Windows XP中關於權限的問題有四個基本原則在進行NTFS權限設置的時候就需要注意這些基本原則對於Windows XP的各種權限設置我們還是需要格外的重視
一 設置NTFS權限基本策略和原則
在Windows XP中針對權限的管理有四項基本原則即拒絕優於允許原則權限最小化原則累加原則和權限繼承性原則這四項基本原則對於權限的設置來說將會起到非常重要的作用下面就來了解一下
拒絕優於允許原則
拒絕優於允許原則是一條非常重要且基礎性的原則它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權限糾紛例 如shyzhong這個用戶既屬於shyzhongs用戶組也屬於xhxs用戶組當我們對xhxs組中某個資源進行寫入權限的 集中分配(即針對用戶組進行)時這個時候該組中的shyzhong賬戶將自動擁有寫入的權限
但令人奇怪的是shyzhong賬戶明明擁有對這個資源的寫入權限為什麼實際操作中卻無法執行呢?原來在shyzhongs組中 同樣也對shyzhong用戶進行了針對這個資源的權限設置但設置的權限是拒絕寫入基於拒絕優於允許的原則shyzhong在 shyzhongs組中被 拒絕寫入的權限將優先於xhxs組中被賦予的允許寫入權限被執行因此在實際操作中shyzhong用戶無法對這個資源進行寫入 操作
權限最小化原則
Windows XP將保持用戶最小的權限作為一個基本原則進行執行這一點是非常有必要的這條原則可以確保資源得到最大的安全保障這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權限賦予限制
基於這條原則在實際的權限賦予操作中我們就必須為資源明確賦予允許或拒絕操作的權限例如系統中新建的受限用戶shyzhong在默認狀態 下對DOC目錄是沒有任何權限的現在需要為這個用戶賦予對DOC目錄有讀取的權限那麼就必須在DOC目錄的權限列表中為 shyzhong用戶添加讀取權限
權限繼承性原則
權限繼承性原則可以讓資源的權限設置變得更加簡單假設現在有個DOC目錄在這個目錄中有DOCDOCDOC等 子目錄現在需要對DOC目錄及其下的子目錄均設置shyzhong用戶有寫入權限因為有繼承性原則所以只需對DOC目錄設置 shyzhong用戶有寫入權限其下的所有子目錄將自動繼承這個權限的設置
累加原則
這個原則比較好理解假設現在zhong用戶既屬於A用戶組也屬於B用戶組它在A用戶組的權限是讀取在B用戶組中的權限是寫入那麼根據累加原則zhong用戶的實際權限將會是讀取+寫入兩種
顯然拒絕優於允許原則是用於解決權限設置上的沖突問題的權限最小化原則是用於保障資源安全的權限繼承性原則是用於自動化執行權限設置的而累加原則則是讓權限的設置更加靈活多變幾個原則各有所用缺少哪一項都會給權限的設置帶來很多麻煩!
注意在Windows XP中Administrators組的全部成員都擁有取得所有者身份(Take Ownership)的權力也就是管理員組的成員可以從其他用戶手中奪取其身份的權力例如受限用戶shyzhong建立了一個DOC目錄並 只賦予自己擁有讀取權力這看似周到的權限設置實際上Administrators組的全部成員將可以通過奪取所有權等方法獲得這個權限
文件的權限要凌駕於文件夾的權限
貌似看文檔有這麼一條不知道是不是文檔版本過舊導致的對單獨文件權限設置會優先被系統臨幸貌似
二 權限其它
取消Everyone完全控制權限
選擇要取消權限的文件或文件夾右鍵選擇屬性在安全選項卡下的ACL中找到Everyone的ACE選擇編輯將其完全控制權限前的勾去掉
復制和移動文件夾對權限的影響
在權限的應用中不可避免地會遇到設置了權限後的資源需要復制或移動的情況那麼這個時候資源相應的權限會發生怎樣的變化呢?下面來了解一下
()復制資源時
在復制資源時原資源的權限不會發生變化而新生成的資源將繼承其目標位置父級資源的權限
()移動資源時
在移動資源時一般會遇到兩種情況一是如果資源的移動發生在同一驅動器內那麼對象保留本身原有的權限不變(包括資源本身權限及原先從父級資源中 繼承的權限)二是如果資源的移動發生在不同的驅動器之間那麼不僅對象本身的權限會丟失而且原先從父級資源中繼承的權限也會被從目標位置的父級資源繼 承的權限所替代實際上移動操作就是首先進行資源的復制然後從原有位置刪除資源的操作
()非NTFS分區
上述復制或移動資源時產生的權限變化只是針對NTFS分區上而言的如果將資源復制或移動到非NTFS分區(如FAT/FAT分區)上那麼所有的權限均會自動全部丟失
From:http://tw.wingwit.com/Article/os/xtgl/201311/9297.html
