网管员必读――超级网管经验谈(第2版)第八章重点

1、本章重点用户权限类型全局T作组系统默认权限用户权限配置的儿种方法 Windows Server 2003系统用户权限勺配置 RedHat Linux 9.0系统川户权限的配置I xskm I K-xJiawajtft I cw mt II 0* I 电口 I余怎十|曲入衣I rrn于轡w 皿 JKtfmg. 1 r,|Ucoc性二二|孚縊懾常燧渥"4、皿tLCC KTWCC MIM.6 【示例1】为新來的用户Winda （分配为系统管理员组成员）.Alice （除了口常其他工作外，还负责公司的系统备份管理）在Windows Server 2003服务器系统中配置相应的网络控制权限。8

2、.1.2用户权限的配置用户权限的配置通常是对具体用户进行配置的，而是通过把用户 加入互具有相应权限的组來集中实现的。这样-來，就相当丁隶属组的配置了。方法很简单，只需要在u Active Directory用户和计算机” 管理匸具控制台中双击要配置权 利的用户,在打开的对话框中选 择“隶属于”选项卡（如右图所 示），然后在这里添加要加入的 组即可。当然定要选择与相应 用户的工作需求一致的组。具体内容参见书中介绍。ieiW3ip ttJ 3 X ff O酋c <产<j * mi技2X. 乂【示例2】因为匸作需要，Alice除了需要进行系统备份工作 外，还担当每天对公司网络计算机的关机

3、情况进行检查（有许多用户都没有养成F班关机的习惯），对未工作而 又未关闭的客户机进行关闭，这项工作都是通过终端服务 进行的。另外，他还担当一部分为客户调试程序、安装程 序的任务，所以也需要相应权限。8.2.2 Alice用户权利的分丙己域用户的权利配置是在如下图所示的域组策略“用户权利”项中进行的，具体配代方法参 见书中介绍。rW3iT.?E为薪舟戸他好了対磁府需f椒籾着nr你劝r 村和应用尸配置一疋的义你可回权蚣”便凝，芈管理j進历利 如Winda和Alice冈帝担贪右为客八机安装务（源程戊的添加 也是由他们负责的），所以盂耍为他们配登在服务器上名为“程 的文件夹“完金控制”权限。而各口用户

4、的匸文侔夹又因只限于 访问，所以尙要在他们各白的主文件夹I配置只仃白C才具仃的 全控制"权险 沖于数驱那务降上的報据类文他歩 曇2呦用公仏 Winch配吨戒具有“薪扭馆 权限，为Alice配豊成具肴杳看1录的 权限，而为J“ck、Bob只配置为具有“改写”的权限，内为他们是直接 使用数据库系统的。8.3.1用户文件访问权限配置右图所示属性对话框“安全” 选项卡中进行配置的。从休 配置芳法参见巧屮介绍。床初盯在以王系统管題员勦r戸共拿的蓉戸机妥装 软件“程序”文件夹中，有一个名为“系统”的文件夹， 其屮存放的是所有操作系统源程序c而根据安全策略配置 需小，系统程序的安聂管理员如!定不能

5、由Alice用八进行。 在默认情况下，对父文件夹设置权限后，在该文件夹中创 做砒尿帰巒啟泸完钿侧现因不需要她为客八机安装系统程序，所以需要拒绝她对 其中的“系统”子文件夹具浏览的权限。粮据Windows Server 2003系统的规定，如果不希望它们 继承父文件夹设置的权限，则需在为父文件夹设置特殊权 限时,可在“应用于”1:m / .只阻止某些文件或了文件夹继承权限，则可在如下页左图 所丞对话框屮清除“允许父项的继承权限传播到该对象和 所仃子对象。包扌舌那些在此明确定义的项FT复选项的选“完全控制”权限，只给她中选中“只有该文件夹”。如果要择。“如果复选鑿盔华鼻辎霖#電5爭如?PUC<

6、;J8r ：N die JF3Cd *.JV8TJ<V文件"把文件夹移动到新的父文件夹位置，这样文件/文件夹就将继承新的父 :文件夹权限，为然要求这个新父文件夹所配置的权限符合相应文件/文:件夹权限需求。1在f文件夹权限配置对话框屮（参见下页右图）选择相反权限（“允 :许”或“拒绝”）以覆盖所继承的权限，然后重新进行权限设置。b 清除'允许父项的继承权限传播到该对象和所仃子对象。包括那些在: 此明确定义的项目”复选框。这样，你就可以更改权限，或者从权限:列表中删除用户或组。但是，文件或文件夹将不再从父文件夹继承权限。具体配置方法参见卩屮介绍。JJJUM |皿 iMfia

7、l 4?7MB|* v« v« w«t*n*n»Ma 6MI(X>-flaOTM Vfftl jcthVVi'«-.< E；心fTU!共享资源提供对应川和川、数据或用户个人数据的网络 访问，叮对每个共享资源指派或拒绝权限。文件夹的共享 权限分为：读取、更改、完全控制三类。8.4.1文件夹共亭权限的配置【示例5】“程序”文件夹是一个共享文件夹，为管理员在 客户机上安装软件时提供源程序。现耍为新來的用户 Winda和Alice配置相应的权限，Alice)IJ户不能运行“系统” 子文件夹上的程序。文件夹的共乍权限配置是在相应文件夹

8、左图属性对话框“共享”选项卡中为相应用户或组对象选样所需的权限。 要添加新的共享用户或组权限配置，只需在左图中单击“添加”按钮，在打开的右图所示对话框中输入要添加的 用户或组对象即可。=»UaJSMN3 HOUSE OF EIECTKMCS »JDCTRVI具体配置方法参见巧中介绍。JUXJ& 户权利的呢置嘗【示例6】为dawinZfJ户配置在RedHat Linux 9.0系统中的用 八权利。、Linux服务器系统在安装时也与Windows服务器系统 样，也内置许多内置用户和组账户（在Linux系统中“组戈 称之为“组群”），这些账户的默认权利也是通过内置组J 群

9、来指派的。基木配置方法是在面板上的“系统设置” 一 “用八和组 群”菜单操作，或在命令提示符shell状态卜（如XTerm或| CnoM衣终端）键入redhat-config-users命令，界ifli如 H |fil 左图所示。在对话框用户列表屮选择相应用户dawin,然 : 后在工具橹单击“晨性”按钮，或者从主菜单中热行“行| 动” 一 “属性”菜单榛作，打开如右图所示的“加户属神J 对话框“组群”选项卡进行选择即町。X I Z I X X三- * XIIZXXZZ1l具体恥置方法参见巧中介绍。000 “a HOUSE OF 取EftCZCS 釈DtEYi衽谕煖统时用戸対艾件访iWW瞬逋迂

10、勰疔 进行的。1.访问权限类型在文件/文件夹访问权限中，读取、写入和执行是许可权？ 限屮的三个主要讲置。要查看有权限切问的I录或文件所？ 配置的用卢访荷检限,只需在Shell终鑰提示特下键入“Is I -1”命令即可(注意此处的“1”是小写字母“1”，而非数字 “1”)O第一列显示了当前的权限；它有十位。第一位代表文件| 类型。其余九位实际上是用于三组不同用八的三组仪限。 例如：-rwr-一。后而的那三组分别是：文件的所右者、 文件所属的组胖和“其他人”所拥育的权限，其他人是指？ 前面没有包括的用户和细群所拥有场权限。:各组所代表的意义如下：:-(rw)(r)(r) 1 winda winda

11、文件类型所有者组群其他* 如果你是这个文件的所有者或者你登录为根用戸* 身份，那么你可以改变所有者、组群、其他人的 权限。初始时，丛上面的分析可以着出，这个、 readme.txtxfl的所有者Winda和殂#tWinda可以读 取和写入文件，组群之外的任何人只能读取文件2.冃chnwd命令改变权限chnwd命令可以改变用户对文件/文件夹的(r) o访问权限。下面这个例子显示了如何使用chmod命 令来及变readme.txt文件的权限。用Is -1命令查看用户对readme.txt文件的初始权 限设置如下：-rw-rw-r 1 winda winda 39 8月 11 12:04 readm

12、e.txt具体内容参见书中介绍。本节集中解答了以下几方面的问题：在Windows Server 2003系统屮进行权限及用户权利配置的； 最佳操作是什么？ 一个川户同时隶属于两个不同权限的组，那他最终的权限 是什么？A我为Alice用户设置了对“程序”共享文件夹具有“完全控 制”共享权限，同时乂为Alice用户所属组“Sales”设置对: “程序”文件夹的NTFS访问权限仅为“读取”，Alice用: 户对“程序”文件夹最终具有什么样的访问权限？我在Windows Server 2003服务器中对一个文件夹进行权限； 设置的时候发现，权限设置窗口中完全控制、修改等项的 “允许”复选框是灰色的，不HjKbmjBwaw则是?厂