06-文件系统权限管理.ppt

第 9 章： 管理对 Active Directory 域服务中的资源的访问权 课程 6424A 29 将权限授予组而不是用户。 在以下情况下使用“拒绝”权限： 要排除有“允许”权限的组中的一部分对象 当你已经授予某个用户或组“完全控制”权限时，需要排除其中一个权限 不要拒绝 Everyone 组对对象的访问权。 如果拒绝 Everyone 组访问对象，也就拒绝了管理员访问。 建议只要你已将对象权限授予其他用户、组或计算机，那么就可以移除 Everyone 组。 对在树中处于较高位置的对象授予权限，越高越好，以便安全性设置沿着树传播。 第 9 章： 管理对 Active Directory 域服务中的资源的访问权 课程 6424A 30 本实验中，学员将创建共享文件夹、配置权限以及测试对资源的访问。 本实验涉及的目标： 规划共享文件夹实施 实施安全共享文件夹 评估共享文件夹实施 场景： Woodgrove Bank 是一家在全球多个城市都设有办事处的企业。 Woodgrove Bank 在 Windows Server 2008 中部署了 AD DS。作为网络管理员，你的主要任务之一将是创建和管理对资源的访问权，包括共享文件夹实施。 练习 1： 规划共享文件夹实施（讨论） 学员将得到 Woodgrove Bank 的组配置的描述以及存储在文件服务器上的数据的描述。 在讨论中，学员将创建一个计划来确定他们将在服务器上实施哪些共享，他们如何分配共享级权限和 NTFS 权限。 练习 2： 实施共享文件夹 学员将根据上一个练习的讨论结果实施共享文件夹。 练习 3： 评估共享文件夹实施 学员将验证共享文件夹实施是否符合文档中规定的安全要求。 学员将使用有效权限工具，并作为某些用户登录以确保他们有所需的访问级别。 第 9 章： 管理对 Active Directory 域服务中的资源的访问权 课程 6424A 31 问题： 为了授予多位同事对共享文件夹的访问权，应如何做才能最高效地分配访问权？回答： 创建一个全局组、将用户添加到该组，然后将该组添加到文件夹的共享权限列表。 用户如何重新打开已放入只写文件夹（如本练习中创建的 DropFolder）中的文件？ 回答： 用户可在 Windows 资源管理器地址字段中使用通用命名约定 (UNC) 文件路径来打开其文件以进行读取。 如何配置如下的共享文件夹：允许某个部门共享文件；部门中每个人都可在其中添加自己的文件以及读取其他人的文件；但是只有一小部分人可编辑所有文件的内容？回答： 创建两个组： Editors 和 Members。 创建一个共享文件夹，授予两个组对该文件夹的“参与者”权限。 将第二个文件夹嵌入该共享文件夹，然后将 Members 组对嵌套文件夹的 NTFS 权限更改为显式“拒绝”“写入”权限。 Editors 组的成员（只要不同时属于 Members 组）可以将文件移入嵌套文件夹，甚至继续编辑这些文件，同时又能防止任何其他用户意外更改。 为什么要使用“共享和存储管理”MMC 来创建共享文件夹，而不是使用 Windows 资源管理器？回答： “共享和存储”MMC 提供了共享文件夹创建和管理工具，它们可让你随时看到所有共享文件夹以及连接了多少用户。 第 9 章： 管理对 Active Directory 域服务中的资源的访问权 课程 6424A 32 复习题 ? 在授予对 AD DS 网络中的资源的访问权时，访问控制列表 (ACL) 的作用是什么？回答： 访问控制列表 (ACL) 附加于 NTFS 分区中的每一个文件和文件夹。 ACL 包含访问控制条目 (ACE)，其中存储了有关谁可以访问资源或被拒绝访问资源的详细信息。 随机访问控制列表 (DACL) 与系统访问控制列表 (SACL) 有何不同？ 回答： DACL 定义权限，即，谁可以访问资源，或者应该拒绝谁访问资源。 DACL 还定义了授予每个用户或组的访问级别。 SACL 定义将在对象上审核哪些操作。 ? 当你将共享文件夹从一个硬盘上复制或移动到同一服务器上另一个硬盘时，共享文件夹配置会发生什么改变？ 当你将共享文件夹复制或移动到另一台服务器上，共享文件夹配置会发生什么改变？ 回答： 无论复制还是移动，复制或移动后的共享文件夹将不会被配置为共享文件夹。 如果是复制共享文件夹，原文件夹仍为共享文件夹。 ? 你需要分配对共享文件夹的权限，以使公司中的所有用户都能读取该文件夹的内容。 对此，以下哪个方法将是最佳方法： 接受默认权限、为 Domain Users 组分配对该文件夹的读取权限，或者添加表示整个部门的组？ 如果公司有多个域，此配置将如何更改？ 回答： 最佳选择是添加 Domain Users