NTFS 权限整合应用全解.docx

1、NTFS 权限整合应用全解Windows XP权限整合应用全解作为微软第一个稳定且安全的操作系统，Windows XP经过几年的磨合过渡期，终于以超过Windows系列操作系统50%的用户占有量成为目前用户使用最多的操作系统。在慢慢熟悉了Windows XP后，人们逐渐开始不满足基本的系统应用了，他们更加渴望学习一些较深入且实用的知识，以便能让系统充分发挥出Windows XP的高级性能。 因此本文以Windows XP Professional版本为平台，引领大家感受一下Windows XP在“权限”方面的设计魅力！ 一、什么是权限Windows XP提供了非常细致的权限控制项，能够精确定制

2、用户对资源的访问控制能力，大多数的权限从其名称上就可以基本了解其所能实现的内容。“权限”(Permission)是针对资源而言的。也就是说，设置权限只能是以资源为对象，即“设置某个文件夹有哪些用户可以拥有相应的权限”，而不能是以用户为主，即“设置某个用户可以对哪些资源拥有权限”。这就意味着“权限”必须针对“资源”而言，脱离了资源去谈权限毫无意义在提到权限的具体实施时，“某个资源”是必须存在的。利用权限可以控制资源被访问的方式，如User组的成员对某个资源拥有“读取”操作权限、Administrators组成员拥有“读取+写入+删除”操作权限等。值得一提的是，有一些Windows用户往往会将“权

3、力”与“权限”两个非常相似的概念搞混淆，这里做一下简单解释：“权力”(Right)主要是针对用户而言的。“权力”通常包含“登录权力”(Logon Right)和“特权”(Privilege)两种。登录权力决定了用户如何登录到计算机，如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称，这些权力主要用于帮助用户对系统进行管理，如是否允许用户安装或加载驱动程序等。显然，权力与权限有本质上的区别。二、安全标识符、访问控制列表、安全主体说到Windows XP的权限，就不能不说说“安全标识符”(Security Identifier, SID)、“访问控制列表”(Access Cont

4、rol List，ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。1.安全标识符在Windows XP中，系统是通过SID对用户进行识别的，而不是很多用户认为的“用户名称”。SID可以应用于系统内的所有用户、组、服务或计算机，因为SID是一个具有惟一性、绝对不会重复产生的数值，所以，在删除了一个账户(如名为“A”的账户)后，再次创建这个“A”账户时，前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护，盗用权限的情况也就彻底杜绝了。查看用户、组、服务或计算机的SID值，可以使用“Whoami”工具来执行，该工具包含在Windo

5、ws XP安装光盘的“SupportTools”目录中，双击执行该目录下的“Setup”文件后，将会有包括Whoami工具在内的一系列命令行工具拷贝到“X:Program FilesSupport Tools”目录中。此后在任意一个命令提示符窗口中都可以执行“Whoami /all”命令来查看当前用户的全部信息。2.访问控制列表(ACL)访问控制列表是权限的核心技术。顾名思义，这是一个权限列表，用于定义特定用户对某个资源的访问权限，实际上这就是Windows XP对资源进行保护时所使用的一个标准。 在访问控制列表中，每一个用户或用户组都对应一组访问控制项(Access Control Entr

6、y, ACE)，这一点只需在“组或用户名称”列表中选择不同的用户或组时，通过下方的权限列表设置项是不同的这一点就可以看出来。显然，所有用户或用户组的权限访问设置都将会在这里被存储下来，并允许随时被有权限进行修改的用户进行调整，如取消某个用户对某个资源的“写入”权限。3.安全主体(Security Principal)在Windows XP中，可以将用户、用户组、计算机或服务都看成是一个安全主体，每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同，账户的管理方式也有所不同本地账户被本地的SAM管理；域的账户则会被活动目录进行管理一般来说，权限的指派过程实际上就是为某个资源指定安全主体

7、(即用户、用户组等)可以拥有怎样的操作过程。因为用户组包括多个用户，所以大多数情况下，为资源指派权限时建议使用用户组来完成，这样可以非常方便地完成统一管理。三、权限的四项基本原则在Windows XP中，针对权限的管理有四项基本原则，即：拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说，将会起到非常重要的作用，下面就来了解一下：1.拒绝优于允许原则“拒绝优于允许”原则是一条非常重要且基础性的原则，它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”，例如，“shyzhong”这个用户既属于“shyzhongs”用户组，也属于“xhxs”用

8、户组，当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时，这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。但令人奇怪的是，“shyzhong”账户明明拥有对这个资源的“写入”权限，为什么实际操作中却无法执行呢？原来，在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置，但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则，“shyzhong”在“shyzhongs”组中被 “拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此，在实际操作中，“shyzhong”用户无法对这个资源进行“

9、写入”操作。2.权限最小化原则Windows XP将“保持用户最小的权限”作为一个基本原则进行执行，这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。基于这条原则，在实际的权限赋予操作中，我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的，现在需要为这个用户赋予对“DOC”目录有“读取”的权限，那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加“读取”权限。3.权限继承性原则权限继承性原则可以让资源的权限设置变

10、得更加简单。假设现在有个“DOC”目录，在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录，现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继承性原则，所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限，其下的所有子目录将自动继承这个权限的设置。4.累加原则这个原则比较好理解，假设现在“zhong”用户既属于“A”用户组，也属于“B”用户组，它在A用户组的权限是“读取”，在“B”用户组中的权限是“写入”，那么根据累加原则，“zhong”用户的实际权限将会是“读取+写入”两种。显然，“拒绝优于允许”原则是用于解决权限设置上的

11、冲突问题的；“权限最小化”原则是用于保障资源安全的；“权限继承性”原则是用于“自动化”执行权限设置的；而“累加原则”则是让权限的设置更加灵活多变。几个原则各有所用，缺少哪一项都会给权限的设置带来很多麻烦！注意：在Windows XP中，“Administrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)的权力，也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力，例如受限用户“shyzhong”建立了一个DOC目录，并只赋予自己拥有读取权力，这看似周到的权限设置，实际上，“Administrators”组的全部成员将可以通过“夺取所有权”等方法获得这个权限

12、。四、资源权限高级应用以文件与文件夹的权限为例，依据是否被共享到网络上，其权限可以分为NTFS权限与共享权限两种，这两种权限既可以单独使用，也可以相辅使用。两者之间既能够相互制约，也可以相互补充。下面来看看如何进行设置：1.NTFS权限首先我们要知道：只要是存在NTFS磁盘分区上的文件夹或文件，无论是否被共享，都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效！ NTFS权限有两大要素：一是标准访问权限；二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种“套餐型”的权限，即：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。如图1所示。图1在大多数

13、的情况下，“标准权限”是可以满足管理需要的，但对于权限管理要求严格的环境，它往往就不能令管理员们满意了，如只想赋予某用户有建立文件夹的权限，却没有建立文件的权限；如只能删除当前目录中的文件，却不能删除当前目录中的子目录的权限等这个时候，就可以让拥有所有权限选项的“特别权限”来大显身手了。也就是说，特别权限不再使用“套餐型”，而是使用可以允许用户进行“菜单型”的细节化权限管理选择了。那么如何设置标准访问权限呢？以对一个在NTFS分区中的名为“zhiguo”的文件夹进行设置标准访问权限为例，可以按照如下方法进行操作：因为NTFS权限需要在资源属性页面的“安全”选项卡设置界面中进行，而Windows

14、 XP在安装后默认状态下是没有激活“安全”选项卡设置功能的，所以需要首先启用系统中的“安全”选项卡。方法是：依次点击“开始”“设置”“控制面板”，双击“文件夹选项”，在“查看”标签页设置界面上的“高级设置”选项列表中清除“使用简单文件共享(推荐)”选项前的复选框后点击“应用”按钮即可。设置完毕后就可以右键点击“zhiguo”文件夹，在弹出的快捷菜单中选择“共享与安全”，在“zhiguo属性”窗口中就可以看见“安全”选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的，此时应首先在“组或用户名称”列表中选择需要赋予权限的用户名组(这里选择“zhong”用户)，接着在下方的“zh

15、ong 的权限”列表中设置该用户可以拥有的权限即可。下面简单解释一下六个权限选项的含义：完全控制(Full Control)：该权限允许用户对文件夹、子文件夹、文件进行全权控制，如修改资源的权限、获取资源的所有者、删除资源的权限等，拥有完全控制权限就等于拥有了其他所有的权限；修改(Modify)：该权限允许用户修改或删除资源，同时让用户拥有写入及读取和运行权限；读取和运行(Read & Execute)：该权限允许用户拥有读取和列出资源目录的权限，另外也允许用户在资源中进行移动和遍历，这使得用户能够直接访问子文件夹与文件，即使用户没有权限访问这个路径；列出文件夹目录(List Folder Contents)：该权限允许用户查看资源中的子文件夹与文件名称；读取(Read)：该权限允许用户查看该文件夹中的文件以及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等；写入(Write)：该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。如果在“组或用户名称”列表中没有所需的用户或组，那么就需要进行相应的添加操作了