NTFS权限基本策略和原则.docVIP

Windows XP中设置NTFS权限基本策略和原则 Windows XPP关于权限的问题冇四个基本原则，在进行NTFS权限设置的时候就需要注 意这些基本原则。对于Windows XP的各种权限设置我们还是需要格外的重视。 设置NTFS权限基本策略和原则 在Windows XP中,针对权限的管理有四项基本原则,即：拒绝优于允许原则、权限最 小化原则、累加原则和权限继承性原则。这四项棊本原则对于权限的设置来说，将会起到非 常重要的作用，下面就来了解一下： 拒绝优于允许原则 “拒绝优于允许”原则是-条非常重要基础性的原则，它可以非常完美地处理好因用 户在用户组的归属方面引起的权限“纠纷”，例如，“shyzhong”这个用户既属于“shyzhongs” 用户组，也属于“xhxs”用户组，当我们对“xhxs”组中某个资源进行“写入”权限的集中 分配（即针对用户组进行）时，这个时候该组中的“shyzhong账八将口动拥有“写入”的权 限。 但令人奇怪的是，“shyzhong”账户明明拥有对这个资源的“写入”权限，为什么实际 操作中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对 这个资源的权限设置，但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,“shyzhong” 在“shyzhongs”组中被“拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入” 权限被执行。因此，在实际操作中，“shyzhong”用户无法对这个资源进行“写入”操作。 权限最小化原则 Windows XP将“保持用户最小的权限”作为一个基本原则进行执行，这一点是非常冇 必要的。这条原则可以确保资源得到最大的女全保障。这条原则可以尽量让用户不能访问或 不必要访问的资源得到有效的权限赋予限制。 基于这条原则，在实际的权限赋予操作中，我们就必须为资源明确赋予允许或拒绝操作 的权限。例如系统小新建的受限用户“shyzhong”在默认状态下对“D0C”目录是没冇任何 权限的，现在需要为这个用户赋予对“D0C”丨|录有“读取”的权限，那么就必须在“D0C” 目录的权限列表中为“shyzhong”用户添加“读取”权限。 权限继承性原则 权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个“DOC” |=|录，在 这个目录中有“D0C01”、“D0C02”、“D0C03”等子目录，现在需要对DOC目录及其下的 子目录均设置shyzhong用户有“写入”权限。因为有继承性原则，所以只需对“D0C” 目录设置shyzhong用户有“写入”权限，其下的所有子目录将口动继承这个权限的设置。 累加原则 这个原则比较好理解，假设现在“zhong”用户既属于“A”用户组，也属于“B”用户 组，它在A用户组的权限是“读取”，在“B”用户组中的权限是写入”，那么根据累加 原则，“zhong”用户的实际权限将会是“读取+写入”两种。 显然，“拒绝优于允许”原则是用于解决权限设置上的冲突问题的；“权限最小化”原 则是用于保障资源安全的；“权限继承性”原则是用于“自动化”执行权限设置的；而“累 加原则”则是让权限的设置更加灵活多变。几个原则各冇所用，缺少哪一项都会给权限的设 置带来很多麻烦！ 注意：在Windows XP中，“Administrators”组的全部成员都拥冇取得所冇者身份” (Take Ownership)的权力，也就是管理员组的成员可以从其他用户手中“夺取”其身份的权 力，例如受限用户“shyzhong”建立了一个DOC目录，并只赋予自己拥有读取权力，这看似 周到的权限设置，实际上，“Administrators”组的全部成员将可以通过“夺取所冇权”等 方法获得这个权限。 取消Everyone完全控制权限 选择要取消权限的文件或文件夹，右键选择属性，在“安全”选项卡下的ACL中找到 Everyone的ACE,选择编辑,将其“完全控制”权限前的勾去掉。 复制和移动文件夹对权限的影响 在权限的应用中，不町避免地会遇到设置了权限后的资源需要复制或移动的情况，那么 这个时候资源相应的权限会发生怎样的变化呢？下面來了解一下： 复制资源时 在复制资源时，原资源的权限不会发生变化，而新生成的资源，将继承其FI标位置父级 资源的权限。 移动资源时 在移动资源时，-?般会遇到两种情况，一?是如果资源的移动发生在同-?驱动器内，那么 对象保留木身原有的权限不变（包括资源本身权限及原先从父级资源中继承的权限）；二是如 果资源的移动发工在不同的驱动器之间，那么不仅对象本身的权限会丢失，而且原先从父级 资源中继承的权限也会被从H标位置的父级资源继承的权限所替代。实际上，移动操作就是 首先进行资源的复制，然后从原有位置删除资源的操作。 （3）非NTF