NTFS中用户的权限设置规则

2015-04-25 09:43阅读：

http://blog.sina.cn/dpool/blog/u/1411755262

NTFS中用户的权限设置规则一、导语　　 windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力。在windows中,为不同的账户设置权限很重要,可以防止重要文件被其他人所修改,防止系统崩溃。在WinXP中，打开文件夹选项—选择—>查看—取消勾选—>使用简单文件共享——>应用——>确定；然后选择要设置权限的磁盘或文件夹—右键—>属性—选择—>安全——>进行设置——>应用——>确定。要注意的是，要进行权限设置，文件系统必须是NTFS。二、基础知识　　1、权限与权力　　' 权限'(Permission)是针对资源而言的。也就是说，设置权限只能是以资源为对象，即'设置某个文件夹有哪些用户可以拥有相应的权限'，而不能是以用户为主，即'设置某个用户可以对哪些资源拥有权限'。这就意味着'权限'必须针对'资源'而言，脱离了资源去谈权限毫无意义──在提到权限的具体实施时，'某个资源'是必须存在的。利用权限可以控制资源被访问的方式，如User组的成员对某个资源拥有'读取'操作权限、Administrators组成员拥有'读取+写入+删除'操作权限等。　　'权力'(Right)主要是针对用户而言的。'权力'通常包含'登录权力' (Logon Right)和'特权'(Privilege)两种。登录权力决定了用户如何登录到计算机，如是否采用本地交互式登录、是否为网络登录等。

特权则是一系列权力的总称，这些权力主要用于帮助用户对系统进行管理，如是否允许用户安装或加载驱动程序等。显然，权力与权限有本质上的区别。　　2、安全标识符、访问控制列表、安全主体　　（1）.安全标识符安全标识符在系统中是通过SID对用户进行识别的，而不是很多用户认为的'用户名称'。SID可以应用于系统内的所有用户、组、服务或计算机，因为SID 是一个具有惟一性、绝对不会重复产生的数值，所以，在删除了一个账户(如名为'A'的账户)后，再次创建这个'A'账户时，前一个A与后一个A账户的 SID是不相同的。这种设计使得账户的权限得到了最基础的保护，盗用权限的情况也就彻底杜绝了。　　查看用户、组、服务或计算机的SID值，可以使用 'Whoami'工具来执行，该工具包含在Windows XP安装光盘的'Support\Tools'目录中，双击执行该目录下的'Setup'文件后，将会有包括Whoami工具在内的一系列命令行工具拷贝到'X:\Program Files\Support Tools'目录中。此后在任意一个命令提示符窗口中都可以执行'Whoami /all'命令来查看当前用户的全部信息。　　（2）.访问控制列表(ACL)
　　访问控制列表是权限的核心技术。顾名思义，这是一个权限列表，用于定义特定用户对某个资源的访问权限，实际上这就是系统对资源进行保护时所使用的一个标准。　　在访问控制列表中，每一个用户或用户组都对应一组访问控制项(Access Control Entry, ACE)，这一点只需在'组或用户名称'列表中选择不同的用户或组时，通过下方的权限列表设置项是不同的这一点就可以看出来。显然，所有用户或用户组的权限访问设置都将会在这里被存储下来，并允许随时被有权限进行修改的用户进行调整，如取消某个用户对某个资源的'写入'权限。　　（3）.安全主体(Security Principal)　　在系统中，可以将用户、用户组、计算机或服务都看成是一个安全主体，每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同，账户的管理方式也有所不同：本地账户被本地的SAM管理；域的账户则会被活动目录进行管理。 3、权限的指派一般来说，权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。因为用户组包括多个用户，所以大多数情况下，为资源指派权限时建议使用用户组来完成，这样可以非常方便地完成统一管理。三、权限的四项基本原则　　在系统中，针对权限的管理有四项基本原则，即：拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说，将会起到非常重要的作用，下面就来了解一下： 1.拒绝优于允许原则　　' 拒绝优于允许'原则是用于解决权限设置上的冲突问题的，是一条非常重要且基础性的原则，它可以非常完美地处理好因用户在用户组的归属方面引起的权限'纠纷'。例如：'shyzhong'这个用户既属于'shyzhongs'用户组，也属于'xhxs'用户组，当我们对'xhxs'组中某个资源进行'写入'权限的集中分配(即针对用户组进行) 时，这个时候该组中 'shyzhong'账户将自动拥有'写入'的权限。但令人奇怪的是，'shyzhong'账户明明拥有对这个资源的'写入'权限，为什么实际操作中却无法执行呢？原来，在'shyzhongs'组中同样也对'shyzhong'用户进行了针对这个资源的权限设置，但设置的权限是'拒绝写入'。基于'拒绝优于允许'的原则，'shyzhong'在'shyzhongs'组中被 '拒绝写入'的权限将优先'xhxs'组中被赋予的允许'写入'权限被执行。因此，在实际操作中，'shyzhong'用户无法对这个资源进行'写入'操作。　　2.权限最小化原则　　权限最小化原则是用于保障资源安全的，可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。基于这条原则，在实际的权限赋予操作中，我们就必须为资源明确赋予允许或拒绝操作的权限。系统将'保持用户最小的权限'作为一个基本原则进行执行，这一点是非常有必要的。例如：系统中新建的受限用户'shyzhong'在默认状态下对 'DOC'目录是没有任何权限的，现在需要为这个用户赋予对'DOC'目录有'读取'的权限，那么就必须在'DOC'目录的权限列表中为 'shyzhong'用户添加'读取'权限。　　3.权限继承性原则权限继承性原则是用于'自动化'执行权限设置的，可以让资源的权限设置变得更加简单。例如：现在有个'DOC'目录，在这个目录中有'DOC01'、'DOC02'、'DOC03'等子目录，现在需要对DOC目录及其下的子目录均设置 'shyzhong'用户有'写入'权限。因为有继承性原则，所以只需对'DOC'目录设置'shyzhong'用户有'写入'权限，其下的所有子目录将自动继承这个权限的设置。　　4.累加原则累加原则是让权限的设置更加灵活多变，这个原则比较好理解。例如：现在'zhong'用户既属于'A'用户组，也属于'B'用户组，它在A用户组的权限是'读取'，在'B'用户组中的权限是'写入'，那么根据累加原则，'zhong'用户的实际权限将会是'读取+写入'两种。管理员的至高权利：在系统中，'Administrators'组的全部成员都拥有'取得所有者身份'(Take Ownership)的权力，也就是管理员组的成员可以从其他用户手中'夺取'其身份的权力。例如：受限用户'shyzhong'建立了一个DOC目录，并只赋予自己拥有读取权力，这看似周到的权限设置，实际上，'Administrators'组的全部成员将可以通过'夺取所有权'等方法获得这个权限。四、资源权限高级应用　　以文件与文件夹的权限为例，依据是否被共享到网络上，其权限可以分为NTFS权限与共享权限两种，这两种权限既可以单独使用，也可以相辅使用。两者之间既能够相互制约，也可以相互补充。下面来看看如何进行设置：　　1.NTFS权限首先我们要知道：只要是存在NTFS磁盘分区上的文件夹或文件，无论是否被共享，都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效！ NTFS权限有两大要素：一是标准访问权限；二是特别访问权限。（1）标准访问权限将一些常用的系统权限选项比较笼统地组成6种'套餐型'的权限，即：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。六个权限选项的含义如下：　　完全控制(Full Control)：该权限允许用户对文件夹、子文件夹、文件进行全权控制，如修改资源的权限、获取资源的所有者、删除资源的权限等，拥有完全控制权限就等于拥有了其他所有的权限；　　修改(Modify)：该权限允许用户修改或删除资源，同时让用户拥有写入及读取和运行权限；　　读取和运行(Read & Execute)：该权限允许用户拥有读取和列出资源目录的权限，另外也允许用户在资源中进行移动和遍历，这使得用户能够直接访问子文件夹与文件，即使用户没有权限访问这个路径；　　列出文件夹目录(List Folder Contents)：该权限允许用户查看资源中的子文件夹与文件名称；　　读取(Read)：该权限允许用户查看该文件夹中的文件以及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等；　　写入(Write)：该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。（2）特别访问权限特别访问权限则可以实现更具体、全面、精确的权限设置。特别权限不再使用'套餐型'，而是使用可以允许用户进行'菜单型'的细节化权限管理选择了。'遍历文件夹/运行文件'、'列出文件夹/读取数据'、'读取属性'、'创建文件/写入数据'、'创建文件夹/附加数据'、'读取权限'几项，最后点击'确定' 按钮结束设置。
各选项含义如下： 1》遍历文件夹/运行文件(Traverse Folder/Execute File)：
该权限允许用户在文件夹及其子文件夹之间移动(遍历)，即使这些文件夹本身没有访问权限。注意：只有当在'组策略'中('计算机配置 '→'Windows设置'→'安全设置'→'本地策略'→'用户权利指派')将'跳过遍历检查'项授予了特定的用户或用户组，该项权限才能起作用。默认状态下，包'Administrators'、'Users'、'Everyone'等在内的组都可以使用该权限。对于文件来说，拥了这项权限后，用户可以执行该程序文件。但是，如果仅为文件夹设置了这项权限的话，并不会让用户对其中的文件带上'执行'的权限；　　2》列出文件/读取数据(List Folder/Read Data)：该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据；　　3》读取属性(Read Attributes)：　　该权限允许用户查看文件或文件夹的属性(如系统、只读、隐藏等属性)；　　4》读取扩展属性(Read Extended Attributes)：　　该权限允许查看文件或文件夹的扩展属性，这些扩展属性通常由程序所定义，并可以被程序修改；　　5》创建文件/写入属性(Create Files/Write Data)：　　该权限允许用户在文件夹中创建新文件，也允许将数据写入现有文件并覆盖现有文件中的数据；　　6》创建文件夹/附加数据(Create Folder/Append Data)：　　该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据，但不能对文件现有的数据进行覆盖、修改，也不能删除数据；　　7》写入属性(Write Attributes)：　　该权限允许用户改变文件或文件夹的属性；　　8》写入扩展属性(Write Extended Attributes)：　　该权限允许用户对文件或文件夹的扩展属性进行修改；　　9》删除子文件夹及文件(Delete Subfolders and Files)：　　该权限允许用户删除文件夹中的子文件夹或文件，即使在这些子文件夹和文件上没有设置删除权限；　　10》删除(Delete)：
该权限允许用户删除当前文件夹和文件，如果用户在该文件或文件夹上没有删除权限，但是在其父级的文件夹上有删除子文件及文件夹权限，那么就仍然可以删除它；　　11》读取权限(Read Permissions)：　　该权限允许用户读取文件或文件夹的权限列表；　　12》更改权限(Change Permissions)：　　该权限允许用户改变文件或文件夹上的现有权限；　　13》取得所有权(Take Ownership)：　　该权限允许用户获取文件或文件夹的所有权，一旦获取了所有权，用户就可以对文件或文件夹进行全权控制。　　'修改'权限与'写入'权限的区别：如果仅仅对一个文件拥有修改权限，那么，不仅可以对该文件数据进行写入和附加，而且还可以创建新文件或删除现有文件。而如果仅仅对一个文件拥有写入权限，那么既可以对文件数据进行写入和附加，也可以创建新文件，但是不能删除文件。也就是说，有写入权限不等于具有删除权限，但拥有修改权限，就等同于拥有删除和写入权限。　　2.共享权限(Shared Permission)　　只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中，那么它将同时具有NTFS权限与共享权限，如果这个资源同时拥有NTFS和共享两种权限，那么系统中对权限的具体实施将以两种权限中的'较严格的权限'为准；如果是FAT16/FAT32文件系统中的共享文件夹，那么将只能受到共享权限的保护。　　例如：某个共享资源的NTFS权限设置为完全控制，而共享权限设置为读取，那么远程用户就只能使用'读取'权限对共享资源进行访问了。共享权限列表中有'完全控制'、'更改'和'读取'三项权限可供选择。三个权限的含义如下：　　①完全控制：允许用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹，另外，也可以修改该文件夹中的NTFS访问权限和夺取所有权；　　②更改：允许用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹，但不能创建新文件；　　③读取：允许用户读取当前文件夹的文件和子文件夹，但是不能进行写入或删除操作。　　'Everyone'组的含义：在Windows 2000中，这个组因为包含了'Anonymous Logon'组，所以它表示'每个人'的意思。但在Windows XP中，请注意──这个组因为只包括'Authenticated Users'和'Guests'两个组，而不再包括'Anonymous Logon'组，所以它表示了'可访问计算机的所有用户'，而不再是'每个人'！请注意这是有区别的，'可访问计算机的所有用户'意味着必须是通过认证的用户，而'每个人'则不必考虑用户是否通过了认证。从安全方面来看，这一点是直接导致安全隐患是否存在关键所在！（在 Windows XP中实现Windows 2000中那种'Everyone'设计机制：运行——>Secpol.msc——>本地策略——>安全选项——>网络访问：让'每个人'权限应用于匿名用户——>已启用——>应用——>确定）　　网络访问连接数：在Windows XP Professional中，最多可以同时有10个用户通过网络登录(指使用认证账户登录的用户，方式使用某一台计算机提供的共享资源。但对于访问由IIS提供的Web服务的用户没有限制。　　3.资源复制或移动时权限的变化与处理　　(1)复制资源时
　　在复制资源时，原资源的权限不会发生变化，而新生成的资源，将继承其目标位置父级资源的权限。　　(2)移动资源时　　在移动资源时，一般会遇到两种情况，一是如果资源的移动发生在同一驱动器内，那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限)；二是如果资源的移动发生在不同的驱动器之间，那么不仅对象本身的权限会丢失，而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上，移动操作就是首先进行资源的复制，然后从原有位置删除资源的操作。　　(3)非NTFS分区　　上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的，如果将资源复制或移动到非NTFS分区(如FAT16/FAT32分区)上，那么所有的权限均会自动全部丢失。　　4.资源所有权的高级管理　　查看资源的所有者，可以输入命令：dir folder_name /q，在反馈信息的第一行就可以看到用户是谁了，或者在图形界面中查看所有者是谁：目录的属性——>安全——>高级——>所有者——>目前该项目的所有者。　　如果想将所有者更改用户，那么首先确保在安全选项卡中的“组或用户名称”中存在此用户（没有就添加），然后单击“高级”，选择所有者选项卡，最后在'将所有者更改为'列表中选择目标用户名后，点击'确定'按钮即可。　　例如：不小心将文件夹的所有用户都删除了，这将会导致所有用户都无法访问这个文件夹，此时可以通过使用更改所有权的方法就可以很轻松地解决这类权限问题了。 5、用户对资源的具体权限查询　　查看用户对资源拥有什么样的权限，可依次选择目录的属性——>安全——>高级——>有效权限——>选择——>输入要查询的账户——>确定，此时就可以从下方的列表中查看该用户的详细权限信息了。五、程序使用权限设定　　1.程序文件权限设定　　要了解系统中关于程序文件的访问权限，我们应首先来了解一下系统在这方面的两个设计，一个是组策略中软件限制策略的设计；另一个是临时分配程序文件使用权限的设计。　　(1)软件限制策略
　　在'运行'栏中输入 'Gpedit.msc'命令打开组策略窗口后，在'计算机配置'→'Windows设置'→'安全设置'分支中，右键选中'软件限制策略'分支，在弹出的快捷菜单中选择新建一个策略后，就可以从'软件限制策略'分支下新出现的'安全级别'中看到有两种安全级别的存在了。　　这两条安全级别对于程序文件与用户权限之前是有密切联系的：　　①不允许的：从其解释中可以看出，无论用户的访问权如何，软件都不会运行；　　②不受限的：这是默认的安全级别，其解释为 '软件访问权由用户的访问权来决定'。显然，之所以在系统中可以设置各种权限，是因为有这个默认安全策略在背后默默支持的缘故。如果想把'不允许的'安全级别设置为默认状态，只需双击进入其属性界面后点击'设为默认值'按钮即可。　　(2)临时分配程序文件　　为什么要临时分配程序文件的管理权限呢？这是因为在系统中，有许多很重要的程序都是要求用户具有一定的管理权限才能使用的，因此在使用权限不足以使用某些程序的账户时，为了能够使用程序，我们就需要为自己临时分配一个访问程序的管理权限了。为程序分配临时管理权限的方法很简单：右键点击要运行的程序图标，在弹出的快捷菜单中选择'运行方式'，在打开的'运行身份'对话框中选中'下列用户'选项，在'用户名'和'密码'右侧的文本框中指定用户及密码即可。　　2.授权多个用户访问加密文件　　系统在EFS上的改进之一就是可以允许多个用户访问加密文件，这些用户既可以是本地用户，也可以是域用户或受信任域的用户。由于无法将证书颁发给用户组，而只能颁发给用户，所以只能授权单个的账户访问加密文件，而用户组将不能被授权。　　要授权加密文件可以被多个用户访问，可以按照如下方法进行操作：　　选中已经加密的文件，用鼠标右键点击该加密文件，选择'属性'，在打开的属性对话框中'常规'选项卡下点击'高级'按钮，打开加密文件的高级属性对话框，点击其中的'详细信息'按钮(加密文件夹此按钮无效)，在打开的对话框中点击'添加'按钮添加一个或多个新用户即可(如果计算机加入了域，则还可以点击'寻找用户'按钮在整个域范围内寻找用户)。　　如果要删除某个用户对加密文件的访问权限，那么只需选中此用户后点击'删除'按钮即可。　　3.日志的访问权限　　日志可以按系统管理员预先的设定，自动将系统中发生的所有事件都一一记录在案，供管理员查询。既然日志信息具有如此重要的参考作用，那么就应该做好未经授权的用户修改或查看的权限控制。因此，我们非常有必要去了解一下日志的访问权限在系统中是怎样设计的。一般来说，Administrators、SYSTEM、Everyone三种类型的账户可以访问日志。　　这三种类型的账户对不同类型的日志拥有不同的访问权限，下面来看一下表格中具体的说明，请注意'√'表示拥有此权限；'×'表示无此权限。　　通过对比，可以看出SYSTEM拥有的权限最高，可以对任意类型的日志进行读写和清除操作；Everyone用户则可以读取应用程序和系统日志，但对安全日志无法读取。这是因为安全日志相对其他几种类型的日志在安全性方面的要求要高一些，只有SYSTEM 能够对之写入。　　如果想为其他用户赋予管理审核安全日志的权限，那么可以在'运行'栏中输入'Gpedit.msc'命令打开组策略编辑器窗口后，依次进入'计算机配置 '→'Windows设置'→'安全设置 '→'本地策略'→'用户权利指派'，双击右侧的'管理审核和安全日志'项，在弹出的对话框中添加所需的用户即可。六、内置安全主体与权限　　在系统中，有一群不为人知的用户，它们的作用是可以让我们指派权限到某种'状态'的用户(如'匿名用户'、'网络用户')等，而不是某个特定的用户或组。这样一来，对用户权限的管理就更加容易精确控制了。这群用户在系统中，统一称为内置安全主体。下面让我们来了解一下： 1.安全主体的藏身之处　　下面假设需要为一个名为'zhiguo'的目录设置内置安全主体中的'Network'类用户权限为例，看看这群'默默无闻'的用户藏身在系统何处。　　首先进入'zhiguo'目录属性界面的'安全'选项卡设置界面，点击其中的'添加'按钮，在弹出的'选择用户或组'对话框中点击'对象类型'按钮。　　在弹出对话框中只保留列表中的'内置安全主体'项，并点击'确定'按钮。　　在接下来的对话框中点击'高级'按钮，然后在展开的对话框中点击'立即查找'按钮，就可以看到内置安全主体中包含的用户列表了。　　2.安全主体作用说明
　　虽然内置安全主体有很多，但正常能在权限设置中使用到的并不多，所以下面仅说明其中几个较重要的：　　①Anonymous Logon：任何没有经过Windows XP验证程序(Authentication)，而以匿名方式登录域的用户均属于此组；　　②Authenticated Users：与前项相反，所有经过Windows XP验证程序登录的用户均属于此组。设置权限和用户权力时，可考虑用此项代替Everyone组；　　③BATCH：这个组包含任何访问这台计算机的批处理程序(Batch Process)；　　④DIALUP：任何通过拨号网络登录的用户；　　⑤Everyone：指所有经验证登录的用户及来宾(Guest)；　　⑥Network：任何通过网络登录的用户；　　⑦Interactive：指任何直接登录本机的用户；　　⑧Terminal server user：指任何通过终端服务登录的用户。　　在明白了内置安全主体的作用后，在进行权限的具体指派时就可以让权限的应用精确程度更高、权限的应用效果更加高效。显然，系统中设置此类账户是十分有必要的，毕竟计算机是以应用为主，以应用类型进行账户分类，必然会使权限的管理不再混乱，管理更加合理！说明：上文中所讲，以WinXP为操作系统实例。注：以上内容部分来自互联网，版权归原作者所有。

举报/Report

我的更多文章

下载客户端阅读体验更佳