文件权限

局域网

电脑 IBM 共享一个文件夹. 域管理员能 直接看!!!

域成员肯定没权限看.

2,

访问控制器: Windows 操作系统通过将用户帐户和组成员身份匹配与其关联的权利、特权和权限,帮助防止在未经授权的情况下使用文件、应用程序和其他资源。

访问控制 授权用户、组 访问网络或者本地电脑 对象的过程.

对象: 文件 打印机 其他资源.

访问令牌

访问控制表 ACL

访问控制项 ACE

使用者 (用户 或 程序)

操作系统

权限

用户权限 特权.

使用访问控制用户界面,可以设置文件、Active Directory 对象、注册表对象或诸如进程之类的系统对象等的 NTFS 权限。权限可以授予任何用户、组或计算机。将权限分配给组非常有用,因为它可以在验证对象访问时改进系统性能

对于任何对象,都可以向下列内容授予权限: · 组、用户以及域中包含安全标识符的其他对象。

· 该域或任何受信任域中的组和用户。

· 对象所在的计算机上的本地组和用户。

这些公用权限有: · 读取

· 修改

· 更改所有者

· 删除

设置权限时,可以指定组和用户的访问级别。

例如,您可以允许一个用户读取文件的内容,允许另一个用户修改该文件,同时防止所有其他用户访问该文件。

可以在打印机上设置相似的权限,这样某些用户便可以配置打印机而其他用户仅能使用打印机进行打印。

当您需要更改文件的权限时,可以运行“Windows 资源管理器”,右键单击文件名,单击“属性”。在“安全”选项卡上,可以更改文件的权限。有关详细信息,请

另一种权限称为共享权限,可通过文件夹的“属性”页的“共享”选项卡或使用共享文件夹向导进行设置。有关详细信息,请参阅文件服务器上的共享权限和 NTFS 权限。

对象的所有权 所有者被默认为对象的创建者。 不管为对象设置什么权限,对象的所有者总是可以更改对象的权限。有关详细信息,请参阅管理对象所有权。

权限的继承 继承使得管理员易于指派和管理权限。该功能自动使容器中的对象继承该容器的所有可继承权限。例如,文件夹中的文件,一经创建就继承了文件夹的权限。只继承标记为要继承的权限。

用户权限和特权 用户权限授予计算环境中的用户和组特定的特权和登录权限。管理员可以向组帐户或单个用户帐户分配特定权限。这些权限授权用户执行特定操作,如交互登录到系统或备份文件和目录。 用户权利与权限不同,因为用户权利应用于用户帐户,而权限附加到对象。虽然用户权利可以应用于单个用户帐户,但用户权利最好在组帐户基础上进行管理。访问控制用户界面中不支持授予用户权利;但可以通过“本地策略\用户权限分配”下的“本地安全策略”管理单元来管理用户权利分配。有关详细信息,请参阅用户权限和特权。

对象审核 拥有管理员权限后,可以审核用户对对象的访问是成功还是失败。您可以使用访问控制用户界面来选择要审核的对象访问,但必须先通过选择“本地安全策略”管理单元中“本地策略\审核策略\本地策略”下的“审核对象访问”来启用审核策略。然后可以在事件查看器的安全日志中查看这些与安全相关的事件。

访问文件夹 通过两组权限来确定:

共享文件 通常用于管理 不是 NTFS 文件系统的计算机

共享权限 和 NTFS 权限是独立的!! 不能彼此更改.

文件夹的最终访问权 是 考虑共享权限和 NTFS 权限后 才确定的.最后才应用更严格的权限.

共享权限

NTFS 权限

文件夹类型

公共文件夹 每个人都能访问.

放置文件夹 只有 管理员 或者老师 可读的 机密报告 或者 家庭作业. User 组 更改. 组管理员 完全控制.

应用程序文件夹.

可读取+ 执行.

列出文件夹内容.

主文件夹: 每个用户的个人文件夹. 只有用户 拥有该文件夹的访问权

完全控制: 使用要小心.

如果希望只使用 NTFS 权限管理文件夹访问权限,应将 Everyone 组的共享权限设置为“完全控制”。

• NTFS 权限影响本地和远程访问。NTFS 权限的应用与协议无关。相反,“共享”权限只适用于网络共享。共享权限不限制已设置了共享权限的计算机上的任何本地用户或任何终端服务器用户访问。因此,对于由多个用户使用的计算机上的用户,以及由多个用户访问的终端服务器上的用户,共享权限不确保他们之间的信息保密。

• 默认情况下,Everyone 组不包括“匿名”组,因此应用于 Everyone 组的权限在“匿名”组中不起作用。

查看文件 / 文件夹权限.

创建一个文件夹后 win 会自动分配默认权限.

读取 是 最小的权限.

查看文件有效权限: → 属性 →安全→ 高级→有效权限→选择 → 用户/ 用户组名字 →

管理对象 所有权. 每个对象 都有 一个 所有者.

修改文件夹权限 必须先取得 文件所有权

需要修改或更改文件权限的管理员必须首先取得文件所有权。

默认情况下,所有者是创建对象的实体。所有者始终可以更改对象的权限,即使已拒绝所有者到对象的所有访问。 如下人员可以取得所有权: · 管理员。默认情况下,管理员组拥有“取得文件或其他对象的所有权”用户权利。

· 具有对象的“取得所有权”权限的任何用户或组。

· 具有“存储文件和目录”用户权利的用户。

所有权可以用以下方式转换: · 当前所有者可向其他用户授予“取得所有权”权限,前提是该用户是当前所有者的访问令牌中定义的组成员。该用户必须实际取得所有权才能完成所有权的转移。

· 管理员可以取得所有权。

· 拥有“存储文件和目录”用户权利的用户可以双击“其他用户和组”并选择任意用户或组来向其分配所有权。

· 管理员可以获得计算机中任何文件的所有权。

· 分配文件或文件夹的所有权可能要求您使用“用户访问控制”提升您的权限。

· 若要打开 Windows 资源管理器,请单击“开始”,指向“所有程序”,单击“附件”,然后单击“Windows 资源管理器”。

· 可以用两种方式转移所有权:

· 当前的所有者可以向其他用户授予“取得所有权”权限,允许这些用户随时取得所有权。被授予“取得所有权”权限的用户可以取得对象的所有权,或向其所在的任何组分配所有权。

· 拥有“存储文件和目录”权限的用户可以双击“其他用户和组”并选择任意用户和组来向其分配所有权。

• Everyone 组不再包括 Anonymous Logon 组。

其他参考

网络的每个容器和对象都有一组附加的访问控制信息。该信息称为安全描述符,它控制用户和组允许使用的访问类型。权限是在对象的安全描述符中定义的。权限与特定的用户和组相关联,或者是指派到特定的用户和组。

显式权限和继承权限 有两种权限类型:显式权限和继承权限。 · 显式权限是那些在创建非子对象时在这些对象上默认设置的权限,或在非子对象、父对象或子对象上由用户操作设置的权限。

· 继承权限是从父对象传播到对象的权限。继承权限可以减轻管理权限的任务,并且确保给定容器内所有对象之间的权限一致性。

默认情况下,容器中的对象在创建对象时从该容器中继承权限。例如,当您创建名为 MyFolder 的文件夹时,MyFolder 中创建的所有子文件夹和文件会自动继承该文件夹的权限。因此,MyFolder 具有显式权限,而其中的所有子文件夹和文件都具有继承权限。

如果对象具有显式“允许”权限条目,则继承的“拒绝”权限不阻止对该对象的访问。显式权限比继承权限(包括继承的“拒绝”权限)的优先级高。

文件 文件夹 权限

无论使用什么权限保 护文件,被授予对文件夹的“完全控制”权限的组或用户都可删除该文件夹中的任何文件。

遍历文件夹 执行文件 列出文件夹 读取数据 读取属性 读取扩展属性 创建文件 / 写入数据 创建文件夹 附加数据 写入 写入扩展 删除子文件夹 及 文件 删除 读取权限 更改 取得所有权 同步

https://technet.microsoft.com/zh-cn/library/cc732880.aspx

完全控制 拥有全部权限 修改: 不能删除文件 及 文件夹. 不能更改权限. 不能取得所有权.

读取&执行: 文件列表 文件属性 读取文件 运行程序

读取: 文件夹列表 文件属性. 读取权限

写入: 创建文件 文件夹 写入属性? 读取

继承权限是从父对象传播到对象的权限。继承权限可以减轻管理权限的任务,并且确保给定容器内所有对象之间的权限一致性。

如果访问控制用户界面各个部分中的“允许”和“拒绝”权限复选框在您查看对象的权限时显示为灰色,

有以下三种推荐方式可对继承权限进行更改: · 对明确定义权限的父对象进行更改,然后子对象将继承这些权限。有关详细信息,请参阅设置、查看、更改或删除对象上的权限。

· 选择“允许”权限替代继承的“拒绝”权限。

· 清除“包括可从该对象的父项继承的权限”复选框。然后便可对权限进行更改或删除“权限”列表中的用户或组。但是,该对象将不再从其父对象继承权限。

https://technet.microsoft.com/zh-cn/library/cc753659.aspx

如果对象具有显式“允许”权限条目,则继承的“拒绝”权限不阻止对该对象的访问。显式权限比继承权限(包括继承的“拒绝”权限)的优先级高。