相信已经很少有人用光驱来安装操作系统了,把U盘或移动硬盘制作成系统安装启动盘即可进行操作系统安装。MS酋长之前已经陆续介绍了大量的Win10系统U盘安装盘制作工具,包括:微软官方的......
windows server 2012 AD 活动目录部署系列(四)用户资源的权限分配
上篇博文中我们已经为张建国创建了用户账号,这次我们来看看如何利用这个用户账号来实现资源分配的目标。
我们现在做个简单的实验,要把成员服务器 Berlin 上一个共享文件夹的读权限分配给公司的员工张建国。
如下图所示,我们在成员服务器 Berlin 上右键点击文件夹 Tools,选择“属性-共享-高级共享”,准备把 Tools 文件夹共享出来。
勾选“共享此文件夹”,然后点击“权限”,
Tools 文件夹的默认共享权限是Everyone 组只读,我们删除默认的权限设置, 点击添加按钮,准备把文件夹的读权限授予张建国。
如下图所示,我们选择 adtest.com 域中的张建国作为权限的授予载体,这时我们要理解域的共享用户账号的含义,在域控制器上为张建国创建了用户账号后, 成员服务器分配资源时就可以使用这些用户账号了。
为用户张建国赋予读权限,点击“确定”完成权限分配。
我们先用域管理员登录Perth(已加入域)服务器上,访问一下 Berlin 上的 Tools 共享文件夹,如下图所示,域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的,我们只把共享文件夹的权限授予了张建国。
我们再在 Perth 上以张建国的身份登录,如下图所示,
张建国访问 Berlin 上的共享文件夹 Tools,如下图所示,张建国顺利地访问到 了目标资源,我们的资源分配达到了预期的效果。
至此,权限分配已完成!
总结:
做完这个实验后,我们应该想一下,为什么张建国在访问共享文件夹时没有被要求身份验证呢?这是个关键问题,因为当张建国登录时,输入的用户名和口令将送到域控制器请求验证,域控制器如果认可了张建国输入的用户名和口令,域控制器将为张建国发放一个电子令牌,令牌中描述了张建国隶属于哪些组等信息,令牌就相当于张建国的电子身份证。当张建国访问Berlin上的共享文件夹时,Berlin的守护进程会检查访问者的令牌,然后和被访问资源的访问控制列表进行比较。如果发现两者吻合,例如本例中Berlin上的共享文件夹允许域中的张建国访问,而访问者的令牌又证明了自己就是域中的张建国,那么访问者就可以透明访问资源,无需进行其他形式的身份验证。
标签: WindowsServer2012活动目录部署系列四用户
相关文章
- 详细阅读
-
如何为Win10家庭版开启组策略编辑器功能详细阅读
经常访问Win10专业网的朋友在看到需要编辑组策略的文章时,会发现,每一个教程都提供了两种方法:方法一是配置组策略;方法二是修改注册表。而两种方法的效果则是相同的。之所以这样,......
2022-04-19 316 组策略编辑器
-
Win10下如何使用DISM命令修复Windows映像详细阅读
DISM工具是一个部署映像服务和管理工具,已经陆续分享了一些DISM工具应用技巧。实际上使用DISM工具还可以修复损坏的Windows映像,下面我们来看一下微软官方的使用DISM工具修复Windows映像教程:......
2022-04-19 55 DISM命令 修复Windows映像
- 详细阅读
- 详细阅读