国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

實(shí)驗(yàn)十 權(quán)限管理

實(shí)驗(yàn)?zāi)康模?/span>使同學(xué)們NTFS文件系統(tǒng)權(quán)限設(shè)置的基本方法。

配合章節(jié)：本實(shí)驗(yàn)與理論課的第七章內(nèi)容相對應(yīng)。

實(shí)驗(yàn)內(nèi)容：文件系統(tǒng)轉(zhuǎn)換、權(quán)限設(shè)置。

計(jì)劃課時(shí)：1學(xué)時(shí)。

通過圖示為大家講解如何設(shè)置用戶的權(quán)限。

1．打開“我的電腦”，選擇C盤的根目錄“Documents and Settings”。

2．右鍵單擊打開“共享和安全”。

3．在彈出的文件夾屬性對話框中選擇“安全”選項(xiàng) 

4．設(shè)置文件權(quán)限，刪除Power Users 和 Users，分別選中這兩個(gè)用戶，點(diǎn)擊“刪除”按鈕。

5．添加特定用戶對文件夾的訪問，點(diǎn)擊“添加”按鈕。

6．在彈出的“選擇用戶和組”對話框中，點(diǎn)擊“高級(jí)”按鈕。 

7．選擇“立即查找”，系統(tǒng)會(huì)自動(dòng)查找所有用戶。

8．在查找出的用戶列表中選擇 Everyone 用戶，添加到當(dāng)前執(zhí)行的操作當(dāng)中。

9．點(diǎn)擊“確定”，返回到剛才添加用戶的對話框中，設(shè)置該用戶最低的權(quán)限為“讀取”，點(diǎn)擊“確定”，完成對目錄權(quán)限的設(shè)置。

Windows里有不同的用戶不同的權(quán)限，用戶又被分成許多組，組和組之間又都有不同的權(quán)限，當(dāng)然，一個(gè)組的用戶和用戶之間也可以有不同的權(quán)限。下面我們來談?wù)劤Ｒ姷挠脩艚M。

Administrators,管理員組，默認(rèn)情況下，Administrators中的用戶對計(jì)算機(jī)/域有不受限制的完全訪問權(quán)。分配給該組的默認(rèn)權(quán)限允許對整個(gè)系統(tǒng)進(jìn)行完全控制。所以，只有受信任的人員才可成為該組的成員。

Power Users，高級(jí)用戶組，Power Users 可以執(zhí)行除了為 Administrators 組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給 Power Users 組的默認(rèn)權(quán)限允許 Power Users 組的成員修改整個(gè)計(jì)算機(jī)的設(shè)置。但Power Users 不具有將自己添加到 Administrators 組的權(quán)限。在權(quán)限設(shè)置中，這個(gè)組的權(quán)限是僅次于Administrators的。

Users:普通用戶組，這個(gè)組的用戶無法進(jìn)行有意或無意的改動(dòng)。因此，用戶可以運(yùn)行經(jīng)過驗(yàn)證的應(yīng)用程序，但不可以運(yùn)行大多數(shù)舊版應(yīng)用程序。Users 組是最安全的組，因?yàn)榉峙浣o該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。Users 組提供了一個(gè)最安全的程序運(yùn)行環(huán)境。在經(jīng)過 NTFS 格式化的卷上，默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊表設(shè)置、操作系統(tǒng)文件或程序文件。Users 可以關(guān)閉工作站，但不能關(guān)閉服務(wù)器。Users 可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。

Guests:來賓組，按默認(rèn)值，來賓跟普通Users的成員有同等訪問權(quán)，但來賓帳戶的限制更多。

Everyone:顧名思義，所有的用戶，這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組。

其實(shí)還有一個(gè)組也很常見，它擁有和Administrators一樣、甚至比其還高的權(quán)限，但是這個(gè)組不允許任何用戶的加入，在察看用戶組的時(shí)候，它也不會(huì)被顯示出來，它就是SYSTEM組。系統(tǒng)和系統(tǒng)級(jí)的服務(wù)正常運(yùn)行所需要的權(quán)限都是靠它賦予的。由于該組只有這一個(gè)用戶SYSTEM，也許把該組歸為用戶的行列更為貼切。

用戶的權(quán)限是有高低之分的，有高權(quán)限的用戶可以對低權(quán)限的用戶進(jìn)行操作，但除了Administrators之外，其他組的用戶不能訪問 NTFS 卷上的其他用戶資料，除非他們獲得了這些用戶的授權(quán)。而低權(quán)限的用戶無法對高權(quán)限的用戶進(jìn)行任何操作。

我們平常使用計(jì)算機(jī)的過程當(dāng)中不會(huì)感覺到有權(quán)限在阻撓你去做某件事情，這是因?yàn)槲覀冊谑褂糜?jì)算機(jī)的時(shí)候都用的是Administrators中的用戶登陸的。這樣有利也有弊，利當(dāng)然是你能去做你想做的任何一件事情而不會(huì)遇到權(quán)限的限制。弊就是以 Administrators 組成員的身份運(yùn)行計(jì)算機(jī)將使系統(tǒng)容易受到特洛伊木馬、病毒及其他安全風(fēng)險(xiǎn)的威脅。訪問 Internet 站點(diǎn)或打開電子郵件附件的簡單行動(dòng)都可能破壞系統(tǒng)。不熟悉的 Internet 站點(diǎn)或電子郵件附件可能有特洛伊木馬代碼，這些代碼可以下載到系統(tǒng)并被執(zhí)行。如果以本地計(jì)算機(jī)的管理員身份登錄，特洛伊木馬可能使用管理訪問權(quán)重新格式化的硬盤，造成不可估量的損失，所以在沒有必要的情況下，最好不用Administrators中的用戶登陸。

Administrators中有一個(gè)在系統(tǒng)安裝時(shí)就創(chuàng)建的默認(rèn)用戶----Administrator，Administrator 帳戶具有對服務(wù)器的完全控制權(quán)限，并可以根據(jù)需要向用戶指派用戶權(quán)利和訪問控制權(quán)限。因此強(qiáng)烈建議將此帳戶設(shè)置為使用強(qiáng)密碼。永遠(yuǎn)也不可以從 Administrators 組刪除 Administrator 帳戶，但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的 Windows 上，所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問該帳戶變得更為困難。對于一個(gè)好的服務(wù)器管理員來說，他們通常都會(huì)重命名或禁用此帳戶。Guests用戶組下，也有一個(gè)默認(rèn)的Guest用戶,但是在默認(rèn)情況下，它是被禁用的。如果沒有特別必要，無須啟用此賬戶。我們可以通過“控制面板”——〉“管理工具”——〉“計(jì)算機(jī)管理”——〉“用戶和用戶組”來查看用戶組及該組下的用戶。

我們用鼠標(biāo)右鍵單擊一個(gè)NTFS卷或NTFS卷下的一個(gè)目錄，選擇“屬性”——〉“安全”就可以對一個(gè)卷，或者一個(gè)卷下面的目錄進(jìn)行權(quán)限設(shè)置，此時(shí)我們會(huì)看到以下七種權(quán)限：完全控制、修改、讀取和運(yùn)行、列出文件夾目錄、讀取、寫入、和特別的權(quán)限。“完全控制”就是對此卷或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選中了“完全控制”，下面的五項(xiàng)屬性將被自動(dòng)被選中。“修改”則像Power users，選中了“修改”，下面的四項(xiàng)屬性將被自動(dòng)被選中。下面的任何一項(xiàng)沒有被選中時(shí)，“修改”條件將不再成立。“讀取和運(yùn)行”就是允許讀取和運(yùn)行在這個(gè)卷或目錄下的任何文件，“列出文件夾目錄”和“讀取”是“讀取和運(yùn)行”的必要條件。“列出文件夾目錄”是指只能瀏覽該卷或目錄下的子目錄，不能讀取，也不能運(yùn)行。“讀取”是能夠讀取該卷或目錄下的數(shù)據(jù)。“寫入”就是能往該卷或目錄下寫入數(shù)據(jù)。而“特別”則是對以上的六種權(quán)限進(jìn)行了細(xì)分。

對于WEB服務(wù)器和FTP服務(wù)器的帳戶全權(quán)限的設(shè)置，我們在前面的課程已經(jīng)進(jìn)行了講解，本節(jié)在此就不過多贅述了。

Windows 2000的默認(rèn)權(quán)限設(shè)置是對于各個(gè)卷的根目錄，默認(rèn)給了Everyone組完全控制權(quán)。這意味著任何進(jìn)入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統(tǒng)卷下有三個(gè)目錄比較特殊，系統(tǒng)默認(rèn)給了他們有限制的權(quán)限，這三個(gè)目錄是Documents and settings、Program files和WinNT。對于Documents and settings，默認(rèn)的權(quán)限是這樣分配的：Administrators擁有完全控制權(quán)；Everyone擁有讀&運(yùn)，列和讀權(quán)限；Power users擁有讀&運(yùn)，列和讀權(quán)限；SYSTEM同Administrators；Users擁有讀&運(yùn)，列和讀權(quán)限。對于Program files，Administrators擁有完全控制權(quán)；Creator owner擁有特殊權(quán)限；Power users有完全控制權(quán)；SYSTEM同Administrators；Terminal server users擁有完全控制權(quán)，Users有讀&運(yùn)，列和讀權(quán)限。對于WinNT，Administrators擁有完全控制權(quán)；Creator owner擁有特殊權(quán)限；Power users有完全控制權(quán)；SYSTEM同Administrators；Users有讀&運(yùn)，列和讀權(quán)限。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限，也就是Everyone組完全控制權(quán)。

對于沒有經(jīng)過設(shè)置的Windows Sever，一個(gè)水平一般的黑客就很容易取得管理員權(quán)限，因?yàn)槟J(rèn)權(quán)限設(shè)置的很不安全。用戶在訪問網(wǎng)站的時(shí)候，將被自動(dòng)賦予IUSR用戶，它是隸屬于Guest組的，本來權(quán)限不高，但是系統(tǒng)默認(rèn)給的Everyone組完全控制權(quán)，這就讓它“身價(jià)倍增”，到最后能得到Administrators了。怎樣設(shè)置權(quán)限給這臺(tái)服務(wù)器才算是安全的呢？我們應(yīng)該牢記一句話：“最少的服務(wù)+最小的權(quán)限=最大的安全”。對于服務(wù)，不必要的一定不要裝，因?yàn)樗械姆?wù)的運(yùn)行是SYSTEM級(jí)。對于權(quán)限，應(yīng)該本著夠用就好的原則分配。可以這樣修改一下Windows默認(rèn)的權(quán)限設(shè)置以加強(qiáng)起安全性：各個(gè)卷的根目錄、Documents and settings以及Program files，只給Administrator完全控制權(quán)，或者干脆直接把Program files給刪除掉；給系統(tǒng)卷的根目錄多加一個(gè)Everyone的讀、寫權(quán)；給網(wǎng)站目錄讀、寫權(quán)。

最后，還要把cmd.exe這個(gè)文件找到，只給Administrator完全控制權(quán)。經(jīng)過這樣的設(shè)置后，黑客要想入侵這臺(tái)服務(wù)器就很困難了。可能這時(shí)候有的讀者會(huì)問：“為什么要給系統(tǒng)卷的根目錄一個(gè)Everyone的讀、寫權(quán)？網(wǎng)站中的ASP文件運(yùn)行不需要運(yùn)行權(quán)限嗎？”問的好，有深度。是這樣的，系統(tǒng)卷如果不給Everyone的讀、寫權(quán)的話，啟動(dòng)計(jì)算機(jī)的時(shí)候，計(jì)算機(jī)會(huì)報(bào)錯(cuò)，而且會(huì)提示虛擬內(nèi)存不足。當(dāng)然這也有個(gè)前提——虛擬內(nèi)存是分配在系統(tǒng)盤的，如果把虛擬內(nèi)存分配在其他卷上，那你就要給那個(gè)卷Everyone的讀、寫權(quán)。ASP文件的運(yùn)行方式是在服務(wù)器上執(zhí)行，只把執(zhí)行的結(jié)果傳回最終用戶的瀏覽器，這沒錯(cuò)，但ASP文件不是系統(tǒng)意義上的可執(zhí)行文件，它是由WEB服務(wù)的提供者——IIS來解釋執(zhí)行的，所以它的執(zhí)行并不需要運(yùn)行的權(quán)限。   

經(jīng)過上面的講解以，我們對權(quán)限已經(jīng)有了一個(gè)初步的認(rèn)識(shí)了。下面我們就更深入地介紹一下權(quán)限的一些特性，權(quán)限是具有繼承性、累加性 、優(yōu)先性、交叉性的。

繼承性是說下級(jí)的目錄在沒有經(jīng)過重新設(shè)置之前，是擁有上一級(jí)目錄權(quán)限設(shè)置的。這里還有一種情況要說明一下，在分區(qū)內(nèi)復(fù)制目錄或文件的時(shí)候，復(fù)制過去的目錄和文件將擁有它現(xiàn)在所處位置的上一級(jí)目錄權(quán)限設(shè)置。但在分區(qū)內(nèi)移動(dòng)目錄或文件的時(shí)候，移動(dòng)過去的目錄和文件將擁有它原先的權(quán)限設(shè)置。

累加是說如一個(gè)組GROUP1中有兩個(gè)用戶USER1、USER2，他們同時(shí)對某文件或目錄的訪問權(quán)限分別為“讀取”和“寫入”，那么組GROUP1對該文件或目錄的訪問權(quán)限就為USER1和USER2的訪問權(quán)限之和，實(shí)際上是取其最大的那個(gè)，即“讀取”+“寫入”=“寫入”。 又如一個(gè)用戶USER1同屬于組GROUP1和GROUP2，而GROUP1對某一文件或目錄的訪問權(quán)限為“只讀”型的，而GROUP2對這一文件或文件夾的訪問權(quán)限為“完全控制”型的，則用戶USER1對該文件或文件夾的訪問權(quán)限為兩個(gè)組權(quán)限累加所得，即：“只讀”+“完全控制”=“完全控制”。 

優(yōu)先性，權(quán)限的這一特性又包含兩種子特性，其一是文件的訪問權(quán)限優(yōu)先目錄的權(quán)限，也就是說文件權(quán)限可以越過目錄的權(quán)限，不顧上一級(jí)文件夾的設(shè)置。另一特性就是“拒絕”權(quán)限優(yōu)先其它權(quán)限，也就是說“拒絕”權(quán)限可以越過其它所有其它權(quán)限，一旦選擇了“拒絕”權(quán)限，則其它權(quán)限也就不能取任何作用，相當(dāng)于沒有設(shè)置。

交叉性是指當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時(shí)又為用戶設(shè)置了該文件夾的訪問權(quán)限，且所設(shè)權(quán)限不一致時(shí)，它的取舍原則是取兩個(gè)權(quán)限的交集，也即最嚴(yán)格、最小的那種權(quán)限。如目錄A為用戶USER1設(shè)置的共享權(quán)限為“只讀”，同時(shí)目錄A為用戶USER1設(shè)置的訪問權(quán)限為“完全控制”，那用戶USER1的最終訪問權(quán)限為“只讀”。