用过Linux的朋友一定对chmod记忆犹新,复杂的权限设置是保证系统安全的第二道屏障(第一道是用户隔离),在Windows 9x版本中FAT32文件系统的天生不足导致的无法进行权限控制给Windows落下了骂名。不过NT中就不一样了,NTFS文件系统下的Windows NT具备了基本的用户和权限保护能力。下面就来简要介绍一下Windows NT Server下面常用的权限控制。
以下基于Windows NT 5.x和NTFS文件系统,介绍的比较简单,算作入门吧。
权限的标记——用户和组
Windows NT中的权限控制单位是进程,进程的身份是靠其启动的用户和组来标记的。用户和组分为本地帐户,指本地建立的用户帐户,用作对以本地帐户登录的进程(如administrator启动运行的程序,标记为以administrator启动的服务),域帐户(如GrapeCityValentinening启动运行的程序,标记为以GrapeCityValentinening启动的服务)计算机(如以计算机GrapeCityxa-app-xxx$的LocalSystem启动的服务)。三者在进行设置时一视同仁。
文件访问权限——NTFS权限
当一个用户试图访问一个文件或者文件夹的时候(不论是本地访问还是通过Microsoft File and printer sharing for Microsoft network指定UNC进行访问),NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表(ACL)中,如果存在则进一步检查访问控制项(ACE),然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户使用的账户或者账户所属的组,就拒绝用户访问。该权限可以在文件夹属性的Security选项卡中进行设置。这里可以添加用户到ACL中,并指定ACE。
NTFS权限的应用规则
1. 权限的组合——交集。(原文此处为并集,有误)
如果一个用户同时在两个组或者多个组内,而各个组对同一个文件有不同的权限,那么这个用户对这个文件有什么权限呢?简单的说,当一个用户属于多个组的时候,这个用户会得到各个组的累加权限,但是一旦有一个组的相应权限被拒绝,此用户的此权限也会被拒绝。
2、权限的继承
新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限,一般的说从上一级继承下来的权限是不能直接修改的,只能在此基础上添加其他权限。如果需要取消继承,可以通过文件夹属性的Security选项卡中的Advanced进行修改。
3、权限的拒绝——最高权限
拒绝(Deny)是需要谨慎的操作,因为按照NTFS的规则,Deny权限具有最高的计算地位。无论给账户或者组了什么权限,只要在拒绝的这一栏里有勾,那么被拒绝的权限就绝对有效。
4、权限的移动——同分区保留
由于NTFS的权限是以分区为单位进行保存的,只有移动到同一分区内才保留原来设置的权限,否则为继承目的地文件夹或者驱动器的NTFS权限(原设定的权限被清除)。
标签:
