使用者與組管理

使用者

賬戶=賬號/使用者名稱+密碼 　　每個賬戶有自己唯一的SID 　　賬戶密碼儲存位置： c:\windows\system32\config\SAM 暴力破解/撞庫 　　windows系統上，預設密碼最長有效期42天 每個使用者賬號都有自己配置檔案

• win7/win2008 c:\使用者
• xp/win2003 c:\Documents and Settings

SID

不同的賬戶擁有不同的許可權！ 為不同的賬戶賦許可權，也就是為不用賬戶的SID賦許可權！ 檢視sid值：whoami /user administraotr的SID：S字串+500（UID）

本地使用者預設有內建賬戶：

1）給人使用的賬戶：管理員賬戶administrator、來賓賬戶guest 2）計算機服務元件相關的系統賬號 system 系統賬戶 == 許可權至高無上 （等於Linux的root） local services 本地服務賬戶 = 許可權等於普通使用者 network services 網路服務賬戶 = 許可權等於普通使用者

檢視使用者管理：計算機右鍵管理

組的意義：簡化許可權的的賦予 內建組：內建組的許可權預設已經被系統賦予。

1. administrators ：管理員組
2. guests： 來賓組
3. users： 普通使用者組，預設新建使用者都屬於該組
4. network 網路配置組
5. print 印表機組
6. Remote Desktop 遠端桌面組

Windows使用者與組管理的操作練習

NTFS許可權：

（檔案或資料夾右鍵屬性–安全–ACL）ACL用來做過濾

• 1.檔案系統型別： NTFS：支援單個檔案大於4個G，支援檔案許可權設定 FAT32：不支援單個檔案大於4G，不支援檔案許可權設定

• 2.取消許可權繼承： 作用：取消後，可以任意修改許可權列表了。 方法：資料夾右鍵屬性—安全—高階—去掉第一個對號–選擇複製即可

• 3.許可權累加： 當用戶同時屬於多個組時，許可權是累加的!

• 4.拒絕最大： 當用戶許可權累加時，如遇到拒絕許可權，拒絕最大！

• 5.取得所有權： 預設只有administrator有這個許可權！ 作用：可以將任何資料夾的所有者改為administrator

• 6.強制繼承： 作用：對下強制繼承父子關係！ 方法：資料夾右鍵屬性–安全–高階–勾上第二個對號，即可！

注意：檔案複製後，檔案的許可權會被目標資料夾的許可權覆蓋，即獲得上一級目錄的許可權

使用者組與NTFS許可權實驗

實驗一：

實驗要求：建立一個資料夾，實現本地登入時，tom使用者只能建立新的檔案，cat使用者只能讀取及下載檔案。

實驗步驟： 分別建立tom、cat使用者。 進入D盤建立資料夾“許可權”，右鍵“屬性”選擇“安全”選單，點選新增按鈕，輸入tom和cat，用分號；隔開，並確定。 刪除其他使用者和組，僅保留如下3個使用者 分別設定tom和cat許可權如下： 取消繼承 驗證： Tom能開啟資料夾但無法開啟訪問其中的內容，可以建立檔案。 cat能開啟並訪問內容，但是無法建立也寫入無法刪除。

實驗二：

實驗要求：新建使用者jack，並將使用者jack加入到hr組及IT組，為資料夾jimi設定許可權，只允許hr組讀取不能建立檔案，it組只能建立檔案不能讀取，使用jack使用者登入並訪問jimi資料夾，驗證jack的許可權。

實驗步驟： 分別建立使用者jack、組HR、組IT並將jack新增到組HR及IT，並建立資料夾jimi 新增組HR、IT準備設定許可權 給HR組設定許可權只能讀取，給IT組設定許可權只能寫入 此時組中的jack應同時具備讀取與建立檔案的許可權 驗證： 可以讀取檔案，可以建立檔案。

實驗三

實驗要求：新建使用者wxf，並將使用者wxf加入到ceo組，且不能從該組中剔除,為資料夾jimi賦許可權，要求ceo組可以完全控制jimi資料夾，但wxf不能訪問該資料夾。

實驗步驟： 建立使用者wxf、組ceo，並將wxf新增到組ceo 在jimi檔案的屬性下新增wxf、ceo，設定ceo組的許可權和wxf使用者的許可權 驗證：

實驗四

刪除所有組和使用者 然後用管理員新增使用者，此時可以訪問