關于NTFS檔案夾的安全權限配置設定的一些總結

1、  安全權限是累積的，使用者對資源的實際權限是所有使用者群組從所有資源獲得的，對該資源的總體權限（使用者所屬的所有組的使用者權限群組權限。

例1：A使用者屬于GROUP組，現設定為A對TEST檔案夾隻讀，GROUP組對TEST檔案夾讀寫，最終A使用者對TEST目錄是具有讀寫權限。 

例2：A使用者同時屬于GROUP1組和GROUP2組，設定為GROUP1對TEST檔案夾隻讀，GROUP2對TEST檔案夾讀寫，最終A使用者獲得了從GROUP1組和GROUP2組所具有的所有權限累積，對TEST檔案夾有了讀和寫的權限。

2、  “拒絕”權限優先于“允許”權限。

例如:使用者jack同屬于GROUP1組和GROUP2組。jack的使用者賬号允許對test檔案夾具有“讀取”通路，GROUP1組也允許對test檔案夾的“讀取”通路。但是，GROUP2組卻明确拒絕對test檔案夾的“讀取”通路，這樣，jack就無法通路test檔案夾，因為“拒絕”權限優先于“允許”權限。

3、 子目錄的“安全”通路權限受上層目錄的“共享”權限影響，不管是否取消了繼承。

可從一個應用例子來了解這句話，也可從此例子了解當同時設定共享和安全權限時的最終使用者權限是怎樣的。

例如，有一個PUBLIC的檔案夾，組GROUP1群組GROUP2對此檔案夾都有“讀取”的權限。但有這樣一個需求，GROUP1組需對PUBLIC檔案夾底下的SUB子檔案夾要有“修改”權限，有的人可能認為隻要取消SUB檔案夾的“繼承”屬性，再設定GROUP1組為可“修改”權限就可以了，但這樣結果是GROUP1組還是隻能對SUB檔案夾隻讀。具體解決方法可以先在PUBLIC檔案夾共享權限裡設定GPOUP1組“修改”，再取消SUB檔案夾的“繼承”屬性，最後在SUB檔案夾設定GROUP1組為“修改”即可達到上述目的。但這時可能有疑問了，這樣設定後，GROUP1組不是對PUBLIC包括所有子檔案夾都具有修改權限嗎？其實剛才我們隻是修改了PUBLIC檔案夾的共享權限，并沒有修改它的安全權限。說白一點，PUBLIC上共享權限是起了一個“開關”的作用，若要添加某一使用者或組對子目錄的權限，就得相應的在上一級有設共享權限的地方把該使用者或組的相應權限加上，就等于把“開關”打開。從這個例子也可以看出，因為"安全"屬性總是取所有權限中最嚴格的，如果同時設定"共享"和"安全"則"共享"也要按"安全"設定取最嚴格的，因為"安全"的優先權更高。不過上面這段話也可視為是廢話，呵呵，我的做法是不管三七二十一，先把最上級檔案夾的“共享”權限設為everyone完全控制，然後再對子檔案夾的“安全”權限進行進一步設定即可。

4、  “拒絕權限”的使用。

在設定檔案的安全性和前面設定共享權限時，在權限欄中都有"拒絕"一列,這是微軟針對某些應用需求而設計的，這同時也是第二點總結的一個延伸。我們還是看一個執行個體：

比如有一個Public目錄，這個目錄存放一些公共檔案，可以允許Users組成員讀寫，但是這個目錄中還有一個“sub”的子目錄用來存放一些重要檔案，隻允許Users組成員讀取。

我們先設定Public目錄的安全權限為user組可修改，然後再打開“Public”下的“sub”檔案夾屬性，打開“安全”頁籤，此時Users組擁有“修改”的權限，允許權限顯示灰色，表明該權限是從上一級目錄“Public”上傳遞下來的，單擊“拒絕”中的“寫入”，選中該項，單擊“确定”，此時系統給出一個警告，提示“拒絕”的優先級要高于“允許”，單擊“是”，此時Users組成員再往"sub"檔案夾中寫檔案，就會遭到拒絕。 

5、廣播權限的用途。 

首先在企業環境裡，使用者端電腦出于安全考慮，系統盤一般為user隻能隻讀，可能安裝了一個應用軟體後，在管理者賬戶底下可以運作，而在使用者登入後軟體卻不能正常運作。而此時，大部份原因是由于軟體運作所需的系統檔案（比如動态連結庫檔案Active 控件）無法通路或者無法寫入造成的。這時，可以通過如下方法排除故障并解決，首先用管理者賬号登入使用者計算機，先對應用軟體所在檔案夾添加目前使用者的“讀寫”權限，再利用“重置所有子對象的權限并允許傳播可繼承權限”的功能将此使用者的“讀寫”權限傳播到所有子檔案夾，然後再用目前普通使用者登入計算機，看軟體是否可以正常運作。如果還不行，可按照上述步驟依次對documents and setting檔案夾再添加目前使用者“讀寫”權限并廣播，這樣一般可解決由通路權限問題引起的軟體運作故障。最後，如果此時還不能正常運作應用軟體，出于時間上的考慮，可以将系統盤根目錄設為目前使用者可讀寫，再廣播到所有子檔案夾，當然這樣也帶來了最大的安全隐患。

最後，需要說明一點，不要認為權限配置設定是一件再簡單不過的事情，如果不小心，或對一些選項不了解，會讓你感到非常郁悶或者事倍功半，因為你可能不本文轉自 donhuang 51CTO部落格，原文連結:http://blog.51cto.com/donhuang/50106