○Windows 2000網路與作業系統基本概念(三)○
Windows 2000網路的安全性
大綱
為了防範未經授權進入網路資源,每位使用者登入網路時都需要驗證身份。每個使用者都需要一個有效的帳戶名稱與密碼。
帳戶名稱可驗證網域內每個惟一使用者(unique user)。密碼可保護帳戶使用的隱密性,只有使用者知道帳戶使用的密碼。
使用者的身份驗證完畢,使用者即獲得進入網路電腦的授權。
為了便利網路管理,你可以將使用者分成群組,並賦予這些群組權限進入網路資源。你也可以給予使用者適當的權利,以控制使用者在網路上執行活動的種類。
本章的重點是:
- 詳述不同型態的使用者帳戶的功能與目的。
- 詳述不同型態的群組的功能與目的。
- 驗證一般使用者權利與每個內建群組的權利
- 詳述檔案、資料夾與分享資料夾的權限。
○使用者帳戶(User Accounts)
使用者帳戶讓個別的使用者進入網路資源。使用者帳戶是由網路認可的,使用者的惟一證件組。
管理員為需要經常使用網路的每個人建立使用者帳戶。管理員也為每個使用者帳戶指定並維護使用者名稱與密碼。
Windows 2000提供兩種型態的使用者帳戶:本機使用者帳戶與網域使用者帳戶。
本機使用者帳戶的帳戶,是建立在本機安全性資料庫(local security database)裡,它讓使用者能登入特定的電腦並進入該電腦的資源。
這個情況通常發生在工作群組(workgroup)。如果這部電腦是工作群組的成員,帳戶會儲存在本機電腦裡。使用者只能利用這個帳戶進入該部電腦的資源。
使用者可利用網域使用者帳戶,登入網域並進入網路資源。有網域帳戶的使用者可進入網域內所有的資源。
在網域內,你可能同時擁有網域使用者帳戶與本機電腦的使用者帳戶。管理員可建立這些帳戶,稱為使用者定義帳戶(user-defined accounts)。
使用者的帳戶可以儲存在這兩個地方:本機安全性資料庫(如果這部電腦不是網域控制站),以及互動目錄(Active Directory)的目錄服務裡。
除了使用者定義帳戶之外,Windows 2000還提供兩種預設的內建使用者帳戶(built-in user accounts)。
這些帳戶可用來執行管理工作,或可暫時性的進入網路資源。本機電腦與網域都有內建使用者帳戶。
○本機使用者帳戶(Local User Accounts)
使用者需要有本機使用者帳戶,才能進入本機電腦取得資源。本機使用者帳戶有兩種:使用者定義帳戶與內建帳戶。
當建立一個帳戶,它只會存在該部電腦的本機安全性資料庫裡。
使用者定義本機使用者帳戶(User-defined Local User Accounts)
管理員建立使用者定義本機使用者帳戶,讓使用者只能進入他的(或她的)使用者帳戶存在的該部電腦。
你可以在會員伺服器與執行Windows 2000 Professional的電腦上建立本機使用者帳戶,不能在網域控制站的電腦上。
本機使用者帳戶只使用在可獨立作業的電腦上,或是小型網路環境的電腦上,如工作群組。
你可能在本機電腦上有個帳戶,在網域上有另一個帳戶;然而,使用者一次只能使用一個帳戶。
當登入電腦時,使用者必須決定要使用哪一個帳戶。
內建(本機)使用者帳戶(Built-in (Local) User Accounts)
除了使用者定義帳戶之外,Windows 2000還提供兩種內建使用者帳戶,幫助管理員執行管理工作,並提供使用者得以暫時進入本機電腦。
在安裝時,Windows 2000會自動建立兩個內建使用者帳戶──管理員與來賓。
管理員(Administrator)
管理員使用內建管理員使用者帳戶,在新安裝Windows 2000的電腦上為他們自己建立一個帳戶。
這個內建管理員使用者帳戶永遠都無法刪除或失效,以確保管理員不會被電腦鎖住。
這個帳戶需要密碼,由管理員在安裝時設定。
來賓(Guest)
沒有電腦的使用者帳戶的使用者,可以來賓帳戶登入。使用者的帳戶失效時也可以使用來賓帳戶。
若使用者以來賓登入,管理員必須先啟用來賓帳戶,因為它的預設值是失效的。這個帳戶是不需要密碼的。
本機使用者與群組公用程式(Local Users and Groups Utility)
Windows 2000提供本機使用者與群組公用程式,讓管理員在本機電腦上管理使用者帳戶。
本機使用者與群組公用程式,可在執行Windows 2000 Professional的電腦上,與執行Windows 2000 Server的會員伺服器上找到。
你可使用本機使用者與群組公用程式執行下列的工作:
- 建立新的使用者帳戶,或刪除現存的使用者帳戶。
- 修改使用者帳戶,改變使用者名稱或其他的帳戶資訊,如密碼或描述。
- 為使用者帳戶重設密碼。
- 啟用使用者帳戶或讓它失效。
○網域使用者帳戶(Domain User Accounts)
本機使用者帳戶讓使用者登入本機電腦進入本機資源。然而,在網路的環境裡,使用者需要取得網路上任何位置的資源。
要進入這些資源,你需要網域使用者帳戶。當網域使用者帳戶建立時,它會存在互動目錄(Active Directory)裡,且可從網域的任何地方登入。
相反的,工作群組的使用者帳戶僅存在本機電腦裡。
使用者定義網域帳戶(User-defined Domain Accounts)
使用者定義網域帳戶是由管理員建立,讓使用者登入網域取得網域內任何地方的資源。使用者定義網域帳戶建立在網域控制站裡。
網域控制站會將新的使用者帳戶資訊覆寫到網域內所有的網域控制站。使用者在登入時,要提供使用者名稱與密碼,並確認帳戶所存在的網域。
第一個運作的網域控制站會利用這個資訊驗證使用者帳戶。
內建(網域)使用者帳戶(Built-in (Domain) User Accounts)
除了讓管理員定義新的使用者帳戶之外,Windows 2000還提供兩個內建網域使用者帳戶──管理員與來賓。
這些內建使用者帳戶類似於工作群組的本機電腦裡的內建使用者帳戶。主要的差異是這些使用者帳戶能進入整個網域。
管理員(Administrator)
內建管理員帳戶管理所有的電腦與網域設定。管理員可利用這個帳戶建立並修改使用者帳戶與群組、管理安全性、管理印表機、以及賦予使用者帳戶權限。
你可重新命名這個帳戶,但是你不能刪除它。
來賓(Guest)
內建來賓帳戶讓臨時需要的使用者進入網路資源。例如,在低安全性環境裡,需要暫時進入網路資源的員工可利用來賓帳戶。這個帳戶的預設值是失效的。
互動目錄使用者與電腦公用程式(Active Directory Users and Computers Utility)
Windows 2000提供互動目錄使用者與電腦公用程式,讓管理員在互動目錄裡管理使用者帳戶。
這個公用程式會安裝在設定為網域控制站的電腦上。要使用互動目錄使用者與電腦公用程式,你必須登入Windows 2000網域(不是本機電腦),並擁有足夠的權限以執行特定的操作。
你可利用互動目錄使用者與電腦公用程式去執行下列網域中的工作:
- 新增或刪除使用者帳戶。
- 啟用使用者帳戶,或讓它失效。
- 尋找或移動使用者帳戶。
- 重新命名使用者帳戶。
- 重設使用者密碼。
○群組(Groups)
群組是使用者帳戶的集合體。你可以同時將登入權限賦予工作群組中的所有成員,如此就不必個別地賦予權限。
在你將登入權限賦予群組後,你只要新增適當的使用者到群組即可。你可使用Windows 2000所提供的預設群組或內建群組,或是依照你的企業的需求建立新的群組。
群組可以只存在於本機電腦裡、單一網域的電腦裡、或是跨許多網域的電腦裡。
本機電腦裡的群組(Groups on a Local Computer)
在本機電腦(非網域控制站電腦)裡,你可建立本機群組在本機安全性資料庫裡。非網域控制站的電腦裡的群組,只能夠提供本機電腦的安全性與登入。
例如,要將本機管理權限賦予使用者,你可利用本機使用者與群組公用程式,將使用者新增到該部電腦的管理員群組中。
網域控制站裡的群組(Groups on a Domain Controller)
在網域控制站中,你在互動目錄裡建立群組。存在於網域控制站裡的群組,可包括整個網域內的使用者,或是跨許多網域的使用者。
例如,要將管理特權賦予使用者時,你可利用互動目錄使用者與電腦公用程式,將他們新增到網域控制站的管理員群組中。
○使用者權利(User Rights)
權利適用於整個系統,而不是特定的資源,影響遍及網域或電腦的所有運作。所有進入網路資源的使用者,都需要對於他們所使用的電腦擁有一些一般性的權利,
如登入電腦的權利,或是更改電腦的系統時間的權利。管理員可將特定的一般性權利賦予使用者群組或個別的使用者。另外,
Windows 2000還將某些預設的權利賦予內建群組。使用者權利決定哪些使用者可在網域內或電腦上執行特定的工作。
○一般使用者權利(Common User Rights)
權利是授權給進入網路或電腦的使用者在系統裡執行某些動作。如果使用者沒有適當的權利執行動作,他在執行時就會遇到阻礙。
使用者權利適用於個別使用者與群組。然而,使用者權利最好是以群組基礎作管理。如此可確保以群組成員登入的使用者自動取得該群組的權利。
Windows 2000允許管理員將權利賦予使用者與使用者群組。一般使用者權利包括在本地登入使用者權利、更改系統時間使用者權利、關閉系統使用者權利、以及從網路進入這部電腦使用者權利。
- 在本地登入
這個權利允許使用者登入本機電腦,或是從本機電腦登入網域。
- 更改系統時間
這個權利允許使用者為電腦內的時鐘設時間。
- 關閉系統
這個權利允許使用者關閉本機電腦。
- 從網路進入這部電腦
這個權利允許使用者從網路上任何其他的電腦進入執行Windows 2000的電腦。
○內建群組指定的權利(Rights Assigned to Built-in Groups)
Windows 2000指定某些預設權利給內建群組,如管理員、使用者、權力使用者與備份操作員。
管理員(Administrator)
管理員內建群組存在於網域控制站的電腦上,也存在於非網域控制站的電腦上。管理員群組裡的成員能完全控制電腦或網域。
管理員群組是唯一自動取得系統中所有的內建權利的內建群組。
使用者(Users)
使用者內建群組存在於網域控制站的電腦上,也存在於非網域控制站的電腦上。使用者群組的成員只能執行那些曾被賦予特定權利的工作,
如執行應用程式、使用本機與網路印表機、關閉與鎖定工作站。使用者群組的成員可建立本機群組並修改他們,但他們不能分享資料夾或建立本機印表機。
權力使用者(Power Users)
權力使用者內建群組存在於非網域控制站的電腦上。權力使用者群組的成員能執行特定的管理功能,但他們沒有獲得完全控制系統的權利。
權力使用者群組的權利包括:
- 在本機電腦上建立使用者帳戶與群組。
- 修改並刪除已建立之帳戶。
- 分享資源。
然而,權力使用者群組不可以:
備份操作員(Backup Operators)
備份操作員內建群組存在於網域控制站的電腦上,也存在於非網域控制站的電腦上。備份操作員群組的成員可以備份並還原電腦上的檔案,
不理會保護那些檔案的權限。備份操作員群組的成員也可以登入電腦並關閉電腦,但他們不可以更改安全性設定。
○權限
當你在執行Windows 2000的電腦上提供進入檔案資源時,你可控制誰能進入資源,以及指定適當的權限。
權限定義指定的進入型態給使用者或群組以取得任何資源。例如,企業的人力資源(HR, human resources)部門的使用者,
可能需要修改該企業的HR政策文件。管理員必須指定適當的權限給HR部門的成員,讓他們方便處理。
為了對個別檔案與資料夾指定權限,Windows 2000使用NTFS檔案系統。你也可以控制賦予使用者權限,讓他們進入共用資料夾與網路印表機。
○權限(Permissions)簡介
- 物件權限
- 賦予物件的權限
- 物件是個實體,如檔案、資料夾、共用資料夾或印表機
物件權限(Object Permissions)
一個物件定義為一個實體,如一個檔案、資料夾、共用資料夾或印表機。指定給使用者物件的權限稱為物件權限。
你可以在互動目錄(Active Directory)或是在本機電腦上指定物件的權限。在指定權限時,最好是將權限指定給群組的使用者,而不是給個別使用者。
以這種方式使用群組,能讓管理物件權限的工作更簡便。
○NTFS檔案權限
NTFS檔案權限控制個別檔案的存取,指定哪些使用者可進入它們,以及使用者進入的種類。
以下表單是標準NTFS檔案權限,以及每個權限允許的型態,從最嚴格的權限到最寬鬆的權限。
NTFS檔案權限
- 讀──讀檔案,並檢視檔案屬性、所有權與權限。
- 寫──覆寫檔案、更改檔案屬性、並檢視檔案所有權與權限。
- 讀及執行──執行應用程式,並執行讀權限所允許的動作。
- 修改──修改並刪除檔案,以及執行寫權限與讀及執行權限所允許的動作。
- 完全控制──更改權限、取得所有權、以及執行所有其他NTFS檔案權限所允許的動作。
驗證檔案權限
管理員為檔案指定權限,在該檔案的內容對話方塊裡的安全性標籤。你也可在這個標籤上檢視這個檔案目前的權限。
進入安全性標籤
- 在瀏覽器上,右點檔案。
- 按內容。
- 在內容對話方塊裡,按安全性標籤。
安全性標籤裡有兩個部分──名稱與權限。名稱部分顯示目前有檔案權限的使用者或群組表單。權限部分顯示使用者或群組被賦予或拒絕的權限表單。
通常你會選擇要賦予的權限。然而,有些狀況選擇拒絕的權限可能較簡便。例如,雖然你允許每個人存取檔案,
你可能必須禁止任何連線的使用者進入來賓帳戶。要這麼做,你得拒絕存取來賓帳戶的權限。
○NTFS資料夾權限
NTFS資料夾權限控制使用者進入資料夾,以及資料夾裡的檔案與次檔案夾。如果在一個允許權限的資料夾裡含有拒絕權限的檔案時,
這個拒絕屬性將優先於資料夾所適用的允許權限。
以下表單是標準NTFS資料夾權限,以及每個權限允許的型態,從最嚴格的權限到最寬鬆的權限。
NTFS資料夾權限
- 讀──觀看資料夾及其內的檔案與次檔案夾,並檢視資料夾所有權、權限與屬性,如唯讀、隱藏、待備份與系統。
- 寫──建立新資料夾及其內的檔案與次檔案夾、更改資料夾屬性、並檢視資料夾所有權與權限。
- 列資料夾內容表單──檢視資料夾內的檔案與次檔案夾名稱。
- 讀及執行──在資料夾之間切換以取得其他的檔案與次檔案夾,並執行讀權限與列資料夾內容表單所允許的動作。
- 修改──刪除資料夾,執行寫權限與讀及執行權限所允許的動作。
- 完全控制──更改權限、取得所有權、以及執行所有其他NTFS資料夾權限所允許的動作。
驗證資料夾權限
管理員為資料夾指定權限,在該資料夾的內容對話方塊裡的安全性標籤。你也可在這個標籤上檢視這個資料夾目前的權限。
進入安全性標籤
- 在瀏覽器上,右點資料夾。
- 按內容。
- 在內容對話方塊裡,按安全性標籤。
安全性標籤裡有兩個部分──名稱與權限。名稱部分顯示目前有資料夾權限的使用者或群組表單。權限部分顯示使用者或群組被賦予或拒絕的權限表單。
○共用資料夾權限
要讓許多使用者進入相同的資源,如資料夾,你必須共用這個資料夾。共用資料夾是讓許多使用者能透過網路同時進入這個資料夾。
當資料夾共用後,使用者如果被賦予適當的權限,就可進入這資料夾裡的所有檔案與次檔案夾。
你只能讓資料夾共用,而不能是個別的檔案。如果使用者都需要進入這個相同的檔案,你必須先將這個檔案放在一個資料夾裡,再讓這個資料夾共用。
共用資料夾(Shared Folders)
共用資料夾通常會放在檔案伺服器裡,但你也可以放在網路上任何電腦裡。你可依據目錄或功能將檔案儲存在不同的共用資料夾裡。
例如,你可將共用資料檔案放在一個共用資料夾裡,將共用應用程式檔案放在另一個共用資料夾裡。
以下是共用資料夾的一些特癥:
- 共用資料夾以一隻手捧著資料夾的圖案顯示在微軟的瀏覽器裡。
- 指定權限只對整個資料夾,而不是資料夾內個別的檔案或次檔案夾。
- 當資料夾共用時,預設權限是將完全控制權限指定給每一個群組。
- 當共用資料夾新增一個使用者時,預設該使用者接受的是讀權限。
- 當共用資料夾拷貝副本時,原來的共用資料夾依然共用,但副本不能共用。當共用資料夾被移動到另一個位置時,這資料夾就不再共用。
你能指定權限控制進入共用資料夾的層級。以下列出共用資料夾的權限,以及它們讓使用者執行的工作。
共用資料夾權限
- 讀──顯示資料夾名稱、檔案名稱、檔案資料與屬性;執行應用程式檔案;在共用資料夾內更改檔案夾。
- 更改──建立檔案夾、新增檔案到檔案夾、更改檔案裡的資料、附加資料到檔案裡、更改檔案屬性、刪除檔案夾與檔案、以及執行讀權限所允許的動作。
- 完全控制──更改檔案權限、取得檔案所有權、以及執行更改權限允許的所有工作。
附註 可賦予或拒絕共用資料夾權限給使用者。要拒絕進入共用資料夾,只要拒絕完全控制權限即可。
驗證共用資料夾權限
建立共用資料夾後,管理員可從共用資料夾的內容對話方塊,將共用資料夾的權限給使用者與群組。
你也可在這個對話方塊檢視目前的共用資料夾權限。
驗證賦予使用者與群組的共用資料夾權限
- 在瀏覽器中,右點共用資料夾。
- 按內容。
- 在內容對話方塊內的共用標籤,按權限。
- 選擇你要檢視權限的使用者或群組。
○印表機權限
除了指定共用資料夾的權限之外,管理員也可需要指定印表機的權限。這些權限是指定給非管理員的使用者。
印表機權限控制使用者能執行的列印動作型態,也可用來限制使用者進入某些有安全性顧慮的印表機。
印表機權限的層級
Windows 2000提供三種印表機權限層級──列印、管理文件與管理印表機。
列印
列印權限允許與印表機連線。它也允許列印以及取消你自己的文件。
管理文件
管理文件權限允許與印表機連線。它也允許暫停、繼續、重新啟動以及取消所有文件的列印。。
管理印表機
管理印表機權限允許你執行列印與管理文件權限所允許的一切工作。另外,它還允許你讓印表機共用、更改印表機內容、刪除印表機、以及更改印表機權限。
驗證印表機權限
你可將印表機權限給個別使用者或群組。Windows 2000預設賦予內建的每一個群組每個印表機的印表機權限,允許所有的使用者將文件傳送到每部印表機上。
然而,如果需要限制特定的使用者或群組進入印表機,管理員可更改這些權限。例如,管理人員可能需要限制行銷部門的使用者進入彩色印表機。
在這種情況時,可移除預設的每一個群組權限,將行銷部門排除於賦予權限之外。
檢視目前的印表機權限
- 在開始功能表,指向尋找,然後再按印表機...顯示尋找印表機對話方塊。
- 在印表機標籤的名稱方塊裡,輸入印表機名稱,然後再按立即尋找。
- 右點印表機名稱,然後再按內容。
- 在內容對話方塊裡,按安全性標籤。你可在這裡檢視目前使用者與群組的印表機權限。
|