1025111017陈绪群第七次实验.docx

1、1025111017陈绪群第七次实验计算机网络安全实验实验报告实验名称：用户管理 年 级： 2010级专 业：网络工程专业班 级：网络工程二班姓 名： 陈绪群学 号： 1025111017 成 绩：指导教师: 卢 正 添 提交报告时间:2013年6月6日一、实验目的 1.掌握使用计算机管理工具管理本地用户账户的方法，了解windows 2000中账户的命名规则，口令要求。 2.掌握window 2000系统下授权管理，了解window 2000访问控制机制和授权规则。二、实验环境 Windows Server 2000三、实验步骤与实验结果1.用户管理 1.1添加管理本地用户 用户名:test

2、 密码:testabc 1.2将该用户加入到合适的组中，放入到Power User组中。1.3Power User不能更改系统管理员的密码2授权管理2.1更改系统默认权限-编辑User的权限2.2设置文件权限-设置”机密文件.txt”的权限查看属性删除Everyone的完全控制权限添加用户test,并为test用户授权使用其他用户登陆，测试权限设置的效果3练习（1）创建用户和组组用户账户ManagerUserT1属于ManagerUserT2属于AccountingUserT3属于Manager和AccountingAccountingUserT4不属于Managers和Accoutting创

3、建组Manager创建组Accounting创建用户UserT1创建用户UserT1创建用户UserT3创建用户UserT43.将用户添加到指定的组中2.创建文件夹C:PublicC:PublicLibraryC:Public|ManualsC:PublicLibraryMiscC:ApptestC:ApptestDatabaseC:ApptestSpreadsheetC:ApptestWordProcessing1.创建文件夹结果如下2.为文件夹分配权限2.为文件夹分配权限文件夹名称用户账户或者组权限PublicUserAdministratorRead &ExecuteFull Contr

4、olPublicLibraryUserAdministratorManagerRead & ExecuteFull ControlModifyPublicLibrary|MiscUserAdministratorUserTRead & ExecuteFull ControlModifyPublicManualsUsersAdministratorAccountingRead & ExecuteFull ControlModify权限分配如下：Public文件夹PublicLibrary文件夹权限分配PublicLibrary|Misc文件夹权限分配4.权限分配测试 1.UserT1登录-Pub

5、licManuals 2.UserT2登录-PublicManuals 3.UserT3登录-PublicManuals 4.UserT4登录-PublicManuals5.更改权限测试1.UserT1登录-PublicLIbrary2.UserT2登录-PublicLIbrary3.UserT3登录-PublicLIbrary4.UserT4登录-PublicLIbrary四、分析与讨论1.详细叙述加入本地用户的过程,并使用该用户登陆系统进行权限设置。答:加入本地用户的过程详见实验步骤中的添加本地用户。 权限测试如下:Power User不能更改系统管理员的密码2.分析Windows 200

6、0系统所使用访问控制模型答:访问控制模型（Access Control Model），它是Windows安全性的基础构件。访问控制模型有两个主要的组成部分，访问令牌（Access Token）和安全描述符（Security Descriptor），它们分别是访问者和被访问者拥有的东西。通过访问令牌和安全描述符的内容，Windows可以确定持有令牌的访问者能否访问持有安全描述符的对象。访问令牌是与特定的Windows账户关联的。当一个Windows账户登录的时候，系统会从内部数据库里读取该账户的信息，然后使用这些信息生成一个访问令牌。在该账户环境下启动的进程，都会获得这个令牌的一个副本，进程中的

7、线程默认持有这个令牌。线程要想去访问某个对象，或者执行某些系统管理相关的操作时，Windows就会使用这个线程持有的令牌进行访问检查。安全描述符是与被访问对象关联的，它含有这个对象所有者的SID，以及一个访问控制列表（ACL，Access Control List），访问控制列表又包括了DACL（Discretionary Access Control List）和SACL（System Access Control List）目前还不知道这两个东西的确切翻译其中，DACL是安全描述符中最重要的，它里面包含零个或多个访问控制项（ACE，Access Control Entry），每个访问控制项

8、的内容描述了允许或拒绝特定账户对这个对象执行特定操作。至于SACL，它很少用到，主要是用于系统审计的，它的内容指定了当特定账户对这个对象执行特定操作时，记录到系统日志中。当一个线程尝试去访问一个对象时，系统会检查线程持有的令牌以及被访问对象的安全描述符中的DACL。如果安全描述符中不存在DACL，则系统会允许线程进行访问。如果存在DACL，系统会顺序遍历DACL中的每个ACE，检查ACE中的SID在线程的令牌中是否存在。当满足以下条件时，遍历会终止：当一个访问令牌中含有受限制的SID列表时，系统在遍历ACE的时候只会与这些受限制的SID进行匹配，而忽略令牌中其余的SID，也就是相当于从访问令牌中删除了其它的SID。另外，还有令牌中的权限列表，权限与对象访问无关，所以与安全描述符，SID等无关。当线程执行一些管理相关的操作时，系统会检查该线程的令牌中是否含有特定的权限，如果有，则允许线程执行该操作，否则拒绝。要查看完整的权限列表，可以运行gpedit.msc，然后定位到“计算机配置-Windows设置-安全设置-本地策略-用户权利指派”。