Windows 2000中NTFS權限介紹及應用

    WIN2000中添加了一個與WIN98及以前的WINDOWS版本不同的一個特性，那就是NTFS權限，由于有了這個特性，那么在WIN2000中就可以實現文件夾及文件級別的安全控制，這不同于WIN98中的帳號和密碼，在WIN98中，只要知道了帳號和密碼，那么就可以對計算機完全控制，而無法實現對某個帳戶只允許讀取某個文件夾或者某個文件的功能。而在WIN2000中，完全可以完美的實現這一點。OK,Let@#s go！
　　
　　首先，先說一下要實現該功能的前提條件，那就是你的分區必須是NTFS分區，如果是FAT或者FAT32分區的話，那么是無法實現該功能的，其實如果你的電腦上只有一個WIN2000操作系統的話，或者說只要你的機子上沒有裝WIN98及WIN98以前的系統的話，那么用NTFS分區是一個非常好的選擇，這將大大提高你的系統的穩定性和安全性。如果你的分區是FAT32分區，那么可以通過這條命令來把他轉成NTFS分區：
　　
　　convert x: /fs:ntfs
　　
　　其中的x可以用實際的盤符替換。不過要注意的一點是，WIN98是無法識別NTFS格式的分區的，也就是說如果在WIN98的分區使用NTFS格式，那么WIN98將無法使用。而且該命令是不可逆的，也就是說該命令只能將FAT32轉換成NTFS格式，而無法將NTFS格式轉換成FAT32格式，如果要轉換回來的話，那么要用PQ等軟件才能實現。

　　好了，現在言歸正傳，使用了NTFS分區以后，你必須為需要訪問一個資源的每一個用戶帳號授予NTFS權限，用戶必須獲得明確的授權才能訪問經過設置的資源。如果沒有權限，那么它將被拒絕訪問該資源。打個比方：假設有一個文件，我對他進行NTFS權限設置，我設置成只有我自己和A用戶才能訪問，那么除了我和A以外，其他任何帳戶登陸都將無法使用該文件，WIN2000會給出“沒有適當的權限讀取”等字樣的提示。這就實現了該文件的安全性，而且該安全性無論是在計算機上還是在網絡上都有效，也就是說即使通過網絡連接到該計算機，也只有我和A用戶可以使用該文件，其他人也是無法使用的，雖然該文件被共享，但是其他人只能看到有這個文件，但是卻不能讀取，呵呵，有點看得見，吃不著的意思吧？
　　
　　在WIN2000中有個叫做Aclearcase/" target="_blank" >ccess Control List（ACL，訪問控制列表）的東西，里面包含了可以訪問該資源的用戶的帳戶，組和計算機。當一個用戶訪問該資源時，那么必須在ACL中有它的帳號，那么WIN2000才允許該用戶訪問該資源，否則拒絕

這里要說明的一點是，和我們想象的不一樣，WIN2000不是根據用戶名是否相同來識別用戶的，每一個帳號在創建的時候都有一個Security ID（SID,安全標識符），WIN2000是根據這個SID是否相同來識別用戶的，如果SID不一樣，就算用戶名等其它設置一模一樣，WIN2000也會認為是不一樣的兩個帳號，這就像我們領獎的時候，只認你的身份證是否符合，而不管你的名字是否相同是一個道理的，而該SID是WIN2000在創建該帳號的時候隨機給的，所以說當刪除了一個帳號后，再次重新建立一個一模一樣的帳號，其SID和原來的那個是不一樣，那么他的NTFS權限就必須重新設置。
　　
　　現在說一下NTFS權限的實際應用。用鼠標右鍵點擊你想要設置權限的文件或者文件夾，選屬性－＞安全，這時你可以看到允許使用該文件的帳號或者組，默認是都有Everyone組的，該組表示所有的用戶，下面部分就是可以為該組或者帳號設置的權限。如果Everyone的權限設置為完全控制，那么意味著所有的用戶都可以隨意操作該文件，包括讀取，修改，刪除等等。這也是WIN2000默認的權限。你還可以添加帳號，為帳號設置權限，這個只要你自己操作一下就知道怎么操作了，現在我只是舉個例子來說明一下：
　　
　　假設有一個文件叫做FILE，我要設置為只有USER1，USER2和USER3這三個用戶可以使用該文件，但是USER1用戶可以隨意操作該文件，USER2用戶只能讀取該文件，而不能進行如修改等等的其他操作，USER3可以讀取，可以寫入，但是不能刪除該文件，我說明一下具體的操作方法。
　　
　?。?、右鍵點擊FILE，選屬性－＞安全
　　
　?。?、將下面的“允許將來自父系的可繼承權限傳播給該對象”前面的勾去掉。他會彈出一個對話框，選刪除。也就是說把上面的Everyone等所有的帳號刪除。
　　
　?。?、點添加，彈出一個對話框，選中USER1，添加，確定。
　　
　?。?、然后選中USER1，在“完全控制”后面的“允許”下面打上勾。
　　
　?。?、依照前面的方法添加USER2。
　　
　?。?、選中USER2，在“讀取”后面的“允許”中打勾，其他的勾全部去掉。
　　
　?。?、添加USER3。
　　
　?。?、選中USER3，在“修改”后面的“允許”中打勾，確認“完全控制”的勾去掉。
　　
　?。?、選“高級”，選中USER3，點“查看/編輯”。把里面的“刪除”后面“允許”的勾去掉。
　　
　?。保?、搞定?。?！ ^-^
　　
　　這時，用USER1登陸，那么你可以完全控制該文件

　　用USER2登陸，可以打開該文件，當保存的時候會出現“不能創建FILE，請確認路徑和文件名是否正確”的提示框。這說明現在USER2無法保存該文件。當然也無法進行其它操作，他只能讀取該文件。
　　
　　用USER3登陸，可以打開該文件，也可以保存。當刪除該文件的時候會出現“無法刪除FILE：拒絕訪問。源文件可能正在使用”的提示框，說明無法刪除該文件。
　　
　　***** 提醒：在未完全搞清楚權限的用法之前，最好隨便創建一個沒有用的文件，然后再進行試驗，這樣比較安全。否則搞得重要文件被刪除了可不關我的事情。
　　
　　至于給文件夾設置安全，步驟和上面差不多，不過文件夾會多了一個繼承，也就是說可以選擇權限設置是僅僅對該文件夾進行起作用，還是對該文件夾和該文件夾的子文件夾及文件起作用。只要將“重置所有子對象的權限并允許傳播可繼承權限”前面打勾就可以了。

　　重點及難點
　　
　　多重NTFS權限問題一直是很多人搞不清楚的，現在作介紹并舉例說明。
　　
　　******注意：以下說明的是多重NTFS權限之間的問題，非NTFS權限和共享權限之間的多重?！　?BR>
　?。?、權限的積累
　　
　　用戶對資源的有效權限是分配給該個人用戶帳戶和用戶所屬的組的所有權限的總和。如果用戶對文件具有“讀取”權限，該用戶所屬的組又對該文件具有“寫入”的權限，那么該用戶就對該文件同時具有“讀取”和“寫入”的權限，舉例如下：
　　
　　假設情況如下所示：
　　
　　　有一個文件叫FILE。
　　　USER1用戶屬于GROUP1組
　　
　　
　　　USER1（讀取權限）－－－－> 　FILE　 <－－－－　GROUP1（寫入權限）
　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　
　　USER1對FILE的權限為　　　　　　 讀?。珜懭?

２、文件權限高于文件夾權限
　　
　　意思就是說NTFS文件權限對于NTFS文件夾權限具有優先權，假設你能夠訪問一個文件，那么即使該文件位于你不具有訪問權限的文件夾中，你也可以進行訪問（前提是該文件沒有繼承它所屬的文件夾的權限）。
　　
　　舉例說明如下：假設你對文件夾FOLDER沒有訪問權限，但是該文件夾下的文件FILE.TXT沒有繼承FOLDER的權限，也就是說你對FILE.TXT文件是有權限訪問的，只不過你無法用資源管理器之類的東西來打開FOLDER文件夾，你無法看到文件FILE而已（因為你對FOLDER沒有訪問權限），但是你可以通過輸入它的完整的路徑來訪問該文件。比如你可以用 c:\folder\file.txt來訪問FILE文件（假設在C盤）。
　　
　?。?、拒絕高于其他權限
　　
　　拒絕權限可以覆蓋所有其他的權限。甚至作為一個組的成員有權訪問文件夾或文件，但是該組被拒絕訪問，那么該用戶本來具有的所有權限都會被鎖定而導致無法訪問該文件夾或文件。也就是說上面第一點的權限累積原則將失效。舉例說明如下：
　　
　　假設情況如下：
　　
　　　有一個文件叫FILE。
　　　USER1用戶屬于GROUP1組
　　
　　
　　　USER1（讀取權限）－－－－> 　FILE　 <－－－－　GROUP1（拒絕）
　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　
　　　　　　　　　　　　　　　　 拒絕訪問
　　
　　那么USER1對FILE的權限將不再是：讀?。珜懭?，而是無法訪問文件FILE。
　　
　　另外一種情況是拒絕原則與累計原則并存，舉例如下：
　　
　　　有一個文件叫FILE。
　　　USER1用戶屬于GROUP1組，同時也屬于GROUP2組，
　　
　　　　　　　　　　　　　　　USER1（讀取權限）
　　
　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　　
　　　GROUP1（寫入權限）－－－－> 　FILE　 <－－－－　GROUP2（拒絕寫入）
　　
　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　　　　　　　　　　　　　　　　?。?BR>　　
　　　　　　　　　　　　　　　　　 讀取
　　
　　那么USER1對FILE的權限為：讀?。ǜ鶕塾嬙瓌t，USER1對FILE本來有：“讀?。珜懭搿睓嘞?，但是由于USER1所屬的GROUP2組被拒絕寫入，所以就只剩下“讀取”權限了

原文轉自：http://www.kjueaiud.com