计算机账户和组的管理【1】

工作组&用户

用户的管理&组的管理

1.什么是用户 ，区别和分类
2. 什么是组，组的区别和分类

用户

	- 不同的用户身份拥有不同的权限
	- 不同的用户有自己的账户名和密码
	- 每个用户拥有自己唯一的安全标识符

SID　：　安全标识符　
是计算机区别用户的凭据

SID　＝系统ID（一大串）+用户ID（500）
管理员ID 500
普通用户 1000 开始起算

whoami /user

C盘下的用户都有自己的文件夹（家目录： 一些基础设施），但只有登录之后才会建立文件夹。
普通用户只能进入自己的家目录

	#查看用户信息#
	net user
	#查看指定用户信息#
	net user zoe
	#启用禁用的指定账户#
	net user zoe /active : yes
	#新建用户#
	net user zoe 123.com /add
	#改密码#
	net user zoe 456.com
	#清空指定用户的密码#
	net user zoe ""
	#删除指定用户#
	net user zoe /del

	 #运行安全策略#
	> secpol.msc
	> 本地策略 ->用户权限分配 ->关闭系统

时间对于系统是非常重要的- 可以的通过修改时间对一些权限的执行进行绕过

用户的分类

－＞内置账户　（一般不需要改变其权限）
　1.　与使用者关联的用户账户
　 -　来宾账户guest（默认是禁用的），权限是非常低的
　 -　administrators：权限最大
　2.　与Windows组件关联的用户账户
　 　-　system（本地系统）　：　为Windows核心组件访问文件等资源提供权限
　 　-　local　service（本地服务）：最小权限的本地账户
　 　-　network　service（网络服务）：具有运行网络服务的计算机账户

组

组是个容器，同于存放对象，对象是用户。组有权限，组内的用户自动拥有权限。

	#创建组#
	>net localgroup caiwu /add
	#将指定用户加到指定组#
	>net localgroup caiwu hehe /add
	#将指定用户删除#
	>net localgroup caiwu hehe /del

需要人为添加成员的
- Administrators
- Guests
- Power Users（为了兼容之前的老版本）
- Users（默认创建的普通账户）

动态包含成员的内置组（自动添加用户的组）
- Interactive ：动态包含在本地登陆的用户
- Authenticated Users ：动态包含了通过验证的用户，不包含来宾用户
- Everyone ：包含任何用户，设置开放权限时使用（比如只有触发打印服务，进入到打印权限组，获取打印权限）

作业 ：
用户管理的命令：
1.查看所有用户信息 ----net user
2.查看指定用户信息----net user 用户名
3.启用禁用的指定账户----net user 用户名 /active:yes(no 禁用账户)
4.命令创建用户----net user 新用户名 密码 /add
5.更改指定用户的密码----net user 指定用户名 新密码
6.清空指定用户的密码----net user 指定用户名 “”
7.删除指定用户 ----net user 指定用户名 /del

组的管理命令：
1.创建组 ------net localgroup 组名 /add
2.将指定 用户加入到指定组 -----net localgroup 组名 用户名 /add
3.将指定组中用户删除 -----net localgroup 组名 用户名 /del
4.删除指定组 -----net localgroup 组名 /del

例子：
公司组织结构：
总经理：General manager
技术部（Technology Department）：1. Technical manager 2. Technician
财务部（Financial Department）：1. Financial manager 2.Finance staff
销售部（Sales Department）：1. Sales manager 2. Sales staff

#创建总经理用户#
>net user General_manager 888.com /add
#将总经理加入到管理员组#
>net localgroup Administrators General_manager /add

#技术部#
>net localgroup Technology_Department /add
>net user Technical_manager 123.com /add
>net user Technician 456.com /add
>net localgroup Technology_Department Technical_manager /add
>net localgroup Technology_Department Technician /add

#财务部#
>net localgroup Financial_Department /add
>net user Financial_manager 123.com /add
>net user Financial_staff 456.com /add
>net localgroup Financial_Department Financial_manager /add
>net localgroup Financial_Department Financial_staff /add

#销售部#
>net localgroup Sales_Department /add
>net user Sales_manager 123.com /add
>net user Sales_staff 456.com /add
>net localgroup Sales_Department Sales_manager /add
>net localgroup Sales_Department Sales_staff /add

NTFS权限

是个文件系统，NTFS可以设置权限，规划设置用户访问权限

权限概述

普通用户不能访问平级的计算机家目录

1. NTFS 文件系统
   NTFS权限： 分配了正确的访问权限之后，用户才能访问其资源
   设置权限为了防止被篡改
   文件系统：文件系统即在外部储存设备上组织文件的方法
   比如 ： FAT　NTFS　EXT　XFS

   特点　：
   -　提高了磁盘的读写性能
   -　可靠（加密文件系统＆访问控制列表（属性->安全））
   -　磁盘利用率（压缩＆磁盘配额）

2. 设置文件权限
   文件权限： 用户可以对文件进行读取和写入等访问控制
   读取数据，写入数据，附加数据，删除，执行（读取执行相辅相成）

   附加数据（追加数据）：在原数据不变的情况下在后面添加新的数据
   权限时从系统规则继承累加累加下来的（编辑最高权限->去掉 包括可从该对象的父项继承的权限， 用添加（已经继承的权限留下来，然后自己可以改）的方式（删除：全部删除）， 删除权限在高级里面）

3. 设置文件夹权限
   常见操作：
   列出文件夹内的文件名
   在文件夹里创建删除文件
   规则需要明确化

4. 权限的分类

例子:

-所有部门的员工只能进入本部门文件夹和Public
-部门经理对部门有写入权限，部门员工只能读取
-所有人都能进入public,所有员工可以读取，经理可以写入
-总经理可以参与所有部门，也可以完全控制

权限规则

权限冲突 -> 拒绝优先
权限不冲突 -> 权限累加

继承权限： 默认下一级会继承上一级的权限，继承的权限不能改只能加

强制继承： 文件夹可以强制继承，让子文件夹的权限设置全部不生效。

阻止继承： （添加：保留继承权限，可以修改/ 删除 ：权限全部清空）
阻止继承和强制继承最后谁生效

特殊权限：
- 读取权限的权限（是否能够查看访问控制列表）
- 更改权限的权限
- 取得所有权（默认管理员能取得所有权的权限）