2003server 用户权限设置

  • 格式:doc
  • 大小:1.41 MB
  • 文档页数:90

权限是非常重要的,因为几乎每个用户在实际工作中都或多或少地遇到过权限问题。

例如在为一些用户配置运行一些特殊应用程序或服务时;为某些用户分配特定的网络管理任务时等。

每个用户都想有高的权限以方便工作,但在实际网络应用中,却不可能让每个用户都能拥有这样的权限,就像在现实生活中一样,都是根据不同员工在实际工作中的应用需求来设置的。

“用户权限”这个概念非常广,不仅包括常见的文件访问权限和共享权限,还包括重要的网络操作和管理权等,非常多样。

其实在微软的Windows系统中把这些不同的权限分别定义成:安全权限、共享权限和用户权利。

用户的各种权限是用户进行各种具体应用的前提,同时也是网络系统安全保障的基础,所以恰当的用户权限配置不仅是用户的应用需求,同时也是网络系统的安全需求。

许多网络安全事故或隐患就直接或间接来自于不恰当的网络用户权限配置。

本章重点Ø用户权限类型Ø全局工作组系统默认权限Ø用户权限配置的几种方法Ø Windows Server 2003系统用户权限的配置Ø RedHat Linux 9.0系统用户权限的配置8.1 Windows系统用户权利【示例1】为新来的用户Winda(分配为系统管理员组成员)和Alice(除了日常其他工作外,还负责公司的系统备份管理)在Windows Server 2003服务器系统中配置相应的网络控制权限。

在Window系统中,用户权限被区分成“权限”和“权利”两种,“权限”是指授予用户或组对某个对象或对象属性的访问能力,而“权利”专门为用户配置,是为一些特殊的任务操作或管理而设置的。

本节要通过一个具体的示例介绍用户权利的配置方法。

8.1.2 用户权利的配置明白了Windows Server 2003系统中内置的用户和组,以及各自所具有的用户权利后,下面小王就知道该如何为Winda和Alice用户配置相应的用户权利了。

Winda因为属于系统管理员,所以它必须具备本地域系统管理员组Administrators权利,只需把它直接加入到Administrators组中即可,方法如下。

(1)选择【开始】→【管理工具】→【Active Directory用户和计算机】命令,弹出如图8-1所示的窗口。

图8-1 “Active Directory用户和计算机”窗口(2)在“Active Directory用户和计算机”管理工具窗口控制台树中找到Winda用户所在的容器,此例该用户账户是在“Users”容器中。

单击鼠标右键,在弹出的快捷菜单中选择【属性】命令,在弹出的对话框中切换到“隶属于”选项卡,如图8-2所示。

从中可以看出,它已默认在Users内置组中。

用户可在“Active Directory用户和计算机”管理工具中的许多容器中创建,不一定要在“Users”项中。

要检查相应容器是否可以创建用户,只需在相应容器上单击鼠标右键,在弹出的快捷菜单中选择【新建】并检查其下面是否有【用户】命令,如果有就可以。

事实上几乎在所有容器上都可以创建新用户。

(3)单击【添加】按钮,弹出如图8-3所示的对话框。

对话框上面的选项基本上不用重新选择,直接在“输入对象名称来选择”文本框中输入系统管理员组名称administrators(也可只输入前面几个字母,然后通过单击【检查名称】按钮来自动填写,不过如果有多个对象与所输入的前几个字母匹配时就需要重新进行选择),单击【确定】按钮返回,在图8-2所示的对话框中单击【确定】按钮即可完成Winda用户系统管理员的添加工作。

图8-2 “隶属于”选项卡图8-3 “选择组”对话框通过以上配置,Winda用户就具备了系统管理员组Administrators的所有权利,可以进行日常的网络管理工作了。

至于Alice用户,因为要担当系统备份工作任务,而该用户在创建时所默认隶属的Users组是不具备该项权利的。

如果把他也隶属于Administrators组,也可以具有系统备份权利,但是系统管理员组成员所具的权利不仅利于系统备份,还具有许多非常强大的其他管理权利,而该用户在实际工作中又用不上,所以无须把他隶属于Administrators组。

同时如果给用户赋予太高的权利,特别是管理员权利,也将给网络安全带来极大的隐患。

通过查看内置组权利可知,有一个账户所具有的权利非常适合Alice用户的系统备份工作,那就是在“Builtin”容器中的“Backup Operators”账户。

只需为Alice用户在类似图8-2所示的对话框中添加这个组即可。

8.2 用户权利分配【示例2】因为工作需要,Alice除了需要进行系统备份工作外,还负责每天对公司网络计算机的关机情况进行检查(有许多用户都没有养成下班关机的习惯),对未工作而又未关闭的客户机进行关闭,这项工作都是通过终端服务进行的。

另外,他还担当一部分为客户调试程序和安装程序的任务,所以也需要相应权限。

通常一个用户除了需要配置以上管理权限外,更多的是需要配置一些特定的用户权利。

需要注意的是,用户权利与权限不同,因为用户权利适用于用户账户,而权限则是附加在所有对象上的,当然也包括用户和组对象,还有计算机也属于对象范畴。

8.2.2 Alice用户权利的分配在全面了解了Windows Server 2003系统中可以为用户指派的特权和登录权利后,小王就要为担当一部分网络管理任务的Alice用户分配相应的特权了。

首先要针对用户的具体工作分析所需的权利,然后再查看相应权利系统默认的用户(组)。

如果相应用户已在相应权利默认的组中,就不必再另行配置了,否则就要根据具体工作需求添加了。

根据分析得知,Alice用户需要通过终端服务远程登录到网络对未工作而又未关闭的计算机进行关机操作,这就需要“从远程系统强制关机”特权和“允许通过终端服务登录”的登录权利,前者在工作站上系统默认只有Administrators组用户才具有此权限(因为关闭的是客户机);后者在工作站上系统也只有默认Administrators组成员用户和远程桌面用户具有此权利。

要为客户进行程序调试工作,必须具有“调试程序”特权;要为客户安装程序,则必须具有“修改固件环境值”特权。

而系统默认的只有Administrators组和Local System(本地系统)用户才具有这两项权限。

再回过头来看Alice用户以前所属的工作组仅属于Users和Backup Operators两个组,既不是Administrators组成员,也不是Local System用户。

这样要全部具有以上权限,有两种途径:把Alice加入到域系统管理员Administrators组,或者在相应权利上一一添加Al ice用户。

当然也可个别满足,如把Alice用户配置成远程桌面用户就可以具有通过终端服务远程登录的权限;而在各客户机的本地系统中同样为Alice用户配置一个账号,则Alice 用户也就具有安装软件的权限了。

远程桌面用户的配置只需在“Active Dorectory用户和计算机”管理工具中找到Alice用户账户;单击鼠标右键,在弹出的快捷菜单中选择【属性】命令,弹出“Alice属性”对话框,在弹出的对话框中切换到“拨入”选项卡,然后在“远程访问权限”选项组中选择“允许访问”单选按钮(如图8-4所示)切换到,即可使Alice 用户成为远程桌面用户,也就具备了通过终端服务登录的登录权利。

出于安全和简单起见,小王选择了在相应权利配置中添加Alice用户账户的方法。

下面是具体方法。

(1)在如图8-1所示的“Active Directory用户和计算机”界面域控制器上单击鼠标右键,在弹出的快捷菜单中选择【属性】命令,在弹出的对话框中切换到“组策略”选项卡,如图8-5所示。

图8-4 “拨入”选项卡图8-5 “组策略”选项卡(2)选择“Default Domain Policy”选项,单击【编辑】按钮,弹出如图8-6所示的“组策略编辑器”窗口。

图8-6 “组策略编辑器”窗口(3)依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”。

(4)先配置远程关机权利,在图8-6所示右窗格的列表框中选择“从远程系统强制关机”选项,用鼠标双击它弹出如图8-7所示的对话框。

(5)选择“定义这些策略设置”选项,然后单击【添加用户或组】按钮,弹出如图8-8所示的对话框。

在“用户和组名”文本框中输入“Alice”用户名,单击【确定】按钮返回到如图8-7所示的对话框。

这时对话框中已经添加了Alice用户,即Alice用户已经有了这项用户特权。

图8-7 “从远程系统强制关机属性”对话框图8-8 “添加用户或组”对话框(6)以同样的方法,先在图8-6所示的列表框中选择“通过终端服务允许登录”、“调试程序”和“修改固件环境值”这3个用户权利项,用同样的方法启用策略配置,并添加Alice用户。

这样Alice用户就具有相应工作的所有权限了,而且是恰好满足工作需求,没有权限浪费。

其他用户及其权利的配置方法相同,参照即可。

在新建策略应用于网络之前,请先在测试性组织单位上对其进行测试。

更改的安全设置将在下一次刷新设置时生效。

在工作站或服务器上,每90分钟刷新一次安全设置;在域控制器上,每5分钟刷新一次安全设置。

不管是否进行更改,安全设置都是每16小时刷新一次。

8.3 用户文件访问权限配置【示例3】小王在为新用户配置好了所需的权利后,接下来还要对相应用户配置一定的文件访问权限,以便满足一些管理工作的需求。

如Winda和Alice因都担负着为客户机安装程序的任务(源程序的添加也是由他们负责的),所以需要为他们配置在服务器上名为“程序”的文件夹“完全控制”权限。

而各自用户的主文件夹又因只限于本人访问,所以需要在他们各自的主文件夹上配置只有自己才具有的“完全控制”权限。

对于数据库服务器上的数据类文件夹,要为新用户Winda配置具有“完全控制”的权限,为Alice配置具有查看目录的权限,而为Jack和Bob只配置具有“改写”的权限,因为他们是直接使用数据库系统的。

在微软的Windows Server 2003系统中,文件的访问权限称为“访问控制”,也称“安全权限”。

访问控制是批准用户、组和计算机访问网络上的对象的过程。

在此以通俗的“文件访问权限”来描述。

先来了解有关的文件访问权限类型,以便正确配置。

文件访问权限包括“完全控制”、“修改”、“读取和运行”、“列出文件夹目录”、“读取”及“写入”。

8.3.1 用户文件访问权限配置全面了解了Windows Server 2003系统的文件访问权限类型和相应功能说明后,小王要投入到新用户文件/文件夹访问权限的配置工作中了。