权限管理

实验十 权限管理

实验目的：使同学们NTFS文件系统权限设置的基本方法。

配合章节：本实验与理论课的第七章内容相对应。

实验内容：文件系统转换、权限设置。

计划课时：1学时。

通过图示为大家讲解如何设置用户的权限。

1．打开“我的电脑”，选择C盘的根目录“Documents and Settings”。

2．右键单击打开“共享和安全”。

3．在弹出的文件夹属性对话框中选择“安全”选项 

4．设置文件权限，删除Power Users 和 Users，分别选中这两个用户，点击“删除”按钮。

5．添加特定用户对文件夹的访问，点击“添加”按钮。

6．在弹出的“选择用户和组”对话框中，点击“高级”按钮。 

7．选择“立即查找”，系统会自动查找所有用户。

8．在查找出的用户列表中选择 Everyone 用户，添加到当前执行的操作当中。

9．点击“确定”，返回到刚才添加用户的对话框中，设置该用户最低的权限为“读取”，点击“确定”，完成对目录权限的设置。

Windows里有不同的用户不同的权限，用户又被分成许多组，组和组之间又都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈常见的用户组。

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

用户的权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。

Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认的Guest用户,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”——〉“管理工具”——〉“计算机管理”——〉“用户和用户组”来查看用户组及该组下的用户。

我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”——〉“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。

对于WEB服务器和FTP服务器的帐户全权限的设置，我们在前面的课程已经进行了讲解，本节在此就不过多赘述了。

Windows 2000的默认权限设置是对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和WinNT。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Power users拥有读&运，列和读权限；SYSTEM同Administrators；Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限；Power users有完全控制权；SYSTEM同Administrators；Terminal server users拥有完全控制权，Users有读&运，列和读权限。对于WinNT，Administrators拥有完全控制权；Creator owner拥有特殊权限；Power users有完全控制权；SYSTEM同Administrators；Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权。

对于没有经过设置的Windows Sever，一个水平一般的黑客就很容易取得管理员权限，因为默认权限设置的很不安全。用户在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的，本来权限不高，但是系统默认给的Everyone组完全控制权，这就让它“身价倍增”，到最后能得到Administrators了。怎样设置权限给这台服务器才算是安全的呢？我们应该牢记一句话：“最少的服务+最小的权限=最大的安全”。对于服务，不必要的一定不要装，因为所有的服务的运行是SYSTEM级。对于权限，应该本着够用就好的原则分配。可以这样修改一下Windows默认的权限设置以加强起安全性：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉；给系统卷的根目录多加一个Everyone的读、写权；给网站目录读、写权。

最后，还要把cmd.exe这个文件找到，只给Administrator完全控制权。经过这样的设置后，黑客要想入侵这台服务器就很困难了。可能这时候有的读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权？网站中的ASP文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。当然这也有个前提——虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者——IIS来解释执行的，所以它的执行并不需要运行的权限。   

经过上面的讲解以，我们对权限已经有了一个初步的认识了。下面我们就更深入地介绍一下权限的一些特性，权限是具有继承性、累加性 、优先性、交叉性的。

继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。

累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。 

优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。

交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。