文件服务器NTFS权限和共享权限.docVIP

文件服务器NTFS权限1、权限继承中为什么有例外? 　　(1).ACL之间存在冲突 　　NTFS所使用的继承机制在文件的访问控制上扮演了重要的角色。为了确定权限，Windows必须查看影响该文件的所有ACL。任何文件或文件夹都有自己的ACL，通过它来授予或拒绝特定用户或用户组的访问。此外，每个对象还会从父文件夹及各种上级文件夹继承复杂的权限。所有这些权限都存在相互冲突的潜在可能：一条ACL允许用户访问文件，而另一条则明确拒绝访问。另外，一个用户也可能同时是多个用户组的成员，从而拥有不同的权限。 　　(2).避免ACL冲突的规则 　　为了解决ACL之间的冲突问题，Windows规定了以下一组规则：(1).在任一级别上，来自不同用户组的权限将进行组合。(2).在任一级别上，拒绝权限优先于允许权限。(3).直接设定在某一对象上的权限优先于该对象继承来的权限。(4).从近亲文件夹继承来的权限优先于从远亲文件夹继承来的权限。(5).任何对象都可以通过继承父文件夹的权限而受到保护。在处理这些规则时，Windows首先会检查该对象自身所带有的访问控制项目。如果没找到，Windows就会继续往上查看它的父文件夹，直至找到明确规定允许或拒绝访问该对象的访问控制项目。 　　(3).阻止权限继承 　　我们可以阻止某个对象继承父文件夹权限，具体做法是：打开该对象的安全属性高级对话框，找到“权限”页，清除“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目” 复选框即可。如果我们这么做了，那么父文件夹的权限将不再影响到当前文件或文件夹以及再下一级文件或文件夹至少大多数情况下是这样的。 　　(4).权限继承中的两个例外 　　然而，有关权限继承的两个鲜为人知的例外却会给我们带来困惑。第一个例外是：如果父文件夹允许列出文件夹的话，那么对其下文件拒绝“读取属性” 权限将不起作用。即使我们明确拒绝“读取属性” 权限，任何用户只要具有列出文件夹权限就一定能够查看该文件夹下任何文件的属性。这一例外显然违背了规则2和3，它不仅让一条允许权限优先于一条拒绝权限，而且让父文件夹的权限优先于对象自身的权限。这一例外同时也违背了规则4和5，因为即使我们通过清除“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目” 复选框的方式来明确阻止继承权限，父文件夹仍然会对其子对象的权限产生影响。 　　第二个例外是：如果父文件夹允许“删除子文件夹及文件”权限的话，那么对其下文件或文件夹拒绝“删除”权限将不起作用。因为大多数文件夹都默认允许“删除子文件夹及文件”权限，所以对其下文件拒绝“删除” 权限鲜有效果。这个例外也会带来一些困惑，因为我们可能需要禁止某用户删除某个文件，但是当我们拒绝他的“删除”权限后我们却发现他仍然可以删除文件。这一例外同样也违背了多条继承规则，而且即使我们明确阻止从父文件夹继承权限也无济于事。 　　(5).如何才能真正拒绝删除文件? 　　更令人不解的是，我们或许认为允许“删除子文件夹及文件” 权限的话，用户就能够删除子文件夹及文件。而拒绝该权限就意味着不允许用户删除子文件夹及文件。然而事实却并非如此。对某个文件夹拒绝“删除子文件夹及文件“ 权限实际上所起的效果是对其下的所有子对象开启了“删除“ 权限。我们不能单独依靠“删除子文件夹及文件” 和“删除” 这两个权限中的任何一个来阻止用户删除文件。防止文件被删除需要两个步骤：首先，对该文件本身拒绝“删除”权限;然后再对其父文件夹拒绝“删除子文件夹及文件” 权限。可见，权限继承及其例外情况实在太复杂了，对此管理员们一定要理解透彻才不会在遇到问题时困惑。 2、“运行文件”权限有什么用? 　　有些时候，那些细分NTFS权限往往起不到应有的作用，不过有一个例外，那就是“运行文件” 权限。基本权限中有一个叫做”读取和运行”，不过实际上用户并非必须具有读取权限才能运行文件。大多数情况下，用户运行文件所需的全部权限是“运行文件” 和“读取属性”。此外，一般情况下我们都不需要特意授予用户“读取属性”权限，因为该权限往往可以从父文件夹那儿继承来。需要特别注意的是：有些程序可能需要读取数据或读取扩展属性的权限才能运行可执行文件，不过这样的程序毕竟不多见。取消“读取”权限的另一个负面影响还在于用户将无法查看该文件的任何版本信息或其它属性，Windows资源管理器也将无法正常显示程序图标，因为它无法从文件中读取图标信息。 　　然而，有时候某个可执行文件也会包含一些敏感信息(比如：数据库连接字符串)，我们显然不希望这样的信息被他人通过16位进制编辑器来读取，这时，取消“读取”权限就显得很有必要了。此外，还有一个好处是： 用户在没有“读取”权限的情况下是无法将可执行文件拷贝到另一个地方的。我们可以通过灵活运用“运