Windows xp/2003下的NTFS权限和Share权限设置

pengjunling

　　本人原出处：http://gcdn.grapecity.com/cs/blogs/valentine/archive/2006/12/01/Windows-xp_2F00_2003_0B4E8476_NTFS_436750968C54_Share_43675096BE8B6E7F_.aspx

Windows xp/2003下的NTFS权限和Share权限设置
　　用过Linux的朋友一定对chmod记忆犹新，复杂的权限设置是保证系统安全的第二道屏障（第一道是用户隔离），在Windows 9x版本中FAT32文件系统的天生不足导致的无法进行权限控制给Windows落下了骂名。不过NT中就不一样了，NTFS文件系统下的Windows NT具备了基本的用户和权限保护能力。下面就来简要介绍一下Windows NT Server下面常用的权限控制。
　　以下基于Windows NT 5.x和NTFS文件系统，介绍的比较简单，算作入门吧。
　　权限的标记——用户和组
　　Windows NT中的权限控制单位是进程，进程的身份是靠其启动的用户和组来标记的。用户和组分为本地帐户，指本地建立的用户帐户，用作对以本地帐户登录的进程（如administrator启动运行的程序，标记为以administrator启动的服务），域帐户（如GrapeCity\Valentinening启动运行的程序，标记为以GrapeCity\Valentinening启动的服务）计算机（如以计算机GrapeCity\xa-app-xxx$的LocalSystem启动的服务）。三者在进行设置时一视同仁。
　　文件访问权限——NTFS权限
　　当一个用户试图访问一个文件或者文件夹的时候（不论是本地访问还是通过Microsoft File and printer sharing for Microsoft network指定UNC进行访问），NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表（ACL）中，如果存在则进一步检查访问控制项（ACE），然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户使用的账户或者账户所属的组，就拒绝用户访问。该权限可以在文件夹属性的Security选项卡中进行设置。这里可以添加用户到ACL中，并指定ACE。
　　
NTFS权限的应用规则
　　1． 权限的组合——交集。（原文此处为并集，有误）
如果一个用户同时在两个组或者多个组内，而各个组对同一个文件有不同的权限，那么这个用户对这个文件有什么权限呢？简单的说，当一个用户属于多个组的时候，这个用户会得到各个组的累加权限，但是一旦有一个组的相应权限被拒绝，此用户的此权限也会被拒绝。
2、权限的继承
新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限，一般的说从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。如果需要取消继承，可以通过文件夹属性的Security选项卡中的Advanced进行修改。
　　3、权限的拒绝——最高权限
拒绝（Deny）是需要谨慎的操作，因为按照NTFS的规则，Deny权限具有最高的计算地位。无论给账户或者组了什么权限，只要在拒绝的这一栏里有勾，那么被拒绝的权限就绝对有效。
4、权限的移动——同分区保留
由于NTFS的权限是以分区为单位进行保存的，只有移动到同一分区内才保留原来设置的权限，否则为继承目的地文件夹或者驱动器的NTFS权限（原设定的权限被清除）。
　　
共享文件权限——Share权限：
　　共享权限只作用于Microsoft File and printer sharing for Microsoft network指定UNC进行访问，权限有三种：读取、更改和完全控制。

1、 读取。读取权限是指派给Everyone组的默认权限。
a、 查看文件名和子文件夹名。
b、 查看文件中的数据。
c、 运行程序文件。
2、 更改。更改权限不是任何组的默认权限。更改权限除允许所有的读取权限外，还增加以下权限。
a、 添加文件和子文件夹。
b、 更改文件中的数据。
c、 删除子文件夹和文件。
3、 完全控制。 完全控制权限是指派给本机上的Administrators组的默认权限。完全控制权限除允许全部读取及更改权限外，还具有更改权限的权限。
　　共享权限的计算方法和NTFS权限一样，如果赋予某用户或者用户组拒绝的权限，该用户或者该用户组的成员将不能执行被拒绝的操作。
　　常用的权限控制——共享权限和NTFS权限的组合权限。
共享权限只对通过网络访问的用户有效，所以需要和NTFS权限配合才能严格的控制用户的访问（比如LeySer Service的部分权限控制）。当一个共享文件夹设置了共享权限和NTFS权限后，就要受到两种权限的控制。
如果希望用户能够完全控制共享文件夹，首先要在共享权限中添加此用户（组），并设置完全控制的权限。然后在NTFS权限设置中添加此用户（组），也设置完全控制权限。只有两个地方都设置了完全控制权限，才最终有完全控制权限。
当用户从网络访问一个存储在NTFS文件系统上的共享文件夹的时候会受到两种权限的约束，而有效权限是最严格的权限（也就是两种权限的交集）。而当用户从本地计算机直接访问文件夹的时候，不受共享权限的约束，只受NTFS权限的约束。
同样的，这里也要考虑到两个权限的冲突问题，比如，共享权限为只读，NTFS权限是写入，那么最终权限是完全拒绝。这是因为这两个权限的组合权限是两个权限的交集。