NTFS权限只能应用于NTFS分区中,分区、文件夹、文件均可设计NTFS权限。
下图1为Temp文件夹NTFS“标准安全页”属性,从图中可以知道Administrators这个组对Temp这个文件夹有允许操作的完全控制权限。 在“用户控制列表区域”单击其他组或者用户,则会在下面的“权限控制列表区域”列出其相应的权限。 单击“高级”则进入“高级安全页”属性,则会有更加精细的权限设计。如图2 NTFS的几个特点: 1. 默认情况下,权限都是向下继承的。 也就是一个NTFS分区内的所有文件夹和文件权限都从分区的权限继承的。如图1,权限控制列表区域为灰色不可操作说明权限继承于上层。要想修改成可操作状态必须先打破继承,接下来的内容会具体提到。 2. 在XP、2003中,新格式化成NTFS的分区默认情况下Users组成员有追加文件/文件夹的权限。在做文件服务器时需要谨慎该默认权限,通过高级属性可以看到。 3. 当一个用户属于多个组,并且文件/文件夹赋予这些组不同的权限,那么用户得到的最终权限是这些组权限的累加。 4. 在做共享文件时,共享与安全中的权限取两者交集部分。 5. 拒绝权最优先。图1
图2
基础知识就复习到这,下面来动手演练演练。
预定义环境如下: 1)环境为域环境,所有GS开头的组为活动目录全局——安全组。 2)所有设计均是在NTFS默认条件下进行。 3)共享权限均设置为Everyone允许完全控制。 4)所有设计都必须保留管理员管理权限。 5)顶层Department设置为Everyone只读权限。 一、Department为共享目录,其他文件层次如下图 要求:最小化管理操作。 允许Acc部门所有成员(GS-ACC-All)访问ACC文件夹、子文件夹及子文件; 允许Admin部门所有成员(GS-Admin-All)可以访问Admin文件夹、子文件夹及子文件。 权限设计过程: 1.1 对ACC文件夹的操作 a) 先打破父权限继承——在安全的高级属性中取消来自父权限的继承,注意,这里会有提示“是否复制父权限到这个文件夹”,选择复制,以防止所有用户都无法访问该文件夹,单击确定回到标准安全页面。后续将不再赘述打破继承的过程。b)删除Administrators、System、Creator Owner以外的所有组和用户权限.
最好不要随便删除这三个组的默认权限,Administrators提供管理,SYSTEM与EFS加密有关,并且如果删除SYSTEM还会影响到权限的向下继承,需要强制向下层下发权限,Creator Owner是个非常有用的特殊组,后续的设计中会利用到。
c) 添加GS-ACC-All组允许“读取和运行”、“列出文件夹目录”、“读取”的权限。 d) 默认下层子文件夹\文件会继承ACC目录权限,无需设计。 1.2 对Admin文件夹的操作 参考上述操作,将最后一步改成添加GS-Admin-All组即可。 二、Department为共享目录,其他文件层次如下图 要求:最小化管理操作。 允许Acc部门所有成员(GS-ACC-All)读取ACC文件夹、子文件夹及子文件 允许ACC部门经理(GS-ACC-Mgr)可以修改Admin文件夹、子文件夹及子文件。 权限设计过程: 2.1 对ACC文件夹的操作 前面部分参考1.1操作,再加上GS-ACC-Mgr组允许“修改”权限即可。 三、Department为共享目录,其他文件层次如下图 要求:最小化管理操作。 允许Admin部门所有成员(GS-Admin-All)可以修改Admin文件夹、子文件夹(经理的除外)及子文件; 允许Admin经理级成员(GS-Admin-Mgr)可以修改Admin\Manager文件夹、子文件夹及子文件; 允许公司所有成员(GS-All-Member)访问Admin\Manager\公司组织图,但不能访问Admin\Manager下面其他文件; 允许公司所有成员访问Admin\Notice公告文件,但不能访问Admin下面其他文件。 权限设计过程: 3.1 对Admin文件夹的设计 a) 先打破父权限继承; b) 删除Administrators、System、Creator Owner以外的所有组和用户权限; c) 添加GS-Admin-All对Admin文件夹允许“修改”权限; 4)添加GS-All-Member对Admin文件夹仅允许“列出文件夹目录”。“列出文件夹目录”只对文件夹生效,对文件无效,使得GS-All-Member成员可以穿透到Admin下层目录,而又不能访问Admin下层的文件。 至此Admin文件夹设置完毕。 3.2 对Manager文件夹的设计 a) 先打破父权限继承; b) 删除Administrators、System、Creator Owner以外的所有组和用户权限; c) 添加GS-Admin-Mgr对Manager文件夹允许“修改”权限; d) 添加GS-All-Member对Manager文件夹仅允许“列出文件夹目录”。穿透效果。 至此Manager文件夹设置完毕。 3.3 对Notice文件夹的设计 a) 在默认的基础上添加GS-All-Member对Notice文件夹“读取和运行”、“列出文件夹目录”、“读取”的权限。 3.4 对公司组织图的设计 a) 在默认的基础上添加GS-All-Member对公司组织图文件夹“读取和运行”、“列出文件夹目录”、“读取”的权限。 四、Department为共享目录,其他文件层次如下图 要求:最小化管理操作。 允许Admin部门所有成员(GS-Admin-All)可以在Admin\Report下面创建以各自名字命名的文件夹,不允许创建乱七八糟的文件; 各用户之间的文件只允许自己可以访问、修改,其他用户不可访问; 权限设计过程: 4.1 对Admin文件夹的设计 参考3.1过程。 4.2 对Report文件夹的设计 a) 先打破父权限继承; b) 删除Administrators、System、Creator Owner以外的所有组和用户权限; c) 添加GS-All-Member对Report文件夹仅允许“列出文件夹目录”。 d) 进入Report的“高级”安全页中,单击“添加”,在空白处输入“GS-Admin-All”组名,单击“确定”,弹出“Report权限项目”,在“应用到”选择范围为“该文件夹”,单击下面的清除按钮,清除掉所有默认设置权限,只勾上允许“创建文件夹/附加数据”。然后一步步确定即可。 这个权限设计主要是用到了用户自身权限(仅可以创建文件夹)+Creator Owner(完全控制)组合,当用户创建了文件夹之后,他就是这个文件夹本身的创建者,那么他最终的权限就升级到了“完全控制”。 这个设计的难点在于Report文件夹下的用户文件夹名字未知,要去实现未知文件夹的权限隔离。 五、Department为共享目录,其他文件层次如下图 你刚搭建好一台文件服务器给各部门使用,要求设计初始权限; 要求:最小化管理操作。 所有部门的部门文件夹必须统一放在Department下,并且以部门命名; Department下只允许IT部门新建文件夹、修改文件夹名字,但不可以创建文件; 其他任何人不得修改Department下文件夹名字,不得删除Department下面的文件夹; 部门文件夹只允许各部门成员访问; 各部门经理有对自己部门所有文件的完全控制权限。 权限设计过程: 5.1 对Department的设计 a) 先打破父权限继承; b) 删除Administrators、System、Creator Owner以外的所有组和用户权限; c) 添加GS-All-Member对Department文件夹仅允许“读取和运行”、“列出文件夹目录”、“读取”的权限; d) 先添加一条GS-IT-All对Department的修改权限;然后进入高级再添加一条GS-All-Member只应用到“该文件夹”的拒绝“创建文件/附加数据”权限; 至此Department设计完毕。 5.2 对Department下部门文件夹的设计(以ACC为例) a) 先打破父权限继承;b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;c) 添加GS-ACC-All对Acc文件夹允许“读取和运行”、“列出文件夹目录”、“读取”的权限;d) 添加GS-ACC-Mgr对Acc文件夹允许“完全控制”的权限;e) 进入高级安全页添加一条GS-All-Member只应用到“该文件夹”的拒绝“创建文件/附加数据”权限和拒绝“删除”的权限。至此,ACC文件夹设置完毕。 5.3 其他部门文件夹可参考ACC来做。 以上NTFS权限设计均是我工作碰到的一些实际需求,只要大家对NTFS掌握比较深入(高级特性中的每个权限细节以及特殊的组),应该都不难解决。本文出自 “Leaves驿站” 博客,请务必保留此出处http://yangye.blog.51cto.com/922715/633013