Windows用户与组管理、NTFS权限、文件共享

用户与组管理、NTFS权限

一、用户与组管理
- 用户
- SID
- 本地用户默认有内置账户：
- 查看用户管理：计算机右键管理
- Windows用户与组管理的操作练习
二、NTFS权限：
三、文件共享服务器
- 隐藏共享
- UNC地址
- 彻底删除系统隐藏共享的产生——修改注册表
- 关闭445服务共享服务依赖445端口
四、用户组与NTFS权限实验
- 实验一：
- 实验二：
- 实验三

一、用户与组管理

用户

账户=账号/用户名+密码
　　每个账户有自己唯一的SID
　　账户密码存储位置： c:\windows\system32\config\SAM 暴力破解/撞库
　　windows系统上，默认密码最长有效期42天
每个用户账号都有自己配置文件

win7/win2008 c:\用户
xp/win2003 c:\Documents and Settings

SID

不同的账户拥有不同的权限！
为不同的账户赋权限，也就是为不用账户的SID赋权限！
查看sid值：whoami /user
administraotr的SID：S字符串+500（UID）

本地用户默认有内置账户：

1）给人使用的账户：管理员账户administrator、来宾账户guest
2）计算机服务组件相关的系统账号
system 系统账户 == 权限至高无上（等于Linux的root）
local services 本地服务账户 = 权限等于普通用户
network services 网络服务账户 = 权限等于普通用户

查看用户管理：计算机右键管理

用户管理	备注
net user	查看用户列表
net user 用户名密码	更改密码
net user 用户名密码 /add	添加用户
net user 用户名 /active:no	no禁用用户/yes激活用户
net user 用户名 /del	删除用户

组管理	备注
net localgroup	查看组列表
net localgroup 组名	查看组成员
net localgroup 组名 /add	添加组
net localgroup 组名用户名 /add	添加成员到组
net localgroup 组名用户名 /del	从组中踢出成员
net localgroup 组名 /del	删除组

组的意义：简化权限的的赋予
内置组：内置组的权限默认已经被系统赋予。

administrators ：管理员组
guests：来宾组
users：普通用户组，默认新建用户都属于该组
network 网络配置组
print 打印机组
Remote Desktop 远程桌面组

Windows用户与组管理的操作练习

二、NTFS权限：

（文件或文件夹右键属性–安全–ACL）ACL用来做过滤

1.文件系统类型：
NTFS：支持单个文件大于4个G，支持文件权限设置
FAT32：不支持单个文件大于4G，不支持文件权限设置
2.取消权限继承：
作用：取消后，可以任意修改权限列表了。
方法：文件夹右键属性—安全—高级—去掉第一个对号–选择复制即可
3.权限累加：
当用户同时属于多个组时，权限是累加的!
4.拒绝最大：
当用户权限累加时，如遇到拒绝权限，拒绝最大！
5.取得所有权：
默认只有administrator有这个权限！
作用：可以将任何文件夹的所有者改为administrator
6.强制继承：
作用：对下强制继承父子关系！
方法：文件夹右键属性–安全–高级–勾上第二个对号，即可！

注意：文件复制后，文件的权限会被目标文件夹的权限覆盖，即获得上一级目录的权限

三、文件共享服务器

文件共享服务器：（类似于FTP服务器）

注：

①本地登录时，只受NTFS权限的影响
②在远程登录时，将受共享及NTFS权限共同影响，且取交集！

创建共享：
文件夹右键属性-共享-开启共享-设置共享名-设置共享权限
(先允许everyone完全控制，再根据权限需求在“安全”菜单设置NTFS权限)

局域网共享协议 cifs

设置共享	备注
net share	列出本地所有的共享
net share 共享名 /del	删除共享

shutdown -r 重启 shutdown -s 关机
shutdown -s -t 强制关机
shutdown -s -t 0 强制立即关机

共享名

访问共享时，客户机远程访问共享看不到文件本名，只能看到共享名。

隐藏共享

服务器创建隐藏共享：共享名$

访问隐藏共享： \192.168.1.1\共享名$
commond+R输入\192.168.1.1远程访问服务器回车后进入共享文件夹
进入共享文件夹后不会显示隐藏共享文件，需要手动写出来：
\192.168.1.1\gjjm$

UNC地址

反斜杠\ 命令行访问法访问网上邻居，实际上应该称作UNC路径访问法。
UNC（Universal Naming Convention）通用命名规则，也叫通用命名规范、通用命名约定。网络（主要指局域网）上资源的完整名称。

UNC共享，就是网络硬盘的共享。

符合\\servername\sharename 格式， servername 是服务器名，sharename 是共享资源的名称

目录或文件的 UNC 名称可以包括共享名称下的目录路径，格式为：\\servername\sharename\directory\filename。
\\文件共享服务器IP
\\文件共享服务器IP\共享名
或者conmmond+R打开命令行输入

彻底删除系统隐藏共享的产生——修改注册表

打开注册表编辑器：regedit
定位到：
HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\
右键新建REG_DWORD类型的AutoShareServer 键，值为 0

关闭445服务共享服务依赖445端口

commond+R进入 services.msc ，并停止及使用server服务

四、用户组与NTFS权限实验

实验一：

实验要求：创建一个文件夹，实现本地登录时，tom用户只能创建新的文件，cat用户只能读取及下载文件。

实验步骤：
分别创建tom、cat用户。

进入D盘创建文件夹“权限”，右键“属性”选择“安全”菜单，点击添加按钮，输入tom和cat，用分号；隔开，并确定。

删除其他用户和组，仅保留如下3个用户

分别设置tom和cat权限如下：

取消继承

验证：
Tom能打开文件夹但无法打开访问其中的内容，可以创建文件。

cat能打开并访问内容，但是无法创建也写入无法删除。

实验二：

实验要求：新建用户jack，并将用户jack加入到hr组及IT组，为文件夹jimi设置权限，只允许hr组读取不能创建文件，it组只能创建文件不能读取，使用jack用户登录并访问jimi文件夹，验证jack的权限。

实验步骤：
分别创建用户jack、组HR、组IT并将jack添加到组HR及IT，并创建文件夹jimi

添加组HR、IT准备设置权限

给HR组设置权限只能读取，给IT组设置权限只能写入

此时组中的jack应同时具备读取与创建文件的权限
验证：
可以读取文件，可以创建文件。

实验三

实验要求：新建用户wxf，并将用户wxf加入到ceo组，且不能从该组中剔除,为文件夹jimi赋权限，要求ceo组可以完全控制jimi文件夹，但wxf不能访问该文件夹。

实验步骤：
创建用户wxf、组ceo，并将wxf添加到组ceo

在jimi文件的属性下添加wxf、ceo，设置ceo组的权限和wxf用户的权限

验证：

实验四

删除所有组和用户

然后用管理员添加用户，此时可以访问