管理对AD域服务中的资源的访问权
安全主体:
可用于身份验证和分配资源访问权的用户、组或计算机对象
安全ID(SID)-在创建用户、计算机或安全组时分配的唯一值
Windows中的内部过程引用账户的SID,而不是账户的用户名或组名
相对ID(RID)-安全ID(SID)的一部分,在域中唯一标识的账户或组
权限:
是授予或拒绝对象访问权的规则
用于控制访问
分配权限的方式:
"允许"或"拒绝"权限可分配到资源(文件夹、打印机、文件)
权限可分配到本地计算机中的账户或AD DS中的账户
可以显示应用权限、继承权限或隐式应用权限
随机访问控制列表(DACL)
DACL包含用户和组的列表,这些用户和组可以访问资源或者被拒绝而无法访问资源
NTFS卷上的每一个文件和文件夹都有相关联的DACL
系统访问控制列表(SACL)
SACL控制审核对资源的访问
访问控制条目(ACE)
定义DACL或SACL中的每一个条目
指定一组要允许、拒绝或审核的SID
如果在DACL中未指定任何ACE,那么将拒绝访问资源
链接到共享文件夹:
通过UNC访问:
命名约定为\\servername\share或\\servername\share\file
可通过Windows资源管理器、命令行或编程方式访问
通过映射驱动器访问:
使用Windows资源管理器或命令行将驱动器映射到\\servername\share
通过网络访问:
使用图形化工具浏览网络以获得共享
可在域模式或工组组模式下进行
不显示隐藏共享或管理共享
拒绝权限优先于允许权限
NTFS权限继承:
继承无需对每个对象分配显式权限即可管理对资源的访问默认情况下,NTFS权限是按照父/子关系继承的
复制和移动文件和文件夹时,对NTFS权限的影响:
在复制文件和文件夹时,他们继承目标文件夹的权限
当在同一个分区中移动文件和文件夹时,他们保留其权限
在将文件和文件夹移到其他分区时,他们将继承目标文件夹的权限
有效NTFS权限:
NTFS权限时累计的
"拒绝"优先
权限可应用于用户或组
文件权限覆盖文件夹权限
文件和文件夹的创建者是所有者
共享文件权限和NTFS权限合并的效果:
在合并共享文件夹权限和NTFS权限时,将应用最严格的权限
文件和文件夹共享权限和NTFS权限必须有正确的权限,否则系统将隐式拒绝用户或组访问资源