文件系統(tǒng)權(quán)限管理

管理對ActiveDirectory?

域服務(wù)中的資源的訪問權(quán)章節(jié)概述管理訪問概述分配對共享資源的權(quán)限管理NTFS文件和文件夾權(quán)限確定有效權(quán)限第1節(jié)：管理訪問概述安全主體訪問令牌權(quán)限訪問控制的工作方式安全主體安全主體-可用于身份驗證和分配資源訪問權(quán)的用戶、組或計算機對象。相對ID(RID)-安全ID(SID)的一部分，在域中惟一標(biāo)識的帳戶或組。安全ID(SID)-在創(chuàng)建用戶、計算機或安全組時分配的唯一值。Windows中的內(nèi)部過程引用帳戶的SID，而不是帳戶的用戶名或組名。安全主體S-1-5-21-1454471165-1004336348-1606980848-5555SIDRID訪問令牌用戶的訪問令牌主體其他訪問權(quán)信息用戶權(quán)利列表組SID用戶SID權(quán)限分配權(quán)限的方式

“允許”或“拒絕”權(quán)限可分配到資源（文件夾、打印機、文件）權(quán)限：是授予或拒絕對象訪問權(quán)的規(guī)則用于控制訪問權(quán)限可分配到本地計算機中的帳戶或ADDS中的帳戶可以顯式應(yīng)用權(quán)限、繼承權(quán)限或隱式應(yīng)用權(quán)限第2節(jié)：分配對共享資源的權(quán)限共享文件夾管理共享文件夾共享文件夾權(quán)限演示：創(chuàng)建共享文件夾連接到共享文件夾演示：管理共享文件夾使用共享文件夾的注意事項共享文件夾

文件夾可以共享，但是各個文件不可共享共享文件夾是允許通過網(wǎng)絡(luò)訪問其內(nèi)容的文件夾。默認情況下，共享文件夾權(quán)限為“Everyone，讀取”可通過以下方式找到共享文件夾：在Windows資源管理器中尋找有兩個用戶圖標(biāo)的文件夾在命令行下通過NetShare命令在“計算機管理”的“共享文件夾”下管理共享文件夾管理共享：是隱藏共享在使用NetView時或者在“網(wǎng)絡(luò)”視圖中都不會顯示管理員有完全權(quán)限共享權(quán)限不可更改共享文件夾權(quán)限權(quán)限級別訪問權(quán)讀取允許查看文件中的數(shù)據(jù)允許瀏覽子文件夾可執(zhí)行共享文件夾中的程序默認情況下應(yīng)用于Everyone組更改“讀取”類別的所有權(quán)限可創(chuàng)建新文件和子文件可修改或刪除現(xiàn)有文件中的數(shù)據(jù)可刪除文件和子文件完全控制“讀取”和“更改”類別中包括的所有權(quán)限，外加更改安全性設(shè)置的權(quán)限演示：創(chuàng)建共享文件夾在此演示中，你將看到如何創(chuàng)建共享文件夾。連接到共享文件夾通過UNC訪問：命名約定為\\servername\share或\\servername\share\file可通過Windows資源管理器、命令行或編程方式訪問通過網(wǎng)絡(luò)訪問：

使用圖形化工具瀏覽網(wǎng)絡(luò)以獲得共享可在域模式或工作組模式下進行不顯示隱藏共享或管理共享通過映射驅(qū)動器訪問：

使用Windows資源管理器或命令行將驅(qū)動器映射到\\servername\share演示：管理共享文件夾在此演示中，你將看到如何使用“共享和存儲管理”工具來管理對共享文件夾的訪問。使用共享文件夾的注意事項創(chuàng)建共享文件夾時：盡可能使用最嚴格的權(quán)限ü避免將權(quán)限分配給單個用戶，盡可能使用組牢記“完全控制”允許用戶修改NTFS權(quán)限。將組添加到“完全控制”權(quán)限組時應(yīng)謹慎將AuthenticatedUsers組添加到共享的權(quán)限，而將Everyone組刪除üüü第3節(jié)：管理NTFS文件和文件夾權(quán)限NTFS權(quán)限標(biāo)準(zhǔn)權(quán)限和特殊權(quán)限NTFS權(quán)限繼承演示：配置NTFS權(quán)限復(fù)制和移動文件和文件夾時，對NTFS權(quán)限的影響NTFS權(quán)限文件權(quán)限文件夾權(quán)限讀取讀取寫入寫入讀取和執(zhí)行列出文件夾內(nèi)容修改讀取和執(zhí)行完全控制修改完全控制“拒絕”權(quán)限優(yōu)先于“允許”權(quán)限標(biāo)準(zhǔn)權(quán)限和特殊權(quán)限特殊權(quán)限遍歷文件夾/執(zhí)行文件創(chuàng)建文件夾/附加數(shù)據(jù)讀取權(quán)限列出文件夾/讀取數(shù)據(jù)寫入屬性更改權(quán)限讀取屬性寫入擴展屬性取得所有權(quán)讀取擴展屬性刪除子文件夾和文件同步創(chuàng)建文件/寫入數(shù)據(jù)刪除標(biāo)準(zhǔn)權(quán)限讀取列出文件夾內(nèi)容修改寫入讀取和執(zhí)行完全控制NTFS權(quán)限繼承阻止

權(quán)限繼承可阻止繼承無需對每個對象分配顯式權(quán)限即可管理對資源的訪問默認情況下，NTFS權(quán)限是按照父/子關(guān)系繼承的可在文件或文件夾級別執(zhí)行阻止在文件夾上設(shè)置阻止可阻止新權(quán)限傳播到子對象演示：配置NTFS權(quán)限在此演示中，你將看到如何配置NTFS權(quán)限。復(fù)制和移動文件和文件夾時，對NTFS權(quán)限的影響在復(fù)制文件和文件夾時，它們繼承目標(biāo)文件夾的權(quán)限當(dāng)在同一個分區(qū)中移動文件和文件夾時，它們保留其權(quán)限在將文件和文件夾移到其他分區(qū)時，它們將繼承目標(biāo)文件夾的權(quán)限NTFS分區(qū)C:\NTFS分區(qū)E:\NTFS分區(qū)D:\移動復(fù)制或移動復(fù)制第4節(jié)：確定有效權(quán)限有效NTFS權(quán)限討論：應(yīng)用NTFS權(quán)限演示：評估有效權(quán)限共享文件權(quán)限和NTFS權(quán)限合并的效果討論：確定有效NTFS權(quán)限和共享文件夾權(quán)限實施NTFS權(quán)限和共享文件夾權(quán)限的注意事項有效NTFS權(quán)限NTFS權(quán)限是累積的修改執(zhí)行寫入讀取“拒絕”優(yōu)先權(quán)限可應(yīng)用于用戶或組文件權(quán)限覆蓋文件夾權(quán)限文件和文件夾的創(chuàng)建者是所有者討論：應(yīng)用NTFS權(quán)限Users組Sales組User1Users組對Folder1有寫入權(quán)限Sales組對Folder1有讀取權(quán)限1Users組對Folder1有讀取權(quán)限Sales組對Folder2有寫入權(quán)限2Users組對Folder1有修改權(quán)限File2只能由Sales組以“讀取”權(quán)限訪問3NTFS分區(qū)File2Folder1Folder2File1演示：評估有效權(quán)限在此演示中，你將看到如何評估有效權(quán)限。共享文件權(quán)限和NTFS權(quán)限合并的效果在合并共享文件夾權(quán)限和NTFS權(quán)限時，將應(yīng)用最嚴格的權(quán)限ü文件和文件夾共享權(quán)限和NTFS權(quán)限必須有正確的權(quán)限，否則系統(tǒng)將隱式拒絕用戶或組訪問資源ü示例：如果用戶或組獲得了共享權(quán)限“讀取”和NTFS權(quán)限“寫入”，那么用戶或組將只能讀取文件，因為這是最嚴格的權(quán)限。討論：確定有效的NTFS權(quán)限和共享文件夾權(quán)限課堂討論：確定有效NTFS權(quán)限確定共享文件夾權(quán)限NTFS卷UsersUsers組FCUser3User2User1User11User3User2FCFCFCFC=完全控制NTFS卷DataSales組Sales組2FCSalesPubsHRFC實施NTFS權(quán)限和共享文件夾權(quán)限的注意事項

將權(quán)限授予組而不是用戶ü只在必要時使用“拒絕”權(quán)限ü不要拒絕Everyone組對對象的訪問權(quán)ü盡可能在文件夾結(jié)構(gòu)中的高位授予權(quán)限ü使用NTFS權(quán)限而不是共享權(quán)限來實現(xiàn)細粒度的訪問ü實驗：管理對資源的訪問權(quán)練習(xí)1：規(guī)劃共享文件夾實施（討論）練習(xí)2：實施共享文件夾練習(xí)3：評估共享文件夾實施登錄信息虛擬機6851A-NYC-DC1，6851A-NYC-CL1用戶名Administrator

，Sven，Dorena密碼Pa$$w0rd估計時間：45分鐘實驗回顧為了授予多位同事對共享文件夾的訪問權(quán)，應(yīng)如何做才能最高效地分配訪問權(quán)？用戶如何重新打開已放入只寫文件夾（如本練習(xí)中創(chuàng)建的DropFolder）中的文件？如何配置如下的共享文件夾：允許某個部門共