1.单机多用户的权限分配
通过上文我们知道,对于单机多用户环境,将所有的用户进行合适的分类而授予相应的权限就可以有效管理计算机。但应用到实际中,我们究竟能做那些具体工作呢?不妨来假设有一家3个人共享1台计算机——精通计算机应用的爸爸、不关心计算机技术的妈妈和10岁左右的儿子。
那么相应用户权限分配可如下设置:爸爸是计算机管理员,出于安全的考虑,平常的计算机使用中不应使用管理员身份登录,爸爸为自己分配了一个Power User或User类型帐户,而妈妈和儿子分别拥有自己的User帐户。此时系统为不同的用户建立了不同用户文件夹及配置文件(用户对这个自己独有的文件夹拥有完全控制的权限)。如果使用管理员用户组的用户登录,“我的电脑”视图中可看到所有本地登录用户的“XX的文档”文件夹,此外还有一个共享文件夹。而其他类型用户则只能在此处看到自己的“XX的文档”文件夹,而无法看到其他登录用户的文件夹,即使直接在硬盘上能找到其他用户的相关文件夹,也不能访问文档,除非得到授权。这样就保证了除管理员外,其他用户独有文件相互之间的安全隐私性,同时也保证了普通用户在使用中不会对计算机系统造成安全危害。这时系统的日常运作基本上是安全的。
但是,随着日常的使用,爸爸发现,正处于充满好奇年龄阶段的儿子对计算机里的一切充满了探索的欲望,然而由于计算机知识不够,他常常会无意识地对硬盘上其他用户创建的文件或应用软件进行运行、修改、删除等破坏工作,又或者在硬盘的系统分区上复制大量文件而使该分区消耗殆尽等。虽然用户权限的限制不至于损害系统,但这显然对计算机的正常使用影响巨大,不关心技术的妈妈甚至有时也会犯这样的错误。这时爸爸就可以管理员身份登录计算机,通过设置不同用户对文件夹的访问权限来解决这一问题。
首先,由于WinXP默认的是文件简单共享方式,这种情况下无法为文件夹或文件设置访问权限,所以要去掉这一默认方式。选择资源管理器的菜单项“工具”→“文件夹选项”,进入“查看”选项卡,将“使用简单文件共享”前的复选框勾除即可。之后用鼠标右击要设置权限的文件夹(也可是整个硬盘分区),在弹出的快捷菜单中选择“属性”,并在属性对话框中选择“安全”选项卡,在这里就可添加或删除不同访问权限的组或用户。
有时我们会发现无法删除组或用户,或者由于它们的具体权限在权限列表中是灰色的而无法修改。这是因为文件夹在默认状态下继承了上级文件夹或系统分区的访问权限,所以要先去除已继承的权限才能修改。点击“安全”选项卡上的“高级”按钮,查看文件夹的高级安全设置对话框。在文件的高级安全设置对话框下方有一个“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框,这个选项就是用来设置权限的继承,取消复选框的选择,这时又会弹出另一个对话框,如果此处选择“复制”按钮,那么该文件夹将保留上级文件夹继承下来的权限,但若以后上级文件夹权限被修改,就不会影响本文件夹;如果选择删除,就将删除所有继承自上级文件夹的权限,只保留用户单独为该文件夹设置的权限。这样就能自由设置文件夹权限了。
最后,还可限制不同用户能使用的具体磁盘空间来加强管理。具体做法是,在系统磁盘驱动器图标上单击鼠标右键,选择“属性”选项,点击“配额”选项进入配额选项面板。选择启用磁盘配额。如果你想严格控制用户可使用的磁盘空间,可选择“将磁盘空间限制为”选项,并设置相关数字。接着点击“配额项”进入具体设置,在这里可新建配额项和修改配额项。
至此,作为管理员的爸爸就可以基本保证计算机的安全和正常使用了。但要正确设置好文件的权限,还需牢记以下原则:(1)权限是积累的——例如某个用户对一个文件有读取权限,而该用户又属于一个组,同样该组对该文件又有写的权限,那么该用户对该文件就有了读和写的双重权限;(2)文件权限超越文件夹权限——如果某个用户对一个文件有写的权限,同时他对该文件所在文件夹只有读的权限,最后并不影响该用户对文件的写权限;(3)拒绝权限大于一切——上面在为用户赋予权限时,都是设置其允许有什么权限,而没有设置拒绝权限,但实际上拒绝权限可以超越其他任何权限,如果你想让某个用户不能访问一个文件夹,那么你可设置该文件夹拒绝访问,这样即使该用户对此文件夹具有访问权限也不行。另外,这里给出管理员在授权时的一些有益经验:(1)为减少工作量,尽可能为组授权,而不要为用户授权;(2)将文件分组,如建一个文件夹专门存放资料,为该文件夹授予权限,而不必为每个文件都设置权限;(3)实行按需分配原则,只授予用户他们需要的权限,这样可提高安全性;(4)当你对可执行文件授权时,尽量授予读和执行权限,而不要再予其他权限,这样可在一定程度上防止病毒的侵害。
2.单机多用户文件安全的使用事项
首先,无论你是哪一级的用户都要明白,自己的用户密码是安全的关键。如果忘记密码就会造成极大的困扰,虽然有一些技巧可恢复你的密码,但随着WinXP安全性能不断升级,密码恢复将会越来越难。所以未雨绸缪为自己创建一张修复用户密码的启动软盘是个好办法:点击“控制面板”→“用户帐户”,选择自己的帐户进入到控制界面,之后点击窗口左上方“相关任务”下的“阻止一个已忘记的密码”选项,则进入“忘记密码向导”对话框。点击“下一步”,向导提示将一张空白的已格式化磁盘插入到软驱中,接下来向导提示输入当前密码,输入后经过几秒种便创建完成密码启动盘了。如果有一天忘记了自己的密码,只要在欢迎登录界面点击自己账户右边的箭头,然后在弹出的提示栏中选择“使用密码重设磁盘”,再将先前做好的密码启动盘插入软驱,按照系统提示重新设置密码就能正常登录了。
接下来将讨论,单机多用户环境下的普通用户在私人资源的安全和隐私方面的注意事项。
首先,各用户对自己的专有文件夹(即“XX的文挡”)拥有完全控制的权限,如果系统没有取消“简单共享文件”,可在文件夹属性中将某文件夹设置为“专有文件夹”以保护私人资源。若计算机取消了“简单共享文件”,就可按上文设置用户访问权限来保护。
通过上述设置,虽然一般用户不能访问受到保护的文件,却不能阻止计算机管理员的访问,故WinXP提供了EFS文件加密功能来解决这一问题。右击要保护的文件或文件夹,选择“属性”→“高级”,勾选“加密内容以便保护数据”,两次“确定”即可;这里如果对文件夹进行加密,会多出现一个对话框,提示是加密文件夹还是加密文件夹及其下的所有内容,加密完成后可看到被加密过的文件或文件夹名被标明为绿色。别的帐号登录系统是打不开这些加密文件的,即使具有最高权限的计算机管理员也不能打开(但他可删除任何文件,包括别人的加密文件)。
作为在单机多用户环境下的管理员,首先要注意日常的运行操作不要以管理员身份登录。因为以管理员身份运行WinXP容易使系统受到病毒、特洛伊木马和其他安全性威胁的侵害。例如不熟悉的Internet站点可能有木马代码,这些代码可下载到该系统并执行。如以管理员身份登录,木马可能会重新格式化硬盘、删除所有文件、新建具有管理访问权限的用户帐户等。所以应该将自己添加到Users或Power Users组中。只有在需要执行管理任务时,如升级操作系统或配置系统参数、安装程序等,再注销并以管理员身份登录。如果觉得登录过于麻烦,也可利用临时为自己分配管理权限的技巧:(1)以安装某程序为例,在右击程序安装文件的同时按住Shift键;(2)在随后出现的快捷菜单中点击“运行方式”;(3)输入具有相应管理权限的用户名和密码。这种方式对于开始菜单中的应用程序同样适用。
当然,计算机管理员要好好研究控制面板里“管理工具”项目中的“本地安全策略”,这是WinXP最重要的安全设置工具,系统的基本安全设置都可在这里实现,通过它你可以结合具体情况有效制订出机器的安全策略和独特技巧。例如依次选择“安全设置”→“本地策略”→“安全选项”。在右侧窗格中,双击“关机:允许系统在尚未登录的情况下被关闭”,点击“已停用”单选框并单击“确定”按钮。这样一来,就禁用了“欢迎屏幕”上的关机按钮,在尚未登录的情况下,任何人都无法执行关机操作了!仔细研究和发掘,你能创造出更多的安全管理技巧。
注意:对于公共场合的单机多用户,如果你的私人文件极为隐密和重要,那么一定要结合其他工具软件来保护你的文件。因为WinXP现有的安全性能还不足以完全保护你的文件,毕竟一些有经验的用户在配合相应工具的情况下,能轻易获取计算机管理员的权限。(大众软件)
网友评论