NTFS安全权限
权限设置的三要素为访问者、权限、被访问的对象,任何权限的设置都围绕这三者展开。本文主要围绕NTFS权限进行展开。
1NTFS权限概述
- 通过设置NTFS权限,实现不同用户访问资源的不同权限。
- 分配了正确的访问权限后,用户才能访问其资源。
- 设置权限防止资源被篡改、删除。
2文件系统概述
2.1常见的文件系统
文件系统即在外部存储设备上组织文件的方式。
- Windows常见的文件系统:FAT、NTFS
- Linux常见的文件系统:EXT
2.2分区存储文件的方式
格式化时需要选择文件系统,文件系统将分区划分为许多block(存储文件内容)和inode(存储文件名并及其指针)。
- 一个block仅能为一个文件所用,剩余部分将浪费。
- block大小是否合适需根据该分区存储单个文件大小而定。
2.3设置block大小
右键分区→格式化→可选择分配单元大小。
3NTFS特点
3.1NTFS较FAT文件系统的优点
- 磁盘读写性能高
- 可靠性:(1)文件加密系统;(2)访问控制列表ACL(设置权限)
- 磁盘利用率:(1)压缩;(2)磁盘配额
- 支持单个文件大于4G。
3.2磁盘配额
- 作用: 为不同用户设置存可用空间,类似网盘。
- 操作: 右键分区→属性→配额,一般在管理服务器时需要使用。
3.3访问控制列表
- 百科: 《访问控制列表》
- 操作: 右键分区→属性→安全。
4NTFS权限及其设置
4.1基本权限的作用
- 读取和运行: 主要是针对可执行文件是否运行被运行。
- 列出文件夹目录: 表示双击打开该文件夹。
- 读取: 可以查看文件内容,可下载,包括可执行文件的内容。
- 写入: 分两层理解,(1)对于文件夹,说明允许在文件夹中创建新的文件,即可上传文件;(2)对于文件,说明运行在文件中新增内容。
4.2NTFS权限设置实操
请虚拟机中进行试验及操作。
- 打开win2003服务器,选择D盘,查看属性,确定分区文件系统为NTFS格式。
- 在D盘创建一个文件及文件夹。
cd d:
md PublicResource\Rules
echo 666>PublicResource\share.txt
echo 111>PublicResource\Rules\Rules.txt
- 创建AB两个用户。
net user
net user a a /add
net user b b /add #新建用户默认属于Users组
-
设置不同访问权限,A只能读取内容,B只能上传内容。A用户虽在该文件夹被限制了权限,但在家目录下,是有完全控制权限,至于其余位置需要看管理员是否设置权限。
-
取消父子级文件间权限的继承。点击复制表示复制父级文件的权限至子级文件,但是切断了两者间的继承性。
-
删除多余组,避免用户属于不同组而产生权限叠加。
-
添加用户,输入a;b,注意中间是分号,点击检查名称依次添加。
-
a用户保存默认及可,b用户按以下勾选。
4.3权限累加
- 当用户权限与自己预想不一致时,查看用户是否属于多个组。
- 对于权限类型,取用户所属各组的并集,对于每一类权限的如何规定,按用户所属各组规定的最强者确定。
- 同一个权限有三种级别的规定,规定强弱如:无<允许<禁用。
4.4取得所有权
场景: 假设a用户创建了一个文件夹,并将父子级继承去掉,同时将其他用户及管理员移除权限,管理员应该怎么处理?
解决办法: 右键该文件夹→属性→安全→高级,管理员可以获得所有权。
4.5强制继承
适用场景: 当长期使用后,部分子文件夹权限比较混乱,对此需要将最高级文件夹设置强制继承。
作用: 对下强制继承父子级权限关系。
方法: 父级文件夹右键属性→安全→高级→如下勾选并确定。
4.6文件复制移动时的权限变化
- 复制: 文件有一个文件夹复制到另一个文件夹时,由于文件的复制要产生新文件,因此,新文件的使用权限继承目标文件夹的使用权限。
- 移动: 文件有一个文件夹移动到另外一个文件夹时,分为两种情况:(1)如果移动是在同一个磁盘分区中进行的,则文件的使用权限不变。因为在WINDOWS2000中,同一磁盘文件的移动只是指针的改变,并没有真正的移动。(2)如果移动到另一个磁盘分区的某个文件夹中,则该文件将继承目标文件夹的使用权限。因为移动到另一个磁盘分区,实际上是在那个分区产生新文件。 文件夹的复制或移动的原理与文件相同。
5总结
- 关于权限:控制谁以什么权利访问什么资源。
- 如何控制:在文件属性安全项中,通过父子级关系、针对用户或组进行控制。
- 注意权限的累加及复制移动时的权限变化。