【www.guakaob.com--数据库系统】
访问权限的说说篇一
《系统权限详细说明》
HELLO!!!!!!! Privilege
一. 权限的由来
远方的某个山脚下,有一片被森林包围的草原,草原边上居住着一群以牧羊为生的牧民。草原边缘的森林里,生存着各种动物,包括野狼。
由于羊群是牧民们的主要生活来源,它们的价值便显得特别珍贵,为了防止羊的跑失和野兽的袭击,每户牧民都用栅栏把自己的羊群圈了起来,只留下一道小门,以便每天傍晚供羊群外出到一定范围的草原上活动,实现了一定规模的保护和管理效果。
最初,野狼只知道在森林里逮兔子等野生动物生存,没有发现远处草原边上的羊群,因此,在一段时间里实现了彼此和平相处,直到有一天,一只为了追逐兔子而凑巧跑到了森林边缘的狼,用它那灵敏的鼻子嗅到了远处那隐隐约约的烤羊肉香味。
当晚,突然出现的狼群袭击了草原上大部分牧民饲养的羊,它们完全无视牧民们修筑的仅仅能拦住羊群的矮小栅栏,轻轻一跃便突破了这道防线……虽然闻讯而来的牧民们合作击退了狼群,但是羊群已经遭到了一定的损失。
事后,牧民们明白了栅栏不是仅仅用来防止羊群逃脱的城墙,各户牧民都在忙着加高加固了栅栏……
如今使用WINDOWS XP VISTA WIN7 的人都听说过“权限”(Privilege)这个概念,但是真正理解它的家庭用户,也许并不会太多,那么,什么是“权限”呢?对于一般的用户而言,我们可以把它理解为系统对用户能够执行的功能操作所设立的额外限制,用于进一步约束计算机用户能操作的系统功能和内容访问范围,或者说,权限是指某个特定的用户具有特定的系统资源使用权力。
对计算机来说,系统执行的代码可能会对它造成危害,因此处理器产生了Ring(圈内,环内)的概念,把“裸露在外”的一部分用于人机交互的操作界面限制起来,避免它一时头脑发热发出有害指令;而对于操作界面部分而言,用户的每一步操作仍然有可能伤害到它自己和底层系统——尽管它自身已经被禁止执行许多有害代码,但是一些不能禁止的功能却依然在对这层安全体系作出威胁,因此,为了保护自己,操作系统需要在Ring 的笼子里限制操作界面基础上,再产生一个专门用来限制用户的栅栏,这就是现在我们要讨论的权限,它是为限制用户而存在的,而且限制对每个用户并不是一样的,在这个思想的引导下,有些用户能操作的范围相对大些,有些只能操作属于自己的文件,有些甚至什么也不能做……
还记得古老的WINDOWS 9x和MS-DOS吗?它们仅仅拥有基本的Ring权限保护(实模式的DOS甚至连Ring分级都没有),在这个系统架构里,所有用户的权力都是一样的,任何人都是管理员,系统没有为环境安全提供一点保障——它连实际有用的登录界面都没有提供,仅仅有个随便按ESC都能正常进入系统并进行任何操作的“伪登录”限制而已。对这样的系统而言,不熟悉电脑的用户经常一不小心就把系统毁掉了,而且病毒木马自然也不会放过如此“松软”的一块蛋糕,在如今这个提倡信息安全的时代里,WINDOWS 9x成了名副其实的鸡肋系统,最终淡出人们的视线,取而代之的是由WINDOWS NT家族发展而来的WINDOWS 2000,XP,VISTA 与 win7,此外还有近年来致力向桌面用户发展的Linux系统等,它们才是能够满足这个安全危机时代里个人隐私和数据安全等要求的系统。
Win2000之后的系统都是microsoftWindows NT技术的产物,是基于服务器安全环境思想来构建的纯32位系统。NT技术没有辜负microsoft的开发,它稳定,安全,提供了比较完善的多用户环境,最重要的是,它实现了系统权限的指派,从而杜绝了由Win9x时代带来的不安全操作习惯可能引发的大部分严重后果。
正因为如此,计算机用户才有了分类:管理员、普通用户、受限用户、来宾等……
二. 权限的指派
1.普通权限
虽然Win2\X\V\win7等系统提供了“权限”的功能,但是这样就又带来一个新问题:权限如何分配才是合理的?如果所有人拥有的权限都一样,那么就等于所有人都没有权限的限制,那和使用Win9x有什么区别?幸好,系统默认就为我们设置好了“权限组”(Group),只需把用户加进相应的组即可拥有由这个组赋予的操作权限,这种做法就称为权限的指派。
默认情况下,系统为用户分了8个组,并给每个组赋予不同的操作权限,管理员组
(Administrators)、高权限用户组(Power Users)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用户组(Guests),匪名用户组(Ahthenticated users)其中备份操作组和文件复制组为维护系统而设置,平时不会被使用。
系统默认的分组是依照一定的管理凭据指派权限的,而不是胡乱产生,管理员组拥有大部分的计算机操作权限(并不是全部),能够随意修改删除所有文件和修改系统设置只有程序信任组(特殊权限)。再往下就是高权限用户组,这一部分用户也能做大部分事情,但是不能修改系统设置,不能运行一些涉及系统管理的程序。普通用户组则被系统拴在了自己的地盘里,不能处理其他用户的文件和运行涉及管理的程序等。来宾用户组的文件操作权限和普通用户组一样,但是无法执行更多的程序。
2.特殊权限
除了上面提到的6个默认权限分组,系统还存在一些特殊权限成员,这些成员是为了特殊用途而设置,分别是:SYSTEM(系统)、Trustedinstaller(信任程序)、Everyone(所有人)、CREATOR OWNER(创建者) 等,这些特殊成员不被任何内置用户组吸纳,属于完全独立出来的账户。 前面我提到管理员分组的权限时并没有用“全部”来形容,秘密就在此,不要相信系统描述的“有不受限制的完全访问权”,它不会傻到把自己完全交给人类,管理员分组同样受到一定的限制,只是没那么明显罢了,真正拥有“完全访问权”的只有一个成员:SYSTEM。这个成员是系统产生的,真正拥有整台计算机管理权限的账户,一般的操作是无法获取与它等价的权限的。
“所有人”权限与普通用户组权限差不多,它的存在是为了让用户能访问被标记为“公有”的文件,这也是一些程序正常运行需要的访问权限——任何人都能正常访问被赋予“Everyone”权限的文件,包括来宾组成员。
被标记为“创建者”权限的文件只有建立文件的那个用户才能访问,做到了一定程度的隐私保护。
但是,所有的文件访问权限均可以被管理员组用户和SYSTEM成员忽略,除非用户使用了NTFS加密。
无论是普通权限还是特殊权限,它们都可以“叠加”使用,“叠加”就是指多个权限共同使用,例如一个账户原本属于Users组,而后我们把他加入Administrators组在加入Trustedinstaller等权限提升,那么现在这个账户便同时拥有两个或多个权限身份,而不是用管理员权限去覆盖原来身份。权限叠加并不是没有意义的,在一些需要特定身份访问的场合,用户只有为自己设置了指定的身份才能访问,这个时候“叠加”的使用就能减轻一部分劳动量了。
距离上一次狼群的袭击已经过了很久,羊们渐渐都忘记了恐惧,一天晚上,一只羊看准了某处因为下雨被泡得有点松软低陷的栅栏,跳了出去。可惜这只羊刚跳出去不久就遭遇了饿狼,不仅尸骨无存,还给狼群带来了一个信息:栅栏存在弱点,可以突破!
几天后的一个深夜,狼群专找地面泥泞处的栅栏下手,把栅栏挖松了钻进去,再次洗劫了羊群。从来以后牧民们开始轮流拿着枪,带着牧羊犬巡视着羊圈(大家想到什么!没错正是UAC保护 呵呵)
以后狼群的进攻被牧民们击退了,而且在不断吸取教训,牧民们在加固栅栏时都会把栅栏的根部打在坚硬的泥地上,并且嵌得很深。饿狼们,还会再来吗?
权限是计算机安全技术的一个进步,但是它也是由人创造出来的,不可避免会存在不足和遗漏,我们在享受权限带来的便利时,也不能忽视了它可能引起的安全隐患或者设置失误
导致的众多问题。要如何才算合理使用权限,大概,这只能是个仁者见仁,智者见智的问题了。
今天,你又在用管理员账户心安理得的到处逛了吗????????
论坛中删除的NTFS部分
NTFS与权限
在前面我提到了NTFS文件系统,安装过Win XP Vista和win7的用户应该会注意到安装过程中出现的“转换分区格式为NTFS”的选择,那么什么是NTFS?NTFS(New Technology File System)是一个特别为Network和磁盘配额、文件加密等管理安全特性设计的磁盘格式,只有使用NT技术的系统对它直接提供支持,也就是说,如果系统崩溃了,用户将无法使用外面流行的普通光盘启动工具修复系统,因此,是使用传统的FAT32还是NTFS,一直是个倍受争议的话题,但如果用户要使用完全的系统权限功能,或者要安装作为服务器使用,建议最好还是使用NTFS分区格式。
与FAT32分区相比,NTFS分区多了一个“安全”特性,NT用户可以进一步设置相关的文件访问权限,而且前面提到的相关用户组指派的文件权限也只有在NTFS格式分区上才能体现出来。例如,来宾组的用户再也不能随便访问到NTFS格式分区的任意一个文件了,这样可以减少系统遭受一般由网站服务器带来的入侵损失,因为IIS账户对系统的访问权限仅仅是来宾级别而已,如果入侵者不能提升权限,那么他这次的入侵可以算是白忙了。
使用NTFS分区的时候,用户才会察觉到系统给管理员组用户设定的限制:一些文件即使是管理员也无法访问,因为它是SYSTEM成员建立的,并且设定了权限。(图.NTFS权限审核导致访问被拒绝)
但是NTFS系统会带来一个众所周知的安全隐患:NTFS支持一种被称为“交换数据流”(AlternateDataStream,ADs)的存储特性,原意是为了和Macintosh的HFS文件系统兼容而设计的,使用这种技术可以在一个文件资源里写入相关数据(并不是写入文件中),而且写进去的数据可以使用很简单的方法把它提取出来作为一个独立文件读取,甚至执行,这就给入侵者提供了一个可乘之机,例如在一个正常程序里插入包含恶意代码的数据流,在程序运行时把恶意代码提取出来执行,就完成了一次破坏行动。
不过值得庆幸的是,数据流仅仅能存在于NTFS格式分区内,一旦存储介质改变为FAT32、CDFS,exFAT等格式,数据流内容便会消失了,破坏代码也就不复存在。
4.权限设置带来的安全访问和故障
访问权限的说说篇二
《系统权限详细说明》
HELLO!!!!!!! Privilege
一. 权限的由来
远方的某个山脚下,有一片被森林包围的草原,草原边上居住着一群以牧羊为生的牧民。草原边缘的森林里,生存着各种动物,包括野狼。
由于羊群是牧民们的主要生活来源,它们的价值便显得特别珍贵,为了防止羊的跑失和野兽的袭击,每户牧民都用栅栏把自己的羊群圈了起来,只留下一道小门,以便每天傍晚供羊群外出到一定范围的草原上活动,实现了一定规模的保护和管理效果。
最初,野狼只知道在森林里逮兔子等野生动物生存,没有发现远处草原边上的羊群,因此,在一段时间里实现了彼此和平相处,直到有一天,一只为了追逐兔子而凑巧跑到了森林边缘的狼,用它那灵敏的鼻子嗅到了远处那隐隐约约的烤羊肉香味。
当晚,突然出现的狼群袭击了草原上大部分牧民饲养的羊,它们完全无视牧民们修筑的仅仅能拦住羊群的矮小栅栏,轻轻一跃便突破了这道防线……虽然闻讯而来的牧民们合作击退了狼群,但是羊群已经遭到了一定的损失。
事后,牧民们明白了栅栏不是仅仅用来防止羊群逃脱的城墙,各户牧民都在忙着加高加固了栅栏……
如今使用WINDOWS XP VISTA WIN7 的人都听说过“权限”(Privilege)这个概念,但是真正理解它的家庭用户,也许并不会太多,那么,什么是“权限”呢?对于一般的用户而言,我们可以把它理解为系统对用户能够执行的功能操作所设立的额外限制,用于进一步约束计算机用户能操作的系统功能和内容访问范围,或者说,权限是指某个特定的用户具有特定的系统资源使用权力。
对计算机来说,系统执行的代码可能会对它造成危害,因此处理器产生了Ring(圈内,环内)的概念,把“裸露在外”的一部分用于人机交互的操作界面限制起来,避免它一时头脑发热发出有害指令;而对于操作界面部分而言,用户的每一步操作仍然有可能伤害到它自己和底层系统——尽管它自身已经被禁止执行许多有害代码,但是一些不能禁止的功能却依然在对这层安全体系作出威胁,因此,为了保护自己,操作系统需要在Ring 的笼子里限制操作界面基础上,再产生一个专门用来限制用户的栅栏,这就是现在我们要讨论的权限,它是为限制用户而存在的,而且限制对每个用户并不是一样的,在这个思想的引导下,有些用户能操作的范围相对大些,有些只能操作属于自己的文件,有些甚至什么也不能做……
还记得古老的WINDOWS 9x和MS-DOS吗?它们仅仅拥有基本的Ring权限保护(实模式的DOS甚至连Ring分级都没有),在这个系统架构里,所有用户的权力都是一样的,任何人都是管理员,系统没有为环境安全提供一点保障——它连实际有用的登录界面都没有提供,仅仅有个随便按ESC都能正常进入系统并进行任何操作的“伪登录”限制而已。对这样的系统而言,不熟悉电脑的用户经常一不小心就把系统毁掉了,而且病毒木马自然也不会放过如此“松软”的一块蛋糕,在如今这个提倡信息安全的时代里,WINDOWS 9x成了名副其实的鸡肋系统,最终淡出人们的视线,取而代之的是由WINDOWS NT家族发展而来的WINDOWS 2000,XP,VISTA 与 win7,此外还有近年来致力向桌面用户发展的Linux系统等,它们才是能够满足这个安全危机时代里个人隐私和数据安全等要求的系统。
Win2000之后的系统都是microsoftWindows NT技术的产物,是基于服务器安全环境思想来构建的纯32位系统。NT技术没有辜负microsoft的开发,它稳定,安全,提供了比较完善的多用户环境,最重要的是,它实现了系统权限的指派,从而杜绝了由Win9x时代带来的不安全操作习惯可能引发的大部分严重后果。
正因为如此,计算机用户才有了分类:管理员、普通用户、受限用户、来宾等……
二. 权限的指派
1.普通权限
虽然Win2\X\V\win7等系统提供了“权限”的功能,但是这样就又带来一个新问题:权限如何分配才是合理的?如果所有人拥有的权限都一样,那么就等于所有人都没有权限的限制,那和使用Win9x有什么区别?幸好,系统默认就为我们设置好了“权限组”(Group),只需把用户加进相应的组即可拥有由这个组赋予的操作权限,这种做法就称为权限的指派。
默认情况下,系统为用户分了8个组,并给每个组赋予不同的操作权限,管理员组
(Administrators)、高权限用户组(Power Users)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用户组(Guests),匪名用户组(Ahthenticated users)其中备份操作组和文件复制组为维护系统而设置,平时不会被使用。
系统默认的分组是依照一定的管理凭据指派权限的,而不是胡乱产生,管理员组拥有大部分的计算机操作权限(并不是全部),能够随意修改删除所有文件和修改系统设置只有程序信任组(特殊权限)。再往下就是高权限用户组,这一部分用户也能做大部分事情,但是不能修改系统设置,不能运行一些涉及系统管理的程序。普通用户组则被系统拴在了自己的地盘里,不能处理其他用户的文件和运行涉及管理的程序等。来宾用户组的文件操作权限和普通用户组一样,但是无法执行更多的程序。
2.特殊权限
除了上面提到的6个默认权限分组,系统还存在一些特殊权限成员,这些成员是为了特殊用途而设置,分别是:SYSTEM(系统)、Trustedinstaller(信任程序)、Everyone(所有人)、CREATOR OWNER(创建者) 等,这些特殊成员不被任何内置用户组吸纳,属于完全独立出来的账户。 前面我提到管理员分组的权限时并没有用“全部”来形容,秘密就在此,不要相信系统描述的“有不受限制的完全访问权”,它不会傻到把自己完全交给人类,管理员分组同样受到一定的限制,只是没那么明显罢了,真正拥有“完全访问权”的只有一个成员:SYSTEM。这个成员是系统产生的,真正拥有整台计算机管理权限的账户,一般的操作是无法获取与它等价的权限的。
“所有人”权限与普通用户组权限差不多,它的存在是为了让用户能访问被标记为“公有”的文件,这也是一些程序正常运行需要的访问权限——任何人都能正常访问被赋予“Everyone”权限的文件,包括来宾组成员。
被标记为“创建者”权限的文件只有建立文件的那个用户才能访问,做到了一定程度的隐私保护。
但是,所有的文件访问权限均可以被管理员组用户和SYSTEM成员忽略,除非用户使用了NTFS加密。
无论是普通权限还是特殊权限,它们都可以“叠加”使用,“叠加”就是指多个权限共同使用,例如一个账户原本属于Users组,而后我们把他加入Administrators组在加入Trustedinstaller等权限提升,那么现在这个账户便同时拥有两个或多个权限身份,而不是用管理员权限去覆盖原来身份。权限叠加并不是没有意义的,在一些需要特定身份访问的场合,用户只有为自己设置了指定的身份才能访问,这个时候“叠加”的使用就能减轻一部分劳动量了。
距离上一次狼群的袭击已经过了很久,羊们渐渐都忘记了恐惧,一天晚上,一只羊看准了某处因为下雨被泡得有点松软低陷的栅栏,跳了出去。可惜这只羊刚跳出去不久就遭遇了饿狼,不仅尸骨无存,还给狼群带来了一个信息:栅栏存在弱点,可以突破!
几天后的一个深夜,狼群专找地面泥泞处的栅栏下手,把栅栏挖松了钻进去,再次洗劫了羊群。从来以后牧民们开始轮流拿着枪,带着牧羊犬巡视着羊圈(大家想到什么!没错正是UAC保护 呵呵)
以后狼群的进攻被牧民们击退了,而且在不断吸取教训,牧民们在加固栅栏时都会把栅栏的根部打在坚硬的泥地上,并且嵌得很深。饿狼们,还会再来吗?
权限是计算机安全技术的一个进步,但是它也是由人创造出来的,不可避免会存在不足和遗漏,我们在享受权限带来的便利时,也不能忽视了它可能引起的安全隐患或者设置失误
导致的众多问题。要如何才算合理使用权限,大概,这只能是个仁者见仁,智者见智的问题了。
今天,你又在用管理员账户心安理得的到处逛了吗????????
论坛中删除的NTFS部分
NTFS与权限
在前面我提到了NTFS文件系统,安装过Win XP Vista和win7的用户应该会注意到安装过程中出现的“转换分区格式为NTFS”的选择,那么什么是NTFS?NTFS(New Technology File System)是一个特别为Network和磁盘配额、文件加密等管理安全特性设计的磁盘格式,只有使用NT技术的系统对它直接提供支持,也就是说,如果系统崩溃了,用户将无法使用外面流行的普通光盘启动工具修复系统,因此,是使用传统的FAT32还是NTFS,一直是个倍受争议的话题,但如果用户要使用完全的系统权限功能,或者要安装作为服务器使用,建议最好还是使用NTFS分区格式。
与FAT32分区相比,NTFS分区多了一个“安全”特性,NT用户可以进一步设置相关的文件访问权限,而且前面提到的相关用户组指派的文件权限也只有在NTFS格式分区上才能体现出来。例如,来宾组的用户再也不能随便访问到NTFS格式分区的任意一个文件了,这样可以减少系统遭受一般由网站服务器带来的入侵损失,因为IIS账户对系统的访问权限仅仅是来宾级别而已,如果入侵者不能提升权限,那么他这次的入侵可以算是白忙了。
使用NTFS分区的时候,用户才会察觉到系统给管理员组用户设定的限制:一些文件即使是管理员也无法访问,因为它是SYSTEM成员建立的,并且设定了权限。(图.NTFS权限审核导致访问被拒绝)
但是NTFS系统会带来一个众所周知的安全隐患:NTFS支持一种被称为“交换数据流”(AlternateDataStream,ADs)的存储特性,原意是为了和Macintosh的HFS文件系统兼容而设计的,使用这种技术可以在一个文件资源里写入相关数据(并不是写入文件中),而且写进去的数据可以使用很简单的方法把它提取出来作为一个独立文件读取,甚至执行,这就给入侵者提供了一个可乘之机,例如在一个正常程序里插入包含恶意代码的数据流,在程序运行时把恶意代码提取出来执行,就完成了一次破坏行动。
不过值得庆幸的是,数据流仅仅能存在于NTFS格式分区内,一旦存储介质改变为FAT32、CDFS,exFAT等格式,数据流内容便会消失了,破坏代码也就不复存在。
4.权限设置带来的安全访问和故障
访问权限的说说篇三
《怎么给QQ空间设置各种权限》
访问权限的说说篇四
《朋友网怎么设置访问权限》
朋友网怎么设置访问权限
朋友网,原名QQ校友。是腾讯打造的真实社交平台,为用户提供行业、、学校、班级、熟人等真实的社交场景。2011年7月5日,腾讯正式宣布旗下社区腾讯朋友更名为朋友网。
登录qq
点击朋友网图标
朋友网暂不支持访问权限设置,不过如果将朋友网中的朋友拖入黑名单中,将无法进入你的朋友网主页。先将鼠标箭头放在姓名上,然后,点击设置——加入黑名单。设置成功,此朋友将无法进入你的个人主页。
上一种只能用在朋友网中的朋友,没有加入黑名单中的照样可以进入你的个人主页。比较单一,而且如果多的话,操作起来也麻烦。第二种方法是仅自己可见、好友可见、和所有人可见。点击右上角的设置图标,鼠标左击设置隐私。
在个人信息栏下,可以设置出生日期、经历、我的班级等等的隐私设置。
点击个人主页拈权限,可以设置日志、最近访客、相册的可见设置。。相册的访问权限设置也差不多,点击修改单个相册权限。
点击编辑
点击,就可以设置访问权限了。
点击同步设置,可以设置说说和日志与qq空间同步。 点击和互动搜索可以设置好友申请、聊天等权限。 点击其他可以设置黑名单、停用账户。
访问权限的说说篇五
《访问技巧》
访问权限的说说篇六
《权限说明》
权限控制是保护系统安全运行很重要的一扇门。在web应用里,仅仅隐藏url是不够的。由于web应用是以请求/响应为单位的,我们的权限控制的粒度只有达到这个程度才能让全国人民放心。在java web开发的世界里,MVC框架的使用再平常不过,大都是将请求拦截后,控制器根据配置文件将请求转给某个函数来处理。下面看看在struts2中我们可以用的几种方案:
1、在每个函数里进行权限校验
这主意实在是简单,缺点我就不说了~太多了~
2、在每个请求对应的Action的配置项里配置参数,用以标示访问此Action需要的权限,再用拦截器处理
以前我这么做过,比方案1好很多,不过这注定你无法实现ZeroConfig。在ROR的促进下,约定优于配置渐渐深入人心。本人就极其反感大量的配置文件。但是由于权限配置提到XML里配置,最大的好处就是我不必重新编译代码就能改变权限关联。不过情况下遇到需求变更,你会有一种宁可去改代码的冲动。
3、结合Java的Annotation和Struts2的拦截器控制权限
下面是上午没事写的一个示例:访问login.jsp,登录,功能有eat和drink,用户登陆后只能访问已授权的功能链接。
基本思想:对每个Action方法进行注解,并注入一个资源字符串,部署一个拦截器,在每个请求之前拦截一下,通过反射拿到所调用的方法及其注解,依此来进行权限校验。 优点:
简单、可行性高
不修改MVC框架配置文件
不影响Action内的业务逻辑
注解的原则之一就是不影响代码的运行,这也实现了本方案的可插拔性、独立性高 更高的可配置性
缺点:
不知道对性能影响如何
代码基本上都贴到下面了,不想细讲了,有兴趣的可以留言讨论,觉得我火星的就不要拍砖了,有需要eclipse工程源码的发邮件问我要shoru#163.com。
(1
)
Annotation相关 Access 1package com.shoru.access; 2
3/**
4 * 访问控制接口,定义默认的控制常量
5 * @author Shoru
6 * @version 0.1
7 */
8
9public interface AccessOption { /**
10 * 拦截访问
11 */
12 public static String BLOCK="block";
13 /** 14 * 通过访问 15 */
16
public static String PASS="pass"; 17 /** 18 * 要求登录 19 */
20 public static String LOGIN="login";
21}
1package com.shoru.access;
2
3
4/**
5 * 用户自定义控制接口,继承自AccessOption
6 * 可将系统权限全部定义到此处,格式为:权限名=资源名
7 * @author Shoru
8 * @see AccessOption
9 */
10public interface UserAccessOption extends AccessOption { 11 public static String EAT = "eat";
12 public static String DRINK = "drink";
13}
(2)Action类
1package com.shoru.access.action;
2
3import java.util.ArrayList;
4import java.util.List; 5 6import com.opensymphony.xwork2.Action; 7import com.opensymphony.xwork2.ActionContext; 8import com.shoru.access.Access; 9import com.shoru.access.UserAccessOption; 10 11public class AccessAction implements Action { 12 @Access
13 public String execute() throws Exception {
14 return SUCCESS;
15 }
16
17 @Access(UserAccessOption.PASS)
18
19 public String index() throws Exception { /*
20 * 此处模拟权限的获取
21 */
22 List<String> accessPoints = new ArrayList<String>(); 23 /*
24 * 赋予eat权限
25 */
26 accessPoints.add("eat");
27 ActionContext.getContext().getSession().put("access", accessPoints);
28 return SUCCESS;
29 }
30
31 @Access(UserAccessOption.DRINK)
32 public String drink() throws Exception {
33 return SUCCESS; 34 } 35 36
37 @Access( { UserAccessOption.EAT }) public String eat() throws Exception { 38 return SUCCESS; 39 } 40}
(3)拦截器
1package com.shoru.access.interceptor;
2
3import java.lang.annotation.Annotation;
4import java.lang.reflect.Method;
5import java.util.List;
6
7import com.opensymphony.xwork2.ActionContext;
8import com.opensymphony.xwork2.ActionInvocation;
9import com.opensymphony.xwork2.interceptor.Interceptor;
10import com.opensymphony.xwork2.util.AnnotationUtils;
11import com.shoru.access.Access;
12import com.shoru.access.AccessOption;
13
14
15
16 private static final long serialVersionUID = -1066389312400000758L;
17
18 List<String> accessPoints = null; public class AccessInterceptor implements Interceptor {
访问权限的说说篇七
《windows系统权限详解》
一、什么是权限 Windows XP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。 " 权限"(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主,即"设置某个用户可以对哪些资源拥有权限"。这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。 利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。 值得一提的是,有一些Windows用户往往会将"权力"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:"权力"(Right)主要是针对用户而言的。"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别 。 二、安全标识符、访问控制列表、安全主体 说到Windows XP的权限,就不能不说说"安全标识符"(Security Identifier, SID)、"访问控制列表"(Access Control List,ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。 1.安全标识符 在Windows XP 中,系统是通过SID对用户进行识别的,而不是很多用户认为的"用户名称"。SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如名为"A"的账户)后,再次创建这个"A"账户时,前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护,盗用权限的情况也就彻底杜绝了。查看用户、组、服务或计算机的SID值,可以使用 "Whoami"工具来执行,该工具包含在Windows XP安装光盘的"Support\Tools"目录中,双击执行该目录下的"Setup"文件后,将会有包括Whoami工具在内的一系列命令行工具拷贝到"X:\Program Files\Support Tools"目录中。此后在任意一个命令提示符窗口中都可以执行"Whoami /all"命令来查看当前用户的全部信息。2.访问控制列表(ACL) 访问控制列表是权限的核心技术。顾名思义,这是一个权限列表,用于定义特定用户对某个资源的访问权限,实际上这就是Windows XP对资源进行保护时所使用的一个标准。 在访问控制列表中,每一个用
户或用户组都对应一组访问控制项(Access Control Entry, ACE),这一点只需在"组或用户名称"列表中选择不同的用户或组时,通过下方的权限列表设置项是不同的这一点就可以看出来。显然,所有用户或用户组的权限访问设置都将会在这里被存储下来,并允许随时被有权限进行修改的用户进行调整,如取消某个用户对某个资源的"写入"权限。 3.安全主体(Security Principal) 在Windows XP中,可以将用户、用户组、计算机或服务都看成是一个安全主体,每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同,账户的管理方式也有所不同──本地账户被本地的SAM管理;域的账户则会被活动目录进行管理...... 一般来说,权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。因为用户组包括多个用户,所以大多数情况下,为资源指派权限时建议使用用户组来完成,这样可以非常方便地完成统一管理。 三、权限的四项基本原则 在Windows XP中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下: 1.拒绝优于允许原则 " 拒绝优于允许"原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限"纠纷",例如,"shyzhong"这个用户既属于"shyzhongs"用户组,也属于"xhxs"用户组,当我们对"xhxs"组中某个资源进行"写入"权限的集中分配(即针对用户组进行) 时,这个时候该组中 "shyzhong"账户将自动拥有"写入"的权限。但令人奇怪的是,"shyzhong"账户明明拥有对这个资源的"写入"权限,为什么实际操作中却无法执行呢?原来,在"shyzhongs"组中同样也对"shyzhong"用户进行了针对这个资源的权限设置,但设置的权限是"拒绝写入"。基于"拒绝优于允许"的原则,"shyzhong"在"shyzhongs"组中被 "拒绝写入"的权限将优先"xhxs"组中被赋予的允许"写入"权限被执行。因此,在实际操作中,"shyzhong"用户无法对这个资源进行"写入"操作。 2.权限最小化原则 Windows XP将"保持用户最小的权限"作为一个基本原则进行执行,这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户"shyzhong"在默认状态下对 "DOC"目录是没有任何权限的,现在需要为
这个用户赋予对"DOC"目录有"读取"的权限,那么就必须在"DOC"目录的权限列表中为 "shyzhong"用户添加"读取"权限。 3.权限继承性原则 权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个"DOC"目录,在这个目录中有"DOC01"、"DOC02"、"DOC03"等子目录,现在需要对DOC目录及其下的子目录均设置 "shyzhong"用户有"写入"权限。因为有继承性原则,所以只需对"DOC"目录设置"shyzhong"用户有"写入"权限,其下的所有子目录将自动继承这个权限的设置。 4.累加原则 这个原则比较好理解,假设现在"zhong"用户既属于"A"用户组,也属于"B"用户组,它在A用户组的权限是"读取",在"B"用户组中的权限是"写入",那么根据累加原则,"zhong"用户的实际权限将会是"读取+写入"两种。显然,"拒绝优于允许"原则是用于解决权限设置上的冲突问题的;"权限最小化"原则是用于保障资源安全的;"权限继承性"原则是用于"自动化"执行权限设置的;而"累加原则"则是让权限的设置更加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦! 注意:在Windows XP中,"Administrators"组的全部成员都拥有"取得所有者身份"(Take Ownership)的权力,也就是管理员组的成员可以从其他用户手中"夺取"其身份的权力。例如受限用户"shyzhong"建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,"Administrators"组的全部成员将可以通过"夺取所有权"等方法获得这个权限。 四、资源权限高级应用 以文件与文件夹的权限为例,依据是否被共享到网络上,其权限可以分为NTFS权限与共享权限两种,这两种权限既可以单独使用,也可以相辅使用。两者之间既能够相互制约,也可以相互补充。下面来看看如何进行设置: 1.NTFS权限 首先我们要知道:只要是存在NTFS磁盘分区上的文件夹或文件,无论是否被共享,都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效! NTFS权限有两大要素:一是标准访问权限;二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种"套餐型"的权限,即:完全控制、修改、读取和运行、列出文件夹目录、读取、写入。在大多数的情况下,"标准权限"是可以满足管理需要的,但对于权限管理要求严格的环境,它往往就不能令管理员们满意了,如只想赋予某用户有建立文件夹的权限,却没有建立文件的权限;如只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等......这个时候,就可以让拥有所 有权限选项的"特别权限"来大显身手了。也就是说,特别权限不再使用
"套餐型",而是使用可以允许用户进行"菜单型"的细节化权限管理选择了。 那么如何设置标准访问权限呢?以对一个在NTFS分区中的名为"zhiguo"的文件夹进行设置标准访问权限为例,可以按照如下方法进行操作: 因为NTFS权限需要在资源属性页面的"安全"选项卡设置界面中进行,而Windows XP在安装后默认状态下是没有激活"安全"选项卡设置功能的,所以需要首先启用系统中的"安全"选项卡。方法是:依次点击"开始"→"设置"→"控制面板 ",双击"文件夹选项",在"查看"标签页设置界面上的"高级设置"选项列表中清除"使用简单文件共享(推荐)"选项前的复选框后点击"应用"按钮即可。 设置完毕后就可以右键点击"zhiguo" 文件夹,在弹出的快捷菜单中选择"共享与安全",在"zhiguo属性"窗口中就可以看见"安全"选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的,此时应首先在"组或用户名称"列表中选择需要赋予权限的用户名组(这里选择"zhong" 用户),接着在下方的"zhong 的权限"列表中设置该用户可以拥有的权限即可。 下面简单解释一下六个权限选项的含义: ①完全控制(Full Control):该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限就等于拥有了其他所有的权限; ②修改(Modify):该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限; ③读取和运行(Read & Execute):该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径; ④列出文件夹目录(List Folder Contents):该权限允许用户查看资源中的子文件夹与文件名称; ⑤读取(Read):该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等; ⑥写入(Write):该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。如果在"组或用户名称"列表中没有所需的用户或组,那么就需要进行相应的添加操作了,方法如下:点击"添加"按钮后,在出现的"选择用户和组"对话框中,既可以直接在"输入对象名称来选择"文本区域中输入用户或组的名称(使用"计算机名\用户名"这种方式),也可以点击"高级"按钮,在弹出的对话框中点击" 立即查找"按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。 如果
想删除某个用户组或用户的话,只需在" 组或用户名称"列表中选中相应的用户或用户组后,点击下方的"删除"按钮即可。但实际上,这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源,因此,如果希望拒绝某个用户或用户组访问某个资源,还要在"组或用户名称"列表中选择相应的用户名用户组后,为其选中下方的"拒绝"复选框即可。 那么如何设置特殊权限呢?假设现在需要对一个名为"zhiguo"的目录赋"zhong"用户对其具有"读取"、"建立文件和目录"的权限,基于安全考虑,又决定取消该账户的"删除"权限。此时,如果使用"标准权限"的话,将无法完成要求,而使用特别权限则可以很轻松地完成设置。方法如下:首先,右键点击"zhiguo"目录,在右键快捷菜单中选择"共享与安全"项,随后在"安全"选项卡设置界面中选中 "zhong"用户并点击下方的"高级"按钮,在弹出的对话框中点击清空"从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目"项选中状态,这样可以断开当前权限设置与父级权限设置之前的继承关系。在随即弹出的" 安全"对话框中点击"复制"或"删除"按钮后(点击"复制"按钮可以首先复制继承的父级权限设置,然后再断开继承关系),接着点击"应用"按钮确认设置,再选中"zhong"用户并点击"编辑"按钮,在弹出的"zhong的权限项目"对话框中请首先点击"全部清除"按钮,接着在"权限"列表中选择"遍历文件夹/运行文件"、"列出文件夹/读取数据"、"读取属性"、"创建文件/写入数据"、"创建文件夹/附加数据"、"读取权限"几项,最后点击"确定"按钮结束设置。在经过上述设置后,"zhong"用户在对"zhiguo"进行删除操作时,就会弹出提示框警告操作不能成功的提示了。显然,相对于标准访问权限设置上的笼统,特别访问权限则可以实现更具体、全面、精确的权限设置。 为了大家更好地理解特殊权限列表中的权限含义,以便做出更精确的权限设置,下面简单解释一下其含义: ⑴遍历文件夹/运行文件(Traverse Folder/Execute File):该权限允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限。注意:只有当在"组策略"中("计算机配置 "→"Windows设置"→"安全设置"→"本地策略"→"用户权利指派")将"跳过遍历检查"项授予了特定的用户或用户组,该项权限才能起作用。默认状态下,包"Administrators"、"Users"、"Everyone"等在内的组都可以使用该权限。对于文件来说,拥了这项权限后,用户可以执行该程序文件。但是,如果仅为文件夹设置了这项权限的话,并不会让用户对其中的文件带上"执行"的权限;
访问权限的说说篇八
《权限管理平台》
走火入魔通用权限管理不仅是权限设计更是总体设计规划、快速
开发集成平台(集中控制体系)
走火入魔通用权限管理系统架构的简易定位之:实现集中控制、减少基础数据的冗余(管理上的中央集权制),是行业业务软件集成的核心数据中心搭建管理配置用的配套工具。 不管好坏,能写出来,总比啥也不说强,你更行,你就写出来,表达出来,让大家见识,真刀实枪来灭我,再好的思想理念埋藏在你心里脑子里是没用的别人不会知道,只有你一个人知道,曾经是写代码走火入魔没空写文章,现在是写文章走火入魔没心情写代码,哈哈,人的变化还真的是很快的,几年功夫价值观就彻底改变了。
程序代码是最不值钱的、人更值钱、有思想的人更值钱的,有正确的思想引导更多人干正确的事情,相反就是无头苍蝇到处乱撞、撞得头破血流,我玩的不是技术,玩的是整体思想、系统定位,技术由程序员玩就可以了他们更喜欢后者技术,我喜欢指挥程序员作战,以前觉得代码值钱,现在觉得思想更值钱,有了思想,程序员多如毛啊。
我很固执很执着,喜欢把一个东西研究个透彻、这个也是导致我到今天都没怎么进步还在原地踏步的重要因素之一,用文字表达往往无法正确表达出想法、理念,这是我第一次尝试,用图表的形式整体描述一下我这些年对权限及系统架构的认识图解,以下图是对权限的整体认识图解。
现在软件开发起来更加容易、软件公司也多如毛,这给我们带来了一个公司购买N个业务软件后的N多麻烦问题,我的设计主要目的是为了创建数据中心、集中配置管理账户、为实现单点登录做扎实的基础,公司的基础数据不要在N多个业务系统中重复人工录入减少基础数据的冗余,避免一个公司的一个员工记录N套户名密码,系统管理员在N个业务系统里
配置管理N个权限帐号及帐号的无法及时开通及时撤销的实际问题。
这个问题也要从2方面考虑,一是如何让自己的系统架构更加灵活,例如基础数据从其他数据库中读取,讲得再俗一些,就是你的系统由2个数据库组成,一个是基础数据库,另一个是业务数据库,基础数据库的设计简单、还能实现映射关系、最起码数据库结构是可以配置的,这样可以比较灵活的与客户的数据中心靠拢。有可能客户的数据中心是 Oracle的、也有可能是SQLServer的,说不定也是MySql的,甚至更有可能是面向服务的,不是面向数据库的,所以你的系统架构要能支持多种数据库、也能支持面向服务的接口扩展。
其次是要受到数据中心的约束,业务系统中调用了由数据中心提供的API函数,例如权限判断等等,能调用统一的功用函数的都尽量调用,这样就可以实现集中控制管理各个子业务系统了。
以上图解,说说还是比较容易,真正做起来就难了,因为你的系统要分布在多个数据库,甚至是多种数据库上架构的,若开发时的定位不高,那很多页面都会乱套,若想提高一下自己的开发水平,我就建议每个系统至少架设在2个数据库上,一个是基础数据库,另一个各式业务系统库,这样设计出来的系统,将来的可扩展性、可集成性一定会很高,应该是经得起考验,当然基础数据库有映射能力,那就更加完美了。
统一的API接口,用得越多,用在越多的子系统上,稳定性会越好,定位也会越来越明确,质量也会越来越高,重复利用率高,当时开发的价值也体现出来了,也会是当的减少维护的范围。
若你没精力也没空自己去规划软件系统,那你可以用我这套规划软件来做简要的规划,若你外包给别人的软件项目不太好控制细节提很多的要求,你可以用我的这套来进行是当的干预控制,若你没空培训员工、指导同事,你可以让它们学习我这一套理念及开发工具开发思想,若你是刚创业的小老板两手空空打天下,还可以用我这个工具做个基础,在上面搭建你的应用,会让你省心省时省事一些,更容易节约开发成本,降低风险,也容易积累,走向规范化的软件开发道路。
我自己开过公司,给别人至少发过50万以上的人工薪资吧,自己也打拚了10年,回过头来看看,几十个人都是过客,人来人往,搞东搞西,那些不是铜墙铁壁的稀里糊涂制作的功能模块、都经不起考验,都被丢弃了,唯独这一套快速开发架构,一直没被丢弃,久经沙场,越来越有生命力、越来越健壮了。
我们公司接近有100个人开发,几年下来,还真不容易拿出
来一个直接能卖给客户的东西,软件项目是开发了几十个都有,但是几乎没一个能变成商品化可销售的软件,都需要人来维护,定制才可以,兄弟们干活累,客户也辛苦,来钱也慢,公司最终也没什么效益。
我一个朋友跟我讲:东开发一个西开发一个,比较难形成规模,整体,如何才能提高项目型软件开发效率?个人需要有目的有计划地干活,公司更需要有目的有计划的规划,人生也需要规划一样的道理。
程序员遍地都是,技术文章遍地都是,都不太值钱,直接能卖钱的产品,才能值点儿钱,管理思想管理能力,开发理念能值点儿钱,客户是值钱的,实实在在的需求是值钱的。
你想反驳我,你手上有很多可以直接商品化的软件,那你牛,比我强,否则是狗屁,别来骂我了,你还没那个资格。
我规划软件的牛B之处就是接到订单的第一天,就在开始规划组织机构、员工信息、用户信息、角色岗位规划、模块规划都可以在第一时间开始做准备了,不用一切都从零开始,这样可以节省很多项目时间,从第一天开始,就可以让项目组成员录入数据、让可以测试拿出东西来跟客户交流,更容易进入项目状态,开发人员直接让他熟悉这个配置规划软件,开发时也会有个整体思想引导,不是瞎搞瞎指挥了,更可以规划开发公司的多套系统的开发定位及规划做用。
写得有点儿乱,请大家原谅,有错别字只要提醒我就会修正,我会继续努力把自己的思路都用文字描述出来,给大家多来点儿工作之余的娱乐,你有思想,才可以领导别人,你有思想老总才会让你来负责项目,你有思想客户才相信你有这个能力,你有很多思想,你才可以比别人拿更高的收入,否则不就是千千万万个普通程序员没啥差别了不是?
大家要记住,还没购买软件之前,公司就有权限体系,不是因为买了你的软件后,才有权限了,你的软件应该能符合公司的权限体系,公司的权限划分是什么样的,你的软件应该是有个对应关系,由于某个人有“财务管理权限”导致他在你的这个软件里,可以做什么什么操作,权限可能是已经在“数据中心配置好了”,开发人员应该建立对应关系才对。 建议一个业务系统划分2个数据库进行设计、一个是业务数据库,另一个是数据中心,虽然开发上会增加一些工作量,更能提高开发的水平,也更有利于未来的软件系统的集成扩展,会更有生命力,客户现在上多个系统很头痛了,不会一直傻下去的,谁的系统更有扩展性,更容易中标更容易赚钱。
我是专业做多系统的单点登录的实施顾问,从来没亲眼见过不用改程序就能实现200个网站的单点登录那么神奇功能,都是需要按一定的规范进行适当的修改源码才可以,这个走火入魔权限管理也是一样的,只是修改量是最少,最合理而已。单点登录刚开始忽悠客户时说不用修改代码,但是实施的时候都修改了源码,就是为了卖更高的价格而已,我不想
访问权限的说说篇九
《局域网共享提示 没有权限访问或访问被拒绝》
我为机房装了深蓝GHOSTXP_SP3纯净版4.2_N260的系统,因为有大量的机器要装,还要装软件挺麻烦的。所以我就用了这种ghost的安装,安装是挺顺利的。但是接着问题就出现了,因为学生们用工作组共享的方法去往教师机上存放和下载东西。可是当机器之间互相访问时出现了以下的错误提示:
这又是怎么回事呢?我在网上找了好多的局域网共享的解决办法,都是行不通的。但是有必要看看别人排错的经验和步骤呀?
其实,做最简单的操作就是这种Ghost XP系统在他们封装的时候,就已经将部分不经常用的安全选项给禁用了。在Ghost xp的ISO文件中,又“维护工具”他们就已经为我们这些菜鸟准备好了。只要执行以下几个批处理文件和注册表项的修改就好了。
不过,想了解封装的那些家伙搞了什么鬼,就有很多原因会造成你这中情况... 需要你一一排除
1.策略阻止网络访问(没有权限访问,登录失败)
在运行里输入gpedit.msc,弹出组策略管理器,在‘计算机配置-Windows设置-本地策略-用户权利指派’中,有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机,如果其中有GUEST账号,解决办法是删除拒绝访问中的GUEST账号。
2.起用Guest(来宾)账户(双击网上邻居电脑需要密码)
使用net user guest确保为网络访问设置了来宾账户,如果该账户是活动的,命令输出中会出现一行类似下面这样的内容:Account active Yes;如果该账户不是活动的,请使用下面的命令授予来宾账户网络访问:net user guest /active:yes
或者在管理工具->计算机管理->本地用户和组中打开Guest账户
正确安装网络组件,是否开启NETBIOS。
目前,大多数网络是混合网,因此需要在TCP/IP协议上捆绑NETBIOS解析计算机名。查看是否选定“文件和打印服务”组件,如果已将其取消选中,“浏览服务”将不绑定到NetBIOS接口。成为备份浏览器并且没有启用“文件和打印共享”的基于Windows的计算机无法将浏览列表与客户机共享。任何将要包括在浏览列表中的计算机也都必须启用“文件和打印共享”。
如果装有防火墙和把防火墙关掉.!
多种方法访问“网络计算机”
例如要打开网络中名为“Killer”的计算机,其IP地址为192.168.1.8,如果你不清楚其它机器的IP地址,你可以使用“PING计算机名”来获得它的IP地址。用计算机名访问,NETBIOS提供的服务。点击“开始”菜单,单击“运行”,在地址栏输入“\Killer”,单击“确定”。用IP地址访问,在地址输入栏中输入“\192.168.1.8”,单击“确定”。
局域网文件共享设置方法
悬赏分:0 | 解决时间:2009-1-13 21:33 | 提问者:lei52113
具体情况是这样的,在局域网工作组里地址是10.67.**.**,但是在10.67.**.**这个地址后面有两台电脑,这台机子是双网卡换有个地址IP是192.168.0.1,另一台机子是192.168.0.2,现在工作组里面其他机子可以访问192.168.0.1里的共享文件,现在想共享192.168.0.2这台机子的共享文件。可以共享吗?
最佳答案
1. 硬件是否连通
我们在计算机的连机之前首先要确认的就是这两台计算机在网络上是否已经连接好了,也就是说硬件部分是否连通。可以通过开始-运行中用ping命令来检测。将两台计算机都最好是各自手动设置IP(比如172.192.0.1 子网掩码 255.255.255.0 而另一个是 172.192.0.2 子网掩码相同)使用命令ping 172.192.1.2(在IP是172.192.0.1 的计算机上使用) 使用ping 172.192.0.1 (IP是172.192.0.2上使用) 看两台电脑是否已经连通。若连通了就可以了,若没那就要检查硬件的问题了,比如网卡是不是好的 有没有插好 网线是不是好的 一般也就这3个情况了。
关于IP的具体设置步骤:
我的电脑-控制面板-网络连接-本地连接右键属性-常规-找到TCP/IP协议-点下面的属性-常规-选择使用下面的IP地址,然后填IP和子网掩码就可以了。
2. 在网络邻居看不到对方
请确认自己的工作组是否正确 双方应在相同的工作组里面 具体的操作如下:
电击“我的电脑右键-属性-计算机名”可以看到你的工作组。要修改的话就点“更改”就可以了。
3. 出现字句“您可能没有权限使用网络资源,请与这台服务器的管理员联系以查明您是否有访问权限”
在说明时没有特别指出的话我们都以默认的guest帐户连机
⑴当你在自己的电脑上点机网络邻居的时候出现的,可能的原因有:
① XP本身所自带的网络防火墙没有关闭,请关闭。设置如下:
我的电脑-控制面板-网络连接-本地连接右键属性-高级 就可以看到了,把那个勾去掉,不用管它的提示。
⑵当你在网络邻居的查看工作组计算机里面看到了对方,但点击的时候出现上面字句的原因:
①恭喜你原因是出在对方的计算机上的
②对方没有关掉防火墙(自身的,后来装的都有可能)
③对方没有开启guest帐户
④位于我的电脑-控制面板-管理工具-安全设置-本地安全策略-用户权利指派 中的“拒绝从网络登陆”看看有没,有guest 就删除
⑸对方在注册表里做过一些修改如下:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001 ;禁止空连接 若改2则匿民用户无法连接你的IPC共享
把这个删除就可以了。
4.连机是不是一定要开启guest帐户
答案是否定的,连机不一定非要开启guest帐户。只要你愿意,你甚至可以有管理员帐户登陆,只要更改相关的设置就可以了。设置如下:
我的电脑-控制面板-管理工具-安全设置-本地安全策略-安全选项 中“网络访问:本地帐户的共享和安全模式”(默认是来宾)改为“经典”即可。然后连机点击对方的时候,用户那一栏是可以自己填的,可以用对方电脑上的任何已经开启了的用户进行登陆。不过需要注意的一点是在这个安全选项中还有一项那就是“帐户:使用空白密码的本地帐户只允许进行控制台登陆”也就是说对方电脑上的别的帐户,比如说管理员帐户密码是空的反而不能登陆。这时可以关掉这个项或者让对方给需要登陆的帐户设置个密码。
5.关于guest帐户的一些问题
一要使用guest帐户登陆,需要开启guest帐户。
可以用两种方法去开启。方法一.我的电脑-控制面板-管理工具-计算机管理-本地用户和组-用户 找到guest点击右键属性,将帐户已停用前面的勾去掉。方法二.我的电脑-控制面板-用户帐户 中直接开启guest 不过需要指出的是这两种方法在连机上效果是一样的。但对于本机还是有一些区别的,稍后就会讲到。
二关于guest的一些认识
首先我们要涉及到3个东西,先在前面说下后面就直接用简写。a.位于计算机管理-本地用户和组-用户中的guest的开启。b.位于控制面板中的用户帐户中的来宾帐户开启机制。 c.位于我的电脑-控制面板-管理工具-安全设置-本地安全策略-用户权利指派 中的“拒绝从网络本地登陆”。请看下图:
a
*******************
*计算机管理-本地用户和组*
*的用户中的guest的开启 *
*******************
b * * c
***************** ********************
*控制面板中的用户帐户 * *本地安全策略用户权利指派*
*中的来宾帐户开启机制 * *中的拒绝从网络本地登陆 *
****************** ********************
说明:关于guest帐户的开启有两个等级 。第一个等级(最高等级)就是a它的管制权利是最高的 ;第二级就是b和c 。现在来说下它们,a就是管理这台计算机到底要不要开启guest 帐户,不管是你自己本地用guest帐户登陆还是网络用guest帐户登陆,要是a说我禁止了,那就都不行。假设a已经打开了,那么你说我要在自己的电脑上用guest登陆,那就需要把b打开了,这样你就可以在本机上用guest帐户登陆了。接着你又要求别人能通过网络用guest帐户来登陆你的电脑,那你就在c里面看看,有guest那就登陆不了了,删除
就可以了。
三 关于guest的另外一个问题
d.位于我的电脑-控制面板-管理工具-安全设置-本地安全策略-用户权利指派 中的“拒绝本地登陆”。我发现在d与b是互通的。比如说你在“拒绝本地登陆”中添加了guest那么b中的来宾帐户就会自动关闭。如果你又把来宾帐户打开,那“拒绝本地登陆”中的guest就会自动消失。但是如果你在计算机管理中禁止了guest,那在“拒绝本地登陆”中设置就没用。细心的人应该发现其实还有“本地登陆”这一项,不过经过我实验发现根本没什么用,起不到任何的效果。另外在默认的时候计算机管理中的guest是禁止的,“拒绝本地登陆”和“拒绝从网络登陆”“本地登陆”中都有guest 。我的系统是这样的。
补充:
在实际的网络运用中,安装Windows XP系统的电脑有时会出现不能与Windows 98、Windows 2000的电脑互相访问的问题,即使是开启Guest账号、安装NetBEUI协议、设置共享文件夹,问题也得不到解决。今天,e博士就来说说这个常见的网络故障。
右键点击Windows桌面上的“我的电脑”,选择“属性”,进入“计算机名”选项卡,查看该选项卡中出现的局域网工作组名称,如“MSHOME”,然后点击“网络ID”按钮,进入“网络标识向导”,单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”,再单击“下一步”选择“公司使用没有域的网络”,随后输入局域网的工作组名,如“MSHOME”,再次单击“下一步”按钮。最后点击“完成”按钮完成设置。重新启动计算机后,局域网内的计算机就可以互访了。
经过这样的设置后,即使局域网内的计算机设置了不同的工作组,但在“网上邻居”中单击“查看工作组计算机”,在“其它位置”再单击“Microsoft Windows Network”,右面的窗口中就会出现所有工作组的名称,从而实现了对不同工作组的互访。
8.xp在中局域网访问其它的电脑没有权限
悬赏分:15 - 解决时间:2007-9-4 14:03
我有五台电脑,其中有一台做主机。我在网络邻居中可以看到那四台共享文件,想打开共享文件就会弹出《你没有权限访问这台计算机,请与这台计算机的管理员联系》
提问者: 匿名
最佳答案
局域网共享教程!
前言:局域网共享是个头疼的问题,只要找到的正确的设置方法,其实也很简单。原版也需要设置,否则也不能进行共享!
第一章:共享的前提工作:
1.更改不同的计算机名,设置相同的工作组!
2.我的电脑右键-管理-计算机管理-本地用户和组-用户:更改管理员用户名
3.手动设置IP,将ip设置在同一个网段,子网掩码和DNS解析相同
4.如何设置DNS解析:首先你可以使用自动获取,然后在开始-运行里面输入cmd后回车,在命令里面输入ipconfig/all后回车
5.运行里输入services.msc回车打开服务
第二章:共享的准备工作(注意设置完成后最好重启一下生效):
1.开始-设置-控制面板-防火墙-例外-勾选“文件和打印机共享”!当然你也可以关闭防火墙。
2.运行里面输入secpol.msc回车进入本地安全设置-本地策略-安全选项
将“网络访问:不允许SAM账户的匿名枚举”停用 注意此点只对来宾起效,将在第六章说到。
将“账户:使用空白密码的本地账户只允许进行控制台登录”停用
3.双击我的电脑打开资源管理器-工具-文件夹选项-查看-将“使用简单的文件夹共享”前面的勾去除!
4.设置共享文件夹或共享盘符(我这里设置D盘为共享盘符,当然你可以自己设置磁盘里面的任意文件夹为共享文件)
打开资源管理器-右键D盘-共享和安全-左键点选打开
注意:经过上两个图的共享资源设置,偶们进入对方的机子只有“只读”权限,只能看不能动的哦!
这可是XP默认的这安全性呵呵!当然你可以设置完全控制。这样你就可以为所欲为了哈哈。
第三章:用管理员登录的局域网共享方式
经过上面两章的设置,我们已经可以访问计算机today了
1.在主机中双击网上邻居-点击查看工作组计算机
2.双击today或是右键打开
访问权限的说说篇十
《网络层访问权限控制技术》
网络层访问权限控制技术-ACL详解
技术从来都是一把双刃剑, 网络应用与互联网的普及在大幅提高企业的生产经营 效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等 负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影 响就成了摆在网络管理员面前的一个重要课题。
A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个 企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层 交换机,所有的二层交换机也为可管理的基于 IOS的交换机,在公司内部使用了 VLAN技术,按照功能的不同分为了6 个VLAN。分别是网络设备与网管(VLAN1, 10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、 市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过 s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地 址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如
下图所示:
自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱; 一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又 说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头 都大了。 那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控 制技术――访问控制列表(下文简称ACL)。
那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什 么样的局限性呢?
ACL 的基本原理、功能与局限性
网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由 器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如 2950 之 类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的 路由器或多层交换机上也提供类似的技术, 不过名称和配置方式都可能有细微的 差别。本文所有的配置实例均基于Cisco IOS 的ACL进行编写。
基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的 信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进 行过滤,从而达到访问控制的目的。
功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或 数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面 保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点 所能具备的访问权限。
配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限
最靠近受控对象原则:所有的网络层访问权限控制
局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三 层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到 具体的人,无法识别到应用内部的权限级别等。因此,要达到 end to end 的权 限控制目的,需要和系统级及应用级的访问权限控制结合使用。
ACL 基本配置
ACL配置技术详解
“说那么多废话做什么,赶快开始进行配置吧。”,A公司的网管说。呵呵, 并不是我想说那么多废话, 因为理解这些基础的概念与简单的原理对后续的配置 和排错都是相当有用的。说说看,你的第一个需求是什么。
“做为一个网管,我不期望普通用户能telnet到网络设备”――ACL基础 “补充一点,要求能够从我现在的机器(研发 VLAN 的 10.1.6.66)上 telnet 到网络设备上去。”。hamm,是个不错的主意,谁都不希望有人在自己的花园中 撤野。让我们分析一下,在A公司的网络中,除出口路由器外,其它所有的网络 设备段的是放在 Vlan1 中,那个我只需要在到 VLAN 1 的路由器接口上配置只允 许源地址为 10.1.6.66 的包通过,其它的包通通过滤掉。这中只管源 IP 地址的
ACL就叫做
标准 IP ACL:
我们在SWA上进行如下的配置:
access-list 1 permit host 10.1.6.66
access-list 1 deny any
int vlan 1
ip access-group 1 out
这几条命令中的相应关键字的意义如下:
access-list:配置均ACL的关键字,所有的ACL均使用这个命令进行配置。 access-list后面的1:ACL号,ACL号相同的所有ACL形成一个组。在判断 一个包时,使用同一组中的条目从上到下逐一进行判断,一遇到满足的条目就终 止对该包的判断。1-99为标准的IP ACL号,标准IP ACL由于只读取IP包头的 源地址部分,消耗资源少。
permit/deny:操作。Permit是允许通过,deny是丢弃包。
host 10.1.6.66/any:匹配条件,等同于10.1.6.66 0.0.0.0。刚才说过, 标准的 ACL 只限制源地址。Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹 配源地址为 10.1.6.66 的包。0.0.0.0 是 wildcards,某位的 wildcards 为 0 表 示IP地址的对应位必须符合,为1表示IP地址的对应位不管是什么都行。简单 点说,就是255.255.255.255减去子网掩码后的值,0.0.0.0的wildcards就是 意味着 IP 地址必须符合 10.1.6.66,可以简称为 host 10.1.6.66。any 表示匹 配所有地址。
注意:IOS中的ACL均使用wildcards,并且会用wildcards对IP地址进行 严格的对齐,如你输入一条 access-list 1 permit 10.1.1.129 0.0.0.31,在 你show access-list看时, 会变成access-list 1 permit 10.1.1.128 0.0.0.31, PIXOS中的ACL均使用subnet masks,并且不会进行对齐操作。
int vlan1///ip access-group 1 out: 这两句将access-list 1应用到vlan1 接口的out方向。其中 1是ACL号,和相应的 ACL进行关联。Out是对路由器该 接口上哪个方向的包进行过滤,可以有in和out两种选择。
注意:这里的 in/out 都是站在路由器或三层模块(以后简称 R)上看的, in表示从该接口进入R的包,out表示从该接口出去的包。
好了, 这就是一个最基本的ACL的配置方法。 什么, 你说普通用户还能telnet 到RTA?那你在int vlan3上现加一个ip access-group 1 out吧。Hammmm,等 等,你这样加上去普通用户就访问不了internet了。让我们把刚才的ACL去掉, 重新写一个。
回忆一下,我们的目的是除了 10.1.6.66 能够进行 telnet 操作外,其它用 户都不允许进行 telnet 操作。刚才我们说过,标准的 IP ACL 只能控制源 IP 地 址,不能控制到端口。要控制到第四层的端口,就需要使用到:
扩展的 IP ACL 的配置
先看看配置实例吧。在SWA上进行如下配置:
int vlan 1
no ip access-group 1 out
exit
no access-list 1
access-list 101 permit tcp host 10.1.6.66 any eq telnet
access-list 101 deny tcp any any eq telnet
int vlan 1
ip access-group 101 out
int vlan 3
ip access-group 101 out
你应该注意到到这里的ACL有一些变化了,现在对变化的部分做一些说明: access-list 101:注意这里的 101,和刚才的标准 ACL 中的 1 一样,101 是 ACL 号,表示这是一个扩展的 IP ACL。扩展的 IP ACL 号范围是 100-199,扩 展的IP ACL可以控制源IP、目的IP、源端口、目的端口等,能实现相当精细的 控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的 源端口和目的端口,的IP在没有硬件ACL加速情况下,会消耗大量的CPU资源。
int vlan 1///no ip access-group 1 out///exit///no access-list 1: 取消 access-list 1,对于非命名的 ACL,可以只需要这一句就可以全部取消。 注意,在取消或修改一个ACL前,必须先在它所应用的接口上先把应用给no掉, 否则会导致相当严重的后果。
tcp host 10.1.6.66 any eq telnet:匹配条件。完整格式为:协议 源地 址 源 wildcards [关系] [源端口] 目的地址 目的 wildcards [关系] [目的端 口]。其中协议可以是 IP、TCP、UDP、EIGRP 等,[]内为可选字段。仅在协议为 tcp/udp 等具备端口号的协议才有用。关系可以是 eq(等于)、neq(不等于)、 lt(大于)、range(范围)等。端口一般为数字的 1-65535,对于周知端口,如 23(服务名为 telnet)等可以用服务名代替。源端口和目的端口不定义时表示所 有端口。
把这个ACL应用上去后,用户们开始打电话来骂娘了,因为他们都访问不了 Internet了,是哪里出了问题了呢?
注意:所有的ACL,缺省情况下,从安全角度考虑,最后都会隐含一句deny any(标准 ACL)或 deny ip any any(扩展 IP ACL)。所以在不了解业务会使用 到哪些端口的情况下,最好在ACL的最后加上一句permit ip any any,在这里 就是access-list 101 permit ip any any。
现在用户倒是能够访问 Internet 了,但我们的可怜的网管却发现普通用户 还是能够 telnet 到他的 SWA 上面,因为 SWA 上面有很多个网络接口,而且使用 扩展的 ACL 会消耗很多的资源。有什么简单的办法能够控制用户对网络设备的 Telnet访问,而又不消耗太多的资源呢?这就需要使用到:
对网络设备自身的访问如何进行控制的技术
让我们先把刚才配置的 ACL 都取掉(具体配置略,不然后读者会以为我在骗 稿费了。),再在每台网络设备上均进行如下配置:
access-list 1 permit host 10.1.6.66
line vty 0 4(部分设备是15)
access-class 1 in
这样就行了,telnet都是访问的设备上的line vty
上一篇:考前复习方法 期末考试前复习方法
下一篇:苹果4系统卡怎么办