8.1 Windows系统用户权利

第8章  用户权限配置示例与故障排除

权限是非常重要的，因为几乎每个用户在实际工作中都或多或少地遇到过权限问题。例如在为一些用户配置运行一些特殊应用程序或服务时；为某些用户分配特定的网络管理任务时等。每个用户都想有高的权限以方便工作，但在实际网络应用中，却不可能让每个用户都能拥有这样的权限，就像在现实生活中一样，都是根据不同员工在实际工作中的应用需求来设置的。

“用户权限”这个概念非常广，不仅包括常见的文件访问权限和共享权限，还包括重要的网络操作和管理权等，非常多样。其实在微软的Windows系统中把这些不同的权限分别定义成：安全权限、共享权限和用户权利。用户的各种权限是用户进行各种具体应用的前提，同时也是网络系统安全保障的基础，所以恰当的用户权限配置不仅是用户的应用需求，同时也是网络系统的安全需求。许多网络安全事故或隐患就直接或间接来自于不恰当的网络用户权限配置。

本章重点

  用户权限类型
  全局工作组系统默认权限
  用户权限配置的几种方法
  Windows Server 2003系统用户权限的配置
  RedHat Linux 9.0系统用户权限的配置

8.1  Windows系统用户权利

【示例1】为新来的用户Winda（分配为系统管理员组成员）和Alice（除了日常其他工作外，还负责公司的系统备份管理）在Windows Server 2003服务器系统中配置相应的网络控制权限。
在Window系统中，用户权限被区分成“权限”和“权利”两种，“权限”是指授予用户或组对某个对象或对象属性的访问能力，而“权利”专门为用户配置，是为一些特殊的任务操作或管理而设置的。本节要通过一个具体的示例介绍用户权利的配置方法。

用户权利的配置
明白了Windows Server 2003系统中内置的用户和组，以及各自所具有的用户权利后，下面小王就知道该如何为Winda和Alice用户配置相应的用户权利了。
Winda因为属于系统管理员，所以它必须具备本地域系统管理员组Administrators权利，只需把它直接加入到Administrators组中即可，方法如下。

（1）选择【开始】→【管理工具】→【Active Directory用户和计算机】命令，弹出如图8-1所示的窗口。

图8-1  “Active Directory用户和计算机”窗口

（2）在“Active Directory用户和计算机”管理工具窗口控制台树中找到Winda用户所在的容器，此例该用户账户是在“Users”容器中。单击鼠标右键，在弹出的快捷菜单中选择【属性】命令，在弹出的对话框中切换到“隶属于”选项卡，如图8-2所示。从中可以看出，它已默认在Users内置组中。

【注意】 用户可在“Active Directory用户和计算机”管理工具中的许多容器中创建，不一定要在“Users”项中。要检查相应容器是否可以创建用户，只需在相应容器上单击鼠标右键，在弹出的快捷菜单中选择【新建】并检查其下面是否有【用户】命令，如果有就可以。事实上几乎在所有容器上都可以创建新用户。

（3）单击【添加】按钮，弹出如图8-3所示的对话框。对话框上面的选项基本上不用重新选择，直接在“输入对象名称来选择”文本框中输入系统管理员组名称administrators（也可只输入前面几个字母，然后通过单击【检查名称】按钮来自动填写，不过如果有多个对象与所输入的前几个字母匹配时就需要重新进行选择），单击【确定】按钮返回，在图8-2所示的对话框中单击【确定】按钮即可完成Winda用户系统管理员的添加工作。

图8-2  “隶属于”选项卡 

图8-3  “选择组”对话框

通过以上配置，Winda用户就具备了系统管理员组Administrators的所有权利，可以进行日常的网络管理工作了。

至于Alice用户，因为要担当系统备份工作任务，而该用户在创建时所默认隶属的Users组是不具备该项权利的。如果把他也隶属于Administrators组，也可以具有系统备份权利，但是系统管理员组成员所具的权利不仅利于系统备份，还具有许多非常强大的其他管理权利，而该用户在实际工作中又用不上，所以无须把他隶属于Administrators组。同时如果给用户赋予太高的权利，特别是管理员权利，也将给网络安全带来极大的隐患。

通过查看内置组权利可知，有一个账户所具有的权利非常适合Alice用户的系统备份工作，那就是在“Builtin”容器中的“Backup Operators”账户。只需为Alice用户在类似图8-2所示的对话框中添加这个组即可。