windows权限设置.docVIP

Windows权限设置实验 一、什么是权限 1、权限(Permission):是针对资源而言的。设置权限只能是以资源为对象，即设置某个文件夹有哪些用户可以拥有相应的权限。 利用权限可以控制资源被访问的方式，如User组的成员对某个资源拥有读取操作权限、Administrators组成员拥有读取+写入+删除操作权限等。 二、安全标识符、访问控制列表、安全主体 1.安全标识符 在Windows 中，系统是通过SID对用户进行识别的，而不是很多用户认为的用户名称。SID在系统中是唯一的。在删除了一个账户,再次创建这个账户时，虽然用户相同，但SID是不同的。查看用户、组、服务或计算机的SID值，可以使用 Whoami /all命令。 2.访问控制列表(ACL) 是一个权限列表，用于定义特定用户对某个资源的访问权限。 3.安全主体(Security Principal) 是指用户、用户组、计算机或服务都看成是一个安全主体，每个安全主体都拥有相对应的账户名称和SID。 三、权限的四项基本原则 1.拒绝优于允许原则：即当某用户同属两个组，相对同一个资源，在一个组中有写入权限，在另一个组中是拒绝访问，则该用户对该资源是拒绝访问。 2.权限最小化原则 这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。 3.权限继承性原则 当文件夹中有子目录时，在对父目录设置的权限，可以继承到子目录中。 4.累加原则 当用户属多个组时，在多个组中设置了对同一个资源的不同权限，则该用户对该资源的权限是所有组的权限之和，但要注意拒绝优于允许的原则。 显然，拒绝优于允许原则是用于解决权限设置上的冲突问题的；权限最小化原则是用于保障资源安全的；权限继承性原则是用于自动化执行权限设置的；而累加原则则是让权限的设置更加灵活多变。 注意：Administrators组的全部成员都拥有取得所有者身份(Take Ownership)的权力，也就是管理员组的成员可以从其他用户手中夺取其身份的权力。例如受限用户shyzhong建立了一个DOC目录，并只赋予自己拥有读取权力，这看似周到的权限设置，实际上，Administrators组的全部成员将可以通过夺取所有权等方法获得这个权限. 四、资源权限高级应用 1、NTFS分区的优势 2、NTFS权限 在Windows NTFS磁盘分区上可以分别对文件或文件夹设置NTFS权限，其中对文件可以设置五种权限，分别是：“完全控制”、“修改”、“读取及运行”、“读取”和“写入”。对文件夹可以设置六种权限，除上面五种权限外还有一个“列出文件夹目录”权限。 ①完全控制(Full Control)： 该权限允许用户对文件夹、子文件夹、文件进行全权控制，如修改资源的权限、获取资源的所有者、删除资源的权限等，拥有完全控制权限就等于拥有了其他所有的权限； ②修改(Modify)： 该权限允许用户修改或删除资源，同时让用户拥有写入及读取和运行权限； ③读取和运行(Read Execute)： 该权限允许用户拥有读取和列出资源目录的权限，另外也允许用户在资源中进行移动和遍历，这使得用户能够直接访问子文件夹与文件，即使用户没有权限访问这个路径； ④列出文件夹目录(List Folder Contents)： 该权限允许用户查看资源中的子文件夹与文件名称； ⑤读取(Read)： 该权限允许用户查看该文件夹中的文件以及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等； ⑥写入(Write)： 该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。 特殊权限 具有更改权限和取得所有权的权限。当然更改时不能加入完全控制的权限。 由于以权限比较精略，所以在windows中对权限进行了细分： ⑴遍历文件夹/运行文件(Traverse Folder/Execute File)： 该权限允许用户在文件夹及其子文件夹之间移动(遍历)，即使这些文件夹本身没有访问权限。 ⑵列出文件/读取数据(List Folder/Read Data)： 该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据； ⑶读取属性(Read Attributes)： 该权限允许用户查看文件或文件夹的属性(如系统、只读、隐藏等属性)； ⑷读取扩展属性(Read Extended Attributes)： 该权限允许查看文件或文件夹的扩展属性，这些扩展属性通常由程序所定义，并可以被程序修改； ⑸创建文件/写入属性(Create Files/Write Data)： 该权限允许用户在文件夹中创建新文件，也允许将数据写入现有文件并覆盖现有文件中的数据； ⑹创建文件夹/附加数据(Creat