项目3 管理用户、组和权限

PowerPointDesign2026年主讲人：时间：项目3管理用户、组和权限

管理用户和组管理用户权限0102目录CONTENTS

任务思维导图管理用户和组PowerPointDesign任务01（1）调查任务（2）调查目的调查任务和目的（1）任务背

（2）调查内容（3）分析影响（4）任务步骤（5）报告内容（6）报告格式具体任务要求（1）内容全面性（2）分析深度（3）结构与表达（4）创新性评价标准调查人工智能在生活中的应用（1）掌握用户的概念。（2）掌握用户组的概念。【知识目标】（1）能够创建和管理用户。（2）能够创建和管理用户组。【技能目标】（1）通过学习用户的创建和管理，培养学生关注细节，严格遵循操作规范的素养。（2）通过学习用户组的创建和管理，培养学生的安全与权限控制意识。【素养目标】学习目标(1)用户在openEuler等Linux操作系统中，用户是指使用计算机资源或服务的个体。每个用户通常通过一个唯一的用户账户与系统进行交互。通过用户账户，操作系统能够识别用户的身份，并为其分配相应的资源和权限。用户账户在计算机系统中具有标识性作用，类似于现实生活中的身份证明或登录凭证。用户通过账户进行身份验证后，系统根据用户的身份来控制其对计算机资源（如文件、程序、硬件等）访问权限，从而实现权限管理和安全控制。（2）用户的组成与特征①用户名和密码每个用户都有一个唯一的用户名，作为用户在系统中的身份标识；同时，用户还需要设置密码，用于身份验证。用户名和密码的组合可以有效防止未经授权的访问，确保用户信息的安全性。②权限控制用户在计算机系统中的操作权限由系统管理员通过权限管理机制分配。权限的范围可以包括文件访问权限、程序运行权限、系统设置修改权限等。通常，用户的权限取决于其角色或所属的组。③用户组多个用户可以组成一个用户组，用户组为一组具有相同权限的用户提供统一的权限管理。通过组的管理方式，可以简化用户的权限设置。例如，系统管理员可以将某些用户分配到“管理员组”，使这些用户拥有修改系统设置的权限，而将其他用户分配到普通用户组，限制其对系统设置的修改权限。④主目录每个用户通常会有一个专属的目录，称为用户主目录，用于存储该用户的个人文件、配置文件等数据。主目录为用户提供了一个私有空间，确保用户数据的隔离与安全。（3）用户的管理用户管理是计算机系统管理中的一项重要任务。系统管理员通过创建、修改和删除用户账户，确保系统的正常运行和安全性。常见的用户管理操作如下所示。①创建用户账户为新用户分配唯一的用户名和密码，并设置相关权限。②修改用户信息管理员可以修改用户的密码、权限或所属用户组。③删除用户账户当用户不再需要访问系统时，管理员可以删除用户账户，回收资源。用户的概念在openEuler等Linux操作系统中，用户组是由多个用户组成的集合，通过将多个用户归为同一组，系统可以统一地管理这些用户的访问权限、资源共享和行为控制。用户组的设计能够减少单独为每个用户配置权限的复杂度，并且提高权限管理的效率与可维护性。（1）用户组的组成①组名每个用户组都有一个唯一的组名，用于标识该组。组名通常是简短且具有描述性的，能够反映该组的功能或角色，例如“管理员组”、“普通用户组”、“开发组”等。②组成员每个用户组包含若干个用户账户，称为组成员。每个成员都是该组的一部分，并且会继承该组的权限。成员在不同用户组之间可以拥有不同的权限，从而实现精细的权限控制。③组权限用户组通常与一组访问权限关联，这些权限决定了组内成员对系统资源（如文件、目录、程序等）的访问控制。通过对用户组分配权限，系统能够实现基于角色的访问控制。（2）用户组的管理用户组的管理是系统管理员的关键任务之一，常用的管理操作如下所示。①创建用户组为新项目、部门或功能组创建新的用户组，并为其分配适当的权限。②修改用户组根据组织结构的变化或安全要求，修改用户组的成员或权限设置。③删除用户组当某个用户组不再需要时，管理员可以删除该组，并回收相关资源。④用户组成员管理管理员可以将用户添加到不同的组中或从组中移除，以调整其访问权限。用户组的概念大语言模型发展历史-----神经网络与深度学习引入0102创建和查看用户（1）创建用户useradd用于在Linux系统中创建新用户的命令，基本语法为useradd[选项]用户名，常用选项-s<shell>：指定用户登录shell，默认值是/bin/bash，不需要登录系统时，值为/sbin/nologin-d<目录>：指定用户的主目录。默认主目录是/home/用户名-g<组名>：指定新用户的初始组，默认会创建一个与用户名相同的组-G<附加组>：为用户指定一个或多个附加组，多个组之间用逗号分隔-e<日期>：设置用户账号的过期日期，格式为YYYY-MM-DD-c<注释>：设置用户的描述信息-u<UID>：指定新用户的用户ID（UID），如果不指定，系统会自动分配一个。（2）查看用户【示例4】通过id命令查看添加的tech1用户通过id加上用户名命令可以显示用户的id标识，查看tech1用户的命令如下所示。[root@localhost~]#idtech1结果如下所示。uid=1000(tech1)gid=1000(tech1)组=1000(tech1)结果中显示了用户tech1的id为1000，默认组tech1的id为1000。【示例5】通过浏览用户配置文件的方式查看添加用户openEuler将用户信息保存到/etc/passwd文件中，查看该文件，可以显示所有用户信息，命令如下。[root@localhost~]#cat/etc/passwd#查看用户配置文件从结果中发现，技术部、销售部、人事部的9个用户已经添加成功了，各用户的家目录在/home目录下，目录名称同用户名称相同，其中emp3的登录shell为“/sbin/nologin”，表示该用户无法登录系统。管理用户（1）设置用户密码使用交互式方式为技术部用户设置登录系统的密码“abc@123.com”设置用户密码的命令是passwd。基本语法为passwd用户名。常用选项如下。-e：强制用户在下次登录时更改密码。-l：锁定用户账户，使用户无法登录。-u：解锁用户账户，使其可以重新登录。--stdin：从标准输入读取密码采用交互式方式设置密码时，系统会提示用户输入密码，如设置tech1密码时，输入如下命令。[root@localhost~]#passwdtech1#设置tech1用户密码运行结果如下。更改用户tech1的密码。新的密码：在新的密码处，输入abc@123.com，回车后，再次提示确认密码，如下所示。重新输入新的密码：在提示符后，再次输入abc@123.com，即可设置tech1的密码，技术部2个用户的密码设置与tech1一致。（2）修改用户信息usermod命令可以修改用户信息，语法为usermod[选项]用户名，常见选项如下所示。-l：修改用户名-d：修改用户的家目录-m：当修改家目录时，移动原家目录内容到新目录-g：修改用户的基本组-G：修改附加组-s：修改用户的默认shell-a：在附加组中添加用户，通常与-G一起使用-e：设置用户账户的过期日期-c：修改用户的注释信息-u：修改用户的UID标识符-p：设置用户的密码（3）切换用户(4)删除用户创建和管理用户语法为groupadd[选项]group_name，group_name是用户创建的组名称，常见选项如下。-gGID：指定用户组的组标识符。如果没有指定，系统会自动为新组分配一个唯一标识。-f：如果指定的组已经存在，则不会报错，而是返回成功状态。-r：创建一个系统组，系统组的GID会小于1000。【示例1】为技术部创建tech组、为销售部创建sale组，为人事部创建emp组。为3个部门创建组的命令如下所示。[root@localhost~]#groupaddtech#创建名称为tech的组[root@localhost~]#groupaddsale#创建名称为sale的组[root@localhost~]#groupaddemp#创建名称为emp的组【示例2】查看创建的tech、sale和emp用户组。创建用户组后，通过查看用户组的配置文件/etc/group，可以显示创建的用户组，命令所下所示。[root@localhost~]#tail-3/etc/group#查看用户组的后3行内容结果如下所示。tech:x:1008:sale:x:1009:emp:x:1010:从结果中可以看出，tech、sale、emp等3个组创建成功了，组号分别为1008、1009、1010。创建用户组（1）修改组groupmod命令用于修改现有的用户组，基本语法为groupmod[选项]group_name，group_name是需要修改的用户组名称，常用选项如下。-n：修改组的名称-g：修改用户组的GID标识符（2）添加移除用户在创建了用户之后，可以通过usermod命令修改用户所属的组，常用的选项如下。-g：修改用户的基本组-G：修改附加组-a：在附加组中添加用户，通常与-G一起使用(3)删除用户groupdel用于删除组，语法为groupdelgroup_name，group_name是要删除的组名称，需要注意的是groupdel无法删除某个用户的基本组，需要先将用户的基本组修改为其他组，再删除目标组，另外groupdel也无法删除某个用户的附加组，需要先将用户的附加组修改为其他组，再删除目标组。管理用户组创建和管理用户组（1）创建用户

打开智能体，在连接完大语言模型，登录到openEuler服务器之后，在“问题输入”框中输入一下问题。“使用useradd创建5个账户，用户名为tech4、tech5、tech6、tech7、tech8，密码都abc@123.com，同时设置这些用户的基本组为已经存在的tech组，附加组为已存在的public组。”单击“提问”按钮，结果单击“执行命令”按钮执行命令，结果（2）检查效果在Xshell终端，使用id命令查看创建的用户，结果通过结果发现，技术部的5个用户已经创建成功了，基本组都为tech。批量创建技术部用户(1)添加用户打开智能体，在连接完大语言模型，登录到openEuler服务器之后，在“问题输入”框中输入一下问题。“使用useradd创建10个账户，用户名为sale4到sale13，密码都abc@123.com，同时设置这些用户的基本组为已经存在的sale组，附加组为已存在的public组。”单击“提问”按钮，结果单击“执行命令”按钮执行命令，结果（2）检查效果首先在/etc/passwd配置文件中查看新创建的10个用户，结果然后使用Xshell新建一个会话连接，使用用户名sale4，密码abc@123.com登录系统，结果从结果中发现，sale4用户已经能够成功登录系统了。

批量创建销售部用户使用智能体批量创建用户并添加到组中管理用户权限PowerPointDesign任务02（1）调查任务（2）调查目的调查任务和目的（1）任务背

（2）调查内容（3）分析影响（4）任务步骤（5）报告内容（6）报告格式具体任务要求（1）内容全面性（2）分析深度（3）结构与表达（4）创新性评价标准调查人工智能在生活中的应用（1）掌握目录和文件的权限管理方式。（2）掌握sudo提权的基本概念。【知识目标】（1）能够配置用户操作目录和文件的权限。（2）能够配置用户使用系统的权限。【技能目标】（1）通过配置用户的目录和文件权限，培养学生认真观察、仔细思考的素养。（2）通过配置用户使用系统的权限，培养学生合理配置资源、确保系统安全的素养。【素养目标】学习目标使用Xshell登录到openEuler操作系统后，显示当前/root目录的显示信息，结果下面通过图中框出的demo.txt文件和linux目录进行说明。（1）区分目录和文件在详情中，每个行以“-”开头的是文件，以“d”开头的是目录，所以demo.txt是文件，linux是目录。（2）权限类型目录和文件的权限类型有3种，包括r（读取权限）、w（写入权限）、x（执行权限），对于文件和目录来说，每种权限可进行的操作如下。r(read)：读取权限，允许查看文件内容或列出目录内容。w(write)：写入权限，允许修改文件内容或添加/删除目录中的文件。x(execute)：执行权限，允许执行文件或进入目录。（3）权限管理对象每个文件或目录都有所有者、所属组和其他人三个权限管理对象，所有者是文件或目录的创建者，通常拥有最高的控制权，所属组是文件或目录创建者所属的用户组，通常拥有部分权限，其他人是除了文件或目录的所有者和所属组之外的其他用户，权限受到严格限制。观察图3-13中demo.txt所在的行，第一个出现的root是文件所有者，即root用户，第2个root是文件所属组，即root组，其他人指既不是root用户，也不属于root组的用户。继续观察图3-13中demo.txt所在的行，在“-”（代表文件）之后出现了“rw-r--r--”9个字符的权限标识。其中“rw-”前3个标识是文件所有者root用户权限，即root用户具备可读、可写权限。接下来的“r--”3个标识是文件所属组root组的权限，即root组的用户具备可读权限。最后的“r--”3个标识是其他人的权限，即其他人具备r可读权限。按照观察demo.txt文件权限的方法，可以看出，linux目录的所有者是root，具备rwx（可读、可写、可执行）的权限，所属组是root组，具备r-x（可读、可执行）权限，其他人具备r-x（可读、可执行）权限。目录和文件的权限管理方式（1）sudo命令功能在openEuler系统中，sudo命令不仅允许普通用户临时获得root权限，还可以允许用户以指定身份（如其他普通用户或特定用户）执行某些命令。通过编辑sudo命令的配置文件，系统管理员可以精确控制用户或用户组能够执行的命令，如允许某个用户可以执行系统更新命令，但不具备其他操作权限，从而提高系统的安全性。sudo命令的常用操作如下所示。sudo<command>以root用户权限执行command命令sudo-l 查看当前用户允许的sudo权限sudo-u<user><command>以指定user用户身份执行command命令sudo-i 切换到root用户环境sudo!! 以root权限重新执行上一条命令。（2）/etc/sudoers配置文件sudo命令的配置文件是/etc/sudoers，用于配置用户或用户组的系统使用权限，基本配置格式为[用户/用户组][主机](可切换的用户)[选项][命令列表]，各字段说明如下。用户/用户组：指定用户（如alice）或用户组（如%wheel）。主机(可切换的用户)：主机指定允许使用sudo的主机，通常设置为ALL，可切换的用户指可以切换成哪个用户执行命令，设置ALL表示所有用户。选项：如NOPASSWD表示免密码。命令列表：列出允许执行的命令，如/usr/bin/systemctl，ALL表示允许执行所有命令。示例1：允许用户alice在所有主机上执行所有sudo命令，执行命令时需要输入密码。在/etc/sudoers文件中增加如下配置。aliceALL=(ALL)ALL其中第1个ALL表示可以在所有主机上执行，第2个(ALL)表示该用户可以以任何身份执行命令。第3个ALL表示该用户可以执行任何命令。示例2：允许wheel组的成员通过sudo免密码方式执行命令。在/etc/sudoers文件中增加如下配置。%wheelALL=(ALL)NOPASSWD:ALL其中%wheel表示wheel组的用户，在ALL=(ALL)加入NOPASSWD选项，表示切换用户并执行命令时，不需要输入密码。sudo提权的基本概念必备知识0102创建目录技术部、销售部、人事部等各部门都有自己的工作目录，所以首先在/目录下创建3个部门的工作目录，技术部的工作目录名称为techwork、销售部的工作目录名称为salework、人事部的工作目录名称为empwork，创建命令如下。[root@localhost~]#mkdir/{techwork,salework,empwork}创建完成后，分别3个目录的权限，命令如下。[root@localhost~]#ls-ld/{techwork,salework,empwork}结果如下所示。drwxr-xr-x.2rootroot40967月31日04:32/empworkdrwxr-xr-x.2rootroot40967月31日04:32/saleworkdrwxr-xr-x.2rootroot40967月31日04:32/techwork通过观察，发现3个目录的所有者和所属组都是root，技术部、销售部、人事部的用户既不是root用户，也不输入root组，作为目录的其他人，只具备r-x读和进入目录的权限，显然权限是不够的，以技术部的tech1用户为例，登录系统后，在/techwork目录中创建文件test，结果如图3-14所示。通过结果发现，tech1用户无法在/techwork目录下创建test文件，提示“Permissiondenied”，即没有权限，同理，销售部用户也无法在/salework中写入内容，人事部用户也无法在/empwork中写入内容。授权工作目录通过实践发现，技术部、销售部、人事部用户无法写入内容到工作目录，这就需要将目录的所有者和所属组授权给相关的用户和组。授权目录和文件的命令为chown，只有root用户或者目录文件所有者才能执行该命令，语法为chown[选项][用户:组][目录/文件]，实现将目录或者文件授权给新的用户和组，常用选项如下。-R：递归操作，改变目录及其子目录、文件的所有者和组。-v：显示更改的详细信息。在root登录终端，将/techwork目录的所有者授权给技术部的第1个用户tech1，所属组授权给tech组，命令如下。[root@localhost~]#chowntech1:tech/techwork授权完成后，再次查看/techwork目录的权限，命令如下。[root@localhost~]#ls-ld/techwork/结果如下所示。drwxr-xr-x.2tech1tech40967月31日04:32/techwork/从结果中发现，/techwork目录的所有者为tech1用户，所属组为tech组，tech1用户具备rwx（可读、可写、可执行）权限，tech组用户具备r-x（可读、可执行权限），按照此方法修改/salework的所有者为sale1，所属组为sale，命令如下。[root@localhost~]#chownsale1:sale/salework修改/empwork的所有者为emp1，所属组为employee，命令如下。[root@localhost~]#chownemp1:employee/empwork配置目录和文件操作权限

0102验证授权目录后的权限①使用tech1用户操作/techwork目录使用tech1登录后，在/techwork目录下创建test文件，如下所示。[tech1@localhost~]$touch/techwork/test进入目录，如下所示。[tech1@localhost~]$cd/techwork/查看目录内容，如下所示。[tech1@localhosttechwork]$lstest从结果发现，tech1用户可以向/techwork目录写入内容、进入目录并列出内容，这是因为tech1用户具备/techwork的rwx（可读可写可执行）权限。②使用tech2用户操作/techwork目录使用tech2登录后，在/techwork目录下创建test2文件，结果从结果中发现，此时，tech2用户还无法在/techwork下创建文件，这是因为技术部的所有用户都属于tech组，tech组对/techwork的权限是r-x（可读可执行），不具备w（可写）权限，所以就无法在目录中创建文件了，销售部和人事部同理。通过符号模式修改/techwork目录权限chmod命令用于修改文件或目录的访问权限，可以通过符号模式或者数字模式设置目录和文件权限，在符号模式中，使用字母表示权限，r表示读取权限，w表示写入权限，x表示执行权限。通过加号（+）、减号（-）和等号（=）来增加、删除或设置权限。语法为chmod[who][operator][permissions]文件/目录，解释如下。who指定要修改权限的用户，取值如下。u：文件的所有者（user）g：文件的所属组（group）o：其他用户（others）a：所有用户（all，即u、g、o的联合）operator指定操作的符号，取值如下。+：添加权限-：删除权限=：设置权限（会覆盖现有权限）permissions是要设置的权限，取值如下。r：读取权限w：写入权限x：执行权限①修改权限②验证权限配置目录和文件操作权限

0102通过数字模式修改销售部和人事部工作目录权限chmod命令使用数字模式修改权限时，权限由三个数字组成，分别是4、2、1，代表的权限如下所示。读权限(r)=4写权限(w)=2执行权限(x)=1这些数字加起来表示不同的权限组合，如下所示。7（4+2+1）：拥有读、写、执行权限6（4+2）：拥有读和写权限5（4+1）：拥有读和执行权限4：仅有读权限3（2+1）：拥有写和执行权限2：仅有写权限1：仅有执行权限0：没有权限如使用chmod754filename设置filename文件权限时，代表文件所有者权限为7（读、写、执行），所有者权限为5（读、执行），其他人权限为4（读）。①修改权限②验证权限设置共享目录①设置共享权限在完成同一个项目时，公司各部门需要在共享目录中拥有写入权限，首先在root用户终端，在/目录下创建一个共享目录/public，如下所示。[root@localhost~]#mkdir/public创建完成后，查看/public目录权限。[root@localhost~]#ls-ld/public/drwxr-xr-x.2rootroot40967月31日09:05/public/从结果中，目录所有者是root用户，所属组是root组，作为其他人用户，技术部、销售部、人事部的员工是不具备写入权限的，修改权限的方法有两种，一种是修改其他人的权限为rwx（可读、可写、可执行），但是这样会有一个问题，就是所有人都可以向目录写入内容了，带来安全隐患。第二种方法是将/public目录授权给public组，并设置public组用于rwx（可读、可写、可执行）权限，由于三个部门的所有用户都加入了public附加组，这样三个部门的所有用户就可以向共享目录写入数据了。首先授权/public目录给public组，如下所示。[root@localhost~]#chown:public/public/以上授权命令种，:前不加用户表示用户不变，查看/public目录的权限，如下所示。[root@localhost~]#ls-ld/public/drwxr-xr-x.2rootpublic40967月31日09:05/public/从结果中发现，已经将/public授权给public组了。然后设置public组的权限为770，增加public组的可写权限，去掉其他人的可读可执行权限，如下所示。[root@localhost~]#ls-ld/public/drwxrwx---.2rootpublic40967月31日09:05/public/从结果中发现，已经按照需求修改成功了。②验证权限③设置粘滞位权限配置目录和文件操作权限

0102创建共享文件技术部的tech1用户在/techwork目录下创建了一个共享文件share，为方便tech组内用户合作，允许组内用户都可以向share文件写入内容，其他人用户不具备任何权限。首先使用tech1登录openEuler系统，在/techwork目录下创建文件share，结果如下。[tech1@localhost~]$touch/techwork/share查看创建的share文件权限，如下所示。[tech1@localhost~]$ls-l/techwork/share-rw-r--r--.1tech1tech07月31日10:58/techwork/share从结果中，文件的所属组tech组用户只具备r（只读）权限，tech组内的用户是无法向文件中写入内容的，在tech2登录终端，向/techwork/share文件写入内容“hello”，结果如下所示。[tech2@localhost~]$echo"hello">/techwork/share-bash:/techwork/share:Permissiondenied从结果中发现，tech组内的用户tech2确实无法向/techwork/share文件写入内容。另外需要注意，当创建一个文件时，默认的权限是644，所有者、所属组、其他人都不具备x（执行）权限，这时因为在多数情况下，创建的文件都不是可执行文件，不需要给予执行文件的权限，所以系统默认设置了644的权限，在后续项目学习Shell脚本时，需要为创建的Shell脚本增加可执行权限，使文件可以执行。修改文件权限在tech1用户终端，修改/techwork/share文件权限，将所属组tech组的权限设置为rw(可读、可写），去掉其他人的r可读权限，命令如下所示。[tech1@localhost~]$chmod660/techwork/share修改完成后，查看/techwork/share文件权限，如下所示。[tech1@localhost~]$ls-l/techwork/share-rw-rw----.1tech1tech07月31日10:58/techwork/share通过结果发现，已经按照要求修改成功了，在tech2登录终端，再次向/techwork/share文件写入内容“hello”，结果如下所示。[tech2@localhost~]$echo"hello">/techwork/sh