Windows7用户组和权限.pptVIP

第三章Windows7用户组和权限 本章要求 了解系统内置用户了解系统内置组的功能熟练配置组和用户熟练配置NTFS权限了解所有者 本章内容 3 1内置用户与组3 2创建用户与组3 3NTFS权限 3 1 1内置的本地账户 每一台Windows计算机都有一个本地安全账户管理器 SAM 用户在使用计算机前都必须登录该计算机 也就是要提供有效的用户名与密码 而这个用户账户就是创建在SAM内 这个账户被称为本地用户账户 同理 创建在SAM内的组被称为本地组账户 3 1 2内置的本地账户 Windows7内置了两个用户账号 built inaccount Administrator 系统管理员 Administrator拥有最高的权限 用户可以用它来管理计算机 例如创建 更改 删除用户与组账户 设置安全原则 添加打印机 设置用户权限等 此账户无法删除 不过为了更安全起见 建议将其改名 Guest 来宾 Guest是提供没有账户的用户临时使用的 他只有有限的权限 您可以更改其名称 但无法将其删除 此账户默认是禁用的 disabled 3 1 3内置的本地组账户 系统内置了许多本地组 这些组本身都已经被赋予一些权限 permissions 它们具有管理本地计算机或访问本地资源的权限 只要用户账户加入到这些本地组内 这回用户账户也将具备该组所拥有的权限 以下列出几个较常用的本地组 Administrators此组内的用户具备系统管理员的权限 他们拥有对这台计算机最大的控制权 可以执行整台计算机的管理功能 内置的系统管理账户Administrators就是属于此组BackupOperators此组内的用户可以通过WindowsSserverBackup工具来备份或还原计算机内的文件 不论它们是否有权限访问这些文件 3 1 4内置的本地组账户 Guests此组内的用户无法永久改变其桌面的工作环境 当他们登入是 系统会为其创建一个临时的用户配置文件 参见第9章 而注销时此配置文件就会删除 此组默认成员为用户账户Guest NetworkConfigurationOperators此组内的用户可以执行一般的网络配置功能 例如更改ip地址 但是不可以安装 卸载驱动程序与服务 也不可以执行与网络服务器配置有关的功能 例如DNS服务器和DHCP服务器的配置PerformanceMonitorUsers这个组内的用户具备从泵的和远程访问计算机的功能 3 1 5内置的本地组账户 PowerUsers为了简化组 这个在旧版Windows系统存在的组即将被淘汰 WindowsServer2008虽然还保留着这个组 不过并没有像旧版Windows系统一样被赋予较多的特殊权限 也就是它权限没有比一般用户大 RenmoteDesktopUsers此组内的用户可以从远程计算机使用终端服务登录 Users此组内的用户只拥有一些基本权限 例如运行应用程序 使用本地与网络打印机 锁定计算机等 但是他们不能将文件夹共享给网络上其他的用户 不能将计算机关机等 添加的所有本地用户账户自动属于此组 3 1 6特殊组账户 除了前面介绍的组之外 WindowsServer2008内还有一些特殊组 而且无法更改这些组的成员 以下列出几个较常见到的特殊组 Everyone任何一位用户都属于这个组 若Guest账户被启用 则委派权限个Everyone时需小心 因为若一个在计算机内没有账户的用户 通过网络来登录该计算机 他会被自动允许使用Guest账户来连接 此时因为Guest也属于Everyone组 所以他将具有Everyone所拥有的权限AuthenticatedUsers任何使用有效用户帐户来登录此计算机的用户 都属于这个组 Interactive任何在本地登录 按Ctrl Alt Del 的用户 都属于这个组 3 1 7特殊组账户 Network任何通过网络来登录此计算机的用户 都属于这个组 AnonymousLogon任何未使用有效的一般用户帐户来登录的用户 都属于这个组 不过AnonymousLogon默认并不属于Everyone组 Dialup任何使用拨号方式来联机的用户 都是属于此组 3 2 1创建本地用户账户 开始 管理工具 计算机管理 本地用户和组 3 2 3创建本地组账户 开始 管理工具 计算机管理 本地用户和组 3 3 1NTFS磁盘安全与管理 NTFS权限的种类读取写入读取和执行修改完全控制注 除了写入权限以外 用户至少还需要读取权限才可修改文件内容 3 3 2NTFS权限的种类 读取 Read 它可以查看文件夹内的文件名与子文件夹名 查看文件夹属性和权限等 写入 Write 它可以在文件夹内新建文件与子文件夹 修改文件夹属性等 列出文件夹目录 ListFolderContents 它除了拥有读取的权限之外 还具备遍历文件夹 traversefolder 权限 也将是可以打开或关闭此文件夹读取和执行 Read Execute 它拥有与列出文件夹目录几乎完全相同的权限 只有在权限继承方面有所不同 列出文件夹夹目录权限只会被文件夹继承 而读取和执行回同时被文件夹与文件继承 3 3 3NTFS权限的种类 修改 Modify 它除了拥有前面的所有权限外 还可以删除子文件夹 完全控制 FullControl 它拥有所有的NTFS文件夹权限 也将是除了拥有上述的所有权限之外 还拥有更改权限与取得所有权的特殊权限 3 3 4NTFS权限的设置 目标文件夹 属性 安全 编辑 3 3 5NTFS权限的高级设置 目标文件夹 属性 安全 高级 编辑 3 3 6NTFS权限的注意事项 NTFS权限是可以被继承的NTFS权限是有累加性的拒绝权限优先级较高即使用户对此文件夹或文件没有删除的权限 但是只要对父文件夹具有删除子文件夹及文件的权限 还是可以将此文件删除 3 3 7文件与文件夹的所有权 NTFS磁盘内的每一个文件与文件夹都有所有者 owner 默认是创建文件或文件夹的用户 就是该文件或文件夹的所有者 所有者可以更改其所拥有的文件或文件夹的权限 无论其当前是否有权限访问此文件或文件夹 3 3 8文件与文件夹的所有权 用户可以获取文件或文件夹的所有权 使其成为新所有者 然而用户必须具备以下的条件之一 才可以获取所有权 具备取得文件或其他对象的所有权全乡的用户 系统默认是赋予administrator组这个权限 对该文件或文件夹具有取得所有权的特殊权限 具备还原文件和路率权限的用户 任何用户只要具有取得文件或其他对象的所有权的权限 就可以通过其他用户或组来将所有权移交给其他用户和组 3 3 9修改所有者 目标文件夹 属性 安全 高级 所有者 编辑 3 3