第一篇:域用户添加管理员权限
创建AD域及用户添加管理
AD域
域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。
其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
AD:活动目录(Active Directory)主要提供以下功能:
①基础网络服务:包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
③用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。 ④资源管理:管理打印机、文件共享服务等网络资源。
⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑥应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
【AD域控制器在Windows Server 2003安装及简单应用实验指导书】
实验日期:2011年8月2日 处别:Commercial DT 组别:DT103 撰写人:王敦培 【实验名称】:AD域控制器在Windows Server 2003安装实验指导书 【实验目的】:了解域的作用以及安装方法 【实验任务】:搭建一个新域、配置额外域控制器、设置漫游用户配置文件 【需要设备】:Windows Server 2003安装版本光盘一张、正常运行台式机一台
一、将Windows Server 2003安装至PC上
二、将服务器安装AD控制器 先设置AD域:
1.依次打开:开始-设置-控制面板-管理工具-管理您的服务器(不是向导)-打开后如图一所示
2.下一步,选择自定义
3.选中域控制器(Active Directory)下一步
4.然后会让你安装dns和配置网络,
5.把网卡的网线接好,处于已经连接状态,下一步
6.安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:
在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:
既然是第一台域控,那么当然也是选择“在新林中的域”:
在这里我们要指定一个域名,我在这里指定的是demo.com,
这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但是我建议还是采用默认的好,省得以后麻烦。
在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。
这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改:
第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。
“这是一个权限的选择项,在这里,我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”,因为在我做实验的整个环境里,并没有Windows 2000以前的操作系统存在”
这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复上要用到这个密码的。
这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一步”就正式开安装了:
几分钟后,安装完成:
点“立即重新启动”。到此,服务器的安装和配置就告一段落了,
接下来我们看下服务器发生了那些改变. 然后来看一下安装了AD后和没有安装的时候有些什么区别,首先第一感觉就是关机和开机的速
度明显变慢了,再看一下登陆界面:
多出了一个“登陆到”的选择框:
进入系统后,右键点击“我的电脑”选“属性”,点“计算机”
怎么样?和安装AD以前不一样吧,其它的比如没有本地用户了,在管理工具里多出么多图标什么的,这些将在以后里讲述,这里就不再详谈了。 我们现在来看一下
如何把下面的工作站加入到域。 由于从网络安全性考虑,尽量少的使用域管理员帐号,所以先在域控制器上建立一个委派帐号,登陆到域控制器,运行“dsa.msc”,出现“AD用户和计算机”管理控制台:
先来新建一个用户,展开“demo.com”,在“Users”上击右键,点“新建”-“用户”:
然后出现一个新建用户的向导,在这里,我新建了一个名为“swg”的用户,并且把密码设为“永不过期”。
这样点“下一步”,直到完成,就可以完成用户的创建。然后在“demo.com”上点击右键,先择“委派控制”:
就会出现一个“委派控制向导”:
点击“下一步”:
点击中间的“添加”按钮,并输入刚刚创建的“swg”帐号:
然后点“确定”,再点“下一步”:
在上面的画面中,暂时不需要让该用户去“管理组策略链接”,所以在这里,仅仅选择“将计算机加入到域”,然后点“下一步”:
最后是一个信息核对画面,要是没有什么问题的话,直接点“完成”就可以了。
接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是Windows XP专业版,需要大家注意的是Windows XP 的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了,我们先来设置一下这台XP的网络: 计算机名:TestXP IP:192.168.5.5 子网掩码:255.255.225.0 DNS服务器:192.168.5.1,
设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。
在这里把“隶属于”改成域,并输入:“demo.com”,并点确定,这是会出现如下画面:
输入刚刚在域控上建的那个“swg”的帐号,点确定:
出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。
来看一下登陆画面有没有什么不一样,看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域“DEMO”,这样就可以用域用户进行登陆了。
使用域用户登陆后,在“我的电脑”上击右键,选“属性”,点“计算机名”: 就可以看到加入到域:DEMO
三、建立额外的域控制器
当客户端加入到域后,如果域控制器处于关闭状态或者死机的话,那么,会发现下面的 客户机无法登陆到域,所以再建立一台域控制器,用来防止其中一台出现意外损坏的情况是很有必要的。
后来建立的那台域控制器叫额外域控制器。来看看额外域控制器的建立过程吧: 当然网络设置永远是在第一步的: 计算机名:Bserver IP:192.168.5.2 子网掩码:255.255.255.0 DNS:192.168.5.1
既然是提升为域控制器,那么DNS组件也是要添加的,添加方法和之前所提到的一样, 这里就不再重复了。添加完成后,同样是点击“开始”-“运行”-“dcpromo”,出现的向导和操作系统兼容性同安装第一台域控时是一样的,唯一要注意的是下面的那个画面:
安装第一台时选择的是“新域的域控制器”,这里要选择的是“现有域的额外域控制器”,然后点“下一步”:
在这里,输入域的管理员帐号的密码,在“域”里填入相应域的DNS全名或NetBios名,点“下一步”:
在这里一定要填入现有域的DNS全名,然后再点“下一步”。 然后就完成了额外的域控制器配置
四、活动目录之用户配置文件
关于域用户的开设在前面已经涉及过了,所以在这里开设用户的方法就不再重复了,这里主要向大家介绍一下用户配置文件。
首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图:
用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域(demo.com)里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况: 本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:
请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下:
首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限:
然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里以“swg”帐号为例:
在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输 入:192.168.5.1share%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:
然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。
如上图所示,DEMOswg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自 动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域内计算机上去登陆的话,会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢?
如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况下这个文件夹只允许对应的用户打开。 最后有一点需要注意:
当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。
第二篇:物流信息系统用户和权限管理制度
第一章 总则
第一条 为加强物流信息系统用户账号和权限的规范化管理,确保物流信息系统安全、有序、稳定运行,防范应用风险,杜绝公司商业数据外泄,特制定本制度。
第二条 物流信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第三条 物流信息系统须指定系统管理员负责用户和权限管理的具体操作。
第四条 物流信息系统用户和权限管理的基本原则是:
(一)账号申请或权限修改,由使用人报本部门分管副总和总经理审核。
(二)用户、权限和口令设置、U盾由系统管理员全面负责。
(三)用户、权限和口令管理、U盾必须作为物流信息系统登陆的强制性技术标准或要求。
(四)用户采用实名制管理模式。
(五) 用户必须使用自己的U盾和密码登陆系统,严禁挪用、转借他人。
第二章 管理职责
第五条 超级系统管理员职责
负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。
第八条 业务管理员职责
负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有
权限实施相应业务信息管理活动。
第九条 用户职责
用户须严格管理自己用户名和口令以及U盾,遵守保密性原则,除获得授权或另有规定外,不能将收集的数据信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。
第三章 用户管理
第十条 用户申请和创建
(一)申请人在《用户账号申请和变更表》上填写基本情况,提交所在部门分管副总;
(二)所在部门分管副总确认申请业务的用户身份权限,并在《用户账号申请和变更表》上签字确认,提交总经理审核。
(三)总经理审核并在《用户账号申请和变更表》上签字确认。
(四)申请人持签字确认的《用户账号申请和变更表》到行政后勤部领取U盾(修改权限不需领取U盾)。
(五)申请人持签字确认的《用户账号申请和变更表》和U盾到信息中心,创建用户或者变更权限。
(六)系统管理员和业务管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令;
(七)系统管理员和业务管理员将《用户账号申请和变更表》存档管理。 第十一条 用户变更和停用
(一)用户因工作岗位变动,调动、离职等原因导致使用权限发生变化或需要注销其账号时,应填写《用户账号申请和变更表》,按照用户账号停用的相关流程办理,由系统管理员和业务管理员对其权限进行修改或注销。
(二)行政后勤部主管确认此业务用户功能权限改变原因或离职,并在《用户账号申请和变更表》上签字确认;
(三)用户归属部门主管确认此业务用户功能权限改变原因或离职,并
在《用户账号申请和变更表》上签字确认;
(四)系统管理员或业务管理员按《用户账号申请和变更表》修改用户权限或注销帐户并收回U盾。
(五)系统管理员变更
系统管理员变更,应及时向总经理报告,并核对其账户信息、密码以及当时系统中的各类用户信息及文档,核查无误后方可进行工作交接。新任系统管理员应及时变更账户信息及密码。
(六)业务管理员变更
业务管理员变更应及时向上级系统管理员报告,上级系统管理员及时变更业务管理员信息。
第四章 安全管理
第十二条 使用物流物流信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保企业利益安全。
第十三条 口令管理
(一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。
(二)用户在初次使用系统时,应立即更改初始密码。
(三)用户应定期变更登陆密码。
(四)用户不得将账户、密码泄露给他人。
(五)用户不得将自己的U盾转借他人使用。 第十四条 帐号审计
账号审计工作由信息中心的负责人或者分管副总进行审计,并定期向总经理进行汇报。
第十五条 应急管理
(一)用户及业务管理员账户信息泄露遗失
用户及业务管理员账户信息泄露遗失时,应在24小时内通知系统管理员。
系统管理员在查明情况前,应暂停该用户的使用权限,并同时对该账户操作的数据进行核查,待确认没有异常数据后,通过重置密码,恢复该账户的使用权限,同时保留书面情况记录。
(二)系统管理员账户信息泄露遗失
系统管理员账户信息泄露遗失时,应立即向分管副总和总经理报告,暂停其系统管理员账户权限,同时对系统账户管理及数据安全进行核查,采取必要的补救措施,在最终确认系统安全后,方可恢复其系统管理员账户功能。
第三篇:信息系统用户和权限管理制度(本站推荐)
信息系统用户和权限管理制度
第一章 总则
第一条 为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。
第二条 本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。
第三条 信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第四条 场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。
第五条 信息系统用户和权限管理的基本原则是:
(一)用户、权限和口令设置由系统管理员全面负责。
(二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。
(三)用户、权限和口令管理采用实名制管理模式。
(四)严禁杜绝一人多账号登记注册。
第二章 管理职责
第七条 系统管理员职责
负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的
业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。
第八条 业务管理员职责
负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。
第九条 用户职责
用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。
第三章 用户管理
第十条 用户申请和创建
(一)申请人在《用户账号申请和变更表》上填写基本情况,提交本部门负责人;
(二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》上签字确认。
(三)信息系统管理部门经理进行审批后,由系统管理员和业务员创建用户或者变更权限。
(四)系统管理员和业务管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令;
(五)系统管理员和业务管理员将《用户账号申请和变更表》存档管理。
第十一条 用户变更和停用
(一)人力资源部主管确认此业务用户角色权限或变更原因,并在《用户账号申请和变更表》上签字确认;
(二)执行部门主管确认此业务用户角色权限或变更原因,并在《用户账号申请和变更表》上签字确认;
(三)系统管理员变更
系统管理员变更,应及时向上级系统管理员报告,并核对其账户信息、密码以及当时系统中的各类用户信息及文档,核查无误后方可进行工作交接。新任系统管理员应及时变更账户信息及密码。
(四)业务管理员变更
业务管理员变更应及时向本级系统管理员及上级业务管理员报告,上级业务管理员和系统管理员及时变更业务管理员信息。
(五)用户注销
用户因工作岗位变动,调动、离职等原因导致使用权限发生变化或需要注销其分配账号时,应填写《用户账号申请和变更表》,按照用户账号停用的相关流程办理,由系统管理员和业务管理员对其权限进行注销。
第四章 安全管理
第十二条 使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。
第十三条 口令管理
(一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。
(二)用户在初次使用系统时,应立即更改初始密码。
(三)用户应定期变更登陆密码。
(四)用户不得将账户、密码泄露给他人。
第十四条帐号审计
账号审计工作由信息系统管理部门的负责人或者主管进行审计,并应定期向其领导进行汇报,由场信息系统管理部门负责人定期和不定期检查。
第十五条 应急管理
(一)用户及业务管理员账户信息泄露遗失
用户及业务管理员账户信息泄露遗失时,应在24小时内通知本级系统管理员。本级系统管理员在查明情况前,应暂停该用户的使用权限,并同时对该账户所报数据进行核查,待确认没有造成对报告数据的破坏后,通过修改密码,恢复该账户的报告权限,同时保留书面情况记录。
(二)系统管理员账户信息泄露遗失
系统管理员账户信息泄露遗失时,应立即向上级系统管理员报告,暂停其系统管理员账户权限,同时对系统账户管理及数据安全进行核查,采取必要的补救措施,在最终确认系统安全后,方可恢复其系统管理员账户功能。
第五章 附则
第十六条 本制度自2013年月日起施行。
第十七条 本制度由场办公室负责制定、修改和解释。
第四篇:NC-ERP系统用户账号及权限管理制度
第一章 总则
第一条
NC-ERP系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;用户ID的安全管理等。
第二章 管理要求
第二条
NC-ERP系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《NC-ERP系统用户账号申请表》和相关领导签字审批才能进行相应操作,并将相关文档存档。
第三条
用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。
第四条
用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。
第五条
用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
1 第六条
用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。
第七条
用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。
第八条
对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条
公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。
第三章 增加、修改用户ID的管理
第十条
公司NC-ERP系统中增加、修改用户ID应符合下列情况之一:
1、因工作需要新增或修改用户ID;
2、用户ID持有人改变;
3、用户ID封存、冻结、解冻;
4、单位或部门合并、分离、撤消;
5、岗位重新设置;
6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
2 用户ID的增加、修改,须由申请人填写《NC-ERP用户账号申请表》,所在部门主管签字审批后,系统管理员审查并报主管领导审批后执行相应的操作。
第四章 用户ID终止的管理
第十二条
用户ID的终止应符合下列情况之一:
1、用户ID的持有人工作调动;
2、用户ID的持有人辞职;
3、废弃的用户ID;
4、临时用户ID。 第十三条
用户ID的终止(不包括临时用户)须由该用户ID所属部门负责人或用户权限管理员填写《NC-ERP用户账号申请表》,申请部门主管领导签字,系统管理员审查并报主管领导审批后执行相应的操作。
第十四条
对于辞职人员用户ID终止,应有一个移交期限,并提供明确的到期日。 第十五条
终止用户ID应先进行权限流程分析,必要时做好系统权限方案测试,以避免系统稳定性遇到潜在威胁。
第十六条
对终止的用户ID主数据模板必须保存,系统管理员做好文档记录存档。
第五章 用户密码修改管理
第十七条
系统管理员进行用户密码修改需符合下列情况之一:
1、用户ID的持有人忘记用户密码;
2、因管理需要,系统管理员需要强行修改用户密码。 第十八条
用户ID的持有人忘记密码必须填写《NC-ERP用户账号申请表》,由所在部门用户管理员审查,主管领导签字审批后,由公司用户管理员修改并通知申请人。
第十九条
由于管理需要,强行修改用户ID密码的,必须由该用户所在部门填写《NC-ERP用户账号申请表》,所在单位用户管理员审查及主管领导签字审批后,系统管理员审查并报主管领导审批后执行相应的操作。
第六章 用户ID锁定和解锁管理
第二十条
用户ID锁定的目的是防止其他用户进入该系统,是解决临时雇员问题的有效方式。 第二十一条
用户进行不正确的登陆,并且超过某一特定次数时,出于系统安全角度的考虑,需要对该用户的ID进行锁定。如需要对该用户的ID予以解锁,在解锁前必须由锁定用户填写《NC-ERP用户账号申请表》,锁定用户所在部门用户管理员审查,主管领导签字审批后,系统管理员审查并报主管领导审批后执行相应的操作。
第七章 临时用户管理
第二十二条
临时用户是因工作需要才能建立的一种临时性的系统用户。 第二十三条
对临时用户的创建必须由申请人提出申请,申请人填写《NC-ERP用户账号申请表》,所在部门主管签字,系统管理员审查并报主管领导审批后执行相应的操作。
第二十四条
由部门提出临时用户的申请必须明确用户的使用起止期限,如果需要提前终止或延期,必须提前提出书面申请。因为部门未提前出具书面申请,临时用户终止所造成的后果由所在部门主管领导负责。在临时用户到期日前,而提出申请所在部门未提出延期申请,系统管理员在截止日前必须从系统中删除或冻结该临时用户,如果系统管理员未删除或冻结该临时用户,造成的后果由系统管理员负责。
第八章 用户ID的安全管理
第二十五条
为保证用户ID通知过程中的安全,系统管理员在通知用户申请部门时,必须使用公司内部邮箱,或直接通知本人,或交给申请部门指定的接收人。反馈内容为《NC-ERP用户账号创建反馈表》。
第二十六条
申请单位的接收人在得到通知后,必须以电话方式与系统管理员进行相互确认,系统管理员做好确认后的记录归档工作。
第二十七条
5 系统管理员应对用户ID的使用状态进行定期检查,发现废弃的用户ID和非法用户,应及时报主管领导审批并进行删除、冻结,同时做好记录归档。
第二十八条
用户接到初始密码后必须立即进行修改。用户账号的使用密码,一般应在8位以上,并有数字与英文字母组合,每月至少更改一次。
第二十九条
用户如发现账户信息泄露,须尽可能在最短时间内(最长不超过24小时)通知系统管理员及部门主管领导。系统管理员在查明情况前,应暂停该用户的使用权限,并同时对该账户所报数据进行核查,待确认没有造成对报告数据的破坏后,通过修改密码,恢复该账户的使用权限,同时保留书面情况记录,用户所在部门主管领导签字备案。
第三十条
本制度解释权归公司综合办公室。
第五篇:用户、组群和权限
目标
学习了本单元后,你应该能够: 解释Linux的安全模型
解释用户账号和组群账号的目的 理解并设置文件权限
用户
每个用户都被分配了一个独特的用户ID号码(UID)
其中UID 0代表根用户root 用户名和UID被保存在/etc/passwd这个文件中
当用户登陆时,他们被分配了一个主目录和一个运行的程序(通常是shell) 若无适当权限,用户无法读取、写入或执行彼此的文件
用户的管理
1、system-config-users 通过图形管理界面
2、useradd|userdel|passwd 通过命令创建、删除用户、设置密码。
useradd(创建用户)参数
参数: -u uid设置用户的uid号 -g gid 设置用户的gid号 -o表示去除uid的唯一性。
eg:useradd -u 1 -o abcdi -d /home/ 设置用户的工作目录,自家目录;默认普通用户的工作目录在/home;root用户的工作目录在/root. -s shell 设置用户的工作shell,默认shell为/bin/bash.其它的shell可以查看/etc/shells文件。
/sbin/nologin: 表示允许远程访问数据,但不允许远程管理系统,一般将samba,ftp,www,mail等账户设置为/sbin/nologin. -r 直接建立一个系统账户(非一般用户) uid >100 Shell俗称壳(用来区别于核),是指“提供使用者使用界面”的软件(命令解析器)。它类似于DOS下的command.com
userdel(删除用户)参数
-r 将此用户的home目录和邮箱一并删除。 userdel -r aaa userdel cc (rm /home/cc /var/mail/cc -rf)
passwd(设置密码)参数 -l 锁用户,冰结账户 -u 解锁
cc 更改用户密码。
组群
用户被分配给组群
每个组群都被分配了一个独特的组群ID号码 GID被保存在/etc/group这个文件中 每个用户都有他们自己的私有组群
每个用户都至少属于一个组群,很可能更多,当创建一个用户时,它默认属于一个和他们的用户名相同的组群,例如创建用户test时,也相应创建了test组群,用户test输入test组群
可以被添加到其他族群总来获得额外的存取权限 组群中的所有用户都可以共享属于该组群的文件 groupadd|groupmod|groupdel|gpasswd groupadd参数
-g gid -o 去除gid的唯一性 -r 创建系统账号
groupmod参数
-n new_groupname 改名
groupdel参数
/etc/group /etc/gshadow
gpasswd参数
-a 将用户添加到工作组中 gpasswd -a user1 g1 -d 将用户从g1组中删除 gpasswd -d user1 g1
用户的相关文件
/etc/passwd 存放着所有用户帐号的信息 root:x:0:0:root:/root:/bin/bash 1 2 3 4 5 6 7 1:用户名 2:密码验证 3:用户ID 4:组 ID 5:用户的描述信息(非必要) 6:用户家目录
7:该用户当前的shell eg: username:password:User ID:Group ID:comment:home directory:shell /etc/shadow 是/etc/passwd 的影子文件,和/etc/passwd这两个文件是应该是对应互补的(只允许管理员查看)
root:$1$wvR9dMo/$oTrZZ1jvDhlSfcNPo4q.:1425:0:99999:7: : : 1 2 3 4 5 6 7 8 9 1:帐号名称
2:经过MD5加密过的密码
3:最近更动密码的日期(距1971年1月1日) 4:密码不可更改的天数(0 表示随时可更动) 5:密码需要重新变更的天数(99999永久有效) 6:密码需要变更期限前的警告期限(默认为7天)
7:密码过期宽恕时间(过了警告期限的还能使用的天数) 8:帐号失效时间 (也采用1971年1月1日来设置) 9:系统保留
/etc/group 含有关于小组的信息 root:x:0:root,marco /etc/skel/* 用户个人配置信息目录
/etc/login.defs 用户登录相关信息
/etc/default/useradd useradd命令的默认参数。
~/.bashrc bash的初始化脚本,启动bash时,此脚本会自动运行。 ~/.bash_profile 用户个人配置文件,环境变量。
~/.bash_logout 用户注销时,自动执行的脚本。垃圾清理程写在此文件中。
以上三个文件,只对某个特定的用户生效,且在登录时或者打开终端时自动运行,或注销时自动运行。
用户和工作组实验:
1、创建用户user1,工作目录为/home/user1,shell为/bin/ksh,uid为8888,gid为1,描述是zhangsan。
2、创建用户admin,工作目录为/admin,shell为/bin/bash,uid为0,gid为0,描述为administrator
3、创建用户lisi,设置只允许远程访问,不允许远程管理。
4、创建工作组group1,并将user1,lishi添加到group1组中。
Linux文件安全性
每个文件都属于一个UID和一个GID 三种存取权限类型:
进程使用和文件相同的UID来运行(用户,user) 进程使用和文件相同的GID来运行(组群,group) 所有其他进程(其他,other)
权限类型
在显示权限时,使用了四种符号:
r读权限
对于文件:就是具有浏览文件内容的权限
对于目录:就是具有对这个目录进行列表的权限
w写权限
对于文件:就是可以修改文件的内容,但不意味着可以删除文件
对于目录:就是可以在目录下创建文件,删除文件
判断是否可以删除一个文件,依据是否对文件所在目录具有写权限
x执行权限
对于文件:具有执行这个文件的权限,一般是指命令,脚本等可执行文件
对于目录:具有进入该目录
- 权限(在r、w或x的位置上)
d rwxr-xr-x 4 root root 1024 Feb 13 11:08 boot 1
8 1.验证文件为目录或者档案,一般有以下类型: )“d”目录,
“-”档案 )“l”链接档, “p”数据传输文件 )“b”硬件设备 “c”串口或者并口 2.文件的权限属性
3.链接(确定里面有多少个下一级子目录) 4.文件拥有者(不是建立者) 5.文件归属组 6.文件大小 7.修改日期
8.文件名称(注意前面带“.”的为隐藏文件)
文件类型(-): 0002 默认管理员的umask 0022
建立文件: 644 = 06660022
特殊权限 特权位和粘贴位
suid:普通用户在执行具有suid权限的文件时,是以属有者的身份在执行。 例如:/bin/ping /bin/mount sgid:任何用户在具有sgid权限位的目录下创建文件或目录时,会自动的继承父目录的工作组。
sticky 粘贴位,普通用户a创建的文件只允许a和root用户删除,其它的任何均不可删除。 如何计算:
suid,sgid,t u=rwx g=rwx o=rwx
1 1 1 111 111 111 7 7 7 7
补充权限
suid 4 用于表示“x” 小写“s”代表有“x”位 sgid 2 用于表示“x” 小写“s”代表有“x”位 sticky bit 1 用于表示“x”小写“t”代表有“x”位 注意:T或S为大写时,表示相对应的x执行位不存在。
改变文件所有者
只有根用户(root)才能改变文件的所有者
只有根用户(root)或所有者才能改变文件的组群 chown命令被用来改变所属用户
chown –R 用户名 文件|目录(-R递归修改) chgrp被用来改变所属组群
chgrp –R 组群名 文件|目录(-R递归修改)
改变权限方法
符号式方法
要改变存取权限模式: chmod –R 模式 文件 这里的模式是
u、g或o分别代表用户、组群和其他用户
+或-代表授予或拒绝
r、w和x分别代表读取、写入和执行 例如:
chmod ugo+x myfile(或者chmod +x myfile):授予所有用户以读取权限
chmod o-wx myfile:拒绝其他用户的写入和执行权限 数字式方法
使用三个数字模式
第一个数字代表所属用户的权限
第二个数字代表群组权限
第三个数字代表其他用户的权限 通常把以下数值相加起来计算权限
4代表读取
2代表写入
1代表执行 例如:
chmod 640 myfile 总结
所有文件都属于一个用户和一个组群
文件的模式由三类权限构成:用户权限、组群权限以及其他权限
三种权限可以被授予或拒绝:读取(r)、写入(w)、执行(x)
练习
1、 以下数字式权限的符号式表达是什么?
6
44、7
55、000、7
11、700、77
7、5
55、1
11、600、731
2、 家丁某个文件的权限时755,用哪些命令可以把这个权限改成r-xr—r--?
3、 你刚刚从互联网上下载了一个值得信任的文件,并想执行它。在你能执行之前,你应该采取什么步骤?列举两种不同的方法来执行这个步骤
4、 root用户应该如何改变文件的所有权才能使它的所属用户是joe,所属组群使apache?
5、创建/aaa目录,要求此目录的权限为2755,工作组为bin。
6、创建/data目录,要求此目录的权限具有/tmp相关的权限。