Windows2003的NTFS权限(2)

时间:2022-12-29 15:20:17
Windows的权限控制
1. 权限:由对象的所有者授予或拒绝。

2. Windows目录的权限:



(1) 完全控制

“完全控制”就是对目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。

(2) 修改

“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。

(3) 读取和运行

“读取和运行”就是允许读取和运行在目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。

(4) 列出文件夹目录

“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。

(5) 读取

“读取”是能够读取该卷或目录下的数据。

(6) 写入

“写入”就是能往该卷或目录下写入数据。

(7) 特别的权限。

而“特别”则是对以上的六种权限进行了细分。

3. 权限的四个特性――继承性、累加性 、优先性、交叉性



(1) 继承性

是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。



(2) 累加



是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。



(3) 优先性



权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。



(4) 交叉性



指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。 权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。




文件和文件夹的权限
文件夹权限包括完全控制,修改,读取和执行,列出文件夹目录,读取,和写入。这些权限中的每一个都是由下面列出和定义的特殊权限所构成的逻辑组组成。

访问权限


说明



通过文件夹/执行文件


对于文件夹:“通过文件夹”允许或拒绝通过文件夹来访问其他文件或文件夹,即使用户没有所通过的文件夹(只适用于文件夹)的访问权限。只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权限时,“通过文件夹”才起作用。(默认情况下,授予 Everyone 组“忽略通过检查”用户权限。

对于文件:“执行文件”允许或拒绝运行程序文件(仅适用于文件)。

设置文件夹的“通过文件夹”权限不会自动设置该文件夹中所有文件的“执行文件”权限。

列出文件夹/读取数据


“列出文件夹”允许或者拒绝查看文件夹内的文件名和子文件夹名。“列出文件夹”只影响该文件夹的内容,不影响是否列出正在设置其权限的文件夹。它只适用于文件夹。

“读取数据”允许或拒绝查看文件(只适用于文件)中的数据。

读取属性


允许或拒绝查看文件或文件夹的属性,例如只读和隐藏。属性由 NTFS 定义。



读取扩展属性


允许或拒绝查看文件或文件夹的扩展属性。扩展属性由程序定义,可能因程序而变化。



创建文件/写入数据


“创建文件”允许或拒绝在文件夹(仅适用于文件夹)内创建文件。

“写入数据”允许或拒绝更改文件和覆盖已有的内容(只适用于文件)。

创建文件夹/添加数据


“创建文件夹”允许或拒绝在文件夹内创建文件夹(仅适用于文件夹)。

“添加数据”允许或拒绝更改文件的末尾,但不限制更改、删除或覆盖已有的数据(仅适用于文件)。

写入属性


允许或拒绝更改文件或文件夹的属性,例如只读或隐藏。属性由 NTFS 定义。

“写入属性”权限没有表示可以创建或者删除文件或文件夹,它只包括更改文件或文件夹属性的权限。要允许(或者拒绝)创建或删除操作,请参阅“创建文件/写入数据”、“创建文件夹/追加数据”、“删除子文件夹和文件”以及“删除”。

写入扩展属性


允许或拒绝更改文件或文件夹的扩展属性。扩展属性由程序定义,可能因程序而变化。

“写入扩展属性”权限不表示可以创建或者删除文件或文件夹,它只包括更改文件或文件夹属性的权限。要允许(或者拒绝)创建或删除操作,请参阅“创建文件/写入数据”、“创建文件夹/追加数据”,“删除子文件夹和文件”以及“删除”。

删除子文件夹和文件


允许或拒绝删除子文件夹和文件,即使尚未授予对子文件夹或文件的“删除”权限。(适用于文件夹)



删除


允许或拒绝删除文件或文件夹。如果您没有对文件或文件夹的“删除”权限,但是在父文件夹中已被授予“删除子文件夹和文件”,那么您仍然可以删除它。



读取权限


允许或拒绝读取文件或文件夹的权限,例如完全控制、读取、写入。



更改权限


允许或拒绝更改文件或文件夹的权限,例如完全控制、读取、写入。



取得所有权


允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,无论存在任何保护该文件或文件夹的权限。



同步


允许或拒绝不同的线程在句柄上等待文件或文件夹,并与另一个可能向它发信号的线程同步。该权限只应用于多线程、多进程程序。

文件和文件夹权限

Windows2003的NTFS权限(2)
要点

无论有什么权限保护文件,被准许对文件夹进行“完全控制”的组或用户都可以删除该文件夹内的任何文件。
注意

尽管“列出文件夹内容”和“读取和执行”看起来有相同的特殊权限,但是这些权限在继承时有所不同。“列出文件夹内容”可以被文件夹继承而不能被文件继承,并且它只在查看文件夹权限时才会显示。“读取和执行”可以被文件和文件夹继承,并在查看文件和文件夹权限时都会出现。
有关设置权限的信息和每个特殊权限的说明,请参阅相关主题。
在 Windows XP Professional 中,EVERYONE 组不再包括 ANONYMOUS LOGON 组。