Windows权限.docVIP

4.3.6 Windows权限1．与Windows权限安全标识符、访问控制列表安全主体权限管理项基本原则 在Windows中，针对权限的管理有项基本原则，即拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。3．文件与文件夹权限 文件与文件夹依据是否被共享到网络上，其权限可分为NTFS权限与共享权限，这两种权限既可以单独使用，也可以相辅使用。两者之间既能够相互制约，也可以相互补充。 1）NTFS权限只要是在NTFS分区上的文件夹或文件，无论是否被共享，都具有此权限。此权限对于使用FAT16/FAT32分区上的文件与文件夹无效NTFS权限有两大要素：一是标准访问权限；二是特别访问权限。标准访问权限将一些常用的系统权限选项比较笼统地组成权限，：完全控制、修改、读取和运行、列出文件夹目录、读取、写入特别的权限。 在大多数的情况下，标准访问权限是可以满足管理需要的，但对于权限管理要求严格的环境，往往就不能，只想赋予某用户有建立文件夹的权限，赋予用户建立文件的权限；只想赋予某用户只能删除当前目录中的文件，却不能删除当前目录中的子目录的权限，就可以特别访问权限，特别访问权限不再使用可以实现更具体、全面、精确的权限设置。 图4-49 Inetpub属性 图4-50 文件夹选项设置标准访问权限以Windows NTFS分区C:）中名为Inetpub的文件夹为例，可以按照如下方法进行操作右键文件夹，在右键菜单中选择共享与安全，安全选项卡针对资源进行NTFS权限设置就是通过这个选项卡来实现的，此时应首先在组或用户名称列表中选择需要赋予权限的用户名组，在下方的权限列表中设置该用户可以拥有的权限。 图4-52 Inetpub属性 ② 设置特别访问权限，高级，父项继承子对象包括那些在此明确定义的项目，这样可以断开当前权限设置与父级权限设置之的继承关系。在随即弹出的安全对话框中复制或删除按钮复制按钮可以首先复制继承的父级权限设置，然后再断开继承关系，应用按钮选中用户并编辑按钮，的权限项目，首先全部清除按钮，在权限列表中选择遍历文件夹/运行文件、列出文件夹/读取数据、读取属性、创建文件/写入数据、创建文件夹/附加数据读取权限，确定按钮设置。 在经过上述设置后，用户在对进行删除操作时，就会弹出提示框警告操作不能成功。显然，相对于标准访问权限设置上的笼统，特别访问权限则可以实现更具体、全面、精确的权限设置。 图4-54 安全对话框的权限项目特殊权限列表中的权限含义2）共享权限只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中，那么它将同时具有NTFS权限与共享权限，如果这个资源同时拥有NTFS和共享两种权限，那么系统中对权限的具体实施将以两种权限中较严格的权限为准拒绝优于允许原则 比如某个共享资源的NTFS权限设置为完全控制，而共享权限设置为读取，那么远程用户对共享资源只读取了。设置共享权限文件夹，在右键菜单中选择共享与安全，在弹出的共享选项卡选中共享文件夹，将使用默认的权限设置即Everyone用户拥有读取权限。如果想共享权限具体设置，那么权限按钮，弹出的的权限可以看到权限列表中有完全控制、更改和读取这个权限的含义。 图4-56 Inetpub属性 图4-57 Inetpub的权限可以添加按钮将需要设置权限的用户或用户组添加进来。在情况下，当添加新的组或用户时，该组或用户将具备读取权限，可以根据实际情况在下方的权限列表中进行复选框的选择与清空。 复制或移动资源时权限的变化 内置安全主体与权限 在Windows XP中，有一群不为人知的用户，他们的作用是可以让我们指派权限到某种状态的用户如匿名用户、网络用户等，而不是某个特定的用户或组如这类用户。这样一来，对用户权限的管理就更加容易精确控制了。这群用户在Windows XP中，统一称为内置安全主体。 下面为设置内置安全主体中的Network”类用户权限右键文件夹，在右键菜单中选择共享与安全，在弹出的选择用户或组对话框中对象类型按钮。弹出对象类型对话框只保留列表中的内置安全主体，确定按钮。选择用户或组立即查找内置安全主体。选择用户或组对象类型Network”类用户，确定按钮。Network”类用户NTFS权限共享权限。内置安全主体组策略安全主体作用说明