NTFS & File Permission

文件共享:

共享权限: 可以加组 也可以加 用户. . 比如 有用户 a b c v 共享设置 a 可读. b 可修改 c 完全控制. 则 实际 就是 权限.

如果设置 a 可读. b 可修改 c 完全控制 + everyone 可读写. → 任何人都可读写!! 这个是根据 权限宽的来的.

根文件夹 ( 必须开启共享)

根文件夹 权限. 必须 everyone 可读写 下面才能写. 这个是总开关 这个不给写权限 . 其他怎么设置 都是不能写的!!

很多子文件夹的权限共享:

想要有子文件夹下的某个文件夹的读写权限:

  1. 共享必须 有读写权限.
    1. 根共享目录 必须有个 列出文件夹的权限. 不然门都进不去.一切免谈.
      1. 然后 一级一级的 给权限.

**特殊权限: 个别人 对权限要求高. 需要高级权限设置的, 就会到这里来.

还有就是: 某些 文件夹是某人创建的 那个人也会有特殊权限.

NTFS 能设置权限 FAT/FAT32 无法设置.

文件权限有两种 : 共享权限 & NTFS 权限 (文件夹属性里面的安全)

共享权限决定了 所能取得的最大权限!!!

实际上是取两者权限的交集.取最小的那个权限 如果 NTFS 权限比共享小 那就取 NTFS 权限 如果 NTFS 权限比共享大 那就去共享权限

Windows 2003 特征: 默认共享权限的 everyone 不包括 Anonymous 匿名用户.

文件权限 优先于文件夹权限

  • 拒绝权限 超越其他任何权限.
  • 显式的允许 优于继承的拒绝权限. 同时又 灰色和黑的的勾的时候. 黑色的权限为准.

权限管理经验 :

  • 对文件夹进行权限设置, 避免对文件进行权限设置

  • 对用户组进行权限设置, 避免对单个用户 进行权限设置.

  • 必要时删除继承权限. 手动设置权限.

权限管理原则:

  • 拒绝优于允许. 可以完美处理用户组的归属引起的权限冲突.
  • 权限最小化  尽可能让用户不能访问不必要的资源. 就算访问也要控制权限
  • 权限继承性  子文件夹尽量开启继承权限!! 方便权限管理. 根目录进入手动设置.
  • 累加原则

如果一个资源 同时拥有 NTFS 权限 和 共享权限 : 真实权限   → 以两种权限中较严格的权限为准. 这也是拒绝由于允许这个原则的一种体现. *如: 一个人进院子 要开两道门都能开才能进去.门就是权限

*修改 和 写入的区别: 都能新建&修改 但是写入权限不能删除. 修改权限能删除

*共享权限 & NTFS 权限 两者区别 : *共享权限: 只能在文件夹上设置共享. 不能再文件上设置共享 NTFS 权限: 文件夹&文件 都能设置共享.

** 共享权限 & NTFS 权限 共同特点:

  • 权限累加性: 一个用户多个组. 实际权限是累加后的.
    • 比如: xu.jian 本来是 User 组. 后来又加入到 Administrator 组. → 结果就是 同时拥有 管理员+ User 权限. 而不是用管理员权限去覆盖 User 权限.

    • 共享下 (安全也要给相应的权限.两边取最严格的 交集吧.) 用户A → 读写权限; A 所在组 → 完全控制权限 → 实际有完全控制权限.

    *共享权限 : *读取: 看&运行 文件/文件夹名 更改: 读&增&删&改 文件和子文件夹 完全控制 : 读&改 & 更改权限的权限

     共享权限特点 :  

    • 网络访问用户有效. 对本机登录用户无效
      • FAT、FAT32、NTFS 都行.
        • 权限只有三种: 读取、更改、完全控制
        • 系统默认共享权限是 Everyone 只读.

    *NTFS权限 : *列出文件夹目录 : 只能看文件夹&文件名称. 读 :  读 & 文件属性、所有者、权限 读&执行: 读&运行( 如 .exe ) 包括子文件夹. 写入 :  改&新增文件&文件夹、查看文件属性、所有者… 修改 :  读&运行&写&改&增删 完全控制 : 文件夹、子文件夹、文件 全权控制: 修改权限 、获取资源的所有者. 等等

     NTFS权限特点 : 

    • 网络&本地用户都有效. 只适用 NTFS 文件格式. 简单点说同一台电脑, 用不同的用户登录. 文件夹可以有不同的访问权限.

      • 当用户通过网络访问: 会和共享权限 联合作用,规则取最严格的权限设置

        • 权限很多种,能进行非常细致的设置!

NTFS Permission 分类 :

  • Standard Permission 标准权限
  • Special Permission 特殊权限

特殊权限 :

下面这些人 不属于任何组. 完全独立出来的账户.

  • SYSTEM (系统) 真正的完全访问, 比管理员权限还大.
  • Everyone (所有人) 权限和普通用户差不多. 它的存在 就是为了让用户访问 “公有” 文件.

  • Create Owner (创建者) 只有建立文件的那个用户才能访问! 能保护隐私.

     高级权限:  安全 → 高级 → 选用户 → 编辑 → 勾选权限

    • 完全控制 Full Control
    • 遍历文件夹/运行文件 Traverse Folder / Ececute File 允许用户在文件夹及子文件夹之间移动,即便这些文件夹本身没有访问权限

    • 列出文件 / 读取数据 List Folder / Read Data 查看文件&子文件的名字和数据

    • 读取属性 Read Attributes 文件&文件夹属性 如: 系统、只读、隐藏等属性
    • 读取扩展属性 Read Extended Attributes 软件程序的扩展属性.

    • 创建文件/写入数据 Create Files / Write Data 新建文件 & 修改文件
    • 创建文件夹/附加数据 Create Folders / Append Data *可新建文件夹 或 在现有的文件末尾添加数据! 但是不能对现有的数据进行覆盖.修改.也不能删除

    • 写入属性 Write Attributes 改变文件/文件夹的属性
    • 写入扩展属性 Write Extended Attributes 对文件/文件夹 的扩展属性进行修改

    • 删除子文件夹及文件 Delete Subfolders and Files 允许删除文件或者子文件夹.即使在这些文件上没有删除权限,
    • 删除 Delete 删除文件&文件夹.

    • 读取权限 Read Permissions 读取文件&文件夹的 权限列表.
    • 更改权限 Change Permissions 改变文件&文件夹上的现有权限

    • *取得所有权 Take Ownership
      • 允许用户或者文件夹&文件的所有权
      • 一旦获取了所有权,用户可以对文件夹进行全权控制.

        资源所有权的高级管理: 不小心把 NTFS 权限 所有人都删除了怎么办:

        • 首先 检查资源所有者是谁.
        • 安全 → 高级→ 所有者 → 修改拥有者! 就能重新获得权限了 **管理员组 有夺取别人身份的权利.

移动和复制 对权限的影响

复制: 源资源权限不变 新生成的资源 继承目标位置的父级权限

移动: 到同一分区内 才保留原来的权限设置!!! 否则 继承目的地文件夹 的 NTFS 权限. 也就是说 一旦移动了 原来的权限就没有了. 实际上 移动操作 就是 先对资源进行复制. 然后从原有位置删除资源.

*两种权限既能单独使用, 也能相辅使用. 两者之间 既能相互制约 也能相互补充.

例:

  1. 共享: 读取 & 安全 :完全控制 →→→ 真实权限 : 读取

  2. 共享: xu.jian 读写 & 安全 : 没权限 → → → 没权限 只能看到共享的文件夹名字. 进不去 进去也是空白.

  3. 共享: everyone 只读 & 安全 : xu.jian 只读 → xu.jian 只读. & v 没权限访问.

  4. 共享: everyone 只读 & 安全 : xu.jian 读 + 写 → → xu.jian 只读 & v 没权限访问.

  5. 有个用户希望能完全控制共享文件夹
    • 首先 共享权限中 添加此用户 设置完全控制.
    • 然后 NTFS 权限中 添加此用户 设置完全控制.
    • 只有两个地方都设置了完全控制. 才能有最终的完全控制权限
  6. 当用户属于多个组的时候,这个用户会得带各个组的累加权限, 但是 一旦有一个组的相应权限被拒绝, 那个这个用户的权限也会被拒绝.

  7. 如: 用户QW 同时属于 A、B两组. A 组 有读取权限 B 组 拒绝读取权限 QW 本身: 写入权限 → QW 最终权限 : 拒绝读取 但有写入权限 → 实际就是没有写入权限. 因为读取不了,相当于家门都进不去,谈不上写入了 .

NTFS权限 : 标准权限 (Standard Permission) 和 特殊权限 (Special Permission) 一般标准权限能满足管理要求, 但是对于管理严格的环境,就要特殊权限了.

  • 标准权限就像套餐.经常用的 把你组合好.

    • 特殊权限 可以完全自定义权限. 比如:

      只想给某人建立文件夹权限 但是却不给建立文件的权限 只能删除当前目录中的文件,不能删除子目录的权限

管理员组 和 SYSTEM 都能访问所有文件. 除非用户使用 NTFS 加密.

NTFS 权限机制 :  用户试图访问一个文件夹时 NTFS 文件系统 检查 用户 或者用户所在的组 是否在文件夹的 访问控制列表(ACL)中 如果存在 那么进一步检查访问控制项( ACE ) 如果不存在 就拒绝用户访问

**SID 安全标识符: Security Identifier *系统通过 SID 对用户进行识别.而不是用户名. SID 是一个具有唯一性, 绝对不会重复产生的数值!
比如 : 删除一个名为 xujian 的账户.然后再次创建 xujian 账户. 两次产生的 SID 是不一样的.这样就拒绝了盗用权限的可能.

*ACL 访问控制列表: Access Control List *权限核心技术. 这是一个权限列表. 定义特定用户对某个资源的访问权限. 每个用户 或者 用户组 都有一组 ACE 访问控制项: Access Control Entry 

*安全主体: Security Principal 用户、用户组、计算机、服务 都被看成一个安全主体. 每个安全主体都有相应的账户名和 SID 系统架构不同.账户的管理方式也不同. *本地账户: 本地的 SAM 管理. 域账户: 活动目录管理

权限组 :

  1. 管理员组 Administrator 有绝大部分权限.,但不是所有.
  2. 普通用户 Users 只能管理自己账户文件, 不能处理其他用户的文件.
  3. 来宾用户组 Guests 和普通用户差不多, 但是很多程序 不能执行.
  4. 高权限用户组 Power User 有大部分权限,但不能 修改系统设置.
  5. 备份操作组 Backup Operators (系统维护 不常用)
  6. 文件复制组 Replicator (系统维护 不常用)

权限的继承 :

默认文件夹会自动继承上一级目录的权限. 从上级继承下来的文件夹是不能修改的!!! 只能在此基础上 添加其他权限! 要改的话 要么修改上级文件夹的权限. 要么取消上级文件夹的继承.再回来修改

权限的拒绝

记住 拒绝权限最大就好了!!! 无论给账户或者组 设置了什么权限, 只要在拒绝这一栏有勾.那么权限就是被拒绝.

windows 访问控制 帮助说明:

权限 可以给 本笃或者域 中的用户和组.

用户/组的每个权限的分配 都在系统中作为 访问控制项 ACE 显示 所有的 ACE 组成的表 就是 ACL

显式权限:

继承权限: 减轻权限管理任务. 保证所有的文件 权限一致.

比如有个 a 共享文件夹 这是开启继承的 在 a 里面新建 b 文件夹. b 文件夹的权限和 a 是一样的.

显示的 允许权限 大于 继承的拒绝权限 → 两种同时用的话结果是允许的

权限顺序:

完全控制: 修改权限 & 取得所有权

修改: 不能删文件&文件夹、 能读但不能改权限、不能取得所有权.

读取执行: 不能 修改&新建&删除

文件夹类型: 公共文件夹 每个人都能访问的文件夹.

特殊权限 灰色 不是说明被继承 而是已经选了一项特殊权限.

有效权限: 如何确定

应用于:

分是否勾选 仅将这些权限用用到此容器中的对象和/或容器

所有权限 :

  1. 当前文件夹
  2. 子文件夹
  3. 当前文件夹中的文件
  4. 所有后续子文件夹
  5. 所有后续

勾选时

不勾选时候

  • 仅此文件夹 当前文件夹能进去, 进去什么都看不到.

  • 此文件夹、子文件夹、文件

  • 此文件夹、子文件夹
  • 此文件夹、文件
  • 仅子文件夹、文件
  • 仅子文件夹
  • 仅文件

共享属性 有共享路径 就说明上级有文件夹共享出去了.