3. NTFS 权限设置规则 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
NTFS 权限除了控制通过网络访问共享文件夹,还控制本地用户访问这个文件夹的权限。 NTFS 的设置比较复杂,基本上按照微软的说法,细粒度的分子权限和更细粒度的原子权限,分别如下表 7-1
| 特殊权限 | 完全控制
| 修改
| 读取及执行
| 列出文件夹内容(仅文件夹)
| 读取
| 写入
|
| 遍历文件夹/执行文件
| x
| x
| x
| x
| ||
| 列出文件夹/读取数据
| x
| x
| x
| x
| x
| |
| 读取属性
| x
| x
| x
| x
| x
| |
| 读取扩展属性
| x
| x
| x
| x
| x
| |
| 创建文件/写入数据
| x
| x
| x
| |||
| 创建文件夹/附加数据
| x
| x
| x
| |||
| 写入属性
| x
| x
| x
| |||
| 写入扩展属性
| x
| x
| x
| |||
| 删除子文件夹及文件
| x
| |||||
| 删除
| x
| x
| ||||
| 读取权限
| x
| x
| x | x
| x
| x
|
| 更改权限
| x
| |||||
| 取得所有权
| x
| |||||
| 同步
| x
| x
| x
| x
| x
| x
|
(表 7-1 )
在表 7-1 中,绿色字就是原子权限,蓝色字就是分子权限, X 代表了分子权限包含的原子权限。这张表扎看点复杂,其实你要认真看并且领悟了,就可以很灵活的设置你需要的权限了。
4. 潜规则
以下几条我个人把它叫做潜规则,在设置用户权限的时候,必须要熟知它们,否则就会为带来困惑
A、 允许和拒绝权限,拒绝永远优先拒绝。
当给一个用户分配权限,如读权限分别被设置为读允许和读拒绝,那么这个用户最后的权限就是无法读取。所以拒绝权限一定要慎用。
B、 默认继承规则
子文件夹默认继承上级文件夹的权限,文件权限默认继承文件夹的权限。微软这样做的好处是免于重复的设置。但坏处是,如果子文件夹和上级文件夹的权限不同,那么就要删除这个继承规则
C、 不设置则隐式拒绝
如果对用户不设置某个权限(不勾选)那么这个用户就没有这个权限。
D、 多重权限的效果
比如一个用户分别属于两个组,现在对这两个组访问某文件夹有不同的权限。一个组可读,一个组可写。那么这个用户最后的权限是两个组的“逻辑或”关系,结果就是用户对这个文件夹即可读也可以写。还是画图直观一些,如下图 7.28
(图 7.28 )
如果一个用户的两个组有一个有拒绝权限,结果是“逻辑非或”关系比如一个组可读,一个组禁止写。那么这个用户最后的权限就是不可写,可读。如下图 7.29
(图 7.29 )
似乎看图是很容易理解的,但是我们有时候在实际工作中不知道用户到底有什么权限,能更直观的看出来吗?其实是可以的,方法如下图 7.30
(图 7.30 )
右键共享文件夹属性 -“ 安全 ” 选项卡 -“ 高级“按钮 -“ 有效权限 “ 选项卡,输入我们需要查询的用户名,就可以看到了。
注:这里看到的某用户累积后的 NFTS 有效权限,因为前文已说,通过网络访问共享文件夹还需要共享权限,由于共享权限设置比较简单,所以很容易看出。