NTFS權限是作為一個Windows管理員必備的知識,許多經驗豐富的管理員都能夠很熟悉地對文件、文件夾、注冊表項等進行安全性的權限設置,包括完全控制、修改、只讀等。而談論NTFS權限這個話題也算是老生常談了,但是對於一些“新手”,還是會有一些不是非常清楚的地方,本文就針對NTFS權限的重點要素進行探討,以給大家對於NTFS權限的內容有一個初步的了解。
一、 用戶和組
權限設置必然涉及的三要素為訪問者、權限、被訪問的對象,那么我們首先來看一下“訪問者”這一要素。“訪問者”其實就是我們常說的“用戶和組”,用戶是授予權限的最小單位,而組則可以看作是用戶的集合,在Windows系統中,用戶與組都是使用SID作為其唯一標識符,應用到NTFS權限上也是如此,實際上也是對這些SID進行權限的授予。
那么在這里我們先來了解一下在工作組環境中的Windows系統內置的一些具備特殊功能作用的用戶和組
二、 NTFS權限
NTFS權限是基於NTFS分區實現的,通過對用戶或組授予NTFS權限可以有效地控制用戶對文件和目錄的訪問。對於NTFS磁盤分區上的每一個文件和文件夾,NTFS都存儲了一個訪問控制列表(ACL,Access Control Lists)。ACL中包含有那些被授權訪問該文件或者文件夾的所有用戶賬號、組和計算機,還包含他們被授予的訪問類型。為了讓一個用戶訪問某個文件或文件夾,針對相應的用戶賬號、組,或者該用戶所屬的計算機,ACL中必須包含一個對應的入口,這樣的入口叫做訪問控制入口(ACE,Access Control Entries)。為了讓用戶能夠訪問文件或者文件夾,訪問控制入口必須具有用戶所請求的訪問類型。如果ACL沒有相應的ACE存在,Windows系統就拒絕該用戶訪問相應資源。
NTFS權限分為標准NTFS權限和特殊NTFS權限兩大類。標准NTFS權限可以說是特殊NTFS權限的特定組合。特殊NTFS權限包含了在各種情況下對資源的訪問權限,其組合限制了用戶訪問資源的所有行為。但通常情況下,用戶的訪問行為都是幾個特定的特殊NTFS權限的組合或集合。Windows為了簡化管理,將一些常用的特殊NTFS權限組合起來形成了標准NTFS權限,當需要分配權限時可以通過分配一個標准NTFS權限以達到一次分配多個特殊NTFS權限的目的。
如下列表就是標准NTFS權限和特殊NTFS的對應關系表。
針對以上權限設置,下表列出了其所起到的作用。
在使用基於NTFS的ACL中,還涉及到應用范圍,那就是在NTFS權限設置的時候的作用域了,如下表列出了相應的作用域。
但是在實際的權限配置中,由於繼承、權限選項以及特殊組的存在,作用域的效果並不是絕對的。如下則為在高級權限設置中,會出現的一些權限選項:
三、 NTFS權限的使用法則
為了更好地應用和制度NTFS權限在設置的時候將產生的效果,我們需要了解一些NTFS權限的法則。
1、 權限的積累,即權限最大法則
用戶對資源的有效權限是分配給該個人用戶賬戶和用戶所屬的組的所有權限的總和。如果用戶對文件具有“讀取”權限,該用戶所屬的組又對該文件具有“寫入”的權限,那么該用戶就對該文件同時具有“讀取”和“寫入”的權限。當有拒絕權限時權限最大法則無效。
2、 文件權限高於文件夾權限
意思就是說NTFS文件權限對於NTFS文件夾權限具有優先權,當用戶或組對某個文件夾以及該文件夾下的文件有不同的訪問權限時,用戶對文件的最終權限是用戶被賦予訪問該文件的權限。假設你能夠訪問一個文件,那么即使該文件位於你不具有訪問權限的文件夾中,你也可以進行訪問(前提是該文件沒有繼承它所屬的文件夾的權限)。
3、 拒絕權限高於其他權限
拒絕權限可以覆蓋所有其他的權限。甚至作為一個組的成員有權訪問文件夾或文件,但是該組被拒絕訪問,那么該用戶本來具有的所有權限都會被鎖定而導致無法訪問該文件夾或文件。也就是說上面第一點的權限累積原則將失效。
4、 指定的權限高於繼承的權限
即一個對象上對某用戶/組的明確權限設置優先於繼承而來的對該用戶/組的權限設置。例如本來該用戶繼承自父文件夾有對其下子文件夾或文件有“拒絕”的權限,但是管理員在該子文件夾或文件上授予該用戶有“允許”的權限,則該用戶對該子文件夾或文件擁有“允許”的權限。結合繼承、指定和拒絕、允許的條件,有如下的規則:指定拒絕 > 指定允許 > 繼承拒絕 > 繼承允許。
以上為一些權限設置應用的規則,當然,我們不必自己手動計算權限結果,而可以使用“有效權限”選項卡來自動計算某一用戶/組的有效權限。但需要注意的是它並不會考慮UAC對權限分配的影響。