第9章管理對ad域服務中的資源訪問權

1、管理對AD域服務中的的權第9章主講：章節(jié)概述 管理概述 分配對共享的權限 管理 NTFS 文件和文件夾權限 確定有效權限新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我第 1 節(jié)：管理概述 安全主體令牌 權限的工作方式新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我安全主體安全主體 - 可用于和分配權的用戶、組或計算機對象。安全 ID (SID) - 在創(chuàng)建用戶、計算機或時分配的唯一值。Windows 中的內(nèi)部過程帳戶的 S

2、ID，而不是帳戶的用戶名或組名。相對 ID (RID) -安全ID (SID) 的一部分，在域中惟一標識的帳戶或組。S-1-5-21- 1454471165-1004336348-1606980848-5555新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我RIDSID安全主體令牌用戶的令牌新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.請與我!.com課程報名及光盤用戶 SID組 SID用戶權利列表其他權信息主體權限權限： 是授予或拒絕對象 用于權的規(guī)

3、則分配權限的方式“”或“拒絕”權限可分配到（文件夾、打印機、文件）權限可分配到本地計算機中的帳戶或 AD DS 中的帳戶可以顯式應用權限、繼承權限或隱式應用權限新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我的工作方式列表 (DACL)隨機 DACL 包含用戶和組的列表，這些用戶和組可以絕而無法 NTFS 卷上的每一個文件和文件夾都有關聯(lián)的 DACL或者被拒列表 (SACL)系統(tǒng) SACL審核對的條目 (ACE) 定義 DACL 指定一組要或 SACL 中的每一個條目、拒絕或?qū)徍说?SID 如果在 DACL中

4、未指定任何 ACE，那么將拒絕新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我管理權回顧 在授予對 AD DS，DACL 的作用是什么？中的的 DACL 與SACL 有何不同？新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我第 2 節(jié)：分配對共享的權限 共享文件夾 管理共享文件夾 共享文件夾權限 演示：創(chuàng)建共享文件夾 連接到共享文件夾 演示：管理共享文件夾 使用共享文件夾的注意事項新目標IT課堂常年開設微軟、思科、Linux

5、、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我共享文件夾共享文件夾是通過其內(nèi)容的文件夾。文件夾可以共享，但是各個文件不可共享默認情況下，共享文件夾權限為“Everyone，”可通過以下方式找到共享文件夾：在 Windows管理器中尋找有兩個用戶圖標的文件夾在命令行下通過 Net Share 命令在“計算機管理”的“共享文件夾”下新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我管理共享文件夾管理共享：是隱藏共享在使用 Net View時或者在“”視圖中都顯示管理員有完

6、全權限共享權限不可更改新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我共享文件夾權限新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：課程報名及光盤請與我!權限級別權 查看文件中的數(shù)據(jù) 瀏覽子文件夾 可執(zhí)行共享文件夾中的程序 默認情況下應用于 Everyone 組更改 “”類別的所限 可創(chuàng)建新文件和子文件 可修改或刪除現(xiàn)有文件中的數(shù)據(jù) 可刪除文件和子文件完全 “”和“更改”類別中的所限，外加更改安全性設置的權限演示：創(chuàng)建共享文件夾在此演示中，你將看到

7、如何創(chuàng)建共享文件夾。新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我連接到共享文件夾通過 UNC：命名約定為servernameshare 或servernamesharefileWindows可通過管理器、命令行或編程方式通過：使用圖形化工具瀏覽以獲得共享可在域模式或工作組模式下進行不顯示隱藏共享或管理共享新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我通過驅(qū)動器：使用 Windows管理器或命令行將驅(qū)動器到servern

8、ameshare演示：管理共享文件夾在此演示中，你將看到如何使用“共享和管理” 工具來管理對共享文件夾的。新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我使用共享文件夾的注意事項創(chuàng)建共享文件夾時：用戶修改 NTFS 權限。將組添加到“完全ü牢記“完全”權限組時應謹慎新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我ü將 Authenticated Users 組添加到共享的權限，而將 Everyone組刪除

9、ü避免將權限分配給單個用戶，盡可能使用組ü盡可能使用最嚴格的權限第 3 節(jié)：管理 NTFS 文件和文件夾權限 NTFS 權限 標準權限和特殊權限 NTFS 權限繼承 演示：配置 NTFS 權限和移動文件和文件夾時，對 NTFS 權限的影響新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我NTFS 權限“拒絕”權限優(yōu)先于“”權限新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：課程報名及光盤請與我!文件權限文件夾權限寫入寫入和執(zhí)行列出

10、文件夾內(nèi)容修改和執(zhí)行完全修改完全標準權限和特殊權限新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：課程報名及光盤請與我!標準權限列出文件夾內(nèi)容修改寫入和執(zhí)行完全特殊權限遍歷文件夾/執(zhí)行文件創(chuàng)建文件夾/附加數(shù)據(jù)權限列出文件夾/數(shù)據(jù)寫入屬性更改權限屬性寫入擴展屬性取得所擴展屬性刪除子文件夾和文件同步創(chuàng)建文件/寫入數(shù)據(jù)刪除NTFS 權限繼承繼承無需對每個對象分配顯式權限即可管理對的默認情況下，NTFS 權限是按照父/子繼承的權限繼承可可在文件或文件夾級別執(zhí)行在文件夾上設置可新權限到子對象新目標IT課堂常年開設微軟、思科、Linux、安全、

11、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我演示：配置 NTFS 權限在此演示中，你將看到如何配置 NTFS 權限。新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我和移動文件和文件夾時，對 NTFS 權限的影響NTFS 分區(qū)C:或移動NTFS 分區(qū)E:移動NTFS 分區(qū)D: 在文件和文件夾時，它們繼承目標文件夾的權限 當在同一個分區(qū)中移動文件和文件夾時，它們保留其權限 在將文件和文件夾移到其他分區(qū)時，它們將繼承目標文件夾的權限新目標IT課堂常年開設微軟、思科、Linux、

12、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我第 4 節(jié)：確定有效權限 有效 NTFS 權限 討論：應用 NTFS 權限 演示：評估有效權限 共享文件權限和 NTFS 權限合并的效果 討論：確定有效 NTFS 權限和共享文件夾權限 實施 NTFS 權限和共享文件夾權限的注意事項新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我 有效 NTFS 權限NTFS 權限是累積的“拒絕”優(yōu)先權限可應用于用戶或組文件權限覆蓋文件夾權限文件和文件夾的創(chuàng)建者是所有者新目標IT課堂常年開

13、設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.請與我!.com課程報名及光盤修改執(zhí)行寫入討論：應用 NTFS 權限NTFS 分區(qū)Users組Folder1File1Folder2File2新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我Sales 組Users 組對 Folder1有修改權限3File2 只能由 Sales組以“”權限User12Users 組對 Folder1有權限Sales 組對 Folder2有寫入權限Users 組對 Folder1有寫入權限1Sa

14、les 組對 Folder1有權限演示：評估有效權限在此演示中，你將看到如何評估有效權限。新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我共享文件權限和 NTFS 權限合并的效果在合并共享文件夾權限和 NTFS 權限時，將應用最嚴格的權限ü新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我ü文件和文件夾共享權限和 NTFS 權限必須有正確的權限，否則系統(tǒng)將隱式拒絕用戶或組示例：如果用戶或組獲得了共享權限“”

15、和 NTFS 權限“寫入”，那么用戶或組將只能文件，因為這是最嚴格的權限。NTFS 權限和共享文件夾權限討論：確定有效的課堂討論： 確定有效 NTFS 權限 確定共享文件夾權限 1 2 NTFS 卷NTFS 卷UsersFCDataFCUser1FCUser1Sales組SalesFCUser2FCUser2HRFCUser3User3Pubs新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我FC = 完全Sales 組Users 組實施 NTFS 權限和共享文件夾權限的注意事項新目標IT課堂常年開設微軟、思科

16、、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我ü使用 NTFS 權限而不是共享權限來實現(xiàn)細粒度的ü盡可能在文件夾結(jié)構(gòu)中的授予權限ü不要拒絕 Everyone 組對對象的權ü只在必要時使用“拒絕”權限ü將權限授予組而不是用戶實驗：管理對的權 練：共享文件夾實施（討論） 練習 2：實施共享文件夾 練習 3：評估共享文件夾實施登錄信息估計時間： 45 分鐘新目標IT課堂常年開設微軟、思科、Linux、安全、H3C及Office高端培訓淘寶：xuehao51.!.com課程報名及光盤請與我虛擬機6851A-NYC-DC1，6851A-NYC-CL1用戶名Administrator ，Sven，DorenaPa$w0rd實驗回顧 為了授予多位同事對共享文件夾的權？ 用戶如何重新打開已放入只寫文件夾（如本練習中創(chuàng)建的 DropFolder） 中的文件？權，應如何做才能最高效地分配 如何配置如下的共享文件夾：某個部門共享文件；部門中每個人都其他人的文件；但是只有一小部分人可在其中添加的文件以及可編輯所有文件的內(nèi)容？”管理 MMC