工作组&用户
用户的管理&组的管理
1.什么是用户 ,区别和分类
2. 什么是组,组的区别和分类
用户
- 不同的用户身份拥有不同的权限
- 不同的用户有自己的账户名和密码
- 每个用户拥有自己唯一的安全标识符
SID : 安全标识符
是计算机区别用户的凭据
SID =系统ID(一大串)+用户ID(500)
管理员ID 500
普通用户 1000 开始起算
whoami /user
C盘下的用户都有自己的文件夹(家目录: 一些基础设施),但只有登录之后才会建立文件夹。
普通用户只能进入自己的家目录
#查看用户信息#
net user
#查看指定用户信息#
net user zoe
#启用禁用的指定账户#
net user zoe /active : yes
#新建用户#
net user zoe 123.com /add
#改密码#
net user zoe 456.com
#清空指定用户的密码#
net user zoe ""
#删除指定用户#
net user zoe /del
#运行安全策略#
> secpol.msc
> 本地策略 ->用户权限分配 ->关闭系统
时间对于系统是非常重要的- 可以的通过修改时间对一些权限的执行进行绕过
用户的分类
->内置账户 (一般不需要改变其权限)
1. 与使用者关联的用户账户
- 来宾账户guest(默认是禁用的),权限是非常低的
- administrators:权限最大
2. 与Windows组件关联的用户账户
- system(本地系统) : 为Windows核心组件访问文件等资源提供权限
- local service(本地服务):最小权限的本地账户
- network service(网络服务):具有运行网络服务的计算机账户
组
组是个容器,同于存放对象,对象是用户。组有权限,组内的用户自动拥有权限。
#创建组#
>net localgroup caiwu /add
#将指定用户加到指定组#
>net localgroup caiwu hehe /add
#将指定用户删除#
>net localgroup caiwu hehe /del
需要人为添加成员的
- Administrators
- Guests
- Power Users(为了兼容之前的老版本)
- Users(默认创建的普通账户)
动态包含成员的内置组(自动添加用户的组)
- Interactive :动态包含在本地登陆的用户
- Authenticated Users :动态包含了通过验证的用户,不包含来宾用户
- Everyone :包含任何用户,设置开放权限时使用(比如只有触发打印服务,进入到打印权限组,获取打印权限)
作业 :
用户管理的命令:
1.查看所有用户信息 ----net user
2.查看指定用户信息----net user 用户名
3.启用禁用的指定账户----net user 用户名 /active:yes(no 禁用账户)
4.命令创建用户----net user 新用户名 密码 /add
5.更改指定用户的密码----net user 指定用户名 新密码
6.清空指定用户的密码----net user 指定用户名 “”
7.删除指定用户 ----net user 指定用户名 /del
组的管理命令:
1.创建组 ------net localgroup 组名 /add
2.将指定 用户加入到指定组 -----net localgroup 组名 用户名 /add
3.将指定组中用户删除 -----net localgroup 组名 用户名 /del
4.删除指定组 -----net localgroup 组名 /del
例子:
公司组织结构:
总经理:General manager
技术部(Technology Department):1. Technical manager 2. Technician
财务部(Financial Department):1. Financial manager 2.Finance staff
销售部(Sales Department):1. Sales manager 2. Sales staff
#创建总经理用户#
>net user General_manager 888.com /add
#将总经理加入到管理员组#
>net localgroup Administrators General_manager /add
#技术部#
>net localgroup Technology_Department /add
>net user Technical_manager 123.com /add
>net user Technician 456.com /add
>net localgroup Technology_Department Technical_manager /add
>net localgroup Technology_Department Technician /add
#财务部#
>net localgroup Financial_Department /add
>net user Financial_manager 123.com /add
>net user Financial_staff 456.com /add
>net localgroup Financial_Department Financial_manager /add
>net localgroup Financial_Department Financial_staff /add
#销售部#
>net localgroup Sales_Department /add
>net user Sales_manager 123.com /add
>net user Sales_staff 456.com /add
>net localgroup Sales_Department Sales_manager /add
>net localgroup Sales_Department Sales_staff /add
NTFS权限
是个文件系统,NTFS可以设置权限,规划设置用户访问权限
权限概述
普通用户不能访问平级的计算机家目录
-
NTFS 文件系统
NTFS权限: 分配了正确的访问权限之后,用户才能访问其资源
设置权限为了防止被篡改
文件系统:文件系统即在外部储存设备上组织文件的方法
比如 : FAT NTFS EXT XFS特点 :
- 提高了磁盘的读写性能
- 可靠(加密文件系统&访问控制列表(属性->安全))
- 磁盘利用率(压缩&磁盘配额) -
设置文件权限
文件权限: 用户可以对文件进行读取和写入等访问控制
读取数据,写入数据,附加数据,删除,执行(读取执行相辅相成)附加数据(追加数据):在原数据不变的情况下在后面添加新的数据
权限时从系统规则继承累加累加下来的(编辑最高权限->去掉 包括可从该对象的父项继承的权限, 用添加(已经继承的权限留下来,然后自己可以改)的方式(删除:全部删除), 删除权限在高级里面) -
设置文件夹权限
常见操作:
列出文件夹内的文件名
在文件夹里创建删除文件
规则需要明确化 -
权限的分类
例子:
-所有部门的员工只能进入本部门文件夹和Public
-部门经理对部门有写入权限,部门员工只能读取
-所有人都能进入public,所有员工可以读取,经理可以写入
-总经理可以参与所有部门,也可以完全控制
权限规则
权限冲突 -> 拒绝优先
权限不冲突 -> 权限累加
继承权限: 默认下一级会继承上一级的权限,继承的权限不能改只能加
强制继承: 文件夹可以强制继承,让子文件夹的权限设置全部不生效。
阻止继承: (添加:保留继承权限,可以修改/ 删除 :权限全部清空)
阻止继承和强制继承最后谁生效
特殊权限:
- 读取权限的权限(是否能够查看访问控制列表)
- 更改权限的权限
- 取得所有权(默认管理员能取得所有权的权限)