?上篇博文中我們已經為張建國創建了用戶賬號，這次我們來看看如何利用這個用戶賬號來實現資源分配的目標。

我們現在做個簡單的實驗，要把成員服務器?Berlin?上一個共享文件夾的讀權限分配給公司的員工張建國。

如下圖所示，我們在成員服務器 Berlin 上右鍵點擊文件夾 Tools，選擇“屬性－共享－高級共享”，準備把 Tools 文件夾共享出來。

勾選“共享此文件夾”，然后點擊“權限”，

Tools 文件夾的默認共享權限是Everyone 組只讀，我們刪除默認的權限設置， 點擊添加按鈕，準備把文件夾的讀權限授予張建國。

如下圖所示，我們選擇 adtest.com 域中的張建國作為權限的授予載體，這時我們要理解域的共享用戶賬號的含義，在域控制器上為張建國創建了用戶賬號后， 成員服務器分配資源時就可以使用這些用戶賬號了。

為用戶張建國賦予讀權限，點擊“確定”完成權限分配。

我們先用域管理員登錄Perth（已加入域）服務器上，訪問一下 Berlin 上的 Tools 共享文件夾，如下圖所示，域管理員沒有訪問共享文件夾的權限。這個結果和我們的權限分配是一致的，我們只把共享文件夾的權限授予了張建國。

我們再在 Perth 上以張建國的身份登錄，如下圖所示，

張建國訪問 Berlin 上的共享文件夾 Tools，如下圖所示，張建國順利地訪問到 了目標資源，我們的資源分配達到了預期的效果。

至此，權限分配已完成！

總結：

做完這個實驗后，我們應該想一下，為什么張建國在訪問共享文件夾時沒有被要求身份驗證呢？這是個關鍵問題，因為當張建國登錄時，輸入的用戶名和口令將送到域控制器請求驗證，域控制器如果認可了張建國輸入的用戶名和口令，域控制器將為張建國發放一個電子令牌，令牌中描述了張建國隸屬于哪些組等信息，令牌就相當于張建國的電子身份證。當張建國訪問Berlin上的共享文件夾時，Berlin的守護進程會檢查訪問者的令牌，然后和被訪問資源的訪問控制列表進行比較。如果發現兩者吻合，例如本例中Berlin上的共享文件夾允許域中的張建國訪問，而訪問者的令牌又證明了自己就是域中的張建國，那么訪問者就可以透明訪問資源，無需進行其他形式的身份驗證。