网管员必读——超级网管经验谈(第2版)第八章.ppt

《网管员必读——超级网管经验谈(第2版)第八章.ppt》由会员分享，可在线阅读，更多相关《网管员必读——超级网管经验谈(第2版)第八章.ppt（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第八章 用户权限配置示例与故障排除 本章重点用户权限类型全局工作组系统默认权限用户权限配置的几种方法Windows Server 2003系统用户权限的配置RedHat Linux 9.0系统用户权限的配置 8.1 Windows系统用户权利 【示例1】为新来的用户Winda（分配为系统管理员组成员）、Alice（除了日常其他工作外，还负责公司的系统备份管理）在Windows Server 2003服务器系统中配置相应的网络控制权限。8.1.2 用户权限的配置 用户权限的配置通常是对具体用户进行一一配置的,而是通过把用户加入互具有相应权限的组来集中实现的。这样一来，就相当于隶属组的配置了。方法

2、很简单，只需要在“Active Directory用户和计算机”管理工具控制台中双击要配置权利的用户，在打开的对话框中选择“隶属于”选项卡（如右图所示），然后在这里添加要加入的组即可。当然一定要选择与相应用户的工作需求一致的组。具体内容参见书中介绍。8.2 用户权利分配 【示例2】因为工作需要，Alice除了需要进行系统备份工作外，还担当每天对公司网络计算机的关机情况进行检查（有许多用户都没有养成下班关机的习惯），对未工作而又未关闭的客户机进行关闭，这项工作都是通过终端服务进行的。另外，他还担当一部分为客户调试程序、安装程序的任务，所以也需要相应权限。8.2.2 Alice用户权利的分配域用户

3、的权利配置是在如下图所示的域组策略“用户权利”项中进行的，具体配置方法参见书中介绍。8.3 用户文件访问权限配置 【示例3】小王在为新用户配置好了对应所需的权利后，接下来还要对相应用户配置一定的文件访问权限，以便满足一些管理工作所需。如Winda和Alice因都担负着为客户机安装程序的任务（源程序的添加也是由他们负责的），所以需要为他们配置在服务器上名为“程序”的文件夹“完全控制”权限。而各自用户的主文件夹又因只限于本人访问，所以需要在他们各自的主文件夹上配置只有自己才具有的“完全控制”权限。对于数据库服务器上的数据类文件夹，要为新用户Winda配置成具有“完全控制”权限，为Alice配置成具

4、有查看目录的权限，而为Jack、Bob只配置为具有“改写”的权限，因为他们是直接使用数据库系统的。8.3.1 用户文件访问权限配置 用户的文件访问权限的配置是在相应NTFS格式文件夹中右图所示属性对话框“安全”选项卡中进行配置的。具体配置方法参见书中介绍。8.3.2 文件访问权限的继承配置 【示例4】在以上系统管理员组用户共享的客户机安装软件“程序”文件夹中，有一个名为“系统”的文件夹，其中存放的是所有操作系统源程序。而根据安全策略配置需求，系统程序的安装管理员规定不能由Alice用户进行。在默认情况下，对父文件夹设置权限后，在该文件夹中创建的新文件和子文件夹将继承这些权限。所以我们在前面为A

5、lice用户配置对“程序”文件夹的“完全控制”权限，现因不需要她为客户机安装系统程序，所以需要拒绝她对其中的“系统”子文件夹具有“完全控制”权限，只给她浏览的权限。根据Windows Server 2003系统的规定，如果不希望它们继承父文件夹设置的权限，则需在为父文件夹设置特殊权限时，可在“应用于”中选中“只有该文件夹”。如果要只阻止某些文件或子文件夹继承权限，则可在如下页左图所示对话框中清除“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”复选项的选择。如果复选框为灰色，则文件或文件夹已经继承了父文件夹的权限。有三种方法可以更改继承的权限：把文件夹移动到新的父文件夹

6、位置，这样文件/文件夹就将继承新的父文件夹权限，当然要求这个新父文件夹所配置的权限符合相应文件/文件夹权限需求。在子文件夹权限配置对话框中（参见下页右图）选择相反权限（“允许”或“拒绝”）以覆盖所继承的权限，然后重新进行权限设置。清除“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”复选框。这样，你就可以更改权限，或者从权限列表中删除用户或组。但是，文件或文件夹将不再从父文件夹继承权限。具体配置方法参见书中介绍。8.4 文件夹共享权限配置 共享资源提供对应用程序、数据或用户个人数据的网络访问，可对每个共享资源指派或拒绝权限。文件夹的共享权限分为：读取、更改、完全控制三类

7、。8.4.1 文件夹共享权限的配置【示例5】“程序”文件夹是一个共享文件夹，为管理员在客户机上安装软件时提供源程序。现要为新来的用户Winda和Alice配置相应的权限，Alice用户不能运行“系统”子文件夹上的程序。文件夹的共享权限配置是在相应文件夹左图属性对话框“共享”选项卡中为相应用户或组对象选择所需的权限。要添加新的共享用户或组权限配置，只需在左图中单击“添加”按钮，在打开的右图所示对话框中输入要添加的用户或组对象即可。具体配置方法参见书中介绍。8.5 RedHat Linux 9.0用户权限配置 8.5.1 用户权利的配置【示例6】为dawin用户配置在RedHat Linux 9.

8、0系统中的用户权利。Linux服务器系统在安装时也与Windows服务器系统一样，也内置了许多内置用户和组账户（在Linux系统中“组”称之为“组群”），这些账户的默认权利也是通过内置组群来指派的。基本配置方法是在面板上的“系统设置”“用户和组群”菜单操作，或在命令提示符shell状态下（如XTerm或GNOME终端）键入redhat-config-users命令，界面如下面左图所示。在对话框用户列表中选择相应用户dawin，然后在工具栏单击“属性”按钮，或者从主菜单中执行“行动”“属性”菜单操作，打开如右图所示的“用户属性”对话框“组群”选项卡进行选择即可。具体配置方法参见书中介绍。8.5.

9、2 文件访问权限配置 在Linux系统中，用户对文件访问权限配置是通过命令行进行的。1访问权限类型 在文件/文件夹访问权限中，读取、写入和执行是许可权限中的三个主要设置。要查看有权限访问的目录或文件所配置的用户访问权限，只需在Shell终端提示符下键入“ls l”命令即可（注意此处的“l”是小写字母“l”，而非数字“1”）。第一列显示了当前的权限；它有十位。第一位代表文件类型。其余九位实际上是用于三组不同用户的三组权限。例如：-rw-r-r-。后面的那三组分别是：文件的所有者、文件所属的组群和“其他人”所拥有的权限，其他人是指前面没有包括的用户和组群所拥有的权限。各组所代表的意义如下：-（rw

10、-）（r-）（r-）1 winda winda|文件类型 所有者 组群 其他人 如果你是这个文件的所有者或者你登录为根用户身份，那么你可以改变所有者、组群、其他人的权限。初始时，从上面的分析可以看出，这个readme.txt文件的所有者Winda和组群Winda可以读取和写入文件，组群之外的任何人只能读取文件（r-）。2使用chmod命令改变权限 使用chmod命令可以改变用户对文件/文件夹的访问权限。下面这个例子显示了如何使用chmod命令来改变readme.txt文件的权限。用ls l命令查看用户对readme.txt文件的初始权限设置如下：-rw-rw-r-1 winda winda 3

11、9 8月 11 12:04 readme.txt 具体内容参见书中介绍。8.6 实用经验与故障排除 本节集中解答了以下几方面的问题：在Windows Server 2003系统中进行权限及用户权利配置的最佳操作是什么？一个用户同时隶属于两个不同权限的组，那他最终的权限是什么？我为Alice用户设置了对“程序”共享文件夹具有“完全控制”共享权限，同时又为Alice用户所属组“Sales”设置对“程序”文件夹的NTFS访问权限仅为“读取”，Alice用户对“程序”文件夹最终具有什么样的访问权限？我在Windows Server 2003服务器中对一个文件夹进行权限设置的时候发现，权限设置窗口中完全控制、修改等项的“允许”复选框是灰色的，不可选，而“拒绝”一栏则是正常 的，请问这是为什么？如何来解决？在访问共享资源时经常出现“拒绝访问”故障，为什么？在“计算机管理”工具窗口中查看“共享文件夹”中的共享资源信息，出现如图8-34所示的错误提示，为什么？我为一个文件设置了共享，并且把Everyone组设置了“完全控制”权限，可用户在打开时显示说无权访问，为什么？具体解答内容参见书中介绍。