精华内容
下载资源
问答
  • 修改权限和完全控制
    2021-06-10 10:58:48

    为文件添加完全控制权限:

         /// <summary>
        /// 为文件添加users,everyone用户组的完全控制权限
        /// </summary>
        /// <param name="filePath"></param>
        static void AddSecurityControll2File(string filePath)
        {
    
            //获取文件信息
            FileInfo fileInfo = new FileInfo(filePath);
            //获得该文件的访问权限
            System.Security.AccessControl.FileSecurity fileSecurity = fileInfo.GetAccessControl();
            //添加ereryone用户组的访问权限规则 完全控制权限
            fileSecurity.AddAccessRule(new FileSystemAccessRule("Everyone", FileSystemRights.FullControl, AccessControlType.Allow));
            //添加Users用户组的访问权限规则 完全控制权限
            fileSecurity.AddAccessRule(new FileSystemAccessRule("Users", FileSystemRights.FullControl, AccessControlType.Allow));
            //设置访问权限
            fileInfo.SetAccessControl(fileSecurity);
        }
    

    为文件夹添加完全控制权限

        /// <summary>
        ///为文件夹添加users,everyone用户组的完全控制权限
        /// </summary>
        /// <param name="dirPath"></param>
        static void AddSecurityControll2Folder(string dirPath)
        {
            //获取文件夹信息
            DirectoryInfo dir = new DirectoryInfo(dirPath);
            //获得该文件夹的所有访问权限
            System.Security.AccessControl.DirectorySecurity dirSecurity = dir.GetAccessControl(AccessControlSections.All);
            //设定文件ACL继承
            InheritanceFlags inherits = InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit;
            //添加ereryone用户组的访问权限规则 完全控制权限
            FileSystemAccessRule everyoneFileSystemAccessRule = new FileSystemAccessRule("Everyone", FileSystemRights.FullControl, inherits, PropagationFlags.None, AccessControlType.Allow);
            //添加Users用户组的访问权限规则 完全控制权限
            FileSystemAccessRule usersFileSystemAccessRule = new FileSystemAccessRule("Users", FileSystemRights.FullControl, inherits, PropagationFlags.None, AccessControlType.Allow);
            bool isModified = false;
            dirSecurity.ModifyAccessRule(AccessControlModification.Add, everyoneFileSystemAccessRule, out isModified);
            dirSecurity.ModifyAccessRule(AccessControlModification.Add, usersFileSystemAccessRule, out isModified);
            //设置访问权限
            dir.SetAccessControl(dirSecurity);
        }
    

    转自:http://www.cnblogs.com/wolf-sun/p/4591734.html

    更多相关内容
  • 用C#修改文件完全控制权限,可以实现对文件删除,修改等各种操作
  • 2)使用cacls命令,当前目录及其子目录下所有nodel.txt文件,设置权限everyone完全控制,其他权限删除; 3)使用attrib命令,当前目录及其子目录下所有nodel.txt文件,增加系统、隐藏、只读属性;
  • c#设置文件夹权限,可单独设置文件夹,只读,写入,执行等权限
  • 根据输入的用户名,新建文件夹,并将文件夹共享,权限设置为只允许此用户访问并修改。 需要cacls subinacl 程序。
  • 在windows系统中,c盘中的目录权限比较高,有时制作安装包的时候,默认的安装路径就是在c盘,但对运行可执行文件,有时候需要为其添加完全控制权限,或者读写权限。这里将当时的解决方案记录一下。 代码实现 在C盘...

    写在前面

    在windows系统中,c盘中的目录权限比较高,有时制作安装包的时候,默认的安装路径就是在c盘,但对运行可执行文件,有时候需要为其添加完全控制权限,或者读写权限。这里将当时的解决方案记录一下。

    代码实现

    在C盘添加一个文件夹,并在文件夹内部,新建一个文本文件,如图所示:

    该文件夹下,新建一个文本文件,如图所示:

    为文件添加完全控制权限:

    复制代码

            /// <summary>
            /// 为文件添加users,everyone用户组的完全控制权限
            /// </summary>
            /// <param name="filePath"></param>
            static void AddSecurityControll2File(string filePath)
            {
    
                //获取文件信息
                FileInfo fileInfo = new FileInfo(filePath);
                //获得该文件的访问权限
                System.Security.AccessControl.FileSecurity fileSecurity = fileInfo.GetAccessControl();
                //添加ereryone用户组的访问权限规则 完全控制权限
                fileSecurity.AddAccessRule(new FileSystemAccessRule("Everyone", FileSystemRights.FullControl, AccessControlType.Allow));
                //添加Users用户组的访问权限规则 完全控制权限
                fileSecurity.AddAccessRule(new FileSystemAccessRule("Users", FileSystemRights.FullControl, AccessControlType.Allow));
                //设置访问权限
                fileInfo.SetAccessControl(fileSecurity);
            }

    复制代码

    为文件夹添加完全控制权限

    复制代码

            /// <summary>
            ///为文件夹添加users,everyone用户组的完全控制权限
            /// </summary>
            /// <param name="dirPath"></param>
            static void AddSecurityControll2Folder(string dirPath)
            {
                //获取文件夹信息
                DirectoryInfo dir = new DirectoryInfo(dirPath);
                //获得该文件夹的所有访问权限
                System.Security.AccessControl.DirectorySecurity dirSecurity = dir.GetAccessControl(AccessControlSections.All);
                //设定文件ACL继承
                InheritanceFlags inherits = InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit;
                //添加ereryone用户组的访问权限规则 完全控制权限
                FileSystemAccessRule everyoneFileSystemAccessRule = new FileSystemAccessRule("Everyone", FileSystemRights.FullControl, inherits, PropagationFlags.None, AccessControlType.Allow);
                //添加Users用户组的访问权限规则 完全控制权限
                FileSystemAccessRule usersFileSystemAccessRule = new FileSystemAccessRule("Users", FileSystemRights.FullControl, inherits, PropagationFlags.None, AccessControlType.Allow);
                bool isModified = false;
                dirSecurity.ModifyAccessRule(AccessControlModification.Add, everyoneFileSystemAccessRule, out isModified);
                dirSecurity.ModifyAccessRule(AccessControlModification.Add, usersFileSystemAccessRule, out isModified);
                //设置访问权限
                dir.SetAccessControl(dirSecurity);
            }

    复制代码

    总结

    在操作文件的时候,还是比较简单的,不过文件夹就比较复杂了,涉及是否要继承的问题。

    展开全文
  • 权限管理:TIP 1:如果要用cp拷贝/etc/fstab文件到 /root/dir目录内,最起码需要文件目录各有什么权限才能够拷贝过去?答:cp命令需要有执行权限,fstab文件要有r读的权限,dir目录要有wx读执行的权限TIP 2:如果...

    权限管理:

    TIP 1:

    如果要用cp拷贝/etc/fstab文件到 /root/dir目录内,最起码需要文件和目录各有什么权限才能够拷贝过去?

    答:cp命令需要有执行权限,fstab文件要有r读的权限,dir目录要有wx读和执行的权限

    TIP 2:

    如果用户jincheng 对目录 Music 只有 r 权限,那么就只能 ls dir/内的文件名称而已,具体的权限无法使用 ls -l 查看,也无法 cd 进入该目录。

    如果该用户对目录 Music 只有 x 权限,即可以 cd 进入该目录,事先知道内部有文件且知道文件名称的情况下,可以 ls -l Music/ct1.conf,查看该文件的权限,若对该ct1.conf有读权限,也可以 cat Music/ct1.conf 文件内容。

    如果该用户对目录 Music 只有 w 权限,无法进行任何操作,起码需要加上 x 权限才可以在该文件夹内touch rm cat,如果知道内部文件名称还可 ls -l Filename。

    TIP3

    chmod -R g+rwX /testdir X 权限位 针对文件夹增加 x 权限,-R递归文件夹内的文件夹增加 x 权限,如果递归文件夹内的文件有 x 权限,则ugo全部加上 x 权限。

    TIP4

    创建一个用户jincheng,删除其家目录后,如何重新创建其家目录?

    首先考虑tom创建用户时会把/etc/skels里的文件放到jincheng家目录内,所以创建文件后要拷贝文件过去,其次jincheng对家目录及内部文件具有完全控制权限,要修改目录和内部文件权限

    拷贝/etc/skels里的文件放到jincheng

    31428ea9584a4d797098f0ba29dfd0b0.png

    更改属主属组

    b21d50463444b6d2d42a0f88e5496ba2.png

    修改权限

    58d4a55d4b0e4e3f213a3478356d536a.png

    查看内部文件

    3966e1859c268a86e855618076e33670.png

    TIP5

    现有一项目,有两人参与,分别为jincheng martin,需要在某文件夹进行文件存放,相互之间可以修改,但不可删除。要怎么做?

    1,创建devop组

    0d48123e2268667b4c6a193750999278.png

    2,将两人加入到同一附加组devop中

    8a073f05ec88e6dfa6982c7e43dfdb06.png

    3,更改programme文件夹属组为devop

    a829a4407f9a5e5b215338c776ceb2c6.png

    3,创建programme文件夹,并设置3777权限,加入SGID和Sticky位,分别为了在文件夹内创建文件为devop组和禁止用户相互删除对方文件。

    0673835de5e386c095fd76ec1869e761.png

    d0614dc3102c67051deadd4420ec8019.png

    4,测试效果,两个用户分别创建文件,martin进行修改jincheng创建的文件,显示可以写入文本,但删除时提示无权限。

    27efa383d70facdbfdb421abddfeef83.png

    TIP6

    如果这个程序一开始没有x权限,会显示位 S 否则显示为 s

    cd48965a799cf5c9e8ea76d62928ba96.png

    TIP7

    在/data目录下新建一个martin.txt的文件,对其加以chattr +i权限后,即使是root用户对此文件也无法删除,改名和更改。但可以cp该文件,但特定属性不会跟随。

    7118d624adf3af5891aca3c02d7762bb.png

    TIP8

    例如:

    /data/下有个文件martin.txt,其他人权限为只读,对jincheng设置acl,让其无法访问和此文件。

    00b20fea3a953a323304f0b4e92b9bbd.png

    删除用户额外acl

    1a3aeb1261c86ae08f1e9604d6313f21.png

    /data/下有个文件martin.txt,其他人权限为只读,对devop组设置acl,使其内部的用户martin和jincheng,可以对该文件进行读写操作,下图测试cp命令是,因为/data文件夹无写权限,所以拷贝失败。

    d5cf0a8ca8effb9aed4613caef6e0371.png

    TIP9

    如果jincheng.txt文件设置acl之后,权限后面会多一个+,默认显示的权限为acl权限,而非原始的ugo权限,可设置遮罩mask,统一更改用户对该文件的访问权限,如下列mask,修改后的情况

    f866c9ddfd4ff9649775d24b5a9c1ea0.png

    846a2ebad89068f0501e1a6d7d6d9893.png

    TIP10

    如果一个服务需要用到一个文件夹,这个用户对内部所有文件都需要设置权限,可使用acl递归设置权限,方便后续还原原本文件夹权限

    d256867111ee4951121461e897122b1c.png

    ea34a7779d42ba8e080e17738ef6232b.png

    待所有配置完成后,恢复该文件夹原有的权限

    43dc6ec21b54989103fcf06cac29a7d9.png

    TIP11

    备份acl后删除acl,最后还原acl

    1b5257ca5659dff16ae6e21c08873d23.png

    82421240a0305caa8a7d22717d140080.png

    50c93506994ee828524f67c672d05870.png

    恢复acl.txt方法有两种,

    其一

    36d7b2054318befddefe1a8a3695de07.png

    其二

    af17de7208d064973bc36543387d0cb6.png

    文件:

    r:可以使用内容查看类的命令来显示其相关内容

    w: 可以使用编辑器修改其内容

    x:可以将其发起一个进程

    目录:

    r:可以使用ls命令查看目录内容的文件信息

    w:可以创建、删除文件

    x:可以使用ls -l命令来查看目录内容的文件信息,并且可以使用cd命令切换此目录为工作目录:

    文件的权限主要针对三类对象定义:

    owner:属主 u

    group:属组 g

    other:其他 o

    每个文件针对每类访问者都定义了三种权限:

    r:readable

    w:writeable

    x:excutable

    权限位

    --- 000 0

    --x 001 1

    -w- 010 2

    -wx 011 3

    r-- 100 4

    r-x 101 5

    rw- 110 6

    rwx 111 7

    例如:

    750:rwxr-x---

    修改文件权限:chmod

    chmod [OPTION]... OCTAL-MODE FILE...

    -R:递归修改权限

    chmod [OPTION]... MODE[,MODE]... FILE...

    MODE:

    修改一类用户的所有权限:

    u=

    g=

    o=

    ug=

    a= #所有

    u=,g=

    修改一类用户某位或某些位权限

    u+

    u-

    chmod [OPTION]... --reference=RFILE FILE...

    参考RFILE文件的权限,将FILE的修改为同RFILE

    例如:

    chgrp sales testfile

    chown root:admins testfile

    chmod u+wx,g-r,o=rx file

    chmod -R g+rwX /testdir

    chmod 600 file

    chown mage testfile

    修改文件的属主和属组:仅root可用

    修改文件的属主:chown

    chown [OPTION]... [OWNER][:[GROUP]] FILE...

    用法:

    OWNER

    OWNER:GROUP

    :GROUP

    注意:命令中的冒号可用.替换

    -R:递归

    chown [OPTION]... --reference=RFILE FILE...

    修改文件的属组:chgrp

    chgrp [OPTION]... GROUP FILE...

    chgrp [OPTION]... --reference=RFILE FILE...

    文件或目录创建时的遮罩码:umask

    FILE: 666-umask

    注意:如果某类的用户的权限减得的结果中存在x权限,则将其权限+1

    DIR:777-umask

    umask:查看

    umask #:设定

    例如:

    umask 002

    umask u=rw,g=r,o=

    仅对当前用户的当前shell进程有效,若想一直生效,可修改全局设置: /etc/bashrc 用户设置:~/.bashrc

    umask –S 模式方式显示

    umask –p 输出可被调用

    特殊权限:SUID,SGID,Stikcy

    1.权限

    r,w,x

    user group other

    2.安全上下文

    前提:进程有属主和属组,文件有属主和属组

    1.任何一个可执行文件能不能启动为进程,取决于发起者对程序文件是否拥有执行权限

    2.启动进程之后,其进程的属主为发起者,属组为发起者所属的组

    3.进程访问文件时的权限,取决于进程的发起者

    4.进程的发起者,同文件的属主,则应用文件属主权限

    5.进程的发起者,属于文件的属组,则应用文件属组权限

    6.进程的发起者,属于其他用户,则应用文件其他权限

    3.SUID

    1.任何一个可执行文件能不能启动为进程,取决于发起者对程序文件是否拥有执行权限

    2.启动为进程之后,其进程的属主仍为原程序文件的属主

    权限设定:

    chmod u+s FILE...

    chmod u-s FILE...

    4.SGID

    默认情况下,用户创建文件时,其属组为此用户所属的基本组

    一旦某目录被设定了SGID,则对此目录具有写权限的用户在此目录中创建的文件所属的组为此目录的属组

    权限设定:

    chmod g+s DIR...

    chmod g-s DIR...

    5.Sticky

    对于一个多人可写的目录,如果设置了sticky,则每个用户仅能删除自己的文件

    权限设定:

    chmod o+t DIR...

    chmod o-t DIR...

    SUID SGID STICKY

    chmod 1777 /tmp/kk.txt

    几个权限位映射:

    SUID:user占据属主的执行权限位

    s:属主拥有x权限

    S:属主没有x权限

    SGID:group占据属主的执行权限位

    s:group拥有x权限

    S:group没有x权限

    sticky:other占据属主的执行权限位

    t:other拥有x权限

    T:other没有x权限

    设定文件特定属性

    chattr +i 不能删除,改名,更改

    chattr +a 只能追加内容

    lsattr 显示特定属性

    访问控制列表

    ACL:Access Control List,实现灵活的权限管理

    除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

    CentOS7 默认创建的xfs和ext4文件系统具有ACL功能

    CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加

    tune2fs –o acl /dev/sdb1

    mount –o acl /dev/sdb1 /mnt/test

    ACL生效顺序:所有者,自定义用户,自定义组,其他人

    为多用户或者组的文件和目录赋予访问权限rwx

    mount -o acl /directory

    getfacl file |directory

    setfacl -m u:wang:rwx file|directory

    setfacl -Rm g:sales:rwX directory 递归对目录设置acl权限

    setfacl -Rb directory 对目录内递归删除设置的acl权限

    setfacl -M file.acl file|directory 根据file.acl内设置的权限对file或directory设置权限

    setfacl -m g:salesgroup:rw file| directory 此选项为给salesgroup组设置权限,使属于这个组的用户对file或directory具有rw权限

    setfacl -m d:u:wang:rx directory 此选项为对目录设置acl ,其下创建的目录对wang用户继承acl权限

    setfacl -x u:wang file |directory :此选项不能完全删除文件acl权限,完全清楚所有acl,使用-b选项

    setfacl -X file.acl directory

    ACL文件上的group权限是mask 值(自定义用户,自定义组,拥有组的最大权限),而非传统的组权限

    getfacl 可看到特殊权限:flags

    通过ACL赋予目录默认x权限,目录内文件也不会继承x权限

    base ACL 不能删除

    setfacl -k dir 删除默认ACL权限

    setfacl –b file1清除所有ACL权限

    getfacl file1 | setfacl --set-file=- file2 复制file1的acl权限给file2

    mask只影响除所有者和other的之外的人和组的最大权限

    Mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission)

    用户或组的设置必须存在于mask权限设定范围内才会生效 setfacl -m mask::rx file

    --set选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能象-m一样只是添加ACL就可以

    示例:

    setfacl --set u::rw,u:wang:rw,g::r,o::- file1

    备份和恢复ACL

    主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息

    getfacl -R /tmp/dir1 > acl.txt

    setfacl -R -b /tmp/dir1

    setfacl -R --set-file=acl.txt /tmp/dir1

    setfacl --restore acl.txt

    getfacl -R /tmp/dir1

    练习

    1,在/testdir/dir里创建的新文件自动属于devop组,组apps的成员如:jinchengt能对这些新文件有读写权限,组dbs的成员如:martin只能对新文件有读权限,其它用户(不属于webs,apps,dbs)不能访问这个文件夹

    2,备份/testdir/dir里所有文件的ACL权限到/root/acl.txt中,清除/testdir/dir中所有ACL权限,最后还原ACL权限

    展开全文
  • Windows的权限(用户、组访问控制

    万次阅读 多人点赞 2022-02-04 11:05:53
    Windows的用户帐户是对计算机用户身份的识别,且本地用户帐户和密码信息是存储在本地计算机上的(即由:安全账户管理器【Security Accounts Manager】负责SAM数据库的控制和维护;SAM数据库则是位于注册表的...

    一、用户与组介绍

    1.1、用户账户

        Windows的用户帐户是对计算机用户身份的识别,且本地用户帐户和密码信息是存储在本地计算机上的(即由:安全账户管理器【Security Accounts Manager】负责SAM数据库的控制和维护;SAM数据库则是位于注册表的【计算机\HKEY_LOCAL_MACHINE\SAM\SAM】下,受到ACL保护),SAM文件在【C:\Windows\System32\config】路径下。SAM对应的进程:lsass.exe 。通过本地用户和组,可以为用户和组分配权利和权限,从而限制用户和组执行某些操作的能力。 不同的用户身份拥有不同的权限 每个用户包含一个名称和一个密码,用户帐户拥有唯一的安全标识符(Security Identifier,SID)。

    如果我们去进程管理里面杀死 lsass.exe 进程时,windows会提示遇到错误,然后关机。

    1.2、组账户

        组账户是一些用户的集合;且组内的用户自动拥有组所设置的权限。

    ①组账户是用户账户的集合,用于组织用户账户;

    ②为一个组授予权限后,则该组内的所有成员用户自动获得改组的权限;

    ③一个用户账户可以隶属于多个组,而这个用户的权限就是所有组的权限的合并集。

    二、用户账户与组账户

    2.1、用户账户

    用户账户分为两种类型:【本地用户账号】【全局用户账号(也叫:域用户账号)】

        ①本地用户账号是创建于本地计算机它的作用范围:仅仅限于创建它的计算机,控制用户对本地计算机上的资源访问)。

        ②全局用户账号创建于域服务器,可以在网络中的任意计算机上加入域后使用,使用范围是整个域网络。

    2.1.1、Windows 默认用户账户

        Windows的默认用户账户用于特殊用途,一般不用更修改其权限。

    Windows的默认用户账户
    默认用户账户含义说明
    Administrator管理员用户管理计算机(域)的内置帐户(默认禁用)
    DefaultAccount默认账户系统管理的用户帐户(默认禁用)
    defaultuser0默认用户(默认禁用)
    Guest来宾用户提供给访客人员使用(默认禁用)
    WDAGUtilityAccountWindows Defender用户系统为 Windows Defender 应用程序防护方案管理和使用的用户帐户(默认禁用)
    与windows组件关联的用户账户
    Windows组件关联的用户含义说明
    System本地系统用户为windows的核心组件访问文件等资源提供权限
    Local Service本地服务用户预设的拥有最小权限的本地账户
    Network Service网络服务用户具有运行网络服务权限的计算机账户

    拥有的权限大小:System > Administrator > User > Guest

    2.1.2、用户账户的查看、创建和提升权限 

    CMD中查看、创建用户和提升用户权限
    序号命令命令说明
    1net user查看系统账户
    2net user Cm0001 123456 /add创建用户是:Cm0001 密码是:123456的账户
    3net user Cm0001 987654修改用户Cm0001的密码为987654
    4net user Cm0001查看用户Cm0001的属性
    5net  localgroup   administrators Cm0001 /add提升用户Cm0001的权限为管理员
    6net user Cm0001 123456 /del删除用户Cm0001

    2.2、组账户

    2.2.1、Windows内置的组账户

    Windows内置的组账户
    内置的组账户名称含义说明
    Administrators管理员组

    默认情况下Administrator中的用户对计算机 / 域有不受限制的完全访问权,功能有:

    ①管理文件:Windows系统中,系统磁盘中的文件只能由Administrators组的账户进行更改

    ②更改系统安全设置:安装新的功能、更改计算机网络设置、对服务器选项进行设置,这些操作都需要Administraotors组中的用户进行操作。如果用户的权限不够,选择管理员用户进行操作。

    默认情况下,Adminiistrator账户处于禁用状态 当它处于请用状态时,Administrator账户具有对计算机的完全控制权限,并根据需要向用户分配权力和访问控制权限,该账户必须仅用于需要管理凭据任务 强烈建议Administrator设置为强密码 永远不可以从管理员组删除Adminsitrator账户,但是可以重命名或禁用该账户

    Guests来宾用户组

    提供给没有用户帐户但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。

    ①通常这个账户没有修改系统设置和进行安装程序的权限;

    ②也没有创建修改任何文档的权限,只能读取计算机系统信息和文件 在windows系统中,Guest账户被任务是不安全的权限账户。

    ③默认情况下禁用Guest用户。而且此账户默认为Guests组成员,改组允许用户登陆计算机,其他权力及任何权限都必须由管理员组中的用户成员给与Guests组

    Power Users功能用户组

    组内的用户具备比Users组更多的权利,但是比Administrators组拥有的权利更少一些,例如,可以:创建、删除、更改本地用户帐户;创建、删除、管理本地计算机内的共享文件夹与共享打印机;自定义系统设置,例如更改计算机时间、关闭计算机等。

    ①不可以更改Administrators;

    ②无法夺取文件的所有权;

    ③无法备份与还原文件;

    ④无法安装删除与删除设备驱动程序;

    ⑤无法管理安全与审核日志。

    Users标准用户组

    Users组账户权限低于Adiministraotrs组的账户,但高于Guests组账户。

    ①Users组用户可以进入“网络和共享中心”,并查看网络连接状态,但无法修改连接属性;

    ②Users组用户也无法关闭防火墙;

    ③Users组用户无法安装软件;

    ④Users组用户也无法对该用户文件夹以为的C盘进行修改。

    Remote Desktop Users远程桌面用户组

    组内的成员拥有远程桌面登录的权限;默认Administrators组内的成员都拥有远程桌面的权限 。

    Remote Desktop Users组的作用就是保障远程桌面服务的安全运行,一旦赋予Administrator组远程桌面的权限,就像是为入侵者省略了提权的步骤。相对于改变用户组权限,将需要连接远程桌面的用户分到Remote Desktop Users组中是一中更加安全的方式

        动态包含成员内置组的成员由Windows程序“自动添加” ,Windows会根据用户的状态来决定用户所属的组 ,组内的成员也随之动态变化,无法修改 。

    动态包含成员内置组
    序号动态包含成员内置组说明
    1Interactive动态包含在本地登录的用户
    2Authenticated Users任何一个利用有效的用户帐户连接的用户都属于这个组;建议在设置权限时,尽量针对Authenticated Users组进行设置,而不要针对Everone进行设置。
    3Everyone任何一个用户都属于这个组注意,如果Guest帐号被启用时,则给Everone这个组指派权限时必须小心,因为当一个没有帐户的用户连接计算机时,他被允许自动利用Guest帐户连接,但是因为Guest也是属于Everone组,所以他将具备Everyone所拥有的权限

    2.2.2、组的查看、创建和删除

    组的查看、创建和删除
    序号组命令说明
    1net localgroup查看系统的组
    2net localgroup testgroup /add新建一个testgroup的组
    3net localgroup testgroup Cm0001 /add将用户Cm0001加入testgroup组中
    4net localgroup testgroup查看testgroup组内的成员
    5net localgroup testgroup Cm0001 /del将用户Cm0001从testgroup组中移除
    6net localgroup testgroup /del删除testgroup组
    7net localgroup "remote desktop users" hack /add将用户hack加入remote desktop users组中
    8net localgroup "remote desktop users"查看remote desktop users组内的成员
    9net localgroup "remote desktop users" hack /del将用户hack从remote desktop users组中移除

     三、访问控制

        Windows的访问控制列表(Access Control List):访问权限决定着某个用户可以访问的文件和目录 对于每一个文件和文件夹,由安全描述符(SD)规定了安全数据、安全描述符决定安全设置是否对当前目录有效,或者它可以被传递给其他文件和目录。

        当一个用户试图访问一个文件或者文件夹的时候,NTFS 文件系统会检查用户使用的帐户或者账户所属的组是否在此文件或文件夹的访问控制列表(ACL)中。如果存在,则进一步检查访问控制项 ACE,然后根据控制项中的权限来判断用户最终的权限

    3.1、Windows的访问控制 

    Windows的访问控制
    访问控制名称含义说明
    Access Control List访问控制列表(ACL)访问权限决定着某个用户可以访问的文件和目录 对于每一个文件和文件夹,由安全描述符(SD)规定了安全数据 安全描述符决定安全设置是否对当前目录有效,或者它可以被传递给其他文件和目录
    Access Control environment
     
    访问控制环境(ACE)

    访问控制项ACE,是指访问控制实体,用于指定特定用户/组的访问权限,是权限控制的最小单位。

    ①完全控制:对文件或者文件夹可执行所有操作;

    ②修改:可以修改、删除文件或文件夹;

    ③读取和执行:可以读取内容,并且可以执行应用程序;

    ④列出文件夹目录:可以列出文件夹内容,此权限只针对文件夹存在,文件无此权限;

    ⑤读取:可以读取文件或者文件夹的内容;

    ⑥写入:可以创建文件或者文件夹;

    ⑦特别的权限:其他不常用的权限,比如删除权限的权限;

    New Technology File System文件系统(NTFS)

    文件夹的NTFS权限 (文件夹内的文件或文件夹会默认继承上一级目录的权限)。

    ①完全控制:对文件或者文件夹可执行所有操作

    ②修改:可以修改、删除文件或文件夹

    ③读取和执行:可以读取内容,并且可以执行应用程序

    ④读取:可以读取文件的内容

    ⑤写入:可以修改文件的内容

    ⑥特殊权限:其他不常用的权限,比如删除权限的权限

    Security Identifiers安全标识符(SID)

    SID的说明:

        安全标识符是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。

    SID的作用:

        用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。

      3.2、可以使用命令查看账号的SID

    //查看系统当前用户的SID
    whoami  /user
    //查看所有用户的SID     
    wmic useraccount get name,sid      

    3.3、用户账户控制(UAC)

        用户帐户控制(User Account Control,简称:UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。原理是:通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统的效果UAC要求用户在执行可能影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供一个确认的对话框窗口,使用户可以在执行之前对其进行验证,UAC可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改

      

    3.4、Windows访问控制的其他详细资料 

    Windows访问控制 - Windows Access Control 【其他的详细资料】https://rootclay.gitbook.io/windows-access-control/

    展开全文
  • 访问 访问控制 页面选择权限策略,自定义策略 ...因为通过界面操作的权限控制,有些问题(无权限访问控制台,得不到 Bucket 列表,文件无法上传等),所以需要自己手动修改然后添加一下这个权限策略就可以了...
  • 远程控制_Radmin_3.4_完全权限
  • linux 更改文件权限命令 chmod

    千次阅读 2021-05-12 00:40:22
    chmod -change file mode bits :更改文件权限chmod是用来改变文件或者目录权限的命令,但只有文件的属主超级用户(root)才有这种权限更改文件权限的2种方式:一、权限字母+操作符表达式二、数字方法(常用)hmod...
  • ftp服务器修改访问目录权限设置

    千次阅读 2021-08-11 01:26:08
    ftp服务器修改访问目录权限设置 内容精选换一换打开FTP服务器上的文件夹时发生错误,请检查是否有权限访问该文件夹。浏览器设置了FTP防火墙。以设置IE浏览器为例。打开IE浏览器菜单"工具 > Internet 选项"。选择...
  • 拿图片举个例子本地图片...1.右击图片属性可以看到在组或用户名处没有Everyone也没有完全控制。 2.增加权限 2.添加权限 3.权限添加完毕 二丶使用java代码修改文件权限 使用java代码修改文件权限的原理是在代码中...
  • Linux下递归如何更改文件夹子文件夹的权限,下面一起来看看吧为所有Web应用程序设置适当的文件权限都是Web主机的重要组成部分。在本教程中,您将了解如何在单个命令中递归地更改文件夹子文件夹上的文件权限。如...
  • 安全系列之权限控制模型

    千次阅读 2020-06-14 10:15:56
    前言 这期分享一下几个权限模型,在设计系统的时候一...一,DAC 自主访问控制(Discretionary Access Control) DAC是使用中最常见的权限模型,特点是每项操作都有其对应的权限,所有的权限存储在系统的ACL表中,每个
  • Spring Security控制权限

    千次阅读 2021-10-27 18:07:56
    Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可...
  • ldap 权限控制

    千次阅读 2020-01-02 16:44:13
    二:权限控制 8.1:访问控制 访问控制主要是通过在slapd.conf文件中配置来实现,具体配置解析如下: # Sample Access Control #Allow read access of root DSE # Allow self write access #Allow ...
  • mysql权限设置
  • 共享权限有三种:完全控制更改、读取 共持本地安全性。换句话说,他在同一台计算机上以不同用户名登录,对硬盘上同一文件夹可以有不同的访问权限。 注意:NTFS权限对从网络访问本机登录的用户都起作用。 3....
  • linux中修改文件或文件夹权限的命令

    千次阅读 2022-05-04 16:34:25
    linux中修改文件或文件夹权限的命令;chmod,chown,chgrp,umask命令的用法。
  • C盘NTFS 管理员失去完全控制权限,C盘变成了拒绝访问?首先解决办法:1.C盘--属性--安全。可见权限问题。2.选择高级。可以对所有者处进行修改,或者添加下方的权限条目。此处可以添加你所使用的用户。下方有完全...
  • 修改Windows更新权限

    千次阅读 2021-03-11 10:28:26
    1. 第一步 修改注册表 win+R regedit 目录:计算机\HKEY_LOCAL_...高级-主体:Administrators-添加-基本权限完全控制 第二步 打开服务 win+Rservices.msc windows Update-右键属性 修改启动类型 ...
  • C 修改文件或文件夹的权限,为指定用户 用户组添加完全控制权限
  • Windows与网络基础:NTFS权限规则本地安全策略

    千次阅读 多人点赞 2022-05-02 13:13:32
    目录一、NTFS权限规则1、权限累加2、拒绝权限3、继承权限4、特殊权限4.1、读取权限4.2、更改权限4.3、取得所有权二、本地安全策略1、本地安全策略的基本内容1.1、概念1.2、打开方式2、账户策略2.1、密码策略2.2、...
  • IIS ftp 权限控制

    千次阅读 2021-07-31 07:07:00
    而sftp则更具有安全性。ubuntu自带sftp浏览下载功能,相当方便。但工作中恰好有一台win2003 server,常年开机,具有公网地址,所以需配置IIS自带ftp或另装server-U....需求:有客户端服务器端程序需通过ft...
  • 共享权限和ntfs权限

    2020-03-12 19:37:39
    共享权限有三种:完全控制更改、读取 任务:了解共享权限 步骤:打开一共享文件夹,查看其共享权限 注意:共享权限只对从网络访问该文件夹的用户起作用,而对于本机登录的用户不起作用。 2、NTFS权限 NTFS权限是NT...
  • Cmd下修改文件访问控制权限

    千次阅读 2018-05-15 10:31:00
    一、Cacls.exe命令的使用 这是一个在Windows 2000/XP/Server 2003操作系统下都可以使用的命令,作用是显示或者修改 文件的访问控制表,在命令中可以使用通配符指定多个文件,也可以在命令中指定多个用户。...
  • 赋予test用户d:/workspace目录下所有文件的完全访问权限 Icacls d:/workspace /grant test:F 格式: Icacls ${dirName} /grant ${userName}:F 注:F为权限掩码,根据需求决定,参考下面的权限掩码表。若使用...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 236,730
精华内容 94,692
热门标签
关键字:

修改权限和完全控制