简介
访问控制是在共享环境下限制用户对资源访问的一种安全机制,一般作为对用户身份鉴别之后的保护系统安全的第二道屏障,一般分为自主访问控制和强制访问控制。
自主访问控制是指资源拥有者拥有对资源访问的控制权;强制访问控制是指根据用户和资源的安全级别来限制访问。
原理
自主访问控制一般采用访问控制矩阵来表示用户和资源访问权限关系,矩阵的行表示用户,列表示访问资源,单元格表示对应的访问权限。
访问权限包括o(owner,拥有者),r(read,读取),w(write,写入),d(delete,删除)和e(execute,执行)
如下表
a.txt | b.jpg | c.html | |
---|---|---|---|
Alice | r,w,d | o | r |
Bob | o,r | w | w |
Carl | r,w | o,d |
这张图表明,Carl对b.jpg有着读取、写入的权限,对c.html是拥有者并且可以执行
实验环境
基于win 7 的NTFS文件系统
实验步骤
1 查看和添加用户
单击“计算机”、“管理”、“本地用户和组”、“用户选项”,可以查看系统中所有用户
用户栏单击右键选择“新用户”,添加新用户“test001”,密码与用户名相同
用同样的方法,添加test002,操作完毕如下所示
2 查看用户权限
创建一个新文件如“test.txt”,输入“123456”后保存,然后查看文件属性。
可以在“安全”页面里看到不同用户对文件的权限。可以查看不同用户对于该文件的权限,也可以选中用户,打开“高级”按钮,选择“有效权限”,可以查看单个用户权限。
在“选择”里面输入“test001”,可以查看test用户权限
选择”更改权限”,勾除“包括可从对象的父项继承的权限”,这就删除了所有用户的权限
此时再次打开“安全”界面,如图所示
选择添加用户“test002”,并只允许其读取
切换用户,用test002身份登录,此时用户只能打开文件,不能写文件