用户安全与SMB服务
实验一:
案例1:
建⽴jimi⽂件夹,并设置NTFS权限,要求a⽤户只能读取⽂件夹中的⽂件,不能在jimi⽂件夹中创建新的⽂件,b⽤户 只能在jimi⽂件夹中创建新的⽂件,不能读取⽂件
第一步:创建用户a、b
第二步建立jimi文件夹
第三步设置NTFS权限
1.右键点击进入属性
2.进入属性,点击安全进入Acl访问控制表
3.在这里可以设置访问权限,我们只希望访问用户只有管理员和a、b用户,于是点击编辑
4.进入编辑后,点击删除
5.但是出现了问题(因为有父系继承)
6.我们要禁用继承,于是退出编辑,重新进入Acl,点击高级,下面有禁用继承选项
7.点击禁用继承,重新进入编辑
8.此时就可以删除不需要用户和添加我们希望的可使用用户了
9.接下来就可以权限设置了
a用户只能读取
b用户只能创建文件
c用户有完全控制权
案例2:
⽤户a同时属于IT组与HR组,IT组对⽂件夹jimi可以读取,HR组可以对jimi⽂件夹写⼊,则a⽤户最终的权限为读取和写⼊。
第一步:建立IT组
第二步:将a用户加入到IT组中
我们可以查询一下是否添加成功
将用户加入HR组
查询是否加入成功
第三步:在jimi属性中点击安全,再点击编辑,添加HR、IT组
第四步设置IT、HR权限
IT可以读取
HR可以写入
第五步:打开a用户,进行实验,可写入,可读取
案例3:
⽤户a已离职,但xxx⽂件夹的属主是a,由于a⽤户对xxx⽂件夹做过权限修改,导致其他⽤户对xxx⽂件夹没有任何权 限,现需要管理员administrator⽤户将xxx⽂件夹重新修改权限,并成功删除xxx⽂件夹。
第一步;已经知道文件属主是a
管理员账户也无权打开
第二步:点击文件属性,再点击安全,出现下面情况
点击高级,我们又打开一个新的界面,再点击更改,然后再输入框中,输入管理员账号
退出重进后,我们可以看到,组或用户名只有a一个用户,我们这时可以添加管理员账号。
然后我们的这个文件就可以删除啦!
实验二
完成smb服务实验:
要求win7可以远程访问2019的文件共享服务!
要求student用户只能下载学习资料,但是其中的作业上传文件夹只能写入文件!
要求teacher用户可以有读,写,删等权限,但不能修改权限本身!
检查445端口在开启状态
在win7中输入\\192.168.247.135即可进入共享文件
第一步创建用户student、teacher
第二步:点击学习文件属性,再点击共享,再点击高级共享
第三步:点击权限,给最大权限就好
第四步:在文件中设置student、teacher权限
在文件上传文件中student的权限
在学习资料中student的权限
Teache的权限
第五步;验证student账户
不允许修改学习资料(会让你另存为)
允许上传文件
登录teacher用户
验证是否有修改权限,teacher用户没有修改权限本身的能力(编辑那里有管理员标签)
实验三
完成禁用win7或2019的系统隐藏共享!
第一步:打开运行,输入regedit
第二步:HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\,此时在右侧区域,
⽼系统:右键新建REG_DWORD类型的AutoShareServer 键,值为 0
或者
新系统:右键新建REG_DWORD类型的AutoShareWks然后重启,值为 0,验证,不再⾃动⽣成隐藏共享,实验成功
第三步:重启查询,成功隐藏共享
实验四
彻底关闭win7或2019的445端口/smb服务!
第一种:打开运行,输入services.msc,禁止server服务,来禁止445端口的开放,于是外部无法通过445端口进入
第二种:禁⽌被访问445,配置控制⾯板--防⽕墙--⾼级设置--⾼级安全防⽕墙--添加⼊站规则(在win7及以上系统,win2008及以上系统)
点击防火墙,防火墙里有高级设置,然后点击入站规则,我们要新建规则
我们要禁止别人从445端口进入,于是选择端口,特定端口号也写445,我们的目标是阻止连接,最后可以在防火墙入栈规则中可以看到我们新建立的入栈规则
浙公网安备 33010602011771号