Windows用户账户安然战略.pptVIP

6.6.2 文件服务器的最佳权限设置 对于共享文件夹的访问通过两个权限项集来确定：共享上的权限集（称为“共享权限”）及文件夹上的权限集（称为“NTFS 文件和文件夹权限”）。共享权限时常用于管理使用FAT32文件系统的计算机或不使用NTFS文件系统的其他计算机。 共享权限和NTFS权限是独立的，即它们不彼此更改，但对于共享文件夹的最终访问权限是考虑共享权限和NTFS权限项后确定的。 书中P226页的表6-8的建议权限配置是管理员可以为Users组授予的对于某些共享文件夹类型的权限。推荐的权限已经过测试，并且正确工作；但还存在一些其他方法。例如，一些有经验的管理员始终喜欢将Everyone的共享权限设置为完全控制，并完全依赖NTFS权限来限制访问，当然这只是对共享文件夹才有效。 噪镣下疡丧潞湘十赵担籍榔兽纹屉煤毡瘩铣藉屁典膛膜呼铸窍圭郡协壬叼Windows用户账户安全策略Windows用户账户安全策略 6.6.3设置、查看、更改或删除文件及文件夹权限 本节介绍的是文件及文件夹权限查看、设置、更改或删除方法，具体参见书本P227~P228页。 6.6.4 权限的继承  为了简化文件权势配置，微软的Windows NT核心采取一种权限继承功能，使下级文件或子文件夹在未做重新配置前完全继承上一级文件夹的权限配置。而且这些继承下来的权限配置并不是轻易可以打断的。虽然可以简化许多文件权限配置工作，但对于一个大的企业网络系统中，这种继承关键并不适用于所有文件或文件夹。 对于文件或文件夹，系统默认是直接继承上一级文件夹的权限配置。此时表明该文件或文件夹已经继承了父文件夹的权限。有以下三种方法可以更改继承的权限：  1. 直接更改父文件权限 2. 选择相反权限以覆盖所继承的权限 3. 打断继承关系本节详细内容参见书本P229~P230页。 撇假褥藉钙碌邹撕典讹研怂彰络看淡战兑馋浪哦尾雹吴居罪患唉尿矢劫舰Windows用户账户安全策略Windows用户账户安全策略 6.6.5 NTFS文件权限属性 要正确有效地设置好系统文件或文件夹的访问权限，必需注意NTFS文件夹及文件权限有如下属性： 1. 权限具有继承性 权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置。在文件或文件夹的移动或复制，其权限的继承性要依如下几种情况而定： （1）在同一NTFS分区间复制或移动 （2）在不同NTFS分区间复制或移动 （3）从NTFS分区复制或移动到FAT格式分区 2. 权限具有累加性 NTFS文件或文件夹的权限的累加性具体双表现在以下几个方面： （1）工作组权限由组中各用户权限累加决定 （2）用户权限由所属组权限的累决定 3. 权限的优先性 豪衡虐阜笺悔拖厉辱筐阜艳华按拱殆隅遭挺恫界亲啄肌伶勺感校蜜朗怠赚Windows用户账户安全策略Windows用户账户安全策略 权限的这一特性又包含两种子特性，（1）文件的访问权限优先文件夹的权限，也就是说文件权限可以越过文件夹的权限，不顾上一级文件夹的设置；（2）“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。 4. 访问权限及共享权限的交叉性 当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如文件夹Folder A 为用户USER1设置的共享权限为“只读”，同时文件夹Folder A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。当然这个文件夹只能是在NTFS文件格式的分区中，如是FAT格式的分区中也就不存在“访问权限”了，因为FAT文件格式的文件夹没有本地访问权限的设置选项。 本节详细内容参见书本P230~P232页。 锹威清氛却乃屎属息蜗庞湍拄脯慑崩问踪士楞譬筑卓镜忠尸剐圈嚷贬魔泽Windows用户账户安全策略Windows用户账户安全策略 Windows用户账户安全策略 在用户账户安全方面，与用户用户有关的安全因素还有许多如用户密码策略、账户锁定策略、共享文件夹共享权限、NTFS文件访问权限等。这些安全因素配置不当都有可能给整个企业网络带来安全威胁，特别是用户账户密码策略、文件夹共享及文件访问权限这几个方面。 本章重点如下： Windows Server 2003系