2.6 工作任务7——Windows用户及权限管理

2.6.1 任务目的

Windows Server操作系统用户也是一些服务的默认用户，如FTP服务。新星公司决定搭建属于自己的Windows Server 2016服务器，信息中心决策层认识到，对于初次接触服务器技术的网络管理员来说，必须熟练掌握Windows Server 2016用户及权限的管理技能。因此公司决定开展培训，让网络管理员掌握Windows Server 2016用户及用户组管理、权限管理的操作技能。

2.6.2 任务规划

新星公司开展Windows Server 2016用户及用户组管理、权限管理的培训，培训的内容包括了解Windows Server 2016的内置账户、内置用户组，了解文件夹（或文件）的NTFS权限、共享权限。

下面通过一个综合案例来了解Windows Server 2016用户及用户组管理、权限管理。要求：新建jinan用户、city用户组，将jinan用户添加到city用户组；新建sdcet文件夹，并将sdcet文件夹对jinan用户的NTFS权限设置为完全控制。

2.6.3 本地用户及本地用户组

1.Windows Server本地用户账户

Windows Server 2016用户账户可以分为本地用户账户和域用户账户，非域管理环境下仅考虑本地用户账户。Windows Server 2016是多用户操作系统，可以在一台计算机上建立多个用户账户，不同用户用不同账户登录，尽量减少相互之间的影响。Windows Server 2016系统在安装完成后，会自动生成内置用户账户，它用于执行特定的管理任务或使用户能够访问网络资源。内置用户账户包括Administrator、Guest。

● Administrator（系统管理员）。Administrator账户可以对整台计算机或域配置进行管理，如创建、修改用户账户和组，管理安全策略，创建打印机，分配允许用户访问资源的权限等。作为管理员，应该创建一个普通用户账户，在执行非管理任务时使用该用户账户，仅在执行管理任务时才使用Administrator账户。Administrator账户可以更名，但不可以删除。

● Guest（来宾）。一般的临时用户可以使用内置Guest账户进行登录并访问资源。在默认情况下，为了保证系统的安全，Guest账户是禁用的。在安全性要求不高的网络环境中，可以使用该账户。它不可删除，但可以更名。

2.Windows Server本地组账户

Windows Server 2016组账户可以分为本地组账户和域组账户，非域管理环境下仅考虑本地组账户。对用户进行分组管理可以灵活地进行权限设置，方便管理员对Windows Server 2016的管理。Windows Server 2016系统在安装完成后，会自动生成内置本地用户组，主要的本地组有Administrators、Users、Guests等。

● Administrators（管理员用户组）。默认情况下，Administrators组中的用户对计算机有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。

● Users（普通用户组）。这个组的用户可以运行经过验证的应用程序，不允许Users组成员修改操作系统的设置或用户资料，也不能修改系统注册表设置、操作系统文件或程序文件。

● Guests（来宾组）。该组只有Guest成员，受限制更多。

系统中还有一些特殊身份的内置组，这些组的成员是临时的，如Everyone。Everyone组包括本地的所有用户成员，以及来自网络访问的用户成员。

2.6.4 共享权限与NTFS权限

1.共享权限

Windows Server 2016通常通过共享文件夹作为文件服务器来共享资源。共享文件夹可以使用共享权限进行简单的应用和管理。在Windows Server 2016中，创建新的共享文件夹时，会自动分配Everyone组具有读取权限。共享权限是对网络访问用户所开放的权限，分为读取、修改、完全控制3种权限。

● 读取。“读取”权限是分配给Everyone组的默认权限。具有“读取”权限的用户可以查看文件名和子文件夹名、查看文件中的数据、运行程序文件等。

● 修改。具有“修改”权限的用户可以添加文件和子文件夹、更改文件中的数据、删除子文件夹和文件等。

● 完全控制。“完全控制”权限是分配给本地计算机上Administrators组的默认权限。“完全控制”权限具有“读取”及“修改”权限。

2.NTFS权限

Windows Server 2016采用NTFS文件系统，NTFS权限只适用于NTFS磁盘分区。利用NTFS权限可以控制用户、用户组对文件夹和文件的访问。

NTFS文件夹权限共有完全控制、修改、读取、读取和执行、列出文件夹内容、写入6种。这6种权限的含义如下。

● 完全控制。该权限允许用户对文件夹、子文件夹、文件进行全权控制，如修改资源的权限、获取资源的所有者、删除资源的权限等，拥有“完全控制”权限就等于拥有了其他所有的权限。

● 修改。该权限允许用户修改或删除资源，同时让用户拥有写入、读取和运行权限。

● 读取和执行。该权限允许用户拥有读取和列出资源目录的权限，也允许用户在资源中进行移动和遍历，用户能够直接访问子文件夹与文件。

● 列出文件夹内容。该权限允许用户查看资源中的子文件夹与文件名称。

● 读取。该权限允许用户查看该文件夹中的文件及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等。

● 写入。该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。

3.NTFS权限规则

用户账户可能属于多个用户组，如果某资源对每个组设定了不同的权限，用户对该资源拥有什么样的权限，需要遵循以下的NTFS权限规则。

（1）权限累积

例如，bob用户既属于student用户组，也属于male用户组，study文件夹对student用户组设置“写入”权限，对male用户组设置“读取”权限，那么bob用户对study文件夹具有“写入”“读取”权限。

（2）文件权限优于文件夹权限

例如，study文件夹中有english.txt文件，study文件夹对bob用户设置“写入”权限，english.txt文件对bob用户设置“写入”“读取”权限，那么bob用户对english.txt文件具有“写入”“读取”权限。

（3）拒绝优于允许

例如，bob用户既属于student用户组，也属于male用户组，study文件夹对student用户组设置允许“写入”权限，但是对male用户组设置了拒绝“写入”权限，那么bob用户对study文件夹没有“写入”权限。

2.6.5 用户及其权限设置案例

新建jinan用户、city用户组，将jinan用户添加到city用户组。新建sdcet文件夹，并将sdcet文件夹对jinan用户的NTFS权限设置为完全控制。

1.新建用户jinan

以系统管理员身份登录计算机，在“开始”菜单中选择“Windows管理工具”命令，打开“管理工具”控制台。双击“计算机管理”，打开“计算机管理”控制台。在“计算机管理”控制台中，依次展开“本地用户和组”→“用户”，右击“用户”，在弹出的菜单中选择“新用户”命令，打开“新用户”对话框。在该对话框中输入用户名jinan、密码等信息，如图2-2所示。单击“创建”按钮，jinan用户创建完成。

2.新建用户组city并向组中添加jinan用户

1）在“计算机管理”控制台中，右击“组”，在弹出的菜单中选择“新建组”命令，打开“新建组”对话框。在该对话框中输入组名city，如图2-3所示。

2）单击“添加”按钮，打开“选择用户”对话框，在“输入对象名称来选择”文本框中输入用户名“jinan”，如图2-4所示。

3）单击“确定”按钮，返回“新建组”对话框，如图2-5所示。单击“创建”按钮，city用户组创建完成，同时添加了jinan用户到该组。

3.新建sdcet文件夹，设置NTFS权限

1）新建sdcet文件夹，右击该文件夹，在弹出的菜单中选择“属性”命令。在文件夹属性对话框中选择“安全”选项卡，单击“编辑”按钮，打开“sdcet的权限”对话框。

2）“sdcet的权限”对话框的“组或用户名”列表框中没有jinan用户，需要单击“添加”按钮，打开“选择用户或组”对话框。在“输入对象名称来选择”文本框中输入用户名“jinan”，如图2-6所示。

3）单击“确定”按钮，返回“sdcet的权限”对话框，选中jinan，然后在权限区域勾选“完全控制”后的“允许”复选框，如图2-7所示。单击“确定”按钮，返回文件夹属性对话框。单击“确定”按钮，完成sdcet文件夹NTFS权限的设置。