关闭

windows server 2012 AD 活动目录部署系列(四)用户资源的权限分配

标签: 共享文件夹权限分配用户资源用户权限AD用户
10921人阅读 评论(0) 收藏 举报
分类:

 上篇博文中我们已经为张建国创建了用户账号,这次我们来看看如何利用这个用户账号来实现资源分配的目标。

我们现在做个简单的实验,要把成员服务器 Berlin 上一个共享文件夹的读权限分配给公司的员工张建国。


如下图所示,我们在成员服务器 Berlin 上右键点击文件夹 Tools,选择“属性-共享-高级共享”,准备把 Tools 文件夹共享出来。



勾选“共享此文件夹”,然后点击“权限”,


Tools 文件夹的默认共享权限是Everyone 组只读,我们删除默认的权限设置, 点击添加按钮,准备把文件夹的读权限授予张建国。



如下图所示,我们选择 adtest.com 域中的张建国作为权限的授予载体,这时我们要理解域的共享用户账号的含义,在域控制器上为张建国创建了用户账号后, 成员服务器分配资源时就可以使用这些用户账号了。



为用户张建国赋予读权限,点击“确定”完成权限分配。



我们先用域管理员登录Perth(已加入域)服务器上,访问一下 Berlin 上的 Tools 共享文件夹,如下图所示,域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的,我们只把共享文件夹的权限授予了张建国。


我们再在 Perth 上以张建国的身份登录,如下图所示,


张建国访问 Berlin 上的共享文件夹 Tools,如下图所示,张建国顺利地访问到 了目标资源,我们的资源分配达到了预期的效果。


至此,权限分配已完成!

总结:

做完这个实验后,我们应该想一下,为什么张建国在访问共享文件夹时没有被要求身份验证呢?这是个关键问题,因为当张建国登录时,输入的用户名和口令将送到域控制器请求验证,域控制器如果认可了张建国输入的用户名和口令,域控制器将为张建国发放一个电子令牌令牌中描述了张建国隶属于哪些组等信息,令牌就相当于张建国的电子身份证。当张建国访问Berlin上的共享文件夹时,Berlin的守护进程会检查访问者的令牌然后和被访问资源的访问控制列表进行比较。如果发现两者吻合,例如本例中Berlin上的共享文件夹允许域中的张建国访问,而访问者的令牌又证明了自己就是域中的张建国,那么访问者就可以透明访问资源,无需进行其他形式的身份验证。


转载请注明出处:http://blog.csdn.net/xiezuoyong/article/details/9450805

2
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:454894次
    • 积分:5171
    • 等级:
    • 排名:第5318名
    • 原创:93篇
    • 转载:0篇
    • 译文:0篇
    • 评论:47条
    博客专栏
    最新评论