Windows 權限的繼承性、累加性、優先性、交叉性和四項基本原則

    Windows NT以後的檔案，及檔案夾共享設定有以下特性：繼承性、累加性、優先性、交叉性。

    繼承性是說下級的目錄在沒有經過重新設定之前，是擁有上一級目錄權限設定的。這裡還有一種情況要說明一下，在分區内複制目錄或檔案的時候，複制過去的目錄和檔案将擁有它現在所處位置的上一級目錄權限設定。但在分區内移動目錄或檔案的時候，移動過去的目錄和檔案将擁有它原先的權限設定。

     累加性是說如一個組GROUP1中有兩個使用者USER1、USER2，他們同時對某檔案或目錄的通路權限分别為“讀取”和“寫入”，那麼組GROUP1對該檔案或目錄的通路權限就為USER1和USER2的通路權限之和，實際上是取其最大的那個，即“讀取”+“寫入”=“寫入”。 又如一個使用者USER1同屬于組GROUP1和GROUP2，而GROUP1對某一檔案或目錄的通路權限為“隻讀”型的，而GROUP2對這一檔案或檔案夾的通路權限為“完全控制”型的，則使用者USER1對該檔案或檔案夾的通路權限為兩個組權限累加所得，即：“隻讀”+“完全控制”=“完全控制”。 

     優先性，權限的這一特性又包含兩種子特性，其一是檔案的通路權限優先目錄的權限，也就是說檔案權限可以越過目錄的權限，不顧上一級檔案夾的設定。另一特性就是“拒絕”權限優先其它權限，也就是說“拒絕”權限可以越過其它所有其它權限，一旦選擇了“拒絕”權限，則其它權限也就不能取任何作用，相當于沒有設定。 

    交叉性是指當同一檔案夾在為某一使用者設定了共享權限的同時又為使用者設定了該檔案夾的通路權限，且所設權限不一緻時，它的取舍原則是取兩個權限的交集，也即最嚴格、最小的那種權限。如目錄A為使用者USER1設定的共享權限為“隻讀”，同時目錄A為使用者USER1設定的通路權限為“完全控制”，那使用者USER1的最終通路權限為“隻讀”。 

在Windows XP中，針對權限的管理有四項基本原則，即：拒絕優于允許原則、權限最小化原則、累加原則和權限繼承性原則。這四項基本原則

　　對于權限的設定來說，将會起到非常重要的作用，下面就來了解一下：

1.拒絕優于允許原則

　　" 拒絕優于允許"原則是一條非常重要且基礎性的原則，它可以非常完美地處理好因使用者在使用者組的歸屬方面引起的權限"糾紛"，例如，"shyzhong"這個使用者既屬于"shyzhongs"使用者組，也屬于"xhxs"使用者組，當我們對"xhxs"組中某個資源進行"寫入"權限的集中配置設定(即針對使用者組進行) 時，這個時候該組中 "shyzhong"賬戶将自動擁有"寫入"的權限。

　　但令人奇怪的是，"shyzhong"賬戶明明擁有對這個資源的"寫入 "權限，為什麼實際操作中卻無法執行呢？原來，在"shyzhongs"組中同樣也對"shyzhong"使用者進行了針對這個資源的權限設定，但設定的權限是"拒絕寫入"。基于"拒絕優于允許"的原則，"shyzhong"在"shyzhongs"組中被 "拒絕寫入"的權限将優先"xhxs"組中被賦予的允許"寫入"權限被執行。是以，在實際操作中，"shyzhong"使用者無法對這個資源進行"寫入"操作。

2.權限最小化原則

　　Windows XP将"保持使用者最小的權限"作為一個基本原則進行執行，這一點是非常有必要的。這條原則可以確定資源得到最大的安全保障。這條原則可以盡量讓使用者不能通路或不必要通路的資源得到有效的權限賦予限制。

　　基于這條原則，在實際的權限賦予操作中，我們就必須為資源明确賦予允許或拒絕操作的權限。例如系統中建立的受限使用者"shyzhong"在預設狀态下對 "DOC"目錄是沒有任何權限的，現在需要為這個使用者賦予對"DOC"目錄有"讀取"的權限，那麼就必須在"DOC"目錄的權限清單中為 "shyzhong"使用者添加"讀取"權限。

3.權限繼承性原則

　　權限繼承性原則可以讓資源的權限設定變得更加簡單。假設現在有個"DOC"目錄，在這個目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄，現在需要對DOC目錄及其下的子目錄均設定 "shyzhong"使用者有"寫入"權限。因為有繼承性原則，是以隻需對"DOC"目錄設定"shyzhong"使用者有"寫入"權限，其下的所有子目錄将自動繼承這個權限的設定。

4.累加原則

　　這個原則比較好了解，假設現在"zhong"使用者既屬于"A"使用者組，也屬于"B"使用者組，它在A使用者組的權限是"讀取"，在"B"使用者組中的權限是"寫入"，那麼根據累加原則，"zhong"使用者的實際權限将會是"讀取+寫入"兩種。

　　顯然，"拒絕優于允許"原則是用于解決權限設定上的沖突問題的；"權限最小化"原則是用于保障資源安全的；"權限繼承性"原則是用于"自動化"執行權限設定的；而"累加原則"則是讓權限的設定更加靈活多變。幾個原則各有所用，缺少哪一項都會給權限的設定帶來很多麻煩！

注意：

　　在Windows XP中，"Administrators"組的全部成員都擁有"取得所有者身份"(Take Ownership)的權力，也就是管理者組的成員可以從其他使用者手中"奪取"其身份的權力。例如受限使用者"shyzhong"建立了一個DOC目錄，并隻賦予自己擁有讀取權力，這看似周到的權限設定，實際上，"Administrators"組的全部成員将可以通過"奪取所有權"等方法獲得這個權限。