windows server 2012 AD 活动目录部署系列(四)用户资源的权限分配
时间:2022-09-28 12:57:51
上篇博文中我们已经为张建国创建了用户账号,这次我们来看看如何利用这个用户账号来实现资源分配的目标。
我们现在做个简单的实验,要把成员服务器 Berlin 上一个共享文件夹的读权限分配给公司的员工张建国。
如下图所示,我们在成员服务器 Berlin 上右键点击文件夹 Tools,选择“属性-共享-高级共享”,准备把 Tools 文件夹共享出来。
勾选“共享此文件夹”,然后点击“权限”,
Tools 文件夹的默认共享权限是Everyone 组只读,我们删除默认的权限设置, 点击添加按钮,准备把文件夹的读权限授予张建国。
如下图所示,我们选择 adtest.com 域中的张建国作为权限的授予载体,这时我们要理解域的共享用户账号的含义,在域控制器上为张建国创建了用户账号后, 成员服务器分配资源时就可以使用这些用户账号了。
为用户张建国赋予读权限,点击“确定”完成权限分配。
我们先用域管理员登录Perth(已加入域)服务器上,访问一下 Berlin 上的 Tools 共享文件夹,如下图所示,域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的,我们只把共享文件夹的权限授予了张建国。
我们再在 Perth 上以张建国的身份登录,如下图所示,
张建国访问 Berlin 上的共享文件夹 Tools,如下图所示,张建国顺利地访问到 了目标资源,我们的资源分配达到了预期的效果。
至此,权限分配已完成!
总结:
做完这个实验后,我们应该想一下,为什么张建国在访问共享文件夹时没有被要求身份验证呢?这是个关键问题,因为当张建国登录时,输入的用户名和口令将送到域控制器请求验证,域控制器如果认可了张建国输入的用户名和口令,域控制器将为张建国发放一个电子令牌,令牌中描述了张建国隶属于哪些组等信息,令牌就相当于张建国的电子身份证。当张建国访问Berlin上的共享文件夹时,Berlin的守护进程会检查访问者的令牌,然后和被访问资源的访问控制列表进行比较。如果发现两者吻合,例如本例中Berlin上的共享文件夹允许域中的张建国访问,而访问者的令牌又证明了自己就是域中的张建国,那么访问者就可以透明访问资源,无需进行其他形式的身份验证。
windows server 2012 AD 活动目录部署系列(四)用户资源的权限分配的下载地址: