2.5 工作任务6——Windows用户及权限管理

2.5.1 任务目的

Windows Server操作系统用户也是一些服务的默认用户，如FTP服务。新星公司决定搭建属于自己的Windows Server 2008服务器，信息中心决策层认识到，对于初次接触到服务器技术的管理员来说，必须要熟练掌握Windows Server 2008用户及权限的管理技能。因此公司决定开展培训，让管理员掌握Windows Server 2008用户及用户组管理、权限管理的操作技能。

2.5.2 任务规划

新星公司开展Windows Server 2008用户及用户组管理、权限管理的培训，培训的内容包括：了解Windows Server 2008的内置账户、内置用户组，了解文件夹（或文件）的NTFS权限、共享权限。

通过一个综合案例来了解Windows Server 2008用户及用户组管理、权限管理。要求：新建jinan用户、city用户组，将jinan用户添加到city用户组。新建sdcet文件夹，设置sdcet文件夹对jinan用户的NTFS（New Technology File System，新技术文件系统）权限为完全控制。

2.5.3 本地用户及本地用户组

1.Windows Server本地用户账户

Windows Server 2008用户账户可以分为本地用户账户和域用户账户，非域管理环境下仅考虑本地用户账户。Windows Server 2008是多用户操作系统，可以在一台计算机上建立多个用户账号，不同用户用不同账号登录，尽量减少相互之间的影响。

Windows Server 2008系统在安装完成后，会自动生成内置用户账户，它用于执行特定的管理任务或使用户能够访问网络资源。内置用户账户包括Administrator、Guest。

Administrator（系统管理员）：Administrator账户可以对整台计算机或域配置进行管理，如创建修改用户账户和组、管理安全策略、创建打印机和分配允许用户访问资源的权限等。作为管理员，应该创建一个普通用户账户，在执行非管理任务时使用该用户账户，仅在执行管理任务时才使用Administrator账户。Administrator账户可以更名，但不可以删除。

Guest（来宾）：一般的临时用户可以使用内置Guest账户进行登录并访问资源。在默认情况下，为了保证系统的安全，Guest账户是禁用的。在安全性要求不高的网络环境中，可以使用该账户。它不能被删除，但可以更名。

2.Windows Server本地组账户

Windows Server 2008组账户可以分为本地组账户和域组账户，非域管理环境下仅考虑本地组账户。

对用户进行分组管理可以灵活地进行权限设置，方便管理员对Windows Server 2008的管理。Windows Server 2008系统在安装完成后，会自动生成内置本地用户组。主要的本地组有：

Administrators：管理员用户组，默认情况下Administrators组中的用户对计算机有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。

Users：普通用户组，这个组的用户可以运行经过验证的应用程序，不允许Users组成员修改操作系统的设置或用户资料，也不能修改系统注册表设置、操作系统文件或程序文件。

Guests：来宾组，该组只有Guest成员，来宾组受限制更多。

系统中还有一些特殊身份的内置组，这些组的成员是临时的如Everyone。

Everyone：包括本地的所有用户成员，及来自网络访问的用户成员。

2.5.4 共享权限与NTFS权限

1.共享权限

Windows Server 2008通常通过共享文件夹作为文件服务器来共享资源，对于共享文件夹可以使用共享权限进行简单的应用和管理。在Windows Server 2008中，创建新的共享文件夹时，自动分配Everyone组具有读取权限。

共享权限是对网络访问用户所开放的权限。共享权限分为读取、修改和完全控制3种权限。

读取：“读取”权限是分配给Everyone组的默认权限。“读取”权限具有查看文件名和子文件夹名，查看文件中的数据，运行程序文件等。

修改：“修改”权限具有添加文件和子文件夹，更改文件中的数据，删除子文件夹和文件等。

完全控制：“完全控制”权限是分配给本地计算机上的Administrators组的默认权限。“完全控制”权限具有全部“读取”及“更改”权限。

2.NTFS权限

Windows Server 2008采用NTFS文件系统，NTFS权限只适用于NTFS磁盘分区。利用NTFS权限，可以控制用户、用户组对文件夹和文件的访问。

NTFS文件夹权限共有完全控制、修改、读取、读取和执行、列出文件夹内容、写入6种权限。6种权限的含义如下：

完全控制：该权限允许用户对文件夹、子文件夹和文件进行全权控制，如修改资源的权限、获取资源的所有者和删除资源的权限等，拥有完全控制权限就等于拥有了其他所有的权限。

修改：该权限允许用户修改或删除资源，同时让用户拥有写入及读取和运行权限。

读取和执行：该权限允许用户拥有读取和列出资源目录的权限，也允许用户在资源中进行移动和遍历，用户能够直接访问子文件夹与文件。

列出文件夹内容：该权限允许用户查看资源中的子文件夹与文件名称。

读取：该权限允许用户查看该文件夹中的文件以及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等。

写入：该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。

NTFS文件权限有完全控制、修改、读取、读取和执行及写入5种权限。

3.NTFS权限规则

用户账户可能属于多个用户组，如果某资源对每个组设定了不同的权限，用户对该资源拥有什么样的权限，需要遵循以下的NTFS规则：

（1）权限累积

例如，bob用户既属于student用户组，也属于male用户组，study文件夹对student用户组设置“写入”权限，对male用户组设置“读取”权限，那么bob用户对study文件夹具有“写入”、“读取”权限。

（2）文件权限优于文件夹权限

例如，study文件夹中有english.txt文件，study文件夹对bob用户设置“写入”权限，english.txt文件对bob用户设置“写入”、“读取”权限，那么bob用户对english.txt文件具有“写入”、“读取”权限。

（3）拒绝优于允许

例如，bob用户既属于student用户组，也属于male用户组，study文件夹对student用户组设置允许“写入”权限，但是对male用户组设置了拒绝“写入”权限，那么bob用户对study文件夹没有“写入”权限。

2.5.5 用户及其权限设置案例

新建jinan用户、city用户组，将jinan用户添加到city用户组。新建sdcet文件夹，设置sdcet文件夹对jinan用户的NTFS权限设置为完全控制。

1.新建用户jinan

以系统管理员身份登录计算机，单击“开始”→“管理工具”→“计算机管理”命令，打开“计算机管理”控制台。在“计算机管理”控制台中，依次展开“本地用户和组”→“用户”，用鼠标右键单击“用户”，弹出菜单中选择“新用户”命令，打开“新用户”对话框。在对话框中，输入用户名jinan、密码等信息，如图2-3所示。单击“创建”按钮，jinan用户创建完毕。

2.新建用户组city、组中添加jinan用户

在“计算机管理”控制台中，用鼠标右键单击“组”，弹出菜单中选择“新建组”命令，打开“新建组”对话框。在对话框中，输入组名city，如图2-4所示。

单击“添加”按钮，打开“选择用户”对话框。在“输入对象名称来选择”文本框中，输入账户名jinan，如图2-5所示。单击“确定”按钮，返回“新建组”对话框，如图2-6所示。

单击“创建”按钮，city用户组创建完成，同时添加了jinan用户到该组。

3.新建sdcet文件夹，设置NTFS权限

新建sdcet文件夹，用鼠标右键单击文件夹，弹出菜单中选择“属性”命令。在文件夹“属性”对话框中，单击“安全”选项卡。单击“安全”选项卡中的“编辑”按钮，打开“sdcet的权限”对话框。

“sdcet的权限”对话框中的“组或用户名”列表中没有jinan用户，需要单击“添加”按钮，打开“选择用户或组”对话框。在“输入对象名称来选择”文本框中输入用户账户jinan的名称，如图2-7所示。

单击“确定”按钮，返回“sdcet的权限”对话框，选中jinan，然后在权限区域选中“完全控制”允许复选框，如图2-8所示。单击“确定”按钮，返回“属性”对话框。单击“确定”按钮，完成sdcet文件夹NTFS权限的设置。

2.5.6 任务小结

通过本工作任务，可以掌握Windows Server 2008用户及用户组管理的技能，掌握文件夹或文件权限设置的技能。在完成本工作任务的同时，能够了解Windows Server 2008内置用户及内置工作组知识，了解共享权限及NTFS权限的知识。