Win XP中設定NTFS權限基本政策和原則

Windows XP中關于權限的問題有四個基本原則，在進行NTFS權限設定的時候就需要注意這些基本原則。對于Windows XP的各種權限設定我們還是需要格外的重視。

    一 設定NTFS權限基本政策和原則

    在Windows XP中，針對權限的管理有四項基本原則，即：拒絕優于允許原則、權限最小化原則、累加原則和權限繼承性原則。這四項基本原則對于權限的設定來說，将會起到非常重要的作用，下面就來了解一下：

    1 拒絕優于允許原則

    “拒絕優于允許”原則是一條非常重要且基礎性的原則，它可以非常完美地處理好因使用者在使用者組的歸屬方面引起的權限“糾紛”，例 如，“shyzhong”這個使用者既屬于“shyzhongs”使用者組，也屬于“xhxs”使用者組，當我們對“xhxs”組中某個資源進行“寫入”權限的 集中配置設定(即針對使用者組進行)時，這個時候該組中的“shyzhong”賬戶将自動擁有“寫入”的權限。

    但令人奇怪的是，“shyzhong”賬戶明明擁有對這個資源的“寫入”權限，為什麼實際操作中卻無法執行呢？原來，在“shyzhongs”組中 同樣也對“shyzhong”使用者進行了針對這個資源的權限設定，但設定的權限是“拒絕寫入”。基于“拒絕優于允許”的原則，“shyzhong”在 “shyzhongs”組中被 “拒絕寫入”的權限将優先于“xhxs”組中被賦予的允許“寫入”權限被執行。是以，在實際操作中，“shyzhong”使用者無法對這個資源進行“寫入” 操作。

    2 權限最小化原則

    Windows XP将“保持使用者最小的權限”作為一個基本原則進行執行，這一點是非常有必要的。這條原則可以確定資源得到最大的安全保障。這條原則可以盡量讓使用者不能通路或不必要通路的資源得到有效的權限賦予限制。

    基于這條原則，在實際的權限賦予操作中，我們就必須為資源明确賦予允許或拒絕操作的權限。例如系統中建立的受限使用者“shyzhong”在預設狀态 下對“DOC”目錄是沒有任何權限的，現在需要為這個使用者賦予對“DOC”目錄有“讀取”的權限，那麼就必須在“DOC”目錄的權限清單中為 “shyzhong”使用者添加“讀取”權限。

    3 權限繼承性原則

    權限繼承性原則可以讓資源的權限設定變得更加簡單。假設現在有個“DOC”目錄，在這個目錄中有“DOC01”、“DOC02”、“DOC03”等 子目錄，現在需要對DOC目錄及其下的子目錄均設定“shyzhong”使用者有“寫入”權限。因為有繼承性原則，是以隻需對“DOC”目錄設定 “shyzhong”使用者有“寫入”權限，其下的所有子目錄将自動繼承這個權限的設定。

    4 累加原則

    這個原則比較好了解，假設現在“zhong”使用者既屬于“A”使用者組，也屬于“B”使用者組，它在A使用者組的權限是“讀取”，在“B”使用者組中的權限是“寫入”，那麼根據累加原則，“zhong”使用者的實際權限将會是“讀取+寫入”兩種。

    顯然，“拒絕優于允許”原則是用于解決權限設定上的沖突問題的；“權限最小化”原則是用于保障資源安全的；“權限繼承性”原則是用于“自動化”執行權限設定的；而“累加原則”則是讓權限的設定更加靈活多變。幾個原則各有所用，缺少哪一項都會給權限的設定帶來很多麻煩！

    注意：在Windows XP中，“Administrators”組的全部成員都擁有“取得所有者身份”(Take Ownership)的權力，也就是管理者組的成員可以從其他使用者手中“奪取”其身份的權力，例如受限使用者“shyzhong”建立了一個DOC目錄，并 隻賦予自己擁有讀取權力，這看似周到的權限設定，實際上，“Administrators”組的全部成員将可以通過“奪取所有權”等方法獲得這個權限。

    5 檔案的權限要淩駕于檔案夾的權限

    貌似看文檔有這麼一條，不知道是不是文檔版本過舊導緻的，對單獨檔案權限設定會優先被系統臨幸貌似二 權限其它

    1 取消"Everyone"完全控制權限

    選擇要取消權限的檔案或檔案夾，右鍵選擇屬性，在“安全”頁籤下的ACL中找到“Everyone”的ACE，選擇編輯，将其“完全控制”權限前的勾去掉。

    2 複制和移動檔案夾對權限的影響

    在權限的應用中，不可避免地會遇到設定了權限後的資源需要複制或移動的情況，那麼這個時候資源相應的權限會發生怎樣的變化呢？下面來了解一下：

    (1)複制資源時

    在複制資源時，原資源的權限不會發生變化，而新生成的資源，将繼承其目标位置父級資源的權限。

    (2)移動資源時

本文轉自 OH51888 51CTO部落格，原文連結：http://blog.51cto.com/rozbo/450611，如需轉載請自行聯系原作者