Windows使用者與組管理、NTFS許可權、檔案共享
使用者與組管理、NTFS許可權
一、使用者與組管理
使用者
賬戶=賬號/使用者名稱+密碼
每個賬戶有自己唯一的SID
賬戶密碼儲存位置: c:\windows\system32\config\SAM 暴力破解/撞庫
windows系統上,預設密碼最長有效期42天
每個使用者賬號都有自己配置檔案
- win7/win2008 c:\使用者
- xp/win2003 c:\Documents and Settings
SID
不同的賬戶擁有不同的許可權!
為不同的賬戶賦許可權,也就是為不用賬戶的SID賦許可權!
檢視sid值:whoami /user
administraotr的SID:S字串+500(UID)
本地使用者預設有內建賬戶:
1)給人使用的賬戶:管理員賬戶administrator、來賓賬戶guest
2)計算機服務元件相關的系統賬號
system 系統賬戶 == 許可權至高無上 (等於Linux的root)
local services 本地服務賬戶 = 許可權等於普通使用者
network services 網路服務賬戶 = 許可權等於普通使用者
檢視使用者管理:計算機右鍵管理
| 使用者管理 | 備註 |
|---|---|
| net user | 檢視使用者列表 |
| net user 使用者名稱 密碼 | 更改密碼 |
| net user 使用者名稱 密碼 /add | 新增使用者 |
| net user 使用者名稱 /active:no | no禁用使用者/yes啟用使用者 |
| net user 使用者名稱 /del | 刪除使用者 |
| 組管理 | 備註 |
|---|---|
| net localgroup | 檢視組列表 |
| net localgroup 組名 | 檢視組成員 |
| net localgroup 組名 /add | 新增組 |
| net localgroup 組名 使用者名稱 /add | 新增成員到組 |
| net localgroup 組名 使用者名稱 /del | 從組中踢出成員 |
| net localgroup 組名 /del | 刪除組 |
組的意義:簡化許可權的的賦予
內建組:內建組的許可權預設已經被系統賦予。
- administrators :管理員組
- guests: 來賓組
- users: 普通使用者組,預設新建使用者都屬於該組
- network 網路配置組
- print 印表機組
- Remote Desktop 遠端桌面組
Windows使用者與組管理的操作練習
二、NTFS許可權:
(檔案或資料夾右鍵屬性–安全–ACL)ACL用來做過濾
-
1.檔案系統型別:
NTFS:支援單個檔案大於4個G,支援檔案許可權設定
FAT32:不支援單個檔案大於4G,不支援檔案許可權設定 -
2.取消許可權繼承:
作用:取消後,可以任意修改許可權列表了。
方法:資料夾右鍵屬性—安全—高階—去掉第一個對號–選擇複製即可 -
3.許可權累加:
當用戶同時屬於多個組時,許可權是累加的! -
4.拒絕最大:
當用戶許可權累加時,如遇到拒絕許可權,拒絕最大! -
5.取得所有權:
預設只有administrator有這個許可權!
作用:可以將任何資料夾的所有者改為administrator -
6.強制繼承:
作用:對下強制繼承父子關係!
方法:資料夾右鍵屬性–安全–高階–勾上第二個對號,即可!
注意:檔案複製後,檔案的許可權會被目標資料夾的許可權覆蓋,即獲得上一級目錄的許可權
三、檔案共享伺服器
檔案共享伺服器:(類似於FTP伺服器)
注:
- ①本地登入時,只受NTFS許可權的影響
- ②在遠端登入時,將受共享及NTFS許可權共同影響,且取交集!
建立共享:
資料夾右鍵屬性-共享-開啟共享-設定共享名-設定共享許可權
(先允許everyone完全控制,再根據許可權需求在“安全”選單設定NTFS許可權)
區域網共享協議 cifs
| 設定共享 | 備註 |
|---|---|
| net share | 列出本地所有的共享 |
| net share 共享名 /del | 刪除共享 |
shutdown -r 重啟 shutdown -s 關機
shutdown -s -t 強制關機
shutdown -s -t 0 強制立即關機
共享名
訪問共享時,客戶機遠端訪問共享看不到檔案本名,只能看到共享名。
隱藏共享
伺服器建立隱藏共享:共享名$
訪問隱藏共享: \192.168.1.1\共享名$
commond+R輸入\192.168.1.1遠端訪問伺服器回車後進入共享資料夾
進入共享資料夾後不會顯示隱藏共享檔案,需要手動寫出來:
\192.168.1.1\gjjm$
UNC地址
反斜槓\ 命令列訪問法 訪問網路上的芳鄰,實際上應該稱作UNC路徑訪問法。
UNC(Universal Naming Convention)通用命名規則,也叫通用命名規範、通用命名約定。 網路(主要指區域網)上資源的完整名稱。
UNC共享,就是網路硬碟的共享。
符合\\servername\sharename 格式, servername 是伺服器名,sharename 是共享資源的名稱
目錄或檔案的 UNC 名稱可以包括共享名稱下的目錄路徑,格式為:\\servername\sharename\directory\filename。
\\檔案共享伺服器IP
\\檔案共享伺服器IP\共享名
或者conmmond+R開啟命令列輸入
徹底刪除系統隱藏共享的產生——修改登錄檔
開啟登錄檔編輯器:regedit
定位到:
HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\
右鍵新建REG_DWORD型別的AutoShareServer 鍵,值為 0
關閉445服務 共享服務依賴445埠
commond+R進入 services.msc ,並停止及使用server服務
四、使用者組與NTFS許可權實驗
實驗一:
實驗要求:建立一個資料夾,實現本地登入時,tom使用者只能建立新的檔案,cat使用者只能讀取及下載檔案。
實驗步驟:
分別建立tom、cat使用者。
進入D盤建立資料夾“許可權”,右鍵“屬性”選擇“安全”選單,點選新增按鈕,輸入tom和cat,用分號;隔開,並確定。
刪除其他使用者和組,僅保留如下3個使用者
分別設定tom和cat許可權如下:
取消繼承
驗證:
Tom能開啟資料夾但無法開啟訪問其中的內容,可以建立檔案。
cat能開啟並訪問內容,但是無法建立也寫入無法刪除。
實驗二:
實驗要求:新建使用者jack,並將使用者jack加入到hr組及IT組,為資料夾jimi設定許可權,只允許hr組讀取不能建立檔案,it組只能建立檔案不能讀取,使用jack使用者登入並訪問jimi資料夾,驗證jack的許可權。
實驗步驟:
分別建立使用者jack、組HR、組IT並將jack新增到組HR及IT,並建立資料夾jimi
新增組HR、IT準備設定許可權
給HR組設定許可權只能讀取,給IT組設定許可權只能寫入
此時組中的jack應同時具備讀取與建立檔案的許可權
驗證:
可以讀取檔案,可以建立檔案。
實驗三
實驗要求:新建使用者wxf,並將使用者wxf加入到ceo組,且不能從該組中剔除,為資料夾jimi賦許可權,要求ceo組可以完全控制jimi資料夾,但wxf不能訪問該資料夾。
實驗步驟:
建立使用者wxf、組ceo,並將wxf新增到組ceo
在jimi檔案的屬性下新增wxf、ceo,設定ceo組的許可權和wxf使用者的許可權
驗證:
實驗四
刪除所有組和使用者
然後用管理員新增使用者,此時可以訪問
