了解共享權限和NTFS權限
1.共享權限
共享權限有三種:完全控制、更改、讀取
任務:了解共享權限
步驟:打開一共享檔案夾,檢視其共享權限
注意:共享權限隻對從網絡通路該檔案夾的使用者起作用,而對于本機登入的使用者不起作用。
2、NTFS權限
NTFS權限是NT和Win2000中的檔案系統,它支援本地安全性。換句話說,他在同一台計算機上以不同使用者名登入,對硬碟上同一檔案夾可以有不同的通路權限。
注意:NTFS權限對從網絡通路和本機登入的使用者都起作用。
3.共享權限和NTFS權限的聯系和差別
(1)共享權限是基于檔案夾的,也就是說你隻能夠在檔案夾上設定共享權限,不可能在檔案上設定共享權限;NTFS權限是基于檔案的,你既可以在檔案夾上設定也可以在檔案上設定.
(2)共享權限隻有當使用者通過網絡通路共享檔案夾時才起作用,如果使用者是本地登入計算機則共享權限不起作用;NTFS權限無論使用者是通過網絡還是本地登入使用檔案都會起作用,隻不過當使用者通過網絡通路檔案時它會與共享權限聯合起作用,規則是取最嚴格的權限設定.
(3)共享權限與檔案作業系統無關,隻要設定共享就能夠應用共享權限;NTFS權限必須是NTFS檔案系統,否則不起作用.
共享權限隻有幾種:讀取,更改和完全控制;NTFS權限有許多種,如讀,寫,執行,改變,完全控制等....我們可以進行非常細緻的設定.
4.共享權限和NTFS權限的特點:
(1) 不管是共享的權限還是NTFS權限都有累加性。
(2) 不管是共享權限還是NTFS權限都遵循“拒絕”權限超越其他權限。
(3) 當一個賬戶通過網絡通路一個共享檔案夾,而這個檔案夾又在一個NTFS檔案系統上,那麼使用者最終的權限是它對該檔案夾的共享權限與NTFS權限中最為嚴格的權限。如:一個人要進一個院子,兩道門都開才能進去。門就好像是權限。
NTFS權限是做什麼的呢?
當一個使用者試圖通路一個檔案或者檔案夾的時候,NTFS檔案系統會檢查使用者使用的賬戶或者賬戶所屬的組是否在此檔案或者檔案夾的通路控制清單(ACL)中,如果存在則進一步檢查通路控制項(ACE),然後根據控制項中的權限來判斷使用者最終的權限。如果通路控制清單中不存在使用者使用的賬戶或者賬戶所屬的組,就拒絕使用者通路。
完全控制:對檔案或者檔案夾可執行所有操作。
修改:可以修改、删除檔案或者檔案夾。
讀取和運作:可以讀取内容,并且可以執行應用程式。
列出檔案夾目錄:可以列出檔案夾内容,此權限隻針對檔案夾存在。
讀取:可以讀取檔案或者檔案夾的内容。
寫入:可以建立檔案或者檔案夾。
特别的權限:其他不常用權限,比如删除權限的權限。
所有權限都有相應的“允許”和“拒絕”兩種選擇。
建立的檔案或者檔案夾都有預設的NTFS權限,如果沒有特别需要,一般不用改。
檔案或者檔案夾的預設權限是繼承上一級檔案夾的權限,如果是根目錄(比如c:\)下的檔案夾,則權限是繼承磁盤分區的權限。
設定各個賬戶以及組對目前檔案或者檔案夾的權限的方法很簡單,就是上圖中,選擇你要修改的賬戶或者組,然後再下面的控制項框中選擇合适的權限就行了。
還有一些特殊權限,以及取得檔案或檔案夾的所有權的方法。這裡我就不講了,因為這裡一般的使用者用不到,至少自己家裡的機器我認為是用不到的。因為一般自己家裡的機器本來就是用Administrators組(也就是管理者組)内的賬戶登陸的,這些權限一般用不到。公司裡面也許會用到,不過公司裡面有自己的網絡管理者,都懂。
NTFS權限的應用規則
下面盡量簡單明了的講一下NTFS權限的應用規則,這可是比較麻煩的地方。
1. 權限的組合。
如果一個使用者同時在兩個組或者多個組内,而各個組對同一個檔案有不同的權限,那麼這個使用者對這個檔案有什麼權限呢?
簡單的說,當一個使用者屬于多個組的時候,這個使用者會得到各個組的累權重限,但是一旦有一個組的相應權限被拒絕,此使用者的此權限也會被拒絕。
舉例來說:
假設有一個使用者WZ,如果WZ屬于A和B兩個組,A組對某檔案有讀取權限,B組對此檔案有寫入權限,WZ自己對此檔案有修改權限,那麼WZ對此檔案的最終權限為讀取+寫入+修改權限。
假設WZ對檔案有寫入權限,A組對此檔案有讀取權限,但是B組對此檔案為拒絕讀取權限,那麼WZ對此檔案隻有寫入權限。這裡就還有一個小問題了,WZ對此檔案隻有寫入權限,但是沒有讀取權限,那麼,寫入權限有效麼?答案很明顯,WZ對此檔案的寫入權限無效,因為不能讀取怎麼寫入?連門都進不去,怎麼把家具搬進去?
2、權限的繼承。
這裡我不想做過多說明,因為我認為這是初學者不用過多了解的東西。隻要知道建立的檔案或者檔案夾會自動繼承上一級目錄或者驅動器的NTFS權限,但是從上一級繼承下來的權限是不能直接修改的,隻能在此基礎上添加其他權限。也就是不能把權限上的勾去掉(因為你去不掉),隻能添加新的勾。如下圖,灰色的框為繼承的權限,是不能直接修改的,白色的框是可以添加的權限。
當然這并不是絕對的,隻要你的權限夠,比如你是管理者,你也可以把這個繼承下來的權限修改了,或者讓檔案不再繼承上一級目錄或者驅動器的NTFS權限。這裡我不多講這個問題。有必要的話,新開貼講。因為這又是一個一句兩句說不清楚的東西。
3、權限的拒絕
這個很簡單,隻要記住,拒絕的權利是最大的就行了。無論給賬戶或者組了什麼權限,隻要在拒絕的這一欄裡有勾,那麼被拒絕的權限就絕對有效。這裡如果不明白,看上面權限的組合裡的例子。
4、移動和複制操作對權限的影響
這裡一共有四種情況,移動和複制檔案(夾)到同一或者不同分區内。隻需要記住,隻有移動到同一分區内才保留原來設定的權限,否則為繼承目的地檔案夾或者驅動器的NTFS權限。
現在開始說共享權限:
共享權限隻有三種:讀取、更改和完全控制。Windows Server 2003預設的共享檔案設定權限是Everyone使用者隻具有讀取權限。Windows 2000 預設的共享檔案設定權限是Everyone使用者具有完全控制權限。
下面解釋一下三種權限:
1、 讀取。讀取權限是指派給Everyone組的預設權限。
a、 檢視檔案名和子檔案夾名。
b、 檢視檔案中的資料。
c、 運作程式檔案。
2、 更改。更改權限不是任何組的預設權限。更改權限除允許所有的讀取權限外,還增加以下權限。
a、 添加檔案和子檔案夾。
b、 更改檔案中的資料。
c、 删除子檔案夾和檔案。
3、 完全控制。 完全控制權限是指派給本機上的Administrators組的預設權限。完全控制權限除允許全部讀取及更改權限外,還具有更改權限的權限。
和NTFS權限一樣,如果賦予某使用者或者使用者組拒絕的權限,該使用者或者該使用者組的成員将不能執行被拒絕的操作。
這裡再添加一點,Windows 2000 中,共享的檔案夾,可以用空密碼使用者通路。但是Windows Server 2003中,共享的檔案夾,不可以用空密碼使用者通路。這裡是比較常見的網絡共享無法通路的問題,希望大家注意。是以我本身來說是不建議個人使用者使用Windows Server 2003的各個版本來作為桌面機的作業系統。因為2003針對安全性做了很多變動,而這些安全性的改動對我們桌面機來說沒有什麼意義,反而增加了網絡互聯的很多麻煩。
同時大家也許注意到了,Windows Server 2003的各個版本都是Server版的,2003前都有Server這個單詞,呵呵。而Windows2000的伺服器版是Windows 2000 Server 以及Windows 2000 Ad Server 。
最後在說一下共享權限和NTFS權限的組合權限。
共享權限隻對通過網絡通路的使用者有效,是以有時需要和NTFS權限配合(如果分區是FAT/FAT32檔案系統,則不需要考慮),才能嚴格的控制使用者的通路。當一個共享檔案夾設定了共享權限和NTFS權限後,就要受到兩種權限的控制。
如果希望使用者能夠完全控制共享檔案夾,首先要在共享權限中添加此使用者(組),并設定完全控制的權限。然後在NTFS權限設定中添加此使用者(組),也設定完全控制權限。隻有兩個地方都設定了完全控制權限,才最終有完全控制權限。
當使用者從網絡通路一個存儲在NTFS檔案系統上的共享檔案夾的時候會受到兩種權限的限制,而有效權限是最嚴格的權限(也就是兩種權限的交集)。而當使用者從本地計算機直接通路檔案夾的時候,不受共享權限的限制,隻受NTFS權限的限制。
同樣的,這裡也要考慮到兩個權限的沖突問題,比如,共享權限為隻讀,NTFS權限是寫入,那麼最終權限是完全拒絕。這是因為這兩個權限的組合權限是兩個權限的交集。