域用戶添加管理員權限

第一篇：域用戶添加管理員權限

創建AD域及用戶添加管理

AD域

域：域是一種管理邊界，用于一組計算機共享共用的安全數據庫，域實際上就是一組服務器和工作站的集合。

其實上我們可以把域和工作組聯系起來理解,在工作組上你一切的設置在本機上進行包括各種策略，用戶登錄也是登錄在本機的，密碼是放在本機的數據庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。

AD：活動目錄(Active Directory)主要提供以下功能：

①基礎網絡服務：包括DNS、WINS、DHCP、證書服務等。 ②服務器及客戶端計算機管理：管理服務器及客戶端計算機賬戶，所有服務器及客戶端計算機加入域管理并實施組策略。

③用戶服務：管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等，按省實施組管理策略。 ④資源管理：管理打印機、文件共享服務等網絡資源。

⑤桌面配置：系統管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應用程序執行特征限制、網絡連接限制、安全配置限制等。

⑥應用系統支撐：支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。

【AD域控制器在Windows Server 2003安裝及簡單應用實驗指導書】

實驗日期：2011年8月2日 處別：Commercial DT 組別：DT103 撰寫人：王敦培 【實驗名稱】：AD域控制器在Windows Server 2003安裝實驗指導書 【實驗目的】：了解域的作用以及安裝方法 【實驗任務】：搭建一個新域、配置額外域控制器、設置漫游用戶配置文件 【需要設備】：Windows Server 2003安裝版本光盤一張、正常運行臺式機一臺

一、將Windows Server 2003安裝至PC上

二、將服務器安裝AD控制器 先設置AD域：

1.依次打開：開始-設置-控制面板-管理工具-管理您的服務器(不是向導)-打開后如圖一所示

2.下一步，選擇自定義

3.選中域控制器(Active Directory)下一步

4.然后會讓你安裝dns和配置網絡,

5.把網卡的網線接好，處于已經連接狀態，下一步

6.安裝完DNS以后，就可以進行提升操作了，先點擊“開始—運行”，輸入“Dcpromo”，然后回車就可以看到“Active Directory安裝向導” 在這里直接點擊“下一步”:

在這里由于這是第一臺域控制器，所以選擇第一項:“新域的域控制器”，然后點“下一步”:

既然是第一臺域控，那么當然也是選擇“在新林中的域”:

在這里我們要指定一個域名，我在這里指定的是demo.com，

這里是指定NetBIOS名，注意千萬別和下面的客戶端沖突，也就是說整個網絡里不能再有一臺PC的計算機名叫“demo”，雖然這里可以修改，但是我建議還是采用默認的好，省得以后麻煩。

在這里要指定AD數據庫和日志的存放位置，如果不是C盤的空間有問題的話，建議采用默認。

這里是指定SYSVOL文件夾的位置，還是那句話，沒有特殊情況，不建議修改:

第一次部署時總會出現上面那個DNS注冊診斷出錯的畫面，主要是因為雖然安裝了DNS，但由于并沒有配置它，網絡上還沒有可用的DNS服務器，所以才會出現響應超時的現像，所以在這里要選擇:“在這臺計算機上安裝并配置DNS，并將這臺DNS服務器設為這臺計算機的首選DNS服務器”。

“這是一個權限的選擇項，在這里，我選擇第二項:“只與Windows 2000或Window 2003操作系統兼容的權限”，因為在我做實驗的整個環境里，并沒有Windows 2000以前的操作系統存在”

這里是一個重點，還原密碼，希望大家設置好以后一定要記住這個密碼，千萬別忘記了，因為在后面的關于活動目錄恢復上要用到這個密碼的。

這是確認畫面，請仔細檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確，因為改域名可不是鬧著玩的，如果有的話可以點上一步進入重輸，如果確認無誤的話，那么點“下一步”就正式開安裝了:

幾分鐘后，安裝完成:

點“立即重新啟動”。到此，服務器的安裝和配置就告一段落了，

接下來我們看下服務器發生了那些改變. 然后來看一下安裝了AD后和沒有安裝的時候有些什么區別，首先第一感覺就是關機和開機的速

度明顯變慢了，再看一下登陸界面:

多出了一個“登陸到”的選擇框:

進入系統后，右鍵點擊“我的電腦”選“屬性”，點“計算機”

怎么樣?和安裝AD以前不一樣吧，其它的比如沒有本地用戶了，在管理工具里多出么多圖標什么的，這些將在以后里講述，這里就不再詳談了。 我們現在來看一下

如何把下面的工作站加入到域。 由于從網絡安全性考慮，盡量少的使用域管理員帳號，所以先在域控制器上建立一個委派帳號，登陸到域控制器，運行“dsa.msc”，出現“AD用戶和計算機”管理控制臺:

先來新建一個用戶，展開“demo.com”，在“Users”上擊右鍵，點“新建”-“用戶”:

然后出現一個新建用戶的向導，在這里，我新建了一個名為“swg”的用戶，并且把密碼設為“永不過期”。

這樣點“下一步”，直到完成，就可以完成用戶的創建。然后在“demo.com”上點擊右鍵，先擇“委派控制”:

就會出現一個“委派控制向導”:

點擊“下一步”:

點擊中間的“添加”按鈕，并輸入剛剛創建的“swg”帳號:

然后點“確定”，再點“下一步”:

在上面的畫面中，暫時不需要讓該用戶去“管理組策略鏈接”，所以在這里，僅僅選擇“將計算機加入到域”，然后點“下一步”:

最后是一個信息核對畫面，要是沒有什么問題的話，直接點“完成”就可以了。

接下來轉到客戶端，看看怎么把XP進來，在實驗中采用的客戶端操作系統是Windows XP專業版，需要大家注意的是Windows XP 的Home版由于針對的是家庭用戶，所以不能加入域，大家別弄錯了，我們先來設置一下這臺XP的網絡: 計算機名:TestXP IP:192.168.5.5 子網掩碼:255.255.225.0 DNS服務器:192.168.5.1，

設置完網絡以后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”。

在這里把“隸屬于”改成域，并輸入:“demo.com”，并點確定，這是會出現如下畫面:

輸入剛剛在域控上建的那個“swg”的帳號，點確定:

出現上述畫面就表示成功加入了，然后點確定，點重啟就算OK了。

來看一下登陸畫面有沒有什么不一樣，看到那個“登陸到”了吧，可以選擇域登陸還是本機登陸了，在這里選擇域“DEMO”，這樣就可以用域用戶進行登陸了。

使用域用戶登陸后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”: 就可以看到加入到域：DEMO

三、建立額外的域控制器

當客戶端加入到域后，如果域控制器處于關閉狀態或者死機的話，那么，會發現下面的 客戶機無法登陸到域，所以再建立一臺域控制器，用來防止其中一臺出現意外損壞的情況是很有必要的。

后來建立的那臺域控制器叫額外域控制器。來看看額外域控制器的建立過程吧: 當然網絡設置永遠是在第一步的: 計算機名:Bserver IP:192.168.5.2 子網掩碼:255.255.255.0 DNS:192.168.5.1

既然是提升為域控制器，那么DNS組件也是要添加的，添加方法和之前所提到的一樣， 這里就不再重復了。添加完成后，同樣是點擊“開始”-“運行”-“dcpromo”，出現的向導和操作系統兼容性同安裝第一臺域控時是一樣的，唯一要注意的是下面的那個畫面:

安裝第一臺時選擇的是“新域的域控制器”，這里要選擇的是“現有域的額外域控制器”，然后點“下一步”:

在這里，輸入域的管理員帳號的密碼，在“域”里填入相應域的DNS全名或NetBios名，點“下一步”:

在這里一定要填入現有域的DNS全名，然后再點“下一步”。 然后就完成了額外的域控制器配置

四、活動目錄之用戶配置文件

關于域用戶的開設在前面已經涉及過了，所以在這里開設用戶的方法就不再重復了，這里主要向大家介紹一下用戶配置文件。

首先，什么是用戶配置文件?根據微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統加載所需環境的設置和文件和集合，它包括所有用戶專用的配置設置。用戶配置文件存在于系統的什么位置呢?那么用戶配置文件包括哪些內容呢?來給大家看一副截圖:

用戶配置文件的保存位置在:系統盤(一般是C盤)下的“Documents and Settings”文件夾下，有一個和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一個同名用戶，并且都登陸過的話，那么就會出現在同名文件夾后面拖后綴的情況，舉個例子:比如在一個域(demo.com)里面有一臺計算機(testxp)，本地有一個swg的帳號，域上也有一個swg的帳號，并且都登陸過這臺計算機，那么會發生如下情況: 本地帳號先登陸:那么本地的swg的用戶配置文件夾為swg，而域用戶的用戶配置文件夾為swg.demo。域帳號先登陸:那么域用戶的用戶配置文件夾為swg，本地用戶的配置文件夾為swg.testxp。通過上面的截圖，我們可看出，用戶配置文件包括桌面設置、我的文檔、收藏夾、IE設置等一些個性化的配置。另外需要說明的是在“Documents and Settings”文件夾下有一個名為“All Users”的文件夾，如果你在這個文件夾下的“桌面”文件夾下新建一個文件的話，你會發現所有用戶在登陸時的桌面上都有這個文件，所以這個文件夾里的配置是對這臺計算機的每個用戶均起作用的。當網絡變成域構架后，所有的域用戶可以在任意一臺域內的計算機登陸，當你在一臺計算機上的用戶配置文件修改后，你會發現到另一臺計算機上登陸時，所有的設置還是原來的，并沒有發生修改，這是因為用戶的配置文件是保存在本地的，不管是域用戶還是本地用戶，都是保存在那臺登陸的計算機上。我們可以在“我的電腦”上擊“右鍵”，選“屬性”，點“高級”，然后在“用戶配置文件”里點“設置”:

請注意“類型”里用紅框標出的部分，全部是“本地”，這就說明用戶配置文件保存在本地，那么如何才能讓用戶的配置文件隨著帳號走，也就是不管用戶在哪臺計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題，就要用到漫游用戶配置文件，原理就是把用戶配置文件保存在一個網絡的公共位置，當用戶在計算機上登陸里，會從網絡公共位置把用戶配置文件下載到本地并加以應用，然后當用戶注銷時，會把本地的用戶配置文件同步到網絡公共位置，以保證公共位置用戶配置文件的有效性，以便下一次使用。那么如何來實現這個功能呢?現在就來實踐一下:

首先，要在一個網絡的公共位置開設一個共享文件夾，用來存放用戶配置文件，在個實驗里，就在域控制器上開設一個為share的共享文件夾，并開放權限:

然后，點擊“開始-設置-控制面板-管理工具”，雙擊“AD用戶和計算機”，并選中相應的用戶，這里以“swg”帳號為例:

在“swg”帳號上雙擊，然后選“配置文件”，在“用戶配置文件-配置文件路徑”里輸 入:192.168.5.1share%username%，“192.168.5.1”是域控制器的IP地址，如下圖所示:

然后點確定，接下去就到客戶端去，用“swg”帳號登陸一下，看看會發生什么變化。

如上圖所示，DEMOswg的狀態由剛剛的“本地”變成了“漫游”，此時注銷一下用戶，那么就會自 動的將該用戶的本地用戶配置文件同步到網絡公共位置，如果再用“swg”到另外的域內計算機上去登陸的話，會發現所有的用戶配置文件和這臺計算機上是一樣的。那么服務器上發生了些什么變化呢?

如上圖所示，服務器的“share”文件夾里會自動創建一個和用戶名一樣的“swg”文件夾，默認情況下這個文件夾只允許對應的用戶打開。 最后有一點需要注意：

當使用漫游用戶配置文件時，請不要在桌面等地方存放一些大型的程序或文件，因為用戶在登陸和注銷過程中會下載和上傳配置文件，如果文件過大，會影響登陸和注銷的速度。

第二篇：物流信息系統用戶和權限管理制度

第一章 總則

第一條 為加強物流信息系統用戶賬號和權限的規范化管理,確保物流信息系統安全、有序、穩定運行，防范應用風險，杜絕公司商業數據外泄，特制定本制度。

第二條 物流信息系統用戶、角色、權限的劃分和制定，以人力資源部對部門職能定位和各業務部門內部分工為依據。

第三條 物流信息系統須指定系統管理員負責用戶和權限管理的具體操作。

第四條 物流信息系統用戶和權限管理的基本原則是：

(一)賬號申請或權限修改，由使用人報本部門分管副總和總經理審核。

(二)用戶、權限和口令設置、U盾由系統管理員全面負責。

(三)用戶、權限和口令管理、U盾必須作為物流信息系統登陸的強制性技術標準或要求。

(四)用戶采用實名制管理模式。

(五) 用戶必須使用自己的U盾和密碼登陸系統，嚴禁挪用、轉借他人。

第二章 管理職責

第五條 超級系統管理員職責

負責本級用戶管理以及對下一級系統管理員管理。包括創建各類申請用戶、用戶有效性管理、為用戶分配經授權批準使用的業務系統、為業務管理員提供用戶授權管理的操作培訓和技術指導。

第八條 業務管理員職責

負責本級本業務系統角色制定、本級用戶授權及下一級本業務系統業務管理員管理。負責將上級創建的角色或自身創建的角色授予相應的本級用戶和下一級業務管理員，為本業務系統用戶提供操作培訓和技術指導，使其有

權限實施相應業務信息管理活動。

第九條 用戶職責

用戶須嚴格管理自己用戶名和口令以及U盾，遵守保密性原則，除獲得授權或另有規定外，不能將收集的數據信息向任何第三方泄露或公開。系統內所有用戶信息均必須采用真實信息，即實名制登記。

第三章 用戶管理

第十條 用戶申請和創建

(一)申請人在《用戶賬號申請和變更表》上填寫基本情況，提交所在部門分管副總;

(二)所在部門分管副總確認申請業務的用戶身份權限，并在《用戶賬號申請和變更表》上簽字確認，提交總經理審核。

(三)總經理審核并在《用戶賬號申請和變更表》上簽字確認。

(四)申請人持簽字確認的《用戶賬號申請和變更表》到行政后勤部領取U盾(修改權限不需領取U盾)。

(五)申請人持簽字確認的《用戶賬號申請和變更表》和U盾到信息中心,創建用戶或者變更權限。

(六)系統管理員和業務管理員將創建的用戶名、口令告知申請人本人，并要求申請人及時變更口令;

(七)系統管理員和業務管理員將《用戶賬號申請和變更表》存檔管理。 第十一條 用戶變更和停用

(一)用戶因工作崗位變動，調動、離職等原因導致使用權限發生變化或需要注銷其賬號時，應填寫《用戶賬號申請和變更表》，按照用戶賬號停用的相關流程辦理，由系統管理員和業務管理員對其權限進行修改或注銷。

(二)行政后勤部主管確認此業務用戶功能權限改變原因或離職，并在《用戶賬號申請和變更表》上簽字確認;

(三)用戶歸屬部門主管確認此業務用戶功能權限改變原因或離職，并

在《用戶賬號申請和變更表》上簽字確認;

(四)系統管理員或業務管理員按《用戶賬號申請和變更表》修改用戶權限或注銷帳戶并收回U盾。

(五)系統管理員變更

系統管理員變更，應及時向總經理報告，并核對其賬戶信息、密碼以及當時系統中的各類用戶信息及文檔，核查無誤后方可進行工作交接。新任系統管理員應及時變更賬戶信息及密碼。

(六)業務管理員變更

業務管理員變更應及時向上級系統管理員報告，上級系統管理員及時變更業務管理員信息。

第四章 安全管理

第十二條 使用物流物流信息系統應嚴格執行國家有關法律、法規，遵守公司的規章制度，確保企業利益安全。

第十三條 口令管理

(一)系統管理員創建用戶時，應為其分配獨立的初始密碼，并單獨告知申請人。

(二)用戶在初次使用系統時，應立即更改初始密碼。

(三)用戶應定期變更登陸密碼。

(四)用戶不得將賬戶、密碼泄露給他人。

(五)用戶不得將自己的U盾轉借他人使用。 第十四條 帳號審計

賬號審計工作由信息中心的負責人或者分管副總進行審計，并定期向總經理進行匯報。

第十五條 應急管理

(一)用戶及業務管理員賬戶信息泄露遺失

用戶及業務管理員賬戶信息泄露遺失時，應在24小時內通知系統管理員。

系統管理員在查明情況前，應暫停該用戶的使用權限，并同時對該賬戶操作的數據進行核查，待確認沒有異常數據后，通過重置密碼，恢復該賬戶的使用權限，同時保留書面情況記錄。

(二)系統管理員賬戶信息泄露遺失

系統管理員賬戶信息泄露遺失時，應立即向分管副總和總經理報告，暫停其系統管理員賬戶權限，同時對系統賬戶管理及數據安全進行核查，采取必要的補救措施，在最終確認系統安全后，方可恢復其系統管理員賬戶功能。

第三篇：信息系統用戶和權限管理制度（本站推薦）

信息系統用戶和權限管理制度

第一章 總則

第一條 為加強信息系統用戶賬號和權限的規范化管理,確保各信息系統安全、有序、穩定運行，防范應用風險，特制定本制度。

第二條 本制度適用于場建設和管理的、基于角色控制和方法設計的各型信息系統，以及以用戶口令方式登錄的網絡設備、網站系統等。

第三條 信息系統用戶、角色、權限的劃分和制定，以人力資源部對部門職能定位和各業務部門內部分工為依據。

第四條 場協同辦公系統用戶和權限管理由場辦公室負責，其他業務系統的用戶和權限管理由各業務部門具體負責。所有信息系統須指定系統管理員負責用戶和權限管理的具體操作。

第五條 信息系統用戶和權限管理的基本原則是：

(一)用戶、權限和口令設置由系統管理員全面負責。

(二)用戶、權限和口令管理必須作為項目建設的強制性技術標準或要求。

(三)用戶、權限和口令管理采用實名制管理模式。

(四)嚴禁杜絕一人多賬號登記注冊。

第二章 管理職責

第七條 系統管理員職責

負責本級用戶管理以及對下一級系統管理員管理。包括創建各類申請用戶、用戶有效性管理、為用戶分配經授權批準使用的

業務系統、為業務管理員提供用戶授權管理的操作培訓和技術指導。

第八條 業務管理員職責

負責本級本業務系統角色制定、本級用戶授權及下一級本業務系統業務管理員管理。負責將上級創建的角色或自身創建的角色授予相應的本級用戶和下一級業務管理員，為本業務系統用戶提供操作培訓和技術指導，使其有權限實施相應業務信息管理活動。

第九條 用戶職責

用戶須嚴格管理自己用戶名和口令，遵守保密性原則，除獲得授權或另有規定外，不能將收集的個人信息向任何第三方泄露或公開。系統內所有用戶信息均必須采用真實信息，即實名制登記。

第三章 用戶管理

第十條 用戶申請和創建

(一)申請人在《用戶賬號申請和變更表》上填寫基本情況，提交本部門負責人;

(二)部門負責人確認申請業務用戶的身份權限，并在《用戶賬號申請和變更表》上簽字確認。

(三)信息系統管理部門經理進行審批后，由系統管理員和業務員創建用戶或者變更權限。

(四)系統管理員和業務管理員將創建的用戶名、口令告知申請人本人，并要求申請人及時變更口令;

(五)系統管理員和業務管理員將《用戶賬號申請和變更表》存檔管理。

第十一條 用戶變更和停用

(一)人力資源部主管確認此業務用戶角色權限或變更原因，并在《用戶賬號申請和變更表》上簽字確認;

(二)執行部門主管確認此業務用戶角色權限或變更原因，并在《用戶賬號申請和變更表》上簽字確認;

(三)系統管理員變更

系統管理員變更，應及時向上級系統管理員報告，并核對其賬戶信息、密碼以及當時系統中的各類用戶信息及文檔，核查無誤后方可進行工作交接。新任系統管理員應及時變更賬戶信息及密碼。

(四)業務管理員變更

業務管理員變更應及時向本級系統管理員及上級業務管理員報告，上級業務管理員和系統管理員及時變更業務管理員信息。

(五)用戶注銷

用戶因工作崗位變動，調動、離職等原因導致使用權限發生變化或需要注銷其分配賬號時，應填寫《用戶賬號申請和變更表》，按照用戶賬號停用的相關流程辦理，由系統管理員和業務管理員對其權限進行注銷。

第四章 安全管理

第十二條 使用各信息系統應嚴格執行國家有關法律、法規，遵守公司的規章制度，確保國家秘密和企業利益安全。

第十三條 口令管理

(一)系統管理員創建用戶時，應為其分配獨立的初始密碼，并單獨告知申請人。

(二)用戶在初次使用系統時，應立即更改初始密碼。

(三)用戶應定期變更登陸密碼。

(四)用戶不得將賬戶、密碼泄露給他人。

第十四條帳號審計

賬號審計工作由信息系統管理部門的負責人或者主管進行審計，并應定期向其領導進行匯報，由場信息系統管理部門負責人定期和不定期檢查。

第十五條 應急管理

(一)用戶及業務管理員賬戶信息泄露遺失

用戶及業務管理員賬戶信息泄露遺失時，應在24小時內通知本級系統管理員。本級系統管理員在查明情況前，應暫停該用戶的使用權限，并同時對該賬戶所報數據進行核查，待確認沒有造成對報告數據的破壞后，通過修改密碼，恢復該賬戶的報告權限，同時保留書面情況記錄。

(二)系統管理員賬戶信息泄露遺失

系統管理員賬戶信息泄露遺失時，應立即向上級系統管理員報告，暫停其系統管理員賬戶權限，同時對系統賬戶管理及數據安全進行核查，采取必要的補救措施，在最終確認系統安全后，方可恢復其系統管理員賬戶功能。

第五章 附則

第十六條 本制度自2013年月日起施行。

第十七條 本制度由場辦公室負責制定、修改和解釋。

第四篇：NC-ERP系統用戶賬號及權限管理制度

第一章 總則

第一條

NC-ERP系統用戶的管理包括系統用戶ID的命名;用戶ID的主數據的建立;用戶ID的增加、修改;用戶ID的終止;用戶密碼的修改;用戶ID的鎖定和解鎖;臨時用戶的管理;用戶ID的安全管理等。

第二章 管理要求

第二條

NC-ERP系統管理員(以下簡稱系統管理員)在系統中不得任意增加、修改、刪除用戶ID，必須根據《NC-ERP系統用戶賬號申請表》和相關領導簽字審批才能進行相應操作，并將相關文檔存檔。

第三條

用戶ID的持有人特別是共享的用戶ID必須保證用戶ID和用戶密碼的保密和安全，不得對外泄漏，防止非此用戶ID的所有者登錄系統。

第四條

用戶管理員要定期檢查系統內用戶使用情況，防止非法授權用戶惡意登錄系統，保證系統的安全。

第五條

用戶ID持有人要對其在系統內的行為負責，各部門領導要對本部門用戶的行為負責。

1 第六條

用戶ID的命名由系統管理員執行，用戶ID命名應遵循用戶ID的命名規則，不得隨意命名。

第七條

用戶ID主數據庫的建立應保證準確、完整和統一，在用戶ID發生改變時，用戶管理員應及時保證主數據庫的更新，并做好用戶ID變更的歸檔工作。

第八條

對用戶申請表等相關文檔各申請部門的用戶管理員必須存檔，不得遺失。 第九條

公司NC-ERP系統中各部門必須明確一名運維管理人員負責本部門用戶管理、權限管理及基礎數據維護等相關工作。

第三章 增加、修改用戶ID的管理

第十條

公司NC-ERP系統中增加、修改用戶ID應符合下列情況之一：

1、因工作需要新增或修改用戶ID;

2、用戶ID持有人改變;

3、用戶ID封存、凍結、解凍;

4、單位或部門合并、分離、撤消;

5、崗位重新設置;

6、其他需要增加或修改公司NC-ERP系統中用戶ID的情況。 第十一條

2 用戶ID的增加、修改，須由申請人填寫《NC-ERP用戶賬號申請表》，所在部門主管簽字審批后，系統管理員審查并報主管領導審批后執行相應的操作。

第四章 用戶ID終止的管理

第十二條

用戶ID的終止應符合下列情況之一：

1、用戶ID的持有人工作調動;

2、用戶ID的持有人辭職;

3、廢棄的用戶ID;

4、臨時用戶ID。 第十三條

用戶ID的終止(不包括臨時用戶)須由該用戶ID所屬部門負責人或用戶權限管理員填寫《NC-ERP用戶賬號申請表》，申請部門主管領導簽字，系統管理員審查并報主管領導審批后執行相應的操作。

第十四條

對于辭職人員用戶ID終止，應有一個移交期限，并提供明確的到期日。 第十五條

終止用戶ID應先進行權限流程分析，必要時做好系統權限方案測試，以避免系統穩定性遇到潛在威脅。

第十六條

對終止的用戶ID主數據模板必須保存，系統管理員做好文檔記錄存檔。

第五章 用戶密碼修改管理

第十七條

系統管理員進行用戶密碼修改需符合下列情況之一：

1、用戶ID的持有人忘記用戶密碼;

2、因管理需要，系統管理員需要強行修改用戶密碼。 第十八條

用戶ID的持有人忘記密碼必須填寫《NC-ERP用戶賬號申請表》，由所在部門用戶管理員審查，主管領導簽字審批后，由公司用戶管理員修改并通知申請人。

第十九條

由于管理需要，強行修改用戶ID密碼的，必須由該用戶所在部門填寫《NC-ERP用戶賬號申請表》，所在單位用戶管理員審查及主管領導簽字審批后，系統管理員審查并報主管領導審批后執行相應的操作。

第六章 用戶ID鎖定和解鎖管理

第二十條

用戶ID鎖定的目的是防止其他用戶進入該系統，是解決臨時雇員問題的有效方式。 第二十一條

用戶進行不正確的登陸，并且超過某一特定次數時，出于系統安全角度的考慮，需要對該用戶的ID進行鎖定。如需要對該用戶的ID予以解鎖，在解鎖前必須由鎖定用戶填寫《NC-ERP用戶賬號申請表》，鎖定用戶所在部門用戶管理員審查，主管領導簽字審批后，系統管理員審查并報主管領導審批后執行相應的操作。

第七章 臨時用戶管理

第二十二條

臨時用戶是因工作需要才能建立的一種臨時性的系統用戶。 第二十三條

對臨時用戶的創建必須由申請人提出申請，申請人填寫《NC-ERP用戶賬號申請表》，所在部門主管簽字，系統管理員審查并報主管領導審批后執行相應的操作。

第二十四條

由部門提出臨時用戶的申請必須明確用戶的使用起止期限，如果需要提前終止或延期，必須提前提出書面申請。因為部門未提前出具書面申請，臨時用戶終止所造成的后果由所在部門主管領導負責。在臨時用戶到期日前，而提出申請所在部門未提出延期申請，系統管理員在截止日前必須從系統中刪除或凍結該臨時用戶，如果系統管理員未刪除或凍結該臨時用戶，造成的后果由系統管理員負責。

第八章 用戶ID的安全管理

第二十五條

為保證用戶ID通知過程中的安全，系統管理員在通知用戶申請部門時，必須使用公司內部郵箱，或直接通知本人，或交給申請部門指定的接收人。反饋內容為《NC-ERP用戶賬號創建反饋表》。

第二十六條

申請單位的接收人在得到通知后，必須以電話方式與系統管理員進行相互確認，系統管理員做好確認后的記錄歸檔工作。

第二十七條

5 系統管理員應對用戶ID的使用狀態進行定期檢查，發現廢棄的用戶ID和非法用戶，應及時報主管領導審批并進行刪除、凍結，同時做好記錄歸檔。

第二十八條

用戶接到初始密碼后必須立即進行修改。用戶賬號的使用密碼，一般應在8位以上，并有數字與英文字母組合，每月至少更改一次。

第二十九條

用戶如發現賬戶信息泄露，須盡可能在最短時間內(最長不超過24小時)通知系統管理員及部門主管領導。系統管理員在查明情況前，應暫停該用戶的使用權限，并同時對該賬戶所報數據進行核查，待確認沒有造成對報告數據的破壞后，通過修改密碼，恢復該賬戶的使用權限，同時保留書面情況記錄，用戶所在部門主管領導簽字備案。

第三十條

本制度解釋權歸公司綜合辦公室。

第五篇：用戶、組群和權限

目標

學習了本單元后，你應該能夠： 解釋Linux的安全模型

解釋用戶賬號和組群賬號的目的 理解并設置文件權限

用戶

每個用戶都被分配了一個獨特的用戶ID號碼(UID)

其中UID 0代表根用戶root 用戶名和UID被保存在/etc/passwd這個文件中

當用戶登陸時，他們被分配了一個主目錄和一個運行的程序(通常是shell) 若無適當權限，用戶無法讀取、寫入或執行彼此的文件

用戶的管理

1、system-config-users 通過圖形管理界面

2、useradd|userdel|passwd 通過命令創建、刪除用戶、設置密碼。

useradd(創建用戶)參數

參數: -u uid設置用戶的uid號 -g gid 設置用戶的gid號 -o表示去除uid的唯一性。

eg：useradd -u 1 -o abcdi -d /home/ 設置用戶的工作目錄，自家目錄;默認普通用戶的工作目錄在/home;root用戶的工作目錄在/root. -s shell 設置用戶的工作shell，默認shell為/bin/bash.其它的shell可以查看/etc/shells文件。

/sbin/nologin: 表示允許遠程訪問數據，但不允許遠程管理系統，一般將samba，ftp，www，mail等賬戶設置為/sbin/nologin. -r 直接建立一個系統賬戶(非一般用戶) uid >100 Shell俗稱殼(用來區別于核)，是指“提供使用者使用界面”的軟件(命令解析器)。它類似于DOS下的command.com

userdel(刪除用戶)參數

-r 將此用戶的home目錄和郵箱一并刪除。 userdel -r aaa userdel cc (rm /home/cc /var/mail/cc -rf)

passwd(設置密碼)參數 -l 鎖用戶，冰結賬戶 -u 解鎖

cc 更改用戶密碼。

組群

用戶被分配給組群

每個組群都被分配了一個獨特的組群ID號碼 GID被保存在/etc/group這個文件中 每個用戶都有他們自己的私有組群

每個用戶都至少屬于一個組群，很可能更多，當創建一個用戶時，它默認屬于一個和他們的用戶名相同的組群，例如創建用戶test時，也相應創建了test組群，用戶test輸入test組群

可以被添加到其他族群總來獲得額外的存取權限 組群中的所有用戶都可以共享屬于該組群的文件 groupadd|groupmod|groupdel|gpasswd groupadd參數

-g gid -o 去除gid的唯一性 -r 創建系統賬號

groupmod參數

-n new_groupname 改名

groupdel參數

/etc/group /etc/gshadow

gpasswd參數

-a 將用戶添加到工作組中 gpasswd -a user1 g1 -d 將用戶從g1組中刪除 gpasswd -d user1 g1

用戶的相關文件

/etc/passwd 存放著所有用戶帳號的信息 root:x:0:0:root:/root:/bin/bash 1 2 3 4 5 6 7 1：用戶名 2：密碼驗證 3：用戶ID 4：組 ID 5：用戶的描述信息(非必要) 6：用戶家目錄

7：該用戶當前的shell eg: username:password:User ID:Group ID:comment:home directory:shell /etc/shadow 是/etc/passwd 的影子文件，和/etc/passwd這兩個文件是應該是對應互補的(只允許管理員查看)

root:$1$wvR9dMo/$oTrZZ1jvDhlSfcNPo4q.:1425:0:99999:7: : : 1 2 3 4 5 6 7 8 9 1:帳號名稱

2:經過MD5加密過的密碼

3:最近更動密碼的日期(距1971年1月1日) 4:密碼不可更改的天數(0 表示隨時可更動) 5:密碼需要重新變更的天數(99999永久有效) 6:密碼需要變更期限前的警告期限(默認為7天)

7:密碼過期寬恕時間(過了警告期限的還能使用的天數) 8:帳號失效時間 (也采用1971年1月1日來設置) 9:系統保留

/etc/group 含有關于小組的信息 root:x:0:root,marco /etc/skel/* 用戶個人配置信息目錄

/etc/login.defs 用戶登錄相關信息

/etc/default/useradd useradd命令的默認參數。

~/.bashrc bash的初始化腳本，啟動bash時，此腳本會自動運行。 ~/.bash_profile 用戶個人配置文件，環境變量。

~/.bash_logout 用戶注銷時，自動執行的腳本。垃圾清理程寫在此文件中。

以上三個文件，只對某個特定的用戶生效，且在登錄時或者打開終端時自動運行，或注銷時自動運行。

用戶和工作組實驗：

1、創建用戶user1,工作目錄為/home/user1，shell為/bin/ksh,uid為8888，gid為1，描述是zhangsan。

2、創建用戶admin，工作目錄為/admin,shell為/bin/bash,uid為0，gid為0，描述為administrator

3、創建用戶lisi，設置只允許遠程訪問，不允許遠程管理。

4、創建工作組group1，并將user1,lishi添加到group1組中。

Linux文件安全性

每個文件都屬于一個UID和一個GID 三種存取權限類型：

進程使用和文件相同的UID來運行(用戶，user) 進程使用和文件相同的GID來運行(組群，group) 所有其他進程(其他，other)

權限類型

在顯示權限時，使用了四種符號：

r讀權限

對于文件：就是具有瀏覽文件內容的權限

對于目錄：就是具有對這個目錄進行列表的權限

w寫權限

對于文件：就是可以修改文件的內容，但不意味著可以刪除文件

對于目錄：就是可以在目錄下創建文件，刪除文件

判斷是否可以刪除一個文件，依據是否對文件所在目錄具有寫權限

x執行權限

對于文件：具有執行這個文件的權限，一般是指命令，腳本等可執行文件

對于目錄：具有進入該目錄

- 權限(在r、w或x的位置上)

d rwxr-xr-x 4 root root 1024 Feb 13 11:08 boot 1

8 1.驗證文件為目錄或者檔案，一般有以下類型： )“d”目錄，

“-”檔案 )“l”鏈接檔， “p”數據傳輸文件 )“b”硬件設備 “c”串口或者并口 2.文件的權限屬性

3.鏈接(確定里面有多少個下一級子目錄) 4.文件擁有者(不是建立者) 5.文件歸屬組 6.文件大小 7.修改日期

8.文件名稱(注意前面帶“.”的為隱藏文件)

文件類型(-): 0002 默認管理員的umask 0022

建立文件： 644 = 06660022

特殊權限 特權位和粘貼位

suid:普通用戶在執行具有suid權限的文件時，是以屬有者的身份在執行。 例如：/bin/ping /bin/mount sgid:任何用戶在具有sgid權限位的目錄下創建文件或目錄時，會自動的繼承父目錄的工作組。

sticky 粘貼位,普通用戶a創建的文件只允許a和root用戶刪除，其它的任何均不可刪除。 如何計算：

suid,sgid,t u=rwx g=rwx o=rwx

1 1 1 111 111 111 7 7 7 7

補充權限

suid 4 用于表示“x” 小寫“s”代表有“x”位 sgid 2 用于表示“x” 小寫“s”代表有“x”位 sticky bit 1 用于表示“x”小寫“t”代表有“x”位 注意：T或S為大寫時，表示相對應的x執行位不存在。

改變文件所有者

只有根用戶(root)才能改變文件的所有者

只有根用戶(root)或所有者才能改變文件的組群 chown命令被用來改變所屬用戶

chown –R 用戶名 文件|目錄(-R遞歸修改) chgrp被用來改變所屬組群

chgrp –R 組群名 文件|目錄(-R遞歸修改)

改變權限方法

符號式方法

要改變存取權限模式： chmod –R 模式 文件 這里的模式是

u、g或o分別代表用戶、組群和其他用戶

+或-代表授予或拒絕

r、w和x分別代表讀取、寫入和執行 例如：

chmod ugo+x myfile(或者chmod +x myfile)：授予所有用戶以讀取權限

chmod o-wx myfile：拒絕其他用戶的寫入和執行權限 數字式方法

使用三個數字模式

第一個數字代表所屬用戶的權限

第二個數字代表群組權限

第三個數字代表其他用戶的權限 通常把以下數值相加起來計算權限

4代表讀取

2代表寫入

1代表執行 例如：

chmod 640 myfile 總結

所有文件都屬于一個用戶和一個組群

文件的模式由三類權限構成：用戶權限、組群權限以及其他權限

三種權限可以被授予或拒絕：讀取(r)、寫入(w)、執行(x)

練習

1、 以下數字式權限的符號式表達是什么?

6

44、7

55、000、7

11、700、77

7、5

55、1

11、600、731

2、 家丁某個文件的權限時755，用哪些命令可以把這個權限改成r-xr—r--?

3、 你剛剛從互聯網上下載了一個值得信任的文件，并想執行它。在你能執行之前，你應該采取什么步驟?列舉兩種不同的方法來執行這個步驟

4、 root用戶應該如何改變文件的所有權才能使它的所屬用戶是joe，所屬組群使apache?

5、創建/aaa目錄，要求此目錄的權限為2755，工作組為bin。

6、創建/data目錄，要求此目錄的權限具有/tmp相關的權限。