利用NTFS权限
; H& R5 C/ q3 f$ L" T3 e& q [本站原创]以前使用WINDWOS95以及WINDOWS98的朋友就都知道,如果你是多人共同使用一台
计算机,其它人可以很容易的查看你的文件;不同的用户对同一文件的使用权基本相同的,可以说没有任何
安全性而言!那么你有没有想过不借于第三方
软件,就可以实现为不同的用户授予不同的访问权限,以提高每个用户文件的安全性呢?告诉你到了WINDOWS2000以及最新发行的WIDNWOS
XP里,利用其特有的NTFS文件
系统就可以很轻松的解决这个问题。
+ f5 }( l/ h9 w+ L3 {2 G
A、如何利用NTFS权限
$ f7 J, }& }0 a5 s7 S" q 我们首先浏览到E盘下"PC任我行"文件夹,右击选择"属性",在出现的属性对话框中选择“安全”选项卡,(如图1)所示,我们可以看到系统已经为EVERYONE组授予了完全控制权限,这是因为WINDOWSXP里用NTFS格式化一个
磁盘分区时,系统自动为EVERYONE组授予了完全控制的权限,在该分区下创建的所有文件和文件夹都继承了这个完全控制的权限。
- r& y+ V6 V9 ]$ W4 z
1 F+ _" P2 Z6 _+ H
) k; h8 }* m1 h( a4 r2 V
图一 属性
& \/ b9 u& ]3 L, m% M# J. Y8 P* H 这个时候,如果不做任何改动,就相当于我们在WINDOWS98里的FAT格式的,基本没有安全性可言!如果我们看到下方的权限列表是灰色的,不能修改其权限,这就说明该文件夹是继续上一级文件夹的权限而来的。如果要去修改已经继承了的权限,可以看到在图一下方有一个“高级”按钮,通过他来查看文件夹的高级安全设置对话框,在文件的高级安全设置对话框下方有一个"从父项继承那些可以应用到子
对象的权限项目,包括那些在此明确定义的项目"复选框,这个就是用来设置权限的继承的,我们取消复选框的选择,这个时候又会弹出一个对话框,(如图2)所示,如果我们选择复制,那么该文件夹将保留上级文件夹已经继承下来的权限,但以后就不会再继承上级文件夹的权限了,如果选删除,将删除掉所有继承上级文件夹的权限,只保留用户单独为该文件夹设置的权限,因为我们这里没有为该文件夹另外授予权限,所以我们这里先选复制,然后点确定回到PC任我行的安全属性对话框,这个时候就可以改变EVERYONE组的权限了,设置其权限为"读取"吧!
5 b) w& w3 M/ ~9 _0 i# ^2 ^7 V6 R L/ j" Z- j5 v8 u$ I+ x
; p3 I' r) K1 ]9 F& H( t6 A! N 图二 安全选项卡特征
2 t4 @$ Z! o% B6 @( E7 l 修改了EVERYONE组默认的权限,下面就要为其它用户进行授权了,在图一所示的对话框中选择中间的"添加"按钮,就会弹出选择用户和组对话框,点“高级”按钮,不要做任何设置,再直接点击"立即查找"按钮,稍候片刻,在下方就把本机上所有的用户和组都查找出来了,选中一个用户,"确定"返回,这个时候就可以看到在“PC任我行”文件夹的安全属性对话框中已经把用户添加进来了,然后按照上面的方法再对该用户进行权限的设置!为不同的用户分配不同的权限,这样当用户再次访问该文件夹时,就只能使用赋予他的权限,而不能再像以前那样为所欲为的,想干什么就干什么了!
3 _& E' J& i* M, ?8 C6 N* M 一般来说,经过这样的设置的文件系统是比较安全的,如果你还想进行更高级别的权限的设置,你还可以在文件夹的高级安全属性对话框中进行设置,双击用户名,就会弹出文件的权限项目对话框(如图3)。你可以从图中看出,原来的权限被细化了,比如一个“读”的权限被细化成“遍历文件夹/运行文件”、“列出文件夹/读取数额”、“读取属性”、“读取扩展属性”四项了,在这里你就可以进行更详细的
功能设置。
5 G( N- X& C3 _2 S
, T3 r; A6 b) q
8 [& d: b! n, z9 t# G 图三 权限项目对话框
) Q4 m7 f0 S; X. V+ L B、NTFS权限的一些特征
, k9 E7 ?7 y Y' z) S' o
权限是积累的
: B, c: I6 i( D. D+ j3 M 比如说某个用户对一个文件有读取的权限,而该用户又属于一个组,同样该组对该文件又有写的权限,那么该用户对该文件就有了读和写的双重权限了。 文件权限超越文件夹权限
, Z, l( S; d9 [! u 如果某个用户对一个文件有写的权限,同时他对该文件所在的文件夹只有读的权限,但这并不影响该用户对文件的写的权限,就是因为文件权限超越文件夹权限。
' a" o) s' ` t% s" \" e 拒绝权限大于一切
+ @, }+ ?* S# [ |1 N7 ~
我们在上面为用户赋予权限时,都是设置其允许有什么权限,而没有设置其拒绝权限,但实际上拒绝权限可以超越其它任何权限,如果你想让某个用户不用访问一个文件夹,那么你可以设置该文件夹拒绝访问,这样即使该用户所属的组对该文件夹具有访问的权限也不行,可以说拒绝权限是一个例外,不符合权限是积累的这个规律。复制与实践
0 Y3 o* D. L1 o6 ?" `2 L3 D2 b" ~ C、复制移动NTFS系统文件
2 M O3 A) X& m; N: {" {* y4 E
当我们复制NTFS文件或文件夹时,不管是在同一个分区内进行复制的,还是复制到其它NTFS分区,复制的文件夹都将继承目的地文件夹的权限,如果我们不要继承目的地文件夹的权限,可以用上面讲的方法进行设置;如果把文件或文件夹复制到FAT等格工的分区,那么文件的权限将自动丢失。另外需要注意的是复制文件或文件夹必须对目标文件夹具有写的权限。
0 L% X9 T" V" `+ `8 T0 a0 y5 ~
移动文件夹同样需要对目标文件夹有写的权限,同时还必须对源文件夹具有修改的权限,当我们在同一NTFS分区内进行复制和移动文件或文件夹时,他将保留原来的权限,但是在不同的NTFS分区之间进行移动时,他就跟复制一样,将继承目标文件夹权限。因为我们进行移动文件夹时,是把源文件夹先复制一份,然后粘贴到目标文件夹,再把源文件夹删除掉。
# }+ m5 g% A# w3 \; c D、最佳实践
9 x# o" E- R6 q9 L u0 o1 j+ [8 C. S7 Q
1、为了减少工作量,尽可能的为组授权,不要为用户授权,而且为组授权要比为用户授权
管理起来方便得多了。
$ {6 f% }+ d1 b% a* p5 a( h8 r7 b& k
2、将文件分组,比如建一个文件夹来专门的存放资料,然后再为该文件夹授予权限,而不必为每一个文件都设置权限。
a( ~( |# T& D% y' K
6 a E; D5 p" X0 ]; U2 m* s 3、实行按需分配的原则,只授予用户他们需要的权限,而不要把他们不需要的权限也授予他们,这样可以提高安全。
* T. }; j8 W* E. _
4、当你对可执行文件授权时,尽量授予他们以读和执行权限,而不要再给他们其它权限,这样可以在一定程度上防止病毒的害。
) S* A- x! }% ?0 @% g2 {; H& S 如果你在工作中遇到了我们在文章开头所说的问题,那么你就赶快来试试本文所讲的这个方法吧!
