【51CTO獨(dú)家特稿】微軟悄悄地推出了Windows Server 2003 SP2，在使用中對(duì)于對(duì)于NTFS訪問控制列表及權(quán)限集成的使用需要引起的重視。NTFS磁盤分區(qū)上的每一個(gè)文件和文件夾，NTFS都存儲(chǔ)一個(gè)遠(yuǎn)程訪問控制列表（ACL，Access Control Lists）。ACL中包含有那些被授權(quán)訪問該文件或者文件夾的所有用戶賬號(hào)、組和計(jì)算機(jī)，還包含他們被授予的訪問類型。

為了讓一個(gè)用戶訪問某個(gè)文件或文件夾，針對(duì)相應(yīng)的用戶賬號(hào)、組，或者該用戶所屬的計(jì)算機(jī)，ACL中必須包含一個(gè)對(duì)應(yīng)的入口，這樣的入口叫做訪問控制入口（ACE，Access control entries）。為了讓用戶能夠訪問文件或者文件夾，訪問控制入口必須具有用戶所請(qǐng)求的訪問類型。如果ACL沒有相應(yīng)的ACE存在，Windows Server 2003就拒絕該用戶訪問相應(yīng)資源。

上圖即一個(gè)ACL，包含了四個(gè)ACE，分別給予administrator完全控制權(quán)限，system完全控制權(quán)限，authenticated users修改權(quán)限，users讀取和執(zhí)行權(quán)限。Windows允許單獨(dú)為用戶指定權(quán)限，同時(shí)也可以為用戶所隸屬的每一個(gè)組指定權(quán)限，從而為一個(gè)用戶賬戶指定多重權(quán)限。
為了理解多重繼承，需要了解NTFS權(quán)限的一些原則。

1) 權(quán)限的積累

用戶對(duì)資源的有效權(quán)限是分配給該個(gè)人用戶帳戶和用戶所屬的組的所有權(quán)限的總和。如果用戶對(duì)文件具有“讀取”權(quán)限，該用戶所屬的組又對(duì)該文件具有“寫入”的權(quán)限，那么該用戶就對(duì)該文件同時(shí)具有“讀取”和“寫入”的權(quán)限，舉例如下：　　

假設(shè)情況如下所示：

有一個(gè)文件叫FILE。

USER1用戶屬于GROUP1組

2) 文件權(quán)限高于文件夾權(quán)限

意思就是說NTFS文件權(quán)限對(duì)于NTFS文件夾權(quán)限具有優(yōu)先權(quán)，假設(shè)你能夠訪問一個(gè)文件，那么即使該文件位于你不具有訪問權(quán)限的文件夾中，你也可以進(jìn)行訪問（前提是該文件沒有繼承它所屬的文件夾的權(quán)限）。

舉例說明如下：假設(shè)你對(duì)文件夾FOLDER沒有訪問權(quán)限，但是該文件夾下的文件FILE.TXT沒有繼承FOLDER的權(quán)限，也就是說你對(duì)FILE.TXT文件是有權(quán)限訪問的，只不過你無法用資源管理器之類的東西來打開FOLDER文件夾，你無法看到文件FILE而已（因?yàn)槟銓?duì)FOLDER沒有訪問權(quán)限），但是你可以通過輸入它的完整的路徑來訪問該文件。比如你可以用 c:\folder\file.txt來訪問FILE文件（假設(shè)在C盤）。

3) 拒絕高于其他權(quán)限

拒絕權(quán)限可以覆蓋所有其他的權(quán)限。甚至作為一個(gè)組的成員有權(quán)訪問文件夾或文件，但是該組被拒絕訪問，那么該用戶本來具有的所有權(quán)限都會(huì)被鎖定而導(dǎo)致無法訪問該文件夾或文件。也就是說上面第一點(diǎn)的權(quán)限累積原則將失效。舉例說明如下：

假設(shè)情況如下：

有一個(gè)文件叫FILE。

USER1用戶屬于GROUP1組

那么USER1對(duì)FILE的權(quán)限將不再是：讀?。珜懭?，而是無法訪問文件FILE。另外一種情況是拒絕原則與累計(jì)原則并存，舉例如下：

有一個(gè)文件叫FILE。

USER1用戶屬于GROUP1組，同時(shí)也屬于GROUP2組，

那么USER1對(duì)FILE的權(quán)限為：讀取（根據(jù)累計(jì)原則，USER1對(duì)FILE本來有：“讀?。珜懭?rdquo;權(quán)限，但是由于USER1所屬的GROUP2組被拒絕寫入，所以就只剩下“讀取”權(quán)限了

系統(tǒng)的默認(rèn)設(shè)置是權(quán)限從父文件夾繼承的。新建的的子文件夾和文件具有與其父文件夾相同的訪問控制表，使得管理共享文件夾環(huán)境變得更加容易，用戶不必?fù)?dān)心在新文件夾或文件中調(diào)整權(quán)限。

可以拒絕繼承上級(jí)權(quán)限，也可以強(qiáng)制下級(jí)繼承權(quán)限，即父對(duì)象上的權(quán)限將替換其子對(duì)象上的權(quán)限。在強(qiáng)制下級(jí)文件夾或者文件繼承權(quán)限的過程中，當(dāng)前用戶沒有權(quán)限處理的文件夾或者文件將不會(huì)繼承權(quán)限。

讓UserA創(chuàng)建一個(gè)文件夾，里面包含一個(gè)子文件夾和一個(gè)管理員創(chuàng)建的文件，而管理員創(chuàng)建的文件UserA是沒有權(quán)限的，然后讓UserA把上一層的文件夾做強(qiáng)制，會(huì)發(fā)現(xiàn)由UserA創(chuàng)建的文件和文件夾會(huì)繼承下來。而管理員創(chuàng)建的內(nèi)容不會(huì)繼承。 

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處?！?/p>

【編輯推薦】

1. 配置Windows Server 2003網(wǎng)絡(luò)負(fù)載均衡
2. Windows Server 2003 集群中的仲裁
3. Windows Server 2003服務(wù)器集群體系結(jié)構(gòu)
4. Windows Server 2003集群服務(wù)技術(shù)概述
5. 自動(dòng)管理Windows Server 2003上的后臺(tái)打印