Windows Server基础
在虚拟机中使用时保证主机支持Hype-V(虚拟化)功能。
【操作】
激活:
—命令:slmgr /xpr
【远程访问】
RDP(Remote Display Protocol)远程显示协议:
-
为客户端提供服务端的图形桌面的显示映像,允许保持活动控制;
-
服务端监听TCP协议的3389端口;
-
通过该协议可以实现Win主机的远程管理(家庭版不支持);
【一般流程】
远程访问:
先记录物理机 VMnet 的IP; //ipconfig,加入物理机子网建立网络连接
配置虚拟机IP地址; //【物理机IP网关】.10
物理机 ping 虚拟机,检查连接健康状态 //考虑到虚拟机防火墙
开启远程连接 //计算机属性 > 远程设置 > 允许远程桌面
物理机mstsc > 虚拟机IP
【FileZilla Server】
FTP解决方案。
物理机可装FileZilla。
结构:
资源位置,访问时的引导路径;
用户组,用户权限;
用户信息。
操作:
物理机快速访问FTP服务器(由系统支持运行):
此电脑 > 地址栏 > ftp://服务器IP地址;
//用户名@服务器IP地址;
【用户组】
通过本地用户和组,可以为用户和组分配权利和权限,从而限制用户和组执行某些操作的能力。 不同的用户身份拥有不同的权限 每个用户包含一个名称和一个密码,用户帐户拥有唯一的安全标识符(Security Identifier,SID)。
如果我们去进程管理里面杀死 lsass.exe 进程时,windows会提示遇到错误,然后关机。
//计算机 > 计算机管理 > 本地用户和组
组账户:
一些用户的集合;且组内的用户自动拥有组所设置的权限。
-
组账户是用户账户的集合,用于组织用户账户;
-
为一个组授予权限后,则该组内的所有成员用户自动获得改组的权限;
-
一个用户账户可以隶属于多个组,而这个用户的权限就是所有组的权限的合并集。
本地用户账号
是创建于本地计算机(它的作用范围:仅仅限于创建它的计算机,控制用户对本地计算机上的资源访问)。
全局用户账号
创建于域服务器,可以在网络中的任意计算机上加入域后使用,使用范围是整个域网络。
administrator : 管理员,最大权限;
guest : 来宾,最小权限;
user : 用户组,默认使用者;
remote desktop user : 远程桌面用户;
Network Configuration Operator : 网络配置操作员;
everyone : 所有人* ;
共享文件:
NTFS
/* 文件的权限规则优先于文件夹的权限规则 */
NTFS权限是作为一个Windows对文件、文件夹、注册表项等进行安全性的权限设置,包括完全控制、修改、只读等。
是基于NTFS分区实现的,通过对用户或组授予NTFS权限可以有效地控制用户对文件和目录的访问。
对于NTFS磁盘分区上的每一个文件和文件夹,NTFS都存储了一个访问控制列表(ACL,Access Control Lists)。ACL中包含有那些被授权访问该文件或者文件夹的所有用户账号、组和计算机,还包含他们被授予的访问类型。
为了让一个用户访问某个文件或文件夹,针对相应的用户账号、组,或者该用户所属的计算机,ACL中必须包含一个对应的入口,这样的入口叫做访问控制入口(ACE,Access Control Entries)。
为了让用户能够访问文件或者文件夹,访问控制入口必须具有用户所请求的访问类型。如果ACL没有相应的ACE存在,Windows系统就拒绝该用户访问相应资源。
NTFS权限分为 标准NTFS权限 和 特殊NTFS权限 两大类。
特殊NTFS权限包含了在各种情况下对资源的访问权限,其组合限制了用户访问资源的所有行为。但通常情况下,用户的访问行为都是几个特定的特殊NTFS权限的组合或集合。
Windows为了简化管理,将一些常用的特殊NTFS权限组合起来形成了标准NTFS权限,当需要分配权限时可以通过分配一个标准NTFS权限以达到一次分配多个特殊NTFS权限的目的。
|
标准NTFS权限 |
||||||
|---|---|---|---|---|---|---|
| 特殊NTFS权限 | 完全控制 | 修改 | 读取和执行 | 读取 | 写入 | 列出文件夹目录 |
| 遍历文件夹/运行文件 | ● | ● | ● | ● | ||
| 列出文件夹/读取数据 | ● | ● | ● | ● | ||
| 读取属性 | ● | ● | ● | ● | ||
| 读取扩展属性 | ● | ● | ● | ● | ||
| 创建文件/写入数据 | ● | ● | ● | |||
| 创建文件夹/附加数据 | ● | ● | ● | |||
| 写入属性 | ● | ● | ● | |||
| 写入扩展属性 | ● | ● | ● | |||
| 删除子文件夹及文件 | ● | |||||
| 删除 | ● | ● | ||||
| 读取权限 | ● | ● | ● | ● | ● | |
| 更改权限 | ● | |||||
| 取得所有权 | ● |
对于权限的详解:
| 权限类型 |
权限名称 |
权限作用描述 |
|---|---|---|
|
标准 NTFS 权限 |
完全控制 | 用户可以修改、增加、移动和删除文件,以及它们相关的属性和目录。另外,用户还能改变所有文件和子目录的权限设置。 |
| 修改 | 用户能够查看和修改文件和文件属性,包括删除和添加目录文件或文件属性。 | |
| 读取和执行 | 用户可以运行可执行文件,包括脚本。 | |
| 读取 | 用户能够查看文件和文件属性。 | |
| 写入 | 用户能够改写文件。 | |
|
特殊 NTFS 权限 |
遍历文件夹/运行文件 | 用户可以通过文件夹到达其它文件或文件夹,即使这些文件夹没有遍历文件或文件夹的权限。只有在“组策略”管理单元中没有将“跳过遍历检查”用户权限授予用户组或用户时,遍历文件夹才会生效。(默认情况下,Everyone用户组拥有“跳过遍历检查”用户权限。) |
| 列出文件夹/读取数据 | 用户可以查看一个文件的内容和数据文件列表。 | |
| 读取属性 | 用户可以查看一个文件或文件夹的属性,如只读和隐藏。(NTFS定义这些属性。) | |
| 读取扩展属性 | 用户可以查看一个文件或文件夹的扩展属性。(扩展属性由程序定义,可能各不相同。) | |
| 创建文件/写入数据 | 建立文件权限允许用户在文件夹内建立文件。(这个权限只应用于文件夹。)写入数据权限允许用户改写文件,覆盖现有内容。(这个权限只应用于文件。) | |
| 创建文件夹/附加数据 | 建立文件夹权限允许用户在文件夹内建立文件夹。(这个权限只应用于文件夹。)附加数据权限允许用户修改文件末尾部分,但他们不能改变、删除或覆盖现有数据。(这个权限只应用于文件。) | |
| 写入属性 | 用户可以修改文件或文件夹的属性,如只读或隐藏。(NTFS定义这些属性。) | |
| 写入扩展属性 | 用户可以修改一个文件或文件夹的扩展属性。 | |
| 删除子文件夹及文件 | 用户可以删除子文件夹及文件,即使该子文件夹及文件上没有删除权限。 | |
| 删除 | 用户可以删除文件或文件夹。(如果用户在该文件或文件夹上没有删除权限,但是在其父级的文件夹上有删除子文件及文件夹权限,那么就仍然可以删除它。) | |
| 读取权限 | 用户拥有文件或文件夹的读取权限,如完全控制、读取和写入。 | |
| 更改权限 | 用户拥有文件或文件夹的变更权限,如完全控制、读取和写入。 | |
| 取得所有权 | 用户可以取得文件或文件夹的所有权。文件的所有者总能改变这个文件的权限,不管文件或文件夹受到何种权限的保护。 |
实际的权限配置中,由于继承、权限选项以及特殊组的存在,作用域的效果并不是绝对的。如下则为在高级权限设置中,会出现的一些权限选项:
| 选项名称 |
选项描述 |
|---|---|
|
包括可从该对象的父项继承的权限 或 禁用继承* */启用继承** |
以当前对象为子对象,在子对象及其父对象之间建立继承关系,并用父对象权限设置替换子对象权限设置。去除该选项的勾选可以阻断继承关系。 |
|
使用可从此对象继承的权限替换所有子对象权限 |
以当前对象为父对象,在父对象及其子对象之间建立继承关系,并用父对象权限设置替换子对象权限设置。 |
|
仅将这些权限应用到此容器中的对象和* */或容器** |
作用域仅及于对象下的第一层文件/文件夹而不涉及更深层次的文件/文件夹。 |
|
替换子容器和对象的所有者 |
将对象中的所有文件/文件夹的所有者变更为当前对象的所有者。 |
使用法则
为了更好地应用和制度NTFS权限在设置的时候将产生的效果,我们需要了解一些NTFS权限的法则。
1、 权限的积累,即权限最大法则
用户对资源的有效权限是分配给该个人用户账户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限,该用户所属的组又对该文件具有“写入”的权限,那么该用户就对该文件同时具有“读取”和“写入”的权限。当有拒绝权限时权限最大法则无效。
2、 文件权限高于文件夹权限
意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权,当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时,用户对文件的最终权限是用户被赋予访问该文件的权限。假设你能够访问一个文件,那么即使该文件位于你不具有访问权限的文件夹中,你也可以进行访问(前提是该文件没有继承它所属的文件夹的权限)。
3、 拒绝权限高于其他权限
拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。
4、 指定的权限高于继承的权限
即一个对象上对某用户/组的明确权限设置优先于继承而来的对该用户/组的权限设置。例如本来该用户继承自父文件夹有对其下子文件夹或文件有“拒绝”的权限,但是管理员在该子文件夹或文件上授予该用户有“允许”的权限,则该用户对该子文件夹或文件拥有“允许”的权限。结合继承、指定和拒绝、允许的条件,有如下的规则:指定拒绝 > 指定允许 > 继承拒绝 > 继承允许。
/* 在分配的时候不必自己手动计算权限结果,而可以使用“有效权限”选项卡来自动计算某一用户/组的有效权限。但需要注意的是它并不会考虑UAC对权限分配的影响。 */
UNC路径
当文件系统中共享以后所访问的路径。
访问位置:
开始 > 运行;
资源管理器的地址栏;
IE浏览器的地址栏;
指定UNC路径直接访问:
\\ 服务器名\共享名
\\ 服务器IP\共享名