第5章 NTFS权限
| 任务一 | 利用AGDLP规则设置NTFS权限 |
| 作业内容 | 1. 创建2个全局组,1个本地域组 2. 每个全局组中有3个域用户帐户。 3. 将2个全局组加入本地域组 4. 给本地域组设置NTFS权限 |
| 作业目的 | 通过这个作业能够达到以下目的: 1. 能够熟练地运用VMWARE虚拟机。 2. 能够在DC上创建域用户帐户和域组 3. 理解域用户帐户的作用 4. 掌握域组的创建方法 5. 理解AGDLP规则和使用方法 |
| 作业所需工具 | Vmware虚拟机,2个已经安装操作系统的虚拟机,其中一个PC为DC |
| 试验拓扑 |
|
| 试验思路 | 1. 使用域administrator在DC上登录,把域功能级别提升到2003. 2. 在DC上使用“Active Directory用户和计算机”创建6个域用户帐户,分别为xz1、xz2、rs1、rs2。 3. 在DC上创建2个全局安全组,分别为xingzheng和renshi。 4. 将xz1、xz2加入到全局组xingzheng中,将rs1、rs2加入到全局组renshi中。 5. 在DC上创建1个本地域安全组bdz。 6. 将两个全局组加入到本地组bdz中。 7. 使用域administrator帐户登录到成员服务器PC2上。 8. 在成员服务器PC2上创建一个文件夹doc,删除文件夹doc继承的权限。 9. 添加本地域组bdz的NTFS权限为读取和写入。 10. 使用域用户帐户xz1在成员服务器PC2上登录 11. 检验能否打开文件夹doc,能否在文件夹doc中创建文本文件,能否在文本文件中添加内容。 |
| 作业要求 | 1. 用已经建好的虚拟机,以便节约时间。 2. 整理好试验思路 3. 把试验中的步骤图截下来 4. 用word把试验步骤写下来 5. 有清晰的步骤 6. 有截图注释和说明 7. 试验报告简洁明确 |
| 提交作业 | 1) 要求用自习课时间完成 2) 作业内容不得抄袭 3) 作业完成后提交给指定的学员 4) 7月24日上午上课前提交 |
试 验 报 告
试验拓扑图:
试验步骤:
步骤1 :使用域administrator在DC上登录,把域功能级别提升到2003.
步骤2 :在DC上使用“Active Directory用户和计算机”创建6个域用户帐户,分别为xz1、xz2、rs1、rs2。
![clip_image015[1]](http://yege2010.blog.51cto.com/attachment/201005/22/1391202_12745192504xqg.jpg "clip_image015[1]")
![clip_image015[2]](http://yege2010.blog.51cto.com/attachment/201005/22/1391202_12745192642PUt.jpg "clip_image015[2]")
![clip_image015[3]](http://yege2010.blog.51cto.com/attachment/201005/22/1391202_127451928290Cr.jpg "clip_image015[3]")
![clip_image015[4]](http://yege2010.blog.51cto.com/attachment/201005/22/1391202_1274519295eLqb.jpg "clip_image015[4]")
![clip_image015[5]](http://yege2010.blog.51cto.com/attachment/201005/22/1391202_1274519307RtVt.jpg "clip_image015[5]")
步骤3 :在DC上创建2个全局安全组,分别为xingzheng和renshi。
步骤4 :将xz1、xz2加入到全局组xingzheng中,将rs1、rs2加入到全局组renshi中。
步骤5 :在DC上创建1个本地域安全组bdz。
步骤6 :将两个全局组加入到本地组bdz中。
步骤7 :使用域administrator帐户登录到成员服务器PC2上。
步骤8 :在成员服务器PC2上创建一个文件夹doc,删除文件夹doc继承的权限。
步骤9 :添加本地域组bdz的NTFS权限为读取和写入。
步骤10 :使用域用户帐户xz1在成员服务器PC2上登录
步骤11 :检验能否打开文件夹doc,能否在文件夹doc中创建文本文件,能否在文本文件中添加内容。
步骤1 :把PC1安装成DC,然后把PC2加入到域“benet.com”中。
(此步骤的截图可以省略)
步骤2 :在DC上建立一个域用户帐户“a”,密码为“abc123$”。
1) 在PC1上建立域用户帐户
步骤3 :以域用户帐户a登录到成员服务器PC2上。
步骤4 :在PC2上建立一个文件夹“doc”。
步骤5 :在PC2上清除文件夹“doc”的所有权
1) 右击文件夹“doc”----“属性”-----“安全”----“高级”----“权限”,清除“允许父项的继承权限传播到该对象和所有子对象,包括那些在此明确定义的项目”选项,按提示框删除从上级继承的权限,单击“确定”按钮。
2) 在文件夹“doc”----“属性”-----“安全”选项卡中,添加域帐户“a”的完全控制权限。
(右击文件夹“doc”----“属性”-----“安全”,在a的权限列表中,选择“完全控制”选项。)
步骤6 :以域administrator帐户重新登录到成员服务器PC2上,检查看能否对文件夹“doc”进行权限设置。
1) 使用域administrator帐户登录成员服务器PC2
2) 双击文件夹“doc”,检验能否打开。
3) 右击文件夹“doc” ----“属性”-----“安全”,检验能否看到访问控制列表的内容,能否添加NTFS权限。
步骤7 :设置域administrator帐户对文件夹“doc”的NTFS权限
1) 单击“高级”----“所有者”,将所有者更改为域administrator,单击“确定”按钮。
2) 重新打开文件夹“doc”的“安全”选项卡,检验能否看到访问控制列表的内容。
3) 添加域administrator帐户的完全控制权限。
步骤8 :检查域administrator帐户对文件夹“doc”的操作权限。
1) 双击文件夹“doc”,检验能否打开。
2) 在文件夹“doc”下建立一个文本文件,看是否能够建立。
(总结:通过以上试验,要理解所有权的作用。)