权限
权限定义了授予用户或组对某个对象或对象属性的访问类型。例如,财务组可以被授予对 payroll.dat 文件的读取和写入权限。
权限应用到任何受保护的对象,例如文件、Active Directory 对象或注册表对象。权限可以授予任何用户、组或计算机。好的做法是将权限指派到组。
可以将对象的权限指派到:
- 域中的组、用户和特殊身份(公认的安全标识符)。
- 该域或任何受信任域中的组和用户。
- 对象所在的计算机上的本地组和用户。
附加在对象上的权限取决于对象的类型。例如,附加给文件的权限与附加给注册表项的权限不同。但是,某些权限对于大多数类型的对象都是公用的。这些公用权限有:
- 读取权限
- 修改权限
- 更改所有者
- 删除
设置权限,就是为组和用户指定访问级别。例如,您可以允许一个用户读取文件的内容,允许另一个用户修改该文件,同时防止所有其他用户访问该文件。可以在打印机上设置类似的权限,使某些用户可以配置打印机,而其他用户只能用它打印。
如果您需要更改个别对象的权限,只要启动适当的工具和更改对象的属性即可。例如,要更改文件的权限,可以启动 Windows 资源管理器,用鼠标右键单击文件名,然后单击“属性”。在“安全”选项卡中,可以更改文件上的权限。
权限每种类型的对象都由对象管理器控制。每种类型的对象都有不同的对象管理器。对象类型、其对象管理器以及用于管理这些对象的工具如下所示:
|
对象在创建时,即有一个所有者指派给该对象。所有者被默认为对象的创建者。不管为对象设置什么权限,对象的所有者总是可以更改对象的权限。
所有权每个对象都有所有者,无论是在 NTFS 卷中或者在 Active Directory 中。所有者控制如何设置对象的权限以及将权限授予谁。 如下人员可以取得所有权:
对象一经创建,创建对象的人将自动成为其所有者。管理员在服务器上安装程序时,创建并拥有 Active Directory 中和网络服务器上的大多数对象。用户创建和拥有在其主目录中的数据文件,以及在网络服务器上的某些数据文件。 所有权可以用以下方式转换:
尽管管理员可以取得所有权,但是管理员不能将所有权转让给其他人。此限制可以让管理员对其操作负责任。 |
继承允许管理员容易地指派和管理权限。该功能自动使容器中的对象继承该容器的所有可继承权限。例如,文件夹中的文件,一经创建就继承了文件夹的权限。
可以审核用户对对象的访问情况。可以使用事件查看器在安全日志中查看这些与安全相关的事件。
审核安全审核可以监视各种与安全相关的事件。监视系统事件对于检测入侵者以及危及系统数据安全性的尝试是非常必要的。失败的登录尝试就是一个应该被审核的事件的范例。 应该被审核的最普通的事件类型包括:
除了审核与安全有关的事件,还将生成安全日志,该日志提供了查看日志中所报告的安全事件的方法。使用“事件查看器”可以查看安全日志。 |
文件和文件夹的权限
文件和文件夹权限
要点:
注意:
|
文件夹权限包括完全控制,修改,读取和执行,列出文件夹目录,读取,和写入。这些权限中的每一个都是由下面列出和定义的特殊权限所构成的逻辑组组成。
访问权限 | 说明 |
---|---|
通过文件夹/执行文件 | 对于文件夹:“通过文件夹”允许或拒绝通过文件夹来访问其他文件或文件夹,即使用户没有所通过的文件夹(只适用于文件夹)的访问权限。只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权限时,“通过文件夹”才起作用。(默认情况下,授予 Everyone 组“忽略通过检查”用户权限。 对于文件:“执行文件”允许或拒绝运行程序文件(仅适用于文件)。 设置文件夹的“通过文件夹”权限不会自动设置该文件夹中所有文件的“执行文件”权限。 |
列出文件夹/读取数据 | “列出文件夹”允许或者拒绝查看文件夹内的文件名和子文件夹名。“列出文件夹”只影响该文件夹的内容,不影响是否列出正在设置其权限的文件夹。它只适用于文件夹。 “读取数据”允许或拒绝查看文件(只适用于文件)中的数据。 |
读取属性 | 允许或拒绝查看文件或文件夹的属性,例如只读和隐藏。属性由 NTFS 定义。 |
读取扩展属性 | 允许或拒绝查看文件或文件夹的扩展属性。扩展属性由程序定义,可能因程序而变化。 |
创建文件/写入数据 | “创建文件”允许或拒绝在文件夹(仅适用于文件夹)内创建文件。 “写入数据”允许或拒绝更改文件和覆盖已有的内容(只适用于文件)。 |
创建文件夹/添加数据 | “创建文件夹”允许或拒绝在文件夹内创建文件夹(仅适用于文件夹)。 “添加数据”允许或拒绝更改文件的末尾,但不限制更改、删除或覆盖已有的数据(仅适用于文件)。 |
写入属性 | 允许或拒绝更改文件或文件夹的属性,例如只读或隐藏。属性由 NTFS 定义。 “写入属性”权限没有表示可以创建或者删除文件或文件夹,它只包括更改文件或文件夹属性的权限。要允许(或者拒绝)创建或删除操作,请参阅“创建文件/写入数据”、“创建文件夹/追加数据”、“删除子文件夹和文件”以及“删除”。 |
写入扩展属性 | 允许或拒绝更改文件或文件夹的扩展属性。扩展属性由程序定义,可能因程序而变化。 “写入扩展属性”权限不表示可以创建或者删除文件或文件夹,它只包括更改文件或文件夹属性的权限。要允许(或者拒绝)创建或删除操作,请参阅“创建文件/写入数据”、“创建文件夹/追加数据”,“删除子文件夹和文件”以及“删除”。 |
删除子文件夹和文件 | 允许或拒绝删除子文件夹和文件,即使尚未授予对子文件夹或文件的“删除”权限。(适用于文件夹) |
删除 | 允许或拒绝删除文件或文件夹。如果您没有对文件或文件夹的“删除”权限,但是在父文件夹中已被授予“删除子文件夹和文件”,那么您仍然可以删除它。 |
读取权限 | 允许或拒绝读取文件或文件夹的权限,例如完全控制、读取、写入。 |
更改权限 | 允许或拒绝更改文件或文件夹的权限,例如完全控制、读取、写入。 |
取得所有权 | 允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,无论存在任何保护该文件或文件夹的权限。 |
同步 | 允许或拒绝不同的线程在句柄上等待文件或文件夹,并与另一个可能向它发信号的线程同步。该权限只应用于多线程、多进程程序。 |