NTFS权限

权限

权限定义了授予用户或组对某个对象或对象属性的访问类型。例如，财务组可以被授予对 payroll.dat 文件的读取和写入权限。

权限应用到任何受保护的对象，例如文件、Active Directory 对象或注册表对象。权限可以授予任何用户、组或计算机。好的做法是将权限指派到组。

可以将对象的权限指派到：

• 域中的组、用户和特殊身份（公认的安全标识符）。
• 该域或任何受信任域中的组和用户。
• 对象所在的计算机上的本地组和用户。

 

附加在对象上的权限取决于对象的类型。例如，附加给文件的权限与附加给注册表项的权限不同。但是，某些权限对于大多数类型的对象都是公用的。这些公用权限有：

• 读取权限
• 修改权限
• 更改所有者
• 删除

 

设置权限，就是为组和用户指定访问级别。例如，您可以允许一个用户读取文件的内容，允许另一个用户修改该文件，同时防止所有其他用户访问该文件。可以在打印机上设置类似的权限，使某些用户可以配置打印机，而其他用户只能用它打印。

如果您需要更改个别对象的权限，只要启动适当的工具和更改对象的属性即可。例如，要更改文件的权限，可以启动 Windows 资源管理器，用鼠标右键单击文件名，然后单击“属性”。在“安全”选项卡中，可以更改文件上的权限。

 

权限

每种类型的对象都由对象管理器控制。每种类型的对象都有不同的对象管理器。对象类型、其对象管理器以及用于管理这些对象的工具如下所示：

对象类型权限说明过程文件和文件夹文件和文件夹权限要设置、查看、更改或者删除文件和文件夹的权限
或者
要设置、查看、更改或者删除文件和文件夹的特殊权限共享共享文件夹权限将用户或组添加到共享资源注册表项维护注册表安全性向权限列表中添加用户或组服务服务权限本地计算机安全，针对文件系统、注册表和系统服务打印机打印机权限设置或删除打印机权限终端服务连接连接权限
或者
控制连接访问管理连接访问组策略对象按照安全组成员身份筛选组策略的范围
或者
默认权限设置管理组策略的权限WMI 对象授权 WMI 用户并设置权限授权 WMI 用户并设置权限

 

对象的所有权

对象在创建时，即有一个所有者指派给该对象。所有者被默认为对象的创建者。不管为对象设置什么权限，对象的所有者总是可以更改对象的权限。

 

所有权

每个对象都有所有者，无论是在 NTFS 卷中或者在 Active Directory 中。所有者控制如何设置对象的权限以及将权限授予谁。

如下人员可以取得所有权：

• 管理员。默认情况下，Administrators 组拥有“取得文件或其他对象的所有权”的用户权利。
• 对正在考虑的对象，具有“取得所有权”权限的任何人或者任何组。

对象一经创建，创建对象的人将自动成为其所有者。管理员在服务器上安装程序时，创建并拥有 Active Directory 中和网络服务器上的大多数对象。用户创建和拥有在其主目录中的数据文件，以及在网络服务器上的某些数据文件。

所有权可以用以下方式转换：

• 当前所有者可以将“取得所有权”权限授予另一用户，这将允许该用户在任何时候取得所有权。该用户必须实际取得所有权才能完成所有权的转移。
• 管理员可以取得所有权。

尽管管理员可以取得所有权，但是管理员不能将所有权转让给其他人。此限制可以让管理员对其操作负责任。

 

权限的继承

继承允许管理员容易地指派和管理权限。该功能自动使容器中的对象继承该容器的所有可继承权限。例如，文件夹中的文件，一经创建就继承了文件夹的权限。

对象审核

可以审核用户对对象的访问情况。可以使用事件查看器在安全日志中查看这些与安全相关的事件。 

 

审核

安全审核可以监视各种与安全相关的事件。监视系统事件对于检测入侵者以及危及系统数据安全性的尝试是非常必要的。失败的登录尝试就是一个应该被审核的事件的范例。

应该被审核的最普通的事件类型包括：

• 访问对象，例如文件和文件夹
• 用户和组帐户的管理
• 用户登录以及从系统注销时

 

除了审核与安全有关的事件，还将生成安全日志，该日志提供了查看日志中所报告的安全事件的方法。使用“事件查看器”可以查看安全日志。

 

文件和文件夹的权限

 

文件和文件夹权限

特殊权限完全控制修改读取和执行列出文件夹目录（仅文件夹）阅读顺序写入通过文件夹/执行文件xxxx  列出文件夹/读取数据xxxxx 读取属性xxxxx 读取扩展属性xxxxx 创建文件/写入数据xx   x创建文件夹/添加数据xx   x写入属性xx   x写入扩展属性xx   x删除子文件夹和文件x     删除xx    读取权限xxxxxx更改权限x     取得所有权x     同步xxxxxx

要点：

• 无论有什么权限保护文件，被准许对文件夹进行“完全控制”的组或用户都可以删除该文件夹内的任何文件。

注意：

• 尽管“列出文件夹内容”和“读取和执行”看起来有相同的特殊权限，但是这些权限在继承时有所不同。“列出文件夹内容”可以被文件夹继承而不能被文件继承，并且它只在查看文件夹权限时才会显示。“读取和执行”可以被文件和文件夹继承，并在查看文件和文件夹权限时都会出现。
• 有关设置权限的信息和每个特殊权限的说明，请参阅相关主题。
• 在 Windows XP Professional 中，EVERYONE 组不再包括 ANONYMOUS LOGON 组。

 

 

　　文件夹权限包括完全控制，修改，读取和执行，列出文件夹目录，读取，和写入。这些权限中的每一个都是由下面列出和定义的特殊权限所构成的逻辑组组成。

 

访问权限说明通过文件夹/执行文件对于文件夹：“通过文件夹”允许或拒绝通过文件夹来访问其他文件或文件夹，即使用户没有所通过的文件夹（只适用于文件夹）的访问权限。只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权限时，“通过文件夹”才起作用。（默认情况下，授予 Everyone 组“忽略通过检查”用户权限。

对于文件：“执行文件”允许或拒绝运行程序文件（仅适用于文件）。

设置文件夹的“通过文件夹”权限不会自动设置该文件夹中所有文件的“执行文件”权限。

列出文件夹/读取数据“列出文件夹”允许或者拒绝查看文件夹内的文件名和子文件夹名。“列出文件夹”只影响该文件夹的内容，不影响是否列出正在设置其权限的文件夹。它只适用于文件夹。

“读取数据”允许或拒绝查看文件（只适用于文件）中的数据。

读取属性允许或拒绝查看文件或文件夹的属性，例如只读和隐藏。属性由 NTFS 定义。读取扩展属性允许或拒绝查看文件或文件夹的扩展属性。扩展属性由程序定义，可能因程序而变化。创建文件/写入数据“创建文件”允许或拒绝在文件夹（仅适用于文件夹）内创建文件。

“写入数据”允许或拒绝更改文件和覆盖已有的内容（只适用于文件）。

创建文件夹/添加数据“创建文件夹”允许或拒绝在文件夹内创建文件夹（仅适用于文件夹）。

“添加数据”允许或拒绝更改文件的末尾，但不限制更改、删除或覆盖已有的数据（仅适用于文件）。

写入属性允许或拒绝更改文件或文件夹的属性，例如只读或隐藏。属性由 NTFS 定义。

“写入属性”权限没有表示可以创建或者删除文件或文件夹，它只包括更改文件或文件夹属性的权限。要允许（或者拒绝）创建或删除操作，请参阅“创建文件/写入数据”、“创建文件夹/追加数据”、“删除子文件夹和文件”以及“删除”。

写入扩展属性允许或拒绝更改文件或文件夹的扩展属性。扩展属性由程序定义，可能因程序而变化。

“写入扩展属性”权限不表示可以创建或者删除文件或文件夹，它只包括更改文件或文件夹属性的权限。要允许（或者拒绝）创建或删除操作，请参阅“创建文件/写入数据”、“创建文件夹/追加数据”，“删除子文件夹和文件”以及“删除”。

删除子文件夹和文件允许或拒绝删除子文件夹和文件，即使尚未授予对子文件夹或文件的“删除”权限。（适用于文件夹）删除允许或拒绝删除文件或文件夹。如果您没有对文件或文件夹的“删除”权限，但是在父文件夹中已被授予“删除子文件夹和文件”，那么您仍然可以删除它。读取权限允许或拒绝读取文件或文件夹的权限，例如完全控制、读取、写入。更改权限允许或拒绝更改文件或文件夹的权限，例如完全控制、读取、写入。取得所有权允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，无论存在任何保护该文件或文件夹的权限。同步允许或拒绝不同的线程在句柄上等待文件或文件夹，并与另一个可能向它发信号的线程同步。该权限只应用于多线程、多进程程序。