企業中普遍使用伺服器來管理和共享檔案,為了確定檔案的機密性、完整性和可用性等,一般會給不同部門、不同角色來設定不同的權限,比如有一些部門隻能向某個檔案夾上傳檔案,而不能讀取這個檔案夾内其他的檔案,或者一個員工屬于一個可以讀取檔案的部門,但是又不希望他能夠讀取某個檔案,在windows中,我們使用類似于通路控制清單的方式,來實作這樣的需求。
1、通過設定ntfs權限,實作不同的使用者通路不同的權限
2、配置設定了正确的通路權限後,使用者才能通路其資源
3、設定權限防止資源被篡改、删除
檔案系統即在外部儲存設備上組織檔案的方法。
常用的檔案系統:
fat:windows
ntfs:windows
ext:linux
如果你在磁盤上右鍵檢視屬性,可以看到磁盤的類型。我們一般在windows上通常使用ntfs,而在linux上通常使用ext,fat類型一般使用在u盤等小容量的存儲載體上。
1、提高磁盤讀寫性能
2、可靠性高,比如對分區進行加密、通路控制清單(設定權限)
3、磁盤使用率高,可以進行壓縮、磁盤配額(限制使用空間,一般在伺服器上使用)。
4、支援單個檔案大于4個g(非常重要)
接下來,我們會通過幾個實驗來了解ntfs系統權限控制方法。整個實驗我們都以一台windows2003的虛拟機來進行,,沒有windows2003鏡像的同學可以私信部落客拿到。
需求:公司中有兩個員工分别是a和b,對應密碼分别是1和2.我們希望員工a有document檔案夾的讀取權限,員工b不能讀取document檔案夾内的所有檔案,但是可以看到這些檔案的檔案名,同時,他可以向document檔案夾内寫入檔案。
步驟:
1、使用administrator使用者建立兩個使用者a和b,對應的密碼分别是1和2.建立使用者的方法是在cmd中使用net user a(使用者名) 1(密碼) /add
2、使用administrator使用者建立一個檔案夾命名為document,并在document檔案夾下建立檔案1.txt和document1檔案夾,在document1檔案夾下再建立2.txt。在1.txt和2.txt中分别寫入任意内容。
我們檢視document檔案夾的屬性的安全欄,可以看到一共有4個組,分别是administrators、creator owner、system、users。其中,administrators組是系統管理者組,擁有最高權限,creator owner是檔案建立者組,擁有特别的權限,即能夠更改該acl的權限,system組是系統組,擁有除了特别的權限外的所有權限,users組是普通使用者組,所有建立的使用者,如果不更改其加入的組,它預設在這個組,它擁有讀取和運作、列出檔案夾目錄、讀取、特别的權限。
檔案權限一共有6項,分别是完全控制、修改、讀取和運作、列出檔案夾目錄、讀取、寫入、特别的權限。檔案夾權限在此基礎上多一項内容,是列出檔案夾目錄的權限。
檔案權限
完全控制:擁有讀取、寫入、修改、删除檔案、特殊的權限。
修改:擁有讀取、寫入、修改、删除檔案的權限。
讀取與運作:擁有讀取和執行檔案的權限。
讀取:擁有讀取檔案的權限。
寫入:擁有蟹蓋檔案内容的權限。
特别的權限:控制檔案權限的權限。
檔案夾權限
完全控制:擁有對檔案和檔案夾讀取、寫入、修改、删除檔案、特殊的權限。
修改:擁有對檔案和檔案夾讀取、寫入、修改、删除檔案的權限。
讀取與運作:擁有對檔案夾中檔案下載下傳、讀取和執行的權限。
列出檔案夾目錄:可以列出檔案夾中的内容。
讀取:擁有對檔案夾中檔案下載下傳、讀取的權限。
寫入:擁有在檔案夾中建立新的檔案的權限。
特别的權限:控制檔案夾權限清單的權限。
3、我們看到,在users組下,存在了讀取和運作、列出檔案夾目錄、讀取、特别的權限。員工a和b都存在于這個組内,預設情況下,他們可以讀取所有檔案,按照我們的了解,第一我們需要區分a和b兩個員工,第二我們需要将b使用者的讀取和運作、讀取、特别的權限取消掉。但是我們發現,這些勾都是灰色圖示,無法點選取消。是以,我們第一步需要想辦法解決這個問題。
3.1、取消權限繼承。我們知道,users組的權限繼承自上級目錄e盤,正是因為這個原因,它的權限不能改。我們點選進階--取消勾選”允許父項的繼承權限傳播到該對象和所有子對象。包括那些在此明确定義的項目“--在接下來彈出的框選複制,表示我們暫時留下這些繼承,供後續再修改--點選确定。再次回到屬性--安全清單時,我們可以發現,勾可以取消了,這是因為我們不再繼承父項權限的原因。
3.2删除除了administrators組外其他各組,另外建立兩個使用者a和b。
然後對b的權限進行修改。讓它能夠列出檔案夾目錄、寫入檔案。并且不能覆寫寫入檔案,因為覆寫寫入意味着删除原檔案,而我們并沒有給員工b這個權限。
4、驗證
4.1、登出adminitrator的登入,使用a使用者登入。
我們發現a使用者可以正常讀取document檔案夾内的所有檔案,但是無法寫入新的檔案到這個檔案夾,也無法删除檔案夾下的檔案,也無法修改檔案夾下檔案的内容。
4.2、登出a使用者,使用b使用者登入。
我們發現b使用者可以打開document檔案夾和它下面的document1檔案夾,但是無法打開1.txt和2.txt.如果我們在桌面建立一個新的檔案3.txt并将其移動到document檔案夾下,我們發現是可以移動的,并且如果我們在桌面上再次建立一個3.txt并移動到document檔案夾下,我們發現是可以覆寫的。但是盡管如此,我們也無法在document檔案夾下打開我們剛剛移動進去的檔案。而且不能将其複制出來。是以我們得出結論,一個檔案複制或者移動到某個檔案夾下,會被該檔案夾的權限同化。同樣的,因為我們沒有賦予b使用者修改的權限,我們仍然無法删除這些檔案。但是,如果我們試圖銷毀掉我們上傳的檔案(别人的覆寫不了),可以使用相同檔案名但是内容為空的檔案進行覆寫。
當使用者同屬于多個組時,權限是累加的。即當使用者c同時屬于it組和hr組時,it組對于檔案夾document可以讀取、hr組對document檔案夾可以寫入,則c既可以讀取也可以寫入。注意:累加隻累加允許。
5.1、在adminitrator使用者建立使用者c,建立it組和hr組,并将c添加到這兩個組中。
5.2、在administrator使用者調整document檔案夾的權限。
然後登入c使用者進行測試,發現其既可以寫入新檔案,還可以在document檔案夾下讀取檔案。
當使用者d屬于it組,it組擁有寫入document檔案夾的權限,但是由于一些原因,公司不希望d擁有這個權限,同時不希望d退出這個組。通過将d使用者設定拒絕可以解決,在windows中,拒絕的優先級最高。
然後進行測試,發現d沒有進入該檔案夾的權限。
當使用者a已經離職,但是一些檔案是其建立的,并且他對這些檔案的權限進行過修改,導緻其他使用者無法通路這些檔案,現在需要administrator使用者将這些權限重置。
預設隻有administrator有這個權限。作用是可以将任何檔案夾的所有者改為administrator。
在adminitrator使用者下,在屬性--安全--進階中勾選”用在此顯示的可以應用到子對象的項目替代所有子對象的權限項目“,進而修改其權限。這時,administrator已經擁有該檔案夾的所有權限,同時可以修改其他使用者關于此檔案夾的權限,我們可以将a使用者的權限删除,使得a使用者即使再次登入,也無法檢視或者修改這些曾經自己建立的檔案。