Windows访问控制列表配置实验

文章目录

0x01 实验要求

  1. 所有部门的员工智能进入本部门文件夹和public
  2. 每个部门的部门经理对部门有写入权限,部门员工只能读取
  3. 总经理可以参与所有的部门,也可以完全控制
  4. public文件夹,所有员工可以读取,经理可以写入

0x02 实验分析

public文件夹访问规则,总经理、技术经理、财务经理、销售经理具有完全读写、修改权限;技术部员工、财务部员工、销售部员工只能查看。

jishubu文件夹访问规则,总经理、技术经理具有完全读写、修改权限;仅技术部员工具有查看权限。

caiwubu文件夹访问规则,总经理、财务经理具有完全读写、修改权限;仅财务部员工具有查看权限。

xiaoshoubu文件夹访问规则,总经理、销售经理具有完全读写、修改权限;仅销售部员工具有查看权限。

综合以上创建技术部、财务部、销售部、经理组,其中组内包含如下

  • 技术部:技术经理、技术员工
  • 财务部:财务经理、财务员工
  • 销售部:销售经理、销售员工
  • 经理:总经理、销售经理、技术经理、财务经理

文件夹权限设置:

  • public:经理组读写权限、技术部权限、财务部权限、销售部权限
  • jishubu:技术部组权限、技术经理读写权限、总经理读写权限
  • caiwubu:财务部组权限、财务经理读写权限、总经理读写权限
  • xiaoshoubu:销售部组权限、销售经理读写权限、总经理读写权限

0x03 实验步骤

  1. 创建用户、组并将用户划分到指定的组中。

    # 创建组
net localgroup jishubu /add
net localgroup caiwubu /add
net localgroup xiaoshoubu /add
net localgroup jingli /add

# 创建用户
net user jishubujl 123.com /add
net user jishubuyg 123.com /add
net user caiwubujl 123.com /add
net user caiwubuyg 123.com /add
net user xiaoshoubujl 123.com /add
net user xiaoshoubuyg 123.com /add
net user zongjingli 123.com /add

# 划分用户到组中
net localgroup jishubu jishubujl /add
net localgroup jishubu jishubuyg /add
net localgroup caiwubu caiwubujl /add
net localgroup caiwubu caiwubuyg /add
net localgroup xiaoshoubu xiaoshoubujl /add
net localgroup xiaoshoubu xiaoshoubuyg /add
net localgroup jingli zongjingli /add
net localgroup jingli jishubujl /add
net localgroup jingli caiwubujl /add
net localgroup jingli xiaoshoubujl /add

  2. 设置public文件夹权限。打开属性界面在安全的高级属性界面中取消继承权限,再删除无用组添加目的组或用户并设置相关权限

    public文件权限设置

  3. 设置jishubu文件夹权限。打开属性界面在安全的高级属性界面中取消继承权限,再删除无用组添加目的组或用户并设置相关权限

    jishubu文件权限设置

  4. 设置caiwubu文件夹权限。打开属性界面在安全的高级属性界面中取消继承权限,再删除无用组添加目的组或用户并设置相关权限

    caiwubu文件权限设置

  5. 设置xiaoshoubu文件夹权限。打开属性界面在安全的高级属性界面中取消继承权限,再删除无用组添加目的组或用户并设置相关权限

    xiaoshoubu文件权限设置

0x04 实验结果

  1. 切换caiwubujl用户登录并查看对caiwubu文件夹的访问权限,结果如下图所示。

    caiwubujl访问caiwubu

  2. caiwubujl用户访问jishubu文件夹,访问结果如下图所示。

    caiwubujl访问jishubu文件夹

  3. caiwubujl操作public文件夹,操作结果如下图所示。

    caiwubujl访问public文件夹

  4. 切换caiwubuyg用户访问caiwubu文件夹,操作结果如下图所示。

    caiwubuyg访问caiwubu文件夹

  5. caiwubuyg用户访问jishubu文件夹,操作结果如下图所示。

    caiwubuyg访问jishubu文件夹

  6. caiwubuyg用户访问public文件夹,操作结果如下图所示。

    caiwubuyg在public文件夹中创建

  7. 切换zongjingli用户访问caiwubu文件夹,操作结果如下图所示。

    zongjingli访问caiwubu

  8. zongjingli用户访问jishubu文件夹,操作结果如下图所示。

    zongjingli在jishubu文件夹中创建操作
  9. 总经理访问public文件夹

0x05 实验总结

  • 由操作结果可知上述操作达到实验要求。
  • 对于文件或文件夹权限设置步骤:
    1. 确定文件夹的类型(各个用户对该文件夹的访问权限
    2. 确定用户组,将用户划分到组中(需要整体考虑文件数量、扩展性等)
    3. 创建用户、组
    4. 将用户划分到组中
    5. 分别为每个文件夹分配权限
    6. 登录不同账户验证权限设置效果

0x06 附录

  • 还原系统中的用户、组信息

    # 删除
net localgroup jishubu /del
net localgroup caiwubu /del
net localgroup xiaoshoubu /del
net localgroup jingli /del

net user jishubujl /del
net user jishubuyg /del
net user caiwubujl /del
net user caiwubuyg /del
net user xiaoshoubujl /del
net user xiaoshoubuyg /del
net user zongjingli /del
posted @ 2020-11-08 09:04  静俭阁主  阅读(428)  评论(0编辑  收藏  举报