用户账户安全-用户权限的安全

Windows XP提供了非常细致的权限控制项，能够精确定制用户对资源的访问控制能力，大多数的权限从其名称上就可以基本了解其所能实现的内容。" 权限"(Permission）是针对资源而言的。也就是说，设置权限只能是以资源为对象，即"设置某个文件夹有哪些用户可以拥有相应的权限"，而不能是以用户为主，即"设置某个用户可以对哪些资源拥有权限"。这就意味着"权限"必须针对"资源"而言，脱离了资源去谈权限毫无意义──在提到权限的具体实施时，"某个资源"是必须存在的。利用权限可以控制资源被访问的方式，如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。 “权利"(Right）主要是针对用户而言的。"权利"通常包含"登录权利" (Logon Right）和"特权"(Privilege）两种。登录权利决定了用户如何登录到计算机，如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称，这些权力主要用于帮助用户对系统进行管理，如是否允许用户安装或加载驱动程序等。显然，权利与权限有本质上的区别。

【实验步骤】

网络拓扑：server2008-basic

windows server 2008 用户：administrator 密码：Admin123

第一步：点击启动选项，启动实验虚拟机。

第二步：打开windows server 2008虚拟机，进入到系统桌面环境

第三步：在任务栏中点击“开始”，点击“计算机”，进入计算机界面。

第四步：点击“本地磁盘（C：）”进到本地磁盘C的界面中准备进行操作。

第五步：在本地磁盘C界面中，在空白位置点击鼠标右键，选到“新建”，之后点击“文件夹”，就创建出了一个新的文件夹，名称例如：test

第六步：选定“test”文件夹，鼠标右键，点击“属性”，进入test属性管理界面。

第七步：在test属性界面中点击“安全”后，点击“编辑”可以进行用户权限的配置。

第八步：点击“添加”可对文件进行用户的添加。

权限说明

完全控制——拥有该文件的全部权限

修改——可以修改该文件内容

读取和执行——能够读取和执行该文件

列出文件内容——只允许访问文件

读取——可以读取文本文件

写入——可以对文件内容进行修改

特殊权限——拥有该文件的管理员权限

第九步：在选择用户或组界面中，点击“高级”进入高级模式后，点击“立即查找”，选择想添加的用户（如test），后点击“确定”即可。

第十步：可以赋予用户test，读取。完成该点击“应用进行保存”。

第十一步：在test属性管理界面中点击“高级”，进入test的高级安全设置界面中进行操作

第十二步：点击“更改权限”，才能进行权限的更改

第十三步：点击“添加”，可以用来添加一个用户。

第十四步：添加用户完成后会自动弹出test的权限项目的管理框。这个权限更加的详细

第十五步：在test的高级安全设置界面中，将“使用可从此对象继承的权限替换所有子对象权限”关闭后，可以对权限进行删除。

第十六步：在审核界面里可以添加审核的用户，点击“编辑”进行操作

第十七步：在test的高级安全设置界面中点击“添加”进行用户的添加。

第十八步：当添加完用户时，会弹出审核项目的界面框，可以记录操作内容。

第十九步：审核项目的审计访问记录选择完毕后，点击“应用”即可生效。

第二十步：在所有者的界面中，可以添加或删除文件的所有者，点击“编辑”进行操作。

第二十一步：在有效权限界面中，点击“选择”，选择用户，可以看到该用户拥有此文件的有效权限。

第二十二步：测试

在test文件夹下创建一个文本文档（.txt），里面写入“hello”保存即可

按键盘的windows键或者在任务栏中点击“开始”，对服务器进行注销。

登录账户test

打开“计算机”访问C盘路径下的test文件夹。

打开hello.txt，对里面的内容进行修改，

对文件进行保存，发现因为权限问题拒绝访问无法保存。

对计服务器虚拟机进行注销，并且登录test2用户，重复上述步骤。发现可以保存。