1、创建两个普通用户


2、创建一个组

3、查看现在用户的id信息


4、将用户添加到组（分别用tom和alice两个用户体现两种方法的不同）
1）把tom用户添加到组lab（此命令改变的是tom用户的主组，参数-g会使用户离开原来的所属组，加到新的组里面，新的组变成tom的主组）

2）把alice用户添加到组lab（此命令改变的是alice用户的附加组，参数-G会使用户在原来所属组的基础上，再加到另一个lab组里面，而不改变自己的主组）

5、ACL权限规则
目的：不让lab组内的成员访问/workdir目录
首先看看/workdir的ACL规则

下面用ACL规则设置访问权限

这时会看到/workdir的ACL规则已经改变

切换用户可以看到就可以无权访问了



下面把lab组的ACL权限去掉，可以看到/workdir的ACL规则恢复

切换用户就可以访问/workdir了



注： setfacl  -m  g:lab:---  /workdir
用法：setfacl  -参数    u/g：用户名/组名：权限    目录名/文件名
这里需要说明一下参数的含义
  -m：设置后续acl参数
  -x：删除后续acl参数
  -b：删除全部的acl参数
  -k：删除默认的acl参数
  -R：递归设置acl，包括子目录
  -d：设置默认acl

6、把用户从组中剔除

可以看到alice已经不再属于lab组了

注：gpasswd  -d  用户名  组名
只适用于 usermod  -G  组名  用户名  的剔除，因为这是离开附加组。
不适用于 usermod  -g  组名  用户名   的剔除，因为这是主组。

注2：ACL规则也可限制某个用户使用某些命令，比如rm、top、cp、mv等等。