NTFS權限隻能應用于NTFS檔案系統中,分區、檔案夾、檔案均可設計NTFS權限。
下圖1為Temp檔案夾NTFS“标準安全頁”屬性,從圖中可以知道Administrators這個組對Temp這個檔案夾有允許操作的完全控制權限。
在“使用者控制清單區域”單擊其他組或者使用者,則會在下面的“權限控制清單區域”列出其相應的權限。
單擊“進階”則進入“進階安全頁”屬性,則會有更加精細的權限設計。如圖2
NTFS的幾個特點:
1. 預設情況下,權限都是向下繼承的。
也就是一個NTFS檔案系統内的所有檔案夾和檔案權限都從分區的權限繼承的。如圖1,權限控制清單區域為灰色不可操作說明權限繼承于上層。要想修改成可操作狀态必須先打破繼承,接下來的内容會具體提到。
2. 在XP、2003中,新格式化成NTFS的分區預設情況下Users組成員有追加檔案/檔案夾的權限。在做檔案伺服器時需要謹慎該預設權限,通過進階屬性可以看到。
3. 當一個使用者屬于多個組,并且檔案/檔案夾賦予這些組不同的權限,那麼使用者得到的最終權限是這些組權限的累加。
4. 在做共享檔案時,共享與安全中的權限取兩者交集部分。
5. 拒絕權最優先。
<a target="_blank" href="http://blog.51cto.com/attachment/201108/020410202.jpg"></a>
圖1
<a target="_blank" href="http://blog.51cto.com/attachment/201108/020457779.jpg"></a>
圖2
基礎知識就複習到這,下面來動手演練演練。
預定義環境如下:
1)環境為域環境,所有GS開頭的組為活動目錄全局——安全組。
2)所有設計均是在NTFS預設條件下進行。
3)共享權限均設定為Everyone允許完全控制。
4)所有設計都必須保留管理者管理權限。
5)頂層Department設定為Everyone隻讀權限。
一、Department為共享目錄,其他檔案層次如下圖
<a target="_blank" href="http://blog.51cto.com/attachment/201108/020612685.jpg"></a>
要求:最小化管理操作。
允許Acc部門所有成員(GS-ACC-All)通路ACC檔案夾、子檔案夾及子檔案;
允許Admin部門所有成員(GS-Admin-All)可以通路Admin檔案夾、子檔案夾及子檔案。
權限設計過程:
1.1 對ACC檔案夾的操作
a) 先打破父權限繼承——在安全的進階屬性中取消來自父權限的繼承,注意,這裡會有提示“是否複制父權限到這個檔案夾”,選擇複制,以防止所有使用者都無法通路該檔案夾,單擊确定回到标準安全頁面。後續将不再贅述打破繼承的過程。
<a target="_blank" href="http://blog.51cto.com/attachment/201108/020707227.jpg"></a>
b)删除Administrators、System、Creator Owner以外的所有組和使用者權限.
最好不要随便删除這三個組的預設權限,Administrators提供管理,SYSTEM與EFS加密有關,并且如果删除SYSTEM還會影響到權限的向下繼承,需要強制向下層下發權限,Creator Owner是個非常有用的特殊組,後續的設計中會利用到。
c) 添加GS-ACC-All組允許“讀取和運作”、“列出檔案夾目錄”、“讀取”的權限。
d) 預設下層子檔案夾\檔案會繼承ACC目錄權限,無需設計。
1.2 對Admin檔案夾的操作
參考上述操作,将最後一步改成添加GS-Admin-All組即可。
二、Department為共享目錄,其他檔案層次如下圖
<a target="_blank" href="http://blog.51cto.com/attachment/201108/020901619.jpg"></a>
允許Acc部門所有成員(GS-ACC-All)讀取ACC檔案夾、子檔案夾及子檔案
允許ACC部門經理(GS-ACC-Mgr)可以修改Admin檔案夾、子檔案夾及子檔案。
2.1 對ACC檔案夾的操作
前面部分參考1.1操作,再加上GS-ACC-Mgr組允許“修改”權限即可。
三、Department為共享目錄,其他檔案層次如下圖
<a target="_blank" href="http://blog.51cto.com/attachment/201108/020951502.jpg"></a>
允許Admin部門所有成員(GS-Admin-All)可以修改Admin檔案夾、子檔案夾(經理的除外)及子檔案;
允許Admin經理級成員(GS-Admin-Mgr)可以修改Admin\Manager檔案夾、子檔案夾及子檔案;
允許公司所有成員(GS-All-Member)通路Admin\Manager\公司組織圖,但不能通路Admin\Manager下面其他檔案;
允許公司所有成員通路Admin\Notice公告檔案,但不能通路Admin下面其他檔案。
3.1 對Admin檔案夾的設計
a) 先打破父權限繼承;
b) 删除Administrators、System、Creator Owner以外的所有組和使用者權限;
c) 添加GS-Admin-All對Admin檔案夾允許“修改”權限;
4)添加GS-All-Member對Admin檔案夾僅允許“列出檔案夾目錄”。“列出檔案夾目錄”隻對檔案夾生效,對檔案無效,使得GS-All-Member成員可以穿透到Admin下層目錄,而又不能通路Admin下層的檔案。
至此Admin檔案夾設定完畢。
3.2 對Manager檔案夾的設計
c) 添加GS-Admin-Mgr對Manager檔案夾允許“修改”權限;
d) 添加GS-All-Member對Manager檔案夾僅允許“列出檔案夾目錄”。穿透效果。
至此Manager檔案夾設定完畢。
3.3 對Notice檔案夾的設計
a) 在預設的基礎上添加GS-All-Member對Notice檔案夾“讀取和運作”、“列出檔案夾目錄”、“讀取”的權限。
3.4 對公司組織圖的設計
a) 在預設的基礎上添加GS-All-Member對公司組織圖檔案夾“讀取和運作”、“列出檔案夾目錄”、“讀取”的權限。
四、Department為共享目錄,其他檔案層次如下圖
<a target="_blank" href="http://blog.51cto.com/attachment/201108/021046336.jpg"></a>
允許Admin部門所有成員(GS-Admin-All)可以在Admin\Report下面建立以各自名字命名的檔案夾,不允許建立亂七八糟的檔案;
各使用者之間的檔案隻允許自己可以通路、修改,其他使用者不可通路;
4.1 對Admin檔案夾的設計
參考3.1過程。
4.2 對Report檔案夾的設計
c) 添加GS-All-Member對Report檔案夾僅允許“列出檔案夾目錄”。
d) 進入Report的“進階”安全頁中,單擊“添加”,在空白處輸入“GS-Admin-All”組名,單擊“确定”,彈出“Report權限項目”,在“應用到”選擇範圍為“該檔案夾”,單擊下面的清除按鈕,清除掉所有預設設定權限,隻勾上允許“建立檔案夾/附加資料”。然後一步步确定即可。
這個權限設計主要是用到了使用者自身權限(僅可以建立檔案夾)+Creator Owner(完全控制)組合,當使用者建立了檔案夾之後,他就是這個檔案夾本身的建立者,那麼他最終的權限就更新到了“完全控制”。
這個設計的難點在于Report檔案夾下的使用者檔案夾名字未知,要去實作未知檔案夾的權限隔離。
五、Department為共享目錄,其他檔案層次如下圖
你剛搭建好一台檔案伺服器給各部門使用,要求設計初始權限;
所有部門的部門檔案夾必須統一放在Department下,并且以部門命名;
Department下隻允許IT部門建立檔案夾、修改檔案夾名字,但不可以建立檔案;
其他任何人不得修改Department下檔案夾名字,不得删除Department下面的檔案夾;
部門檔案夾隻允許各部門成員通路;
各部門經理有對自己部門所有檔案的完全控制權限。
5.1 對Department的設計
c) 添加GS-All-Member對Department檔案夾僅允許“讀取和運作”、“列出檔案夾目錄”、“讀取”的權限;
d) 先添加一條GS-IT-All對Department的修改權限;然後進入進階再添加一條GS-All-Member隻應用到“該檔案夾”的拒絕“建立檔案/附加資料”權限;
至此Department設計完畢。
5.2 對Department下部門檔案夾的設計(以ACC為例)
c) 添加GS-ACC-All對Acc檔案夾允許“讀取和運作”、“列出檔案夾目錄”、“讀取”的權限;
d) 添加GS-ACC-Mgr對Acc檔案夾允許“完全控制”的權限;
e) 進入進階安全頁添加一條GS-All-Member隻應用到“該檔案夾”的拒絕“建立檔案/附加資料”權限和拒絕“删除”的權限。
至此,ACC檔案夾設定完畢。
5.3 其他部門檔案夾可參考ACC來做。
以上NTFS權限設計均是我工作碰到的一些實際需求,隻要大家對NTFS掌握比較深入(進階特性中的每個權限細節以及特殊的組),應該都不難解決。
本文轉自yangye1985 51CTO部落格,原文連結:http://blog.51cto.com/yangye/633013,如需轉載請自行聯系原作者
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)