1025111017陈绪群第七次实验.docx
《1025111017陈绪群第七次实验.docx》由会员分享,可在线阅读,更多相关《1025111017陈绪群第七次实验.docx(20页珍藏版)》请在冰豆网上搜索。
1025111017陈绪群第七次实验
《计算机网络安全实验》
实验报告
实验名称:
用户管理
年级:
2010级
专业:
网络工程专业
班级:
网络工程二班
姓名:
陈绪群
学号:
1025111017
成绩:
指导教师:
卢正添
提交报告时间:
2013年6月6日
一、实验目的
1.掌握使用计算机管理工具管理本地用户账户的方法,了解windows2000中账户的命名规则,口令要求。
2.掌握window2000系统下授权管理,了解window2000访问控制机制和授权规则。
二、实验环境
WindowsServer2000
三、实验步骤与实验结果
1.用户管理
1.1添加管理本地用户用户名:
test密码:
testabc
1.2将该用户加入到合适的组中,放入到PowerUser组中。
1.3PowerUser不能更改系统管理员的密码
2授权管理
2.1更改系统默认权限---编辑User的权限
2.2设置文件权限---设置”机密文件.txt”的权限
查看属性
删除Everyone的完全控制权限
添加用户test,并为test用户授权
④使用其他用户登陆,测试权限设置的效果
3练习
(1)创建用户和组
组
用户账户
Manager
UserT1属于Manager
UserT2属于Accounting
UserT3属于Manager和Accounting
Accounting
UserT4不属于Managers和Accoutting
创建组Manager
创建组Accounting
创建用户UserT1
④创建用户UserT1
创建用户UserT3
创建用户UserT4
3.将用户添加到指定的组中
2.创建文件夹
C:
\Public
C:
\Public\Library
C:
\Public\|Manuals
C:
\Public\Library\Misc
C:
\Apptest
C:
\Apptest\Database
C:
\Apptest\Spreadsheet
C:
\Apptest\WordProcessing
1.创建文件夹结果如下
2.为文件夹分配权限
2.为文件夹分配权限
文件夹名称
用户账户或者组
权限
Public
User
Administrator
Read&Execute
FullControl
Public\Library
User
Administrator
Manager
Read&Execute
FullControl
Modify
Public\Library|Misc
User
Administrator
UserT
Read&Execute
FullControl
Modify
Public\Manuals
Users
Administrator
Accounting
Read&Execute
FullControl
Modify
权限分配如下:
Public文件夹
Public\Library文件夹权限分配
Public\Library|Misc文件夹权限分配
4.权限分配测试
1.UserT1登录-----Public\Manuals
2.UserT2登录-----Public\Manuals
3.UserT3登录-----Public\Manuals
4.UserT4登录-----Public\Manuals
5.更改权限测试
1.UserT1登录-----Public\LIbrary
2.UserT2登录-----Public\LIbrary
3.UserT3登录-----Public\LIbrary
4.UserT4登录-----Public\LIbrary
四、分析与讨论
1.详细叙述加入本地用户的过程,并使用该用户登陆系统进行权限设置。
答:
加入本地用户的过程详见实验步骤中的添加本地用户。
权限测试如下:
PowerUser不能更改系统管理员的密码
2.分析Windows2000系统所使用访问控制模型
答:
访问控制模型(AccessControlModel),它是Windows安全性的基础构件。
访问控制模型有两个主要的组成部分,访问令牌(AccessToken)和安全描述符(SecurityDescriptor),它们分别是访问者和被访问者拥有的东西。
通过访问令牌和安全描述符的内容,Windows可以确定持有令牌的访问者能否访问持有安全描述符的对象。
访问令牌是与特定的Windows账户关联的。
当一个Windows账户登录的时候,系统会从内部数据库里读取该账户的信息,然后使用这些信息生成一个访问令牌。
在该账户环境下启动的进程,都会获得这个令牌的一个副本,进程中的线程默认持有这个令牌。
线程要想去访问某个对象,或者执行某些系统管理相关的操作时,Windows就会使用这个线程持有的令牌进行访问检查。
安全描述符是与被访问对象关联的,它含有这个对象所有者的SID,以及一个访问控制列表(ACL,AccessControlList),访问控制列表又包括了DACL(DiscretionaryAccessControlList)和SACL(SystemAccessControlList)——目前还不知道这两个东西的确切翻译——其中,DACL是安全描述符中最重要的,它里面包含零个或多个访问控制项(ACE,AccessControlEntry),每个访问控制项的内容描述了允许或拒绝特定账户对这个对象执行特定操作。
至于SACL,它很少用到,主要是用于系统审计的,它的内容指定了当特定账户对这个对象执行特定操作时,记录到系统日志中。
当一个线程尝试去访问一个对象时,系统会检查线程持有的令牌以及被访问对象的安全描述符中的DACL。
如果安全描述符中不存在DACL,则系统会允许线程进行访问。
如果存在DACL,系统会顺序遍历DACL中的每个ACE,检查ACE中的SID在线程的令牌中是否存在。
当满足以下条件时,遍历会终止:
当一个访问令牌中含有受限制的SID列表时,系统在遍历ACE的时候只会与这些受限制的SID进行匹配,而忽略令牌中其余的SID,也就是相当于从访问令牌中删除了其它的SID。
另外,还有令牌中的权限列表,权限与对象访问无关,所以与安全描述符,SID等无关。
当线程执行一些管理相关的操作时,系统会检查该线程的令牌中是否含有特定的权限,如果有,则允许线程执行该操作,否则拒绝。
要查看完整的权限列表,可以运行gpedit.msc,然后定位到“计算机配置-Windows设置-安全设置-本地策略-用户权利指派”。
升级会员 