08 访问权限控制

合集下载

SQL Server 2008 用户权限设置

SQL Server 2008 用户权限设置1.在“安全性登陆名”项上单击鼠标右键，选择新建登陆名；如图1-1图1-12.在打开的“登录名-新建”对话框中设定登陆名、密码及密码策略，如图1-2图1-23.在“服务器角色”页面设定新建用户的角色，不同角色决定该用户不同的权限；如图1-3图1-3注：服务器各角色权限Bulkadmin：这个服务器角色的成员可以运行BULK INSERT语句。

这条语句允许从文本文件中将数据导入到SQL Server 2008数据库中，为需要执行大容量插入到数据库的域账户而设计。

Dbcreator：这个服务器角色的成员可以创建、更改、删除和还原任何数据库。

这不仅是适合助理DBA的角色，也可能是适合开发人员的角色。

Diskadmin：这个服务器角色用于管理磁盘文件，比如镜像数据库和添加备份设备。

它适合助理DBA。

Processadmin：SQL Server 2008能够多任务化，也就是说可以通过执行多个进程做多个事件。

例如，SQL Server 2008可以生成一个进程用于向高速缓存写数据，同时生成另一个进程用于从高速缓存中读取数据。

这个角色的成员可以结束（在SQL Server 2008中称为删除）进程。

Securityadmin：这个服务器角色的成员将管理登录名及其属性。

他们可以授权、拒绝和撤销服务器级权限。

也可以授权、拒绝和撤销数据库级权限。

另外，它们可以重置SQL Server 2008登录名的密码。

Serveradmin：这个服务器角色的成员可以更改服务器范围的配置选项和关闭服务器。

例如SQL Server 2008可以使用多大内存或监视通过网络发送多少信息，或者关闭服务器，这个角色可以减轻管理员的一些管理负担。

Setupadmin：为需要管理链接服务器和控制启动的存储过程的用户而设计。

这个角色的成员能添加到setupadmin，能增加、删除和配置链接服务器，并能控制启动过程。

Windows Server 2008权限管理服务(AD RMS)

• 发布受保护的内容时，作者从本地计算机上可用
• 已经创建了新模板分发管道，AD RMS 客户端可
以轮询该管道以获得对权限策略模板的更新。如果添加、更改或删除了某个权限策略模板，客户端会检测到这些更改，并在它下次刷新期间更新本地权限策略模板。
户端上，权限策略模板本地存储在 %localappdata%\Microsoft\DRM\templates 文件夹中。对于 Windows XP、Windows 2000 和 Windows Server 2003，路径为 %appdata%\Microsoft\DRM\templates。
server 2008 包括 AD RMS 客户端，但其他客户端操作系统必须安装有 RMS 客户端。带有 Service Pack 2 (SP2) 的 RMS 客户端可从 Microsoft 下载中心下载，并且可以在早于 Windows Vista 和 Windows Server 2008 的客户端操作系统版本上工作。
下限制：
安装
AD RMS 的用户帐户必须与 AD RMS 服务帐户不同。 AD RMS 服务连接点 (SCP)，则安装 AD RMS 的用户帐户必须是 AD DS Enterprise Admins 组或同等组的成员。 AD RMS 数据库使用外部数据库服务，则安装 AD RMS 的用户帐户必须具有创建新数据库的权限。如果使用 Microsoft SQL Server 2005，则用户帐户必须是系统管理员数据库角色或同等角色的成员。 AD RMS 的用户帐户必须有权查询 AD DS 域。
• 在运行 Windows Server 2008 的 AD RMS 客
在早期版本的 Windows 中安装 AD RMS 客户端

win2008 网络共享权限设置说明

win2008 网络共享权限设置说明系统环境：Windows 2008 Sserver Enterprise sp2备注：本文中的网络共享指通过映射磁盘驱动器形式进行共享；文中所有权限设置均不考虑网络安全状况，仅针对用户访问权限。

假设需求：实现共享文件夹下合法用户登录后对全部文件及文件加可读，具体用户对应的业务文件夹可写。

帐号：张三、李四、王五共享文件夹根目录下设置子文件夹：1、2、3、4要求实现权限：1）各帐号可对根目录下文件及子文件夹1-4可读，对子文件夹4可写；2）张三对文件夹1可写，李四对文件夹2可写，王五对文件夹3可写。

实现步骤：一、建立用户及用户组1.新建用户：张三、李四、王五（用户为系统真实可登录用户，需设置好密码及密码策略可关闭用户远程登录权限）2.新建用户组：共享组（并将以上新建立的用户加入用户组中），新建立用户后默认是Users组中，更改为自己建立的组即可（备注：以下实例操作中共享文件夹名字、用户名、用户组不同，请自行修改）二、建立共享根目录文件夹1.右键共享根目录文件夹，选“共享”并按以下图示设置共享用户及权限选择增加everyone为：参与者2.调整共享文件夹选项中的“安全”权限：1）设置共享组、everyone、Users组对共享根目录文件夹为：读取和执行、列出文件夹和目录、读取权限（如以上3个用户或组含有其他“特殊”权限请务必删除，否则会影响后续权限设置，其他用户权限可保持原来的设置）<这里的主要地方是理解用户的包含关系，本人理解为自己新建立的用户既属于everyone也属于Users组也属于共享组，所以权限设置上如果everyone及Users组共享组有的，用户也会有>三、新建立子文件夹并设置权限1.公共文件夹只需设置Users组（或共享组、everyone）的完全控制权限即可2.专用文件夹（即文件夹1-3）权限设置1)检查文件夹下Users、共享组、everyone权限确保以上用户只有：读取和执行、列出文件夹和目录、读取权限2）增加专属用户对文件夹的权限操作如下：文件夹点右键选“属性”，在“安全”选项下的“编辑”中，增加专属用户对该文件夹的完全控制权限即可。

SQL Server 2008 授权模式概述说明书

總結摘要SQL Server 2008 有三種授權模式：伺服器暨裝置授權Server plus device client access license (CAL).在執行Microsoft Server 產品的電腦上需要一個Server授權，以及每一個需要連結使用的前端裝置都需要一個連結使用授權 (CAL)。

伺服器暨使用者授權Server plus user client access license (CAL).在執行Microsoft Server 產品的電腦上需要一個Server授權，以及每一個需要連結使用的使用者都需要一個連結使用授權 (CAL)。

處理器授權Processor license.在執行SQL Server的操作系統中，每一顆CPU需要一個單一授權(Processor license)。

在這種授權模式包含了無數量限制的前端裝置授權。

這份文件說明了SQL Server 2008客戶的重要授權考量。

SQL SERVER 2008 SERVER PLUS CAL LICENSINGSQL Server 2008 (在工作群組、標準版、和企業版) 提供個別的授權給每一個使用裝置或使用者連結進入使用SQL Server 的授權，稱為 client access licenses (CALs)。

伺服器授權Server License–在每一個執行SQL Server 或是SQL Server components (例如，Analysis Services) 的操作系統環境都要求一個伺服器授權 (Server License)。

裝置授權Device CAL–需要連結進入使用Microsoft SQL Server服務或功能的前端裝置(例如，電腦、工作站、終端機、PDA、行動電話，等等) 都需要購買裝置授權(Device CAL)。

如果是多人使用同一裝置(例如，Call Center)，這種Server plus device CAL的授權方式可能是成本效益較好的一種授權方式。

sqlserver2008r2 权限管理说明 -回复

sqlserver2008r2 权限管理说明-回复SQL Server 2008 R2 权限管理说明SQL Server是一款功能强大的关系型数据库管理系统，提供了完善的权限管理机制，可以对数据库和对象进行细粒度的访问控制。

在SQL Server 2008 R2中，权限管理是非常重要的一环，它可以帮助数据库管理员（DBA）保护敏感数据，确保数据的安全性和完整性。

本文将详细介绍SQL Server 2008 R2的权限管理机制，包括登录、用户、角色和授权等内容。

1. 登录管理登录是SQL Server中的一个关键概念，它是用户访问数据库的凭证。

SQL Server 2008 R2支持Windows身份认证和SQL Server身份认证两种方式进行登录管理。

Windows身份认证使用操作系统的凭据进行认证，SQL Server身份认证则是通过用户名和密码进行认证。

登录的创建和授权都是由系统管理员（SA）或拥有相应管理权限的用户执行。

创建登录的语法如下：sqlCREATE LOGIN login_name WITH PASSWORD = 'password'授权登录的语法如下：sqlGRANT CONNECT SQL TO login_name2. 用户管理用户是指已经登录到系统中的安全标识，也是授权和分配权限的主体。

你可以为每个登录创建一个独立的用户，也可以为多个登录创建共享用户。

用户可以通过创建数据库用户来与数据库建立连接，执行特定的操作。

创建用户的语法如下：sqlCREATE USER user_name FOR LOGIN login_name授权用户的语法如下：sql3. 角色管理角色是一组用户的集合，可以将权限分配给角色而不是每个用户。

这样可以简化权限管理，并且在需要更改权限时，只需更改角色的权限而不用每个用户都进行更改。

SQL Server 2008 R2提供两种类型的角色：固定数据库角色和自定义数据库角色。

windows server 2008 iis7.0权限委派控制

windows server 2008 iis7.0权限委派控制
通常你的iis上面可能有多个网站，如果你想让特定用户远程连接过来来管理你指定的网站的话就要用到权限委派了，很方便，很实用～
一：在server级别，点击iis管理用户，新建一个帐号
输入用户名和密码
二：在server级选择管理服务
选择功能委派，分配点任务给远程连进来的用户（如只读默认文档）
选择启用远程连接，选中windows凭据或iis管理器凭据，并在右边点击启用
三：在网站级别选择iis管理器权限
选择允许用户
选择你所创建的用户
四：测试，在另外一台iis，选择连接至站点
填写服务器名称与您要连接的站点
填写相关用户名与密码，
连接成功
最后在客户端看到效果默认文档是不能修改的。

Windows2008文件权限修改方法

Windows2008文件权限修改方法玩过windows2008的朋友都知道，windows2008系统文件的安全更改和windows2003以及windows2000已经不一样了，原来的系统我们相对一个文件或文件夹进行安全配置，只需要在安全属性里面把需要的添加，不需要的删除，即可完成安全操作。

但是在windows2008下，当你使用这个方法的时候碰到困难了，因为我们没有权限去配置安全，比如我们以sysytem32下的find.exe文件的安全配置作为例子，当我们右键－属性－安全－编辑，发现所有配置都是灰色：在安全里面－高级－编辑，新窗口中发现只有一个查看按钮可以点击，原来传统的编辑按钮不存在了：点击查看按钮，发现里面的所有配置也都是灰色，无法做任何修改。

当我们使用以往的命令行cacls.exe文件来配置其他文件的权限时候，提示“拒绝访问。

”，也就是说，我们以管理员的身份也无法对系统文件的安全进行任何的修改。

经过我反复研究，发现真正造成这个问题的原因是文件的所有者，在windows2008系统中，我们安装完系统以后，系统所有文件和文件夹的所有者默认都是“TrustedInstaller”：我们在计算机管理里面用户管理界面上找不到这个用户，具体这个用户的属性我没有查找官方的相关说明，不知道他对我们的安全具体起到什么作用。

我们只需要将文件的所有者“TrustedInstaller”修改成“administrators”，那么我们对文件权限的操作就会随心所欲，我们在所有者窗口上，选择administrators，点击应用：这样就会修改文件的所有者为“administrators”：现在我们对文件权限可以进行任何预期的编辑了，以前是灰色无法编辑的部分都已经可以进行修改：具体权限的修改方法我这里就不做任何说明，和原来windows2003上是相同的。

下面我们通过命令行实现所有这的修改，这样可以不需要你去点击，我来先介绍一个工具：takeown.exe该工具的使用说明如下：引用内容TAKEOWN [/S system [/U username [/P [password]]]] /F filename [/A] [/R [/D prompt]]描述:该工具以重新分配文件所有权的方式允许管理员重新获取先前被拒绝访问的文件访问权。

SQL Server 2008修改表的访问权限

SQL Server 2008修改表的访问权限
在SQL Server中，还可以通过修改表的访问权限，指定一个角色对其进行访问、修改、删除等操作。

例如赋予public角色查看Student表中studentID、studentName、sex、classID 四列，操作步骤如下：
（1）启动SQL Server Management Studio，展开Students数据库节点，列出数据库中的表。

（2）右击【student】表，执行【属性】命令。

在弹出的【属性】窗口中，单击【权限】选择页，进入【权限】页面，如图3-5所示。

图3-5 【权限】页面
（3）单击【搜索】按钮，将弹出【选择用户或角色】对话框，单击【浏览】按钮，如图3-6所示。

然后，在弹出的【查找对象】对话框中，启用“[public]”前的复选框，并单击【确定】按钮，如图3-7所示。

图3-6 选择用户或角色图3-7 查找对象（4）在【表属性】对话框中，选择【显示】选项卡中的【更新】权限，并启用【列权限】按钮。

通过单击【列权限】按钮打开【列权限】对话框，如图3-8所示。

图3-8 授予权限
（5）在【列权限】对话框中，设置studentID、studentName、sex、classID这4列的
权限，启用可以查看的列的复选框，单击【确定】按钮退出，如图3-9所示。

（6）在【表属性】窗口单击【确定】按钮，完成表属性修改操作。

08访问控制

执行（execute）
Null（无效）这种模式表示，主体对客体不具有任何访问权。在存取控制表中用这种模式可以排斥某个特定的主体。
25
四、强制访问控制（MAC）
系统对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统根据主体和客体的敏感标记来决定访问模式。如：绝密级，秘密级，机密级，无密级。MAC通过梯度安全标签实现单向信息流通模式。
6
Ä ±Y ¿ ê
Ä ±Z ¿ ê ¶ ¡ Ð ¸ ¡ ¹ À Á ¢ Þ Ä ¢ Ü í
访问控制策略可分为：
自主式策略（基于身份的策略）基于个人的策略隐含的缺省策略禁止/开放最小特权原则：最大限度地控制用户为完成授权任务所需要的许可集。基于组的策略多个用户被组织在一起并赋予一个共同的标识符。更容易、更有效。强制式策略（基于规则的策略）多用于机密、军事部门
DAC的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限，访问通常基于访问控制表（ACL）。访问控制的粒度是单个用户。
18
ACL 访问控制表 ACL是存在于计算机中的一张表，用户对特定系统对象例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限。最一般的访问权限包括读文件（包括所有目录中的文件），写一个或多个文件和执行一个文件（如果它是一个可执行文件或者是程序的时候）。
特点：强制性；限制性。
上读；下读；上写；下写
强制方法：限制修改ACL；过程控制；限制共享。

Windows2008域管理文件服务器文件夹权限设置

Windows2008域管理文件服务器文件夹权限设置Windows2008 域管理文件服务器文件夹权限设置用Windows 2008 作域的文件服务器，设置文件用户帐号访问的权限。

例如:用户帐号和权限文件夹名称 AA BB CC DD权限读写读写读写读写小明 * * * *小邓 * * * *小李 * * * *小一 * * * *小二 * * * *小三 * * * *…… * * * *重点要注意:1.共享根文件夹:a.根文件夹设置文件->属性->安全->高级->权限，"从父项继承子对象的权限项目" 勾去掉;b.根文件夹设置文件->属性->安全，添加授权用户帐号和权限设置;c.根文件夹设置文件->属性->共享->高级共享->权限，添加用户帐户和权限;共享根目录abc三项必须做。

2.设置子文件夹权限时:a.子文件夹设置文件->属性->安全->高级->权限，"从父项继承子对象的权限项目" 勾去掉;b.子文件夹设置文件->属性->安全，添加授权用户帐号和权限设置;子文件夹只需要添加用户帐户和权限就OK。

还可以添加Everyone、authenticated users 的帐户。

但必需根文件夹先授权Everyone、authenticated users ，子文件夹才能有权限应用，如子文件夹允许Everyone、authenticated users 访问，只要在子文件夹设置文件-属性-安全，删除授权用户帐号和权限设置。

图1:根文件夹设置文件->属性->共享->高级共享->权限图2:根文件夹设置文件->属性->安全->高级->权限。

sqlserver2008r2 权限管理说明

sqlserver2008r2 权限管理说明SQL Server 2008 R2的权限管理是通过授权用户或角色来实现的。

以下是一些关于权限管理的基本概念和操作：1. 登录（Login）和用户（User）：-登录是指用户在SQL Server上的身份标识。

登录可以使用SQL Server身份验证或Windows身份验证。

-用户是数据库内的一个实体，与登录关联，用于连接到数据库并执行操作。

2. 角色（Role）：-角色是一组权限的集合，可以将用户添加到角色中，从而为他们赋予一组共同的权限。

- SQL Server有预定义的固定角色（如db_datareader、db_datawriter）和用户定义的角色。

3. 权限（Permission）：-权限定义了用户或角色对数据库对象（表、视图、存储过程等）执行的操作。

-常见的权限包括SELECT、INSERT、UPDATE、DELETE等。

4. 授予（GRANT）：-通过GRANT语句可以向用户或角色授予特定的权限。

例如：`GRANT SELECT ON table_name TO user_name;`5. 拒绝（DENY）：-使用DENY语句可以拒绝用户或角色对特定权限的访问。

例如：`DENY INSERT ON table_name TO user_name;`6. 回收（REVOKE）：-使用REVOKE语句可以撤销已经赋予或拒绝的权限。

例如：`REVOKE SELECT ON table_name FROM user_name;`7. 层次化的权限控制：- SQL Server支持细粒度的权限控制，可以对数据库、表、列等级别进行权限的分配。

8. 视图和存储过程权限：-对于视图和存储过程，需要分别授予执行权限，使用GRANT语句。

9. 数据库角色和服务器角色：- SQL Server提供了数据库角色和服务器角色。

数据库角色仅对当前数据库有效，而服务器角色对整个SQL Server实例有效。

win2008共享文件及权限

Windows2008根据用户权限显示共享文件夹的内容如下:
现在Windows2008集成该功能，叫做基于访问权限的枚举，即Access Based Enumeration。

环境要求：域环境+Windows2008
现在给大家分享一下该功能的使用方法。

新建一个文件夹ShareFile，设置共享（我在文件夹选项去掉共享向导了，所以出现以下共享界面），权限就设置为everyone可读取就可以了。

打开共享和存储管理
右键ShareFile共享文件夹，点击属性点击高级
勾选启用基于访问权限的枚举
在ShareFile中新建test1、test2两个文件夹。

右键文件夹test1，属性，安全
点击高级，编辑，去掉从父项继承的权限，点击复制。

回到安全，点击编辑，删除everyone，添加用户test1。

文件夹test2按上述方法添加用户test2
接下来看效果。

在客户端分别以test1和test2登录上述服务器
注意：该方法只对ShareFile 下的子文件夹生效，对于文件夹ShareFile 无论如何设置权限，所有人都可见的，只是无法访问里面的资源而已。

win2008限制用户远程匿名访问有妙招

win2008限制用户远程匿名访问有妙招导读:在win2008系统中Administrations组用户拥有着很高的权限，不管是远程IPC连接还是终端服务登录，只要使用管理员账号都是不受限制的，这对系统安全造成了一定的威胁，为了防止黑客利用这个漏洞进行连接，所以限制远程用户匿名访问是非常必要的。

一、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右边修改RestrictAnonymous为1.如图所示有关RestrictAnonymous的值的三种情况解释：0 依赖于默认权限1 不允许枚举SAM 帐户和名称2 没有显式匿名权限就无法访问同时提醒您在域控制器DC中需要注意的，当基于Windows 2000/2003/2008 的域控制器上的RestrictAnonymous 注册表值被设置为 2 时，下列任务受到限制：下级成员工作站或服务器无法建立netlogon 安全通道。

信任域中的下级域控制器无法建立netlogon 安全通道。

Microsoft Windows NT 用户在密码过期后无法更改密码。

此外，Macintosh 用户根本不能更改他们的密码。

浏览器服务无法从在RestrictAnonymous 注册表值设置为 2 的计算机上运行的备份浏览器、主浏览器或域主浏览器中检索域列表或服务器列表。

因此，所有依赖浏览器服务的程序都无法正常工作。

由于上述结果，建议您不要在包括下级客户端的混合模式环境中将RestrictAnonymous 注册表值设置为2。

只有在Windows 2000/2003/2008 环境下，并且只有当进行了充分的质量保证测试以证实适当的服务级别和程序功能继续保持之后，才应考虑将RestrictAnonymous 注册表值设置为2。

作为服务器型系统，系统的安全问题是十分重要的，尤其是防范黑客入侵，win2008系统成功限制远程用户的匿名访问，是防范黑客入侵的一个非常有效的办法。

电脑故障维修：Windows 2008系统活动目录权限管理服务介绍

Windows 2008系统活动目录权限管理服务介绍熟悉Windows Server 2003的朋友，相信对RMS（权限管理服务）都不会陌生，它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。

在Windows Server 2008中，这一重要特性得以改进和提升，微软把它称之为AD RMS （Active Directory Rights Management Services），即活动目录权限管理服务。

相对于2003下的RMS有了较大的改进与提升，例如：不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。

AD RMS 系统包括基于 Windows Server 2008 的服务器（运行用于处理证书和授权的 Active Directory 权限管理服务（AD RMS）服务器角色）、数据库服务器以及 AD RMS 客户端。

AD RMS 系统的部署为组织提供以下优势：1.保护敏感信息。

如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS，从而帮助保护敏感信息。

用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。

组织可以创建子自定义的使用策略模板（如“机密 - 只读”），这些模板可直接应用于上述信息。

2.永久性保护。

AD RMS 可以增强现有的基于外围的安全解决方案（如防火墙和访问控制列表（ACL）），通过在文档本身内部锁定使用权限、控制如何使用信息（即使在目标收件人打开信息后）来更好地保护信息。

3.灵活且可自定义的技术。

独立软件供应商（ISV）和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器（如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器），与 AD RMS 结合使用来帮助保护敏感信息。

启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。

WIN2008R2+IIS7.5权限设置

WIN2008R2+IIS7.5权限设置
代码写完，发布，上服务器了。

头痛的是第⼀次接触IIS7.5，⼀堆的⽹站⽬录权限设置，network_service,IUSER等等。

还得都给所有权限。

顿时崩溃了。

⽆意间朋友给了篇园⼦⾥的⽂章
顿时舒畅。

由于设置过程中有点点⼩问题，上篇⽂章描述不是太仔细。

现在重新整理发下。

废话不说，上图
请注意：本⽂只适合win7,win2008 SP2,win2008 R2⽀持及以上
第⼀步：选择应⽤池，⾼级
第⼆步：
第三步:选择站点》⾝份认证
匿名⾝份认证，编辑
第四步：设置⽹站⽬录权限
请注意：这⾥必须⼿⼯输⼊ IIS AppPool\ws09（即:IIS AppPool\应⽤程序池名）
ok,全部搞定
经测试，⽂件读写，删除，编辑，⽬录读写、删除、编辑，⽆任何问题。

注意：多个应⽤池，需要在⽹站⽬录中设置多个虚拟账号。

Windows2008实现SourceSafe文件访问控制

Windows2008实现SourceSafe文件访问控制（不能删除）SourceSafe访问服务器，需要文件目录共享，并能够修改，导致用户连接到文件夹后，可以进行删除文件，在网上搜索后，发现没有有效的防止用户删除的办法，于是，研究了半天，发现可以通过权限设置实现该效果，用户可以进行SourceSafe中的各种操作，但是无法删除服务器文件目录中的文件。

实现方式如下：1.在服务器上新建组VssUser，需要进行Vss访问的用户隶属于此组，但不要隶属于User组，这样，用户名字不会出现在服务器的登陆窗口中。

2.下面进行VssUser组的共享权限设置，这个权限是针对要共享的Vss服务器文件夹进行的，对文件夹点击右键，选择共享，在选择框中输入VssUser，点击添加，把组添加到共享用户中，并把VssUser的权限设置为共有者，然后点击共享按钮即可。

如图所示：3. 设置共享文件夹的安全策略：a) 右键点击文件夹，选择属性——安全，如图所示：b)点击“高级”按钮，出现界面如下图所示：c)点击“编辑”按钮，出现界面如下图所示：和删除文件夹的权限去掉：e)点击确定后，回到界面如图所示：f)选择第一行的Everyone，点击删除；g)选择最后一行的Everyone，去掉下面勾选的“包括可从该对象的父项继承的权限”，弹出界面如下：h)点击删除，回到界面如下：i)此时，已经完成该文件夹的共享设置，隶属于VssUser用户组的用户可以正常访问该文件夹，可以新建文件，但不能进行删除。

SourceSafe也可以进行正常访问。

当然，Administrator的权限也可以进行设置，但一般没必要。

注意：此时使用Sourcesafe退出的时候，会有个权限的提示，提示某个操作无权限，可以参照上面的方法，把users目录的删除权限加上，就没有这个提示了，但这样用户是可以删除users目录下的用户信息的，不推荐；如果要控制精细，可以对用户单独设置删除users目录下对应用户名的删除权限，这样效果稍好一点。

Win2008系统活动目录权限管理服务

Win2008系统活动目录权限管理服务熟悉Windows Server 2003的朋友，相信对RMS（权限管理服务）都不会陌生，它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。

在Windows Server 2008中，这一重要特性得以改进和提升，微软把它称之为AD RMS（Active Directory Rights Management Services），即活动目录权限管理服务。

相对于2003下的RMS有了较大的改进与提升，例如：不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。

AD RMS 系统包括基于Windows Server 2008 的服务器（运行用于处理证书和授权的Active Directory 权限管理服务（AD RMS）服务器角色）、数据库服务器以及AD RMS 客户端。

AD RMS 系统的部署为组织提供以下优势：- 保护敏感信息。

如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用AD RMS，从而帮助保护敏感信息。

用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。

组织可以创建子自定义的使用策略模板（如“机密- 只读”），这些模板可直接应用于上述信息。

- 永久性保护。

- 灵活且可自定义的技术。

独立软件供应商（ISV）和开发人员可以使用启用了AD RMS 的任何应用程序或启用其他服务器（如在Windows 或其他操作系统上运行的内容管理系统或门户服务器），与AD RMS 结合使用来帮助保护敏感信息。

启用ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。

硬件和软件注意事项AD RMS 中的功能在Windows Server 2008中，通过使用服务器管理器，可以设置AD RMS 的以下组件：- Active Directory Rights Management Services。

设置win2008仅允许特定用户访问特定文件夹

假设电脑中有c、d、e三个盘符，仅允许特定用户（本实例为用户1）访问e盘下的1文件夹及其子文件夹中的所有文件，操作步骤为：
1、删除所有c、d、e盘的user用户组访问权限，在各个盘符，点右键，选择安
全标签，删除user组权限。

2、建立用户名为1的用户。

3、右键e盘符，选择安全标签，选择编辑：
4、选择添加
5、输入用户名1，点击确定：
6、点击确定：
7、点击高级，得到下图：
7、点击更改权限：
8、选则用户1，并点击编辑：
9、将“应用于此文件夹、子文件夹和文件”
修改为“应用于只有该文件夹”：
点击确定。

10、之后进入e盘，修改允许用户1访问的文件夹，此处以文件夹123为例，右键选择属性，点击安全标签，选择编辑，添加用户1，并将用户1的权限修改为允许完全控制，确定。

用户1本地或远程登录后，仅能访问e盘123文件夹中文件。

SQLServer2008R2ReportingServer报表访问权限设置

SQLServer2008R2ReportingServer报表访问权限设置
又是一个简单的问题，但可能过一阵子你还会忘记。

1.报表开发
•使用Visual Studio 2008 商业智能开发工具开发SQL Server Reporting Service 项目，设定好[共享数据源]的数据库连接，增加报表文件等；
•然后右键选择报表项目属性（.rptproj文件），修改[TargetServerURL]的值指向对应的报表服务器地址（一般是这样的：http://172.16.0.2/reportserver）；接着右键选择报表项目属性开始[生成]，如无错误，接着右键选择报表项目属性，点击[部署]，发布到报表服务器。

2.在SQL Server 2008 R2 报表服务器上设置访问账号
在报表所在服务器Windows Server 2008创建一个本地用户专用于报表查看，隶属于Users
在服务器端访问报表管理器(注意哈: SQL Server 2008 R2 报表服务器不再与IIS 部署在一起了，所以打开inetmgr后是看不到reports 虚拟目录的，其实新旧版本都是以服务器localhost Web服务的虚拟目录出现)，当浏览器打开[报表管理器]后点击选择[文件夹设置]，接着[新建角色分配]，选择添加刚才在前一步新建的本地用户，角色为[浏览者]，完成这一步你就可以在外部通过internet访问报表服务器了，只是第一次访问时需要你输入账号密码，填写在本步骤里新建的本地用户和密码就行了。

Windows Server 2008配置与管理第4章 Windows server 2008权限设置

象的访问。对文件夹picture设置特殊权限，使得账户“matao”对该文件夹具有允许“读取权限”，
步骤如下： 1、右键单击picture文件夹，在弹出的快捷菜单中选择“属性”，选择“安全”选项卡，单击 “高级”按钮，打开“picture的高级安全设置”对话框，选择“权限”选项卡，在该选项卡中列出了用户对该文件夹具有的特殊访问权限、继承情况、权限类型以及权限应用范围。如图4-9所示。
图4-6选择用户和组对话框
4、在如图4-7所示的界面中设置“matao”对于该文件夹的相关权限。图4-7 权限设置
5、设置完成后单击“确定”按钮返回图4-8所示的“安全”选项卡，可以看到用户“matao”已经对picture文件夹具有了相关权限。
图4-8 设置完后的属性
4.2.3 实践：设置特殊权限每个对象都有与其相关联的权限，可以限制访问。修改那些特殊权限，定义对特定对
图4-2 格式化在文件系统下拉列表中选择“NTFS”，单击“开始”按钮来完成文件系统的
转换。两种方法的区别是，使用命令“convert”可以保留原有磁盘中的内容，而使
用格式化的方法磁盘中的内容将被删除。
2、查看磁盘信息在将磁盘转换为NTFS格式后，可以右键单击磁盘，再弹出的快捷菜单中选
择“属性”，可以看到磁盘的基本信息。如图4-3所示。
表4-1中列出了每组特殊 NTFS 权限的访问限制。
特殊权限
遍历文件夹/执行文件列出文件夹/读取数据读取属性读取扩展属性创建文件/写入数据创建文件夹/附加数据写入属性写入扩展属性删除子文件夹及文件删除读取权限更改权限取得所有权同步
完全控制
√ √ √ √ √ √ √ √ √ √ √ √ √ √

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

默认级别：没有修饰符 protected：受保护级别 public：公开级别
private
私有级别最严格的访问控制允许访问的范围最小可以修饰成员变量和成员函数但是不能修饰类因此，以下代码不能通过编译
private class PrivateClassDemo { }
private
声明为 private 的成员只能在本类的成员函数中访问其它类中均不能访问其它类包括：同一个包中的类子类无关的任何类
构造函数的访问权限
构造函数也可以是 private 访问权限这样除该类外任何类都不能创建该类的对象这种情况比较特殊，也比较少例如，类 System 查看该类的源代码
/** Don't let anyone instantiate this class */ private System() { }
默认访问权限
要访问类 A 的具有默认访问权限的成员则访问者类 B 要么就是类 A 本身要么与类 A 属于同一个包如果类 B 是类 A 的子类但与 A 不属于同一个包则依然不能访问只看包，与继承无关
想让子类访问?
如果想让不同包中的子类访问则不能使用默认访问权限可以使用 protected 或 public 修饰符
其它类的 main() 函数呢?
其它类的 main() 函数即使可以创建 Book 类的对象也不能通过对象来访问这些成员变量因为这些成员变量是 private 修饰的只有类 Book 的成员函数才可以访问此处，成员函数包括静态成员函数 (通过本函数中的局部变量来访问) 非静态成员函数 (通过 this 句柄来访问)
private 默认 protected public
构造函数的访问权限
大多数类的构造函数都是 public 的以使得任何类均可创建该类的对象例如，类 String 有 13 个构造函数均为 public 访问权限如果只想让同一个包中的类可以创建对象则构造函数可以不使用任何修饰符这种情况不多因为不同包中的子类无法调用这个构造函数导致的结果是无法构建子类的对象因为子类对象的构造过程中一定会调用父类的构造函数
private 成员
大多数实例变量都是 private 的然后提供 public 的 getter/setter 函数大多数成员函数都不是 private 的静态成员常量一般都是 public 的
默认访问权限
默认：不使用任何访问权限修饰符例如，声明成员变量如下
String name;
则成员变量 name 具有默认的访问权限访问范围本类的成员函数可以访问与该类在同一个包中的类也可以访问包访问权限
函数覆盖时的权限
如果父类的函数是 private ? 则子类不能访问父类的该函数更不能进行覆盖
访问成员变量
这个比较容易理解通过类 (静态成员变量) 或对象 (实例变量) 来对变量进行访问访问变量读取变量的值给变量赋值 (final 成员变量除外)
访问成员变量
类 Book 的所有成员变量都是 private 修饰的因此只有类 Book 本身的成员函数可以访问这些成员变量 main() 也是该类的成员函数可以访问这些成员变量吗? 虽然 main() 也是类 Book 的成员函数但是由于该函数是静态的而类 Book 所有的成员变量都是非静态的因此 main() 不能直接访问这些成员变量可以先创建对象，然后通过对象来访问
访问成员函数
这个比较容易理解通过类 (静态成员函数) 或对象 (非静态成员函数) 来对成员函数进行访问访问函数即调用该函数运行该函数的函数体
访问构造函数
构造函数是特殊的成员函数访问构造函数是很常见、很重要的访问构造函数的方式：通过 new 来调用构造函数从而创建对象构造函数的访问权限可以是
public
公开的可以修饰：类成员变量成员函数访问范围最宽任何类的成员函数均可访问
何为访问?
对于不同的访问目标，访问具有不同的含义有如下几种访问情况：访问类访问成员变量访问成员函数访问构造函数
访问类
使用类的名称即为访问类例如，声明该类的变量 (句柄) 类 cn.peter.bookstore.Book 修改 Book.java 去掉 public class Book 中的 public 重新编译 Book.java 与 TestBook.java Book.java 可以通过编译，也能正常运行 TestBook.java 产生编译错误
编译错误分析
首先，该类没有使用任何修饰符因此该类具有默认访问权限只有本类或同包中类的函数才能访问访问者 TestBook 与被访问者 Book 既不是同一个类，也不在同一个包中因此产生编译错误访问类：声明类的变量 (句柄) 或调用该类的构造函数即使用该类的名称
重要性
可以使用类的名称具有非常重要的地位如果不能使用类的名称则不能访问类的成员变量调用类的成员函数调用类的构造函数声明类的变量创建类的对象
比较
四种访问权限访问权限的修饰目标访问权限的访问范围
访问权限的修饰目标
访问权限修饰符 private 无 (默认) protected public 成员函数
(包括构造函数)
类
成员变量
× √ × √
√ √ √ √
√ √ √ √
访问权限的访问范围
访问权限修饰符访问级别 private 无 protected public 私有默认受保护公开
同类
同包
子类
不同包
√ √ √ √
×
× ×
× × ×
√ √ √
√ √
√
再论函数覆盖
函数覆盖时权限控制方面有什么要求呢? 子类在继承父类时可以覆盖父类的函数子类函数的访问权限不能比父类被覆盖函数的访问权限更严格
函数覆盖时的权限
如果父类的函数是 public 则子类的函数别无选择，只能也是 public 如果父类的函数是 protected 则子类的函数可以是 protected/public 如果父类的函数是默认则只有同包中的子类才可以覆盖该函数子类的函数可以是默认/protected/public 如果父类的函数是 private ?
访问权限控制
访问权限控制概述 private 默认访问权限 protected public 访问比较再论函数覆盖
访问权限控制概述
访问权限控制，access control 在面向过程的语言中，基本上没有这个概念一个函数可以访问所有的全局变量以及其中所有的局部变量对于其它函数中的局部变量通通不能访问控制的精度比较差
b = new cn.peter.bookstore.Book(“…", “… 而不是直接使用类的全名重新编译 TestBookWithImport.java 也得到相应的编译错误
编译错误
src\TestBookWithImport.java:2: cn.peter.bookstore.Book 在 cn.peter.bookstore 中不是公共的；无法从外部软件包中对其进行访问 import cn.peter.bookstore.Book; ^ src\TestBookWithImport.java:6: 找不到符号符号：类 Book 位置：类 TestBookWithImport Book b = new Book("9787111213826", "Java 编程思想 (第4版)"); ^ src\TestBookWithImport.java:6: 找不到符号符号：类 Book 位置：类 TestBookWithImport Book b = new Book("9787111213826", "Java 编程思想 (第4版)"); ^ 3 错误
private 构造函数
除了本类之外任何类均不能创建该类的对象为什么呢? 类 System 所有的成员变量和成员函数都是静态的因此根本没有必要创建该类的对象没有必要性而把构造函数设置成 private 访问权限也就杜绝了创建对象的可能性
private 构造函数
类似的例子还有
Math ……
访问权限控制概述
面向对象的基本思想之一是封装实现细节并且公开接口 Java 语言采用访问控制修饰符来控制类及类的方法和变量的访问权限，从而只向使用者提供结构，但隐藏实现细节访问权限修饰的对象类类的成员变量类的成员函数不能用来修饰局部变量
访问权限控制的修饰符
Java 语言中的访问权限控制分为 4 种级别 private：私有级别
protected
受保护的访问范围：本类的成员函数同一个包中类的成员函数所有子类的成员函数 protected 只能用来修饰成员不能用来修饰类这一点与 private 相同只有 public 和默认的可以修饰类
protected 与默认访问权限
protected 比默认访问权限的访问范围要宽 protected = 默认权限 + 不同包中的子类
编译错误
src\TestBook.java:4: cn.peter.bookstore.Book 在 cn.peter.bookstore 中不是公共的；无法从外部软件包中对其进行访问
cn.peter.bookstore.Book b; ^
src\TestBook.java:5: cn.peter.bookstore.Book 在 cn.peter.bookstore 中不是公共的；无法从外部软件包中对其进行访问