用户与组配置是Linux系统权限管理的基础，通过构建用户创建-组管理-信息查询的操作体系，可实现精细化的权限分配与团队资源隔离。以下从三个维度展开具体操作与原理分析。

用户创建：主组与附加组的协同配置

用户创建核心在于通过useradd命令定义用户基本属性，并明确主组（Primary Group）与附加组（Supplementary Group）的关系。主组为用户默认所属组（未指定时系统自动创建同名组），附加组则用于扩展用户权限集合。

关键参数解析：

• -m：自动创建用户家目录（如/home/alice），避免手动创建的繁琐；
• -s /bin/bash：指定登录Shell为bash，确保用户获得交互式命令环境；
• -G group：将用户添加至附加组，支持同时指定多个组（用逗号分隔）；
• -r：创建系统用户（无家目录，用于服务运行）。

场景化示例：创建开发用户alice并加入dev附加组

useradd -m -s /bin/bash -G dev alice  # 创建用户并指定附加组
passwd alice  # 设置密码（系统强制密码复杂度策略）

若需删除用户及其家目录，可执行userdel -r alice，-r参数确保彻底清理残留文件。

主组与附加组区别：用户每次登录时，主组权限自动生效（体现在文件创建时的属组），附加组权限需通过newgrp dev临时切换或重新登录后生效。例如alice创建文件时默认属组为alice（主组），但可通过附加组dev访问组内共享资源。

组管理：团队权限隔离的实现路径

组管理通过groupadd创建逻辑分组，结合usermod调整用户组成员关系，实现“同组共享、异组隔离”的权限边界。

核心操作流程：

1. 创建用户组：groupadd dev创建开发团队专用组dev，系统自动分配GID（Group ID）；
2. 添加用户至组：usermod -aG dev bob将用户bob加入dev组，其中-a参数避免覆盖bob原有的附加组，-G指定目标附加组；
3. 删除组：groupdel dev（需确保组内无用户，否则需先移除所有成员）。

权限隔离价值：通过将开发人员统一加入dev组，可对代码仓库设置chmod 770 /path/to/project权限，仅dev组成员可读写，有效防止非开发人员误操作。

信息查询：UID/GID关系的诊断工具

id命令是排查用户-组关系的核心工具，通过解析其输出可快速定位权限问题根源。执行id alice典型输出如下：

uid=1001(alice) gid=1001(alice) groups=1001(alice),1002(dev)

• UID（1001）：用户唯一标识，系统通过UID而非用户名识别用户；
• GID（1001）：主组ID，对应alice同名主组；
• 附加组（1002(dev)）：用户所属附加组列表，此处dev组GID为1002。

排障应用：当用户报告“权限被拒绝”时，可通过三步诊断：

1. id username确认用户是否属于目标组；
2. ls -l /path检查文件属组是否为目标组；
3. groups username验证附加组是否生效（需重新登录或newgrp group刷新）。

通过上述体系化操作，可构建清晰的用户权限结构，为后续文件权限管理与进程安全控制奠定基础。