NTFS權限和共享權限的區別

共享權限

共享權限有三種：完全控制、更改、讀取

共持本地安全性。換句話說，他在同一台計算機上以不同用戶名登錄，對硬盤上同一文件夾可以有不同的訪問權限。

注意：NTFS權限對從網絡訪問和本機登錄的用戶都起作用。

 

3.共享權限和NTFS權限的聯系和區別

(1)共享權限是基於文件夾的,也就是說你只能夠在文件夾上設置共享權限,不可能在文件上設置共享權限;NTFS權限是基於文件的,你既可以在文件夾上設置也可以在文件上設置.

(2)共享權限只有當用戶通過網絡訪問共享文件夾時才起作用,如果用戶是本地登錄計算機則共享權限不起作用;NTFS權限無論用戶是通過網絡還是本地登錄使用文件都會起作用,只不過當用戶通過網絡訪問文件時它會與共享權限聯合起作用,規則是取最嚴格的權限設置.

(3)共享權限與文件操作系統無關,只要設置共享就能夠應用共享權限;NTFS權限必須是NTFS文件系統,否則不起作用.

共享權限只有幾種:讀取,更改和完全控制;NTFS權限有許多種,如讀,寫,執行,改變,完全控制等....我們可以進行非常細致的設置.

4.共享權限和NTFS權限的特點：

（1） 不管是共享的權限還是NTFS權限都有累加性。

（2） 不管是共享權限還是NTFS權限都遵循“拒絕”權限超越其他權限。

（3） 當一個賬戶通過網絡訪問一個共享文件夾，而這個文件夾又在一個NTFS分區上，那么用戶最終的權限是它對該文件夾的共享權限與NTFS權限中最為嚴格的權限。

 

NTFS權限是做什么的呢？

當一個用戶試圖訪問一個文件或者文件夾的時候，NTFS文件系統會檢查用戶使用的賬戶或者賬戶所屬的組是否在此文件或者文件夾的訪問控制列表（ACL） 中，如果存在則進一步檢查訪問控制項（ACE），然后根據控制項中的權限來判斷用戶最終的權限。如果訪問控制列表中不存在用戶使用的賬戶或者賬戶所屬的 組，就拒絕用戶訪問。

NTFS權限的應用規則:

1． 權限的組合。

如果一個用戶同時在兩個組或者多個組內，而各個組對同一個文件有不同的權限，那么這個用戶對這個文件有什么權限呢？

簡單的說，當一個用戶屬於多個組的時候，這個用戶會得到各個組的累加權限，但是一旦有一個組的相應權限被拒絕，此用戶的此權限也會被拒絕。

舉例來說：

假設有一個用戶u1，如果u1屬於A和B兩個組，A組對某文件有讀取權限，B組對此文件有寫入權限，u1自己對此文件有修改權限，那么u1對此文件的最終權限為讀取+寫入+修改權限。

假 設u1對文件有寫入權限，A組對此文件有讀取權限，但是B組對此文件為拒絕讀取權限，那么u1對此文件只有寫入權限。這里就還有一個小問題了，u1對此文 件只有寫入權限，但是沒有讀取權限，那么，寫入權限有效么？答案很明顯，u1對此文件的寫入權限無效，因為不能讀取怎么寫入？連門都進不去，怎么把家具搬 進去？

2、權限的繼承。

新建的文件或者文件夾會自動繼承上一級目錄或者驅動器的NTFS權限，但是從上 一級繼承下來的權限是不能直接修改的，只能在此基礎上添加其他權限。也就是不能把權限上的勾去掉（因為暫時去不掉），只能添加新的勾。灰色的框為繼承的權限，是不能直接修改的，白色的框是可以添加的權限,當然這並不是絕對的，只要你的權限夠，比如你是管理員，你也可以把這個繼承下來的權限修改了，或者讓文件不再繼承上一級目錄或者驅動器的NTFS權限。

3、權限的拒絕

拒絕的權利是最大的就行了。無論給賬戶或者組了什么權限，只要在拒絕的這一欄里有勾，那么被拒絕的權限就絕對有效。

4、移動和復制操作對權限的影響

共有四種情況，移動和復制文件（夾）到同一或者不同分區內。只需要記住，只有移動到同一分區內才保留原來設置的權限，否則為繼承目的地文件夾或者驅動器的NTFS權限。

共享權限：

共享權限只有三種：讀取、更改和完全控制。Windows Server 2003默認的共享文件設置權限是Everyone用戶只具有讀取權限。Windows 2000 默認的共享文件設置權限是Everyone用戶具有完全控制權限。

下面解釋一下三種權限：

1、 讀取。讀取權限是指派給Everyone組的默認權限。

a、 查看文件名和子文件夾名。

b、 查看文件中的數據。

c、 運行程序文件。

2、 更改。更改權限不是任何組的默認權限。更改權限除允許所有的讀取權限外，還增加以下權限。

a、 添加文件和子文件夾。

b、 更改文件中的數據。

c、 刪除子文件夾和文件。

3、 完全控制。 完全控制權限是指派給本機上的Administrators組的默認權限。完全控制權限除允許全部讀取及更改權限外，還具有更改權限的權限。

和NTFS權限一樣，如果賦予某用戶或者用戶組拒絕的權限，該用戶或者該用戶組的成員將不能執行被拒絕的操作。

Windows 2000 中，共享的文件夾，可以用空密碼用戶訪問。但是Windows Server 2003中，共享的文件夾，不可以用空密碼用戶訪問。

共享權限和NTFS權限的組合權限：

共享權限只對通過網絡訪問的用戶有效，所以有時需要和NTFS權限配合（如果分區是FAT/FAT32文件系統，則不需要考慮），才能嚴格的控制用戶的訪問。當一個共享文件夾設置了共享權限和NTFS權限后，就要受到兩種權限的控制。

如果希望用戶能夠完全控制共享文件夾，首先要在共享權限中添加此用戶（組），並設置完全控制的權限。然后在NTFS權限設置中添加此用戶（組），也設置完全控制權限。只有兩個地方都設置了完全控制權限，才最終有完全控制權限。

當用戶從網絡訪問一個存儲在NTFS文件系統上的共享文件夾的時候會受到兩種權限的約束，而有效權限是最嚴格的權限（也就是兩種權限的交集）。而當用戶從本地計算機直接訪問文件夾的時候，不受共享權限的約束，只受NTFS權限的約束。

同樣的，要考慮到兩個權限的沖突問題，比如，共享權限為只讀，NTFS權限是寫入，那么最終權限是完全拒絕。這是因為這兩個權限的組合權限是兩個權限的交集。