用户权限管理精细化：DameWare权限设置专家教程


参考资源链接：[DameWare Mini Remote Control 使用教程：远程管理Windows服务器](https://wenku.csdn.net/doc/4ti1g19ipp?spm=1055.2635.3001.10343)
# 1. DameWare权限管理概述

## 1.1 管理权限的重要性
在IT环境中，权限管理是确保数据安全和遵守合规性标准的关键组成部分。DameWare作为一个强大的IT管理工具，提供了集中化管理权限的功能。理解权限管理的概念和DameWare在其中扮演的角色，对于有效维护网络系统的完整性至关重要。

## 1.2 DameWare权限管理的基本功能
DameWare权限管理工具允许管理员对网络中的用户、组、资源进行精细控制，涵盖文件、注册表、服务和进程等多个层面。它的基本功能包括用户和组的创建与配置，权限类型的设置，以及安全策略的定义和应用。通过这些功能，可以实现权限的精确划分和安全配置。

## 1.3 章节结构概述
本文将通过探讨DameWare权限管理的基础知识、实践应用以及高级技巧，帮助读者深入了解如何在不同场景下使用DameWare来优化权限管理。随着章节的展开，我们将逐步深入到权限管理的核心，最终展望其在新兴技术和行业合规性下的发展趋势。

# 2. DameWare权限管理基础

在本章中，我们将深入了解DameWare权限管理的基础知识。首先，我们会探讨用户和组的概念，然后涉及权限和访问控制列表（ACL），以及策略的定义和应用。这些基础知识是构建有效权限管理系统的基石。

## 2.1 用户和组的基本概念

用户账户和组是任何权限管理系统中不可或缺的元素。在DameWare中，正确地管理和配置这些元素对于实现强大的安全性和便捷的系统管理至关重要。

### 2.1.1 用户账户的创建和配置

用户账户是系统安全中一个独立的个体，通过创建和配置用户账户，我们可以控制谁有权访问系统资源。在DameWare中，用户账户的创建和配置是一个细致的过程，涉及多个步骤。

1. 打开DameWare的管理界面，选择“用户”部分。
2. 点击“新建用户”按钮开始创建新账户。
3. 输入必要的用户信息，如用户名、密码、全名、描述等。
4. 分配用户所属的组和角色，这些组和角色将定义用户的权限范围。
5. 配置用户的登录设置，例如账户过期、登录时间限制等。
6. 点击“创建”完成用户账户的创建过程。

flowchart LR
    A[开始] --> B[打开DameWare管理界面]
    B --> C[选择用户部分]
    C --> D[点击新建用户]
    D --> E[输入用户信息]
    E --> F[分配组和角色]
    F --> G[配置登录设置]
    G --> H[创建用户账户]
    H --> I[结束]

在上述流程中，用户信息的准确性非常关键，因为它直接关联到系统的安全性和用户的工作效率。在配置用户账户时，管理员应根据实际需要谨慎选择组和角色，并确保遵守最小权限原则。

### 2.1.2 组的创建和管理

组的创建和管理是简化权限配置的有效方式。通过将用户分配到组中，管理员可以统一管理和调整用户权限，从而降低管理复杂性。

1. 在DameWare管理界面中，选择“组”部分。
2. 点击“新建组”按钮开始创建新的组。
3. 输入组名和描述，明确组的目的和范围。
4. 选择要包含的用户成员，可以单个添加或批量导入。
5. 设置组权限，指定该组成员可以访问的资源和操作。
6. 点击“创建”完成组的创建过程。

通过合理创建和管理组，管理员可以实现精细的权限控制。建议定期审查和更新组成员和权限，以保持系统安全性和适应性。

## 2.2 权限和访问控制列表（ACL）

权限和访问控制列表（ACL）是权限管理系统的核心组件。权限定义了用户或组能够执行的操作类型，而ACL则是指定哪个用户或组拥有特定权限的列表。

### 2.2.1 权限的基本类型和设置

权限的基本类型通常包括读取、写入、执行、修改和完全控制等。在DameWare中，管理员可以通过直观的界面设置这些权限。

1. 在资源属性设置中，找到“安全”标签页。
2. 点击“编辑”按钮，进入权限配置界面。
3. 选择需要配置权限的用户或组。
4. 为选定的用户或组分配权限，并勾选相应的权限类型。
5. 确认设置后点击“应用”和“确定”保存更改。

在设置权限时，重要的是要遵循最小权限原则，即只赋予用户执行其工作所必需的权限。这有助于降低安全风险和简化管理。

### 2.2.2 ACL的配置和应用

配置ACL时，管理员需要明确每个资源的访问控制规则，包括哪些用户或组可以访问，以及他们可以执行哪些操作。

1. 在资源的属性对话框中，选择“安全”选项卡。
2. 点击“高级”按钮，进入更详细的权限设置。
3. 在“权限”标签页中，管理员可以更详细地配置权限。
4. 添加或修改ACL条目，可以指定权限继承和特殊权限。
5. 在“有效权限”标签页中，管理员可以检查并确认权限设置是否按预期工作。
6. 完成设置后，点击“确定”以保存更改并关闭对话框。

正确配置ACL是防止未授权访问和数据泄露的关键。管理员应定期检查ACL的配置，确保其与组织的安全政策保持一致。

## 2.3 策略的定义和应用

策略在权限管理系统中用于定义如何分配和管理权限。通过创建和应用策略，可以确保权限的集中管理，并且使权限管理过程更高效。

### 2.3.1 创建和管理权限策略

创建权限策略时，管理员可以定义一系列权限规则，并将它们应用到一组用户或组上。这有助于标准化权限分配，减少错误和提高安全。

1. 在DameWare管理界面中，选择“策略”部分。
2. 点击“新建策略”按钮开始创建策略。
3. 为新策略命名，并添加描述以说明策略的用途。
4. 定义策略规则，选择权限类型和受影响的资源。
5. 设置策略优先级，确保策略按预期顺序生效。
6. 将策略分配给相应的用户或组。
7. 完成策略创建后，确保在策略生效前进行测试。

创建策略的过程中，需要仔细考虑策略的目标和覆盖范围。策略规则应该足够具体，以便正确地指导权限分配。

### 2.3.2 策略模板的使用和自定义

策略模板是预先定义好的策略集合，它们可以作为快速部署和应用权限策略的基础。管理员可以通过自定义策略模板来满足组织的特殊需求。

1. 在策略管理界面中，找到“模板”选项。
2. 浏览现有的策略模板，选择一个接近需要的模板。
3. 复制选定的模板，并进入模板编辑模式。
4. 自定义模板中的规则和设置，以匹配组织的具体要求。
5. 保存自定义模板，并为其命名。
6. 将自定义模板应用到相应的用户或组。

策略模板的使用可以大幅减少权限策略配置的时间和复杂性。自定义策略模板时，管理员应确保模板能够满足安全性和合规性要求。

在本章节中，我们探讨了DameWare权限管理的基础知识，包括用户和组的概念、权限和ACL的设置，以及策略的定义和应用。理解这些基础知识是实现有效权限管理的关键。在下一章中，我们将深入了解DameWare权限管理实践，包括文件和文件夹权限管理、注册表权限管理以及系统服务和进程权限管理。

# 3. DameWare权限管理实践

## 3.1 文件和文件夹权限管理
### 3.1.1 设置文件和文件夹权限
在操作系统中，文件和文件夹的安全性是通过权限来控制的。DameWare工具在本地和远程系统中都可以方便地设置这些权限。要设置权限，首先需要打开DameWare的主界面，并选择需要管理的远程或本地计算机。接下来，定位到你想要管理的文件或文件夹，右键点击，然后选择“属性”。在打开的属性窗口中，切换到“安全”标签页，可以看到当前文件或文件夹的权限设置。

在此页面，你可以添加或删除用户和组，并修改它们的权限级别。权限级别通常包括“完全控制”、“修改”、“读取和执行”、“读取”、“写入”等。选择适当的权限后，应用更改并确认，这样就完成了文件或文件夹权限的设置。

flowchart LR
    A[打开DameWare] --> B[选择计算机]
    B --> C[定位文件或文件夹]
    C --> D[打开属性窗口]
    D --> E[切换至“安全”标签页]
    E --> F[修改权限设置]
    F --> G[应用更改并确认]

### 3.1.2 批量权限设置和继承
在管理多个文件或文件夹时，DameWare也提供了批量设置权限的功能，可以大幅提高效率。选中多个文件或文件夹后，右键点击选择“属性”，同样进入“安全”标签页，可以在这里对多个对象一次性设置相同的权限。

继承是文件系统权限管理的另一个重要特性。在文件夹的安全属性中，可以设置权限是否应该传递给子文件夹和文件。通过勾选“允许继承来自父项的权限”复选框，可以启用继承功能。这意味着在父文件夹上设置的权限将会自动应用到子文件夹和文件上，除非特别指定不继承。

flowchart LR
    A[选中多个文件或文件夹] --> B[打开属性窗口]
    B --> C[修改权限设置]
    C --> D[应用更改并确认]
    D --> E[勾选“允许继承”]

## 3.2 注册表权限管理
### 3.2.1 注册表键值的权限设置
注册表是Windows系统的核心，管理着系统配置信息。正确设置注册表键值的权限至关重要。在DameWare中，你可以通过访问“注册表”选项来管理注册表项的权限。

选择相应的注册表项后，通过右键选择“权限”，可以打开权限编辑窗口。在这里，你可以添加或移除用户和组，并设置它们对注册表项的访问权限。常见的权限包括读取、写入、修改和完全控制等。

flowchart LR
    A[访问“注册表”选项] --> B[选择注册表项]
    B --> C[编辑权限]
    C --> D[添加或移除用户和组]
    D --> E[设置访问权限]

### 3.2.2 注册表权限问题的诊断和解决
注册表权限设置错误可能导致系统不稳定甚至崩溃。使用DameWare，可以轻松诊断和解决这些问题。当遇到注册表权限问题时，DameWare提供了一个直观的界面来查看哪些用户和组具有访问权限，以及哪些权限被拒绝。你可以检查特定的注册表项，查看是否有异常权限设置，并将其更正。

## 3.3 系统服务和进程权限管理
### 3.3.1 服务权限的配置
系统服务是运行在后台的应用程序，它们对系统的稳定性有着重要的影响。服务权限配置不当可能会引起安全风险或服务无法启动。使用DameWare，可以对系统服务进行权限管理。

选择一个服务后，右键点击并选择“属性”，在属性窗口中找到“登录”标签页。在这里，你可以更改服务使用的账户类型和密码，并设置服务的启动权限。例如，你可以限制只有特定的用户或组才能启动或停止服务。

flowchart LR
    A[选择一个服务] --> B[右键点击选择“属性”]
    B --> C[切换至“登录”标签页]
    C --> D[更改账户和密码]
    D --> E[设置启动权限]

### 3.3.2 进程权限的监控和调整
DameWare还支持对进程的权限进行监控和调整。通过进程管理器，可以查看所有运行中的进程及其详细信息。对于需要调整权限的进程，可以进行右键操作，选择“权限”来修改其安全设置。这对于调试和优化系统安全设置非常有帮助。

flowchart LR
    A[打开进程管理器] --> B[查看进程列表]
    B --> C[选择需要调整权限的进程]
    C --> D[右键选择“权限”]
    D --> E[修改进程权限]

通过上述的操作，DameWare权限管理实践章节为IT专业人员提供了一系列实用的方法来管理和优化Windows系统中的权限设置。这些实践不仅能够提高系统的安全性，还能确保系统资源的合理配置。

# 4. DameWare权限管理高级应用

## 4.1 脚本和自动化权限配置

### 编写权限脚本的基本原则

在当今动态变化的IT环境中，手动管理权限设置变得低效且容易出错。因此，编写和使用权限脚本成为了管理员必须掌握的高级技能之一。脚本自动化允许管理员以一种可重复且一致的方式快速配置权限，特别是在需要对大量对象应用相同权限规则的情况下。

脚本编写的基本原则包括：

1. **清晰的目标**：在编写脚本之前，明确权限配置的目标是至关重要的。了解需要管理哪些资源、应该授予哪些权限以及脚本将运行在何种环境中。
2. **使用模板**：对于重复的任务，创建脚本模板可以节省时间并保证配置的一致性。

3. **错误处理**：在脚本中加入错误处理机制，确保当配置过程中出现问题时能够及时得到通知并采取相应的补救措施。

4. **维护性和可扩展性**：确保脚本易于维护，逻辑清晰，并留有扩展接口以适应未来的变化。

5. **测试和验证**：在生产环境中部署脚本之前，在测试环境中对其进行充分测试。验证脚本的输出以确保权限正确设置。

下面是一个简单的PowerShell脚本示例，用于设置特定文件夹的权限：

$folderPath = "C:\Data"
$identity = "CONTOSO\ProjectTeam"
$rights = "Modify"
$accessType = "Allow"

# 获取文件夹对象
$folder = Get-Item -Path $folderPath

# 创建访问规则
$acl = $folder.GetAccessControl('Access')
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule($identity,$rights,$accessType)

# 应用访问规则到文件夹
$acl.SetAccessRule($accessRule)
$folder.SetAccessControl($acl)

### 脚本实现复杂权限方案的实例

当我们需要处理复杂的权限方案时，比如在不同的时间段内对同一资源应用不同的权限规则，我们可以通过引入条件语句来增加脚本的灵活性。以下是一个实例脚本，该脚本在工作时间内限制特定用户的访问权限：

$folderPath = "C:\Data\Restricted"
$identity = "CONTOSO\JohnDoe"
$rights = "Read"
$accessType = "Deny"

# 获取当前时间
$currentTime = Get-Date
$workHoursStart = $currentTime.ToUniversalTime().AddHours(-8) # 例如，开始于8小时之前
$workHoursEnd = $currentTime.ToUniversalTime().AddHours(8) # 结束于8小时后

# 检查当前时间是否在工作时间内
if ($currentTime -ge $workHoursStart -and $currentTime -le $workHoursEnd) {
    # 获取文件夹对象
    $folder = Get-Item -Path $folderPath

    # 创建访问规则
    $acl = $folder.GetAccessControl('Access')
    $accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule($identity,$rights,$accessType)

    # 应用访问规则到文件夹
    $acl.SetAccessRule($accessRule)
    $folder.SetAccessControl($acl)
    Write-Host "权限规则已应用。"
} else {
    Write-Host "当前时间不在工作时间范围内，未应用权限规则。"
}

这个脚本展示了如何使用条件语句和时间逻辑来动态地应用权限规则，从而根据特定时间段自动调整权限设置。通过这种方式，管理员可以确保在非工作时间限制对敏感数据的访问，同时在工作时间内允许正常的读写操作。

## 4.2 权限审计和报告

### 权限审计工具的使用

权限审计是确保系统安全性和合规性的重要组成部分。通过定期进行权限审计，管理员可以发现和修复潜在的安全漏洞，确保系统符合组织的安全政策和行业标准。DameWare提供了多种工具来帮助进行权限审计，这些工具可以执行以下任务：

1. **检测和报告**：扫描文件系统和注册表，报告哪些用户或组拥有哪些权限。

2. **权限差异分析**：比较不同对象的权限设置，以识别不一致性和异常。

3. **历史记录追踪**：追踪权限更改历史记录，了解权限配置随时间的变化。

在使用DameWare工具执行权限审计时，通常需要执行以下步骤：

1. **规划审计范围**：确定需要审计的资源，包括哪些文件、文件夹、共享、注册表项和系统服务。

2. **配置审计参数**：根据需要设置过滤条件，例如只审计对特定文件的写权限。

3. **执行审计操作**：运行审计工具并收集权限信息。

4. **分析审计结果**：查看报告，识别潜在的安全风险或合规性问题。

5. **记录和报告**：记录审计结果，并向相关利益相关者报告发现的问题。

### 定期生成权限报告的策略和方法

定期生成权限报告是权限管理生命周期的关键环节，这有助于定期回顾和更新权限设置。以下是创建和实施定期权限报告策略的步骤：

1. **确定报告频率**：根据组织的规模和安全需求，决定报告的频率。这可能是每天、每周或每月。

2. **选择报告工具**：使用DameWare或其他第三方工具生成报告。这些工具可以提供各种格式的报告，如HTML、PDF和CSV。

3. **定义报告内容**：确定报告中应该包含哪些关键信息。这可能包括对敏感资源的不当访问尝试、过时的权限配置和权限变更历史。

4. **自动化报告流程**：如果可能，使用脚本或DameWare内置的调度功能自动化报告的生成过程。

5. **分发报告**：通过电子邮件或其他内部通信手段，将报告分发给安全团队和IT管理人员。

6. **审查和行动**：审计报告时，注意任何不一致的、异常的或需要进一步调查的权限配置。

7. **文档记录**：保持有关权限更改和审计活动的详细文档记录，以便未来的审查和参考。

## 4.3 灾难恢复和权限备份

### 权限配置的备份和恢复策略

权限配置是系统配置的一部分，类似于其他关键配置，它们也需要进行备份和恢复。在发生系统故障或需要回滚到某个特定状态时，能够快速恢复权限配置至关重要。

实施权限备份和恢复策略包括以下步骤：

1. **定期备份**：定期对权限配置进行备份。可以将这些备份存储在安全的位置，例如外部硬盘驱动器或云存储服务。

2. **验证备份**：定期验证备份的有效性，确保在需要时可以成功恢复。

3. **灾难恢复计划**：创建并测试灾难恢复计划，以确保在数据丢失的情况下能够迅速恢复权限配置。

4. **使用版本控制系统**：使用版本控制系统（如Git）管理权限配置的变更，从而跟踪权限配置的更新历史并能够在出错时回滚。

### 使用DameWare进行灾难恢复的实践

在灾难恢复实践中，DameWare提供了强大的工具集，帮助管理员快速地从备份中恢复权限配置。以下是使用DameWare进行权限恢复的实际步骤：

1. **选择还原点**：使用DameWare还原向导选择合适的备份点。确保选择的还原点包含了正确的权限配置。

2. **执行还原操作**：按照向导的指示完成还原过程。确保遵循最佳实践，例如在生产环境之外先进行测试还原。

3. **验证还原**：还原完成后，验证权限配置是否正确恢复。确保所有关键资源的权限都与备份时的状态一致。

4. **监控和调整**：监控系统一段时间以确保还原后的权限设置没有引起任何意外问题，并根据需要进行调整。

通过这些步骤，管理员可以确保在面临灾难情况时，权限配置能够得到可靠的保护，并且在必要时可以迅速恢复。

# 5. 安全性和合规性最佳实践

随着信息技术的快速发展，企业对于安全性和合规性的要求越来越严格。DameWare作为一款功能强大的远程支持和权限管理工具，在确保系统安全性和满足行业合规性方面扮演着重要的角色。本章将深入探讨如何使用DameWare实现权限管理的安全性和合规性最佳实践。

## 5.1 定义权限最小化原则

### 5.1.1 最小权限原则的重要性

在安全性和合规性的背景下，最小权限原则是一个核心概念。它规定用户和程序只能获得完成其任务所必需的最低限度的权限。这种做法限制了潜在的损害范围，从而提高了系统的整体安全。例如，在一个组织中，一名普通员工通常不需要管理员权限来完成其日常工作。通过实施最小权限原则，组织可以避免未授权的访问和潜在的数据泄露。

### 5.1.2 如何在DameWare中实施最小权限原则

在DameWare中实施最小权限原则涉及以下步骤：

- **识别和分类任务**：首先，明确员工需要执行的所有任务，并将它们按照所需权限的敏感程度进行分类。
- **分配角色**：在DameWare中创建角色，并为每个角色分配相应的权限级别。确保角色的权限满足完成其分配任务的需要，但不提供额外的、不必要的权限。
- **监控和审计**：通过DameWare的审计功能，定期检查权限的使用情况，确保没有违反最小权限原则的情况。
- **持续更新**：随着组织的变化，不断更新角色和权限设置，确保它们仍然符合最小权限原则。

## 5.2 满足行业合规性标准

### 5.2.1 常见的合规性框架和标准

合规性是组织确保其业务操作符合相关法律、法规和行业标准的过程。对于信息技术行业来说，以下是一些常见的合规性框架和标准：

- **ISO/IEC 27001**：这是信息安全管理体系的标准，它规定了组织应如何管理其信息安全风险。
- **GDPR**：即通用数据保护条例，要求企业在处理欧盟公民的个人数据时必须遵守严格的规定。
- **HIPAA**：健康保险流通与责任法案，规定了对个人健康信息的保护标准。

### 5.2.2 使用DameWare确保合规性检查

DameWare提供了多种工具和功能，以帮助组织满足上述合规性标准：

- **审计日志**：DameWare可以记录详细的审计日志，其中包含了所有权限变更和访问活动。这有助于满足合规性要求，如GDPR的“权利到遗忘”（right to be forgotten）。
- **报告功能**：DameWare报告功能允许创建定制报告，以展示与特定合规性标准相关的用户活动和权限设置。
- **策略管理**：通过策略管理，组织可以确保所有用户都遵守既定的权限管理策略，从而帮助维护合规性。

## 5.3 安全策略和风险评估

### 5.3.1 建立有效的安全策略

在组织内部建立和实施有效的安全策略对于提高安全性和满足合规性至关重要。这些安全策略应包括但不限于：

- **密码策略**：确保所有用户都使用复杂且难以破解的密码，并定期更换。
- **访问控制策略**：根据需要实施权限最小化原则，并使用DameWare管理这些权限。
- **备份策略**：定期备份关键数据和系统配置，确保在发生安全事件或灾难时可以迅速恢复。

### 5.3.2 风险评估工具和方法论

为了有效实施安全策略，组织需要定期进行风险评估。DameWare提供了多种功能来辅助这一过程：

- **权限分析**：分析现有的权限设置，识别过度授权的账户和潜在的安全风险。
- **漏洞扫描**：使用DameWare集成的漏洞扫描工具，识别系统中可能被攻击者利用的漏洞。
- **策略合规性检查**：对策略实施情况和用户权限进行检查，以确保组织的安全策略得到了适当的执行。

通过上述实践，组织能够以系统性和结构性的方式应对安全和合规性挑战，使用DameWare作为其权限管理平台，不仅可以简化管理过程，还可以确保高效地执行安全策略。

# 6. DameWare权限管理的未来趋势

随着信息技术的不断进步和业务需求的日益复杂化，DameWare权限管理也面临了一系列的变革。在这个章节中，我们将探索未来DameWare权限管理技术的演进方向，以及用户权限管理的未来展望。

## 6.1 权限管理技术的演进

### 6.1.1 云计算环境中的权限挑战

云计算已经改变了许多企业的工作方式和数据存储方法。然而，随着数据和应用程序的云上迁移，权限管理也面临了新的挑战：

- **共享资源的访问控制：** 云平台通常具有多租户架构，需要更精细的访问控制来保护用户数据。
- **动态扩展性：** 云资源可以根据需求动态扩展，权限管理需要能够快速适应资源的增减。
- **数据安全与合规：** 云服务提供商和客户之间的责任界定需要明确，权限管理有助于确保数据安全和符合各种法规要求。

### 6.1.2 人工智能和自动化在权限管理中的应用

人工智能（AI）和自动化技术在权限管理中的应用，将极大地提高效率和准确性：

- **智能权限推荐：** AI能够分析用户行为，自动推荐最适合的权限配置，减少人为错误。
- **自动化权限审批流程：** 自动化工具可以减少手动审批工作，特别是在大型组织中，提升效率。
- **实时监控与报警：** 通过实时监控权限使用情况，系统可以在异常行为发生时立即发出警报。

## 6.2 用户权限管理的未来展望

### 6.2.1 用户权限管理的发展方向

随着技术的发展，用户权限管理将向以下方向发展：

- **零信任模型：** 继续推行“从不信任，总是验证”的零信任安全模型，实现对用户权限的严格控制。
- **权限最小化原则的实践：** 企业会更加注重权限的最小化配置，即只赋予用户完成工作所必需的最小权限集。
- **多因素认证（MFA）：** 多因素认证将变得越来越普遍，为用户权限管理添加一层额外的安全保护。

### 6.2.2 预测和准备迎接新的权限管理技术

为了更好地迎接新的权限管理技术，以下是一些准备措施：

- **培训和教育：** 加强对管理员和用户的培训，确保他们理解新的权限管理技术及其重要性。
- **技术支持和预算：** 投资于支持最新技术的基础设施，并为技术更新预留相应的预算。
- **持续的合规性检查：** 定期进行合规性检查，确保权限管理方案符合当前法规要求。

DameWare权限管理作为网络和系统管理员日常工作中不可或缺的工具，其在未来的发展将进一步提升其自动化、智能化水平，以应对云环境和现代企业数据安全的需求。随着技术的不断进步，我们有理由相信，DameWare权限管理将继续演进，为IT专业人士提供更加便捷、安全的权限管理解决方案。