security group安全组:
内置本地组:Limited/standard user(当新用户被创建,默认是这个),能安装本地打印机,用已经安装的驱动
admin
power users,不建议使用
Guests
SID:安全标识符,就算用户名一样,但是每个用户的SID 是不一样的
命令net usernet user bai 查看bai的账户属性net localgroup admin bai /add 把bai加入admin组里
本地安全策略 secpol.msc
本地组策略gpedit.msc
单点登录SSO:登录一个账号就能验证系统里所有相关的资源了不用再输密码,例如AD的Kerberos,登陆了windows就可以访问SQL,EXCHANGE等等;登录了微软账号在网页上所有微软网站自动登录
net use 查看和配置windows网络上的共享资源
net use M: \\host1\data /persistant:yes
映射host1的data到自己电脑作为M:盘映射
net * /delete 删除所有连接net view显示本地网络连接的服务器 net vie \\host(ip或FQDN或主机名)查看host的共享文件
文件/文件夹权限
Read:读文件的内容,查看属性,所有者,权限
Read&execute:Read的权限,还有执行application
**Write:**Read的权限,还能覆盖文件
Modify:Read&execute和write的权限,还能重命名和删除文件
Full control:以上所有权限
如果一个user在多个group,每个group对一个对象权限不同,那个user会获得较高权限。
如果一个账户没有获得allow,那就是implicit deny隐式拒绝
如果一个父文件夹被deny一个对象,但是子文件夹是allow他的,那么allow优先。即显示权限大于隐式权限
share&NTFS两个权限:
如果一个文件夹Everyone的sharing权限是read;但是NTFS的权限中,users group的权限是modify,那么实际上user group的权限还是read。
组策略
GPO link到OU去实施组策略
RSoPs结果策略集
组策略更新后客户端输入gpupdate /force立即生效,根据策略需要,可能要提示重启或注销
gpresult /r:显示当前PC的 pc/user policy
gpresult /s
AD中对于object的删除是很难还原的,尽管现在有回收站功能,所以最好就是禁用账户
user错误密码输入多次账户会被锁定,要让管理员unlock