0x01 实验要求
- 所有部门的员工智能进入本部门文件夹和public
- 每个部门的部门经理对部门有写入权限,部门员工只能读取
- 总经理可以参与所有的部门,也可以完全控制
- public文件夹,所有员工可以读取,经理可以写入
0x02 实验分析
public文件夹访问规则,总经理、技术经理、财务经理、销售经理具有完全读写、修改权限;技术部员工、财务部员工、销售部员工只能查看。
jishubu文件夹访问规则,总经理、技术经理具有完全读写、修改权限;仅技术部员工具有查看权限。
caiwubu文件夹访问规则,总经理、财务经理具有完全读写、修改权限;仅财务部员工具有查看权限。
xiaoshoubu文件夹访问规则,总经理、销售经理具有完全读写、修改权限;仅销售部员工具有查看权限。
综合以上创建技术部、财务部、销售部、经理组,其中组内包含如下
- 技术部:技术经理、技术员工
- 财务部:财务经理、财务员工
- 销售部:销售经理、销售员工
- 经理:总经理、销售经理、技术经理、财务经理
文件夹权限设置:
public:经理组读写权限、技术部读权限、财务部读权限、销售部读权限jishubu:技术部组读权限、技术经理读写权限、总经理读写权限caiwubu:财务部组读权限、财务经理读写权限、总经理读写权限xiaoshoubu:销售部组读权限、销售经理读写权限、总经理读写权限
0x03 实验步骤
-
创建用户、组并将用户划分到指定的组中。
# 创建组 net localgroup jishubu /add net localgroup caiwubu /add net localgroup xiaoshoubu /add net localgroup jingli /add # 创建用户 net user jishubujl 123.com /add net user jishubuyg 123.com /add net user caiwubujl 123.com /add net user caiwubuyg 123.com /add net user xiaoshoubujl 123.com /add net user xiaoshoubuyg 123.com /add net user zongjingli 123.com /add # 划分用户到组中 net localgroup jishubu jishubujl /add net localgroup jishubu jishubuyg /add net localgroup caiwubu caiwubujl /add net localgroup caiwubu caiwubuyg /add net localgroup xiaoshoubu xiaoshoubujl /add net localgroup xiaoshoubu xiaoshoubuyg /add net localgroup jingli zongjingli /add net localgroup jingli jishubujl /add net localgroup jingli caiwubujl /add net localgroup jingli xiaoshoubujl /add -
设置
public文件夹权限。打开属性界面在安全的高级属性界面中取消继承权限,再删除无用组添加目的组或用户并设置相关权限。
-
设置
jishubu文件夹权限。打开属性界面在安全的高级属性界面中取消继承权限,再删除无用组添加目的组或用户并设置相关权限。
-
设置
caiwubu文件夹权限。打开属性界面在安全的高级属性界面中取消继承权限,再删除无用组添加目的组或用户并设置相关权限。
-
设置
xiaoshoubu文件夹权限。打开属性界面在安全的高级属性界面中取消继承权限,再删除无用组添加目的组或用户并设置相关权限。
0x04 实验结果
-
切换
caiwubujl用户登录并查看对caiwubu文件夹的访问权限,结果如下图所示。
-
caiwubujl用户访问jishubu文件夹,访问结果如下图所示。
-
caiwubujl操作public文件夹,操作结果如下图所示。
-
切换
caiwubuyg用户访问caiwubu文件夹,操作结果如下图所示。
-
caiwubuyg用户访问jishubu文件夹,操作结果如下图所示。
-
caiwubuyg用户访问public文件夹,操作结果如下图所示。
-
切换
zongjingli用户访问caiwubu文件夹,操作结果如下图所示。
-
zongjingli用户访问jishubu文件夹,操作结果如下图所示。
-
0x05 实验总结
- 由操作结果可知上述操作达到实验要求。
- 对于文件或文件夹权限设置步骤:
- 确定文件夹的类型(各个用户对该文件夹的访问权限
- 确定用户组,将用户划分到组中(需要整体考虑文件数量、扩展性等)
- 创建用户、组
- 将用户划分到组中
- 分别为每个文件夹分配权限
- 登录不同账户验证权限设置效果
0x06 附录
-
还原系统中的用户、组信息
# 删除 net localgroup jishubu /del net localgroup caiwubu /del net localgroup xiaoshoubu /del net localgroup jingli /del net user jishubujl /del net user jishubuyg /del net user caiwubujl /del net user caiwubuyg /del net user xiaoshoubujl /del net user xiaoshoubuyg /del net user zongjingli /del