统账号
system 系统账户 == 权限至高无上 (等于Linux的root)
local services 本地服务账户 = 权限等于普通用户
network services 网络服务账户 = 权限等于普通用户
查看用户管理:计算机右键管理
| 用户管理 | 备注 |
|---|---|
| net user | 查看用户列表 |
| net user 用户名 密码 | 更改密码 |
| net user 用户名 密码 /add | 添加用户 |
| net user 用户名 /active:no | no禁用用户/yes激活用户 |
| net user 用户名 /del | 删除用户 |
| 组管理 | 备注 |
|---|---|
| net localgroup | 查看组列表 |
| net localgroup 组名 | 查看组成员 |
| net localgroup 组名 /add | 添加组 |
| net localgroup 组名 用户名 /add | 添加成员到组 |
| net localgroup 组名 用户名 /del | 从组中踢出成员 |
| net localgroup 组名 /del | 删除组 |
组的意义:简化权限的的赋予
内置组:内置组的权限默认已经被系统赋予。
- administrators :管理员组
- guests: 来宾组
- users: 普通用户组,默认新建用户都属于该组
- network 网络配置组
- print 打印机组
- Remote Desktop 远程桌面组
Windows用户与组管理的操作练习
二、NTFS权限:
(文件或文件夹右键属性–安全–ACL)ACL用来做过滤
-
1.文件系统类型:
NTFS:支持单个文件大于4个G,支持文件权限设置
FAT32:不支持单个文件大于4G,不支持文件权限设置 -
2.取消权限继承:
作用:取消后,可以任意修改权限列表了。
方法:文件夹右键属性—安全—高级—去掉第一个对号–选择复制即可 -
3.权限累加:
当用户同时属于多个组时,权限是累加的! -
4.拒绝最大:
当用户权限累加时,如遇到拒绝权限,拒绝最大! -
5.取得所有权:
默认只有administrator有这个权限!
作用:可以将任何文件夹的所有者改为administrator -
6.强制继承:
作用:对下强制继承父子关系!
方法:文件夹右键属性–安全–高级–勾上第二个对号,即可!
注意:文件复制后,文件的权限会被目标文件夹的权限覆盖,即获得上一级目录的权限
三、文件共享服务器
文件共享服务器:(类似于FTP服务器)
注:
- ①本地登录时,只受NTFS权限的影响
- ②在远程登录时,将受共享及NTFS权限共同影响,且取交集!
创建共享:
文件夹右键属性-共享-开启共享-设置共享名-设置共享权限
(先允许everyone完全控制,再根据权限需求在“安全”菜单设置NTFS权限)
局域网共享协议 cifs
| 设置共享 | 备注 |
|---|---|
| net share | 列出本地所有的共享 |
| net share 共享名 /del | 删除共享 |
shutdown -r 重启 shutdown -s 关机
shutdown -s -t 强制关机
shutdown -s -t 0 强制立即关机
共享名
访问共享时,客户机远程访问共享看不到文件本名,只能看到共享名。
隐藏共享
服务器创建隐藏共享:共享名$
访问隐藏共享: \192.168.1.1\共享名$
commond+R输入\192.168.1.1远程访问服务器回车后进入共享文件夹
进入共享文件夹后不会显示隐藏共享文件,需要手动写出来:
\192.168.1.1\gjjm$
UNC地址
反斜杠\ 命令行访问法 访问网上邻居,实际上应该称作UNC路径访问法。
UNC(Universal Naming Convention)通用命名规则,也叫通用命名规范、通用命名约定。 网络(主要指局域网)上资源的完整名称。
UNC共享,就是网络硬盘的共享。
符合\\servername\sharename 格式, servername 是服务器名,sharename 是共享资源的名称
目录或文件的 UNC 名称可以包括共享名称下的目录路径,格式为:\\servername\sharename\directory\filename。
\\文件共享服务器IP
\\文件共享服务器IP\共享名
或者conmmond+R打开命令行输入
彻底删除系统隐藏共享的产生——修改注册表
打开注册表编辑器:regedit
定位到:
HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\
右键新建REG_DWORD类型的AutoShareServer 键,值为 0
关闭445服务 共享服务依赖445端口
commond+R进入 services.msc ,并停止及使用server服务
四、用户组与NTFS权限实验
实验一:
实验要求:创建一个文件夹,实现本地登录时,tom用户只能创建新的文件,cat用户只能读取及下载文件。
实验步骤:
分别创建tom、cat用户。
进入D盘创建文件夹“权限”,右键“属性”选择“安全”菜单,点击添加按钮,输入tom和cat,用分号;隔开,并确定。
删除其他用户和组,仅保留如下3个用户
分别设置tom和cat权限如下:
取消继承
验证:
Tom能打开文件夹但无法打开访问其中的内容,可以创建文件。
cat能打开并访问内容,但是无法创建也写入无法删除。
实验二:
实验要求:新建用户jack,并将用户jack加入到hr组及IT组,为文件夹jimi设置权限,只允许hr组读取不能创建文件,it组只能创建文件不能读取,使用jack用户登录并访问jimi文件夹,验证jack的权限。
实验步骤:
分别创建用户jack、组HR、组IT并将jack添加到组HR及IT,并创建文件夹jimi
添加组HR、IT准备设置权限
给HR组设置权限只能读取,给IT组设置权限只能写入
此时组中的jack应同时具备读取与创建文件的权限
验证:
可以读取文件,可以创建文件。
实验三
实验要求:新建用户wxf,并将用户wxf加入到ceo组,且不能从该组中剔除,为文件夹jimi赋权限,要求ceo组可以完全控制jimi文件夹,但wxf不能访问该文件夹。
实验步骤:
创建用户wxf、组ceo,并将wxf添加到组ceo
在jimi文件的属性下添加wxf、ceo,设置ceo组的权限和wxf用户的权限
验证:
实验四
删除所有组和用户
然后用管理员添加用户,此时可以访问
