一、 试验环境一、 试验环境 1.《域控制器》《2008R2 操作系统》 2.需要的组织和成员 组织单位：财务部组：财务部成员：cw1cw2 组织单位：品质部组：品质部成员：pz1pz2 3.需要的文件夹和子文件夹 一级总文件夹：information 二级子文件夹：财务部三级子文件夹：cw1cw2共享文件 二级子文件夹：品质部三级子文件夹：pz1pz2共享文件 二、 试验目的试验目的 1.不同的部门的人只能打开本部门文件夹内的“共享文件”文件夹和以自己命名或已授权的文件夹。 “共享文件”部门组织内每个 人都可以有访问和写入权限。 2.假设财务部整个部门或个别人员需要访问品质部“共享文件”或“成员文件夹”可以在需要访问的部门中加入相应的组或者组成 员来实现相互访问和权限分配。 3.特别需要注意的部分已经用红色字体标记起来，对于初学者一定要认真查看和区分。 三、 操作实验三、 操作实验 1.在 AD 用户和计算机中建立财务部和品质部组织单位和组以及成员， (使用原来的 AD 域做的试验所以有点不规范) 建立的 Pinzhubu 组 和财务部 组。 如图∨ 2.将各组织单位的的成员加入到各自的组中去，否则在搭建文件服务器后没有权限打开文件，建立组的时候默认组作用域是“全局” 和组类型是“安全组”建立的时候不要去选其他的让它默认就好。如图∨ 3.这里主要注意的是将默认的 USERS 组删除掉重新添加一个新的 USERS 组,并且注意选择应用于“此文件夹和文件”和分配其权限。 其他的比较简单按照操作步骤来来就可以了。 4.随意新建一个文件夹名称,这里以“information”为例，选择文件夹右键属性->共享->高级共享->勾选开启共享->权限->将默认的 Everryone 分配更改和读取权限 共享->高级共享->勾选开启共享->权限->将默认的 Everryone 分配更改和读取权限， 如图∨ps： 原因是远程共享时有足够的网络共享权限访问。 共享权限和安全权限区别请百度！ ！ 5.完成共享权限后开始本地安全权限分配，选择安全->高级->更改权限->将“包括可从该对象的父项继承的权限”的勾取消将“包括可从该对象的父项继承的权限”的勾取消， (因 为只有这样才可以删除只带的 2 个 USERS 组)->选择添加->删除系统自带的 2 个 USERS 组选择添加->删除系统自带的 2 个 USERS 组(因为系统自带的 USERS 组应用于的默 认设置匹配)->添加新的 USERS 组->对象选择应用于_此文件夹和文件此文件夹和文件并选择图中的标识出现的 5 个读取权限。 如图∨ 6.完成以上步骤后一级总文件夹：information 搭建完成，搭建二级文件夹时注意选择应用于“此文件夹和文件”和分配的权限即可， USERS 组权限以及在一级文件夹权限中分配好，系统会自动继承下来无需再次配置。 7.建立好财务部和品质部二级文件夹后，右键属性->安全->高级->更改权限(这里注意不要将“包括可从该对象的父项继承的权限” 的勾取消和不要删除继承下来的 USERS 组)->选择添加将财务部组加入到其中->对象选择应用于_此文件夹和文件此文件夹和文件并选择图中的 标识出现的 5 个读取权限。 如图∨ 8.现在开始建立三级成员和部门共享文件夹，操作方式和添加财务部组一样，分别右键属性->安全->高级->更改权限->选择添加将 财务成员加入到自己的文件夹中或将财务部门组添加到部门共享文件当中去。 (目的是让它们都有足够的权限对文件夹进行管理 9.唯一不同的是需要注意在对象应用于是_“此文件夹、子文件夹、和文件此文件夹、子文件夹、和文件”并且拥有足够的权限勾选“完成控制完成控制” 。如图中左边是 部门成员权限分配右边是部门组权限分配。注意：这不能出现设置错误，否则可能无法生效相应的权限。 10. 以上就是配置好财务部的此成员文件夹和部门共享文件夹权限分配，搭建品质部的成员文件夹和部门共享和财务部的一样，根据 第 7‐9 步的操作方法重复即可。 (财务部怎么配置的品质部或后续其他部门也根据这样配置即可) 11. 下面可以看到在局域网使用财务账号“CW1”访问的结果，帐号“CW1”可以打开自身的文件夹并且相应的编辑权限，但无法打 开其他帐号的文件，而部门共享文件也是能够正常打开并且拥有编辑的权限。 12. 有时候需要跨部门查看文件的时候就需要进行一些相应的配置，如财务部成员或整个部门需要查看品质部部门共享文件时，这时 就需要在 AD 用户和计算机中将财务部组或单独成员加入到品质部的组当中去，这样就能直接访问品质的部门共享文件了，注意： 财务组或单独成员都和品质部成员一样在用一个部门组所以也拥有编辑权，根据情况是否需要这样分配。 《这点一定要注意》《这点一定要注意》 13. 下面就是局域网使用财务账号“CW1”访问品质部部门共享文件夹结果。pz1 和 pz2 帐号文件夹无法打开，但是可以打开部门共 享文件夹并且拥有编辑权限。 14. 另外一种为了只让财务部组或成员只有品质部部门文件夹读取权限，需要在品质部组织单位中新建一个“只读”组，将需要访问 的组或者成员加入进去，然后参考第 7‐9 步骤像添加“pinzhubu”组一样，将“只读”组加入到品质部二级文件夹和三级部门共 享文件夹下，对象选择应用于_此文件夹和文件此文件夹和文件并选择 5 个读取权限，这样财务部组或成员访问进来时只有读取权限，另外同时 还可以根据需求很方便的开放读取品质部账号“PZ1”和“PZ2”的权限。 15. 注意：注意：这里是只是拿财务部访问和品质部来做案例,同样的方法也可以应用到其他的部门组或对象中去，需要认真去观察和分析。 四、 注意事项四、 注意事项 1.对于没实战经验的学者来说，一定要分析理解清楚对象框中的应用于(只有该文件夹)‐(此文件夹、子文件夹和文件)‐(此文 件件和子文件夹)‐(此文件夹和文件)‐(仅子文件夹和文件)‐(只有子文件夹)‐(只有文件)与下面对应的允许和拒绝之间的 权限关系，它们是取决于分配的依据，选择的方式不一样分配的权限效果也不一样。 2.还有要了分析清楚高级设置框中(包括可对该对象的父项继承的权限)‐(使用可从此处对象继承的权限替换所有子对象权限)‐ 以及对象框中的(仅将这些权限应用到此容器中的对象和/或容器)它们之间的意思。1.一般我们不怎么用到前者默认继承上面父 项的权限，2.后者默认是继承到下面的对象，根据特殊情况是否“打勾”不需要将权限继承到下面对象中去。 3.假设在本次试验中 information 文件夹选择的应用对象是(此文件夹、子文件夹和文件)下面对应的权限又是完全控制，那么这个 文件夹将完全对所有用户开放并都有编辑权限。原因是所有的和二级文件夹和三级文件夹和文件都继承完全控制的权限。 4.在假设在本次试验中 information 文件夹选择的应用对象是(仅子文件夹和文件)或(只有子文件夹)再或者(只有文件)下面对 应的权限也是完全控制，但是这样却无法打开财务部和品质部文件夹，为什么呢，我们一定要注意看应用的对象是谁。

展开阅读全文