Transcript 建立與管理帳戶
資料夾權限與分享 Windows 2000 系統實務 Ch10 資料夾權限與分享 「權限」(Permission)是指使用者對 於物件的存取限制, 例如:能否新增、 讀取或刪除物件, 這些物件包含了「檔 案、資料夾、磁碟與印表機」等等 NTFS 權限 只要是存在 NTFS 磁碟機上的資料夾或 檔案, 無論是否分享出來, 都具有此權限 NTFS 權限又稱為資料夾與檔案的存取 權限 (Folder and File Permission) 存取權限只存在 NTFS 檔案系統, 對於 FAT/FAT32 硬碟和磁碟片上的檔案, 無法設定存取權限 共用權限(Shared Permission) 分享出來的資料夾 (稱為共用資料夾), 就一定具有此權限 若該資料夾也存在 NTFS 磁碟機上, 便 同時具有NTFS 權限與共用權限 若資料夾同時擁有存取權限與共用權限, 則取其中「較嚴格的權限」為準 管理 NTFS 權限 NTFS 的每個資料夾與檔案都附有一張 表格, 稱為ACL(Access Control List), 上面記錄了使用者及群組對於該物件的 存取權限 NTFS 權限設定的方式, 是以「資料夾 (或檔案)」為設定對象, 不能以「使用者」 為設定對象 NTFS 權限具有繼承性, 所以即使沒有 額外做任何權限設定, 子資料夾與檔案 已經具有來自其上層資料夾的權限 認識 NTFS 權限 NTFS 權限的 2 大要素 - 特別存取權 限與標準存取權限 特別存取權限和標準存取權限, 2 者的關 係可以用點菜時的單點和套餐來比喻 套餐只是事先把每道可以單點的菜色組 合在一起, 省掉逐項選擇的麻煩, 如果對 於所有的套餐都不滿意, 那還是可以用 單點的方式選菜 標準存取權限其實正是將某些常用的特 別存取權限, 配套組成 6 種 存取權限 -1 表10-4 周遊資料夾/執行檔案: 套用在檔案, 則可以執行該檔案;套用在資料 夾, 表示使用者即使沒有資料夾的權限, 也可 以切換到該資料夾中。通常在備份資料時, 會 需要周遊資料夾 (Traverse Folder) 權限 由於預設 Everyone 群組擁有略過 traverse 檢查這個 Right, 表示網域內每個人都可以略 過資料夾的權限設定, 切換到該資料夾中來備 份資料, 所以此處的周遊資料夾權限的設定並 沒有作用 存取權限 -2 列出資料夾/讀取資料: 套用在檔案, 則可以讀取檔案內容;套 用在資料夾, 則可以瀏覽其中的子資料 夾與檔案 讀取屬性: 可以看到檔案和檔案的唯讀、隱藏、壓 縮和加密等基本屬性 存取權限 -3 讀取擴充屬性: 某些檔案會具有擴充屬性, 例如 MS Word 的 DOC 檔, 就有自訂與摘要這 2 個擴充屬性。 建立檔案/寫入資料: 套用在檔案, 則可以更改現有的檔案內 容, 但不能再加上新的資料。套用在資 料夾, 則可以在其中建立新的檔案 存取權限 -4 建立資料夾/附加資料: 套用在檔案, 表示不能更改現有的檔案 內容, 但可以再加上新的資料。套用在 資料夾, 則可以建立新的子資料夾 寫入屬性: 可以變更檔案的基本屬性 存取權限 -5 寫入擴充屬性: 可以變更檔案的擴充屬性 刪除子資料夾及檔案: 可以刪除資料夾中的子資料夾與檔案 刪除: 可以刪除檔案或資料夾 存取權限 -6 讀取使用權限: 能看到檔案的標準存取權限與特別存取 權限, 但是無法修改 變更使用權限: 能看到和修改檔案的標準存取權限與特 別存取權限 取得擁有權: 取得檔案的擁有權。 設定 NTFS 權限 舉例說明如何設定 NTFS 權限, 假設要 使 “Managers” 群組對於 “Product” 資料夾有完全控制的權限, 而 “Supervisors” 群組則擁有讀取及執行 和建立檔案與資料夾的權限, 至於其他 人則只有讀取權限, 如圖 10-7 NTFS 權限的注意事項 -1 權限儘量賦予群組, 避免賦予使用者 權限具有累加性 當使用者隸屬一個以上的群組時, 他的有效權限是所有權 限的總和。舉例來說, 賦予 A 群組某個資料夾的讀取 權限、B 群組寫入權限, 然後把 John 加到 A, B 2 個 群組, 則最後他的有效權限是讀取 + 寫入 例外的情形是, 當勾選拒絕某一項權限時, 則無論其他群 組的設定為何, 使用者都不會有該項權限。例如:拒 絕 B 群組的寫入權限, 那麼即使賦予 A 群組修改權限, 隸屬於這 2 個群組的 John 仍然無法執行寫入動作 NTFS 權限的注意事項 -2 將子資料夾或檔案拷貝到其他的資料夾 中, 複製的資料會繼承目的資料夾的權 限 舉例來說, "Product" 資料夾的權限設定是 Everyone 讀取, "Share" 資料夾的權限設定 是 Everyone 完全控制, 則把 "Product" 中的 子資料夾或檔案複製到 "Share" 之後, 複製的 資料會繼承 "Share" 資料夾的 Everyone 完 全控制 NTFS 權限的注意事項 -3 將子資料夾或檔案移動到同一個分割區 (Partition) 的資料夾中, 則移動的資料 會保留原來的權限 舉例來說, "D:\Product" 資料夾的權限設定是 Everyone 讀取, "D:\Share" 資料夾的權限設 定是 Everyone 完全控制, 則把 "D:\Product" 中的子資料夾或檔案移動到 "D:\Share" 之後, 複製的資料仍保留原來的 Everyone 讀取 NTFS 權限的注意事項 -4 將子資料夾或檔案移動到另一個分割區 的資料夾中, 則移動的資料會繼承目的 資料夾的權限 舉例來說, “D:\Product” 資料夾的權限設定是 Everyone 讀取, “C:\Money” 資料夾的權限設定是 Administrators 完全控制, 則把 “D:\Product” 中的 子資料夾或檔案移動到 “C:\Money” 之後, 複製的資 料會繼承 “C:\Money” 的 Administrators 完全控制 要移動某個資料夾或檔案, 至少必須對 該檔案或資料夾擁有修改權, 而對目的 資料夾必須有寫入權 NTFS 權限的注意事項 -5 當子資料夾與檔案與上層資料夾權限設 定不同時, 以子資料夾與檔案的設定為 準 以前例來說, 如果 “Product” 資料夾只允許 Everyone 群組讀取, 而 “Sales” 子資料夾卻允許 Everyone 群 組變更, 則 Everyone 群組對於 “Sales” 有變更的權 限;反之, 如果 “Product” 允許 Everyone 變更, 而 “Sales” 只允許讀取, 則Everyone 群組對 “Sales” 子資料夾只有讀取的權限 唯一的例外是, 當上層資料夾允許完全控制時, 因為它包 含了刪除子資料夾及檔案這項特別存取權限, 所以無 論其子資料夾或檔案是否允許刪除, 使用者都可以刪 除其中的子資料夾與檔案 取得擁有權 如果 NTFS 權限規劃的不夠完善, 有可 能會造成所有的人, 包含 Administrators 群組成員, 都無法存取 某些檔案。舉例來說, 拒絕 Everyone 群 組對任何一個資料夾的完全控制權限就 會發生這種情形 (相當於使 Everyone 都 完全不能控制該資料夾), 然而只要藉由 擁有權機制, 便可以輕鬆解決這個難題 什麼是擁有權 -1 Windows 2000 系統中任何一個物件都 有擁有者, 物件的擁有者對於物件有擁 有權, 有擁有權便可以設定物件的存取 權限, 以前面拒絕 Everyone 完全控制的 例子來說, 雖然沒有人可以存取資料夾, 但是物件的擁有者可以重新設定該資料 夾的存取權限。換句話說, 擁有者只須 勾選允許 Everyone 讀取, 就可以讓所有 的人重新獲得讀取權限 什麼是擁有權 -2 預設建立物件的人就是該物件的擁有者, 即使他只是 Domain Users 群組的成員, 舉例來說, "John" 在 C 磁碟中建立了一 個稱為 "John's folder" 的資料夾, 然後 開啟該資料夾的內容交談窗, 並切換到 安全頁次 查看物件的擁有者 要查看物件目前的擁有者, 請按安全頁 次左下方的進階鈕 擁有權的特點 除了使用者自行新增的物件之外, Windows 2000 中其他物件的擁有者都 是 Administrators 群組 Administrators 群組有一項內建的能力 - 取得擁有權 取得擁有權是 Administrators 群組內 建的能力, 任何人都無法移除它 如何取得擁有權 共用資料夾 Windows 2000 系統提供許多的服務中, 最常使用的莫過於檔案的分享 如何讓網域內所有的使用者按照其權限 存取共用檔案, 對於系統管理員來說, 是 最基本、也是最重要的工作 建立共用資料夾 系統管理員只能設定共用資料夾, 不能 設定共用單一檔案 並非每個帳戶都能夠設定共用資料夾。 獨立伺服器, 必須是 Administrators 或 Server Operators 群組的成員 在網域中必須是 Domain Admins 群組 的成員, 才有建立共用資料夾的能力 透過網路存取資源 透過網路存取資源, 都必須指明該資源 的共用名稱, 說得更精確些, 必須知道它 的 UNC (Universal Naming Convention) 名稱, UNC 的命名格式為:『\\資源所 在的電腦名稱\資源的共用名稱』 將新增資料夾設為共用 建立新的資料夾, 並將它設為共用, 傳統 的做法是利用檔案總管, 「先新增資料 夾, 再將它設為共用」, 這樣需要兩次動 作。不如改用電腦管理主控台, 可以一 次就做完兩件事 執行『開始/程式集/系統管理工具/電腦 管理』 從遠端建立共用資料夾 系統管理員不但可以在本機建立共用資 料夾, 也可以將共用資料夾建立在已加 入網域的遠端電腦上 存取共用資料夾 資料夾分享出來之後, 使用者可以藉由 網路上的芳鄰來存取 連線網路磁碟機 利用『連線網路磁碟機』命令, 可以賦 予共用資料夾一個磁碟機代號, 爾後存 取該共用資料夾, 就如同存取本機磁碟 機一般容易 如何跨網域存取共用資料夾? 如果共用資料夾位於其他網域的電腦, 假設為 "flag" 網域的 "Flag2" 電腦, 且 " flag" 網域和本網域沒有建立信任關係。 則連線時會要求輸入, 在 "flag" 網域有 足夠權限的網域使用者帳戶名稱和密碼 新增網路位置 利用新增網路位置精靈, 也可以簡化存 取共用資料夾的步驟 , 請開啟網路上的 芳鄰視窗, 雙按新增網路位置圖示 另一種新增網路位置的方法 開啟連線網路磁碟機交談窗 使用 NET USE 指令 連線同網域的共用資料夾 NET USE F: \\Xflag2\Application 連線其它網域的共用資料夾 NET USE F: \\Xflag2\\Application /user:machinegunz.com\Administrator NET USE F: \\Xflag2\\Application /user:machinegunz\Administrator NET USE F: \\Xflag2\\Application /user:[email protected] 將共用資料夾發佈到 AD 系統管理員可以將共用資料夾發佈到 AD 中, 提供使用者另一種存取共用資料 夾的方式 中斷使用者存取共用資料夾 當存放共用資料夾的電腦要離線時, 系 統管理員可以強迫中斷使用者的連線, 或關閉正被開啟的共用資料夾 隱藏共用資料夾 系統管理員可以隱藏某些共用資料夾, 讓使用者瀏覽網路上的芳鄰時, 無法看 見這些隱藏的共用資料夾, 然而如果對 方知道這些資料夾的共用名稱, 還是能 夠存取到它們 特殊的共用資料夾-1 在電腦管理視窗中, 可以看到一些系統 內建的共用資料夾, 這些共用資料夾大 多具有隱藏、無法刪除兩項特色 特殊的共用資料夾-2 ADMIN$ 亦即 Windows 2000 系統檔案所在的路 徑名稱。假設將 Windows 2000 安裝在 F 磁碟機的 WINNT 資料夾, 則 ADMIN$ 等於 "F:\WINNT" 。 只有 Administrators 群組的成員才能 存取 ADMIN$ 共用資料夾 特殊的共用資料夾-3 磁碟機代號$ 系統預設將所有的邏輯磁碟機設定成共 用與隱藏, 亦即如果有 C、D、E... 等多 個分割區, 它們都會被共用。 只有 Administrators 群組的成員才能 存取到這些共用資料夾 特殊的共用資料夾-4 IPC$ 進行遠端管理或瀏覽共用資源時, 系統 必須保留一部分的記憶體, 做為應用程 式間彼此交換訊息之用, IPC$ 就是這部 分記憶體的共用名稱 電腦間要能夠彼此溝通, IPC$ 這項共用 資源扮演非常重要的角色, 建議不要做 任何更動 特殊的共用資料夾-5 PRINT$ 將印表機分享出去, 系統就會把該台印 表機的驅動程式放到此共用資料夾中, 方便印表機管理員從事遠端管理 特殊的共用資料夾-6 NETLOGON 只有伺服器才會有這個資料夾, 它對應到 \WINNT\SYSVOL\sysvol\Domainname\s cripts 登入的過程中如果要自動執行指令檔 (Script), 或下載使用者設定檔,這些指令檔和設定檔必 須放在這個位置 NETLOGON並未設定為隱藏 共用權限 建立共用資料夾之後, 下一步就是要決 定網域內哪一個使用者或群組能夠存取 它, 換句話說, 也就是進行共用資料夾的 安全性設定 共用權限與 NTFS 權限的關係 共用資料夾的安全性決定於 2 種權限 (Permission) 的設定 共用權限 使用者透過網路存取某項資源時, 首先受到共用權限 的限制, 共用權限定義使用者或群組對於共用資源最 大的存取範圍 NTFS 權限 在共用權限設定的權限範圍內, 若共用資料夾儲存在 NTFS 檔案系統中, 則能夠產生第二層保護 - NTFS 權限設定。亦即, 賦予群組 (或使用者) 資料夾或檔案 的存取權限 共用與 NTFS 權限相衝突時 當共用權限與 NTFS 權限相衝突時, 則 取 2 者中較嚴格的為有效權限 共用權限 完全控制 讀取 變更 NTFS 權限 讀取 修改 讀取及寫入 使用者透過網 路存取共用資 料的有效權限 讀取 讀取 讀取及寫入 設定共用權限-1 設定共用權限-2 表10-46 實作 設定 Administrators 群組擁有完全控制 的共用權限, 而 Everyone 群組只有讀取 權限 設定共用權限-3 如果某個使用者同時隸屬於多個不同的 群組, 而各個群組有不同的共用權限設 定時, 則該使用者擁有這些群組「累加 的最大共用權限」 如果勾選拒絕任何一項共用權限, 則無 論其他群組的設定為何, 使用者一定不 會具有該項權限 「拒絕」的優先等級總是比較高, 在共 用權限以及 NTFS 權限皆是如此 事先定義好的共用權限配套-1 事先定義好的共用權限配套-2 所有使用者都有完全控制權 Everyone 群組有完全控制權限 系統管理員有完全控制權;其他使用者 只有唯讀存取權 Administrators 群組有完全控制權限, 而 Everyone 群組只有讀取權限 事先定義好的共用權限配套-3 系統管理員有完全控制權;其他使用者 則沒有任何存取權 只有 Administrators 群組有完全控制權 限 自訂共用資料夾使用權限 選擇此項, 然後按自訂鈕, 可以按照前面介 紹的步驟, 自行設定共用權限 共用權限 因為共用權限是用來定義使用者對於共 用資料夾最大的存取權限, 所以如果不 是有特別的需要, 可以將這項權限的範 圍設大一點 (例如 Everyone 完全控制), 然後再藉由 NTFS 權限來做進一步的設 定, 這樣做會比較有彈性