㈠ 如何設置受限用戶禁止訪問管理員用戶所有的文件
帳號的所有文件是不太可能了,磁碟分配不知道可以不。肯定行的辦法是你用管理員帳號登錄,然後右鍵選
文件加密
,前提是分區得是
NTFS分區
,然後就可以了。別人訪問你的文件會提示受限制,但是這樣的話,必須得你手動在文件上設上加密才成。
㈡ 如何在管理-用戶里添加區域網內所有用戶都能訪問
上述兩個系統我沒做過,不過在NT下做過,希望能幫上你;不過我也不是專業,只是自己做著玩兒過。
一、網路構建
採用Window NT網路操作系統,用IIS4.0作為Web伺服器,EXCHANGE 5.0 作為郵件伺服器。
二、軟體配置
1.安裝Windows NT,添加TCP/IP、NETBUTE協議,伺服器IP 地址為:168.101.101.1,子網掩碼為:255.255.255.0。
2.為給客戶機動態分配IP地址,安裝DHCP伺服器,設地址集。
3.安裝DNS 伺服器,該內部網路域名為:gdinst03.com.
安裝完DNS伺服器後,在TCP/IP協議DNS 域中寫上「gdinst03.com」。
進入DNS 服務管理器,新建一主要區域:gdinst03,在區域gdinst03.com中新建主機,主機名為:WWW,主機地址為:168.101.101.1。為使域名稱與郵件伺服器結合,需新建一記錄,選擇記錄類型為MX,MAIL EXCHANGE 伺服器DNS 名稱為:www.gdinst03.com,首選號碼為0。
4.為使動態分配IP地址的客戶機能通過域名訪問伺服器,需在DHCP管理器中進行如下設置:
選擇「DHCP選項」中的「作用域」,在「未使用選項」中選擇「006 DNS伺服器」,添加到「活動選項」中,選擇「數值」,選擇「編輯數值」,在「IP地址欄中」輸入伺服器IP地址:168.101.101.1。
5.為使工地撥號到伺服器,需安裝「遠程訪問服務」。
(1)在「網上鄰居」中單擊滑鼠右鍵,在「服務」中添加「遠程訪問服務」,選擇「TCP/IP協議」,選擇「配置」,選中「使用DHCP分配遠程TCP/IP客戶地址」,使撥號上網的客戶能從伺服器中自動獲得IP地址。
(2)建立撥號上網賬號。在域用戶管理器中新建一賬號,在「撥入」中選中「給予用戶撥入的許可權」。
6.安裝IIS4.0。首先安裝NT SERVICE PACK 4。然後按IIS4.0的預設設定安裝IIS4.0。把公司的內部網站建立在c \inetpub\wwwroot目錄下,若用戶不想放在該目錄下,須進入IIS 管理控制台,在「默認Web」站點設置主目錄路徑,同時,該內部網站的首頁應命名為:default.htm。若用戶以其它名字命名,需在上圖的「文檔」中將該文件名添加到「啟用默認文檔」列表中。
7.安裝EXCHANG 5.0,按默認設置安裝EXCHANGE。安裝完成後,在菜單「FILE」中選擇「New Other」,添加「Internet Mail Service」,當提示輸入DNS 域名時,輸入「gdinst03.com」,按默認設置安裝完成。
系統安裝完成後,建立域用戶,為方便管理,按部門設置「全局組」,按部門成員設置賬戶,在新建賬戶同時,建立郵箱。假定新建賬戶「huang_congling」,具體操作如下:
在管理工具中選擇」域用戶管理器」,在菜單「用戶」中選擇「新用戶」,在用戶名中輸入:Huang_congling,全稱中輸入「黃聰玲」,選中「用戶不得更改密碼」和「密碼永久有效」,選擇「組」,在「不隸屬於」列表中選中「信息中心」,選擇「添加」。關閉「組員屬性」對話框,在「新用戶」對話框中選擇「添加」,選定郵件伺服器,在新建郵箱對話框中選擇「E—Mail Addresses」,可看到「SMTP huang_congling@gdinst03.com」,此為「huang_congling」賬戶的郵箱地址。單擊「確定」退出。
至此,伺服器端的配置已完成。在客戶機上,只需配置「TCP/IP」協議即可。用戶可用「Outlook Express」 或「Foxmail」收發郵件,其中「SMTP」和「POP3」伺服器地址為www.gdinst03.com,或者為伺服器IP地址:168.101.101.1。打開IE5.0 輸入公司內部網站地址:www.gdinst03.com 即可瀏覽公司內部網站,查看公司發文及通知及其它信息。工地只須用已設置撥號賬戶上網,按以上步驟查看各類信息和收發郵件
㈢ 如何關閉WindowS用戶訪問控制
我想添加一個新用戶~~1.不能打開D盤
2.不能安裝和卸載軟體~~
請大家指教~~~解決:
1 在控制面板--用戶賬戶
去掉Everyone、user等不必要的用戶和組,只留下Administrator等必要用戶,那麼user就不能訪問D盤了。當然也可以在D盤屬性的安全選項里留下user,但是限制user為只讀、運行的許可權,限制user的訪問。
附加:1)運行組策略編輯器程序。
2)在編輯器窗口的左側窗口中逐級展開計算機配置→Windows設置→安全設置→本地策略→用戶許可權指派分支。
3)雙擊需要改變的用戶許可權,單擊添加用戶或組按鈕,然後雙擊想指派給許可權的用戶賬號,最後單擊確定按鈕退出。
點擊開始-控制面板-管理工具-計算機管理-打開本地用戶和組-選擇用戶-右擊選擇新建用戶,新建一個用戶,並給他設定密碼,讓其他人都用這個用戶登錄你的計算機,就不可以安裝程序了。
系統創建的默認用戶屬於user組,沒有安裝程序的許可權
㈣ 計算機管理員怎麼設置Guest用戶訪問許可權。
一、限制用戶對文件的訪問許可權
如果程序所在的磁碟分區文件系統為NTFS格式,管理員賬戶可以利用NTFS文件系統提供的文件和文件夾安全選項控制用戶對程序及文件的訪問許可權。通常情況下,一個應用程序安裝到系統後,本地計算機的所有賬戶都可以訪問並運行該應用程序。如果取消分配給指定用戶對該應用程序或文件夾的訪問許可權,該用戶也就失去了運行該應用程序的能力。
例如,要禁止受限用戶運行OutlookExpress應用程序,可以進行如下的操作:
(1)、以administrator賬戶登錄系統,如果當前系統啟用了簡單文件共享選項,需要將該選項關閉。具體做法是,在Windows瀏覽器窗口點擊「工具」菜單下的「文件夾選項」,點擊「查看」選項頁,取消「使用簡單文件共享」選項的選擇,點擊「確定」。
(2)、打開Program Files文件夾,選中Outlook Express文件夾並單擊右鍵,選擇「屬性」。
(3)、點擊「安全」選項頁,可以看到Users組的用戶對該文件夾具有讀取和運行的許可權,點擊「高級」。
(4)、取消「從父項繼承那些可以應用到子對象的許可權項目,包括那些再次明確定義的項目」選項的選擇,在彈出的提示信息對話框,點擊「復制」,此時可以看到用戶所具有的許可權改為不繼承的。
(5)、點擊「確定」,返回屬性窗口,在「用戶或組名稱」列表中,選擇Users項目,點擊「刪除」,點擊「確定」,完成許可權的設置。
要取消指定用戶對文件或程序的訪問限制,需要為文件或文件夾添加指定的用戶或組並賦予相應的訪問許可權。
這種方法允許管理員針對每個用戶來限制他訪問和運行指定的應用程序的許可權。但是這需要一個非常重要的前提,那就是要求應用程序所在的分區格式為NTFS,否則,一切都無從談起。
對於FAT/FAT32格式的分區,不能應用文件及文件夾的安全選項,我們可以通過設置計算機的策略來禁止運行指定的應用程序。
二、啟用「不要運行指定的Windows應用程序」策略
在組策略中有一條名為「不要運行指定的Windows應用程序」策略,通過啟用該策略並添加相應的應用程序,就可以限制用戶運行這些應用程序。設置方法如下:
(1)、在「開始」「運行」處執行gpedit.msc命令,啟動組策略編輯器,或者運行mmc命令啟動控制台,並將「組策略」管理單元載入到控制台中;
(2)、依次展開「『本地計算機』策略」「用戶設置」「管理模板」,點擊「系統」,雙擊右側窗格中的「不要運行指定的Windows應用程序」策略,選擇「已啟用」選項,並點擊「顯示」。
(3)、點擊「添加」,輸入不運行運行的應用程序名稱,如命令提示符cmd.exe,點擊「確定」,此時,指定的應用程序名稱添加到禁止運行的程序列表中。
(4)、點擊「確定」返回組策略編輯器,點擊「確定」,完成設置。
當用戶試圖運行包含在不允許運行程序列表中的應用程序時,系統會提示警告信息。把不允許運行的應用程序復制到其他的目錄和分區中,仍然是不能運行的。要恢復指定的受限程序的運行能力,可以將「不要運行指定的Windows應用程序」策略設置為「未配置」或「已禁用」,或者將指定的應用程序從不允許運行列表中刪除(這要求刪除後列表不會成為空白的)。
這種方式只阻止用戶運行從Windows資源管理器中啟動的程序,對於由系統過程或其他過程啟動的程序並不能禁止其運行。該方式禁止應用程序的運行,其用戶對象的作用范圍是所有的用戶,不僅僅是受限用戶,Administrators組中的賬戶甚至是內建的administrator帳戶都將受到限制,因此給管理員帶來了一定的不便。當管理員需要執行一個包含在不允許運行列表中的應用程序時,需要先通過組策略編輯器將該應用程序從不運行運行列表中刪除,在程序運行完成後,再將該程序添加到不允許運行程序列表中。需要注意的是,不要將組策略編輯器(gpedit.msc)添加到禁止運行程序列表中,否則會造成組策略的自鎖,任何用戶都將不能啟動組策略編輯器,也就不能對設置的策略進行更改。
提示:如果沒有禁止運行「命令提示符」程序的話,用戶可以通過cmd命令,從「命令提示符」運行被禁止的程序,例如,將記事本程序(notepad.exe)添加不運行列表中,通過XP的桌面運行該程序是被限制的,但是在「命令提示符」下運行notepad命令,可以順利的啟動記事本程序。因此,要徹底的禁止某個程序的運行,首先要將cmd.exe添加到不允許運行列表中。
三、設置軟體限制策略
軟體限制策略是本地安全策略的一個組成部分,管理員通過設置該策略對文件和程序進行標識,將它們分為可信任和不可信任兩種,通過賦予相應的安全級別來實現對程序運行的控制。這個措施對於解決未知代碼和不可信任代碼的可控制運行問題非常有效。軟體設置策略使用兩個方面的設置對程序進行限制:安全級別和其他規則。
安全級別分為「不允許的」和「不受限制的」兩種。其中,「不允許的」將禁止程序的運行,不論用戶的許可權如何;「不受限的」允許登錄用戶使用他所擁有的許可權來運行程序。
其它規則,即由管理員通過制定規則對指定的一批或一個文件和程序進行標識,並賦予「不允許的」或「不受限的」安全級別。在這個部分中,管理員可以制定四種類型的規則,按照優先順序別分別是:散列規則、證書規則、路徑規則和Internet區域規則,這些規則將對文件的訪問和程序的運行提供最大限度的授權級別。
軟體限制策略的設置
1、訪問軟體限制策略
作為本地安全策略的一部分,軟體限制策略同時也包含在組策略中,這些策略的設置必須以administrator賬戶或Administrators組成員的身份登錄系統。軟體限制策略的訪問方式有兩種:
(1)、在「開始」「運行」處運行secpol.msc,啟動本地安全策略編輯器,在「安全設置」下可以看到「軟體限制策略」項目。
(2)、在「開始」「運行」處運行gpedit.msc,啟動組策略編輯器,在「計算機設置」「Windows設置」「安全設置」下可以看到「軟體限制策略」。
2、新建軟體限制策略
首次打開「軟體限制策略」時,該項目是空的。策略需要由管理員手動添加。方法是點擊「軟體限制策略」使其處於選中狀態,點擊編輯器窗口「操作」菜單下的「新建一個策略」項目,此時可以看到「軟體限制策略」下增加了「安全級別」和「其它規則」以及三條屬性,如圖2所示。一旦執行了新建策略操作後,就不能再次執行該操作,並且這個策略也不能刪除。
3、設置默認的安全級別
新建軟體限制策略後,策略的默認安全級別為「不受限的」,如果要更改默認的安全級別,需要在「安全級別」中進行設置,方法如下:
(1)、打開「安全級別」,在右側窗格中,可以看到有兩條設置,其中圖標中帶有一個小對號的設置為默認設置;
(2)、點擊不是默認值的那條設置,單擊右鍵,選擇「設置為默認」項。當設置「不允許的」為默認值時,系統會顯示一個提示信息對話框,點擊「確定」即可。
該步驟也可以雙擊非默認的設置,在彈出的屬性窗口中,點擊「設為默認值」。
4、設置策略的作用范圍和對象
通過策略的「強制」屬性可以設置策略應用的軟體文件是否包含庫文件以及作用的對象是否包含管理員賬戶。通常情況下,為了避免引起系統不必要的問題以及便於對系統的管理,策略的作用范圍應設置為不包含庫文件的所有軟體文件,作用對象設置為除本地管理員外的所有用戶。設置的方法如下:
(1)、單擊「軟體限制策略」,雙擊右側窗格中的「強制」屬性項目;
(2)、選擇「除去庫文件(如Dll文件)以外的所有軟體文件」選項和「除本地管理員以外的所有用戶」選項,單擊「確定」。
5、制定規則
只通過安全級別的設置,顯然不能很好的實現對文件和程序的控制,必須通過制定合理的規則來標識那些禁止或允許運行的文件和程序,並進而實現對這些文件和程序的靈活控制。上文中提到可制定規則的類型有四種:散列規則、證書規則、路徑規則和Internet區域規則。它們標識文件以及制定規則的方法如下:
散列規則:利用散列演算法計算出指定文件的散列,這個散列是唯一標識該文件的一系列定長位元組。制定了散列規則後,用戶訪問或運行文件時,軟體限制策略會根據文件的散列及安全級別來允許或阻止對該文件進行訪問或運行。當文件移動或重命名,不會影響文件的散列,軟體限制策略對該文件依然有效。制定方法如下:
(1)、點擊「軟體限制策略」下的「其它規則」,在「其他規則」上單擊右鍵,或在右側窗格的空白區域單擊右鍵,選擇「新散列規則」。
(2)、點擊「瀏覽」,指定要標識的文件或程序,例如cmd.exe,確認後,在文件散列中可以看到計算出來的散列,在「安全級別」中選擇「不允許的」或「不受限的」,點擊「確定」,在「其它規則」中可以看到新增了一條類型為散列的規則。
證書規則:利用與文件或程序相關聯的簽名證書進行標識。證書規則需要的證書可以是自簽名的、由證書頒發機構(CA)頒發或是由Windows2000公鑰機構發布。證書規則不應用於EXE文件和DLL文件,它主要應用於腳本和Windows安裝程序包。當某個文件由其關聯的簽名證書標識後,運行該文件時,軟體限制策略會根據該文件的安全級別來決定是否可以運行。文件的移動和更名不會對證書規則的應用產生影響。制定證書規則時要求能夠訪問到用來標識文件的證書文件,證書文件的擴展名為.CER。創建方法同散列規則。
路徑規則:利用文件或程序的路徑進行標識,該規則可以針對一個指定的文件、用通配符表示的一類文件或是某一路徑下的所有文件及子文件夾中的文件。由於標識是由路徑來完成的,當文件移動或重命名時,路徑規則會失去作用。在路徑規則中,根據路徑范圍的大小,優先順序別各有高低,范圍越大,優先順序越低。通常路徑的優先順序從高到低為:指定的文件、帶路徑的以通配符表示的一類文件、通配符表示的一類文件、路徑、上一級路徑。創建方法同散列規則。
Internet區域規則:利用應用程序下載的Internet區域進行標識。區域主要包括:Internet、本地Intranet、本地計算機、受限制的站點、受信任的站點。該規則主要應用於Windows的安裝程序包。創建方法同散列規則。
6、維護可執行代碼的文件類型
不論是那種規則,它所影響的文件類型只有「指派的文件類型」屬性中列出的那些類型,這些類型是所有規則共享的。某些情況下,管理員可能需要刪除或添加某種類型的文件,以便規則能夠對這類文件失去或產生作用,這就需要我們來維護「指派的文件類型」屬性。方法如下:
(1)、單擊「軟體限制策略」,雙擊右側窗格中的「指派的文件類型」屬性項目;
(2)、如果新增一種文件類型,在「文件擴展名」處輸入添加的擴展名,點擊「添加」;如果要刪除一種文件類型,單擊列表中的制定類型,點擊「刪除」。
7、利用規則的優先順序靈活控製程序的運行
四種規則的優先順序從高到依次為:散列規則、證書規則、路徑規則、Internet區域規則。如果有超過一條以上的規則同時作用於同一個程序,那麼優先順序最高的規則設定的安全級別將決定該程序是否能運行。如果多於一條的同類規則作用於同一個程序,那麼同類規則中最具限制力的規則將起作用。這為我們提供了一條對程序的運行進行靈活控制的途徑。單一規則的作用效果雖然全面,但是也限制了我們所需要的那些部分,復合規則的綜合作用將產生諸如「除了我們需要的/不需要的以外,其他全部不允許/不受限制」這樣的效果,這也許才是我們真正需要的安全級別。
提示:軟體限制策略的生效需要注銷並重新登錄系統。如果在軟體限制策略中為一個程序制定了一條安全級別為「不受限的」規則,而這個程序包含在「不要運行指定的Windows應用程序」策略的不允許運行程序列表中,那麼最終這個程序是不允許運行的。要取消對程序的限制,需要將相關的規則刪除:在「其他規則」中的規則列表中,在要刪除的規則上點擊右鍵,選擇「刪除」即可。
上述三種限製程序運行的措施各有特點。從限制的實現方法和效果來看,限制用戶對文件的訪問許可權可以讓管理員以Administartor賬戶身份對所有用戶的許可權進行控制,作用的范圍可以是所有類型的文件和文件夾,但是這種方法受到應用環境的限制。採取基於策略的措施,不論是啟用「不要運行指定的Windows應用程序」策略還是設置軟體限制策略,對於要限制的用戶對象作用范圍來講都是用戶組,不能針對具體的用戶進行設置,要麼是所有的用戶,要麼是除管理員組外的所有用戶。但是這些措施對系統環境的要求不高,在XP系統中都可以進行實施。另外,基於策略的設置可以對計算機進行更加靈活的管理。特別是軟體限制策略允許管理員通過多種方式對程序進行標識,對於程序的運行具有很高的可控性。
㈤ 標准用戶獲得了永久訪問管理員文件許可權,不用密碼就能訪問,怎麼取消啊,我想繼續使用密碼
打開控制面板,點擊許可權用戶,重新設置密碼,可以與管理員相同密碼。
㈥ 伺服器的訪問管理有什麼
伺服器訪問管理方法有很多的,在網上搜到所有也有很多的,給大家一個現成的,希望能夠幫助到大家。
㈦ 訪問控制和用戶策略有什麼區別
訪問控制系統內訪問控制採用的主要技術是「委託監控」。它的原理是把進行存取的實體,如用戶、進程、批作業等作為主體;把被訪問的對象,如文件、數據、程序、磁碟等作為客體。主體對客體的訪問,必須通過委託監控器(也稱安全控製程序)根據安全規則進行檢查、核實。它從用戶識別、用戶驗證、系統資源的使用限制和特權、文件的存取保護等幾個方面,為系統提供安全的訪問控制功能。按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。
組策略和用戶策略 一個是系統配置,一個是個性化配置。 開始菜單->運行->輸入「gpedit.msc」->確定。是管理員為用戶和計算機定義並控製程序、網路資源及操作系統行為的主要工具。通過使用組策略可以設置各種軟體、計算機和用戶策略。
Windows中的一個MMC管理單元的形式存在,可以幫助系統管理員針對整個計算機或是特定
組策略界面圖。用戶來設置多種配置,包括桌面配置和安全配置。譬如,可以為特定用戶或用戶組定製可用的程序、桌面上的內容,以及「開始」菜單選項等,也可以在整個計算機范圍內創建特殊的桌面配置。簡而言之,組策略是Windows中的一套系統更改和配置管理工具的集合。
㈧ 如何禁止用戶訪問系統的控制面板
來實現。首先運行組策略編輯器(gpedit.msc),在左側窗格中逐極展開「『本地計算機』策略」→「用戶配置」→「管理模板」→「控制面板」分支,然後將右側窗格的「禁止訪問控制面板」策略啟用即可。 此項配置可以防止 「控制面板」程序文件(Control.exe)的啟動。其結果是,他人將不能 啟動「控制面板」(或運行任何「控制面板」項目)。另外,還將從「開始」菜單中刪除「控制面板」,從Windows資源管理器中刪除「控制面板」文件夾。
㈨ 本地用戶訪問許可權
通過設置操作系統密碼限制其他人登錄不太安全,隨便買一張系統維護光碟都集成了破解管理員密碼的軟體,不過當然如果你認為在這里設置密碼足以擋住其他使用者也可以。
你比較模糊的概念是這樣,如果安裝操作系統時候沒有設置默認賬戶,那系統登錄的時候就會默認用administrator登錄。你當前電腦的狀態應該是設置了默認賬戶,每次登錄系統默認用tcgmz登錄,但administrator的賬戶應該還是存在的,在登錄需要輸入密碼的地方按兩下ctrl+alt+del,就可以不選擇用戶名,直接在用戶名輸入administrator,密碼如果沒有設置過就是空的,這樣也可以以管理員身份進入系統。
右鍵點我的電腦-管理-本地用戶和組-用戶,現在應該可以看到當前windows的用戶,你現在需要做的就是把administrator設置上密碼,為了更安全可以把它改名,改成admin1之類的名字,很難有人猜得到。
在剛才的界面你可以禁用不想用的賬戶,然後只留三個賬戶,administrator(可能已經被你改名了),tcgmz(管理員許可權),還有就是留給其他人使用的用戶名(可以新建一個,設置成受限用戶)。
至於設置圖紙的許可權,可以參照 回答者: wushifei1987 - 秀才 三級 的答案。
如果不行的話可以把圖紙塞到我的文檔里,這樣應該可以讓其他用戶無法訪問,當然你可以建好了用戶自己試驗一下。
分不要給我,我也是參考了其他幾位的答案說出來的,至於7樓隱藏文件的方法,我試驗了一下,還是隱藏不住的。
㈩ 用戶管理
為了保障系統操作使用的信息安全,系統登錄認證體系由三個要素組成:用戶、角色、許可權,三者相輔相成,共同組成系統的安全運行屏障。
(1)用戶:凡是納入到專業業務處理和日常辦公系統中的工作人員,都需要在系統中定義一個身份,這個身份稱為用戶。
(2)角色:每個人在工作流或欄目專題中都有自己的崗位和相應處理要求,在工作中按照崗位分工處理不同的事務,稱之為角色。
(3)許可權:每個用戶只能在自己的職責范圍內進行處理,每項業務對不同用戶需要分配不同的權利和限制條件,稱為許可權。
業務處理與信息服務子系統是一個多用戶的辦公系統,每個用戶所處的工作流及所要處理的事件是不一樣的,所以擁有的角色是不一樣的,如何管理用戶和給用戶分配適當的角色是系統設計面臨的主要問題。需要在開發設計前考慮,制定角色分配方案。管理員針對不同用戶可以建立一個或多個角色,並給這些新添加的角色分配許可權,之後根據用戶要求給用戶分配角色。一個用戶在被分配角色後,即擁有了該角色所帶的所有許可權。被分配角色的用戶即可操作相應的功能,一個用戶可以擁有多個角色。具體流程如圖7-23所示。
針對用戶許可權分配,還需要注意到:每個用戶必須屬於至少一個角色,每個角色具備頁面的控制許可權,頁面許可權通過角色傳遞給用戶,從而實現用戶對頁面的查看管理許可權。
在資料庫中為頁面建立許可權管理表,業務處理子系統的每個頁面在頁面許可權管理表均有記錄,有頁面名稱和頁面代碼,同時記錄頁面的可分配許可權,許可權分為查看和管理。
建立許可權角色間關系的是頁面角色表,頁面角色表記錄的信息包括角色名稱、頁面編碼、頁面許可權。
角色和用戶的對應關系則依靠角色表,角色表記錄有角色名稱和用戶編碼。
用戶表記錄用戶的基本信息,包括用戶名、用戶類型、口令、用戶編碼等信息,以及在其他子系統的許可權編碼。
通過這四個表將用戶、角色與許可權組合起來,可以形成無窮多的用戶許可權組合,直接控制用戶許可權到頁面。
圖7-23 許可權管理圖
在此建立用戶—角色—許可權的關系鏈,如何在頁面執行過程體現查看與管理許可權的區別,這就需要在頁面中加入許可權控制代碼。在頁面中管理許可權用戶可以操作的功能主要包括編輯輸入、輸出,查看許可權只能瀏覽選擇查詢,無權用戶不能查看。在頁面初始化代碼中加入控制代碼,查看用戶進入時隱藏編輯輸入、輸出等功能按鈕,無權用戶進入時直接返回,而管理許可權用戶進入時,開放所有功能按鈕和區域。
頁面許可權表僅在部署角色許可權時使用,標示頁面具備的可部署許可權,有些頁面是純查詢的,不必要設置管理許可權。
在角色中必須保證有一個管理角色擁有用戶管理頁面的管理許可權,防止不能分配角色與許可權,同樣在用戶中必須保證至少有一個用戶是管理角色。
在此種管理模式中,允許每用戶屬於多個角色,每角色可對自由組合的多個頁面擁有不同許可權;角色許可權採用最大優先制,用戶對同一頁面的多個角色許可權只以最大許可權為准。
1.登錄
業務處理與信息綜合服務子系統的用戶登錄充分考慮用戶使用的便捷性,採用的是一體化登陸模式,在辦公系統登陸後,不但可運行辦公系統功能,同時可運行業務處理系統功能和直接進入郵件系統。
在系統登錄後將用戶名和口令加密後作為參數啟動相應的業務處理功能和郵件系統。
2.管理
基於塔里木河流域生態環境動態監測及決策系統集成的考慮,所有子系統的用戶統一管理在業務處理子系統的用戶表中,因此本系統的用戶表設計中增加了對其他子系統用戶許可權的許可權級別欄位。
用戶管理模塊包括三個功能:
用戶添加:添加一個新的用戶,包括用戶的姓名、預設口令、登錄名、類型等基本信息,以及在其他子系統的使用許可權,為便於其他子系統控制使用人員,雖然每個用戶均有其他子系統許可權屬性,但是提供無權用戶選項。
用戶編輯:修改用戶的信息,包括基本信息和角色信息,用戶角色的分配在當前角色表中多選組合。
角色分配:包括創建角色、角色許可權分配。角色的創建是任意的不同名稱,創建完成後需要進行角色許可權的分配,角色許可權的分配依據頁面可分配許可權進行,必須為每個頁面制訂角色許可權。
用戶管理模塊不僅為業務處理與信息服務子系統服務,也為其他專業應用子系統服務,所有系統的用戶全部統一在一個用戶表中,該用戶表存儲在綜合資料庫中,各專業應用子系統在登錄時,將訪問綜合資料庫以確定用戶的使用許可權;專業子系統用戶許可權的更改也必須通過業務處理與信息服務子系統的用戶管理模塊進行。