Windows7用户组和权限

.,第三章Windows7用户组和权限,.,本章要求,了解系统内置用户了解系统内置组的功能熟练配置组和用户熟练配置NTFS权限了解所有者,.,本章内容,3.1内置用户与组3.2创建用户与组3.3NTFS权限,.,3.1.1内置的本地账户,每一台Windows计算机都有一个本地安全账户管理器（SAM），用户在使用计算机前都必须登录该计算机，也就是要提供有效的用户名与密码。而这个用户账户就是创建在SAM内，这个账户被称为本地用户账户；同理，创建在SAM内的组被称为本地组账户。,.,3.1.2内置的本地账户,Windows7内置了两个用户账号（built-inaccount)Administrator(系统管理员）Administrator拥有最高的权限，用户可以用它来管理计算机，例如创建、更改、删除用户与组账户，设置安全原则、添加打印机、设置用户权限等。此账户无法删除，不过为了更安全起见，建议将其改名。Guest(来宾）Guest是提供没有账户的用户临时使用的，他只有有限的权限。您可以更改其名称，但无法将其删除。此账户默认是禁用的（disabled).,.,3.1.3内置的本地组账户,系统内置了许多本地组，这些组本身都已经被赋予一些权限（permissions),它们具有管理本地计算机或访问本地资源的权限。只要用户账户加入到这些本地组内，这回用户账户也将具备该组所拥有的权限。以下列出几个较常用的本地组:Administrators此组内的用户具备系统管理员的权限，他们拥有对这台计算机最大的控制权，可以执行整台计算机的管理功能。内置的系统管理账户Administrators就是属于此组BackupOperators此组内的用户可以通过WindowsSserverBackup工具来备份或还原计算机内的文件，不论它们是否有权限访问这些文件。,.,3.1.4内置的本地组账户,Guests此组内的用户无法永久改变其桌面的工作环境，当他们登入是，系统会为其创建一个临时的用户配置文件（参见第9章），而注销时此配置文件就会删除。此组默认成员为用户账户Guest。NetworkConfigurationOperators此组内的用户可以执行一般的网络配置功能，例如更改ip地址；但是不可以安装、卸载驱动程序与服务，也不可以执行与网络服务器配置有关的功能，例如DNS服务器和DHCP服务器的配置PerformanceMonitorUsers这个组内的用户具备从泵的和远程访问计算机的功能。,.,3.1.5内置的本地组账户,PowerUsers为了简化组，这个在旧版Windows系统存在的组即将被淘汰。WindowsServer2008虽然还保留着这个组，不过并没有像旧版Windows系统一样被赋予较多的特殊权限，也就是它权限没有比一般用户大。RenmoteDesktopUsers此组内的用户可以从远程计算机使用终端服务登录。Users此组内的用户只拥有一些基本权限，例如运行应用程序、使用本地与网络打印机、锁定计算机等，但是他们不能将文件夹共享给网络上其他的用户、不能将计算机关机等。添加的所有本地用户账户自动属于此组。,.,3.1.6特殊组账户,除了前面介绍的组之外，WindowsServer2008内还有一些特殊组，而且无法更改这些组的成员。以下列出几个较常见到的特殊组：Everyone任何一位用户都属于这个组。若Guest账户被启用，则委派权限个Everyone时需小心，因为若一个在计算机内没有账户的用户，通过网络来登录该计算机，他会被自动允许使用Guest账户来连接。此时因为Guest也属于Everyone组，所以他将具有Everyone所拥有的权限AuthenticatedUsers任何使用有效用户帐户来登录此计算机的用户，都属于这个组。Interactive任何在本地登录（按Ctrl+Alt+Del)的用户，都属于这个组。,.,3.1.7特殊组账户,Network任何通过网络来登录此计算机的用户，都属于这个组。AnonymousLogon任何未使用有效的一般用户帐户来登录的用户，都属于这个组。不过AnonymousLogon默认并不属于Everyone组。Dialup任何使用拨号方式来联机的用户，都是属于此组。,.,3.2.1创建本地用户账户,开始管理工具计算机管理本地用户和组,.,3.2.3创建本地组账户,开始管理工具计算机管理本地用户和组,.,3.3.1NTFS磁盘安全与管理,NTFS权限的种类读取写入读取和执行修改完全控制注：除了写入权限以外，用户至少还需要读取权限才可修改文件内容,.,3.3.2NTFS权限的种类,读取（Read）它可以查看文件夹内的文件名与子文件夹名、查看文件夹属性和权限等。写入（Write）它可以在文件夹内新建文件与子文件夹、修改文件夹属性等。列出文件夹目录（ListFolderContents）它除了拥有读取的权限之外，还具备遍历文件夹（traversefolder）权限，也将是可以打开或关闭此文件夹读取和执行（Read&Execute）它拥有与列出文件夹目录几乎完全相同的权限，只有在权限继承方面有所不同：列出文件夹夹目录权限只会被文件夹继承，而读取和执行回同时被文件夹与文件继承。,.,3.3.3NTFS权限的种类,修改（Modify）它除了拥有前面的所有权限外，还可以删除子文件夹。完全控制（FullControl）它拥有所有的NTFS文件夹权限，也将是除了拥有上述的所有权限之外，还拥有更改权限与取得所有权的特殊权限,.,3.3.4NTFS权限的设置,目标文件夹属性安全编辑,.,3.3.5NTFS权限的高级设置,目标文件夹属性安全高级编辑,.,3.3.6NTFS权限的注意事项,NTFS权限是可以被继承的NTFS权限是有累加性的拒绝权限优先级较高即使用户对此文件夹或文件没有删除的权限，但是只要对父文件夹具有删除子文件夹及文件的权限，还是可以将此文件删除,.,3.3.7文件与文件夹的所有权,NTFS磁盘内的每一个文件与文件夹都有所有者（owner），默认是创建文件或文件夹的用户，就是该文件或文件夹的所有者。所有者可以更改其所拥有的文件或文件夹的权限，无论其当前是否有权限访问此文件或文件夹。,.,3.3.8文件与文件夹的所有权,用户可以获取文件或文件夹的所有权，使其成为新所有者。然而用户必须具备以下的条件之一，才可以获取所有权：具备取得文件或其他对象的所有权全乡的用户，系统默认是赋予administrator组这个权限。对该文件或文件夹具有取得所有权的特殊权限。具备还原文件和路率权限的用户。任何用户只要具有取得文件或其他对象的所有权的权限，就可以通过其他用户或组来将所有权移交给其他用户和组,.,3.3.9修改所有者,目标文件夹属性安全高级所有者编辑,.,3.3.