Windows2008用户组和权限(最好)

3.1.4内置的本地组账户
• Guests • 此组内的用户无法永久改变其桌面的工作环境，当他们登 入是，系统会为其创建一个临时的用户配置文件（参见第 9章），而注销时此配置文件就会删除。此组默认成员为 用户账户Guest。 • Network Configuration Operators • 此组内的用户可以执行一般的网络配置功能，例如更改ip 地址；但是不可以安装、卸载驱动程序与服务，也不可以 执行与网络服务器配置有关的功能，例如DNS服务器和 DHCP服务器的配置 • Performance Monitor Users • 这个组内的用户具备从泵的和远程访问计算机的功能。
3.3.3 NTFS权限的种类
• 修改（Modify） • 它除了拥有前面的所有权限外，还可以删除子文件夹。 • 完全控制（Full Control） • 它拥有所有的NTFS文件夹权限，也将是除了拥有上述的 所有权限之外，还拥有更改权限与取得所有权的特殊权限
3.3.4 NTFS权限的设置
• 目标文件夹属性安全编辑
3.1.5内置的本地组账户
• Power Users • 为了简化组，这个在旧版Windows系统存在的组即将 被淘汰。Windows Server 2008 虽然还保留着这个组， 不过并没有像旧版Windows系统一样被赋予较多的特 殊权限，也就是它权限没有比一般用户大。 • Renmote Desktop Users • 此组内的用户可以从远程计算机使用终端服务登录。 • Users • 此组内的用户只拥有一些基本权限，例如运行应用程序、 使用本地与网络打印机、锁定计算机等，但是他们不能 将文件夹共享给网络上其他的用户、不能将计算机关机 等。添加的所有本地用户账户自动属于此组。
3.1.7 特殊组账户
• Network • 任何通过网络来登录此计算机的用户，都属于这个组。 • Anonymous Logon • 任何未使用有效的一般用户帐户来登录的用户，都属于 这个组。不过Anonymous Logon默认并不属于 Everyone组。
• Dialup • 任何使用拨号方式来联机的用户，都是属于此组。
第三章 Windows2008用户 组和权限
本章要求
• 了解系统内置用户
• 了解系统内置组的功能
• 熟练配置组和用户
• 熟练配置NTFS权限
• 了解所有者
本章内容
• 3.1 内置用户与组
• 3.2 创建用户与组
• 3.3 NTFS权限
3.1.1内置的本地账户
• 每一台Windows计算机都有一个本地安全账户管理器 （SAM），用户在使用计算机前都必须登录该计算机， 也就是要提供有效的用户名与密码。而这个用户账户就 是创建在SAM内，这个账户被称为本地用户账户；同 理，创建在SAM内的组被称为本地组账户。
3.3.5 NTFS权限的高级设置
• 目标文件夹属性安全高级编辑
3.3.6 NTFS权限的注意事项
• NTFS权限是可以被继承的
• NTFS权限是有累加性的
• 拒绝权限优先级较高 • 即使用户对此文件夹或文件没有删除的权限， 但是只要对父文件夹具有删除子文件夹及文 件的权限，还是可以将此文件删除
3.1.3内置的本地组账户
• 系统内置了许多本地组，这些组本身都已经被赋予一些权 限（permissions),它们具有管理本地计算机或访问本地 资源的权限。只要用户账户加入到这些本地组内，这回用 户账户也将具备该组所拥有的权限。以下列出几个较常用 的本地组: • Administrators • 此组内的用户具备系统管理员的权限，他们拥有对这台计 算机最大的控制权，可以执行整台计算机的管理功能。内 置的系统管理账户Administrators就是属于此组 • Backup Operators • 此组内的用户可以通过Windows Sserver Backup 工具 来备份或还原计算机内的文件，不论它们是否有权限访问 这些文件。
• 移动到同盘其他文件夹，则权限不变
• 移动到其他盘其他文件夹，则继承其他文件夹权限 • 复制或移动到U盘，由U盘文件系统决定
本章重点
• • • • 创建用户 创建组 配置用户和组的权限 配置用户和组的所有人
3.1.6 特殊组账户
• 除了前面介绍的组之外，Windows Server 2008 内还 有一些特殊组，而且无法更改这些组的成员。以下列出 几个较常见到的特殊组： • Everyone • 任何一位用户都属于这个组。若Guest账户被启用，则 委派权限个Everyone时需小心，因为若一个在计算机内 没有账户的用户，通过网络来登录该计算机，他会被自 动允许使用Guest账户来连接。此时因为Guest也属于 Everyone组，所以他将具有Everyone所拥有的权限 • Authenticated Users • 任何使用有效用户帐户来登录此计算机的用户，都属于 这个组。 • Interactive • 任何在本地登录（按Ctrl+Alt+Del)的用户，都属 于这个组。
3.1.2内置的本地账户
• Windows Server2008 内置了两个用户账号（built-in account) • Administrator(系统管理员） • Administrator拥有最高的权限，用户可以用它来管理计 算机，例如创建、更改、删除用户与组账户，设置安全原 则、添加打印机、设置用户权限等。此账户无法删除，不 过为 了更安全起见，建议将其改名。 • Guest(来宾） • Guest是提供没有账户的用户临时使用的，他只有有限的 权限。您可以更改其名称，但无法将其删除。此账户默认 是禁用的（disabled).
3.2.1 创建本地用户账户
• 开始管理工具计算机管理本地用户和组
3.2.2 创建账户注意事项
• 1.英文字母大小写是被看作不同的，例如abc12#与 ABC12#是不同密码，还有如果密码为空白，则系统默认 此用户帐户只能够在本地登录，无法网络登录（无法从其 他计算机使用此帐户来联机)。 • 2.系统默认是用户的密码必须至少6个字符，且不可包含 用户帐户名称中超过两个以上的连续字符，还有至少要包 含A-Z、a-z、0-9、非字母数字（例如！、$、#、%）等 4பைடு நூலகம்字符中的3组，例如12abAB就是一个有效的密码，而 123456是无效的密码。
• 任何用户只要具有取得文件或其他对象的所有权的权限， 就可以通过其他用户或组来将所有权移交给其他用户和 组
3.3.9 修改所有者
• 目标文件夹属性安全高级所有者编辑
3.3.10 文件复制或移动后权限变化
• 复制到同盘其他文件夹，则继承其他文件夹权限 • 复制到其他盘其他文件夹，则继承其他文件夹权限
3.2.3 创建本地组账户
• 开始管理工具计算机管理本地用户和组
3.3.1 NTFS磁盘安全与管理
• NTFS权限的种类 • 读取 • 写入 • 读取和执行 • 修改 • 完全控制 注：除了写入权限以外，用户至少还需要 读取权限才可修改文件内容
3.3.2 NTFS权限的种类
• 读取（Read） • 它可以查看文件夹内的文件名与子文件夹名、查看文件 夹属性和权限等。 • 写入（Write） • 它可以在文件夹内新建文件与子文件夹、修改文件夹属 性等。 • 列出文件夹目录（List Folder Contents） • 它除了拥有读取的权限之外，还具备遍历文件夹 （traverse folder）权限，也将是可以打开或关闭此文 件夹 • 读取和执行（Read&Execute） • 它拥有与列出文件夹目录几乎完全相同的权限，只有在 权限继承方面有所不同：列出文件夹夹目录权限 只会被文件夹继承，而读取和执行回同时被文 件夹与文件继承。
3.3.7 文件与文件夹的所有权
• NTFS磁盘内的每一个文件与文件夹都有所有 者（owner），默认是创建文件或文件夹的用 户，就是该文件或文件夹的所有者。
• 所有者可以更改其所拥有的文件或文件夹的权 限，无论其当前是否有权限访问此文件或文件 夹。
3.3.8 文件与文件夹的所有权
• 用户可以获取文件或文件夹的所有权，使其成为新所有 者。然而用户必须具备以下的条件之一，才可以获取所 有权： • • • 具备取得文件或其他对象的所有权全乡的用户，系统 默认是赋予 administrator组这个权限。 对该文件或文件夹具有取得所有权的特殊权限。 具备还原文件和路率权限的用户。