設(shè)置NTFS權(quán)限基本策略和原則

在Windows XP中，針對權(quán)限的管理有四項(xiàng)基本原則，即：拒絕優(yōu)于允許原則、權(quán)限最小化原則、累加原則和權(quán)限繼承性原則。這四項(xiàng)基本原則對于權(quán)限的設(shè)置來說，將會(huì)起到非常重要的作用，下面就來了解一下：

拒絕優(yōu)于允許原則

“拒絕優(yōu)于允許”原則是一條非常重要且基礎(chǔ)性的原則，它可以非常***地處理好因用戶在用戶組的歸屬方面引起的權(quán)限“糾紛”，例如，“shyzhong”這個(gè)用戶既屬于“shyzhongs”用戶組，也屬于“xhxs”用戶組，當(dāng)我們對“xhxs”組中某個(gè)資源進(jìn)行“寫入”權(quán)限的集中分配(即針對用戶組進(jìn)行)時(shí)，這個(gè)時(shí)候該組中的“shyzhong”賬戶將自動(dòng)擁有“寫入”的權(quán)限。

但令人奇怪的是，“shyzhong”賬戶明明擁有對這個(gè)資源的“寫入”權(quán)限，為什么實(shí)際操作中卻無法執(zhí)行呢？原來，在“shyzhongs”組中同樣也對“shyzhong”用戶進(jìn)行了針對這個(gè)資源的權(quán)限設(shè)置，但設(shè)置的權(quán)限是“拒絕寫入”。基于“拒絕優(yōu)于允許”的原則，“shyzhong”在“shyzhongs”組中被 “拒絕寫入”的權(quán)限將優(yōu)先于“xhxs”組中被賦予的允許“寫入”權(quán)限被執(zhí)行。因此，在實(shí)際操作中，“shyzhong”用戶無法對這個(gè)資源進(jìn)行“寫入”操作。

權(quán)限最小化原則

Windows XP將“保持用戶最小的權(quán)限”作為一個(gè)基本原則進(jìn)行執(zhí)行，這一點(diǎn)是非常有必要的。這條原則可以確保資源得到***的安全保障。這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權(quán)限賦予限制。

基于這條原則，在實(shí)際的權(quán)限賦予操作中，我們就必須為資源明確賦予允許或拒絕操作的權(quán)限。例如系統(tǒng)中新建的受限用戶“shyzhong”在默認(rèn)狀態(tài)下對“DOC”目錄是沒有任何權(quán)限的，現(xiàn)在需要為這個(gè)用戶賦予對“DOC”目錄有“讀取”的權(quán)限，那么就必須在“DOC”目錄的權(quán)限列表中為“shyzhong”用戶添加“讀取”權(quán)限。

權(quán)限繼承性原則

權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡單。假設(shè)現(xiàn)在有個(gè)“DOC”目錄，在這個(gè)目錄中有“DOC01”、“DOC02”、“DOC03”等子目錄，現(xiàn)在需要對DOC目錄及其下的子目錄均設(shè)置“shyzhong”用戶有“寫入”權(quán)限。因?yàn)橛欣^承性原則，所以只需對“DOC”目錄設(shè)置“shyzhong”用戶有“寫入”權(quán)限，其下的所有子目錄將自動(dòng)繼承這個(gè)權(quán)限的設(shè)置。

累加原則

這個(gè)原則比較好理解，假設(shè)現(xiàn)在“zhong”用戶既屬于“A”用戶組，也屬于“B”用戶組，它在A用戶組的權(quán)限是“讀取”，在“B”用戶組中的權(quán)限是“寫入”，那么根據(jù)累加原則，“zhong”用戶的實(shí)際權(quán)限將會(huì)是“讀取+寫入”兩種。

顯然，“拒絕優(yōu)于允許”原則是用于解決權(quán)限設(shè)置上的沖突問題的；“權(quán)限最小化”原則是用于保障資源安全的；“權(quán)限繼承性”原則是用于“自動(dòng)化”執(zhí)行權(quán)限設(shè)置的；而“累加原則”則是讓權(quán)限的設(shè)置更加靈活多變。幾個(gè)原則各有所用，缺少哪一項(xiàng)都會(huì)給權(quán)限的設(shè)置帶來很多麻煩！

注意：在Windows XP中，“Administrators”組的全部成員都擁有“取得所有者身份”(Take Ownership)的權(quán)力，也就是管理員組的成員可以從其他用戶手中“奪取”其身份的權(quán)力，例如受限用戶“shyzhong”建立了一個(gè)DOC目錄，并只賦予自己擁有讀取權(quán)力，這看似周到的權(quán)限設(shè)置，實(shí)際上，“Administrators”組的全部成員將可以通過“奪取所有權(quán)”等方法獲得這個(gè)權(quán)限。

取消"Everyone"完全控制權(quán)限

選擇要取消權(quán)限的文件或文件夾，右鍵選擇屬性，在“安全”選項(xiàng)卡下的ACL中找到“Everyone”的ACE，選擇編輯，將其“完全控制”權(quán)限前的勾去掉。

復(fù)制和移動(dòng)文件夾對權(quán)限的影響

在權(quán)限的應(yīng)用中，不可避免地會(huì)遇到設(shè)置了權(quán)限后的資源需要復(fù)制或移動(dòng)的情況，那么這個(gè)時(shí)候資源相應(yīng)的權(quán)限會(huì)發(fā)生怎樣的變化呢？下面來了解一下：

(1)復(fù)制資源時(shí)

在復(fù)制資源時(shí)，原資源的權(quán)限不會(huì)發(fā)生變化，而新生成的資源，將繼承其目標(biāo)位置父級(jí)資源的權(quán)限。

(2)移動(dòng)資源時(shí)

在移動(dòng)資源時(shí)，一般會(huì)遇到兩種情況，一是如果資源的移動(dòng)發(fā)生在同一驅(qū)動(dòng)器內(nèi)，那么對象保留本身原有的權(quán)限不變(包括資源本身權(quán)限及原先從父級(jí)資源中繼承的權(quán)限)；二是如果資源的移動(dòng)發(fā)生在不同的驅(qū)動(dòng)器之間，那么不僅對象本身的權(quán)限會(huì)丟失，而且原先從父級(jí)資源中繼承的權(quán)限也會(huì)被從目標(biāo)位置的父級(jí)資源繼承的權(quán)限所替代。實(shí)際上，移動(dòng)操作就是首先進(jìn)行資源的復(fù)制，然后從原有位置刪除資源的操作。

(3)非NTFS分區(qū)

上述復(fù)制或移動(dòng)資源時(shí)產(chǎn)生的權(quán)限變化只是針對NTFS分區(qū)上而言的，如果將資源復(fù)制或移動(dòng)到非NTFS分區(qū)(如FAT16/FAT32分區(qū))上，那么所有的權(quán)限均會(huì)自動(dòng)全部丟失。