第五章  NTFS权限<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

实验一:所有权应用

1、 实验目标:

⑴、  设置用户andyNTFS权限,删除其他帐户的NTFS权限。

⑵、  域管理员帐户夺取所有权。

⑶、  设置域管理员帐户的NTFS权限。

2、 实验准备:

⑴、准备两台Windows2003 VM

   ⑵、VM网卡一块,使VM能与真机联通。

   ⑶、设置好试验环境的IP

⑷、  在域中创建一个域帐户andy

3、 实验步骤:

步骤一:域用帐户andy在成员服务器上创建文件夹并设置NTFS权限。

⑴、  使用域用户帐户Andy在成员服务器上登录。

⑵、  C:分区下创建一个文件夹folder

⑶、  右击folder文件夹---“属性”---“安全”---“高级”---“权限”,清除“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的的项目”选项,按提示删除从上级继承的权限,单击“确定”按钮。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

⑷、  在“属性”---“安全”选项卡中,添加域帐户Andy的完全控制权限。

   步骤二:管理员取得folder文件夹的所有权限

⑴、  使用管理员登录到成员机。

⑵、  双击folder文件夹,检查能否打开。

⑶、  右击folder文件夹“属性”---“安全” ,检查能否看到访问控制列表的内容,能否添加NTFS权限。

⑷、  单击“高级”---“所有者”,将所有者更改为域管理员,单击“确定” 按钮。

⑸、  重新打开“安全”选项卡,检查能否看到访问控制列表的内容。

⑹、  双击folder文件夹,检查能否打开。

4、 实验总结:

设置权限时注意权限的继承关系。

实验二:利用AGDLP规则设置NTFS权限

1、 实验目标:

⑴、  创建2个全局组,1个本地域组。

⑵、  每个全局组中有3个域用户帐户。

⑶、  将两个全局组加入本地域组。

⑷、  给本地域组设置NTFS权限。

2、 实验准备:

 ⑴、准备两台Windows2003 VM

   ⑵、VM网卡一块,使VM能与真机联通。

   ⑶、设置好试验环境的IP

3、 实验步骤:

步骤一:在DC上创建6个域用帐户、2个全局组、1个本地域组

⑴、  使用域管理员帐户在DC上登录。

⑵、  使用“Active Directory用户和计算机”创建6个域用户帐户。

⑶、  创建两个全局组。

⑷、  将域帐户加入全局组中。

⑸、  创建1个本地域组。

⑹、  将两个全局组加入本地域组中。

步骤二:在成员服务器上设置NTFS权限

⑴、  使用域管理员帐户在成员服务器上登录。

⑵、  C:分区创建一个文件夹folder,删除folder文件夹的继承权限。

⑶、  添加本地域组对folderNTFS权限为读取和写入。

步骤三:访问文件夹

⑴、  使用域用户帐户在成员机上登录。

⑵、  检查能否打开folder文件夹,能否在folder文件夹中创建文本文件,能否在文本文件中写入内容。

4、 实验总结:

       本地域组和全局组的关系,注意权限的几种使用方法。