分享
分享赚钱 收藏 举报 版权申诉 / 35

类型Windows用户账户安全策略.ppt

  • 上传人:saw518
  • 文档编号:4529750
  • 上传时间:2019-01-02
  • 格式:PPT
  • 页数:35
  • 大小:502KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    Windows用户账户安全策略.ppt
    资源描述:

    1、Windows用户账户安全策略,在用户账户安全方面,与用户用户有关的安全因素还有许多如用户密码策略、账户锁定策略、共享文件夹共享权限、NTFS文件访问权限等。这些安全因素配置不当都有可能给整个企业网络带来安全威胁,特别是用户账户密码策略、文件夹共享和文件访问权限这几个方面。本章重点如下: Windows Server 2003系统的主要安全功能 Windows Server 2003系统用户密码、账户锁定和Kerberos策略 Windows Server 2003系统用户权限的配置 默认共享的取消和文件夹共享权限的配置 NTFS文件访问权限配置 Windows XP系统私人文件夹的创建,6.

    2、1Windows Server 2003系统安全概述,Windows Server 2003家族安全模型的主要功能是用户身份验证和访问控制。 6.1.1 安全模型功能 在Windows Server 2003系统中,主要安全模型功能有以下几个: 身份验证 基于对象的访问控制 安全策略 审核 Active Directory和安全性 数据保护 公钥基础结构 信任 本节详细内容参见书本的P186P187页。,6.1.2 Windows Server 2003系统新安全功能,1. 新功能 授权管理器 存储用户名和密码 软件限制策略 2. 更改成现有的技术 证书颁发机构 受限委派 有效权限工具 加密文

    3、件系统 (EFS) Everyone成员身份 基于操作的审核 重新应用安全默认值 本节详细内容参见书本的P187P188页。,6.1.3与以前系统相比的新增或更新的安全功能,1. 自Windows NT 4.0系统以后新增和更新的功能加密文件系统 Internet协议安全性 2. 自Windows 2000系统以后的新增和更新功能 TCP/UDP端口所有权 加密文件系统改进功能 软件限制策略 Internet协议安全性监视改进功能本节详细内容参见书本的P188页。,6.2 域账户策略设置,本节要向大家介绍的就是这个域安全策略设置,不过它的基本设置方法基本上都适用于单机的本地安全设置。 6.2.

    4、1域账户和本地策略简介 对于域账户,只有一种账户策略。账户策略必须在“默认域策略设置”中定义,并且由组成该域的域控制器实施,如图6-1所示。这一管理工具界面打开的方法是执行开始管理工具域安全策略操作(注意不要选择了“域控制器安全策略”选项,因为那只是针对域控制器本身,而不是针对整个域网络)。 域控制器始终从“默认域策略设置”中获得账户策略,即使已经存在了一个应用到包括该域控制器在内的组织单位的不同账户策略。默认情况下,加入到域(例如成员计算机)中的工作站和服务器会接收到相同的账户策略用于本地账户。然而,本地账户策略可能不同于域账户策略。,图6-1 默认域安全策略,在Windows Server

    5、 2003系统中账户策略包含密码策略、账户锁定策略和Kerberos策略三个子集。而在Windows Server 2003系统中的本地策略中包含审核策略、用户权限分配和安全选项三个子集。本节详细内容参见书本的P189P190页。,6.2.2 域账户密码概述,密码为抵御对企业的非法访问构筑了第一道防线。Windows Server 2003家族拥有一项新增功能,可以在操作系统启动时检查Administrator账户密码的复杂程度。如果密码为空或者不满足复杂性要求,将显示Windows Installer对话框,警告您Administrator账户不使用强密码可能存在危险。如果继续使用空密码,您

    6、将无法通过网络访问该账户。 弱密码会使得攻击者易于访问您的计算机和网络,而强密码则难以破解,即使使用当今的密码破解软件也难以办到。密码破解工具正在不断进步,而用于破解密码的计算机也比以往更为强大。密码破解软件使用下面三种方法之一:巧妙猜测、词典攻击和自动尝试字符的各种可能的组合。只要有足够时间,这种自动方法可以破解任何密码。即便如此,破解强密码也远比破解弱密码困难得多。因为安全的计算机需要对所有用户账户都使用强密码。,通常所说的弱密码主要体现在以下几个方面: 根本没有密码,就是不设密码,这是许多初级网络管理员最经常使用的。 包含用户名、真实姓名或公司名称,这也是我们日常经常使用的。 包含完整的

    7、字典词汇。例如,Password就属于弱密码。这很容易受到字典类的网络攻击。 而在Windows Server 2003系统中所规定的强密码则至少需要满足以下条件: 密码长度至少有七个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。 与先前使用过的密码大不相同。递增密码 (Password1、Password2、Password3 .) 不能算作强密码。 包含书中表6-1所列的全部四组字符类型中三组或以上。 有的密码虽然可以满足大多数强密码的条件,但仍然较弱。例如,Hello2U! 就是一个相对而言的弱密码,因为包括一个完整、且顺序一致的单词。,6.2.3 域账户密码使用原则

    8、,密码的使用最好遵循以下几个主要原则:1. 鼓励用户遵循最佳密码保护策略 始终使用强密码。 如果不得不将密码写在纸上,请将纸张保存在安全的位置,并在不再需要时销毁。 永远不要与任何人共享密码。 对所有用户账户都分别使用不同的密码。 密码一旦泄露,应立即更改密码。 谨慎选择密码在计算机上保存的位置。2. 定义密码策略,用强密码保护所有用户账户 定义“强制密码历史”策略设置,可以使系统记忆几个以前用过的密码。,定义“密码最长期限”策略设置,可以使密码的到期时间尽可能短,通常的间隔是30至90天。 定义“最短密码期限”策略设置,可以使密码在指定的天数内无法更改。 定义“最短密码长度”策略设置,可以使

    9、密码必须至少包含指定个数的字符。 启用“密码必须符合复杂性要求”策略设置。 3. 谨慎定义账户锁定策略 不要随意使用账户锁定策略 如果决定采用账户锁定策略,应设置足够高的“账户锁定阈值”策略设置,使合法用户不至于仅因敲错了密码而被锁定。 如果合法用户在一台计算机上更改了密码,但没有同时更改另一台计算机上的密码,这时合法用户将被锁定。 本节详细内容参见书本的P191P192页。,6.2.4 域账户密码策略的设置,密码策略的设置方法同样适用于域账户或本地用户账户。这部分设置项目包括: 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 密码必须符合复杂性要求 用可还原的加密来存储密码

    10、 本节详细内容参见书本的P192P194页。,6.2.5系统密钥实用程序,用户账户的密码信息存储在工作站和成员服务器注册表的安全账户管理器(SAM)数据库中。在域控制器上,密码信息存储在目录服务中。通常情况下,密码破解软件大都针对SAM数据库或目录服务来获取用户账户的密码。系统密钥实用程序(Syskey)为对抗密码破解软件建立了另一道防线。它使用强加密技术来保证存储在SAM数据库或目录服务中的账户密码信息的安全。破解经过加密的账户密码会变得更加困难,更为耗时。 创建或更新系统密钥的具体步骤参见书中P195页介绍。但执行该过程时需要视环境的不同而使用不同的管理凭据: 如果创建或更新系统密钥用于本

    11、地计算机:要执行该过程,您必须是本地计算机Administrators组的成员,或者您必须被委派适当的权限。如果将计算机加入域,Domain Admins组的成员可能也可以执行这个过程。作为安全性的最佳操作,可以考虑使用运行方式来执行这个过程。,如果创建或更新系统密钥用于域控制器:若要执行此过程,您必须是Active Directory中Domain Admins组或Enterprise Admins组的成员,或者您必须被委派了适当的权限。作为安全性的最佳操作,可以考虑使用运行方式来执行这个过程。 如果存储系统密钥的磁盘丢失,或在选择了“密码启动”方式后又忘记了系统密钥密码,您将无法启动计算机

    12、,除非将注册表还原到使用系统密钥之前的状态。 对于密码策略的设置和应用还可以在组策略中进行,具体方法是在“Active Directory用户和计算机”管理工具中,在域控制器上单击右键,在弹出菜单中选择“属性”选项,然后在打开的对话框中选择“组策略”选项卡,具体配置方法参见书本P196页介绍。 【技巧】因为系统管理员账户Administrator大家都知道,所以出于安全考虑,通常把系统管理员账户名称进行更改(注意,包括账户说明)。而为了欺骗那些非法用户,通常把一个具有较低权限的用户名改为administrator。如果当前是采用administrator系统管理员账户登录域控制器的,则在管理员

    13、账户名更改后系统要求注销当前用户,重新以新名称登录。,6.2.6 账户锁定策略配置,账户锁定策略就是让在指定的时间段内,输入不正确的密码达到了指定的次数,将禁用用户账户。这些策略设置有助于防止攻击者猜测用户密码,并由此减少成功袭击所在网络的可能性。 账户锁定策略用于域账户或本地用户账户。它们确定某个账户被系统锁定的情况和时间长短。这部分包含以下三个方面: 账户锁定时间 账户锁定阈值 复位账户锁定计数器 以上策略的具体设置方法参见书本P197P199页介绍。,6.2.7 Kerberos身份验证策略配置,Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制,也是Windows

    14、 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性(IPSec)可以使用Kerberos协议进行身份验证。 对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。可通过那些作为账户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如,可设置用户的Kerberos 5票证生存周期。作为管理员,可以使用默认的kerberos策略,也可以更改它以适应环境的需要。使用

    15、Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。,如果客户端系统尝试向运行其他操作系统的服务器进行身份验证,则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机(其中至少有一台计算机运行Windows NT 4.0或更早版本)之间事务的协议。 使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Pro

    16、fessional或Windows 2000的计算机将自动更新当前时间,并将域控制器用作网络时间服务。 Kerberos策略用于域用户账户,同样既可在“默认域安全策略”中配置,又可在域的组策略中配置。 Kerberos策略选项包括:强制用户登录限制、服务票证最长寿命、用户票证最长寿命、用户票证续订最长寿命、计算机时钟同步的最大容差。 域账户的Kerberos策略既可以在“默认域安全策略”中设置,又可以在域组策略中设置,但它们的设置方法都是一样的,不同的只是打开两者窗口的方式不一样。 Kerberos策略的具体设置方法参见书本P200P202页介绍。,6.3 封死黑客的“后门”,一个操作系统,特

    17、别是一个服务器操作系统中,由于开放了许多网络服务,所以可以作为黑客攻击“后门”的有许多,在此仅以最主要几种类型介绍。 6.3.1禁用Guest账户和更改管理员账户名 有很多入侵都是通过Guest(来宾)账户进一步获得管理员密码或者权限,进而实现他们攻击的目的。 Guest账户可以为我们用户间文件共享提供方便,因为它可以使其他用户以匿名方式访问自己的共享文件,而无需输入正确的用户名和密码。也正因如此,它给我留下了相当大的安全隐患,有些黑客可以通过这个账户先登录系统,然后通过账户复制功能,把管理员权限复制到这个来宾账户上,这样黑客们就可以为所欲为了。 禁用这个账户的方法很简单,而且方法有多种,书中

    18、介绍一种同时适用于Windows 2000/XP/Server 2003系统的方法,参见书本P202P203页。,从用户列表中删除这个账户即可,或者把Guest账户访问此文件夹的权限仅设置为“列出文件夹目录”或“读取”之类较低的权限,这样就安全多了。 系统管理员(Administrator)账户拥有最高的系统权限,一旦该账户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator账户的密码,所以我们要重新配置Administrator帐号。首先是为Administrator账户设置一个强大复杂的密码,然后我们重命名Administrator账户,再创建一个没有管理员

    19、权限的Administrator账户欺骗入侵者(注意,要对相应账户的描述重新描述,以蒙骗那些非法用户)。这样一来,入侵者就很难搞清哪个账户真正拥有管理员权限,也就在一定程度上减少了危险性。 至于管理员账户Administrator的更改可以在该账户上单击右键,在弹出菜单中选择“重命名”选项,然后按平常所进行的重命名方法一样重命名即可。,6.3.2 关闭“文件和打印共享”功能,文件和打印共享是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞,所以在没有必要共享的情况下,最好也将它们禁用。方法很简单,在Windwos 2000/XP/Server 2003系统中的方法参见书本P

    20、203P204页介绍。 6.3.3 删掉不必要的协议 对于服务器和主机来说,一般只安装TCP/IP协议就够了,因为现在主流的操作系统都是采用TCP/IP协议进行网络通信的。如果安装了其他协议,可以对那些定无用的协议彻底删除。具体方法参见书本P204P205页介绍。,6.4 用户账户权限分配,用户权限的分配主要是通过两种方式进行的:系统默认用户或组账户已具有相应的权限(但不是所有默认组都有的);其他新建用户和组则是通过隶属于系统默认组账户来获取相应权限。所以,我们在为用分配权限时先要清楚系统默认的用户和组账户,以及它们各自的权限。 6.4.1 Windows Server 2003域默认账户及权

    21、限 在图6-2所示的“Active Directory用户和计算机”管理工具中的“Users”容器中包含了系统默认的三个用户账户,它们分别是Administrator(系统管理员账户)、Guest(来宾账户)和HelpAssistant(远程协助账户)。 Administrator、Guest和HelpAssistant三个用户账户是系统安装并创建域时自动创建的,其他用户账户是在安装一些服务器服务和应用程序后自动创建的。每个内置账户均有不同的权利和权限组合。Administrator账户具有最广泛的权利和权限,而Guest账户的权利和权限则有限。,图6-2 “Active Directory用

    22、户和计算机”管理工具窗口,这三个默认用户账户的相应权限参见书本P206页的表6-3。,6.4.2 域默认组账户,默认组是当创建Active Directory域时自动创建的安全组。可以使用这些预定义的组帮助您控制对共享资源的访问,并委派特定的域范围的管理角色.许多默认组被自动指派一组用户权利,授权组中的成员执行域中的特定操作,例如,Backup Operators组的成员有权对域中的所有域控制器执行备份操作。当您将用户添加到组中时,用户将接受指派给该组的所有用户权利以及指派给该组的有关任何共享资源的所有权限。 可以通过使用“Active Directory用户和计算机”管理工具来管理组。默认组

    23、位于“Builtin”容器和“Users”容器中。“Builtin”容器包含用本地域作用域定义的组;“Users”容器包含通过全局作用域定义的组和通过本地域作用域定义的组两类。可将这些容器中的组移动到域中的其他组或组织单位,但不能将它们移动到其他域。详细的默认组功能和权限参见书本P207页的表6-4和P208页的表6-5。,6.4.3 域用户权限分配,域用户和组的权限可以在服务器和各工作站计算机中分别设置,当然并不一定要求对以下介绍的选项进行全面设置,只是对有需要的进行设置就可以了。 管理员可以指派特定权限给组账户或单个用户账户,这些权利批准用户执行特定的操作,如交互式登录系统或备份文件和目录

    24、。在Windows Server 2003系统中,可以给用户配置的权限比较多,总的来说可以分为大类:特权和用户登录权利。 对于域控制器的域用户权限设置是在“域控制器安全策略”中进行的,具体步骤和各种用户权限功能说明均可参见书中介绍。而在工作站中,如Windows 2000 Professional/XP系统中,都可以在“控制面板”中的“管理工具”中找到“本地安全策略”选项,这些用户权限的配置就是在这里配置的。配置方法与在域组策略中配置用户权限的方法类似,各用户权限项参见书本P209P217页。,6.5共享文件夹访问权限,从安全角度考虑,我们应尽可能地减少网络中的共享文件夹数量,如果确实需要共享

    25、,也应尽可能减少拥有高共享权限的用户数,或者降低每个共享用户的共享权限。 6.5.1 取消系统默认共享 本节要介绍的是取消系统默认的共享磁盘分区、系统文件夹和命名管道等资源的共享设置。对于这些系统默认的共享配置,我们可以通过在“计算机管理”工具的“共享”选项中全面查看到,如图6-3所示。 实践证明不能直接在以上“计算机管理”(或文件服务器)窗口中取消,因为这样取消后在重新启动后系统又会把这些驱动器和文件夹自动重新设为共享。况且像远程连接所需的IP管道共享(IPC$)根本找不到共享路径。 虽然手动方式行不通,但是还是可以有解决方法的,其实很简单,只需一个简单的设置即可全面取消系统默认的共享设置,

    26、包括那个IP管道共享。,图6-3 “计算机管理”窗口,方法是在“运行”窗口中输入regedt32命令,在注册表编辑器中找到HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetSevices Lanmanserverparameters键项,通过编辑这个键值项来实现。具体参见书本P218P219页。,对于IP管首共享IPC$,通常不是采取禁用方式,而是采用限用方式。在注册表中找到:HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetControlLsa键项,双击更改键值项 restrictanonymous双字节键值,默认为0,就是

    27、不限制,但可以更改。 除以注册表方式外,还有一种就是批处理方式,用户自己编写一个批处理文件,它所用的命令就是net use,然后把批处理文件放在随系统的启动的项目中。配置方法可以有两种方法: 其中一种方法是注册表法,在注册表中找到HKEY_LOCAL_MACHINESOFTWARE Microsoft WindowsCurrent VersionRun键项下添加一个字符串键值项,项名就为netshare.bat,键值为该批处理文件所在绝对路径,一定要输入正确,以方便系统启动时调用。 另一种方法就是在把所编写的批处理文件直接放在相应用户账户文件夹下的“启动”文件夹下(可以在资源管理器中直接查找到

    28、),这样系统启动时也会自动运行这个批处理文件,删除系统默认共享。 以上详细的设置方法参见书本P219P221介绍。,6.5.2 共享权限类型,共享权限是保护FAT和FAT32卷上的网络资源的唯一方法,NTFS文件格式的文件夹还可以通过文件的安全访问权限配置。在NTFS格式磁盘或文件夹上,用户的最终访问权限是受两者共同决定的,当然如果该磁盘分区或文件夹没有设置成共享,则也只由NTFS安全访问权限决定。 共享文件夹访问权限的配置方法很简单,都是在文件夹(不能对单独文件设置共享)属性对话框中进行,但权限配置选项要根据具体情况而定,一要看是FAT格式,还是NTFS格式,虽然配置方法基本一样,但其中的共

    29、享权限选项不完全相同;另外,还要区分是否是简单文件共享方式,因为它也关系到具体的配置方法。 除了文件夹上默认的共享权限外,我们还可以自己添加需要共享该文件夹文件的用户。 具体用户的共享权限配置方法参见书本P221P222页。,6.5.3 创建私人文件夹,在Windows XP系统中有一项新的功能,那就是可以为用户建立私人文件夹。我们知道,在Windows 2000 Server /Server 2003家族服务器系统中,我们可以为每个用户创建只有自己能访问的主文件夹。现在这一功能在Windows XP系统也可以实现,对需要多人共用一台电脑的企业来说非常有用,因为不同员工用户可以在同一台电脑中创

    30、建只有自己才可以访问的私人文件夹。具体配置步骤参见书本P223页介绍。 【注意】创建私人文件的功能仅可用于包含在用户配置文件中的文件夹,其中包括了“我的文档”及其子文件夹、桌面、“开始”菜单、Cookies 和收藏夹。而且这些文件夹所在磁盘分获必须是NTFS文件格式,其他格式的无效。配置成私人文件夹后,其他所有用户均不可访问,但如果这些文件夹尚未设置为私人文件夹,则任何使用该计算机的人都可使用这些文件夹。将一个文件夹设置为私人文件夹时,则该文件夹中的所有子文件夹也将成为私人文件夹。,6.6 NTFS文件访问权限的配置,与共享文件夹的访问权限一样,NTFS文件夹的访问权限对于整个系统,特别是本地

    31、计算机系统的的安全非常重要。共享文件夹的访问权限是用户通过网络进行文件访问的权限,而NTFS访问权限则是用户在本地计算机中的文件访问权限。相比之下之下,共享文件夹的访问权限设置对于网络安全更重要,而本节所要介绍的NTFS访问权限则对于各服务器和工作站的本地系统安全更为重要。但是共享文件夹的访问权限与NTFS文件访问权限又不完全独立的,在NTFS文件格式磁盘中的共享文件夹中,两个权限是相互影响的,这在上节已有说明。 在FAT和NTFS文件格式的文件夹中都可以设置共享权限,但只有NTFS格式的文件夹可以配置NTFS本地文件访问权限。而且共享权限只能在文件夹中中配置,而NTFS访问权限却可以同时在文

    32、件和文件夹中配置,如图6-4所示的是NTFS文件访问权限的配置对话框;而如图6-5所示的是NTFS文件夹访问权限配置对话框。,图6-4 文件属性“安全“选项卡对话框 图6-5 文件夹属性“安全”选项卡对话框,进入的方法都是在相应的文件或文件夹上单击右键,然后选择“属性”选项,再在打开的对话框中选择“安全”选项卡即可。对比两个对话框可以看出,文件和文件夹的NTFS访问权限选项并不完全相同,6.6.1文件和文件夹的NTFS访问权限,NTFS文件夹访问权限包括“完全控制”、“修改”、“读取和运行”、“列出文件夹目录”、“读取”、“写入”和“特别权限”共七项;而NTFS文件访问权限仅包括:“完全控制”

    33、、“修改”、“读取和运行”、 “读取”、“写入”和“特别权限”共六项,因为它不属于文件夹,所以没有NTFS文件夹访问权限中的“列出文件夹目录”权限选项。这些只是一些大的权限权限类型,具体包括许多细的权限选项,都可以在“特别权限”选项中设置。 以上具体权限选项说明参见书本P225页的表6-6。 用户对NTFS文件和文件夹的访问权限是由书本P225中的表6-6所列出特别权限逻辑组成,具体参见书本P225页的表6-7。,6.6.2 文件服务器的最佳权限设置,对于共享文件夹的访问通过两个权限项集来确定:共享上的权限集(称为“共享权限”)和文件夹上的权限集(称为“NTFS 文件和文件夹权限”)。共享权限

    34、时常用于管理使用FAT32文件系统的计算机或不使用NTFS文件系统的其他计算机。共享权限和NTFS权限是独立的,即它们不彼此更改,但对于共享文件夹的最终访问权限是考虑共享权限和NTFS权限项后确定的。 书中P226页的表6-8的建议权限配置是管理员可以为Users组授予的对于某些共享文件夹类型的权限。推荐的权限已经过测试,并且正确工作;但还存在一些其他方法。例如,一些有经验的管理员始终喜欢将Everyone的共享权限设置为完全控制,并完全依赖NTFS权限来限制访问,当然这只是对共享文件夹才有效。,6.6.3设置、查看、更改或删除文件和文件夹权限,本节介绍的是文件和文件夹权限查看、设置、更改或删

    35、除方法,具体参见书本P227P228页。 6.6.4 权限的继承 为了简化文件权势配置,微软的Windows NT核心采取一种权限继承功能,使下级文件或子文件夹在未做重新配置前完全继承上一级文件夹的权限配置。而且这些继承下来的权限配置并不是轻易可以打断的。虽然可以简化许多文件权限配置工作,但对于一个大的企业网络系统中,这种继承关键并不适用于所有文件或文件夹。 对于文件或文件夹,系统默认是直接继承上一级文件夹的权限配置。此时表明该文件或文件夹已经继承了父文件夹的权限。有以下三种方法可以更改继承的权限: 1. 直接更改父文件权限 2. 选择相反权限以覆盖所继承的权限 3. 打断继承关系 本节详细内

    36、容参见书本P229P230页。,6.6.5 NTFS文件权限属性,要正确有效地设置好系统文件或文件夹的访问权限,必需注意NTFS文件夹和文件权限有如下属性: 1. 权限具有继承性 权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置。在文件或文件夹的移动或复制,其权限的继承性要依如下几种情况而定: (1)在同一NTFS分区间复制或移动 (2)在不同NTFS分区间复制或移动 (3)从NTFS分区复制或移动到FAT格式分区 2. 权限具有累加性 NTFS文件或文件夹的权限的累加性具体双表现在以下几个方面: (1)工作组权限由组中各用户权限累加决定 (2)用户权限由所属组权限

    37、的累决定 3. 权限的优先性,权限的这一特性又包含两种子特性,(1)文件的访问权限优先文件夹的权限,也就是说文件权限可以越过文件夹的权限,不顾上一级文件夹的设置;(2)“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。4. 访问权限和共享权限的交叉性 当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如文件夹Folder A 为用户USER1设置的共享权限为“只读”,同时文件夹Folder A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。当然这个文件夹只能是在NTFS文件格式的分区中,如是FAT格式的分区中也就不存在“访问权限”了,因为FAT文件格式的文件夹没有本地访问权限的设置选项。 本节详细内容参见书本P230P232页。,

    展开阅读全文
    提示  道客多多所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:Windows用户账户安全策略.ppt
    链接地址:https://www.docduoduo.com/p-4529750.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    道客多多用户QQ群:832276834  微博官方号:道客多多官方   知乎号:道客多多

    Copyright© 2025 道客多多 docduoduo.com 网站版权所有世界地图

    经营许可证编号:粤ICP备2021046453号    营业执照商标

    1.png 2.png 3.png 4.png 5.png 6.png 7.png 8.png 9.png 10.png



    收起
    展开