用过Linux的朋友一定对chmod记忆犹新,复杂的权限设置是保证系统安全的第二道屏障(第一道是用户隔离),在Windows 9x版本中FAT32文件系统的天生不足导致的无法进行权限控制给Windows落下了骂名 。不过NT中就不一样了,NTFS文件系统下的Windows NT具备了基本的用户和权限保护能力 。下面就来简要介绍一下Windows NT Server下面常用的权限控制 。
以下基于Windows NT 5.x和NTFS文件系统,介绍的比较简单,算作入门吧 。
权限的标记——用户和组
Windows NT中的权限控制单位是进程,进程的身份是靠其启动的用户和组来标记的 。用户和组分为本地帐户,指本地建立的用户帐户,用作对以本地帐户登录的进程(如administrator启动运行的程序,标记为以administrator启动的服务),域帐户(如GrapeCityValentinening启动运行的程序,标记为以GrapeCityValentinening启动的服务)计算机(如以计算机GrapeCityxa-app-xxx$的LocalSystem启动的服务) 。三者在进行设置时一视同仁 。
文件访问权限——NTFS权限
当一个用户试图访问一个文件或者文件夹的时候(不论是本地访问还是通过Microsoft File and printer sharing for Microsoft network指定UNC进行访问),NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表(ACL)中,如果存在则进一步检查访问控制项(ACE),然后根据控制项中的权限来判断用户最终的权限 。如果访问控制列表中不存在用户使用的账户或者账户所属的组,就拒绝用户访问 。该权限可以在文件夹属性的Security选项卡中进行设置 。这里可以添加用户到ACL中,并指定ACE 。
NTFS权限的应用规则
1. 权限的组合——交集 。(原文此处为并集,有误)
如果一个用户同时在两个组或者多个组内,而各个组对同一个文件有不同的权限,那么这个用户对这个文件有什么权限呢?简单的说,当一个用户属于多个组的时候,这个用户会得到各个组的累加权限,但是一旦有一个组的相应权限被拒绝,此用户的此权限也会被拒绝 。
2、权限的继承
新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限,一般的说从上一级继承下来的权限是不能直接修改的,只能在此基础上添加其他权限 。如果需要取消继承,可以通过文件夹属性的Security选项卡中的Advanced进行修改 。
3、权限的拒绝——最高权限
拒绝(Deny)是需要谨慎的操作,因为按照NTFS的规则,Deny权限具有最高的计算地位 。无论给账户或者组了什么权限,只要在拒绝的这一栏里有勾,那么被拒绝的权限就绝对有效 。
4、权限的移动——同分区保留
由于NTFS的权限是以分区为单位进行保存的,只有移动到同一分区内才保留原来设置的权限,否则为继承目的地文件夹或者驱动器的NTFS权限(原设定的权限被清除) 。
共享文件权限——Share权限:
共享权限只作用于Microsoft File and printer sharing for Microsoft network指定UNC进行访问,权限有三种:读取、更改和完全控制 。
1、 读取 。读取权限是指派给Everyone组的默认权限 。
a、 查看文件名和子文件夹名 。
b、 查看文件中的数据 。
c、 运行程序文件 。
2、 更改 。更改权限不是任何组的默认权限 。更改权限除允许所有的读取权限外,还增加以下权限 。
a、 添加文件和子文件夹 。
b、 更改文件中的数据 。
c、 删除子文件夹和文件 。
3、 完全控制 。完全控制权限是指派给本机上的Administrators组的默认权限 。完全控制权限除允许全部读取及更改权限外,还具有更改权限的权限 。
推荐阅读
- Windows 2003网络负载均衡的实现
- 远程修改Windows 2003机器名
- windows 2003安全:重新支持ASP脚本
- 微软Windows 2003 SP2 RC抢先下载
- 隐藏在Windows 2003系统中的“冷招”
- Windows Server 2008 Beta 3官方ISO下载
- Win7添加Windows凭证图文操作步骤
- Windows 2003实用技巧七则
- 轻松改变Win2003登录方式
- Windows 2003系统远程桌面管理小窍门