windows server 2012 活动目录部署系列（三）用户资源的权限分配

      上篇博文中我们已经为张建国创建了用户账号，这次我们来看看如何利用这个用户账号来实现资源分配的目标。

我们现在做个简单的实验，要把域服务器（成员服务器也可以） DC12R2-1，上一个共享文件夹的读权限分配给公司的员工david。

如下图所示，我们在服务器 DC12R2-1 上右键点击文件夹 Tools，选择“属性－共享－高级共享”，准备把 Tools 文件夹共享出来。

     

我们先用域管理员登录Clt8-1（已加入域）服务器上，访问一下 DC12R2-1 上的 共享文件夹，如下图所示，域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的，我们只把共享文件夹的权限授予了david。

我们再在 Clt8-1 上以david的身份登录，如下图所示，

访问如下：

至此，权限分配已完成！

总结：

做完这个实验后，我们应该想一下，为什么david在访问共享文件夹时没有被要求身份验证呢？这是个关键问题，因为当david登录时，输入的用户名和口令将送到域控制器请求验证，域控制器如果认可了david输入的用户名和口令，域控制器将为david发放一个电子令牌，令牌中描述了david隶属于哪些组等信息，令牌就相当david的电子身份证。当david访问DC12R2-1上的共享文件夹时，DC12R2-1的守护进程会检查访问者的令牌，然后和被访问资源的访问控制列表进行比较。如果发现两者吻合，例如本例中DC12R2-1上的共享文件夹允许域中的david访问，而访问者的令牌又证明了自己就是域中的daivd，那么访问者就可以透明访问资源，无需进行其他形式的身份验证。