本次實驗共包括2個實驗。
實驗l4a,組的管理。
實驗l4b,組的管理的最佳實踐。
實驗4a
共1個練習。
練習1:使用組實現基於角色的管理
任務1:使用「active directory使用者和計算機」建立角色組
執行「active directory 使用者和計算機」,在「role」ou新建「組」。
在「組名」框中輸入「sales」,「組作用域」選「全域性」,「組型別」選「安全組」。然後點「確定」。
重複上面的步驟,在「role」ou建立乙個名為「consultants」的組。
任務2:使用dsadd建立角色組
在「命令提示符」輸入以下命令:
dsadd group "cn=auditors,ou=role,ou=groups,dc=contoso,dc=com" -secgrp yes -scope g
任務3:將使用者新增到角色組
開啟「active directory使用者和計算機」,編輯「sales」組的屬性。
在「sales 屬性」對話方塊,點「成員」選項卡。點「新增」,將使用者新增到這個組。
另一種方式:在「employees」ou中找乙個使用者,然後右鍵點它,選「新增到組」。
任務4:實現角色層級
新建乙個名為「sales managers」的組,編輯它的屬性,在「隸屬於」頁籤點「新增」,然後輸入「sale」,點「確定」。
這時候,「發現多個名稱」對話方塊出現,選擇「sales」,點「確定」。
任務5:建立乙個資源訪問管理組
在「groups」ou新建乙個名為「access」的ou。然後在「access」ou新建乙個名為「acl_sales folders_read」的組,「組作用域」選擇「本地域」,「組型別」選擇「安全組」。
任務6:為資源訪問組分配許可權
建立乙個資料夾「c:\data\sales」。
在「sales」資料夾點右鍵,選「屬性」,然後點「安全」選項卡。
點「編輯」。
點「新增」,在「輸入物件名稱來選擇」框中輸入「acl」然後點「確定」。這時候,在「安全」頁簽上,可以看到已經新增了「acl_sales folders_read」組。
檢查「acl_sales folders_read」組的許可權,確認它具有「讀取和執行」的許可權。
任務7:定義角色和使用者擁有訪問許可權
開啟「active directory 使用者和計算機」,找到「access」ou。編輯「acl_sales folders_read」組的屬性,在「成員」頁籤,點「新增」,將「sales」、「consultants」、「auditors」都新增進來。
然後,再新增個別使用者帳戶到這個組。
任務總結:
通過本次練習,你實現了簡單的基本角色管理,管理它們訪問資料夾。
(附加)最佳實踐
根據台灣戴有煒《windows server 2008 r2 active directoty配置指南》,有以下示例:
1、a-g-dl-p
上圖中,虛線的左側是「角色組」(或稱為「帳戶組」),右側是「資源組」(或稱為「訪問控制組」)。全域性組g與域本地組dl可以不是同乙個域。
2、a-g-u-dl-p
上圖中,當全域性組g1與g2分別來自不同的域時,增加乙個通用組u。
實驗4b
共1個練習。
練習1:為組的管理實現最佳實踐
任務1:建立乙個詳盡記錄(well-documented)的組
開啟「active directory使用者和計算機」,找到「access」ou,編輯「acl_sales folders_read」組的屬性。
在「描述」框中輸入「sales folders (read)」。
在「注釋」框中輸入它對哪些資料夾具有訪問許可權。例如:
\\contoso\teams\sales (read)
\\file02\data\sales (read)
\\file03\news\sales (read)
任務2:保護乙個組不被意外刪除
點「檢視」選單,選「高階功能」,開啟高階功能選項。
編輯「acl_sales folders_read」組的屬性,點「物件」選項卡。
勾選「防止物件被意外刪除」選項。點「確定」儲存修改後的屬性。
嘗試刪除「acl_sales folders_read」組,將會彈出乙個資訊,顯示「沒有足夠的許可權,或者物件受保護,以防止意外刪除」。
任務3:委派組的管理者
找到「sales」組,編輯它的屬性。在「管理者」頁籤點「更改」,選擇乙個使用者帳戶「zhangs」。然後勾選「管理員可以更新成員列表」。最後點「確定」儲存。
任務4:驗證委派
用上一步委派的組的管理員帳戶「zhangs」在計算機hqdc2上登入。
點「開始」,再點「網路」。
在「網路」窗體會顯示乙個小提示條,顯示當前已經關閉著網路發現和檔案共享。
單擊提示條,「啟用網路發現和檔案共享」。這時候會提示輸入管理員的憑據。
在工具欄點「搜尋active directory」,輸入「audit」,然後點「開始查詢」。
在搜尋結果列表中,雙擊「auditors」,在「auditors屬性」對話方塊點「新增」,把使用者帳戶「lis」新增到這個組。
任務總結:
通過本次練習,你建立了乙個詳盡記錄的組,保護它不被意外刪除,驗證了組的管理員委派。
linux 使用者和組管理 4 許可權管理
使用者 使用者組 other路人 許可權一旦匹配,後面就不看了 rm f1 要求對目錄有寫許可權 檔案的名稱屬於目錄的內容 chmod x bin rm ll d bin 軟鏈結 chmod x bin rm chmod r a x dir 遞迴 chmod r a wx dir 大寫x只針對資料夾...
Linux 組的管理
在linux中每個使用者必須屬於乙個組,不能獨立於組外。在linux中每個檔案有所有者,所在組,其他組的概念 1 所有者 2 所在組 3 其他組 4 改變使用者的所在組 一般為檔案的建立者,誰建立了該檔案,就自然成為該檔案的所有者 1 指令 ls ahl 2 應用例項 指令 chown 使用者名稱 ...
使用者管理和組的管理
新增使用者 r 建立使用者時不給其建立家目錄 m 新增乙個系統使用者 g gid 指定使用者所屬基本組,可為組名或gid root localhost useradd a1 localhost useradd r m s sbin omlogin a3 root localhost useradd ...