windows server 2012 AD 活动目录部署系列（四）用户资源的权限分配

?上篇博文中我们已经为张建国创建了用户账号，这次我们来看看如何利用这个用户账号来实现资源分配的目标。

我们现在做个简单的实验，要把成员服务器?Berlin?上一个共享文件夹的读权限分配给公司的员工张建国。

如下图所示，我们在成员服务器 Berlin 上右键点击文件夹 Tools，选择“属性－共享－高级共享”，准备把 Tools 文件夹共享出来。

勾选“共享此文件夹”，然后点击“权限”，

Tools 文件夹的默认共享权限是Everyone 组只读，我们删除默认的权限设置， 点击添加按钮，准备把文件夹的读权限授予张建国。

如下图所示，我们选择 adtest.com 域中的张建国作为权限的授予载体，这时我们要理解域的共享用户账号的含义，在域控制器上为张建国创建了用户账号后， 成员服务器分配资源时就可以使用这些用户账号了。

为用户张建国赋予读权限，点击“确定”完成权限分配。

我们先用域管理员登录Perth（已加入域）服务器上，访问一下 Berlin 上的 Tools 共享文件夹，如下图所示，域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的，我们只把共享文件夹的权限授予了张建国。

我们再在 Perth 上以张建国的身份登录，如下图所示，

张建国访问 Berlin 上的共享文件夹 Tools，如下图所示，张建国顺利地访问到 了目标资源，我们的资源分配达到了预期的效果。

至此，权限分配已完成！

总结：

做完这个实验后，我们应该想一下，为什么张建国在访问共享文件夹时没有被要求身份验证呢？这是个关键问题，因为当张建国登录时，输入的用户名和口令将送到域控制器请求验证，域控制器如果认可了张建国输入的用户名和口令，域控制器将为张建国发放一个电子令牌，令牌中描述了张建国隶属于哪些组等信息，令牌就相当于张建国的电子身份证。当张建国访问Berlin上的共享文件夹时，Berlin的守护进程会检查访问者的令牌，然后和被访问资源的访问控制列表进行比较。如果发现两者吻合，例如本例中Berlin上的共享文件夹允许域中的张建国访问，而访问者的令牌又证明了自己就是域中的张建国，那么访问者就可以透明访问资源，无需进行其他形式的身份验证。