NTFS安全权限
0 引言
权限设置的三要素为访问者、权限、被访问的对象,任何权限的设置都围绕这三者展开。本文主要围绕NTFS安全权限进行展开。学习NTFS安全权限目的是为了给文件或文件夹设权限,权限可以限制不同的用户在访问文件或文件夹时具有不同的权限。
1 NTFS权限概述
(1)通过设置NTFS权限,实现不同用户访问不同对象(文件或文件夹)的权限。
(2)分配了正确的访问权限后,用户才能访问其资源。
(3)设置权限防止资源被篡改、删除。
2 文件系统概述
2.1 常见的文件系统
文件系统即在外部存储设备上组织文件的方式,即存储方式/格式。
- Windows常见的文件系统:FAT(FAT8、FAT16、FAT32)、NTFS
- Linux常见的文件系统:EXT(EXT1、EXT2、…)
注意:
(1)分区必须建立文件系统,才能存储资料。在分区划分小的存储单元,这些小的存储单元称为簇(block)。
(2)什么是格式化:将分区数据清空,然后重新在分区上划分簇(block),即制作文件系统,因此格式化时需要选择文件系统类型。
2.2 分区存储文件的方式
格式化时需要选择文件系统,文件系统将分区划分为许多block(其中存储文件内容)和inote(存储文件名及其指针)。
- 一个block仅能为一个文件所用,剩余部分将浪费。
- block大小是否合适需根据该分区存储单个文件大小而定。block越小,则指针越多,打开文件越慢,但是越大,则浪费越多。所以需要视具体情况而言,小而琐碎的文件,则block较小更好;而存储大的文件,则block较大更好。
2.3 设置block大小
右键分区→格式化→可选择分配单元大小。其中,默认为4096字节,节4KB。格式化时一般需要选择“快速格式化”比较快。
3 NTFS特点
3.1 NTFS较FAT文件系统的优点
- 磁盘读写性能高
- 可靠性:(1)文件加密系统;(2)访问控制列表ACL(设置权限)
- 磁盘利用率:(1)压缩;(2)磁盘配额
- 支持单个文件大于4G。
注意:
(1)若分区之前格式化时文件系统类型选择的是FAT类型,则不具备设置权限,所有用户一律平等。
(2)当U盘空间比较小时,如4G、8G、16G,格式化时选择FAT32类型效果比较好;NTFS针对大硬盘大分区。
3.2 磁盘配额
作用: 为不同用户设置存可用空间,类似网盘。
操作: 右键分区→属性→配额,一般在管理服务器时需要使用。
3.3 访问控制列表
- 百科: 《访问控制列表》
- 操作: 右键分区→属性→安全。
4 NTFS权限及其设置
4.1 基本权限的作用
- 读取和运行: 主要是针对可执行文件是否运行被运行。
- 列出文件夹目录: 表示用户双击可以打开该文件夹,看到这个文件夹有哪些目录。
- 读取: 可以查看文件内容,可下载,包括可执行文件的内容。
- 写入: 分两层理解,(1)对于文件夹,说明允许在文件夹中创建新的文件,即可上传文件;(2)对于文件,说明运行在文件中新增内容。
- 修改:包含了从读取到写入的所有权限,读取和运行、列出文件夹目录、读取、写入全拥有了,还拥有了删除权限。但是只是对文件夹和文件有修改权限,但是不能修改别人的权限——修改访问控制列表ACL。
- 完全控制:除了包含修改外,还包含了特别的权限,可对修改访问控制列表ACL。
4.2 NTFS权限设置实操
请虚拟机中进行试验及操作。实现在D盘中的PublicResource文件夹,a只能读取内容,b只能上传内容。
(1)打开win2003服务器,选择D盘,查看属性,确定分区文件系统为NTFS格式。
(2)在D盘创建一个文件及文件夹。
cd d:
md PublicResource\Rules
echo 666>PublicResource\share.txt
echo 111>PublicResource\Rules\Rules.txt
(3)创建AB两个用户。
net user
net user a 1 /add
net user b 1 /add #新建用户默认属于Users组
(4)我们的目的是给PublicResource文件夹设置不同访问权限—a只能读取内容,b只能上传内容。a用户虽在该文件夹被限制了权限,但在家目录下,是有完全控制权限,至于其余位置需要看管理员是否设置权限。新建的用户,默认属于普通用户组(users),他的权限也是默认的。
tips:
CREATOR OWNER 指创建者本人,即创建文件夹的用户,具有特别的权限,可以更改访问控制列表。
(5)若想修改访问控制列表ACL,需要取消父子级文件间权限的继承。点击复制表示复制父级文件的权限至子级文件,但是切断了两者间的继承性。
(6)删除多余组,避免用户属于不同组而产生权限叠加。
(7)添加用户,输入a;b,注意中间是分号(用分号可以同时添加多个用户),点击检查名称依次添加。
tips:
若不知道用户名称的具体拼写,可以点击>>高级,>>立即查找,选中需要的用户名,再点击确定。
(8)a用户保存默认及可,b用户按以下勾选。
tips:
b用户具有上传权限,其上传后不可以再下载,不可以读取、写入和修改。但是可以覆盖自己之前上传的文件或文件夹,但是不能覆盖别人的。可以覆盖自己的文件或文件夹是由于b用户创建的文件或文件夹还带有b用户的某些标识。
4.3 权限累加
(1)当用户属于多个组时,权限是累加的,累加只累加允许。当用户权限与自己预想不一致时,查看用户是否属于多个组。
(2)相同的权限,当允许碰到拒绝时,拒绝最大。取用户所属各组的,对于每一类权限的如何规定,按用户所属各组规定的最强者确定。
(3)设置权限时,一般不碰拒绝,除非遇到特殊情况。如b用户属于IT组,IT组成员为10个用户,IT组拥有对”机密“文件夹的完全控制权限,现要求b用户不能脱离IT组,同时要求b用户没有访问”机密“文件夹的所有权限。这时需要另外对”机密“文件夹设置所有权限对于b用户都勾选拒绝。
4.4 取得所有权
场景: 假设a用户创建了一个文件夹,并将父子级继承去掉,同时将其他用户及管理员移除权限,管理员应该怎么处理?
解决办法: 右键该文件夹→属性→安全→高级。注意只有管理员和管理员组具有取得所有权权限。
4.5 强制继承
适用场景: 当长期使用后,部分子文件夹权限比较混乱,希望这些子文件都恢复以前继承的权限,对此需要将最高级文件夹设置强制继承。
作用: 对下强制继承父子级权限关系。
方法: 父级文件夹右键属性→安全→高级→如下勾选并确定。
4.6 文件复制移动时的权限变化
(1)复制:
- 某文件或文件夹无论是复制到同一个磁盘的另一个文件夹(目标文件夹)中,还是跨分区复制到另一个磁盘的文件夹中,复制后的文件/文件夹的权限强制继承目标文件夹的使用权限。因为文件的复制要产生新文件,因此,新文件的使用权限继承目标文件夹的使用权限。
(2)移动: 文件由一个文件夹移动到另外一个文件夹时,分为两种情况:(1)如果移动是在同一个磁盘分区中进行的,则文件的使用权限不变。因为在WINDOWS2000中,同一磁盘文件的移动只是指针的改变,并没有真正的移动。(2)如果是跨分区移动到另一个磁盘分区的某个文件夹中,则该文件将继承目标文件夹的使用权限。因为移动到另一个磁盘分区,实际上是在那个分区产生新文件。 文件夹的复制或移动的原理与文件相同。
5 总结
- 关于权限:控制谁以什么权利访问什么资源。
- 如何控制:在文件属性安全项中,通过父子级关系、针对用户或组进行控制。
- 注意权限的累加及复制移动时的权限变化。